近日，乐高网站遭受加密货币诈骗者的短暂入侵，以推广一种可以用以太坊购买的假乐高代币，此次攻击持续了大约 75 分钟才得以恢复。黑客将乐高官方网站的主横幅替换为一张图片，显示出带有“乐高”标志的加密代币和文字。与许常见的密货币骗局不同，该骗局并没有引导用户至恶意网站以窃取资产，而是将访问者带到 Uniswap 加密货币平台购买诈骗代币。

近日，澳大利亚、美国、英国等9国14家监管机构联合发布《运营技术网络安全原则》，该文件阐述了指导创建和维护安全、可靠的关键基础设施OT（运营技术）环境的六项原则：安全至上，确保系统安全；了解业务，保护关键系统；保护OT数据的完整性；将OT与其他所有网络进行隔离和分段；确保网络安全供应链；人员是OT网络安全的第一道防线。关键基础设施组织依赖OT来控制和管理提供这些关键服务的物理设备和流程。因此，关键服务的连续性依赖于OT的网络安全和安全性。

美国汇款巨头速汇金公司证实，黑客在上个月的一次网络攻击中窃取了其客户的个人信息和交易数据。该公司在周一的一份声明中称，9月20日，攻击者未经授权访问了客户的数据，导致大量客户个人信息及交易数据被盗。由于这次网络攻击，速汇金的网站和应用程序不得不中断服务一周。

国家发展改革委、国家数据局等部门共同发布了《国家数据标准体系建设指南》，该指南以实现数据的顺畅供应、流动、使用和保障安全为目标，全面指导数据标准化工作的开展。计划到2026年底，基本完成国家数据标准体系的构建，并在数据流通、数据管理、数据服务等方面制定30多项国家标准。

近日，国务院公布了《网络数据安全管理条例》，该条例计划于2025年1月1日起正式施行。条例分为9章，共包含64条具体规定，旨在规范网络数据处理活动，保障数据安全，同时促进数据的合法、有效利用，并保护个人与组织的合法权益，维护国家安全与公共利益。《网络数据安全管理条例》的发布，标志着中国在网络数据安全管理方面迈出了重要一步，旨在加强网络数据安全，提升个人信息保护水平，同时推动网络数据依法合理有效利用。

近日，Imperva 发布《API和机器人攻击的经济影响报告》 ，指出组织每年因脆弱或不安全的API（应用程序编程接口）和机器人自动化滥用而损失940亿至1860亿美元。报告强调，这些安全威胁占全球网络事件和损失的11.8%。通过分析超过 161,000 起网络安全事件，显示了一个令人担忧的趋势：易受攻击或不安全的 API 和爬虫程序的自动滥用所构成的威胁越来越相互关联且普遍存在。

最近的一项调查显示，谷歌的AI辅助功能集Gemini for Workspace容易受到间接提示注入攻击。这些漏洞可在电子邮件或共享文档中插入恶意指令来操纵AI助手，以产生误导性或非本意的响应，从而引发了人们对该聊天机器人所生成信息的可信度和可靠性的严重担忧，突显了企业级应用中的AI安全问题。此外，这些漏洞还拥有实施网络钓鱼攻击的能力，已从 Gmail 扩展到谷歌的其他产品。

近日，据外媒报道，微软检测到 Storm-0501 使用 Cobalt Strike 在网络中横向移动被入侵的凭据并发送后续命令。通过使用 Rclone 将数据传输到 MegaSync 公共云存储服务，实现了内部环境的数据外渗。攻击者还创建了对云环境的持续后门访问，并将勒索软件部署到内部部署环境中，这是继 Octo Tempest 和 Manatee Tempest 之后，最新针对混合云设置的威胁行为者。

绿盟科技伏影实验室近日监测到新型僵尸网络家族gorillabot进入异常活跃状态，自9月4日至27日，该家族下发了超过30万条DDoS攻击指令，单日最高达2万余条，攻击目标遍布113个国家，中美两国受害最为严重。

近日，爱尔兰监管机构对Meta公司（Facebook的母公司）处以1.01亿美元的罚款，原因是该公司以明文形式存储了数亿用户的密码，并允许内部员工广泛访问。爱尔兰数据保护委员会自五年前开始调查此事件，并最终对Meta进行了罚款。欧盟已因违反GDPR对Meta累计罚款超过22.3亿美元。

新华社9月30日消息，国务院总理李强日前签署国务院令，公布《网络数据安全管理条例》，自2025年1月1日起施行。《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共9章64条，主要规定了以下内容：一是提出网络数据安全管理总体要求和一般规定，二是细化个人信息保护规定，三是完善重要数据安全制度，四是优化网络数据跨境安全管理规定，五是明确网络平台服务提供者义务。

