《全球数据安全观察》第137期

1、《国务院2023年度立法工作计划的通知》印发

6月6日，国务院办公厅关于印发《国务院2023年度立法工作计划的通知》国办发〔2023〕18号。其中，拟提请全国人大常委会审议保守国家秘密法修订草案；预备提请全国人大常委会审议电信法草案、人工智能法草案；拟审议商用密码管理条例、未成年人网络保护条例、网络数据安全管理条例；预备制定政务数据共享条例。

https://www.gov.cn/zhengce/content/202306/content_6884925.htm

2、《个人信息出境标准合同备案指南（第一版）》发布

5月30日，国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》，对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。

http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

3、国家密码管理局关于《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》公开征求意见

6月9日，国家密码管理局对《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》进行公开征求意见。

http://www.sca.gov.cn/sca/hdjl/2023-06/09/content_1061072.shtml

4、《山西省政务数据安全管理办法》印发

近日，山西省人民政府办公厅印发《关于印发山西省政务数据安全管理办法》，从安全制度、安全管理、安全保障以及安全责任等几个方面对山西省政务数据提出要求。

https://www.shanxi.gov.cn/zfxxgk/zfxxgkzl/fdzdgknr/lzyj/szfbgtwj/202306/t20230602_8663910.shtml

5、《上海市电信和互联网行业首席数据官制度建设指南 (试行)》印发

6月6日，上海市通信管理局印发《上海市电信和互联网行业首席数据官制度建设指南 (试行)》，从企业CDO制度的建立、企业CDO的职责、企业CDO的职责、企业CDO备案机制4个方面提出主要任务，以落实“浦江护航”数据安全专项行动任务要求。

https://mp.weixin.qq.com/s/djM0eJxHve4-ia-8-lkGuQ

6、《四川省企业首席数据官制度建设指南（试行）（征求意见稿）》发布

5月30日，四川省经济和信息化厅就《四川省企业首席数据官制度建设指南（试行）（征求意见稿）》向社会征求意见。征求意见稿中从建设原则、各方职责、岗位设置、岗位职责以及考核和奖惩几个方面提出了首席数据官建设要求。

https://jxt.sc.gov.cn/scjxt/ggtz/2023/5/30/08a7f52e1e474ff7a5394669c7e7af32.shtml

7、《北京市促进通用人工智能创新发展的若干措施》印发

5月30日，北京市人民政府办公厅印发《北京市促进通用人工智能创新发展的若干措施》，提出提升算力资源统筹供给能力、提升高质量数据要素供给能力、系统构建大模型等通用人工智能技术体系、推动通用人工智能技术创新场景应用、探索营造包容审慎的监管环境5项措施推动本市通用人工智能实现创新引领和理性健康发展。其中在监管环境要求中明确指出要加强网络服务安全防护和个人数据保护、持续加强科技伦理治理。

https://www.beijing.gov.cn/zhengce/zhengcefagui/202305/t20230530_3116869.html

8、《深圳市加快推动人工智能高质量发展高水平应用行动方案（2023—2024年）》印发

6月2日，中共深圳市委办公厅、深圳市人民政府办公厅印发《深圳市加快推动人工智能高质量发展高水平应用行动方案（2023—2024年）》。方案提出要强化智能算力集群供给、增强关键核心技术与产品创新能力、提升产业集聚水平、打造全域全时场景应用、强化数据和人才要素供给。

http://ssia.org.cn/page61?article_id=854

9、中国证券业协会印发《证券公司网络和信息安全三年提升计划（2023-2025）》

近日，中国证券业协会印发《证券公司网络和信息安全三年提升计划（2023-2025）》，阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。计划围绕国家关于网络和信息安全的具体要求，聚焦提升行业科技治理和信息系统架构掌控能力，聚焦防范网络和信息安全风险，明确六类31项主要任务要求，形成32项具体任务清单。

