中国人民银行日前公布的行政处罚决定书显示，中国银行股份有限公司因违反账户管理规定，违反信用信息采集、提供、查询及相关管理规定，违反个人金融信息保护规定等12项违法行为被处以警告，并没收违法所得37.340315万元，罚款3664.2万元，有18名相关责任人受到警告和罚款处罚。

谷歌已发布12月的安卓安全更新，此次共解决了85个安全漏洞，其中包括一个被跟踪为 CVE-2023-40088 的严重零点击远程代码执行（RCE）漏洞，即威胁行为者可以利用它来执行任意代码，而无需用户交互，谷歌公司尚未透露攻击者是否成功利用这一安全漏洞。

12月2日，启明星辰收到中国证券监督管理委员会出具的《关于同意启明星辰信息技术集团股份有限公司向特定对象发行股票注册的批复》（证监许可〔2023〕【2696】号），批复同意公司向特定对象发行股票的注册申请。随着证监会注册批复，中国移动将正式成为启明星辰实际控制人。

12月5日，山东省政府新闻办召开新闻发布会，邀请省公安厅负责同志等介绍维护网络安全净化网络环境工作有关情况。据山东省公安厅党委副书记、常务副厅长张月波介绍，今年以来，山东省公安厅在全省范围内发起“净网2023”专项行动，取得阶段性成效。截至目前，全省共侦破网络犯罪案件1.6万起，抓获犯罪嫌疑人2.3万名，清理各类互联网违法信息10.1万条，检查网络信息系统和网站9500个，发现整改网络安全隐患和漏洞9330个，有力维护了全省网络安全稳定。

美国总统拜登日前签署了第14111号行政命令，以加强行政部门联邦设施在面对持续和新出现的威胁时的重要性并加强其安全。更新后的行政命令证明了政府将联邦设施安全作为国家优先事项的优先事项。美网络安全和基础设施安全局（CISA）将致力于实施和维护14111政令中定义的要求，以推进政府的优先事项并保护全国各地的联邦设施。

《江西省数据应用条例》已由江西省第十四届人民代表大会常务委员会第五次会议于2023年11月30日通过，现予公布，自2024年3月1日起施行。条例根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规，结合本省实际制定。省行政区域内数据应用，以及相关的数据管理、安全保护、数据要素市场培育等活动，适用本条例。

《经济日报》针对近期阿里、滴滴相继发生系统崩溃事件发文指出，企业亟需对其数据中心、云平台的安全管理重视起来。一方面要加强关键信息基础设施保护，重点研发数据安全、网络安全等技术，实现以技术管控技术；另一方面要加强人才储备，完善应急响应机制和故障预案演练，落实到每个环节、每步流程中，一旦发生状况也能够在第一时间得到妥善解决。

据TikTok官方上周五消息，TikTok宣布未来十年将在欧洲投资超过120亿欧元，实施一项名为“三叶草”（Project Clover）的项目，该项目将为欧洲用户提供“行业领先”的数据保护计划。据介绍该120亿欧元的投资总额将被用在如下领域上的投入，他们包括：三座位于欧盟国家和地区境内的数据中心，聘请英国网络安全公司 NCC 作为数据审计、监督，以及进一步加强用户数据、隐私保护技术。

占星学网站WeMystic因错误的配置可能导致平台用户敏感数据泄露，研究人员表示，该网站一个开放且无密码的MongoDB数据库包括34GB与网站服务相关的数据，其中用户数据高达1330万条，包括姓名、邮件、出生日期、IP地址、星座运势等内容。研究人员表示，个人用户数据的暴露会给相关人员带来安全风险，因为攻击者可能会利用收集到的数据进行有针对性的攻击，甚至利用占星学本身的数据进行创意攻击。媒体更是打趣说，虽然WeMystic能够“预知未来”，但他们并未成功预知自己的不幸。

据媒体披露，此前来自几所大学和谷歌的一组研究人员展示了一种针对ChatGPT的攻击技术，使他们能够提取几兆字节的ChatGPT训练数据。攻击很简单，专家们让ChatGPT永远重复某个词，在会重复一段时间后，ChatGPT提供了它已经接受过训练的确切数据。研究人员已经通知了OpenAI，后者解决了这个问题。但研究人员指出，该公司只是阻止了该漏洞的使用，但没有修复模型中的漏洞。

美国卫生与公众服务部（HHS）最近向医疗机构发布警告称，攻击者正积极利用关键“Citrix Bleed”Netscaler漏洞（CVE-2023-4966），敦促所有美国医疗机构保护易受攻击的NetScaler ADC和NetScaler Gateway设备免受勒索软件团伙的攻击。网络安全专家凯文·博蒙特一直在跟踪和分析针对全球各种受害者的网络攻击，包括波音公司，中国工商银行（ICBC），DP World和Allen & Overy，并发现它们都可能使用Citrix Bleed漏洞进行破坏。

