近日，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（征求意见稿）》（以下简称《实践指南》）。 《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息跨境处理活动认证提供认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。 《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求，适用于以下情形：...

俄乌战争爆发以来，匿名者组织就盯上了俄罗斯，一直对其实体组织进行大规模网络攻击。近日，Security Affairs 网站披露，匿名者黑客组织伙同乌克兰 IT 军继续对俄罗斯实体发起网络攻击。 俄乌战争爆发以来，匿名者黑客组织一直站在乌克兰阵营上，破坏了大量俄罗斯政府和企业实体的网络系统。本周，该组织声称“干掉”了多家俄罗斯实体，并通过 DDoSecrets 平台泄露窃取的数据。 遭受入侵的企业名单包括：...

近期，QNAP发布了几项安全公告，其中一项针对严重的安全问题，该问题允许在易受攻击的QVR系统上远程执行任意命令，该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码，专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588，严重程度得分为9. 根据QNAP发布的公告，该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用，此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见，当漏洞利用公开可用时，...

美国证券交易委员会 (SEC) 5月6日发布声明，称对芯片制造商英伟达的指控，双方已达成一致，英伟达承认未能充分披露挖矿对其游戏业务的影响，同意支付550万美元的罚款。 此前，SEC认为，从 2017 年开始，已有越来越多的用户使用英伟达生产的游戏显卡（GPU） 来挖掘加密货币，但在2018财年的连续几个季度中，该公司未能披露大量的挖矿是其促成游戏GPU销售增长的重要因素。...

当地时间5月6日，宜家（IKEA）加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家（IKEA）加拿大公司在致受影响客户的一封信中表示，可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员，因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说，它被告知一些顾客的个人信息泄露风险出现在"2022年3月1日至3月3日期间，宜家加拿大公司的一名同事进行的普通搜索"的结果中。...

资料图（来自：Bitwarden） 错误示例“宾果卡”（图自：Microsoft） 有趣的是，一些网络安全专家认为“密钥”（passphrase）比“密码”（password）更实在且易于记住。

前者可以是一串词汇，也能够包含数字与符号 —— 比如“Barking up the wrong tree”就可演变为“Bark1ngupthewr0ngtree！”。

不过在微软看来，...

近期谷歌发布了Android的5月安全补丁的第二部分，其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600，是Linux内核中的一个权限提升漏洞，威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核，因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ，并引入了一个修复程序，该修复程序也及时同步给Linux供应商，然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。...

5月5日，SentinelLabs 发布报告，显示他们曾在知名防病毒产品Avast 和 AVG （2016 年被 Avast 收购）中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523，存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中，该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入，其问题的根源来自内核驱动程序中的套接字连接处理程序，...

近日，欧洲刑警组织发布了其首份深度伪造研究报告--《面对现实？执法和深度伪造的挑战》（Facing reality? Law enforcement and the challenge of deepfakes），这是欧洲刑警组织创新实验室就新兴技术的风险、威胁和机遇等方面技术发展研究形成的报告。 Deepfake技术使用人工智能技术来改变现有的或创建新的音频或视听内容。它有一些非恶意目的——例如讽刺和游戏——但越来越多地被不良行为者用于不良目的。然而，在2019年， iProove的研究表明，72% 的人仍然没有意识到 deepfakes。...

美国联邦调查局（FBI）警告个人和公司当心商业电子邮件泄露（BEC）攻击。据估计，2016年6月至2021年12月期间，国内和国际因此的损失已达430亿美元，2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼或网络入侵破坏高级管理人员或供应商的官方电子邮件账户。一旦犯罪分子获得访问权，他们就会给公司的账户部门发信息，要求进行大笔资金转移。由于这些电子邮件来自官方来源，这些请求往往不会引起怀疑。...