https://www.sac.net.cn/ljxh/xhgzdt/202306/t20230609_60404.html

10、《网络安全标准实践指南—网络数据安全风险评估实施指引》发布

5月29日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—网络数据安全风险评估实施指引》，给出了网络数据安全风险评估的评估思路、工作流程和评估内容，围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面制定了数据安全风险评估内容框架。

https://www.tc260.org.cn/front/postDetail.html?id=20230529155314

1、Verizon发布2023 年度数据泄露调查报告

6月6日，Verizon发布了第16份年度数据泄露调查报告DBIR（2023 Data Breach Investigations Report）。DBIR是网络安全行业最受期待的报告之一，因为它基于对大量现实世界事件的分析。在2023 DBIR中，Verizon分析了16,312起安全事件和5,199起数据泄露事件，核心发现如下：

（1）对于网络犯罪分子来说，社会工程攻击通常非常有效且利润丰厚。

（2）勒索软件持续成为数据泄露中出现最频繁的行动类型之一，尽管其实际增长并不明显，但其在统计上保持了24%的比例。勒索软件已经普遍存在于各种规模和各个行业的组织中。

（3）74%的泄露事件是人为因素造成的，包括人为错误、滥用特权、使用被盗凭证或社会工程。83%的泄露事件涉及外部行为者，攻击的主要动机仍然绝大多数是财务，占其中的95%。

（4）攻击者访问组织的三种主要方式是窃取凭据、网络钓鱼和利用漏洞。

https://www.secrss.com/articles/55432

2、IDC：2026年中国数字化转型支出规模预计超过6000亿美元

IDC最新数据显示，到2026年，中国数字化转型支出规模预计超过6000亿美元，五年复合增长率将达到17.9%，增速位于全球前列。

硬件主导中国数字化转型支出，但软件和云部署模式支出增长更快。在中国数字化转型支出中硬件支出在五年预测中占比最大，未来五年接近五成投资份额将流向硬件市场。中国发改委公布的《关于数字经济发展情况的报告》指出我国应适当提前布局数字基础设施，夯实中国数字经济发展的基础。加强数字基础设施布局如传统基础设施数字化、智能化改造，提高应用基础设施水平，系统优化算力等规划已成为硬件支出的重要投资方向。IDC预计，到2026年中国数字化转型硬件市场支出将超过3000亿美元。

此外，软件市场增长最高。2021-2026年软件市场五年复合增长率（CAGR）超过20%，增速超过数字化转型整体增速的30%。IDC定义下的软件市场主要由应用开发与部署（Applications Development and Deployment）、应用（Applications）、系统基础架构软件（System Infrastructure Software）等软件市场组成。

https://www.secrss.com/articles/55491

3、IDC：2023第一季度中国IT安全硬件市场规模约33.5亿元

IDC《2023年第一季度中国IT安全硬件市场跟踪报告》显示，2023年第一季度中国IT安全硬件市场厂商整体收入约为33.5亿元人民币（约合4.9亿美元），同比增长7.8%。

IDC定义下的网络安全硬件市场分别由统一威胁管理 (UTM)、基于UTM平台的防火墙 (UTM Firewall) 、安全内容管理（SCM）、入侵检测与防御 (IDP)、虚拟专用网（VPN）、传统防火墙 (Traditional Firewall) 构成。

