Check Point研究人员发现，在过去的一年中黑客利用VoIP（互联网协议语音）漏洞入侵了20多个国家 地区的近1200个组织的VoIP网络，受害者包括政府，军事，保险，金融和制造业等各行各业。据悉，该漏洞去年已经修复，但许多组织都未对其系统打补丁。利用该漏洞，黑客可以无需任何身份验证即可远程访问，进行具有破坏性的活动，如监听、加密矿。

小米集团副总裁、安全与隐私委员会主席崔宝秋在小米 AIoT 安全大会上发布了小米 IoT 安全实验室编制的物联网产品安全基线，表示在安全技术标准上，小米坚持开放共享的原则，开放内部安全实践，共建物联网安全生态。用开源共建这个模式，打磨物联网产品安全基线，尽管这在目前看虽然只是一小步，但相信在未来会成为一大步。

11月5日，2020年全国工业互联网安全技术技能大赛决赛在江苏省南京市国际博览中心正式开幕，大赛创新搭建了“浸入式”工业互联网竞赛环境汇聚了产学研用顶尖战队，以赛促训，提升选手实战能力，全国累计5279支队伍、15837名选手报名参赛， 112支队伍晋级全国决赛。大赛闭幕式暨颁奖仪式将于11月6日下午在南京国际博览中心举行。

据外媒报道，巴西高等法院（STJ）在本周二下午遭受了RansomExx勒索软件攻击，STJ 暂停了11月3日到9日的所有视频判决会议，直到法院网络的安全得到恢复为止。目前巴西其他多个联邦政府机构的网站也处于离线状态，但是还尚不清楚他们是否受到相同威胁者的攻击，或者是否与法院位于同一地点。据匿名人士称，巴西伯南布哥州法院系统也在10月27日遭到RansomExx的攻击。

据外媒报道，意大利饮料供应商Campari11月1日遭遇RagnarLocker勒索软件攻击，关闭了很大一部分IT网络，攻击者要求一周内支付1500万美元的赎金。这家公司似乎选择了自己恢复其加密系统，拒绝支付赎金。但是目前Campari网站、电子邮件服务器和电话线路仍然关闭。

 一网络安全公司今天揭穿了一场跨国的大面积网络欺诈行动，在过去12个月中，数十个国家的1200多个组织的VoIP(Voice Ove rInternet Protocol)电话系统遭到了攻击，黑客入侵SIP服务器并获得控制权，使得黑客可以以多种方式滥用这些服务器，包括对外通话和窃听。其中一半以上的受害者在英国，包括政府、军事、保险、金融和制造业在内的行业均受创。

面对有人将GitHub Enterprise Server源代码副本进行分享的事件，北京时间11月5日，公司CEO否认GitHub遭到任何形式的黑客攻击。其声称“泄漏的源代码”只包括了GitHub企业服务器产品，并表示这个源代码在几个月前被公司工程师意外地泄露了。GitHub承诺将修复泄密者利用的两个漏洞，并防止未经授权的各方通过伪造身份将代码附加到他人的项目中。

Malware Labs威胁情报小组发现有恶意垃圾邮件被伪装成先前被盗的电子邮件的回执，邮件带有恶意Excel附件并伪装成安全DocuS文件，据称包含与选举干扰有关的信息。跟踪发现这是QBot僵尸网络（一种具有蠕虫特性的木马程序）正在推出的美国大选主题的网络钓鱼电子邮件，这些邮件被用来感染受害者电脑以获取用户数据和电子邮件，供今后的活动使用。

国家网信办自11月5日起开展为期45天的移动应用程序信息内容乱象专项整治，将以资讯类、社交类、音视频类、教育类、电子读物类、生活服务类移动应用程序为重点，着力解决移动应用程序传播违法违规信息、提供违法违规服务、服务导向背离主流价值观等突出问题，对违法违规的移动应用程序将依法依规采取约谈警告、责令整改、暂停版块或功能、关停下架等处置措施。

