安全研究人员在8月16日透露，FBI的恐怖分子观察名单的副本在网上暴露了超过三周。此次泄露的数据库可能属于FBI恐怖分子筛查中心(TSC)，创建于2003年，用来应对911恐怖袭击，包含了已知或被怀疑参与恐怖活动的个人详细信息。研究人员在7月19日发现了该Elasticsearch数据库，直到8月9日才被保护起来。有趣的是，该数据库的IP地址是巴林而非美国，尚不清楚泄露的来源。

Kaspersky发布了2021年Q2移动安全态势的分析报告。报告指出，在第二季度检测到的所有威胁中，RiskTool恶意软件的占比最大（38.48%），比去年增加23.04%，其中大部分属于SMSreg系列(93.52%)。总共检测到886105个恶意安装包，比上一季度减少了565555个，其中24604个是手机银行木马，3623个是移动勒索软件木马。移动恶意软件感染较多的国家为伊朗（23.79%）、沙特阿拉伯（23.09%）、中国（18.97%）和阿尔及利亚（18.47%）等。

美国缅因州政府称，该州的两家污水处理厂遭到了勒索软件攻击。该州环境保护部门指出攻击发生在Mount Desert和Limestone，这是缅因州污水系统第一次遭到入侵。Limestone负责人称攻击者于7月4日攻击了他们一台运行了Windows 7系统的计算机，目前没有居民的信息泄露。Mount Desert负责人表示攻击导致办公室的电脑停机了3天，但是处理厂没有受到影响，也没有居民的信息泄露。

Hackread.com在8月15日报道称，黑客在俄罗斯黑客论坛出售巴基斯坦联邦税务局FBR(fbr.gov.pk)超过1500台计算机的网络访问权。FBR是巴基斯坦最高的联邦执法机构，负责调查税务犯罪和洗钱等。据悉，攻击者首先攻击了Microsoft Hyper-V软件，然后入侵了该机构的官方网站及其所有子域。Hackread.com称黑客目前正在以26000美元的价格出售FBR的访问权；还要求FBR支付30000美元，否则将被入侵的FBR服务器上的所有设备出售给感兴趣的买家。

8月17日，美国网络安全与基础设施安全局（CISA）、美国联邦调查局（FBI）、澳大利亚网络安全中心（ACSC）和英国国家网络安全中心（NCSC）近日联合发布了网络安全报告《热门常用漏洞》。报告重点介绍了2020年以来全球网络攻击活动中排名前30的常用漏洞，同时提供了30个漏洞对应的修补和防护措施。漏洞主要涉及远程工作、VPN和基于云的技术等，报告建议各组织就相关漏洞采用可用补丁并采用集中补丁管理系统。

安全419获悉，8月17日，北京网络安全大会组委会发布通知称，经研究决定，2021北京网络安全大会于2021年8月26日-28日举办。为了做好疫情防控，大会采用线上+线下的举办形式。

新华社官方微博发布消息，8月17日提请全国人大常委会会议三审的个人信息保护法草案对禁止“大数据杀熟”等内容作出规定。草案明确，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。草案还规定，个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。

GitHub宣布从8月13日起，对Git任何操作身份验证时将不再接受账户密码的方式，所有Git 操作都需要基于令牌的身份验证，例如个人访问token、OAuth、SSH密钥或使用令牌按照的GitHub应用程序。

据外媒报道，Colonial Pipeline正在向5810名现任和前任员工发送违约通知信，这些员工的个人信息在5月份的网络攻击事件中被勒索软件攻击组织访问。该公司在8月13日承认，5月6日，勒索软件攻击组织“获得了存储在其系统中的某些记录”。受影响的记录包含某些个人信息，如姓名、联系信息、出生日期、政府颁发的身份证（如社会保险、军人身份证、税务身份证和驾照号码）和健康相关信息（包括健康保险信息）。公司还表示，并不是所有信息都会对每个受影响的个体产生影响。

8月17日，中央人民政府网发布中华人民共和国国务院第745号令：《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，现予公布，自2021年9月1日起施行。条例指出，运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。值得注意的是，条例要求“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。”，这意味着关基设施的网络安全建设需求将更加旺盛。

据Techspot报道，美国西弗吉尼亚州和俄亥俄州许多医院和诊所的系统网络当地时间8月16日遭受了勒索软件攻击。作为回应，相关机构关闭了与这些医院相关的网站和在线服务，并开始取消一些原定安排。报道显示，玛丽埃塔纪念医院、塞尔比综合医院和西斯特维尔综合医院的工作人员已改用纸质图表，直到系统恢复为止，并指出到目前为止，还没有患者的个人或财务信息被曝光，但目前尚不清楚是哪个组织发起的攻击。

