研究人员在网上发现了一个包含大量用户和模特敏感信息的数据库，没有做任何保护。据报道，Stripchat是一个目前很流行的网站，成立于2016年，总部设在塞浦路斯，主要是做人体模特相关的业务。但据进一步查询，我们还是能理解“流行”与“人体模特”之间的关系。据披露，泄露的数据库包含了约2亿条Stripchat记录，其中包括6500万条用户记录，含个人和打赏小费等信息。而另一个数据库还包含了大约42.1万条该平台“模特”的信息。报道称，该数据库已在11月7日被保护起来。

密码管理服务NordPass根据其研究，每年都会发布最常见的200个密码名单。该名单详细列出了密码本身，破解它需要多长时间，以及它在他们的研究中出现了多少次。最常见的密码仍然是“123456”，它在NordPass的研究中出现了超过1.03亿次，而且只需要不到一秒钟就能破解。同样只需1秒即被破解的密码还有“123456789”、“12345”、“qwerty”和“password”，它们是最常见密码的二至五位。相反，“1g2w3e4r”、“myspace1”无规则密码的破解时间都需要三个小时以上。

10月底，来自clafy的网络安全研究人员发现了一个似乎并不属于任何已知家族的恶意软件，它被称为SharkBot，追踪显示该软件可以绕过多重认证，从运行谷歌安卓操作系统的易受攻击的手机上窃取资金。到目前为止，英国、意大利和美国都发现了感染该木马的Android手机。据报道，SharkBot很可能是一个私人僵尸网络，目前仍处于开发的早期阶段。研究人员称，SharkBot是一种模块化恶意软件，它属于下一代能够基于自动传输系统（ATS）系统进行攻击的移动恶意软件。

澳大利亚、英国和美国的网络安全机构近日联合警告称，疑是伊朗国家资助的黑客正在利用Fortinet和Microsoft Exchange ProxyShell漏洞，以便初步访问易受攻击的系统，以便进行后续活动，包括数据过滤和勒索软件攻击。CISA、FBI称，该威胁参与者据信利用了多个可追溯至2021年3月的Fortinet FortiOS漏洞，以及至少自2021年10月以来影响Microsoft Exchange服务器的远程代码执行漏洞。目标受害者包括澳大利亚组织和美国多个关键基础设施部门的各种实体，如运输和医疗保健。被利用的缺陷列表含：CVE-2021-34473

美国土安全部网络安全和基础设施安全局（CISA）发布新版《网络安全事件和漏洞响应手册》，供联邦民事行政部门（FCEB）机构使用。CISA最新发布的操作程序旨在通过易于阅读的分步指南，简化减轻安全漏洞和应对事件的过程。CISA表示：“手册为FCEB机构提供了一套标准程序，用于识别、协调、补救、恢复和跟踪影响FCEB系统、数据和网络的事件和漏洞的成功缓解措施。”该手册的发布是完成拜登总统先前“改善国家网络安全”行政命令的一项重要任务。

11月16日，在工信部召开的“十四五”信息通信行业发展规划新闻发布会上，工信部信息通信管理局副局长王鹏表示，近年来，工信部聚焦人民群众反映强烈的APP违规处理用户个人信息、设置障碍、骚扰用户、欺骗误导用户等问题，纵深推进APP侵害用户权益整治行动。截至目前，已组织检测21批次共244万款APP，累计通报2049款违规APP，下架540款拒不整改的APP，对违规行为持续保持高压震慑。同时，工信部督促应用商店加强自查清理，应用商店已主动下架40余万款违规APP。

近期，工信部发布《“十四五”信息通信行业发展规划》，《规划》瞄准发展目标、聚焦问题短板，分别从新型数字基础设施、数字化发展、行业管理、安全保障以及跨地域跨行业统筹协调五个方面，提出了26项“十四五”期间行业发展和管理的重点方向。《规划》将行业关键信息基础设施及新型数字基础设施安全保障提到新的战略高度，通过深化网络安全防护和风险管理、防范遏制重大网络安全事件，提升行业关键信息基础设施及新型数字基础设施保障水平。     原文链接

上周，Robinhood披露其遭到了一起黑客攻击事件，攻击者劫持了员工账户并通过客户支持系统访问了大约 700 万用户的信息。有安全研究员发现，被盗的Robinhood 客户的数据正在黑客论坛和暗网市场上出售。Robinhood 还表示，攻击者曾试图勒索赎金，但并未响应黑客的勒索要求。一个名为“pompompurin”的攻击者称，数据将以超过10,000 美元的价格出售。

来自多家网络安全公司的研究人员报告称，有攻击者正在使用TrickBot恶意软件在受感染设备上投放 Emoted 加载程序，这证明Emotet 恶意软件正在试图回归并通过 TrickBot 重建其僵尸网络。2021年初，在一次由全球执法和司法部门开展的联合打击行动中，执法机构接管了至少 700 台用作 Emotet 僵尸网络基础设施的服务器。Cofense 实验室安全研究员警告称，Emotet 恶意软件正在卷土重来，新变种的Emotet 僵尸网络或将更隐蔽也更复杂。

网络安全公司 Sucuri监测发现，有攻击者入侵了近300个WordPress网站，通过修改一个已安装的 WordPress 插件的方式，在目标机器上显示勒索赎金数额和倒计时以伪造勒索软件加密页面，试图诱骗网站所有者支付 0.1 比特币进行恢复。 Sucuri表示，通过删除插件并运行命令重新发布帖子和页面，站点就能够恢复到正常状态。目前攻击者提供的 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc 比特币地址的交易记录显示，该地址至今没有收到任何赎金。