总体来看，2023年第一季度中国网络安全硬件市场数据表现如下：

（1）基于UTM平台的防火墙市场规模仍保持第一，2023年第一季度总体市场规模约为11.4亿元人民币；

（2）全行业客户对远程办公接受度有所提高，疫情过后对VPN的部署需求仍然存在。同时，在“密评”等合规政策的加持下，中国VPN市场同比增速达到11.4%；

（3）政府、金融、运营商三大行业用户仍为网络安全硬件的投资主力。教育、医疗、制造、交通等行业在政策利好以及自身需求的拉动下，展现出新的需求点。

https://www.secrss.com/articles/55492

4、2023 OWASP API 安全 Top 10正式发布

2023年6月5日，OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年。

API1:2023-Broken Object Level Authorization 对象级别授权失效。

API2:2023-Broken Authentication 认证失效。

API3:2023-Broken Object Property Level Authorization 对象属性级别授权失效。

API4:2023-Unrestricted Resource Consumption 不受限的资源消耗。

API5:2023-Broken Function Level Authorization 功能级授权失效。

API6:2023-Unrestricted Access to Sensitive Business Flows 不受限访问敏感业务流。

API7:2023-Server Side Request Forgery 服务器端请求伪造。

API8:2023-Security Misconfiguration 安全配置错误。

API9:2023- Improper Inventory Management 存量资产管理不当。

API10:2023-Unsafe Consumption of APIs API的不安全使用。

https://mp.weixin.qq.com/s/9jQ1C-oINOi3cyoeHJB7sA

5、之江实验室发布《生成式大模型安全与隐私白皮书》

生成式大模型如ChatGPT已经在学术研究和社会生活中带来了重大变革，显示了通向通用人工智能的潜力。然而，研究人员也意识到生成式大模型面临数据和模型安全隐患。美国白宫与谷歌、微软、OpenAI、Anthropic等公司的CEO们召开会议，讨论AI生成技术的风险和负责任开发，制定有效监管措施。国内的生成式大模型技术也在发展，但需同时关注安全问题，避免潜在危害。之江实验室的人工智能与安全团队发布了ChatGPT安全与隐私问题白皮书，旨在为技术人员提供指导，并为AI政策制定者提供依据。

https://mp.weixin.qq.com/s/lX7oI7_VBVCBcWkimjOoVA

1、白小勇：密码安全一体化，打造实战型数据保护

2023年6月9日，以“创新·应用”为主题的2023密码丰会在北京丰台成功召开。炼石创始人、CEO白小勇受邀出席，并发表《密码安全一体化，打造实战型数据保护》的主题演讲。

法律法规培育密码产业肥沃土壤。近年来，在国家“十四五”规划、二十大报告战略指引下，《网络安全法》《密码法》《数据安全法》《个人信息保护法》相继施行，“四法四例四规”配套规章细化到省部级、技术标准细化到场景级。尤其是2023年4月14日，《商用密码管理条例》（简称“《商密条例》”）由国务院常务会议审议通过，自2023年7月1日起施行。密码法规体系健全完善，有力推动全行业推广密码应用。

实战与合规辩证推动基于密码安全一体化的数据保护发展。从技术实战来看，安全建设呈现“一实战、双合规”的辩证统一，密码技术贯穿始终。不论是攻防演练还是合规整改，本质上是解决实战对抗的问题，所以实战是检验数据安全能力的唯一标准。但是，实战对抗对应着偶发的、高技术水平的对抗风险，对于绝大部分企业来说，难以具备持续性的资源投入应对。而合规建设可将这种对抗性风险转变成常态的、可重复验证、可被审计的非对抗风险，合规更容易被复制推广。当然，合规需求也是来自于实战的最佳实践，实战与合规的需求是辩证统一的。在炼石看来，数据安全合规分为过程合规和结果合规。从过程看，密码作为一种直接作用于数据的技术手段，合规、正确、有效地使用密码技术，可以满足《密码法》等法定要求的“数据安全过程合规”。从结果看，DSM数据安全管理认证、PIP个人信息保护认证等是《数据安全法》《个人信息保护法》以及配套法律法规的落地手段，体现了“数据安全结果合规”。

免改造安全技术打造实战型数据保护。在炼石多年实践应用中，发现密码应用最大痛点在于，安全机制和业务处理纽结缠绕、难以改造。对此，炼石创新打造免改造数据安全技术，无需开发改造应用代码，面向复杂应用系统可以快速实施密码安全一体化的全面数据保护，重构数据防护边界，实现防绕过的数据安全机制。