据ZDNet报道，巴西政府发布报告称巴西财政部于8月13日遭到勒索软件攻击。根据经济部的一份声明显示，政府立即采取了初步措施来遏制网络攻击的影响。迄今为止的初步评估发现，国家财政部的结构系统，例如与公共债务管理有关的平台，没有受到损害。来自国家财政部和数字政府秘书处（DGS）的安全专家正在分析勒索软件攻击的影响。联邦警察也已收到通知。该部指出，有关这一事件的新信息“将以适当的透明度及时披露”。

天际友盟于8月16日正式发布2021年上半年DRP数字风险防护报告，该报告由天际友盟双子座实验室撰写，分为数字风险概述、数字风险评估、上半年数字风险现状、数字风险溯源分析、中外数字风险场景的相似与差异、数据风险防护指南、总结等七个章节，全面反映了2021年上半年的数字风险状况，并明确指出了当前数字风险的特点和发展趋势，针对性地提出了关于数据风险的防护指南，同时对企业的数字风相关的安全建设也提出了建议，对业内有着很强的指导意义。     原文链接

8月16日，斗象科技正式宣布引入战略投资方中电科核心技术研发股权投资基金（以下简称中电科研投基金），完成D2轮近2亿元融资。中电科研投基金此次战略入股，将助力斗象在网络安全数据智能基础设施、网络安全人工智能应用范式和网络安全创新生态方面迈出更加坚定有力的步伐，增强斗象服务网络强国建设的长期战略定力，标志着新生代网络安全领军企业斗象科技正式跻身“国家队”行列。​

思科Talos威胁情报研究团队发现微软的PrintNightmare漏洞被一个名为Vice Society的勒索软件团伙所利用。调查发现，Vice Society与之前的HelloKitty勒索软件组织有关联，且目前正在利用PrintNightmare Print Spooler漏洞相关的动态链接库文件注入勒索软件，来攻击那些易受感染的系统。

据ZDNet报道，SentinelLabs发布的最新报告显示，针对苹果产品的新型广告程序行为已被发现。 在2019年将AdLoad确定为macOS的广告软件和捆绑软件加载程序后，这家网络安全公司表示已发现150个新的广告软件样本，他们声称“苹果设备上的恶意软件扫描程序仍未检测到这些样本”。据报道，其中一些样本甚至经过了苹果公司的公证。苹果使用XProtect安全系统来检测所有Mac电脑上的恶意软件，并初步创建了一个针对AdLoad的保护方案，但该公司表示，新发现的恶意程序不受XProtect系统的的任何保护。

据日经新闻报道，包括丰田和日产在内的90家公司将组成一个联盟，保护联网汽车免受网络攻击。这两家公司将检查其汽车软件安全缺陷，并共享网络攻击趋势等信息，以防止劫持和数据盗窃。微软、趋势科技、NTT通讯和日本财产保险公司等将加入丰田和日产等汽车制造商以及电装和松下等零部件制造商的行列。根据该联盟的合作关系，汽车软件缺陷将每周更新一次。每家公司都将进行检查，确保他们使用的软件不存在安全漏洞。会员们还将获得世界各地报告的黑客攻击方法的实际案例。

据外媒报道，T-Mobile近日正在调查一个出售大量个人数据的论坛帖子。帖子内容中虽然没有明确提到T-Mobile，但这个卖家表示自己已经获得了超过1亿人的数据，而且这些数据来自T-Mobile的服务器。同时，目前看这些数据包括社会安全号码、电话号码、姓名、地址、IMEI号码和驾照信息。目前，卖家希望得到6比特币，约合27万美元，这个价格将会包含3000万个社会安全号码和驾照的数据。另外，卖家表示他们还正在私下出售其余数据。

最近HornetSecurity一项针对420多家企业的调查发现（即针对使用Microsoft 365平台的企业之间的电子邮件安全级别和问题而展开的研究调查），其中约四分之一的企业报告了有关电子邮件的安全漏洞。在这些安全漏洞中，36%是由网络钓鱼攻击造成的，这些攻击的目标可以说是任何安全系统中最薄弱的环节，即最终用户。该公司询问了使用微软365平台的企业，希望了解他们如何在日益分散的工作环境中处理电子邮件安全。

根据康奈尔大学技术团队在USENIX 安全会议上发布的一项研究，该团队发现了一种新型的后门攻击，这种攻击可以“操纵自然语言建模系统以产生错误的输出并逃避任何已知的防御”，这类攻击被命名为“代码中毒”。该团队表示，通过代码中毒攻击，攻击者不再需要观察代码的执行，也不需要在训练期间或训练后观察后门模型的权重。攻击在模型训练时“即时”合成中毒输入，并使用多目标优化，以在主任务和后门任务上同时实现高精度。