流行的密码管理器 1Password 发布了 Linux 桌面客户端的首个 beta 版本。这是一个功能完整的 Linux 桌面应用，正式版本预计将在明年初释出。Linux 版本的后端是完全用 Rust 语言开发的，利用了 ring 加密库实现端对端加密。其主要功能包括：快速查找和智能搜索建议；新的外观；等等。

安全公司 Rapid7 和安全研究员 Rafay Baloch 合作在 7 款移动浏览器上发现了十个假冒网址漏洞。受影响的浏览器包括了 Apple Safari、Opera Touch 和 Opera Mini，以及 Bolt、RITS、UC Browser 和 Yandex Browser。所谓假冒网址漏洞是指浏览器允许恶意的网站修改其网址冒充知名网站。这些漏洞是在今年初发现的，在 8 月报告给了浏览器开发商，大型开发商已经修复了漏洞，而小型开发商根本就没有回应研究人员，更不用说修复漏洞了。

Hugo Xu 在流行广告扩展 uBlock Origin 基础上开发了广告屏蔽扩展 Nano Adblocker 和 Nano Defender，安装量大约有 30 万。18 天前他表示自己没有时间维护扩展，其开发落后于上游版本几个月，因此他决定出售发布在 Google 扩展商店 Chrome Web Store 中的版本所有权，声明对新开发者的任何行动不再负责任。几天前，uBlock Origin 的开发者 Raymond Hill 透露，新开发者释出了更新加入了恶意功能。新版本会悄悄上传用户浏览数据，并操作用户的社交媒体账号给 Instagram 上的照片点赞。Google 在收到报告之后已经将扩展移除。Xu 表示发表在 Firefox 和 Microsoft Edge 扩展商店的版本不受影响。这不是第一次扩展转手之后变成了恶意程序。

美国宣布起诉 6 名俄罗斯政府黑客。这些黑客隶属于 Sandworm，代表俄罗斯情报总局 74455 部队发动了多起备受瞩目的黑客攻击，其中包括对乌克兰政府及其基础设施的 NotPetya 攻击，对法国选举的攻击，对韩国平昌冬奥会的主办方及 IT 系统的攻击（当年俄罗斯被禁赛），对禁止化学武器组织的攻击，对格鲁吉亚公司和政府实体的攻击。六人被控 7 项罪名，包括计算机欺诈罪，破坏受保护计算机罪和身份盗窃等。

纽约州金融服务部公布了发生在 7 月 15 日的 Twitter 黑客攻击调查报告。报告称，攻击始于 7 月 14 日下午，一名或多名黑客打电话给多名 Twitter 员工，自称是 IT 部门的技术支持，声称他们收到了 VPN 问题相关的报告。在切换到远程工作之后，VPN 出问题在 Twitter 十分常见。黑客尝试将 Twitter 员工引导到一个模仿 VPN 入口的钓鱼网站，当员工在钓鱼网站输入他们的登陆凭证，黑客同时在真实的 Twitter 网站输入账号。错误输入产生了一个 Multi-Factor Authentication 通知，要求员工验证身份，部分员工这么做了。没有证据表明 Twitter 员工知道他们在帮助黑客。黑客利用收集到的 Twitter 员工个人信息来说服员工相信他们是真的技术支持。黑客获得的 Twitter 员工登陆凭证并不能让他们访问内部工具，但通过该账号黑客掌握了更多内部系统的信息。7 月 15 日，黑客针对了能访问内部工具的 Twitter 员工。之后他们使用内部工具接管和出售 OG（original gangste） 账号，劫持名人的账号骗取比特币，窃取到价值超过 11.8 万美元的比特币。

安全公司 Bitdefender 的研究人员发现大约 9000 台物联网设备——大部分运行 Android，少数运行 Linux 和 Darwin——组成了被称为 Storm 的僵尸网络，其主要目的是创建盈利目的的代理服务器。这不是第一次僵尸网络充当代理服务器。攻击者是通过 SSH 扫描寻找弱密码或默认密码的设备然后感染机器，恶意程序 IPStorm 是用 Go 语言编写，整合了 NTP、UPnP 和 SOCKS5 等协议的开源实现，将 lib2p 库用于点对点功能。

