美国国土安全部部长亚历杭德罗·马约卡斯近日表示，美国土安全部正在启动一项“入侵国土安全部”(Hack DHS)漏洞赏金计划，拟邀请研究人员挖掘其系统的漏洞。根据该计划，DHS将投入大量的资金，根据漏洞严重程度向白帽黑客支付最高5000美元的奖励。国土安全部收拢的漏洞将在48小时内验证，并在15天内修复它们。马约卡斯透露，DHS不仅关注保护和增强私营部门和联邦政府的网络安全，作为一个政府部门必须以身作则, 他们非常关注的是识别漏洞和解决或修复这些漏洞。

近日，上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。处罚事由为，当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店，以此统计进店人数并分析男女比例、年龄等。 今年1月至6月，共采集上传人脸照片431623张。该行为未经得消费者同意，也无明示、告知消费者收集、使用目的，违反消费者权益保护法。

汽车制造商沃尔沃日前披露，其部分服务器遭到了未知攻击者的入侵，导致部分研发信息被盗。官方公告中写道：“沃尔沃汽车已经意识到某个文件存储库被第三方非法访问”。截至目前的调查证实，该公司“有限数量”的研发资产在黑客入侵期间被盗，公司运营可能会受到一定的影响。事情发生后，沃尔沃汽车公司表示已向有关部门进行了通报，目前正携手第三方专家展开深入调查。

12月13日，Google发布紧急更新，修复了Chrome中的5个漏洞。安全公告表示，此次修复的V8 JavaScript引擎中的释放后使用漏洞（CVE-2021-4102）已被在野利用，可导致任意代码执行或沙箱逃逸。此外，还修复了Mojo中的数据验证不足漏洞（CVE-2021-4098）和Swiftshader中的释放后使用漏洞（CVE-2021-4099）等多个漏洞。由于该0day已被在野利用，研究人员强烈建议立即安装Chrome补丁。

据网信中国消息，国家网信办负责人近日约谈新浪微博主要负责人、总编辑，针对近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息，情节严重，依据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，责令其立即整改，严肃处理相关责任人。北京市网信办对新浪微博运营主体依法予以共计300万元罚款的行政处罚。2021年1月至11月，国家网信办指导北京市网信办，对新浪微博实施44次处置处罚，多次予以顶格50万元罚款，共累计罚款1430万元。

南澳大利亚州政府近日披露，由于外部薪资软件提供商Frontier Software的系统于上个月遭到Conti勒索软件攻击，因此州政府的8万名员工的敏感个人信息遭到泄露。根据南澳大利亚州政府的说法，已泄露的数据包括姓名、出生日期、税号、家庭地址、银行账户明细、就业开始日期、发薪期、报酬、预扣税款、付款类型、一次性付款类型和金额、退休金和可申报的附加福利税额。州政府正采取一切可能的措施来审查其网络安全措施，以防止将来发生此类事件。

据中国消费者协会网站消息，中消协近日组织开展了APP账号注销及自动化推荐退订测评工作，在是否可以顺利注销APP账号方面，50款APP中有20款APP存在不同程度问题，占总排查比例的40%。主要问题为：未注明注销条件、注销条件设置不合理、注销流程设置不合理、人工审核存在无人受理、承诺时限过长或时限不明的情况。在自动化推荐退订方面，50款APP中有5款APP存在不同程度问题，主要问题为APP未向用户提供关闭自动化推荐的方式、APP内关闭自动化推荐的方式过于隐蔽。

亚马逊发布了一份事后总结，揭示了上本周亚马逊网络服务(AWS)大规模宕机的根本原因，此次宕机导致包括Ring、Netflix、Amazon Prime Video和Roku在内的一长串知名网站和在线服务下线。“在太平洋标准时间早上7:30，一个自动活动扩展了主AWS网络中的一个AWS服务的容量，引发了内部网络中大量客户的意外行为，”亚马逊在事件摘要中解释道。“这导致大量连接活动，淹没了内部网络和主要AWS网络之间的网络设备，导致这些网络之间的通信延迟。

美国国家标准与技术研究所（NIST）发布报告显示，2021年报告的漏洞数量为18378个。年度报告漏洞数量五连涨，但2021年的情况与此前几年在某些方面不太一样。相比2020年，高严重性漏洞数量略有下降。今年是3446个高严重性漏洞，而去年则有4381个。2021年上报的中风险和低风险漏洞数量分别为11767个和2965个，均超过了2020年录得的数据。新漏洞数量再破纪录，加之修复和更新设备的滞后和迟缓，意味着企业遭入侵的风险比以往任何时候都要高，尤其是通过未修复物联网设备入侵。

世界上最大的域名注册商GoDaddy证实了数据泄露事件，将至少影响120万客户。在其提交给美国证券交易委员会的文件中写道，攻击者9月6日渗透进入到了其系统内，11月17日前，在GoDaddy注意到该漏洞之前，该攻击者已持续入侵了近两个半月。潜伏的网络犯罪分子窃取了诸多信息，其中包括：120万名活跃的和非活跃的WordPress管理账户的电子邮件和客户号码；活跃客户的sFTP和数据库用户名和密码（密码已重置）。这只是该公司今年最新的数据泄露事件。去年，GoDaddy因三起安全事件被广泛关注。