2、张震宇：强化数字要素世界的保障能力，全面构筑安全堡垒

随着产业数字化与数字产业化所带来的场景和需求日益复杂和深化，数字安全已经成为影响企业数字化建设的最主要安全问题。数字安全除了关注内部信息和操作技术外，还关注整个数据流转所带来的风险以及场景化的痛点、难点。

领信数科CEO张震宇表示，数字安全要匹配数字化全流程、场景化发展的系统化顶层设计，更好统筹安全和发展。数字安全时代，有两类新技术将引领时代的发展。一类是围绕数据的授权使用，另一类是数据的可用不可见。其中，“数字身份”的概念将越来越趋向于脱虚入实，未来社会的公民既是实体自然人，也是映射到数字世界的“数字人”。如今，数字身份已经拥有非常广泛的范围，可以是个人的身份信息，如用户名、密码、指纹、面部识别等，也可以是组织的身份信息，如数字证书、访问令牌等。通过身份认证，系统可以确认用户的身份，并基于其数字身份进行适当的授权和访问控制，以保护数字资源的安全性和完整性。另一方面数据可用不可见，目前世界上主流采用的技术就是隐私计算技术，其中隐私求交、匿踪查询和联邦学习是隐私计算的关键概念。随着中央提倡数据经济，探索数据交易。数据可用不可见逐渐成为刚需。

随着 ChatGPT等给人工智能新技术的快速落地，数字安全面临的挑战愈加多元。随之而来的数字安全需求具有场景化、流动性、更泛化的业务原生安全需求，市场呼唤更具创新实力、与时俱进的数字安全企业。张震宇认为，数字安全企业不仅要能应对人工智能带来的安全威胁，更应该利用人工智能来解决数字安全问题。

https://www.youxia.org/2023/06/107961.html

3、王一鸣：数字经济四大发展趋势

当前，随着新一轮科技革命和产业变革的深入发展，网络互联的移动化、泛在化，信息处理的高速化、智能化，计算技术的高能化、量子化，推动数字技术与实体经济全方位、全要素、全链条融合发展，正在重新定义产业生态，重塑数字经济发展格局。从这个意义上说，推动数字经济高质量发展，需要把握数字经济发展的新趋势和新特征。

人工智能正在成为数字经济发展的新引擎。从生成式人工智能ChatGPT的诞生，可以看出人工智能在向各个领域广泛渗透，应用场景日趋多元化，必将催生智能制造的新模式新业态。而5G的规模化应用，使得人工智能的发展动能更加强劲，为我国数字经济创新发展模式，开辟了更为广阔的前景。

数字化转型正在由消费领域向生产领域扩展。随着新一代数字技术向制造领域的渗透扩散，先进的传感技术、数字化设计制造、机器人与智能控制系统日趋广泛地运用，制造业的研发设计、生产流程、企业管理，乃至用户关系，都呈现了智能化发展趋势。

基于工业互联网的产业生态正在加快构建。制造业的数字化转型深入推进，促进了生产组织和社会分工向网络化、扁平化、平台化转变，也推动了工业互联网的产业生态加快形成。目前我国已基本形成了“综合型+特色型+专业型”的工业互联网平台体系。

数字技术赋能传统产业绿色低碳转型。数字技术与能源技术的融合，推动了化石能源的清洁化、清洁能源的规模化和能源服务的智能化，促进了能源技术向绿色低碳和智能化方向发展，加快了能源结构从高碳向低碳转变。

https://mp.weixin.qq.com/s/dOgq8ozFpDVPsc2ClVmXxQ

4、李振华：数据要素流通与数字技术支撑

当前，在数据要素流通过程中面临很多挑战。第一是数据不敢流通，即数据在流通、共享时是否安全合规。第二是数据不会流通，即在数据流通中使用技术的门槛非常高。第三是数据流通成本高，即现有数据流通技术使用成本较高。

