《全球数据安全观察》第135期

1、《公路水路关键信息基础设施安全保护管理办法》发布

5月6日，交通运输部公布《公路水路关键信息基础设施安全保护管理办法》，共6章33条，自今年6月1日起施行，切实保障公路水路关键信息基础设施安全，维护网络安全。办法明确提出运营者应当加强公路水路关键信息基础设施个人信息和数据安全保护，将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当按照国家相关规定进行安全评估；法律、行政法规另有规定的，依照其规定执行。

https://xxgk.mot.gov.cn/2020/jigou/fgs/202305/t20230506_3822075.html

2、全国首个自动驾驶示范区数据安全管理办法在京发布

5月12日，北京市高级别自动驾驶示范区工作办公室正式发布《北京市智能网联汽车政策先行区数据安全管理办法（试行）》，填补了国内自动驾驶示范区级数据安全管理的空白，明确了在市自动驾驶办公室统筹指导下，企业负数据安全主体责任，构建了示范区企业数据能力提升及共享机制。该办法厘清了智能网联汽车产业数据安全管理的关键环节，详细梳理了重点数据类型的合规风险，并创新性构建了示范区数据安全能力建设机制。

http://kfqgw.beijing.gov.cn/zwgkkfq/yzttkfq/202305/t20230512_3102660.html

3、《江苏省数字政府建设2023年工作要点》发布

4月27日，江苏省人民政府办公厅发布《江苏省数字政府建设2023年工作要点》，其中提出了要牢固构建全方位的安全防护体系，包括完善安全管理机制确保政务系统和数据安全管理边界清晰、职责明确、责任落实，强化安全技术支撑提升网络、系统、数据安全技术防护水平，加强安全监测运营守牢网络和数据安全底线。

http://www.jiangsu.gov.cn/art/2023/5/6/art_46144_10885588.html

4、《河南省加强数字政府建设实施方案(2023-2025年)》印发

5月9日，河南省人民政府近日印发《河南省加强数字政府建设实施方案(2023-2025年)》，致力于解决数字政府建设在顶层设计、体制机制、数据融通、应用协同、安全保障等方面存在的突出问题。方案强调要突出全面防护，筑牢数字政府安全保障体系，提出了数字政府“一道墙”建设方案，以一体化安全防护配置为基础、一体化安全防护运营为核心、一体化安全防护监管为引领，建立健全配套安全制度和统一标准规范，构建形成全省一体化安全防护体系。

https://www.henan.gov.cn/2023/05-09/2739949.html

5、《张江数据要素产业集聚区建设三年行动方案（2023-2025年）》发布

5月9日，上海市浦东新区科技和经济委员会、中国（上海）自由贸易试验区管理委员会张江管理局近日印发《张江数据要素产业集聚区建设三年行动方案（2023-2025年）》。在数据安全方面，方案提出要构建与国家级数据交易平台相匹配的数据安全保障体系，建设关键信息基础设施安全防护态势感知系统，建立分层处置、分类计算、动态评估的数据安全管理体系，增强数据安全监测预警和应急处置能力。支持市场化安全资源池及中小企业盾建设，帮助企业守牢网络与数据安全底线。

https://www.pudong.gov.cn/zwgk/14553.gkml_ywl_qyfw/2023/118/309750.html

6、天津市地方标准《网络数据安全监督检查规范》发布

4月7日，天津市市场监管委批准发布地方标准《网络数据安全监督检查规范》（DB12/T 1198-2023），于5月7日起实施。规范从安全合规管理、数据分类分级、终端数据安全、监控与审计、数据收集安全、数据存储安全、数据正当使用、数据导入导出安全、鉴别与访问控制、数据展示安全、数据分析安全、数据脱敏安全、数据传输安全、数据共享安全、数据供应链安全、数据发布安全、数据接口安全、数据销毁安全18个方面提出了79个数据安全检查要求，并对监督检查流程、检查方式以及检查结果进行了规定。

https://dbba.sacinfo.org.cn/stdDetail/6ad2dbc03e4dd716f406cc3d67e09bfdf34f4b0a192ecd8820e9b3b8c6eef30b

