非洲银行在上周三确认因合作伙伴Debt-IN遭到攻击，导致部分客户信息泄露。Debt-In曾在今年4月份遭到勒索攻击，当时研究人员给出的结论是没有证据表明存在数据泄露问题。然而，经Debt-In确认后发现非洲银行部分客户的信息已泄露，该银行称，如果客户认为信息已被盗用，可向南非欺诈预防服务中心(SAFPS)申请免费的保护服务。

9月26日，在2021年世界互联网大会乌镇峰会开幕式上，特斯拉CEO伊隆·马斯克表示，特斯拉已在中国建立数据中心，所有中国业务所产生的所有数据完全存储在中国境内，车主所有个人身份信息不会转移到海外。马斯克指出，数据安全是智能网联汽车成功的关键，它不仅与个人利益密切相关，同时和整个社会利益息息相关。特斯拉乐见相关法律法规出台，加强数据管理。

9月26日，CCS 2021成都网络安全大会在成都盛大开幕。本届大会聚焦“世界变局下网络安全新趋势”，着眼新业态新模式健康发展的迫切需要，特邀权威专家学者共话全球数字世界新规则、数据安全治理新形势，诚请互联网头部企业，从需求方视角探讨网络安 全产业发展新需求，并重点围绕AI安全、金融安全、数据与业务安全、新型网络违法犯罪打击防范，以及白帽技术、威胁情报等多个议题展开深度思想碰撞、迸发智慧火花。

苹果公司新品手机iPhone 13系列正式发售后，有用户发现数据备份功能存在Bug,部分iPhone 13从备份中恢复到iPhone iPad后，可能会导致小组件重置到默认状态。Apple Music也有可能受到影响，比如无法访问目录、设置，或者使用同步库。苹果承认该问题在iPhone 13系列、iPad (9th generation)和iPad mini (6th generation)普遍存在。随后，苹果官方发布了紧急系统更新，修复了小部件在从备份还原后可能恢复到默认设置等一系列问题。

9月23日，Comparitech发布了一份勒索软件对股价影响的分析报告。报告指出，公司股价在勒索攻击后的24小时内会暴跌22.9%，但第二天立即回升，到第10天，平均股价会比攻击前更高；在所有勒索软件中，Ryuk对股价的负面影响最大；尽管在披露攻击活动后科技公司的股价起初跌幅较大，但它们在6个月后的表现优于非科技公司。

9月22日Cisco发布更新，修复了其多款产品中的32个漏洞。此次修复了罕见的CVSS评分为10的远程代码执行漏洞（CVE-2021-34770），存在于Cisco IOS XE软件的无线接入点控制和配置协议(CAPWAP)中，可导致RCE或DoS。此外，还修复了两个CVSS评分为9.8的漏洞，分别是SD-WAN中的软件缓冲区溢出漏洞(CVE-2021-34727)和IOS XE中的身份验证绕过漏洞（CVE-2021-1619）。

9月24日Google发布紧急更新，修复今年第12个Chrome中的0day。该漏洞为Portals API中的释放后使用漏洞，追踪为CVE-2021-37973。Google称该漏洞已被在野利用，并未披露有关此漏洞的详细信息。该漏洞是在Apple修复CVE-2021-30869之后的第二天发布的，研究人员指出，它还可以与WebKit中的远程代码执行结合使用。

近日研究人员发现，一份据称包含38亿条用户隐私信息的数据库正在一个黑客论坛中出售，据称该数据库是通过将之前抓取的Clubhouse中的 38 亿个电话号码与用户对应的 Facebook 个人资料结合起来编制的，该汇编数据包括用户姓名、电话号码等数据，泄露数据或将被用于 网络钓鱼和社工攻击。

近日研究人员发现，一份据称包含38亿条用户隐私信息的数据库正在一个黑客论坛中出售，据称该数据库是通过将之前抓取的Clubhouse中的 38 亿个电话号码与用户对应的 Facebook 个人资料结合起来编制的，该汇编数据包括用户姓名、电话号码等数据，泄露数据或将被用于 网络钓鱼和社工攻击。

近日，微软安全团队表示，他们发现了一项利用类似托管的基础设施向网络犯罪团伙提供钓鱼服务。微软称这项服务为“网络钓鱼即服务”(Phishing-as-a-Service)。据悉，该服务运营商被称为BulletProofLink、BulletProftLink或Anthrax，目前在地下网络犯罪论坛上进行广告宣传。BulletProofLink商店中提供大约120种不同的网络钓鱼模板。此外，该站点还提供教程以帮助客户使用该服务。

