美国汇款巨头速汇金公司证实，黑客在上个月的一次网络攻击中窃取了其客户的个人信息和交易数据。该公司在周一的一份声明中称，9月20日，攻击者未经授权访问了客户的数据，导致大量客户个人信息及交易数据被盗。由于这次网络攻击，速汇金的网站和应用程序不得不中断服务一周。

国家发展改革委、国家数据局等部门共同发布了《国家数据标准体系建设指南》，该指南以实现数据的顺畅供应、流动、使用和保障安全为目标，全面指导数据标准化工作的开展。计划到2026年底，基本完成国家数据标准体系的构建，并在数据流通、数据管理、数据服务等方面制定30多项国家标准。

近日，国务院公布了《网络数据安全管理条例》，该条例计划于2025年1月1日起正式施行。条例分为9章，共包含64条具体规定，旨在规范网络数据处理活动，保障数据安全，同时促进数据的合法、有效利用，并保护个人与组织的合法权益，维护国家安全与公共利益。《网络数据安全管理条例》的发布，标志着中国在网络数据安全管理方面迈出了重要一步，旨在加强网络数据安全，提升个人信息保护水平，同时推动网络数据依法合理有效利用。

近日，Imperva 发布《API和机器人攻击的经济影响报告》 ，指出组织每年因脆弱或不安全的API（应用程序编程接口）和机器人自动化滥用而损失940亿至1860亿美元。报告强调，这些安全威胁占全球网络事件和损失的11.8%。通过分析超过 161,000 起网络安全事件，显示了一个令人担忧的趋势：易受攻击或不安全的 API 和爬虫程序的自动滥用所构成的威胁越来越相互关联且普遍存在。

最近的一项调查显示，谷歌的AI辅助功能集Gemini for Workspace容易受到间接提示注入攻击。这些漏洞可在电子邮件或共享文档中插入恶意指令来操纵AI助手，以产生误导性或非本意的响应，从而引发了人们对该聊天机器人所生成信息的可信度和可靠性的严重担忧，突显了企业级应用中的AI安全问题。此外，这些漏洞还拥有实施网络钓鱼攻击的能力，已从 Gmail 扩展到谷歌的其他产品。

近日，据外媒报道，微软检测到 Storm-0501 使用 Cobalt Strike 在网络中横向移动被入侵的凭据并发送后续命令。通过使用 Rclone 将数据传输到 MegaSync 公共云存储服务，实现了内部环境的数据外渗。攻击者还创建了对云环境的持续后门访问，并将勒索软件部署到内部部署环境中，这是继 Octo Tempest 和 Manatee Tempest 之后，最新针对混合云设置的威胁行为者。

绿盟科技伏影实验室近日监测到新型僵尸网络家族gorillabot进入异常活跃状态，自9月4日至27日，该家族下发了超过30万条DDoS攻击指令，单日最高达2万余条，攻击目标遍布113个国家，中美两国受害最为严重。

近日，爱尔兰监管机构对Meta公司（Facebook的母公司）处以1.01亿美元的罚款，原因是该公司以明文形式存储了数亿用户的密码，并允许内部员工广泛访问。爱尔兰数据保护委员会自五年前开始调查此事件，并最终对Meta进行了罚款。欧盟已因违反GDPR对Meta累计罚款超过22.3亿美元。

新华社9月30日消息，国务院总理李强日前签署国务院令，公布《网络数据安全管理条例》，自2025年1月1日起施行。《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共9章64条，主要规定了以下内容：一是提出网络数据安全管理总体要求和一般规定，二是细化个人信息保护规定，三是完善重要数据安全制度，四是优化网络数据跨境安全管理规定，五是明确网络平台服务提供者义务。

近日，Immunefi的数据显示，与去年同期相比，今年第三季度加密货币行业因黑客攻击造成的损失减少了38%，而因欺诈造成的损失则减少了86%。Web3 漏洞赏金平台在其最近的报告中披露，在 31 起具体事件中，黑客攻击造成的损失共计 4.1 亿美元，而在 3 起事件中，欺诈造成的损失为 300 万美元。印度加密货币交易所 WazirX 遭受的损失最大，因黑客攻击损失超过 2.3 亿美元。与此同时，新加坡加密货币交易所 BingX 损失了 5200 万美元。

近日，一个存在十多年的高危远程代码执行漏洞（评分9.9）在Linux发行版的CUPS打印系统中被披露，涉及CVE编号CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。该漏洞允许攻击者无需验证即可远程执行任意代码，影响范围包括多数Linux发行版、部分BSD系统、ChromeOS等。研究人员Simone Margaritelli已通知开发团队。目前，尚无修复补丁，用户可通过禁用cups-browsed服务、更新CUPS、阻止UDP端口631访问及关闭DNS-SD等措施降低风险。

