据外媒报道，研究人员Sam Curry在11月30日表示，在Nissan Connect移动应用程序发现了一个漏洞，远程黑客只需知道车主的识别码，就可以获得车主的姓名、电话、号码、地址和汽车详细信息。在得知漏洞的存在后，Sirius XM立即对漏洞进行了修补。

据外媒报道，萨尔瓦多数字报纸El Faro员工11月30日在美国联邦法院对NSO Group提起诉讼，指控这家以色列公司有争议的Pegasus软件被用来监视他们。起诉称，Pegasus被用来窃取至少22名与El Faro有关联的人（包括原告）的电话，从而损害了他们的通信和数据。据了解，该公司因在全球范围内侵犯隐私而受到全球权利组织的批评，并面临苹果和微软等主要科技公司的诉讼。

据外媒报道Anker旗下Eufy安全监控探头被发现会在未启用云服务的情况下将用户信息和人脸的缩略图上传到云端服务器。日前，安全顾问Paul Moore购买了一个Eufy Doorbell Dual，发现即使从Eufy应用中删除视频，缩略图仍然能从网站访问。对于Moore的询问，Eufy回应承认向其AWS服务上传了缩略图，表示数据不会向外泄露，因为URL是受限的，时间也有限制，而且需要账号登录。Moore还发现未加密的Eufy探头内容可以在没有身份认证的情况下访问。

据外媒报道，谷歌宣布已对“G Verifie”这家公司提起诉讼，据了解该公司通过电话营销电话和操纵谷歌搜索和地图上对业务简介的评论来冒充谷歌。近日，谷歌发言人表示，“这种做法剥削了企业家和小企业，违反了我们对欺骗性内容的政策。”除了一系列骗局外，谷歌还指责这些公司滥用谷歌徽标和其他公司标牌，使欺诈企业合法化。

据外媒报道，近日位于德里的全印度医学科学研究所(AIIMS) 遭到攻击后，其系统已连续宕机6天。据称，黑客勒索大约20亿卢比的加密货币，但德里警方否认AIIMS报告收到过任何此类要求。目前，可能已经泄露了3-4千万患者的数据。由于服务器处于停机状态，急诊、门诊、住院和化验室的患者护理服务均由人工管理。德里警方、内政部和印度计算机应急响应小组(CERT-IN)正在调查此勒索攻击事件。

据媒体11月29日报道，研究人员发现了一种新勒索软件Punisher变体，通过COVID-19主题的钓鱼网站进行传播。这个网站提供伪造的COVID-19跟踪应用，主要针对智利。研究人员认为，此次活动针对的是个人而非企业，它勒索价值1000美元的比特币来解密文件。被这种勒索软件加密的文件也很容易被解密，因为它使用AES-128对称算法进行加密。 https: www.hackread.com covid-19-app-punisher-ransomware

据外媒报道，此前RCE Security的Julien Ahrens通过欺骗Kerberos和LDAP（轻量级目录访问协议）响应，成功地绕过了英特尔DCM的身份验证，创建了一个漏洞链，他们声称该漏洞链在此过程中产生了远程代码执行（RCE）。目前，英特尔承认该漏洞跟踪为CVE-2022-33942，但对其严重性提出异议，据英特尔称，这个问题只代表特权提升缺陷。英特尔表示，已就此问题发布了公共安全公告，并补充说：“这个问题已通过英特尔® DCM软件5.0或更高版本的更新得到解决。”

据中新网报道，北约28日起举行一年一度的“网络联盟”演习(Cyber Coalition)，芬兰、瑞典、日本等国以“北约伙伴国”身份派人参加。公告称演习期间主要演练如何应对现实网络挑战，如针对电网、项目、北约及成员国资产的网络攻击等，意在提高北约网络防御和网络空间“共同作战”能力。“网络联盟”演习自2008年开始举行，具有测试性、实战性等特点，与具有培训性、对抗性等特点的“锁盾”演习(Locked Shields)互为补充，并称北约两大网络演习。