微软在 8 月的例行更新中修复了被命名为 Zerologon 的高危漏洞 CVE-2020-1472，它允许已在目标网络立足的任意攻击者完全控制 Active Directory。该漏洞可被用于发动勒索软件攻击或植入间谍软件。安全研究人员在 9 月中旬公开了漏洞利用的 poc 代码，之后就传出黑客正在利用该漏洞的消息。安全研究员 Kevin Beaumont 上周披露，他设立的蜜罐探测到黑客正尝试利用 Zerologon 向尚未打补丁的服务器植入后门。攻击是利用脚本发动的，所有命令都在数秒内完成，攻击者使用用户名 sdb 和密码 jinglebell110@ 创建了账号并启用了远程桌面，即使服务器后来打上了补丁攻击者仍然能持续远程访问。

香港和澳门的三星手机用户报告，三星最近释出的固件将中国大陆的公共 DNS 服务 114.114.114.114 加入到了 DNS 设置中，三星手机还被发现连接到 WIFI 时大约每分钟向包括 114 在内的所有 DNS 服务器查询一次 qq.com 的域名，即使用户没有安装任何腾讯的软件。这一消息引发了隐私方面的担忧。三星在 10 月中旬释出的最新固件修复了 DNS 问题，但对 qq.com 的查询没有发生改变。

提供在线计分板服务的 Keepthescore 透露他们“不小心删了产品库”。幸运的是云服务商 DigitalOcean 每天会自动备份数据库，因此在删库之后他们使用备份数据库恢复了服务，但有大约 7 小时的数据永久丢失了。开发者承认他们也不知道是什么原因导致了删库，他们在代码中特别强调是删除 localhost 的数据库，但不知为何却把产品数据库删掉了。有人猜测与 SSH 端口转发有关，开发者的开发机通过 SSH 连接到产品服务器，localhost 的数据库实际上就是产品数据库。

据知情人士的消息，股票交易应用 Robinhood 约 2000 个 账号被入侵，账户内的资金遭到窃取。此前 Robinhood 表示数量有限的客户遭到网络攻击，攻击者利用客户的个人电邮获得了访问权限。但一部分受害者拒绝接受这一解释，他们表示没有发送个人电邮遭到入侵的证据。黑客攻击引发了受害者通过社交网络的大量投诉。这家在线券商没有客户电话服务，因此受害者无法通过打电话报告账号问题。Robinhood 本周向客户推送通知，建议他们启用二步认证。一部分受害者表示他们启用了二步认证但账号仍然遭到入侵。

勒索软件黑帮 Egregor 宣称获得了知名游戏公司育碧和 Crytek 的内部数据。 Egregor 在其网站上声称获得了育碧即将在本月晚些时候发布的游戏《Watch Dogs: Legion》的源代码，但暂时无法验证其声明是否属实。为了成功勒索受害者，流行的勒索软件在加密数据的同时会窃取数据，以防万一受害者利用备份恢复数据拒绝勒索时以泄露数据为由进行二次勒索。目前 Egregor 公开了 20 MB 的育碧数据和 300 MB Crytek 数据。育碧和 Crytek 拒绝置评。

Google 和英特尔对 Linux 内核的一个高危蓝牙漏洞发出警告。被称为 BleedingTooth 的漏洞允许攻击者在蓝牙接收范围内使用内核权限执行任意代码。漏洞位于内核蓝牙子系统 BlueZ 中，影响 Linux 2.4.6 及之后的版本。发现该漏洞的 Google 工程师 Andy Nguyen 表示会在不久之后公布细节。英特尔发布了安全公告，它推荐用户升级到 5.10，但如果内核升级不可能，可以直接安装内核补丁去解决该问题。

视频会议软件 Zoom 宣布将从下周开始提供端对端加密的技术预览版本。免费和付费用户都可以使用端对端加密。Zoom 使用的加密算法是 AES-GCM，它前不久收购了 Keybase，端对端技术的实现就是由 Keybase 联合创始人 Max Krohn 领导的。在端对端加密模式中，视频会议使用的密钥是由用户的机器生成的，加密数据通过 Zoom 服务器中转，因为没有解密密钥，Zoom 并不知道会议内容。