据ESET 安全研究员 Anton Cherepanov披露，发现朝鲜黑客组织Lazarus正在试图使用​​流行的 IDA Pro 逆向工程软件的木马化盗版版本，再次针对具有后门和远程访问木马的安全研究人员发起攻击。攻击者伪造了一家名为SecuriElite的虚假安全公司以及 Twitter 和 LinkedIn 上的许多社交媒体帐户，试图诱骗安全研究人员访问该公司带有恶意软件的网站，从而触发利用然后在 Internet Explorer 浏览器中使用 0day。

美国国土安全部本周一发布了一项新计划，宣布成立网络安全人才管理系统，在联邦政府中高薪招募、培养和再培训网络安全专业人员。 国土安全部表示，到 2022 年将提供150个高薪网络安全岗位，雇佣包括事件响应、风险分析、漏洞检测和评估、情报和调查、网络和系统工程师、取证和软件开发相关的顶级安全人才，承担国土安全部网络安全服务工作，岗位最高薪酬与副总统相当。

据外媒报道，黑客在上周六入侵了FBI的一个电子邮件系统，发送了数万条假信息，警告可能发生网络攻击。FBI在声明中说，假电邮似乎发送自一个以@ic.fbi.gov结尾的合法FBI邮箱地址。现任全球专业服务主管表示，受感染的系统是一个非机密服务器，FBI人员使用它与组织外部进行通信，黑客似乎没有获得对包含国家机密或机密信息的内部数据库的访问权限。网络安全专家表示，电子邮件不包含任何恶意附件的事实可能表明黑客偶然发现了FBI门户中的漏洞，并且没有特别的计划来利用它。

Palo Alto Networks的GlobalProtect VPN刚刚修复了一个缓冲溢出的高危漏洞，而安全公司Randori是在12个月前发现该漏洞，但一直将其作为秘密内部使。编号为CVE-2021-3064的高危漏洞（威胁评分 9.8 10）影响PAN-OS 8.1.17之前的版本，已有超过一年历史，但Randori根据Shodan搜索发现有大约1万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞？Randori声称该漏洞作为红队的工具用于对客户的网络进行安全测试，表示0day漏洞对于客户以及整个网络安全世界的成功是必不可少的。

英特尔披露了两个高危漏洞影响多代英特尔处理器家族，漏洞允许攻击者和恶意程序获得更高的权限。漏洞由SentinelOne发现，编号为CVE-2021-0157和CVE-2021-0158，CVSS v3 评分都是 8.3 10，前者与BIOS固件控制流管理有关，后者则与BIOS固件不正确输入验证有关。漏洞可被用于提权，但攻击者需要首先能物理访问机器。受影响的型号包括了7代、10代和11代酷睿处理器，至强E、E3 v6 和W系列等。英特尔没有披露更多细节，它建议用户如果有可用BIOS更新就打上补丁。

Ivanti于近日发布了2021年Q3勒索攻击态势的分析报告。报告指出，第三季度与勒索软件相关的漏洞较之上一季度增加了4.5%，总数达到278个；勒索软件家族增加了3.4%，总数达到151个。报告还发现勒索运营团伙仍在积极利用零日漏洞；攻击中使用的技术也变得越来越复杂，例如dropper as-a-service；有3个可追溯到2020年或更早的漏洞与这一季度的新勒索软件有关。

11月15日，外媒消息称苹果公司正在与美国多个州政府合作，计划推出iPhone用户的数字身份证或数字驾照等。苹果表示这是一种更安全更简便的方法，这项功能与苹果包括Face ID等生物特征安全措施相结合，可减少欺诈。苹果还要求对负责发放身份证的政府机构拥有高度控制权，具体而言，就是苹果对该计划的关键条款拥有解释权和决定权。美国州政府将公民信息的控制权交给一家科技公司的做法引起一些业内人士质疑，尤其是将公民生物特征等集成到移动设备，引发对隐私保护的担忧。

据谷歌TAG研究人员透露，他们在8月下旬发现了一个恶意软件攻击，不法分子利用macOS操作系统的一个零日漏洞向香港一家媒体机构和一个著名民主劳工组织的网站发起了攻击。该漏洞编号为CVE-2021-30869（CVSS分数7.8），恶意应用程序能够以内核权限执行任意代码。9月下旬，苹果修复了这一漏洞。在此次攻击事件中，不法分子还将另一个漏洞（CVE-2021-1789）串联起来组成攻击链，以便可以控制受害设备来安装他们的恶意软件。随着谷歌安全人员的披露，该漏洞和攻击事件才逐渐被知晓。

近日美国政府的一名官员称，美国国防部正在加紧其网络安全工作，专门开设的零信任办公室将于下个月开放。拜登总统5月份发布的加强联邦政府网络安全的行政令，要求每个机构的负责人在 60 天内制定实施零信任架构的计划。该官员表示，零信任办公室的设立，是支持该份行政令的一大举措。

日前，360Netlab团队对外披露了一种名为 Abcbot 的新型 DDoS 僵尸网络，该网络具有针对 Linux 系统的可蠕虫功能，它针对 Linux 系统发起分布式拒绝服务 DDoS 攻击。该团队表示， Abcbot在当前样本中添加了 DGA 功能，其已具备自我更新、设置 Web 服务器、DDoS 以及实现蠕虫式传播的能力。