一款新的ALPHV勒索软件被发现正在传播，安全研究人员发现，该勒索软件于上个月启动，可能是今年最复杂的勒索软件，具有高度可定制的功能集，允许对各种企业环境进行攻击。作为一款勒索软件即服务 (RaaS) ，ALPHV勒索软件声称没有采用其它勒索软件源代码或模板，其包含了更多的高级功能，并支持跨平台攻击。该勒索软件完全由命令行驱动、人工操作且高度可配置，能够使用4种不同的加密模式、在计算机之间传播、杀死虚拟机以及自动擦除快照以防止恢复。

12月9日晚间，一个 被广泛成为“核弹级”的Apache Log4j2远程代码执行漏洞细节被公开，根据相关内容显示，该漏洞利用无需特殊配置，经多方安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。该组件使用极为广泛，据悉，Apache Log4j2 日志远程代码执行漏洞影响了所有 Minecraft 服务器，目前国内包括360漏洞云、奇安信、腾讯安全、阿里云多个安全厂商均发布了漏洞相关的信息，并提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

12月9日，工信部对外公布新一批106款侵害用户权益APP下架通知，工信部表示，11月3日，工信部针对APP超范围、高频次索取权限，非服务场景所必需收集用户个人信息，欺骗误导用户下载等违规行为进行了检查，并对未按要求完成整改的APP进行了公开通报。目前包括看看新闻、爱回收。豆瓣、唱吧在内的106款App尚未按要求完成整改，依据相关法律要求，决定组织相关应用商店对上述共计106款APP进行下架处理。针对部分违规情节严重、拒不整改的APP依法予以行政处罚。

微步在线近日发布的一份分析报告显示，来自中国台湾地区的网络攻击组织“绿斑”在2021年持续对中国大陆发动攻击活动，从攻击目标地域分布来看，北京位居首位，其次是紧邻台湾岛的福建省。微步在线指出，“绿斑” APT 组织攻击对象排名首位的是高校，占比 50%。其次是科研机构和政府单位，占比均为15%。被攻击行业除了上述两大类之外，还涉及航空航天、能源、医疗等领域，建议相关行业提高安全意识、注意防护。

12月8日，长沙市公安局通报了一起特大侵犯公民个人信息案的侦破情况。警方成功捣毁一个大量购买、出售公民个人信息的犯罪团伙，共抓获涉案人员177名，扣押、冻结涉案资金500余万元。据悉，此案系近年来长沙公安机关破获的涉案人员最多的侵犯公民个人信息案件。经初步调查，该公司月均购买公民信息10万余条，累计非法获取公民信息达200余万条。这些公民个人信息主要包括户籍、家庭成员、个人公积金、家庭住址等。

12月6日，Google发布chrome安全更新，总计修复22个漏洞。其中较为严重的是Web应用程序中的释放后使用漏洞（CVE-2021-4052）、UI组件中的释放后使用漏洞（CVE-2021-4053）、WebRTC中的越界写入漏洞（CVE-2021-4079）以及V8中的类型混淆漏洞（CVE-2021-4078）。此外，还修复了扩展中的堆缓冲区溢出漏洞（CVE-2021-4055）和ANGLE中的堆缓冲区溢出漏洞（CVE-2021-4058）等。

研究人员发现，一个名为“Moobot”的 Mirai 僵尸网络正在通过利用许多海康威视产品的网络服务器中的关键命令注入漏洞大肆传播。据悉，该漏洞编号为 CVE-2021-36260，可以通过发送包含恶意命令的特制消息来远程利用。海康威视在今年9月发布漏洞补丁并督促用户修复吗，但仍有部分用户未及时修复该漏洞。安全厂商Fortinet 报告称，Moobot 正在利用这个缺陷来破坏未打补丁的设备并从受害者那里提取敏感数据。

12月7日，谷歌宣布捣毁了一个控制着超过100万台设备的僵尸网络Glupteba。Glupteba自2011年以来一直活跃，是一种支持区块链的模块化恶意软件，主要针对美国、印度、巴西和东南亚的国家，每天新增感染设备的数量高达数千台。该僵尸网络主要通过破解或盗版软件和PPI方案传播，感染目标后会窃取加密货币、用户凭据和cookie，并在目标设备上部署代理，随后出售给其他攻击者。

近日，斯堪的纳维亚连锁酒店Nordic Choice Hotels称其遭到了勒索攻击，攻击者入侵了酒店的IT系统，导致员工无法访问用来管理入住、退房、付款和预订的酒店预订系统，客户也无法登录帐户来预订房间，研究人员称，虽然没有迹象表明密码或支付信息受到影响，但客户的预订信息可能已经泄露。目前，Conti尚未提出赎金要求。

12月6日，Mandiant披露了SolarWinds供应链攻击背后黑客团伙的新活动。微软将该组织命名为“Nobelium”，又称APT29和Cozy Bear，属于俄罗斯外国情报局 (SVR)。据称Nobelium近来一直在攻击云供应商和MSP，以获得其下游客户的访问权限。正在以新颖的策略和新型恶意软件危害全球商业和政府目标，窃取数据并在网络中横向移动。在近期的攻击活动中，该团伙使用了一个新的自定义下载器Ceeloader。该恶意软件用C语言编写，可以在内存中执行shell，通过HTTP通信，C2响应使用AES-256的CBC模式加密。