要想破解前述三大挑战，让数据安全、合规、高效地流通起来，一方面需要制度创新，另一方面需要数字技术行业的发展。在制度创新方面，已经推出的“数据20条”是一个非常好的起点，数据20条中提出了数据的三权分立原则，即把持有权、加工使用权和经营权进行分离，淡化所有权问题，这为制度性解决数据相关难题奠定了非常好的基础。接下来，很重要的，就是通过数字技术行业的发展，支撑相关制度的落地和数据要素安全、合规、高效地流通起来。

在数据流通相关的数字技术中，数据密态和跨域管控技术体系发展是关键。数据流通，核心不是自己使用，而是对外开放提供和利用，那么如何有效保障提供方的权益，消除安全隐患，从而让数据持有者愿意把数据开放出来让外部使用，就极为关键。

未来，数据技术行业的发展，应该是“三步走”战略，逐步突破相应卡点：第一步是让大家“敢用”数字技术，消除合规不确定性；第二步是让技术“好用、易用”，降低使用门槛，丰富整个技术行业生态；第三步是让更多的人用得起，不断降低成本，最终实现全行业“会用易用，渐进普惠”。

https://mp.weixin.qq.com/s/UTGQzX11mX-5A3XDrABZ7A

5、王丹阳、侯宁：数据要素市场建设中的企业数据合规分析

随着立法的不断完善，我国数据合规监管越来越深入和细致，覆盖范围也越来越广泛，整体呈现趋严态势。

APP监管呈现深入细致的趋势。各部委公开的通报体现了以下特点：监管主体增加，从统一通报到专项通报，监管重点逐渐深入细致。

数据出境监管体系初步形成。2021年，《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》正式实施，加上2022年生效的《数据出境安全评估办法》以及一系列配套规范等，初步形成了我国数据出境监管体系。

企业合规不起诉制度在数据领域落地实施，极大地提升了企业主动提高自身数据合规能力的积极性，强化了数据合规工作在减轻刑事责任风险方面的重要性。

然而，由于立法更新迅速、实施细则缺失等原因，企业数据合规工作面临着一系列挑战。主要包括以下方面：

（1）监管指引不足，合规要求难以落实。

（2）企业整改被动盲目，合规成本难以负担。

（3）企业内部权责难定，合规工作难以推进。

“数据二十条”的出台为企业提升数据合规能力释放了更强烈的信号。企业若想提升自身的商业竞争能力，充分参与数据要素市场建设，借数据要素市场建设之东风促进自身发展，可以参考以下思路尽快提升自身的数据合规能力。

（1）抓紧落实数据分类分级。

数据的分类分级不仅对数据安全保护策略的制定和实施具有重大意义，在企业数据合规的其他方面也具有基础性作用，企业亟需探索和实施符合本企业经营特点和需求的数据分类分级制度。企业可以先依据现有指引做好自身的数据分类分级，对所掌握的数据类型、体量、使用目的等有清楚的认知，以便能够在未来相关规则和制度明确之时快速调整和匹配合规要求，缩短合规整改窗口期。

（2）加强数据来源合法合规审查。

若数据来源的合法性无法保证，则后续的数据处理和使用就如同食用“毒树之果”，将带来重大的合规隐患。“数据二十条”提出的建立合规高效、场内外结合的数据要素流通和交易制度，进一步凸显了数据源合规的重要性。

参考《可信数据服务 金融机构外部可信数据源评估要求》，企业可以从数据本身和数据提供方两个方面重点判断。首先，针对数据本身，企业应当判断数据获取来源是否真实、合规、可追溯，数据获取方式是否为合法渠道，尤其关注爬取数据的合法性；同时，数据通过授权获取的，应当判断授权是否完整，尤其针对个人信息的授权应当根据相应的法律要求判断授权是否充分知情、自愿，是否取得单独或书面同意等。其次，通过数据提供方的一些基本情况，也可以辅助判断数据来源是否存在潜在风险，如数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历等；此外，对数据提供方的数据供应能力的审查也至关重要，如相关业务流程、内部管理制度、技术能力、硬件设备、配套服务、合规安全保障能力等。若企业对数据本身的判断较为模棱两可，那么结合数据提供方自身情况进行综合判断，可以帮助企业更加准确地判断数据来源的合法、合规性，最大程度避免合规风险。