近日，Immunefi的数据显示，与去年同期相比，今年第三季度加密货币行业因黑客攻击造成的损失减少了38%，而因欺诈造成的损失则减少了86%。Web3 漏洞赏金平台在其最近的报告中披露，在 31 起具体事件中，黑客攻击造成的损失共计 4.1 亿美元，而在 3 起事件中，欺诈造成的损失为 300 万美元。印度加密货币交易所 WazirX 遭受的损失最大，因黑客攻击损失超过 2.3 亿美元。与此同时，新加坡加密货币交易所 BingX 损失了 5200 万美元。

近日，一个存在十多年的高危远程代码执行漏洞（评分9.9）在Linux发行版的CUPS打印系统中被披露，涉及CVE编号CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。该漏洞允许攻击者无需验证即可远程执行任意代码，影响范围包括多数Linux发行版、部分BSD系统、ChromeOS等。研究人员Simone Margaritelli已通知开发团队。目前，尚无修复补丁，用户可通过禁用cups-browsed服务、更新CUPS、阻止UDP端口631访问及关闭DNS-SD等措施降低风险。

近日，据外媒报道，美国发生了一起大规模数据泄露事件，超1亿美国公民的个人信息遭到泄露。Cybernews 发现了这一漏洞，并称泄露事件的起因源于背景调查公司 MC2 Data 的一个配置错误的数据库，据称该数据库中有2.2TB的敏感数据遭遇非法访问。此外，加密密码也遭遇泄露，极易受到暴力破解。一旦被破解，特别是与电子邮件地址相连时，由于密码重复使用的普遍做法，它们有可能允许未经授权访问其他系统。此外，MC2 Data 服务的用户也受到了影响，总数超过 230 万人。

9月28日，启明星辰发布公告称，公司已顺利完成一系列重大变更，包括注册资本增至1,218,369,376元，总股本同步跃升，主要得益于向特定对象（含战略投资者中国移动等）发行股票及回购注销部分限制性股票。同时，法定代表人由王佳变更为魏冰，魏冰女士现任中国移动通信有限公司政企事业部副总经理。

据外媒报道，安全研究人员发现起亚汽车经销商门户网站存在严重漏洞，如果成功利用这些漏洞，只需使用目标车辆的车牌，30秒内就可以远程控制汽车的关键功能。该漏洞影响了几乎所有2013年后生产的车辆，甚至让攻击者秘密获取敏感信息，包括受害者的姓名、电话号码、电子邮件地址和实际地址。攻击者可能会滥用这一功能，在车主不知情的情况下将自己添加为目标车辆的第二个用户。起亚目前解决了漏洞问题，但证据表明这些漏洞曾在野外被利用。

据外媒报道，近日，七国集团（G7）网络专家组（CEG）就金融体系的安全性和重要的网络安全政策事项向G7财长和央行行长提供建议，其已将量子计算确定为对金融体系具有潜在风险的领域，建议金融机构采取措施评估和减轻相关风险，包括与技术提供商和网络安全专家合作，进行风险评估，并制定应对计划，以确保过渡到抗量子体系时的安全。

由内存安全问题导致的安卓漏洞比例已从 2019 年的 76% 降至 2024 年的仅 24%，五年间大幅下降超 68% ，这远远低于之前在Chromium中发现的70%。谷歌通过优先使用 Rust 等内存安全语言编写新代码来实现这一结果，从而最大限度减少新漏洞的引入。此外，谷歌对旧代码进行了最小限度的修改，重点放在安全修复上，而非大范围的重写，以确保互操作性的安全和便捷性。

9月26日，据外媒报道，微软公司识别了名为Vanilla Tempest的黑客组织采用的新攻击手段。该组织利用INC勒索软件针对美国医疗保健组织实施网络攻击，通过利用医疗保健系统的安全漏洞部署勒索软件，加密敏感数据，并要求支付赎金以解密数据，严重威胁了医疗服务的连续性和患者隐私。

9月25日，据OCCRP消息，国际非法经济打击联盟（ICAIE）在其最新报告中称，在2023年全球电子商务产生的20万亿美元中，盗版商品占4.5万亿美元。电子商务欺诈激增的原因之一是移动设备可以轻松访问全球金融系统。利用数字钱包的移动应用程序允许用户转移资金，而这些资金如果通过本地银行网络转移可能会被标记，货币转换器应用程序为犯罪分子提供了一个掩盖非法资金来源的渠道。