7、欧盟拟要求云服务数据在欧盟存储和处理

当地时间5月8日，欧洲网络安全认证小组（ECCG）宣称将对新的《欧盟云服务网络安全认证计划草案》（以下简称“草案”）展开审查。审查将于5月26日召开的ENISA网络安全认证会议上进行。草案将根据欧盟网络安全法案创建新的认证子类别“high+”，要求云服务数据需在欧盟存储和处理，欧盟以外的任何实体不得直接或间接、单独或共同对申请云服务认证的CSP（云服务提供商）拥有有效控制。

https://www.secrss.com/articles/54559

8、欧盟委员会公布《数字服务法》(DSA) 第一批受监管的19家超大平台名单

4月26日，欧盟委员会根据《数字服务法》(DSA)通过了第一项决定，公布该法第一批受监管的大型企业名单。DSA认定为“超大型在线平台”的标准是每月活跃用户数4500万以上，委员会根据各企业在2月17日前提交的用户数，确定17家平台符合该标准，包括：阿里巴巴国际版“速卖通”（AliExpress）、抖音海外版TikTok、亚马逊商店（Amazon Store）、苹果应程序商店（AppStore）、缤客网（Booking.com）、脸书（Facebook）及Instagram、领英（LinkedIn），谷歌（Google）旗下游戏、地图和购物3平台，推特（Twitter）、维基百科（Wikipedia），以及Youtube、Pinterest、Snapchat和Zalando。另依该法同样标准被指名为“超大型在线搜索引擎”的，则有微软的Bing和谷歌搜索（Google Search）2家。

根据新的内容审核规则，19个主要的在线平台和搜索引擎将受到额外审查，且需在4个月内向委员会提供风险评估报告。

https://mp.weixin.qq.com/s/1YMhuYPEL4BGRDj6iT5DRA

1、IBM发布量子安全路线图

IBM近日在年度Think会议上推出了量子安全路线图，以帮助政府机构和大型商业组织过渡到后量子密码学。

美国政府要求联邦机构必须在最后期限之前完成向量子安全加密的过渡。预计企业也将遵循同样的路径，但这是一条漫长而艰难的道路。IBM开发了一个三阶段解决方案，称为IBM量子安全路线图（Quantum Safe Roadmap）。

该路线图包括三个独立的产品，其中两个现已上市，第三个目前是第一代。这三种产品分别是量子安全资源管理器(Quantum Safe Explorer)、量子安全顾问(Quantum Safe Advisor)和量子安全修复器(Quantum Safe Remediator)。这三个产品对应于路线图的发现、观察和转换阶段。

“量子安全资源管理器”使组织能够扫描源代码和目标代码，以查找加密资产、依赖项和漏洞。结果就是IBM所说的加密物料清单（CBOM），将所有相关细节信息聚合到一起。

“量子安全顾问”创建加密清单的动态视图以指导修正，并分析加密状况和合规性以确定风险的优先级。

“量子安全修复器”使组织能够部署和测试基于最佳实践的量子安全修正模式，以了解在准备部署量子安全解决方案时对系统和资产的潜在影响。“它允许您使用不同的量子安全算法、证书和密钥管理服务，”IBM说：“它还可以帮助您实现加密敏捷性，以便您可以快速适应不断变化的政策和威胁，而不会对运营或预算产生重大影响。”