（3）培养企业数据合规能力常态化提升意识。

将企业数据合规能力至少可以进一步分为数据合规基础能力、数据合规通用能力和数据全生命周期合规能力。其中，数据合规基础能力可以从数据合规的机构设置和人员安排、企业层面整体的工作规划和方案、数据合规技术工具的使用等方面进行完善和提升，从企业管理的角度为数据合规工作的开展奠定基础；数据合规通用能力建设则包括数据合规风险识别、数据分类分级、个人信息主体权利保障、网络安全和数据安全、合作方管理以及员工个人信息保护等方面，要基本涵盖法律法规对于企业数据合规的通用要求；数据全生命周期合规能力则要结合企业相关业务开展的情况，从数据的收集、存储、使用、加工、传输、提供等各个环节匹配相关合规要求，并对每个环节进行监督和管理，同时与数据合规基础能力和通用能力相结合，共同构成企业数据合规能力体系。

https://mp.weixin.qq.com/s/F8T87jV5YGFvcR_ngT0xjg

1、FTC对亚马逊旗下Alexa和Ring的隐私侵权行为处以3080万美元罚款

6月5日报道，美国联邦贸易委员会（FTC）对亚马逊旗下的Alexa语音助手和Ring（智能门铃）安全摄像头的一系列隐私问题累计罚款3080万美元。

其中包括对违反儿童隐私法的2500万美元的罚款，因为他们永久保存了Alexa的语音记录，并阻止父母进行删除。

FTC表示："亚马逊误导父母，无限期保留儿童的录音，并无视父母的删除请求，这违反了COPPA，为了利润侵犯了隐私”。

在法院的判决中，这家零售巨头被要求删除收集的信息，包括并不活跃的儿童账户、地理位置数据和语音记录，并禁止收集这些数据来训练其算法。

2、微软预计将为领英违反GDPR一案支付超过4亿美元罚款

6月1日，微软在其官网的投资者关系板块发布一份关于爱尔兰数据保护委员会（以下简称“IDPC”）将就领英违反GDPR一案对其进行处罚的声明。

微软在声明中表示，IDPC自2018年起针对领英(和其他公司)的定向广告是否违反欧盟通用数据保护条例(以下简称为 “GDPR”)的投诉开启调查。据声明披露，IDPC在4月份向领英发送了一份非公开的初步决定草案，拟议对其处以约4.25亿美元罚款。经过审查和分析，微软决定根据当前汇率在2023财年第四季度计提约4.25亿美元的企业准备金。

https://www.secrss.com/articles/55416

3、微软为 XBOX 侵犯儿童隐私支付 2000 万美元罚款

6月6日报道，微软已同意支付 2000 万美元的罚款并更改儿童数据隐私程序，以解决联邦贸易委员会 (FTC) 对儿童在线隐私保护法 (COPPA) 违规行为的指控。

据消费者保护机构称，微软涉嫌在未征得父母同意甚至未通知父母的情况下，收集并保留注册了Xbox Live服务的儿童的个人信息。FTC 表示，在 2015 年至 2020 年间的一些确认案例中，微软将儿童数据存储在其服务器中长达数年之久，亚马逊无视家长删除孩子数据的请求，并继续使用敏感的用户信息来训练机器学习算法。

FTC近期采取密集行动来强调科技公司遵守数据隐私法规的重要性，尤其是那些处理敏感未成年用户数据的公司。

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-pay-20-million-for-xbox-children-privacy-violations/

4、南昌市网信办依法对某股份有限公司作出行政处罚

6月7日报道，2023年4月13日，江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒，主机存在受控的风险。经南昌市互联网信息办公室查明：

①该公司的OA系统和服务器内存储了大量敏感数据，但该公司履行数据安全保护义务不到位，OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；②该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。

