9月23日，工信部发布《关于侵害用户权益行为的APP通报（2021年第10批，总第19批）》，工信部近期组织第三方检测机构重点对假日出行、民生服务类APP进行抽测，截至目前尚有52款APP未完成整改。各通信管理局按照工信部统筹部署，积极开展APP技术检测，截至目前尚有282款APP未按时限要求完成整改，包含驴妈妈旅游、南方航空、悟空租车等APP，涉及超范围收集个人信息，强制、频繁、过渡索取权限等问题。

近日，福建莆田警方通报称，两名医疗业相关工作人员在社交网络群组中传播本地新冠肺炎病毒核酸检测结果初筛阳性人员及其密接者个人信息，传播内容包含受害人姓名、身份证号、电话、地址及近期行程等隐私内容，对受害者造成相当程度的伤害和困扰，依据治安管理处罚法，对两人处以罚款500元的行政处罚。

近日，观成科技宣布获得新一轮战略融资，本轮投资方为泰岳梧桐资本，这是继今年2月份完成Pre-A轮融资后的又一次融资。观成科技是一家以加密流量检测分析为核心技术的创新型网络安全厂商，目前发布了两款核心产品瞰云-加密威胁智能检测系统（ENS）、瞰影-加密业务监控分析系统（ENA）。观成科技表示，本轮融资完成后将加快完善产品布局，加大力度投入政企市场拓展。

据security affairs披露，安全研究员Bob Diachenko发现他的个人数据存储在一个未受保护的Elasticsearch数据库中，其中还包含超过1.06亿条泰国游客的个人信息。该数据库为200GB，暴露的记录包括全名、抵达日期、性别、居留身份、护照号码、签证信息和泰国入境卡号码等。Diachenko推测，任何在过去十年中去泰国旅行的外国人都可能在这次事件中暴露了他们的信息。目前暂无法确定数据库在被发现之前的暴露程度，但泰国当局称，数据库中不包含任何财务数据，也没有被任何未经授权的各方访问。

诈骗分子利用用户对iPhone 13发布会的关注伪造了一个虚假的苹果直播网站，并承诺会发放免费的比特币，吸引用户点击和欺诈。在搜引导用户访问一个特殊网站，欺诈者通过二维码发送0.1到20个比特币，就可以得到双倍的金额。这个骗局网站做工精细，超过6.9万美元被发送到该比特币钱包，骗子的网站目前已经关闭，可能会逃之夭夭。

McAfee发现一种新的Android恶意软件Elibomi针对印度纳税人展开攻击。该恶意软件伪装成报税应用程序，通过网络钓鱼窃取敏感的财务和个人信息。2020年11月发现的第一个攻击活动伪装成虚假的IT证书申请，而第二个攻击活动于2021年5月首次出现，伪装成虚假的报税程序。恶意软件使用短信伪装成印度税务部门进行投递。攻击者发送目标用户的姓名使钓鱼更加可信，欺骗用户相信是合法的报税应用程序。Elibomi窃取的数据被暴露在互联网上，包括电子邮件地址、号码、短信以及财务和个人信息。

班轮企业--达飞集团在官网发布的一份客户告知书中表示，该公司在对应用程序接口（APIs）的监控中发现，部分客户的信息，包括姓名、雇主、职位、电子邮件地址及电话号码等数据被泄露。达飞表示其IT团队已立即安装了安全补丁。达飞提醒客户不要分享个人账户密码或任何个人信息。同时，务必检查要求登录达飞平台电子邮件的真实性。就在一周前的9月13日，另一家班轮公司ONE，刚在官网发布一则网络钓鱼警报，关于有网络诈骗分子滥用ONE名称，通过电子邮件，向ONE的客户进行诈骗。

近日，广东网警通报了一起案件，一位珠宝店老板朱先生花费重金请专业团队开发的一套客户管理系统被“黑”，黑客在入侵系统后，有20多万条客户数据被泄露。经过调查，犯罪嫌疑人是这家珠宝公司的前员工，于2020年7月离职，为了获得利益，他用原公司账号密码123456登录了公司的客户管理系统，获取了大量的客户个人信息。

据报道，Facebook当地时间周二表示，自2016年以来，已向网络安全保障方面投入了高达130亿美元，以此反驳之前《华尔街日报》的批评报道。上周，《华尔街日报》发文指责Facebook。文章认为该公司旗下Instagram应用给年轻人带来负面影响，而Facebook忽视这种影响。

据Gizmodo报道，近日Epik大量数据被泄露到互联网上，本次被泄露的数据包含大约180GB的用户注册信息、付款历史记录、帐户凭据等。这次黑客行动据称与团体Anonymous有关。TechCrunch 的一份新报告似乎表明：该公司在遭遇黑客攻击前几周就收到了关于其平台中潜在的大型安全漏洞的警告。安全研究员Corben Leo表示，他在1月份联系了Epik的首席执行官Rob Monster，询问Epik是否有漏洞修复赏金计划或其他报告漏洞的方式，但他没有得到答复。Leo 表示，Epik的WHOIS 页面存在一个十年前的漏洞。

