9月22日Cisco发布更新，修复了其多款产品中的32个漏洞。此次修复了罕见的CVSS评分为10的远程代码执行漏洞（CVE-2021-34770），存在于Cisco IOS XE软件的无线接入点控制和配置协议(CAPWAP)中，可导致RCE或DoS。此外，还修复了两个CVSS评分为9.8的漏洞，分别是SD-WAN中的软件缓冲区溢出漏洞(CVE-2021-34727)和IOS XE中的身份验证绕过漏洞（CVE-2021-1619）。

9月24日Google发布紧急更新，修复今年第12个Chrome中的0day。该漏洞为Portals API中的释放后使用漏洞，追踪为CVE-2021-37973。Google称该漏洞已被在野利用，并未披露有关此漏洞的详细信息。该漏洞是在Apple修复CVE-2021-30869之后的第二天发布的，研究人员指出，它还可以与WebKit中的远程代码执行结合使用。

近日研究人员发现，一份据称包含38亿条用户隐私信息的数据库正在一个黑客论坛中出售，据称该数据库是通过将之前抓取的Clubhouse中的 38 亿个电话号码与用户对应的 Facebook 个人资料结合起来编制的，该汇编数据包括用户姓名、电话号码等数据，泄露数据或将被用于 网络钓鱼和社工攻击。

近日研究人员发现，一份据称包含38亿条用户隐私信息的数据库正在一个黑客论坛中出售，据称该数据库是通过将之前抓取的Clubhouse中的 38 亿个电话号码与用户对应的 Facebook 个人资料结合起来编制的，该汇编数据包括用户姓名、电话号码等数据，泄露数据或将被用于 网络钓鱼和社工攻击。

近日，微软安全团队表示，他们发现了一项利用类似托管的基础设施向网络犯罪团伙提供钓鱼服务。微软称这项服务为“网络钓鱼即服务”(Phishing-as-a-Service)。据悉，该服务运营商被称为BulletProofLink、BulletProftLink或Anthrax，目前在地下网络犯罪论坛上进行广告宣传。BulletProofLink商店中提供大约120种不同的网络钓鱼模板。此外，该站点还提供教程以帮助客户使用该服务。

CISA、FBI和NSA在9月22日联合发布了有关Conti攻击活动的警报。这些机构称，勒索软件运营商Conti总计攻击了400多个机构和组织，在典型的攻击活动中它会窃取文件、加密服务器，并要求受害者支付赎金。研究人员建议的缓解措施包括：更新操作系统和软件使其始终保持最新状态、启用多重身份验证机制以及实施网络分段。

海康威视IP摄像机和NVR固件近日曝出了一个远程代码执行漏洞，该漏洞影响了70多款产品。研究人员称攻击者可以通过不受限制的root shell完全控制设备，并利用已被入侵的设备访问其内部网络。此外，利用该漏洞不需要用户交互，只需要访问http(s)服务器端口（通常为80或443）即可。研究人员于2021年6月20日发现该漏洞，海康威视于9月19日发布了关于该漏洞的固件更新。

Google于9月22日发布安全更新，修复了Chrome中的多个漏洞。其中较为严重的是离线使用中的释放后使用漏洞（CVE-2021-37956）、WebGPU中的释放后使用漏洞（CVE-2021-37957）、任务管理器中的释放后使用漏洞（CVE-2021-37959）和DevTools中的侧信道信息泄露漏洞（CVE-2021-37963）等。

网络安全公司 WizCase 称，发现哥伦比亚房地产公司 Coninsa Ramon H 发生大规模数据泄露，暴露在公网中的1 TB 数据中包含55万个文件，涉及超过10万名客户的个人信息。研究人员称，这些数据暴露在公网中，无需密码和登录凭证就可直接查看，数据并未加密。目前尚不清楚这些文件是否在任何竞选活动中被不良行为者使用。Coninsa Ramon H 没有回应 The Hacker News 通过电子邮件发送的有关该漏洞的询问。

9月22日，全球第三大轮船公司法国达飞轮船在官网确认再次遭到勒索软件攻击，部分客户信息遭泄露。据报道，实施攻击的黑客发送了一封电子邮件，声称他们侵入了该运营商的公司数据库，截取了49.9万名客户的信息。黑客还要求CMA CGM支付“赎金”，但CMA CGM拒绝支付。

9月23日，工信部发布《关于侵害用户权益行为的APP通报（2021年第10批，总第19批）》，工信部近期组织第三方检测机构重点对假日出行、民生服务类APP进行抽测，截至目前尚有52款APP未完成整改。各通信管理局按照工信部统筹部署，积极开展APP技术检测，截至目前尚有282款APP未按时限要求完成整改，包含驴妈妈旅游、南方航空、悟空租车等APP，涉及超范围收集个人信息，强制、频繁、过渡索取权限等问题。