https://mp.weixin.qq.com/s/OpgL-WgSHtHD9V76cvrK6w

2、调查：超七成CISO无法防止开发机密信息泄露

根据代码安全平台GitGuardian最新发布的安全主管调查报告，75%的受访者经历过至少一次公司软件开发机密的数据泄露，包括API密钥、用户名密码和加密密钥。

报告显示，受访的美国和英国CISO约有52%无法确保公司的开发机密信息不被泄露。该报告指出，尽管美国和英国企业的保密管理实践已经成熟，但仍有走很长的路要走。

这项研究分析了507名IT决策者的回复，受访者包括IT总监、IT副总裁、CIO、CSO、CISO和网络安全副总裁，以评估DevOps环境中暴露的机密信息的风险。

研究表明，英美企业的IT部门普遍意识到了泄露机密的危险。75%的受访者表示，他们的企业过去曾发生过泄密事件，60%的受访者承认这给公司、员工或两者造成了严重的问题。

暴露的机密包括API密钥、用户名密码和加密密钥等。只有10%的发生过泄密事件的受访者表示，泄密事件并未影响公司或其员工。

https://www.secrss.com/articles/54506

3、全球最大规模AI黑客大赛将开启：白宫支持，针对大模型安全

5月10日消息，美国白宫在上周四宣布，OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商，将在DEF CON 31上共同参与对他们的生成式人工智能系统的公开安全评估。DEF CON是每年8月在拉斯维加斯召开的黑客大会，此次安全竞赛由人工智能黑客社区AI Village主办。

自去年开始，ChatGPT等大语言模型（LLM）迅速成为加快写作和交流任务的流行方式，但官方承认这些模型中也存在固有风险。混淆、越狱和偏见等问题给安全专业人士和公众带来了挑战。正因为如此，白宫科学、技术和政策办公室才支持对这些新的生成式AI模型进行极限测试。

白宫在声明中表示，“这项独立测试将为研究人员和公众提供关于这些模型的关键信息，并使得人工智能公司和开发人员能够采取措施以解决在模型中发现的问题。”

https://www.secrss.com/articles/54509

4、超七成受访者认为个人信息曾被泄露，四川公布消费者个人信息保护情况调查报告

5月9日，四川省保护消费者权益委员会公布消费者个人信息保护情况调查报告。调查回收有效问卷3726份。

调查结果显示，超五成受访者不了解《中华人民共和国个人信息保护法》内容；超七成受访者认为个人信息曾被泄露。受访者最担心社交账号被泄露；“安全隐私协议”被忽视，拒绝非必要授权后九成应用程序限制使用；个人信息保护还待加强。

调查还显示，67.52%的受访者对个人信息保护现状表示满意或基本满意，仍有32.47%的受访者表示不满意，主要原因是“个人信息仍经常被侵害”(53.11%)以及“被侵害后投诉无门”(44.82%)。个人信息被侵害后，68.37%的受访者表示未采取维权措施，未维权主要原因是“不知道维权渠道”的，占比49.15%；其次是“没有资金损失”“维权成本高”“不知晓或无法找到侵害个人信息的具体经营者”等。

http://www.scpublic.cn/news/wx/detail?newsid=730037

5、联合国公布18个全球隐私计算技术应用典型案例

近期，联合国大数据工作组发布了新的隐私指南——《The UN Guide on Privacy Enhancing-Technologies (PETs) for Official Statistics》（联合国官方统计隐私增强技术（PETs）指南）。

该报告的前几章展示了隐私增强技术作为各种方法和途径的先驱，如何在实际应用中站稳脚跟。同态加密、安全多方计算、差分隐私、联邦学习、零知识证明和可信执行环境是针对使用敏感数据时降低隐私风险的有效隐私技术，报告对这些技术做了全面介绍。其中最大的亮点是，18个遍及全球的隐私增强技术典型使用案例，案例涉及政府部门、民营企业和多个合作组织，也涵盖了各种隐私增强技术和各类具体的使用场景。包括《联合国欧洲经济委员会：试验保护隐私的联邦机器学习方法》《美国教育部：使用保护隐私的记录链接分析学生财政援助数据》等案例。