合勤 (Zyxel) 于上周发布补丁，以解决影响网络连接存储（NAS）、防火墙和接入点（AP） 设备的15个安全漏洞，包括可能导致身份验证绕过和命令注入的三个关键缺陷。主要高威漏洞包括CVE-2023-35138、CVE-2023-4473、CVE-2023-4474、CVE-2023-35137、CVE-2023-37927、CVE-2023-37928，由于 Zyxel设备经常被威胁参与者利用，因此强烈建议用户应用最新更新来缓解潜在威胁。

近日，苹果公司发布紧急安全更新，修复了两个在攻击中被利用并影响 iPhone、iPad 和 Mac 设备的0Day（CVE-2023-42916 和 CVE-2023-42917）。据统计，自今年年初以来已修复的零日漏洞数量已达到 20 个。这两个漏洞是在 WebKit 浏览器引擎中发现的，其允许攻击者通过越界读取弱点访问敏感信息，并通过恶意制作的网页在易受攻击的设备上通过内存损坏漏洞执行任意代码。

工信部持续开展APP侵害用户权益专项整治行动，11月30日通报2023年第8批，总第34批共22款APP、SDK存在侵害用户权益行为，包括计算管家、超级手电筒、即刻相册、火线精英、WiFi加速钥匙等应用，覆盖衣食住行各方面，所涉问题集中在违规收集个人信息，强制、频繁、过渡索取权限，欺骗诱导强制用户，APP频繁自启动和关联启动，超范围收集个人信息。

在《中华人民共和国反电信网络诈骗法》实施一周年之际，11月30日，最高人民检察院发布《检察机关打击治理电信网络诈骗及其关联犯罪工作情况（2023）》。检察机关起诉电信网络诈骗犯罪案件同比呈明显上升趋势，犯罪人员低龄、低收入、低学历特征依然明显，但文化程度较高人员涉罪呈上升趋势。对于从境外陆续抓获的犯罪分子，检察机关逐案跟踪，该捕则捕、当诉则诉，从严提出量刑建议，加大资金追缴力度。同时检察机关将进一步加强国（区）际执法司法合作。

根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第13号），全国信息安全标准化技术委员会归口的3项国家标准正式发布，分别为GB T 43269-2023《信息安全技术 网络安全应急能力评估准则》、GB T 43435-2023《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》、GB T 43445-2023《信息安全技术 移动智能终端预置应用软件基本安全要求》，将于2024年6月1日实施。

11月30日，公安部在京召开“公安心向党护航新征程”主题新闻发布会，通报全国公安机关持续开展“净网”系列专项行动，全力打击黑客类违法犯罪举措及总体成效情况，公布十大典型案例。2022年以来，全国公安机关共侦破黑客类犯罪案件2430起、抓获犯罪嫌疑人7092名，有效斩断了以黑客犯罪为核心的黑产链条，切实保障了网络与数据安全，有力维护了网络空间正常秩序。

据外媒11月28日报道，研究人员开发了针对蓝牙的六种新攻击方式，并统称为“BLUFFS”，可以破解蓝牙会话的机密性，使设备容易受到冒充和中间人攻击(MitM)。研究人员表示，BLUFFS利用了蓝牙标准中两个先前未知的漏洞，这些漏洞与如何派生用于交换数据的会话密钥有关。这些漏洞不特定于硬件或软件配置，而是在体系结构层面上发生，这意味着它们影响了蓝牙的基本层次。

据外媒11月29日报道，根据Corvus Insurance和Elliptic的联合研究，自2022年4月以来，勒索软件团伙Black Basta已从90多名受害者那里获得了至少1亿美元的赎金。全球超过329名受害者成为网络犯罪行动的双重勒索攻击目标，该团伙的附属机构从受感染的系统中窃取敏感数据，然后在目标网络上部署勒索软件有效载荷以加密被黑客入侵的系统。然后，被盗数据被用来迫使受害者支付赎金，并威胁要将其发布在Black Basta的暗网泄密网站上。

据外媒11月29日报道，折扣连锁店Dollar Tree受到第三方数据泄露的影响，其服务提供商Zeroed-In Technologies遭到黑客攻击后，影响了1,977,486人。威胁行为者设法窃取了包含Dollar Tree和Family Dollar员工个人信息的数据，其中包括姓名、出生日期和社会安全号码（SSN）。