警察杀死 George Floyd 和 Breonna Taylor 的恶性事件引发了全美的抗议。但抗议者不知道的是，他们的手机数据可以让数据公司预测其年龄、种族、性别和居住地。Mobilewall 发表报告《George Floyd Protester Demographics: Insights Across 4 Major US Cities》，给出了抗议者中男女、年轻成年人(18–34)，中年人（35 - 54 ）和老年人(55+)、非洲裔、白人、亚裔和拉美裔的百分比。Mobilewalla CEO Anindya Datta 在接受采访时表示，报告不是为执法部门或公共机构准备的，而只是为了满足其员工的好奇心。该公司本身并不收集数据，而是从不同来源如广告商、数据中介、ISP 等购买数据，然后利用 AI 算法关联分析聚合数据。

两家最近在中国开设办事处的英国公司被当地银行要求安装了航天信息股份有限公司的智慧税务软件，安全公司 Trustwave 称该税务软件包含了恶意程序。Trustwave 为英国公司提供了网络安全服务，它观察到客户网络的可疑请求，它随后对税务软件进行了分析，发现它除了提供纳税功能外还包含了一个隐藏的后门，该后门被称为 GoldenSpy，具有系统级运行权限，允许远程攻击者连上被感染的系统，执行命令或上传和安装其它软件。很多此类的软件都有远程访问功能以调试服务，但 Trustwave 称它发现的功能在恶意程序中更常见。GoldenSpy 安装了两个相同的版本作为持久性的自启服务；税务软件的卸载功能不卸载 GoldenSpy；GoldenSpy 是在税务软件安装两个小时后下载安装的，之后会悄悄运行；GoldenSpy 不连税务软件的网络基础设施，而是访问域名 ningzhidata[.]com。

以色列间谍软件开发商 NSO Group 过去几年一直受到批评，它被指向存在人权问题的国家出售间谍软件 Pegasus，而 Facebook 旗下的消息应用 WhatsApp 去年对 NSO Group 提起了诉讼，指控该公司的间谍软件 Pegasus 入侵了它的 1000 多名用户，其中包括知名人权律师、活动人士、记者和学者。对此，NSO Group 的一个回应是宣布了所谓的人权政策。大赦国际指出，在 NSO 人权政策发表仅三天后，它的间谍软件就被用于入侵了摩洛哥知名调查记者 Omar Radi 的 iPhone 手机。幕后入侵者被认为是摩洛哥政府，但 NSO 以为客户保密为由拒绝证实。2019 年 12 月摩洛哥当局逮捕了 Radi，理由是他早些时候在 Twitter 上发的贴子，今年 3 月他被判了 4 个月的缓刑。大赦国际的安全实验室调查了他的手机，找到了 Pegasus 入侵证据。

微软安全软件 Microsoft Defender 发布了 Linux 的正式版本和 Android 的预览版本。微软去年将 Windows 自带的杀毒软件 Defender 带到了 macOS 平台，并改名为 Microsoft Defender，以表明该杀毒软件不再限于运行在 Windows 操作系统。上周 Microsoft Defender 还加入了新功能，支持扫描恶意固件。Microsoft Defender 的付费版本叫 Microsoft Defender ATP，面向企业级客户，每台机器每年 30 到 72 美元。

名叫 Distributed Denial of Secrets (DDoSecrets) 组织泄露了大约 270 GB 的美国警察局档案，这批档案统称为 BlueLeaks。DDoSecrets 声称档案包含了 200 多个警察局和融合中心长达 10 年的数据。National Fusion Center Association (NFCA)已经确认了泄露数据的真实性，称实际数据跨度达 24 年，从 1996 年 8 月到 2020 年 6 月 19 日，文档包含了名字、电邮和电话号码，还有部分敏感的金融信息。NFCA 认为这些数据窃取自美国执法部门使用的 Web 服务公司 Netsential。Netsential 已经证实它遭到了入侵。

全自动区分计算机和人类的图灵测试 CAPTCHA 让很多人类感到困恼，现在恶意攻击者被发现利用它去阻止自动检测工具。微软最近发现了一个传播恶意 Excel 文档的黑客组织 Chimborazo，它使用的一个网站要求访问者完成 CAPTCHA 测试。此举被认为旨在阻止白帽黑客使用的自动检测工具。Chimborazo 传播的恶意 Excel 文档包含了宏，启用之后会安装木马程序 GraceWire 去窃取用户的敏感信息如密码。Chimborazo 主要使用钓鱼邮件传播恶意文件，但钓鱼方式经常会发生变化，钓鱼邮件有时候包含附件，有时候包含链接会重定到钓鱼网站，但当受害者点击链接访问钓鱼网站时，它会要求完成 CAPTCHA 测试。完成测试意味着是真实的人类而不是机器人程序。

