近日，Immunefi的数据显示，与去年同期相比，今年第三季度加密货币行业因黑客攻击造成的损失减少了38%，而因欺诈造成的损失则减少了86%。Web3 漏洞赏金平台在其最近的报告中披露，在 31 起具体事件中，黑客攻击造成的损失共计 4.1 亿美元，而在 3 起事件中，欺诈造成的损失为 300 万美元。印度加密货币交易所 WazirX 遭受的损失最大，因黑客攻击损失超过 2.3 亿美元。与此同时，新加坡加密货币交易所 BingX 损失了 5200 万美元。

近日，一个存在十多年的高危远程代码执行漏洞（评分9.9）在Linux发行版的CUPS打印系统中被披露，涉及CVE编号CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。该漏洞允许攻击者无需验证即可远程执行任意代码，影响范围包括多数Linux发行版、部分BSD系统、ChromeOS等。研究人员Simone Margaritelli已通知开发团队。目前，尚无修复补丁，用户可通过禁用cups-browsed服务、更新CUPS、阻止UDP端口631访问及关闭DNS-SD等措施降低风险。

近日，据外媒报道，美国发生了一起大规模数据泄露事件，超1亿美国公民的个人信息遭到泄露。Cybernews 发现了这一漏洞，并称泄露事件的起因源于背景调查公司 MC2 Data 的一个配置错误的数据库，据称该数据库中有2.2TB的敏感数据遭遇非法访问。此外，加密密码也遭遇泄露，极易受到暴力破解。一旦被破解，特别是与电子邮件地址相连时，由于密码重复使用的普遍做法，它们有可能允许未经授权访问其他系统。此外，MC2 Data 服务的用户也受到了影响，总数超过 230 万人。

9月28日，启明星辰发布公告称，公司已顺利完成一系列重大变更，包括注册资本增至1,218,369,376元，总股本同步跃升，主要得益于向特定对象（含战略投资者中国移动等）发行股票及回购注销部分限制性股票。同时，法定代表人由王佳变更为魏冰，魏冰女士现任中国移动通信有限公司政企事业部副总经理。

据外媒报道，安全研究人员发现起亚汽车经销商门户网站存在严重漏洞，如果成功利用这些漏洞，只需使用目标车辆的车牌，30秒内就可以远程控制汽车的关键功能。该漏洞影响了几乎所有2013年后生产的车辆，甚至让攻击者秘密获取敏感信息，包括受害者的姓名、电话号码、电子邮件地址和实际地址。攻击者可能会滥用这一功能，在车主不知情的情况下将自己添加为目标车辆的第二个用户。起亚目前解决了漏洞问题，但证据表明这些漏洞曾在野外被利用。

据外媒报道，近日，七国集团（G7）网络专家组（CEG）就金融体系的安全性和重要的网络安全政策事项向G7财长和央行行长提供建议，其已将量子计算确定为对金融体系具有潜在风险的领域，建议金融机构采取措施评估和减轻相关风险，包括与技术提供商和网络安全专家合作，进行风险评估，并制定应对计划，以确保过渡到抗量子体系时的安全。

由内存安全问题导致的安卓漏洞比例已从 2019 年的 76% 降至 2024 年的仅 24%，五年间大幅下降超 68% ，这远远低于之前在Chromium中发现的70%。谷歌通过优先使用 Rust 等内存安全语言编写新代码来实现这一结果，从而最大限度减少新漏洞的引入。此外，谷歌对旧代码进行了最小限度的修改，重点放在安全修复上，而非大范围的重写，以确保互操作性的安全和便捷性。

9月26日，据外媒报道，微软公司识别了名为Vanilla Tempest的黑客组织采用的新攻击手段。该组织利用INC勒索软件针对美国医疗保健组织实施网络攻击，通过利用医疗保健系统的安全漏洞部署勒索软件，加密敏感数据，并要求支付赎金以解密数据，严重威胁了医疗服务的连续性和患者隐私。

9月25日，据OCCRP消息，国际非法经济打击联盟（ICAIE）在其最新报告中称，在2023年全球电子商务产生的20万亿美元中，盗版商品占4.5万亿美元。电子商务欺诈激增的原因之一是移动设备可以轻松访问全球金融系统。利用数字钱包的移动应用程序允许用户转移资金，而这些资金如果通过本地银行网络转移可能会被标记，货币转换器应用程序为犯罪分子提供了一个掩盖非法资金来源的渠道。

9月25日，据外媒报道，美国特拉华州的三十多家为居民提供免费的互联网和计算机服务的图书馆，于 9 月 20 日成为黑客目标，所有计算机和互联网的都遭到破坏。全州的计算机实验室都已关闭，图书馆无法上网。黑客正在向该州索要赎金，但特拉华州图书馆分部已明确表示拒付赎金，并计划重建系统。