https://mp.weixin.qq.com/s/Bn-XmXQNnBHmEHZWcOnW3Q

1、白重恩：中国数字经济发展的亮点

中国的数字经济发展有很多亮点和特色，在2023年春季首届中国数字经济发展和治理学术年会上，清华大学经济管理学院院长、弗里曼讲席教授白重恩分享了他的想法。

数字经济发展中最大的亮点就是消费互联网。消费互联网全球最大企业中，中国企业占到了非常重要的分量，这几年地位稍微有一点点下降。从消费互联网发展特征和趋势来看，当然有很多因素驱动，例如中国的消费互联网企业善于创新。但是，中国的大市场为我们的数字经济发展提供了独特的、优良的条件。曾经全球最大的十个平台企业中，中国有五个，美国有五个，这两个国家都是大市场。

中国的大市场规模在消费互联网里面体现得淋漓尽致。但在工业互联网中，因为每个产品个性化很强，不是像消费互联网那样，一个产品消费者都同样需求，因此规模优势不容易发挥出来，导致规模优势带来的全球融资吸引力不够。

人工智能方面，也应该值得讨论。国内有优势，一是政府创造了很多需求，比如智慧城市的发展。二是消费者热情创造了很好的条件，人工智能企业有大量学习的机会。

https://mp.weixin.qq.com/s/25k1h85J2xYAovbaPGztcg

2、王建冬：全国统一数据大市场下创新数据价格形成机制的政策思考

当前，在我国构建数据基础制度、加快推动形成全国统一数据大市场的大背景下，如何构建适配数据要素市场化配置需求的价格形成机制，成为当前经济社会改革的热点问题。研究发现：数据要素价格形成机制可从三个层面分别加以论述：首先，数据资源化层面，数据价格形成以成本法为导向，其主要影响因素包括采集、整理、加工数据的成本，以及数据质量和数据隐私含量等方面；其次，数据资产化层面，数据价格形成以收益法为导向，重点是在明确数据用途和用量的基础上，通过交易场所或第三方机构释放数据模型贡献度等价格信号，由各方主体在充分竞争和博弈中形成价格共识；最后，数据资本化层面，数据价格形成以市场法为导向，重点围绕数据证券化和数据股权化两方面，参考技术市场等成熟经验逐步完善估值、入表、参股等相关制度体系。未来，应充分结合我国国情和数据要素特殊规律，逐步建立并完善可以有效反映市场供需关系的数据价格生成机制。

https://mp.weixin.qq.com/s/ArnnRUiYKXBIPqBRVITRuA

3、吴文化：人工智能显露出对网络安全行业的巨大影响和应用潜力

5月7日的“2023年西湖论剑·数字安全”大会上，国家信息中心党委专职副书记、纪委书记吴文化致辞表示，近年来，全球人工智能产业呈现蓬勃发展势头，已经成为新一轮科技革命和产业变革的重要驱动力量，与此同时，人工智能也显露出了对网络安全行业的巨大影响和应用潜力，可谓机遇与挑战并存。

对此他提出三点建议：

一是注重创新引领，抢占人工智能技术新高地。要充分发挥政府引导、市场主体的作用，加强人工智能技术的前瞻性研究和核心技术突破，强化联合攻关，推动构建人工智能技术协同创新体系，营造良好的人工智能创新生态环境。

二是强化需求导向，促进人工智能高水平应用发展。借力我国“大应用”市场优势，推动人工智能与各行业应用场景的“先行先试”和深度融合，在重大应用场景中锤炼技术，提升成熟度，形成一批能解决实际问题、具有国际竞争力的人工智能应用产品。