安全公司 Awake 的研究人员从 Google Chrome Web Store 发现了 111 个扩展，从事全球性的大规模间谍行动，秘密的大肆收集用户敏感数据，这些扩展的下载量大约为 3296 万次。Google 在收到通知后已经将这些扩展下架。恶意扩展被发现会收集屏幕截图、设备剪贴板内容，用户登陆网站的浏览器 cookies，密码等按键。绝大部分扩展都是模块化的，安装之后可以用可执行文件进行更新。恶意扩展使用了通过以色列公司 GalComm 注册和托管的 1.5 万多个域名，这家公司有 26,079 个可访问域名，恶意行为的域名占到了六成之多。

澳大利亚总理莫里森（Scott Morrisonl）周五称，该国最近几个月持续受到精密的网络攻击，且相信是有外国在幕后支持。莫里森表示，这次黑客袭击范围广泛，波及澳洲“各级政府”与政治组织，以至于教育、医疗卫生等必要服务机关和私人企业，且有扩大趋势。但迄今未有造成大规模个人资料泄漏。他拒绝透露哪国嫌疑最大，只强调这次宣布是为了提升公众关注度，并促请大小企业马上改善其网络安全防卫措施。澳大利亚广播公司（ABC）则引述匿名联邦官员称，他们相信中国就是连串袭击的幕后黑手。北京对相关提问作出强烈回应。称有关指控“毫无根据”。中国外交部发言人赵立坚星期五说：“中国是网络安全的坚定维护者，也是黑客攻击的最大受害国之一。我们历来坚决反对，并依法打击一切形式的网络攻击行为。这立场是一贯的，明确的。”

以色列网络安全公司 JSOF 的研究人员在一个广泛使用的底层 TCP/IP 库中发现了一系列 0day 漏洞，这些漏洞被统称 Ripple20 ，影响高达数亿的设备，包括大量的物联网设备，如电网设备、医疗系统、工业设备等等。这个 TCP/IP 库由软件公司 Treck 开发，它最早是在 1997 年发布的，实现了一个轻量级的 TCP/IP 堆栈，在二十多年里被企业广泛用于实现联网功能。JSOF 团队在这个库里发现了 19 个漏洞，可用于提权、拒绝攻击和信息泄露。受影响的财富 500 强企业包括惠普、施耐德、英特尔、罗克韦尔、卡特彼勒和巴克斯特。

2017 年，Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档，被认为是 CIA 历史上已知最大规模的机密信息泄漏。美国参议员 Ron Wyden 从司法部获得了编辑过的一份内部调查报告，报告称 CIA 的团队未能确保本机构系统的安全。报告来自于 CIA 的 WikiLeaks 工作组，称如果没有 Wikileaks 的泄露，他们可能还不知情。报告称，CIA 反应太迟钝，绝大部分敏感的网络攻击工具都没有隔离，用户共享系统管理员级别的账号，历史数据都不受限制的提供。CIA 的黑客团队面临压力寻找商业软件的漏洞，而在自身的安全实践上很懒散。泄露这些机密的被认为是其雇员 Joshua A. Schulte，但 Schulte 至今没有认罪，他的律师辩解称，CIA 的网络安全是如此松懈，以至于几乎任何一个人都能像 Schulte 访问相同的信息。

南非邮局的银行分支 Postbank 因欺诈性交易损失了 320 万美元，在雇员盗走其主密钥后它必须为客户更换 1200 万张银行卡。事故发生在 2018 年 12 月，有雇员将主密钥打印在一张纸上。主密钥为 32 位数字代码，可用于解密银行业务，访问和修改银行系统，生成客户卡的密钥。当地媒体报道称，2019 年 3 月 到 12 月之间，其雇员利用主密钥登录系统，进行了 2.5 万笔欺诈交易，从客户账上窃取了超过 320 万美元。更换客户银行卡预计还会让其损失 5800 万美元。

密歇根州立大学、加州旧金山和芝加哥哥伦比亚学院最近成为了勒索软件 NetWalker 的攻击目标，攻击者窃取了学校的敏感信息，要求学校在 6 天内支付赎金，否则会将敏感信息在暗网上公开。密歇根州立大学已经公开声明不会向攻击者支付赎金，而攻击者据报道已经开始在暗网报复性的披露敏感信息。密歇根州立的代理首席信息官 Dan Ayala 表示，付钱给罪犯只会促使他们的罪行继续下去。加州旧金山和芝加哥哥伦比亚可能支付了赎金，它们的信息已经从 NetWalker 网站上移除。两所学校尚未对此发表声明。

新的 CPU 漏洞又来了，又是与预测执行机制有关，又是主要影响英特尔处理器。Linux 内核主线刚刚合并了补丁或微码去缓解“特定寄存器缓冲器数据采样（Special Register Buffer Data Sampling或 SRBDS）”漏洞影响。Spectre、Meltdown 等预测执行攻击的补丁主要是应用于核心内部，新的漏洞允许攻击者跨核心泄露敏感信息。被称为 CrossTalk 的攻击允许攻击者控制一个 CPU 核心的代码执行，去泄露不同核心上的软件执行敏感数据。Phoronix 测试了微码对 RdRand 性能的影响，结果显示性能下跌达到了惊人的 97%，打了微码之后的 RdRand 得分只有原来的 3%。

