10 月 9 日，Mozilla 释出了紧急更新 Firefox v131.0.2、ESR 128.3.1 和 ESR 115.16.1，修复了一个正被活跃利用的释放后使用远程代码执行漏洞 CVE-2024-9680。Tor 项目随后也释出了相应的更新 Tor Browser v13.5.7（Tor Browser 是基于 Firefox ESR 版本），证实攻击者能利用该漏洞控制 Tor 浏览器，但不太可能在 Tails 操作系统中去匿名化用户。Tails 是基于 Tor 的匿名操作系统。

中国黑客入侵了美国三大 ISP 的系统，访问了专门为执法部门进行监听而创建的安全后门。这一事件凸显了苹果几年前关于加密后门的观点的正确性。当时苹果拒绝了 FBI 的要求，在 iPhone 上创建后门以破解 Bernardino 和 Pensacola 案件枪手的手机。苹果认为，一旦为政府创建了后门，那么黑客发现后门只是时间问题。加密系统要么安全要么不安全，不存在不那么安全的加密系统，其他人能利用加密漏洞是时间问题而不是能不能的问题。法律要求 ISP 为执法部门创建后门用于监听，现在黑客找到并访问了后门。如果苹果为 iPhone 创建了后门，那么情况也会相同。

互联网档案馆 archive.org 遭遇了用户数据泄露。一名黑客入侵了网站，窃取了包含 3100 万条唯一记录的用户身份验证数据库。黑客还创建了一则 JavaScript 警告，在用户访问 archive.org 时警告网站遭到入侵用户数据泄露。Have I Been Pwned 数据泄露通知服务的作者 Troy Hunt 表示，黑客在 9 天前与他分享了互联网档案馆的用户身份验证数据库，名为 ia_users.sql 的 SQL 数据库大小为 6.4GB，包含了注册用户的电邮地址、网名、密码更改时间戳、Bcrypt 哈希密码等数据。数据库含有 3100 万个唯一电邮地址。

研究人员报告一种秘密的挖矿恶意程序感染了数千台运行 Linux 的系统。该恶意程序至少从 2021 年开始传播，它利用愈 2 万个常见错误配置感染系统，还能利用去年修复的 Apache RocketMQ 高危漏洞 CVE-2023-33426，其危险等级 10/10。研究人员将该恶意程序命名为 Perfctl，恶意程序作者为其程序进程起了一个与常见 Linux 进程相似的名字，组合了 perf Linux 监控工具和命令行工具 ctl。该恶意程序利用了多种方法防止其被检测出来，并确保具有持续感染能力，在机器重启或核心组件被删除后仍然能留在被感染设备上。它的主要功能是利用 CPU 挖掘加密货币，以及作为代理工具为付费用户中继网络流量，此外还可以作为安装其它恶意程序的后门。

因 Meta 多年时间里以纯文本存储愈 5 亿用户密码，爱尔兰数据保护委员会 (DPC) 对其处以 1.015 亿美元罚款。该问题是在 2019 年发现的，主要影响非美国用户，Facebook/Meta 此前披露受影响的主要是 Facebook Lite 服务。Facebook Lite 是 Meta 为网速较慢地区用户推出的服务。Meta 被指违反了欧盟数字保护法 GDPR，包括未通知 DPC 纯文本存储用户密码的可能个人数据泄露。Meta 的用户密码没有泄露到外界，但允许其工程师内部访问。

民宿秘密安装摄像头偷拍再次引发了广泛关注，民宿经营者偷拍不是为了满足自己的欲望，而是整个产业链的关键组成部分。一位前民宿经营者称，在 2017 年，她还经营民宿的时候，就有不少民宿同行在装修毛坯房屋时，主动在房间里安装摄像头，每个房间至少有 3-5 个摄像头，并会同步云端，进行直播。“低价高质”的房型是民宿老板们吸引客流的常用手段。一些民宿店老板通常会对房屋进行精致的装潢，并将房间价格定得极低。而学校和景区附近的情趣房、网红房、各类主题房是偷拍的重灾区。对于这些民宿老板，盈利的主要方式并非依靠房费，而是依靠售卖偷拍视频与直播收费观看。有些民宿老板通过售卖偷拍视频或直播观看权的每日收入高达五位数。这些人通常都有团队，形成成熟的产业链——民宿老板负责提供拍摄的视频以及直播资源，并由其他人在网络上进行售卖。一名前民宿从业者告诉记者，为了规避风险，这些卷入偷摄黑色产业链的民宿老板在营业一年后就会将民宿低价转让给外行，但在原民宿房间没有被查出的摄像头依旧可以继续拍摄牟利。