三是夯实安全基础，坚持安全可靠和创新发展并重。应提升人工智能安全风险识别和预判能力，鼓励开展人工智能安全风险评估，为人工智能产品和应用落地提供多维度安全保障，提高人工智能产业链、供应链的韧性和安全水平，实现人工智能发展与安全良性互动、互为支撑、协同推进。

http://www.sic.gov.cn/News/79/11925.htm

4、ChatGPT：是崛起的AI攻击之矛，还是万能的网络安全之盾

随着ChatGPT发布，人工智能领域热潮再次被点燃，引起工业界、学术界及各国政府的纷纷关注，不断推出新的大语言模型，一方面加大本国在人工智能的研究力度，另一方面讨论大语言模型应用的各种潜在问题。文章提出四个方面的观点，解读大语言模型时代网络安全攻防进化的机遇与挑战。

观点1：从政策和技术两方面保证类ChatGPT应用的数据边界安全。

从技术角度考虑，如果要满足大语言模型应用的数据安全合规性，需要在以下几个方面做出改进：

模型私有化部署：私有化（即本地化）部署是满足企业用户在使用大语言模型应用时数据不出网、不被滥用的主要方法之一，这个部署包括了提供可以进行模型微调（Fine-Tuning）在内的算力环境。由于大语言模型的生成效果也取决于训练时的语料数据，在专业性很强的垂直领域要达到更好的生成效果，也是需要提供语料来优化模型，因此大语言模型的私有化部署是让数据在企业内形成内部循环来持续优化模型的可行方法。

对于云端提供的大语言模型中数据的使用过程进行第三方审计：可以从数据的输入、存储和使用等环节提供第三方的系统来进行数据安全合规性的监控和审计。如通过调用大语言模型提供的API来自己提供Chat接口，并对聊天过程中输入的数据进行合法合规性审计；在线存储的用户对话数据必须进行加密存储；对被用于模型迭代更新的用户数据进行合规性审计后才可以使用。

观点2：大语言模型赋能攻击可能引发新的网络入侵潮。

大语言模型的自动化生成能力将大大提升安全入侵的效率、降低安全入侵的技术门槛、提升安全入侵自动化能力、降低高级安全入侵的实施成本，国内受到网络安全法的震慑，相关安全事件发生会受到一定制约，但来自国外的个人和小团体攻击将有可能迎来一波大幅的提升。

ChatGPT使得使用钓鱼邮件进行社会工程攻击变得更容易、更高效、更不易被发现。通过AIGC能力能够快速批量生成不同表达方式的钓鱼邮件，并且利用ChatGPT的角色扮演能力，能够轻易以不同角色的身份来撰写，这些邮件的内容和口吻更加真实，使得分辨难度大大提高。

观点3：大语言模型赋能安全防御可以帮助专家节省时间，但没有赋能安全攻击更有威力。

与安全攻击的不同点在于，安全攻击只要找到任何一个突破点就能够取得攻击成果，而安全防御则需要尽可覆盖所有场景才能够防御成功。因此大语言模型在自动化生成能力方面对安全防御的加成远小于对安全攻击的加成。大语言模型在以下5个方面对安全防御能力提供了能力加成：

①安全运营管理过程中的代码生成：包括检测脚本生成、安全设备配置策略下发命令生成、日志范式化正则表达式自动生成，以及检测脚本代码在各种不同版本编程语言间的自动化转化、安全配置策略命令在不同品牌安全产品间的自动转换等；

②代码安全：包括针对代码漏洞、注入点和内存泄漏点的自动化检测和审计，自动化生成代码安全问题的修复建议；

③安全模型训练数据增强：如通过批量产生垃圾邮件、钓鱼邮件来增强训练样本，批量生成弱口令样本等；

④安全运营知识获取：包括如获取安全分析方法、获取安全分析工具信息、获取漏洞情报和威胁情报等；

⑤自动化安全分析和响应：通过大语言模型进行安全运营的多意图理解，并通过API驱动接入的安全设备和系统完成包括安全事件调查、安全分析脚本推荐、安全事件响应剧本生成、攻击溯源图生成、攻击脚本和恶意代码解读、威胁情报关联、安全分析总结和报告生成等。