2023年5月30日，南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对江西某股份有限公司处以警告、罚款50万元，对直接负责的主管人员处以罚款5万元的行政处罚。

https://www.secrss.com/articles/55442

5、美国HPHC遭到勒索攻击导致超过250万人的信息泄露

媒体6月1日称，美国医疗机构Harvard Pilgrim Health Care(HPHC)在4月份遭到勒索攻击，导致2550922人的信息泄露。调查发现，攻击者于3月28日至4月17日，从HPHC的系统中窃取了敏感数据，涉及姓名、地址、电话、账户信息、社会安全号码、纳税人识别号和临床信息等。此次事件影响了该机构从2012年3月28日开始注册的成员。HPHC将为受影响的个人提供信用监控和身份盗窃保护服务。目前尚无勒索团伙声称为此事负责。

https://www.bleepingcomputer.com/news/security/harvard-pilgrim-health-care-ransomware-attack-hits-25-million-people/

6、西班牙大型银行Globalcaja遭到来自Play的勒索攻击

据6月5日报道，西班牙的一家大型银行Globalcaja透露，它正在处理影响了多个办事处的勒索攻击。Globalcaja总部位于西班牙阿尔巴塞特市，管理着超过46亿美元的消费贷款。Play声称它攻击了该银行并窃取了部分信息，包括个人机密数据、客户和员工文件、护照和合同等。该机构表示，这并没有影响各实体的交易，电子银行、自动取款机和各办事处也都在正常运作。该公司没有回应关于是否交赎金的询问。

https://therecord.media/spain-globalcaja-bank-confirms-ransomware-attack

7、法国海外省疑遭勒索软件攻击，政务网络已瘫痪数周

6月6日消息，位于中美洲加勒比海的马提尼克岛遭到网络攻击，致使互联网访问与其他基础设施中断数周，目前仍在着手应对。

马提尼克岛人口约36万，隶属于法国，是欧盟最外围的地区。公告指出，此次攻击开始于5月16日，当地官员被迫隔离受影响的系统，动员网络安全专家协助逐步恢复正常运行。

Rhysida勒索软件团伙表示对此次攻击事件负责，并泄露了全部被盗文件——其中大部分似乎是政府数据。

https://www.secrss.com/articles/55383

8、BlackCat 勒索软件勒索澳大利亚商法巨头

6月9日，据外媒报道，澳大利亚律师事务所 HWL Ebsworth 向当地媒体证实，其网络遭到黑客攻击，ALPHV 勒索软件团伙开始泄露他们声称从公司窃取的数据。

HWL Ebsworth 是澳大利亚最大的律师事务所之一，年收入达数亿美元，员工超过 2,000 人。ALPHV 勒索软件团伙（也称为 BlackCat）发布了 1.45 TB 的数据，其中包含据称于 2023 年 4 月从律师事务所系统中窃取的超过一百万份文件。网络犯罪分子威胁说，如果公司不满足他们的勒索要求，他们将泄露更多文件数据。

该公司的一位发言人在 ABC 上表示，他们不会屈服于威胁行为者的勒索要求，即使这意味着他们和他们的客户将不得不承受数据泄露的严重后果。

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-fails-to-extort-australian-commercial-law-giant/?&web_view=true

9、Scrubs & Beyond泄露400GB的用户和银行卡详细信息

6月5日报道，Scrubs & Beyond以纯文本形式泄露了400 GB的用户PII和银行卡信息。该数据库于5月16日暴露，研究人员在5月25日发现，此后这些信息一直处于可公开访问的状态。目前，服务器拥有超过100000条客户记录，总计400 GB，且数据库大小和用户数量随着每天新增的信息而不断增长。泄露信息涉及姓名、电话、地址和内部凭据等个人信息，以及银行卡号、CVV代码和PayPal支付日志等财务信息。目前，该公司并未对此事作出回应，也未将该数据库保护起来。