卡巴斯基报告，Google Play 市场提供的两款应用“无他相机（Wuta Camera）”和 Max Browser 被发现含有了恶意 SDK。这两款应用的下载量达到 1100 万次。SDK 表面上支持广告展示，但背后使用了一系列复杂方法与恶意服务器秘密通信，上传用户数据并下载可随时执行和更新的恶意代码。该恶意程序家族被称为 Necro。在包含恶意 SDK 的应用中，无他相机下载量愈千万次，受影响的版本为 v6.3.2.148 到 6.3.6.148， Max Browser 下载量百万次，它已从 Google Play 下架。其它受影响应用包括了 Spotify、Minecraft、WhatsApp、Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox 的修改版本。

美国政府于今年六月以国家安全理由宣布从 7 月 20 日起在美国禁售卡巴斯基，卡巴斯基允许在 9 月 29 日前继续提供起杀毒软件的更新。9 月初，卡巴斯基与美国杀毒软件公司 UltraAV 达成协议，将其美国客户转移到 UltraAV，其客户将保留现有的订阅，还能使用其 VPN 服务。卡巴斯基向其客户发送了邮件通知，但部分客户没有收到或未注意到，他们报告一觉醒来计算机中的卡巴斯基已经被自动替换为 UltraAV，还自动安装了 Ultra VPN。前美国政府安全官员表示，这是授予卡巴斯基访问权限带来安全风险的一个例子。

在对中国电动汽车征收 100% 关税之后，美国商务部准备事实上禁止中国制造的电动汽车，它将以国家安全的理由禁止中国联网汽车软件和硬件在美国公路上行驶。商务部长 Gina Raimondo 表示，外国竞争对手开发的联网汽车可用于监视，可远程控制，威胁到美国人在公路上的隐私和安全。在极端情况下，他们可能关闭或控制在美国的联网汽车，制造车祸，阻塞交通。中国在 2021 年也实施了类似的禁令，禁止特斯拉汽车进入军事基地和其它国有设施。

安全专家 Bruce Schneier 认为以色列的袭击改变了世界。以色列通过引爆在传呼机和对讲机等个人使用的无线设备中植入的塑料炸弹而杀死了至少 37 人。这一行动令世界震惊，但以色列所使用的方法并不新颖，该国以前就通过渗透供应链在设备中植入塑料炸弹。此次行动的新颖之处在于其毁灭性和公开性，凸显了日益扩大的灰色地带。供应链很脆弱，我们更脆弱，计算机、汽车、冰箱、家用恒温器等等各种电子设备提供了无处不在的目标。国际供应链中的任何国家和个人都可能破坏设备。在以色列跨过界限之后，其它国家几乎肯定会认为这种策略是可接受的。它可以在战争期间对军队展开，也可以在战前对平民展开。发达国家将特别容易受到攻击，因为国民拥有太多容易遭到攻击的电子设备。

CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件，当接收者点击链接后其申请的证书将会自动获得批准。安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。Google 因此提议停止将 WHOIS 用于域名验证。

乌克兰国家安全机构 National Security and Defence Council 宣布在政府官员、军方人员和关键工作人员使用的官方设备上禁止使用 Telegram，担心俄罗斯可能通过 Telegram 监视信息和用户。乌克兰的最新限制仅限于官方设备，不适用个人设备。Telegram 在乌克兰和俄罗斯都被广泛使用，是双方重要的信息来源，但乌克兰安全官员多次对战时使用 Telegram 表达了担忧。Telegram 总部位于迪拜，创始人是出生于俄罗斯的 Pavel Durov。