观点4：需要尽快推出面向AI算力平台安全、大语言模型第三方应用接入安全相关的安全标准和规范以及研发相关的安全产品和方案，为大语言模型发展护航。

基于大语言模型的全球性科技竞争由ChatGPT引爆，AI厂家纷纷抢占先机。但现有相关的法律法规和行业标准都还不能支撑大语言模型应用落地后的安全合规的发展。尽快提出有效针对大语言模型应用的数据边界问题的解决方案是大语言模型应用落地的当务之急。

同时，大语言模型技术对网络安全的影响既有正面也有负面，但总体来看负面影响大于正面影响，这为网络安全提出了很大的挑战，同时也为网络安全在AI领域开辟了一块全新的市场空间。大语言模型的基础设施安全和扩展应用安全也是不可忽略的两个方向，同时也是两个新的网络安全领域的发力点。

https://www.venustech.com.cn/new_type/sdjd/20230505/25544.html

5、Privacy vs. Security：隐私保护与数据安全的关系

数据安全是保护数据免受未授权访问或者恶意攻击，而隐私保护重点在于负责任地使用个人数据。

数据安全主要侧重于防止漏洞或泄漏事故导致未经授权访问数据。为了实现这一目标，公司使用工具和技术，如防火墙、用户身份验证、网络访问限制和内部安全措施来阻止此类访问。再比如令牌化和加密等安全技术，通过使数据不可读来进一步保护数据，在发生数据泄露的情况下阻止入侵者访问/使用数据。

隐私保护关注的是确保组织合规地收集、存储、传输和处理个人数据。隐私保护尤其需要保证透明度，在收集数据之前告知个人或者根据法律要求征得同意。这意味着提前告知个人将收集哪些类型的数据，用于什么目的，以及将与谁共享这些数据，之后公司根据其既定目的处理数据，如有新的变化，则需要另行告知或取得同意。同时，负责任的使用个人数据，也意味着需要确保数据安全措施到位，从这一点来说数据安全是保证隐私安全的重要组成部分。

隐私保护主要关注个人数据如何被使用和控制，而数据安全则是保护这些数据的保密性、完整性和可用性。数据安全目标可以不考虑隐私问题，但实现隐私保护必须同时保证数据安全。

https://www.secrss.com/articles/54404

1、网络安全公司 Dragos 遭受勒索软件攻击，拒绝支付赎金

5月11日，据外媒披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。

Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统，但并无证据表明攻击者破坏了内部网络系统和网络安全平台。

该事件起因是由于网络攻击者利用了一名 Dragos 销售员工个人信息，完成员工入职过程中的初始流程（该名员工入职前泄露了包括电子邮件在内的个人信息），以获得了访问销售部门新员工可以使用的资源的权限。

https://www.freebuf.com/news/366207.html

2、美国圣贝纳迪诺警局遭遇勒索病毒攻击，被迫支付110万美元赎金

5月7日报道，在 4 月初勒索软件攻击感染其系统后，圣贝纳迪诺县治安部门选择支付 110 万美元的赎金。该勒索软件攻击迫使警察局暂时关闭了部分系统，以防止威胁蔓延。受影响的系统包括电子邮件、车载计算机和一些执法数据库。

据《洛杉矶时报》报道，圣贝纳迪诺县支付了赎金总额的一半（511,852 美元），其余部分由保险公司承担。支付赎金是为了“恢复系统的全部功能并保护与违规行为有关的任何数据。” 尽管 FBI 和执法机构一直建议不要在这些攻击中支付赎金，但在这种情况下，该部门选择支付赎金的可能性很大，因为他们没有其他方法来恢复加密系统或避免泄露敏感数据。

https://securityaffairs.com/145892/cyber-crime/san-bernardino-county-sheriff-paid-ransom.html

