泄密《王者荣耀》内容 供应商遭3倍重罚发表声明致歉

网络安全研究人员在亚马逊云平台（AWS）中发现了一种新的后渗透攻击，能允许 AWS 系统管理器代理（SSM 代理）作为远程访问木马在 Windows 和 Linux 环境中运行。

Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说：“SSM代理是管理员用来管理实例的合法工具，攻击者如果在安装SSM代理的端点上获得了高权限访问，就可以重新利用它来持续开展恶意活动。”

SSM Agent是一个安装在Amazon EC2实例上的软件，使管理员可以通过统一界面更新、管理和配置其 AWS 资源。

游戏内容被提前泄密是很多游戏公司头疼的问题，泄密的来源除了公司内部，还有第三方合作公司，即使有保密协议，依然有“头铁”的人冒险泄密。近日，《王者荣耀》官微发布“麦思吉网络科技有限公司就泄密王者荣耀内容的说明”。

麦思吉在说明提到，在2022年12月至2023年1月之间，因麦思吉对员工管理培训未到位，存在监控漏洞，未能及时发现公司前员工周某某，在下班人员稀少时间，利用平台系统漏洞，违规下载超出工作范围及超出项目方授权的版本内容。该员工还以文字和截图形式，非法传输给第三方，导致相关未发布的内容提前泄露，给项目方带来损失，损害了王者用户的游戏体验。麦思吉称，对于此次事件造成的损失，公司愿意接受工作室全年全订单额3倍的处罚。

为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，现向社会公开征求意见。

《管理办法》提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

研究员 Oleg Zaytsev 和 Nati Tal 发布报告提到，一起复杂的 Facebook 钓鱼攻击活动利用 Salesforce 邮件服务0day漏洞，通过该公司的域名和基础设施构造目标钓鱼信息。

研究人员提到，“显而易见，这些钓鱼活动通过组合利用 Salesforce 漏洞和 Facebook Web Games 平台中的遗留问题躲避检测方法。”

邮件信息假装源自 Meta，同时从域为 @salesforce.com 的邮件地址发送，目的是诱骗收件人点击链接，说辞是因为“怀疑参与假冒活动”，因此正在“全面调查”收件人的 Facebook 账号，目的就是将用户指向恶意登录页，而该页面的目的是捕获受害者的账号凭据和双因素认证码。该钓鱼包被托管为域名为 apps.facebook[.]com的 Facebook apps 平台下的游戏。

据消息，美国船舶制造巨头宾士域集团的首席执行官上周向投资者透露，公司因一次网络安全事件蒙受高达8500万美元（约合人民币6.1亿元）的损失。

这家拥有数十亿美元资产的船舶制造公司在2021年创造了近60亿美元的收入，业务遍及24个国家，是海洋休闲产业的全球领导者。

今年6月，宾士域集团宣布遭受了一次网络攻击，其系统和部分设施受到影响。官方并未确认这是一次勒索软件攻击，但他们表示在专家和执法部门处理该事件期间，已被迫停止部分地区的运营。

根据GRIT最新发布的勒索软件报告，2023年二季度观测到的勒索软件事件数量明显多于一季度。这主要有三大原因：MOVEit等漏洞的大规模利用、勒索软件工具技术的“民主化”以及新兴勒索软件组织的野蛮生长。

2023年3月底、5月和6月的三次勒索软件攻击峰值主要来自Clop等勒索软件组织发起的大规模漏洞利用事件（分别为GoAnywhere、PaperCut和MOVEit漏洞）。其中MOVEit漏洞利用占6月份攻击的6%，占第二季度Clop攻击总数的94%。

随着越来越多的企业“出海”越南，在越南开展生产经营活动难以避免涉及越南当地的个人信息处理活动及个人信息跨境传输活动。2023年4月17日，越南政府正式发布No: 13/2023/ND-CP法令，即《个人数据保护法令》，于2023年7月1日起正式生效。

根据越南个保法，越南与个人数据保护相关的主要监管机构包括公安部、信息和通信部、国防部和科技部等，其中最主要的监管机构是公安部。