德国联邦信息安全局(Federal Office for Information Security)表示，十分之一受 CrowdStrike 事件影响的组织正在抛弃旧的安全解决方案，其中 4% 已经放弃，另外 6% 即将放弃。联邦信息安全局没有澄清它所指的旧安全方案是否就是 CrowdStrike 公司的 Falcon 产品。这一结果来自对 311 家受影响德国机构的调查。23% 的被调查组织表示他们首先是从社交媒体而不是 CrowdStrike 公司了解此事的，48% 的组织被迫短时间停止运营，它们的平均下线时间是 10 小时。除了影响业务连续性外，40% 的组织表示它们与客户的关系受到了此事件的损害。66% 被调查组织表示已改进或将改进应急方案。

黑客组织 NullBulge 入侵了迪士尼企业内部通信使用的工具 Slack，窃取并公开了数千 Slack 频道的数据，包括代码和未发布项目信息。NullBulge 泄露了愈 1 TB 数据，这一入侵发生在 7 月，迪士尼 8 月表示正对此展开调查。路透社现在报道，迪士尼计划停止将 Slack 作为整个公司的协作工具，部分团队已经切换到其他协作工具，预计今年晚些时候完成过渡。

FBI 局长 Christopher Wray 周三披露该机构上周接管了一个中国黑客组织控制的僵尸网络，该僵尸网络由数十万台联网设备如摄像头、录像机、NAS 存储设备和路由器构成。该组织被称为 Flax Typhoon，瞄准了美国及海外的关键基础设施，针对了美国企业和媒体机构到大学和政府机构。该僵尸网络利用了恶意程序 Mirai 感染容易入侵的联网设备。FBI 发现了一个包含愈 120 万条被感染设备记录的数据库，其中美国设备数量超过 38.5 万台。

安全公司 Doctor Web 报告，它监测到 197 个国家/地区用户的近 130 万 Android 机顶盒被植入后门 Android.Vo1d。木马作者使用了 vo1d 这一名字命名组件的原因可能是试图将其伪装成系统程序 /system/bin/vold，它也由此文件名称而得名。Android.Vo1d 感染的机顶盒型号分别为运行 Android 7.1.2 的 R4，运行 Android 12.1 的 TV BOX，以及 Android 10.1 的 KJ-SMART4KVIP。攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的版本，没有修复漏洞，并且厂家不再提供更新。研究人员不清楚机顶盒后门感染的源头。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了 root 权限，另一种可能是使用了具有 root 访问权限的非官方固件版本。

德国 Tor 节点运营者于 8 月 16 日再次遭当地警方的突击搜查。第一次搜查是在 2017 年。德国警方可能仍然认为搜查节点运营者有助于去匿名化个别 Tor 用户的身份。运营者表示警方基本上是空手而归，他们准备挑战搜查令以确保类似的事件不会再次发生。但此类行动也令节点运营者感到不安，考虑停止运营出口节点。Tor 出口节点是构成 Tor 回路的三个中继的最后一跳，连接了Tor 匿名网络与开放互联网，出口节点运营者面临最大的风险。

微软周二对一个正被利用 0day 漏洞发出警告，攻击者正利用该漏洞回滚特定 Windows 版本的安全补丁。该漏洞编号为 CVE-2024-43491，严重等级 9.8/10。这是一种降级攻击，主要影响 2015 年发布的 Windows 10 v1507，更高版本的 Windows 10 不受影响。微软建议用户按次序安装 SSU KB5043936 和 9 月例行安全更新 KB5043083。

美国网络安全公司 CrowdStrike 今年 7 月因为有问题的更新导致了全世界的 Windows 主机蓝屏死机，有逾 800 万台 PC 受到影响，是过去十年最严重的安全事故。达美航空CEO Ed Bastian 上个月表示，该公司因此次事故损失了 5 亿美元。CrowdStrike CFO Burt Podbere 在花旗的会议上表示，尚未有客户正式提起诉讼，称公司致力于将客户关注的焦点从法律威胁转移到业务讨论上。他承认不知道这一切会如何收场，他希望随着时间的推移，法律威胁将会逐渐消失。

广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞，攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道，存在于其使用的一个微控制器中，而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆，不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌（Infineon）制造的 SLE78，以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞，它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的，这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。