https://www.hackread.com/scrubs-beyond-leaks-400gb-of-user-data/

10、生物技术公司Enzo Biochem近250万人的临床数据被盗

据媒体6月1日报道，生物技术公司Enzo Biochem遭到勒索攻击，导致约2470000人的临床测试信息泄露。Enzo制造和销售基于DNA的测试以检测病毒和细菌疾病，包括COVID-19和癌症。该公司在4月11日发现客户姓名和测试信息，以及约600000个社会安全号码被访问，目前没有勒索团伙表示对此次攻击负责。Enzo称已将其系统与互联网断开连接，现在仍在调查此事件。

https://therecord.media/clinical-test-data-of-enzio-biochem-stolen

11、本田被曝存在API漏洞，客户数据正处于高风险状态

6月7日，据外媒报道，由于允许为任何帐户重置密码的 API 缺陷，本田的电力设备、船舶、草坪和花园电子商务平台容易受到任何人未经授权的访问。

本田系统中的安全漏洞是由安全研究员 Eaton Zveare 发现的，几个月前他利用类似的漏洞入侵了丰田的供应商门户网站。Eaton Works 利用密码重置 API 来重置重要帐户的密码，然后在其网络上就能拥有不受限制的管理员级别数据访问权限。

因此，以下信息暴露给安全研究人员，并可能暴露给利用相同漏洞的威胁参与者：所有经销商的21,393份客户订单（包括客户姓名、地址、电话号码和订购的物品）、3,588个经销商用户/帐户（包括名字和姓氏、电子邮件地址，可以更改任何这些用户的密码）、内部财务报告等等。

https://www.bleepingcomputer.com/news/security/honda-api-flaws-exposed-customer-data-dealer-panels-internal-docs/

12、德国医疗保健招聘平台 Pflegia泄露敏感的求职者信息

6月8日报道，德国医疗保健招聘平台 Pflegia 暴露了数十万份包含敏感用户数据（例如姓名、家庭住址和电子邮件）的文件。

据称，Cybernews 研究团队发现了一个开放的亚马逊网络服务 (AWS) 云实例，其中包含超过 360,000 个文件。该团队推断暴露的文件属于 Pflegia。Pflegia 是一个德国招聘平台，为医院、疗养院、门诊服务和重症监护招聘医疗保健专业人员。

暴露的 AWS 存储桶包含数十万个包含敏感信息的文件。大多数文件都是用户提交的简历，其中包含：全名、出生日期、职业履历、家庭住址、电话号码、电子邮件地址等。暴露此类数据（归类为个人身份信息 (PII)）会给受害者带来许多危险，因为攻击者可以利用这些数据进行鱼叉式网络钓鱼攻击和身份盗用。

https://cybernews.com/security/pflegia-recruiter-data-leak/

13、英国航空公司、BBC 和 Boots 受到 Zellis 数据泄露的影响

6月6日，据外媒报道，由于对薪酬服务提供商 Zellis 的网络攻击事件，BBC 和英国航空公司员工的个人数据已被泄露和暴露。

该事件是威胁行为者通过对Zellis的第三方供应商之一MOVEit发动攻击而发生的，Zellis 为英国数百家公司提供薪资支持服务，包括英国航空公司、BBC、Boots等。

多家安全公司报告称，威胁行为者正在利用Progress MOVEit Transfer文件传输产品中的零日漏洞来窃取组织数据。MOVEit Transfer 是一种托管文件传输，企业使用它通过 SFTP、SCP 和基于 HTTP 的上传安全地传输文件。该漏洞是一个 SQL 注入漏洞，未经授权的攻击者可利用该漏洞获取对 MOVEit Transfer 数据库的未授权访问权限。

近日，Clop 勒索软件团伙宣传他们是 MOVEit Transfer 数据盗窃攻击的幕后黑手，该攻击利用零日漏洞破坏属于“数百家公司”的服务器并窃取数据。

https://securityaffairs.com/147119/data-breach/zellis-data-breach-bbc-ba.html