DopplePaymer 勒索软件背后的攻击者声称入侵了 NASA 一家承包商的网络。这家叫 Digital Management Inc. 的公司主要提供 IT 和网络安全服务，NASA 是其客户。DopplePaymer 在暗网上公布了 20 个存档文件，从 HR 文件到项目方案，雇员的信息与 LinkedIn 上的公开记录相吻合。披露这些文件旨在迫使受害者支付赎金，如果受害者不在截止日期前交钱勒索软件攻击者会披露更多文件进行报复。

为迫使受害者支付赎金，勒索软件攻击者宣布拍卖受害者的机密数据。勒索软件 REvil、Sodin 和 Sodinokibi 背后的犯罪分子通过其维护的暗网网站 Happy Blog 启动了拍卖流程。以前勒索软件攻击者为了迫使受害者支付赎金会选择性的披露部分窃取的数据。可能是早先的策略效果不佳，攻击者试图通过拍卖对受害者施加更大的压力。Happy Blog 目前拍卖的数据来自于两家公司，其一是食品销售商，另一家是加拿大的农作物生产商。

卡内基梅隆大学安全与隐私研究所的研究人员发现，在账号泄露之后只有很少一部分用户会去更换密码。这一结果不是基于调查数据而是真实的用户浏览器流量。这项研究采用了卡内基梅隆大学 Security Behavior Observatory (SBO)项目收集的用户数据，出于学术研究的目的，用户自愿选择分享完整的浏览器流量。数据是在 2017 年 1 月到 2018 年 12 月之间收集的，除了 Web 流量外还有登陆网站的密码以及储存在浏览器内的密码。在数据收集期间，249 名用户中有 63 名用户有账号泄露，而这 63 名用户只有 21 名用户访问了发生账号泄露的网站去修改密码，而这 21 名用户中有 15 名是在发生账号泄露 3 个月内修改的。

加密消息应用 Signal 备受英国保守党议员的欢迎。Signal 的一个受欢迎的功能是它可用设定在消息阅读五秒钟或一周之后自动在接受者设备上删除。端对端加密的性质意味着自动删除的消息将会永久消失，即使有法官的命令也无法恢复。这就引发了有关《信息自由法案（FOIA）》的争议。在递交信息披露申请之后手动删除信息是违法的，但如果记录已经删除，或者在信息披露申请之后自动删除，那么这并没有违反法律。未来的历史学家如何想调查英国政府如何应对疫情，他们可能会看到一个标记为 Signal 的空盒子。

GitHub 安全博客警告了针对的 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。GitHub 称它在 3 月 9 日收到了被称为 JJ 的安全研究人员发来的警告，称发现一组感染了恶意程序 Octopus Scanner 的开源库。一旦感染，恶意程序会寻找用户开发系统上的 NetBeans 项目，然后将恶意负荷嵌入到项目文件中，每次项目构建都会执行恶意负荷。GitHub 随后展开了调查，发现了 26 个开源项目被植入了 Octopus Scanner 后门。GitHub 称，他们向 VirusTotal 上传了样本，60 个杀毒软件只有 4 个能将其检测出来。恶意程序伪装成 ocs.txt 文件，但实际上是一个 JAR（Java Archive）文件。

思科披露六台用于提供 VPN 服务的服务器遭黑客入侵，攻击者利用了 4 月底公开的 Salt 组件漏洞。思科的 Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架，而 Salt 在四月底披露了两个高危漏洞——目录遍历和身份验证绕过，两个漏洞组合允许未经授权访问整个服务器文件系统。思科在 5 月 7 日部署服务器时没有整合补丁，同一天它的服务器遭到了黑客入侵，然后同一天它把相关服务器都下线了。

趋势科技从其网站移除了检测 rootkit 的程序 Rootkit Buster 的下载，随后该程序的核心驱动 tmcomm.sys 被微软加入到了屏蔽列表，意味着 Windows 10 将阻止驱动加载和 Rootkit Buster 运行。安全研究人员的调查发现，tmcomm.sys 改变了分配内存的方式以通过微软的 Windows Hardware Quality Labs (WHQL)的认证测试。出于安全理由，驱动程序只能从操作系统可用内存的不可执行未分页内存池请求分配内存。此举将能限制攻击者利用漏洞向驱动的内存分配注入恶意代码。Rootkit Buster 的驱动被发现如果检测到是在进行 WHQL 测试，它会改变内存分配方式，从不可执行未分页内存池请求内存；如果检测到不是进行测试，它会从可执行未分页内存池请求内存。这种方式是不安全的，会导致不能通过 WHQL 测试。为什么不始终从不可执行未分页内存池请求内存？趋势科技没有给出明确解释。