近日，福建莆田警方通报称，两名医疗业相关工作人员在社交网络群组中传播本地新冠肺炎病毒核酸检测结果初筛阳性人员及其密接者个人信息，传播内容包含受害人姓名、身份证号、电话、地址及近期行程等隐私内容，对受害者造成相当程度的伤害和困扰，依据治安管理处罚法，对两人处以罚款500元的行政处罚。

近日，观成科技宣布获得新一轮战略融资，本轮投资方为泰岳梧桐资本，这是继今年2月份完成Pre-A轮融资后的又一次融资。观成科技是一家以加密流量检测分析为核心技术的创新型网络安全厂商，目前发布了两款核心产品瞰云-加密威胁智能检测系统（ENS）、瞰影-加密业务监控分析系统（ENA）。观成科技表示，本轮融资完成后将加快完善产品布局，加大力度投入政企市场拓展。

据security affairs披露，安全研究员Bob Diachenko发现他的个人数据存储在一个未受保护的Elasticsearch数据库中，其中还包含超过1.06亿条泰国游客的个人信息。该数据库为200GB，暴露的记录包括全名、抵达日期、性别、居留身份、护照号码、签证信息和泰国入境卡号码等。Diachenko推测，任何在过去十年中去泰国旅行的外国人都可能在这次事件中暴露了他们的信息。目前暂无法确定数据库在被发现之前的暴露程度，但泰国当局称，数据库中不包含任何财务数据，也没有被任何未经授权的各方访问。

诈骗分子利用用户对iPhone 13发布会的关注伪造了一个虚假的苹果直播网站，并承诺会发放免费的比特币，吸引用户点击和欺诈。在搜引导用户访问一个特殊网站，欺诈者通过二维码发送0.1到20个比特币，就可以得到双倍的金额。这个骗局网站做工精细，超过6.9万美元被发送到该比特币钱包，骗子的网站目前已经关闭，可能会逃之夭夭。

McAfee发现一种新的Android恶意软件Elibomi针对印度纳税人展开攻击。该恶意软件伪装成报税应用程序，通过网络钓鱼窃取敏感的财务和个人信息。2020年11月发现的第一个攻击活动伪装成虚假的IT证书申请，而第二个攻击活动于2021年5月首次出现，伪装成虚假的报税程序。恶意软件使用短信伪装成印度税务部门进行投递。攻击者发送目标用户的姓名使钓鱼更加可信，欺骗用户相信是合法的报税应用程序。Elibomi窃取的数据被暴露在互联网上，包括电子邮件地址、号码、短信以及财务和个人信息。

班轮企业--达飞集团在官网发布的一份客户告知书中表示，该公司在对应用程序接口（APIs）的监控中发现，部分客户的信息，包括姓名、雇主、职位、电子邮件地址及电话号码等数据被泄露。达飞表示其IT团队已立即安装了安全补丁。达飞提醒客户不要分享个人账户密码或任何个人信息。同时，务必检查要求登录达飞平台电子邮件的真实性。就在一周前的9月13日，另一家班轮公司ONE，刚在官网发布一则网络钓鱼警报，关于有网络诈骗分子滥用ONE名称，通过电子邮件，向ONE的客户进行诈骗。

近日，广东网警通报了一起案件，一位珠宝店老板朱先生花费重金请专业团队开发的一套客户管理系统被“黑”，黑客在入侵系统后，有20多万条客户数据被泄露。经过调查，犯罪嫌疑人是这家珠宝公司的前员工，于2020年7月离职，为了获得利益，他用原公司账号密码123456登录了公司的客户管理系统，获取了大量的客户个人信息。

据报道，Facebook当地时间周二表示，自2016年以来，已向网络安全保障方面投入了高达130亿美元，以此反驳之前《华尔街日报》的批评报道。上周，《华尔街日报》发文指责Facebook。文章认为该公司旗下Instagram应用给年轻人带来负面影响，而Facebook忽视这种影响。

据Gizmodo报道，近日Epik大量数据被泄露到互联网上，本次被泄露的数据包含大约180GB的用户注册信息、付款历史记录、帐户凭据等。这次黑客行动据称与团体Anonymous有关。TechCrunch 的一份新报告似乎表明：该公司在遭遇黑客攻击前几周就收到了关于其平台中潜在的大型安全漏洞的警告。安全研究员Corben Leo表示，他在1月份联系了Epik的首席执行官Rob Monster，询问Epik是否有漏洞修复赏金计划或其他报告漏洞的方式，但他没有得到答复。Leo 表示，Epik的WHOIS 页面存在一个十年前的漏洞。