CISA、FBI和NSA在9月22日联合发布了有关Conti攻击活动的警报。这些机构称，勒索软件运营商Conti总计攻击了400多个机构和组织，在典型的攻击活动中它会窃取文件、加密服务器，并要求受害者支付赎金。研究人员建议的缓解措施包括：更新操作系统和软件使其始终保持最新状态、启用多重身份验证机制以及实施网络分段。

海康威视IP摄像机和NVR固件近日曝出了一个远程代码执行漏洞，该漏洞影响了70多款产品。研究人员称攻击者可以通过不受限制的root shell完全控制设备，并利用已被入侵的设备访问其内部网络。此外，利用该漏洞不需要用户交互，只需要访问http(s)服务器端口（通常为80或443）即可。研究人员于2021年6月20日发现该漏洞，海康威视于9月19日发布了关于该漏洞的固件更新。

Google于9月22日发布安全更新，修复了Chrome中的多个漏洞。其中较为严重的是离线使用中的释放后使用漏洞（CVE-2021-37956）、WebGPU中的释放后使用漏洞（CVE-2021-37957）、任务管理器中的释放后使用漏洞（CVE-2021-37959）和DevTools中的侧信道信息泄露漏洞（CVE-2021-37963）等。

网络安全公司 WizCase 称，发现哥伦比亚房地产公司 Coninsa Ramon H 发生大规模数据泄露，暴露在公网中的1 TB 数据中包含55万个文件，涉及超过10万名客户的个人信息。研究人员称，这些数据暴露在公网中，无需密码和登录凭证就可直接查看，数据并未加密。目前尚不清楚这些文件是否在任何竞选活动中被不良行为者使用。Coninsa Ramon H 没有回应 The Hacker News 通过电子邮件发送的有关该漏洞的询问。

9月22日，全球第三大轮船公司法国达飞轮船在官网确认再次遭到勒索软件攻击，部分客户信息遭泄露。据报道，实施攻击的黑客发送了一封电子邮件，声称他们侵入了该运营商的公司数据库，截取了49.9万名客户的信息。黑客还要求CMA CGM支付“赎金”，但CMA CGM拒绝支付。

9月23日，工信部发布《关于侵害用户权益行为的APP通报（2021年第10批，总第19批）》，工信部近期组织第三方检测机构重点对假日出行、民生服务类APP进行抽测，截至目前尚有52款APP未完成整改。各通信管理局按照工信部统筹部署，积极开展APP技术检测，截至目前尚有282款APP未按时限要求完成整改，包含驴妈妈旅游、南方航空、悟空租车等APP，涉及超范围收集个人信息，强制、频繁、过渡索取权限等问题。

近日，福建莆田警方通报称，两名医疗业相关工作人员在社交网络群组中传播本地新冠肺炎病毒核酸检测结果初筛阳性人员及其密接者个人信息，传播内容包含受害人姓名、身份证号、电话、地址及近期行程等隐私内容，对受害者造成相当程度的伤害和困扰，依据治安管理处罚法，对两人处以罚款500元的行政处罚。

近日，观成科技宣布获得新一轮战略融资，本轮投资方为泰岳梧桐资本，这是继今年2月份完成Pre-A轮融资后的又一次融资。观成科技是一家以加密流量检测分析为核心技术的创新型网络安全厂商，目前发布了两款核心产品瞰云-加密威胁智能检测系统（ENS）、瞰影-加密业务监控分析系统（ENA）。观成科技表示，本轮融资完成后将加快完善产品布局，加大力度投入政企市场拓展。

据security affairs披露，安全研究员Bob Diachenko发现他的个人数据存储在一个未受保护的Elasticsearch数据库中，其中还包含超过1.06亿条泰国游客的个人信息。该数据库为200GB，暴露的记录包括全名、抵达日期、性别、居留身份、护照号码、签证信息和泰国入境卡号码等。Diachenko推测，任何在过去十年中去泰国旅行的外国人都可能在这次事件中暴露了他们的信息。目前暂无法确定数据库在被发现之前的暴露程度，但泰国当局称，数据库中不包含任何财务数据，也没有被任何未经授权的各方访问。

诈骗分子利用用户对iPhone 13发布会的关注伪造了一个虚假的苹果直播网站，并承诺会发放免费的比特币，吸引用户点击和欺诈。在搜引导用户访问一个特殊网站，欺诈者通过二维码发送0.1到20个比特币，就可以得到双倍的金额。这个骗局网站做工精细，超过6.9万美元被发送到该比特币钱包，骗子的网站目前已经关闭，可能会逃之夭夭。