犯罪分子伪造 Electrum 钱包应用更新窃取了价值超过 2200 万美元的用户数字货币。Electrum 设计通过名叫 ElectrumX 的服务器网络连接比特币区块链，它的开放生态系统允许任何人设置 ElectrumX 网关服务器。从 2018 年起网络犯罪分子滥用这一漏洞设置恶意服务器等待用户随机连接到他们的系统。当连接发生之后，攻击者会指示服务器在用户应用上弹出更新通知引诱用户下载恶意更新。更新下载链接不是来自官网而是域名相似的网站或 GitHub 库。安装恶意更新之后攻击者就会尝试转移走用户钱包里的数字货币。利用这种方法攻击者窃取到了 1980 个比特币，价值超过 2200 万美元。

嘉年华旅游集团证实在 8 月份的勒索软件攻击中客户、雇员和船员的个人信息失窃。嘉年华是全球最大的邮轮公司，雇佣了 12 万员工，拥有 102 艘邮轮。新冠疫情导致其暂停运营，而在新冠之前它每年接待 1100 万游客。今年 8 月，嘉年华宣布它遭到了勒索软件攻击，部分系统被加密，部分文件遭到未经授权下载。在递交的 SEC 的最新文件中，嘉年华披露部分个人信息泄露，但它没有披露有多少人受到影响，以及哪些个人信息泄露。

微软正利用商标法去破坏僵尸网络 Trickbot。Trickbot 感染了数以百万计的计算机，传播勒索软件，它已经成为一个全球性威胁。美国军方的网络战司令部过去几天也在尝试破坏 Trickbot 僵尸网络。微软从弗吉尼亚州的一家法庭获得命令接管 Trickbot 使用的多台服务器。微软递交的民事诉讼文件称，Trickbot 背后的攻击者在感染 Windows 系统过程中对微软的品牌和商标造成了极大的损害。在获得法庭命令之后，微软负责客户安全的副总裁 Tom Burt 称他们切断了 Trickbot 使用的关键基础设施。微软承认此举未必能永久性破坏 Trickbot，攻击者可以通过改变指令控制服务器恢复行动。

中国公司 Qiui 开发的联网男性贞操装置被发现存在安全漏洞，能被黑客远程控制并永久锁定。被称为 Cellmate Chastity Cage 的“智能设备”允许用户将生殖器的使用权交给伴侣，通过移动应用远程锁定或解锁。英国安全公司 Pen Test Partners 指出应用设计中的多个漏洞允许任何人远程锁定所有设备并阻止解锁。该装置没有提供任何手动控制或实体钥匙，一旦锁定要解锁将会非常麻烦，一种方法是用砂轮机破坏套住生殖器的不锈钢环，另一种方法是使用 3 伏电使控制锁的电路板过载。

美国大型医疗保健提供商球健康服务公司(Universal Health Services，UHS)成为勒索软件的最新受害者。对 UHS 的攻击发生在周日早晨，勒索软件锁住了 UHS 多处设施的计算机和电话系统。计算机屏幕显示了 Ryuk 的勒索信息。知情人士称，每个人被告知关闭所有计算机不要再次启动。雇员被告知计算机恢复工作可能需要几天时间。UHS 周一发表声明称安全问题导致其 IT 网络离线，表示正与合作伙伴一同尽可能快的恢复 IT 运营。UHS 称目前没有发现病人或雇员信息被访问或复制。UHS 在英国和美国有约 400 家医院和医疗保健设施。

OpenSSH 项目释出了 v8.4。OpenSSH 8.4 的一大变化是弃用 SHA-1 算法，ssh-rsa 公钥签名算法将在未来发布的版本中默认禁用。开发者称，对 SHA-1 算法发动选择前缀攻击的花费不到 5 万美元，因此他们决定未来默认将其禁用。虽然存在更好的替代，但 SHA-1 算法至今仍然被广泛使用。可选的替代算法包括：RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512；ssh-ed25519 签名算法；RFC5656 ECDSA 算法ecdsa-sha2-nistp256/384/521。

安全公司 Avast 的研究员 Martin Hron 逆向工程了 Smarter 公司的联网智能咖啡机，发现了很多漏洞。利用这些漏洞，他能触发咖啡机打开燃烧器，出水，启动磨豆机，显示勒索信息，让咖啡机重复发出哔哔的声音。唯一阻止这一切混乱的方法是拔掉电源插头。Hron 发现咖啡机与智能手机应用之间的连接是没有加密的，没有身份验证，没有代码验证，最新的固件就储存在手机应用，可以很容易导出进行逆向工程。