3、瑞士跨国科技公司 ABB 遭 Black Basta 勒索软件攻击，严重影响其业务运营

据报道，行业领先的电气化和自动化技术提供商瑞士跨国公司ABB近日遭遇了Black Basta勒索软件攻击，影响到了其业务运营。

ABB总部位于瑞士苏黎世，该公司为制造业和能源供应商开发工业控制系统(ICS)和SCADA系统。该公司与很多客户和地方政府合作，包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。

5月7日，Black Basta勒索软件对ABB发起了攻击。有多名员工称，勒索软件攻击影响到了该公司的Windows Active Directory，并波及到了数百台设备。遭到攻击后，ABB中断了与客户的VPN连接，以防止勒索软件传播到其他网络。这次袭击导致该公司的不少项目被推迟，扰乱了该公司的运营及工厂生产周期。

https://hackernews.cc/archives/43915

4、LockBit 3.0泄露了从印度银行窃取的600GB数据

5月9日报道，LockBit 3.0勒索软件组织于5月8日泄露了从印度银行Fullerton India窃取的600 GB关键数据，两周前该组织向该公司索要300万美元的赎金。

Fullerton India在印度经营着699家分支机构，为大约210万客户提供上门信贷服务。LockBit 3.0勒索软件组织很快在其数据泄露网站上将Fullerton India列为受害者，称其窃取了超过600GB的“与个人和合法公司签订的贷款协议”。

网络犯罪研究员称数据泄露的发生是由于Fullerton India 拒绝与勒索软件组织合作，导致该组织采取三重勒索策略迫使该公司付款。

https://www.anquanke.com/post/id/288626

5、朝鲜黑客侵入首尔主要医院窃取数据

5月10日，据外媒报道，韩国国家警察厅 (KNPA) 警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络，以窃取敏感的医疗信息和个人详细信息。

根据执法机构的新闻稿，根据以下信息将此次攻击归因于朝鲜黑客：入侵技术、与朝鲜威胁行为者独立关联的 IP 地址、网站注册详情、特定语言和朝鲜语词汇的使用。韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。

警方表示，该事件导致 831,000 人的数据泄露，其中大多数是患者。此外，受影响的人中有 17,000 人是现任和前任医院员工。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/?&web_view=true

6、英国最大外包公司云泄露655GB数据，客户包括多个部委政府

5月8日消息，外媒TechCrunch获悉，英国外包巨头Capita大量数据暴露在互联网上，持续时间长达7年。此前数周前，该公司还承认发生了一起可能影响客户的数据泄露事件。

一位安全研究人员向TechCrunch提供了一个未受保护的亚马逊AWS存储桶，并表示，此AWS存储桶自2016年以来一直暴露在互联网上，其中存放着约3000个文件，总大小为655 GB。存储桶未设置任何密码，因此任何掌握了网址的人都能访问到文件内容。

根据媒体看到的文件名样本，暴露的数据包括软件文件、服务器镜像、大量Excel电子表格、PowerPoint演示文稿以及文本文件。这位安全研究人员还表示，其中一个文本文件中包含Capita某个系统的具体登录信息；另外，从某些文件名中可以看到，直到今年还有数据被上传到这个暴露在外的存储桶内。

https://www.secrss.com/articles/54447

7、NextGen Healthcare 遭遇数据泄露，影响超过 100 万人

5月8日，据外媒报道，医疗保健解决方案提供商 NextGen Healthcare 遭受数据泄露事件，暴露了大约 100 万人的个人信息。

根据通知，数据泄露事件于 4 月 24 日被发现。该公司立即展开调查，并确定威胁行为者在 2023 年 3 月 29 日至 4 月 14 日期间访问了公司的系统。泄露的数据中包含的个人信息包括客户姓名、出生日期、地址和社会安全号码。

https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-deploy-trigona-ransomware/