近日，据外媒报道，美国发生了一起大规模数据泄露事件，超1亿美国公民的个人信息遭到泄露。Cybernews 发现了这一漏洞，并称泄露事件的起因源于背景调查公司 MC2 Data 的一个配置错误的数据库，据称该数据库中有2.2TB的敏感数据遭遇非法访问。此外，加密密码也遭遇泄露，极易受到暴力破解。一旦被破解，特别是与电子邮件地址相连时，由于密码重复使用的普遍做法，它们有可能允许未经授权访问其他系统。此外，MC2 Data 服务的用户也受到了影响，总数超过 230 万人。

9月28日，启明星辰发布公告称，公司已顺利完成一系列重大变更，包括注册资本增至1,218,369,376元，总股本同步跃升，主要得益于向特定对象（含战略投资者中国移动等）发行股票及回购注销部分限制性股票。同时，法定代表人由王佳变更为魏冰，魏冰女士现任中国移动通信有限公司政企事业部副总经理。

据外媒报道，安全研究人员发现起亚汽车经销商门户网站存在严重漏洞，如果成功利用这些漏洞，只需使用目标车辆的车牌，30秒内就可以远程控制汽车的关键功能。该漏洞影响了几乎所有2013年后生产的车辆，甚至让攻击者秘密获取敏感信息，包括受害者的姓名、电话号码、电子邮件地址和实际地址。攻击者可能会滥用这一功能，在车主不知情的情况下将自己添加为目标车辆的第二个用户。起亚目前解决了漏洞问题，但证据表明这些漏洞曾在野外被利用。

据外媒报道，近日，七国集团（G7）网络专家组（CEG）就金融体系的安全性和重要的网络安全政策事项向G7财长和央行行长提供建议，其已将量子计算确定为对金融体系具有潜在风险的领域，建议金融机构采取措施评估和减轻相关风险，包括与技术提供商和网络安全专家合作，进行风险评估，并制定应对计划，以确保过渡到抗量子体系时的安全。

由内存安全问题导致的安卓漏洞比例已从 2019 年的 76% 降至 2024 年的仅 24%，五年间大幅下降超 68% ，这远远低于之前在Chromium中发现的70%。谷歌通过优先使用 Rust 等内存安全语言编写新代码来实现这一结果，从而最大限度减少新漏洞的引入。此外，谷歌对旧代码进行了最小限度的修改，重点放在安全修复上，而非大范围的重写，以确保互操作性的安全和便捷性。

9月26日，据外媒报道，微软公司识别了名为Vanilla Tempest的黑客组织采用的新攻击手段。该组织利用INC勒索软件针对美国医疗保健组织实施网络攻击，通过利用医疗保健系统的安全漏洞部署勒索软件，加密敏感数据，并要求支付赎金以解密数据，严重威胁了医疗服务的连续性和患者隐私。

9月25日，据OCCRP消息，国际非法经济打击联盟（ICAIE）在其最新报告中称，在2023年全球电子商务产生的20万亿美元中，盗版商品占4.5万亿美元。电子商务欺诈激增的原因之一是移动设备可以轻松访问全球金融系统。利用数字钱包的移动应用程序允许用户转移资金，而这些资金如果通过本地银行网络转移可能会被标记，货币转换器应用程序为犯罪分子提供了一个掩盖非法资金来源的渠道。

9月25日，据外媒报道，美国特拉华州的三十多家为居民提供免费的互联网和计算机服务的图书馆，于 9 月 20 日成为黑客目标，所有计算机和互联网的都遭到破坏。全州的计算机实验室都已关闭，图书馆无法上网。黑客正在向该州索要赎金，但特拉华州图书馆分部已明确表示拒付赎金，并计划重建系统。

谷歌近日公布了密码管理器 PIN，允许 Chrome 网络用户在 Windows、macOS、Linux、ChromeOS和 Android设备之间同步密钥。据了解，此 PIN 码增加了一层额外的安全保护，以确保用户密码是端到端加密，任何人都无法访问。用户只需扫描其生物识别技术，就可以更容易地使用通行密钥登录在线服务。谷歌指出，预计很快就会提供对 iOS 的支持。这要求用户在使用新设备上的密码钥匙之前，必须知道他们安卓设备的密码管理器PIN码或屏幕锁定方式。