由教育部高等学校网络空间安全专业教学指导委员会指导，北京市经济和信息化局、北京市通州区人民政府联合主办，国家网络安全产业园区（通州园）、大学生网络安全尖锋训练营承办的“2021网络安全人才培养与需求论坛”将于10月26日在北京市通州区北京国际财富会议中心召开，现在正式开启报名通道，诚邀各位领导、企业负责人、专家、学者届时莅临现场，共同探讨未来网安人才培养方向。有兴趣的朋友可以通过点击链接报名参与。     原文链接

据外媒报道，在8月16日至18日期间，研究人员共发现了41封钓鱼邮件，这些邮件都以国会最近通过的1万亿美元基础设施方案中的项目投标为诱饵进行诈骗。在这场为期两天的网络钓鱼攻击活动中，攻击者冒充美国交通部（USDOT），通过使用多种策略，为了使攻击活动看起来更合法，他们还创建了虚假的联邦网站的域名来逃避安全检测。此次攻击活动主要以工程、能源和建筑等行业的公司为攻击目标，这些公司可能会与美国交通部合作，并向潜在的受害者发送诈骗电子邮件。

2021年10月，北京触点互动信息技术有限公司宣布完成数千万元的A轮融资。领投方为国内知名的网络安全产业投资机构：苹果资本；老股东北京安云基金跟投。此轮融资触点互动主要用于加强对通信及网络安全行业的测试工具产品研发和市场覆盖。触点互动在此轮融资之后增加开设了成都办事处，武汉研发中心人员增加了50%，同时开始开拓海外市场。

10月20日15:00，天威诚信将以线上直播方式发布新品“SSL云平台”，天威诚信资深技术专家将结合多年来为国内大客户提供网站SSL证书服务经验，深入探究并协助解决企业在SSL证书购买、使用及管理过程中的关键问题，并在线解读SSL云平台功能及优势，为广大企业用户提供方便快捷的一体化综合服务，实现证书全流程自主管理，感兴趣的用户可前往天威诚信视频号预约观看直播。

10月16日，中国信息安全法律大会专家委员会发布《勒索攻击防治倡议》修订版，提出凝聚“密码向善”共识，构筑安全底层屏障，提升勒索攻击风险发现能力，强化数据安全保障能力，落实主体责任，禁止支付“赎金”，优化应急响应和事件处置，形成国家应对勒索攻击的技术防护和恢复能力，促进全社会安全意识水平和防护技能，发挥行业组织、技术社区的信息聚集和风险分散作用，加大勒索攻击违法犯罪打击力度，推动打击勒索攻击犯罪国际合作十二项倡议。

安全419获悉，反电信网络诈骗法草案将在19日开幕的全国人大常委会会议上首次提请审议。10月18日，在全国人大常委会法制工作委员会发言人记者会上，全国人大常委会法工委发言人臧铁伟表示，此次提请审议的草案将完善电话卡、物联网卡、金融账户、互联网账号有关基础管理制度，建立电信网络诈骗反制技术措施，统筹推进跨行业、企业统一监测系统建设，加大惩处力度。此外，草案还将加强对涉诈相关非法服务、设备、产业的治理。

近日，英国研究人员的一项新研究揭示了安卓手机用户存在一系列隐私问题。研究人员将重点放在三星、小米、Realme和华为安卓设备，以及安卓的两个分支RiegeOS和 e OS。研究结果表明绝大多数安卓手机不断窥探用户隐私，即使在最低配置和手机闲置的情况下也会将大量信息传输给操作系统开发人员和预装程序的第三方，如谷歌、微软、LinkedIn、Facebook等。

美国几FBI、CISA、NSA和环保局在当地时间上周四发布了一份题为《对美国水和废水系统的持续网络威胁》联合警报，警告供水和废水部门的组织有关正在进行的网络攻击。该警报还描述了三次此前未报告的勒索软件攻击，影响了供水设施的工业控制系统(ICS)。警报强调了2019年3月至2021年8月在五个州发生的业务系统遭到勒索软件攻击或其他黑客攻击的事件。据警报显示，在一个案例中，堪萨斯州某设施的一名前雇员试图“通过使用他的用户凭证远程访问该设施的计算机，威胁饮用水安全”。

美国财政部金融犯罪执法网络（FinCEN）在一份报告中指出：随着勒索软件攻击愈演愈烈，顶级幕后黑手或将数十亿元收入囊中。从 2021年1月到2021年6月，与勒索软件相关的可疑交易的报告总额约为5.9亿美元，而2020年全年的总价值为4.16亿美元。FinCEN估计，若保持这一趋势，今年的勒索总额或较过去十年都更高。

美国联邦贸易委员会 (FTC) 本周表示，将对使用虚假在线评论或其他欺骗性背书欺骗客户的公司处以罚款。此前FTC曾致函700多家头部企业，警告他们不要在其在线营销和广告活动中使用此类非法行为，因为它们可能会引发严厉的处罚。FTC在该函中表示，从事其中描述的行为可能会使公司每次违规受到最高43792美元(约合人民币28万)的民事罚款 。这一警告是由网络市场上大量的欺骗性认可和评论引发的，近年来社交媒体进一步放大了这一趋势，使得区分广告和真实内容变得越来越困难。

