摘要：5月30日，国家网信办发布公告，要求存储人脸信息达10万人的个人信息处理者立即履行备案义务。根据《人脸识别技术应用安全管理办法》，2025年6月1日起新达标单位须在30个工作日内备案；6月1日前已达标单位务必于2025年7月14日前完成补备案；备案信息变更需3

01 国家网信办发布《关于开展人脸识别技术应用备案工作的公告》

5月30日，国家网信办发布公告，要求存储人脸信息达10万人的个人信息处理者立即履行备案义务。根据《人脸识别技术应用安全管理办法》，2025年6月1日起新达标单位须在30个工作日内备案；6月1日前已达标单位务必于2025年7月14日前完成补备案；备案信息变更需30日内更新。备案统一通过“个人信息保护业务系统”线上提交，中国网信网同步开通办理入口。未按期备案者将依法追责。此举旨在强化人脸信息安全监管，防范技术滥用风险。

02 Cartier披露数据泄露事件

6月2日，奢侈品牌Cartier其系统遭黑客入侵，导致部分客户信息（姓名、邮箱、所在国家）被泄露，尽管敏感数据如密码和银行卡信息未受影响。Cartier已控制事件并加强防护，同时提醒客户警惕钓鱼邮件等定向攻击。

03 Chrome零日漏洞正被用于执行任意代码攻击

6月3日，Google确认CVE-2025-5419为一项已被利用的Chrome 0-Day漏洞，攻击者可借此通过V8引擎中的越界读写实现任意代码执行。漏洞由Google威胁分析小组于5月27日披露，5月28日已紧急推送配置缓解，并于近日发布137.0.7151.68/.69版本修复。

04 WordPress出现新型恶意软件

6月4日，Wordfence威胁情报团队发现一款新型WordPress恶意软件伪装成合法插件（如WooCommerce Product Add-ons），具备多层混淆、隐藏机制与远程命令执行（RCE）能力。该恶意代码可窃取登录Cookie、管理员凭证等敏感信息，并通过Base64与ROT13加密方式发送至C2服务器。

05 AT&T 8600 万用户数据泄露事件警示网络安全的重要性

6月4日，一则重磅新闻震撼了全球科技圈：黑客泄露了美国电信巨头AT&T 8600万用户的个人信息，包括姓名、生日、电话号码、电子邮件地址、家庭住址，甚至是解密的社保号码。这一事件被认为是近年来规模最大、最危险的数据泄露之一，涉及数据可能与2024年Snowflake云服务攻击有关。据网络安全媒体Hackread.com报道，黑客声称已成功解密原本加密的敏感信息，暴露用户身份的完整轮廓，可能导致大规模身份盗窃和欺诈。

06 3.5万个太阳能发电系统接入互联网

6月5日，Forescout发现全球约3.5万套太阳能设备直接暴露于互联网，涵盖42家厂商，主要集中在欧洲（76%）。攻击面包括逆变器、数据记录仪及监控设备，部分设备已遭活跃利用，涉及CVE-2022-29303等关键漏洞。

07 OpenAI 法律战升级，隐私危机浮现

6月6日，OpenAI因版权诉讼被法院要求保留所有ChatGPT用户日志，包括已删除记录，以防证据销毁。OpenAI仅同意保留用户授权内容，正抗辩该命令侵犯隐私且无证据支持其故意删数据，强调未销毁任何证据。

08 16个热门React Native软件包遭供应链攻击

6月10日，16个流行的React Native软件包在6月6日至7日的17小时内遭协同攻击，这些软件包每周总下载量超过100万次。攻击者通过更新长期未维护的@react-native-aria/focus（0.2.10版本）发起首轮入侵，随后利用空格混淆技术将远程访问木马（RAT）植入文件，使恶意代码在普通编辑器中不可见。

09 针对中国电信业的复杂网络攻击：DRAGONCLONE行动曝光

6月11日，Cyberpress网站报道Seqrite Labs APT团队发布技术分析分析报告，披露了名为“DRAGONCLONE”的网络攻击行动，这是一场针对中国电信巨头中国移动旗下子公司中移铁通有限公司的高度复杂且技术先进的网络攻击。该行动通过精心设计的多阶段攻击链，结合了VELETRIX和VShell两种恶意软件，展示了威胁行为者在恶意软件开发和攻击策略上的深厚技术积累和创新能力。

来源：五泗科技