隐私和安全成为了 Play Store 的更高优选项。Google 近期封杀第三方通话录音应用之外，还引入了“data safety”（数据安全）部分，要求开发人员提供更多关于他们收集的任何用户数据及其背后目的的信息。现在，Google 公开了 2021 年关于 Play Store 安全的统计数据。 Google强调，仅在 2021 年，它就禁止了 19 万个恶意和垃圾邮件的开发者账户。作为对比，这一数字在 2020 年为 11.9 万。同样，120 万个违反 Google Play 政策的应用程序被删除，该公司表示，这意味着它防止了数十亿次潜在的有害安装。...

Facebook正面临一场世界各地隐私法规“海啸”，这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件，Facebook这场“劫难”的根源在于，他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去年撰写的，该团队的任务是“在人与企业之间建立有意义的联系”，根据最近一份Facebook工作清单上对该团队的描述，该团队“处于Facebook货币化战略的中心，是推动公司发展的引擎”。...

Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示，该僵尸网络每秒发出 1530 万个请求（rps），使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchpad（TCL）公司，该客户使用的是 Cloudflare 的 Professional 计划，在攻击发生的不到 15 秒内，Cloudflare 为其提供了防御。其他 Cloudflare 客户也自动受到保护，...

近日名为 Nimbuspwn 的漏洞组合被曝光，可以让本地攻击者在 Linux 系统上提升权限，部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题，并指出它们可以被串联起来，在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dispatcher 组件，该组件用于在 Linux 设备上发送连接状态变化，目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。...

据TechCrunch报道，美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息，从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作--以对关键基础设施， Sandworm可能因2017年的NotPetya勒索软件攻击而闻名，该攻击主要打击了乌克兰的计算机系统，破坏了该国的电网，导致数十万居民在深冬时节无电可用。2020年，美国检察官起诉了同样的六名 Sandworm黑客（据信他们仍在俄罗斯），罪名是NotPetya攻击，...

据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。 漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 ：
Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18...

Atlassian解决了其Jira Seraph软件中的一个严重漏洞，该漏洞编号为CVE-2022-0540（CVSS 评分 9.9），未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响，比如：8.13.18之前的Atlassian Jira Server、Data Center版本、8.14.0到8.20.6之间的版本、8.21.0到8.22.0之间的版本。该漏洞还影响 4.13....

据美国国土安全部（DHS）近日透露，加入“Hack DHS”漏洞赏金项目（bug bounty program）的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞，其中27个被评估为严重漏洞。 据悉，国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度，每个漏洞最多可获得5,000美元的奖励。...

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码，T-Mobile在一份声明中确认了这次攻击，并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中，Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。 在网上购买了员工的凭证后，这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话，将其号码转移到攻击者拥有的设备上。从那里，攻击者可以获得该人的手机号码所收到的短信或电话，包括为多因素认证而发送的任何信息。...

在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上，两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家，Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。 本次挑战期间，俩人将目标瞄向了名为“OPC UA”的工业控制软件。其采用的开源通信协议，被广泛应用于连接全球电网和其它关键基础设施等工业系统。 尽管攻破 OPC UA 已经让外人感到相当不安，Keuper 和 Alkemade 仍声称这是他们能够搞定的“最简单”的系统。...