近日，广东省广州市公安局网警支队侦破一起利用手机木马程序远程控制摄像头的新型网络犯罪案件，据了解，该案是广东省首例非法入侵常规摄像头的黑客案件。犯罪嫌疑人何某供认，其通过组建大量群组，搜集监控摄像头权限信息，对10余种家庭摄像头实施非法入侵及控制行为，获取的视频用于自己观赏或与群友交流。据称，何某掌握500多组监控摄像头，主要涉及婚纱店、商超换衣间及家庭卧室等私密场所，其中约七成为家庭使用。

美国亚利桑那州的医院Desert Wells Family Medicine称其电子健康记录(EHR)系统遭到攻击。据悉，攻击发生在5月21日，即使该医院在攻击发生前备份了EHR中的所有数据，但攻击者对两个系统中的数据均进行了加密，使得系统中的所有EHR信息都已永久丢失。Desert Wells表示已尽其所能恢复数据但没有任何作用，他们正在构建全新的EHR系统。此外，其已通知35000个患者他们的健康信息可能已经泄露。

近日，安全公司Bitdefender发布了针对勒索软件REvil主解密器。Bitdefender称该解密器是由其和某执法部门合作开发的，适用于7月13日之前遭到REvil攻击的所有受害者。BleepingComputer研究人员利用今年早些时候的REvil样本对其进行验证，确定没有问题。7月份时，Kaseya也曾获得了REvil解密器，但该工具只适用于针对Kaseya的攻击活动的受害者。

9月15日，Anonymous声称已窃取托管运营商Epik近十年的数据，并在DDoSecrets上公开。Epik的客户包括Parler、Gab、The Donald和prolifewhistleblower.com等。此次攻击是EPIKFAIL行动的一部分，总计窃取了约180GB的数据，包括账户凭证、WHOIS历史、DNS更改、Git存储库和核心系统的 home 和 root 目录等。此外，该团伙曾在上周入侵了德克萨斯共和党的官方网站。

国新办9月17日举行新闻发布会，介绍公安机关护航全面建成小康社会有关情况。公安部网络安全保卫局局长王瑛玮在发布会上表示，数据安全事关国家安全、公共安全和广大群众的切身利益。目前，《数据安全法》已正式实施。公安机关将充分发挥职能作用，采取切实有效措施，全力保障国家数据安全。强调会加强数据安全监督管理，组织开展数据安全监督检查、检测评估等工作，督促数据处理者依法履行安全保护责任和义务，整改网络安全、数据安全风险、隐患、漏洞和突出问题，

在9月17日召开的2021补天白帽大会上，《2021中国白帽人才能力与发展状况调研报告》正式发布，报告显示，00后已经成为国内白帽人才的主力军，占比高达38.4%，95后的占比为34.6%，甚至还有少量10后年轻人加入了白帽子的队伍。报告显示，约有38.8%的白帽人才，每年人均提交有效安全漏洞数量超过10个；更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个。此外，有超过半数的白帽子是兼职做白帽，奖金收入并不是其收入的主要或唯一来源。

近日，泰国一所肾脏医院系统遭攻击者入侵，四万多名患者的个人信息和病例信息被盗。攻击者曾向医院去电，试图通过电话谈判来勒索医院。医院的高层坚持表示，泄漏的数据只包括患者的原始数据，并强调患者的诊断信息或医疗记录未被篡改。根据商业罪案调查局（CCBI）局长波尔·科恩猜·卡利克伦中将透露的信息，此次数据泄露事件背后的攻击者目前其真正身份尚不清楚，调查机构将寻求美国当局和其他国际组织的支持，以追踪发动此次攻击的网络犯罪分子。

澳大利亚发布2020-2021年度网络安全态势报告，该报告涵盖的财政年度为 2020年7月1日至2021年6月30日，澳大利亚网络安全中心(ACSC)回应了1630起事件，相当于每周约31起。与上一财年相比，2020-21财年的网络安全事件总数下降了28%。网络犯罪报告增加了13%，达到67,500份，每分钟报告的指标从每10分钟报告一份降至每8分钟报告一份。

微软周二发布安全更新，发布了60多个安全修复程序和更新来解决诸多漏洞，包括MSHTML中的远程代码执行(RCE)缺陷和其他严重漏洞。该漏洞编号为CVE-2021-40444，是Windows浏览器中的一个0day漏洞，微软警告该漏洞正被威胁行为者积极利用，劫持易受攻击的 Windows系统。

三名前NSA雇员承认为阿联酋提供了网络入侵服务，美国司法部对其处以最高75万美元的罚款。2019年路透社披露了阿联酋的Project Raven黑客入侵团队，该团队以其它政府、武装分子和批评政府的人权活动人士为监视对象。其成员包括了前NSA雇员，他们在入侵中使用了从NSA学到的技术。本周三名前雇员49岁的Marc Baier，34岁的Ryan Adams和40岁Daniel Gericke被控违反了美国的出口控制法律，他们与美国司法部达成的延缓起诉协议，同意在三年内支付75万、60万和33.5万美元罚款，以避免坐牢。