北京时间11月5日，伪装成Elon Musk(特斯拉CEO)的一名骗子，在回复特朗普推文中称，选举基本上大局已定，为了庆祝他将向用户赠送礼品，并给出链接把用户引流到一个网站，要求用户提供比特币以获取更高的回报。在骗取价值约合人民币25万元的虚拟货币后，骗子修改了Twitter账户名称，并删除了网站。据悉骗子使用的账户通过了Twitter的认证，用户名显示为“Elon Musk”。

网络犯罪分子正在滥用合法的Google Drive功能来欺骗用户点击恶意链接，并最终在他们的系统中安装恶意软件。这个钓鱼骗局源于Drive的协作功能，数百万人使用它创建电子邮件或推送通知，邀请他人一起处理文档。研究人员发现，骗子利用这一特殊功能向潜在受害者发送通知，要求他们在文档上进行协作，这些通知包含指向恶意网站的链接。

11月5日，第十一届中国信息安全法律大会在北京举办。会议以“主权 治权 权利”为主题，设主论坛和数据安全治理、个人信息保护、密码法治、网络犯罪生态治理、优秀论文线上交流五个分论坛，关注后疫情时代网络安全法律体系在保障安全与创新发展之间的冲突与平衡，重视法律规范落地中的现实困境与解决路径，探索我国网络空间安全治理的未来方向。

中国银保监会、中国人民银行发布《网络小额贷款业务管理暂行办法（征求意见稿）》，要求经营网络小额贷款业务的公司使用独立的业务系统，并符合网络与信息安全管理要求，具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度，保障系统安全稳健运行和各类信息安全。

新加坡重新修订了其《个人数据保护法》（Personal Data Protection Act，PDPA），允许当地企业在未经事先同意的情况下就使用消费者的数据，例如进行业务改进和研究。同时修正案还规定对数据泄露处以更严厉的罚款，最高罚款超过了此前的100万新加坡元。

据外媒报道，声称每年从勒索软件中赚取1亿美元的 REvil 勒索软件团伙在上个月的一次黑客论坛拍卖中花6500美元购买了 KPOT 2 0木马的源代码，这是 KPOT 恶意软件的最新版本，KPOT 可以从受感染计算机上的各种应用程序中提取和窃取密码。安全研究员称，该团伙将对 KPOT 进一步开发，然后添加到有针对性地入侵公司网络期间使用的大量黑客工具中。

欧洲电力巨头Enel集团昨日遭遇了来自Netwalker勒索软件的攻击，Netwalker勒索软件运营者表示，他们从Enel集团窃取了大约5tb的数据，在收到1400万美元的赎金之前，他们会持续泄露数据。目前，已有部分关于Enel集团大量未加密文件的截图被Netwalker勒索软件运营者在网络中公开。

近日，研究人员发现了一种名为RegretLocker的新勒索软件，该勒索软件使用了多种高级功能，可以使它加密虚拟硬盘驱动器，并关闭已打开的文件进行加密。 据称，RegretLocker目前还不太活跃，但这是一个需要密切关注的新家族。

近日，谷歌的Project Zero团队研究人员在GitHub中披露了一个高危漏洞，研究人员称，该漏洞使GitHub Action的工作流命令容易受到注入攻击，该漏洞可能允许攻击者在受影响的系统上远程执行代码。 发现该漏洞的费利克斯·威廉研究员表示，GitHub Action中的工作流命令是以“根本不安全”的方式实现的，因此解决该漏洞可能是一个困难的过程。

11月3日，瑞典最大的保险公司之一Folksam披露了一起涉及约100万瑞典人的数据泄露事件。 该公司在进行内部审计时发现，此前公司曾与包括Facebook，Google，Microsoft，Linkedin和Adobe在内多家科技巨头分享了客户的社保号以及个人购买的工会及怀孕保险等敏感个人信息。 发现违规行为后，Folksam已立即停止与其合作伙伴共享敏感信息，并要求接收该信息的公司删除信息。

根据惠普公司最新的数据显示，从今年第二季度到今年第三季度，检测到使用Emotet木马的勒索软件攻击激增了1200%，特别是在8月份增加最多。针对该活动的激增，日本和澳大利亚受到的攻击尤其严重，分别为32%和20%。惠普称，按照目前的模式，Emotet可能会出现在每周的垃圾邮件中，直到2021年初。