据外媒报道，有安全研究人员表示，来自巴西的一家电子商务公司在错误配置Elasticsearch服务器后在无意识的情况下暴露了近18亿条记录，其中包括客户和卖家的个人信息。据了解，SafetyDetectives团队在2021年6月发现这一事件，并迅速将泄漏追溯到一家Hariexpress，这是一家允许供应商管理和自动化跨多个市场（包括Facebook和亚马逊）活动的公司。SafetyDetectives声称：“如此规模的数据泄露很容易影响到数十万甚至数百万巴西Hariexpress用户和电子商务购物者。泄露的内容也可能影响其自身业务。”

宏碁（Acer）于10月14日证实，其位于印度的售后服务系统在最近一起所谓“孤立攻击”中遭到入侵。宏碁公司通讯发言人表示，“在发现之后，我们立即启动了安全协议并对自身系统开展全面扫描。我们也着手向印度方面所有可能受到影响的客户发出通知。”发言人还表示，“此次事件已经被上报至当地执法部门与印度计算机应急响应小组，我们的运营与业务连续性并没有受到重大影响。”

10月14日，Avast Threat Labs研究人员报告称，MyKings 僵尸网络（又名 Smominru 或 DarkCloud）仍然存活，其运营者通过加密挖矿攫取了2400万美元的巨额资金。该恶意软件于2018年2月首次被 Proofpoint研究人员发现，当时僵尸程序正使用“永恒之蓝”（EternalBlue）漏洞来感染Windows计算机，控制被感染的计算机进行门罗币挖矿活动。研究人员称，该僵尸网络自2016 年开始活跃，在发现时感染了超过52.6万台 Windows 计算机。

据报道，平台提供商Rafay Systems宣布计划开放其零信任访问和GitOps服务的源代码。由于访问和配置管理现代基础设施是一项重大挑战，特别是在同一云环境中利用多个云或操作多个虚拟私有云（VPC）时。企业也发现很难实施可重复的工作流来管理Kubernetes基础设施和现代应用程序的日常操作。通过将零信任访问和GitOps服务作为开源项目提供，开发人员可以实现这些服务所要满足的多租户访问和自动化需求。开发人员还可以与项目贡献者协作，进一步推进内部部署、混合、多云和边缘用例。

近日，澳大利亚信息专员办公室发现，7-11 在没有充分通知或同意的情况下收集敏感的生物识别信息侵犯了客户的隐私。据称，7-11曾于2020年6月-8月启动一项用户调查，要求客户在带有内置摄像头的平板电脑上填写信息，在用户填写信息前后分两次采集用户面部图像信息，该项调查涉及约160万人。澳大利亚信息专员办公室认定，这种大规模的敏感生物识别信息收集违反了澳大利亚的隐私法，7-11已被命令停止收集面部图像和面部指纹，并要求销毁它收集的所有面部数据。

近日，乌克兰安全局宣布逮捕了一个拥有10万多台僵尸网络设备的运营者。该男子创建并管理着由超过10万多台设备组成僵尸网络，用于为付费用户执行DDoS攻击 和垃圾邮件攻击。乌克兰安全局表示，该名犯罪嫌疑人通常通过黑客论坛和Telegram寻找客户，并使用俄罗斯的即时支付系统WebMoney进行付款。警方通过他在注册Webmoney账户时使用的真实地址追踪到他的住所。

10月13日，Adobe发布了10月份安全更新，修复了其Acrobat、Reader、Connect、Commerce和Campaign Standard多款产品中的10个漏洞。此次修复的较为严重的是Connect中的反序列化漏洞，可导致任意代码执行，CVSS评分为9.8。

近日，厄瓜多尔最大的私人银行Banco Pichincha声明遭到了网络攻击，攻击导致该银行的业务大面积中断，包括ATM、网上银行、应用程序、电子邮件系统和自助服务。虽然该银行并未声明攻击事件的性质，但据研究人员称这是一次勒索软件攻击，攻击者在银行的系统中安装了Cobalt Strike beacon。

2021年10月10日，医疗技术巨头奥林巴斯在网络攻击后被迫关闭其在美国的计算机网络，虽然该公司没有透露它遭受的攻击类型，但据其9月份曾发布过的声明显示，其欧洲、中东和非洲计算机网络曾遭受到BlackMatter 勒索软件组织的攻击，专家猜测，该公司可能再次遭到了勒索软件攻击。

近日，美国白宫宣布将组织30多个国家和欧盟的部长和高级官员召开反勒索软件倡议会议，以加快合作打击勒索软件，会议将重点讨论增强抵御勒索软件攻击的弹性、解决滥用虚拟货币进行赎金支付等问题，但中俄两国并未在受邀参会之列。