8、微星固件签名私钥泄露，影响整个PC生态系统

5月9日，据报道，微星（MSI）拒付赎金后，其固件签名私钥和英特尔的OEM私钥遭勒索软件组织泄露，包括联想、英特尔、微星、超微等多家PC设备和半导体巨头受到影响。

微星国际（MSI）是一家开发和销售计算机和计算机硬件的跨国公司。该公司在4月初证实遭Money Message勒索软件组织攻击，后者宣称已经窃取了该公司的一些源代码，并要求微星支付400万美元用于赎回或删除泄露数据。

近日，Money Message集团表示，由于微星选择拒绝支付赎金，已经开始发布被盗的微星数据。固件供应链安全公司Binarly分析了已经公开泄露的源代码，发现其中包含了57个微星用的固件映像的私有代码签名密钥，以及116个微星产品上使用的Intel Boot Guard的私有签名密钥。攻击者可以用这些私钥签署其他恶意负载，从而有效地绕过防病毒解决方案。

https://www.secrss.com/articles/54468

9、丰田超200万用户信息泄漏长达10年

近日，丰田汽车公司披露的数据泄露事件使200多万客户的信息暴露了长达十年之久。

据悉，丰田汽车公司披露了一起数据泄露事件，暴露了2013年11月6日至2023年4月17日期间215万名客户的汽车定位信息。该数据泄露事件是由一个数据库的错误配置引起的，任何人都可以在没有认证的情况下访问。由于长达10年的数据泄露而暴露的数据包括车辆识别号、底盘号和车辆位置信息。

https://mp.weixin.qq.com/s/vYSCkDcI7ZoxBFx7Zuwc-Q

10、法国旅游公司泄露 9 万名徒步旅行者的个人信息

5月5日报道，Cybernews 研究团队发现法国旅游公司 La Malle Postale 系统的数据泄露事件，该系统暴露了其客户的个人数据，泄露的信息包括姓名、电话号码、电子邮件、通过 SMS 消息进行的私人通信、密码和员工凭证。

早在1月11日，Cybernews 研究团队就发现了一个可公开访问的数据存储，其中包含超过 4GB 的属于该公司客户的个人数据。泄露的个人数据包括近 90,000 名客户的姓名、电子邮件和电话号码。该数据存储还包括公司与其客户之间发送的 13,000 多条 SMS 消息。此外，研究人员还偶然发现了 70,000 个客户凭证，尽管泄露的密码不是纯文本形式，但它们是使用易于破解的 WordPress MD5/phpass 哈希算法进行哈希处理的。

https://cybernews.com/security/la-malle-postale-data-leak/

11、大都会歌剧院客户银行卡详细信息被盗，涉及超过4万名客户

5月5日消息，在一家总部位于纽约的美国歌剧公司 (the Met) 成为了网络犯罪分子的目标，经调查，其超过45，000名客户受到影响，他们的个人财务数据被盗。

调查显示，恶意行为者在 2022 年 9 月 30 日至 2022 年 12 月 6 日期间获得了对 Opera 部分系统的访问权限，并窃取了客户数据。黑客能够从网络中获取敏感信息，其中包括金融帐号和信用卡/借记卡号码，以及安全代码、访问代码、密码和帐户 PIN。

https://cybernews.com/news/metropolitan-opera-cyberattack-data-leak/

12、遭受网络攻击的安大略学区发现更多信息被盗

5月10日，据外媒报道，加拿大安大略省的休伦苏佩尔天主教区学校委员会已致信学生，告知他们的个人信息在 2022 年 12 月 15 日首次公布的网络攻击中遭到泄露，该攻击最初破坏了该校董事会网站以及公共广播系统和电子邮件等。

据调查，该校董事会已向学生道歉并告知被盗信息包括出生日期、安大略省教育编号、学生成绩信息、公民身份、出生国和其他移民相关信息。

https://www.itbusiness.ca/news/ontario-school-district-hit-by-cyber-attack-discovers-additional-info-stolen/125003?web_view=true