谷歌近日公布了密码管理器 PIN，允许 Chrome 网络用户在 Windows、macOS、Linux、ChromeOS和 Android设备之间同步密钥。据了解，此 PIN 码增加了一层额外的安全保护，以确保用户密码是端到端加密，任何人都无法访问。用户只需扫描其生物识别技术，就可以更容易地使用通行密钥登录在线服务。谷歌指出，预计很快就会提供对 iOS 的支持。这要求用户在使用新设备上的密码钥匙之前，必须知道他们安卓设备的密码管理器PIN码或屏幕锁定方式。

据“国家安全部”微信公众号消息，一个名为“匿名者64”的黑客组织被揭露，其真实背景是台湾资通电军下属的网络战联队网络环境研析中心，专职负责对大陆实施网络认知战、舆论战。该组织针对中国大陆和港澳地区频繁开展网络攻击，试图获取有关门户网站、户外电子屏幕、网络电视等控制权限，进而非法上传、插播诋毁大陆政治制度和大政方针的内容，颠倒黑白，散布谣言。目前国家安全机关立案侦查了实施相关网络攻击活动的台湾人员身份，其中含三名台湾资通电军现役人员。

近日，新加坡加密平台BingX 声称遭到黑客攻击，经过调查，确定黑客盗取了价值4700多万美元的加密货币。技术团队于2024年9月20日晚上发现了异常网络活动，可能表明黑客攻击了BingX的热钱包。BingX立即响应事件，将资产转移到冷钱包，并暂时暂停提款。虽然发生了小额资产损失，但具体金额还在计算中。

9 月 18 日，勒索软件组织LockBit 将美国在线报税服务平台 eFile添加至受害者名单，要求在14天内支付赎金。攻击方并未发布任何文件或释放窃取数据的样例来印证其真实性，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。若情况属实，美国数百万纳税人的个人和财务数据将被窃取，用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。

全国网络安全标准化技术委员会近日发布《网络安全标准实践指南》，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。本指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

9月13日，谷歌宣布更新其Chrome网络浏览器中的抗量子加密技术，用完全标准化的基于模块晶格密钥封装机制（ML-KEM，NIST首批PQC标准之一）取代实验性的Kyber，以提升对量子计算潜在攻击的防御能力。这些变更预计将在Chrome浏览器 131 版本中生效，该版本将于 2024 年 11 月初发布。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测到以Windows和Linux系统为攻击目标的新型勒索病毒Cicada3301，攻击对象主要为中小型企业，可能导致数据窃取和业务中断等安全风险。该病毒使用ChaCha20算法对文件加密，一般通过网络钓鱼、漏洞利用、供应链攻击或僵尸网络等方式渗透目标系统，并在后台静默运行，采用间歇性加密和修改系统日志等方式来规避检测。在实施勒索攻击过程中，其通常会评估加密重要文件，通过窃取敏感数据以实施双重勒索

近日，Check Point 发布8月《全球威胁指数》报告。报告显示，勒索软件仍占主导地位，RansomHub依然是头号勒索软件团伙。RansomHub的前身是 Knight 勒索软件，自更名以来便快速蔓延，在全球范围内攻击了210多家受害者。与此同时，Meow 勒索软件风头渐起，Meow 是已知 Conti 勒索软件的变体，现已将攻击重点从文件加密转向数据提取，并将其勒索网站转变为数据泄露市场。在这种模式下，被盗数据被售卖给出价最高者，这不同于传统的勒索软件敲诈策略。

网络安全领域巨头Fortinet确认数据泄露事件，黑客通过公司的Microsoft Sharepoint服务器窃取了440GB文件。窃取数据后，黑客将凭据共享到一个疑似S3存储桶，其中存储了被盗数据供其他威胁行为者下载。黑客Fortibitch声称曾试图通过敲诈勒索的方式让Fortinet公司支付赎金。Fortinet公司拒绝了支付赎金的要求。据悉，Fortinet证实客户数据是从“第三方基于云的共享文件驱动器”中窃取的，并在后续发布声明，表示这次事件影响了不到0.3%的客户，并且没有导致任何针对客户的恶意活动。

近日，D-Link公司多个型号路由器被发现存在严重安全缺陷，影响数百万台设备。这些缺陷可能允许远程攻击者执行任意代码，对整个网络构成严重威胁。CVE编号从CVE-2024-45694到CVE-2024-45698，最高CVSS评分达到9.8。主要受影响的型号和固件版本包括：DIR-X5460 A1（固件版本1.01、1.02、1.04、1.10）和DIR-X4860 A1（固件版本1.00、1.04）。美国网络安全和基础设施安全局（CISA）等组织已将这些缺陷纳入已知被利用漏洞目录。据悉，这些缺陷主要涉及三类问题：堆栈缓冲区溢出、不当输入检查和隐藏功能。