12月2日，国内主要的商用密码基础设施提供商——三未信安（688489.SH）正式登陆上交所科创板，本次发行募资超过15亿元，分别用于“密码产品研发升级项目”、“密码安全芯片研发升级项目”和“补充流动资金”等。募资项目实施后，将有利于三未信安进一步扩大业务规模，提高市场竞争力。

据华尔街日报中文网28日报道，马斯克清理不认同自己愿景的Twitter员工的举动，已导致全球政策和安全事务员工纷纷离职，引发了主要司法辖区监管机构对该网站持续合规努力的质疑。据报道，爱尔兰数据保护委员会表示，正在询问Twitter是否有足够员工来确保遵守《通用数据保护条例》(GDPR)。与此同时，法国通信监管机构表示，已致函Twitter，要求该公司在本周说明是否有足够人员配置，审查被法国法律认定为非法的仇恨言论。

新华网11月30日报道，“华为杯”第一届中国研究生网络安全创新大赛落下帷幕。本次大赛由教育部学位管理与研究生教育司和中央网信办网络安全协调局联合指导，中国学位与研究生教育学会和中国科协青少年科技中心共同主办，北京邮电大学承办，旨在推动网络空间安全领域人才培养、技术创新和产业发展，助力网络强国建设。

据外媒报道，荷兰软件公司ENC Security自2021年5月以来一直在泄露关键业务数据。据了解，ENC Security开发的软件为索尼、Lexar以及Sandisk USB密钥或任何其他存储设备，提供加密解决方案，保障数据安全。该公司目前拥有全球1200万用户，通过其DataVault加密软件提供“军用级数据保护”解决方案。Cybernews研究团队发现，ENC Security已经泄露其配置和证书文件一年多了。目前，该公司表示，第三方供应商的配置错误导致了问题，已完成修复。

据外媒29日报道，监管机构正敦促特勤局为其面向公众的系统采用更先进的互联网协议，并更新其零信任架构实施计划。零信任的安全体系结构是指在默认情况下，网络上的用户不受信任，而是需要提供凭证和获得授权，通常需要持续验证。美国网络安全和基础设施安全局(CISA)致力于通过身份、设备、网络、应用和工作负载以及数据这五个关键原则，实现对特勤局等联邦机构的零信任。

据澎湃新闻报道，《中华人民共和国反电信网络诈骗法》已经于2022年9月2日通过，自2022年12月1日起施行。法案共七章50条，包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等，立足各环节、全链条防范治理电信网络诈骗，精准发力，为反电信网络诈骗工作提供有力法律支撑。

据中新网30日报道，今年1至10月，广东省法院共审结电信网络诈骗及关联犯罪案件3587件，其中涉电信网络诈骗927件，为群众挽回经济损失超1.3亿元，判决电信跨境诈骗犯罪案件41件111人、诈骗犯罪集团案件21件143人。广东高院有关负责人表示，12月1日起正式实施的《反电信网络诈骗法》，将为进一步预防、遏制、惩治电信网络诈骗，加强反电信网络诈骗，保护公民合法权益，维护社会稳定和国家安全，提供更加有力的法律保障。

据CyberSheath的一项针对300家美国国防部承包商的研究显示，87%的美国国防承包商未能达到基本的网络安全监管要求，只有13%的供应商风险绩效体系(SPRS)评分在70分或以上，70%的企业没有部署安全信息和事件管理(SIEM)，79%的企业缺乏全面的多因素认证系统，73%的企业没有端点检测响应(EDR)解决方案，80%的企业缺乏漏洞管理解决方案。CyberSheath的首席执行官埃里克·努南称，该报告的调查结果表明，我们的军事机密并不安全，国家安全面临着明显危机。

据外媒报道，谷歌的威胁分析小组(TAG)已将三个开发框架以及几个漏洞与一家名为Variston的西班牙商业间谍软件供应商联系起来。据了解，这家公司为嵌入式系统提供安全产品和定制补丁，包括工业控制系统(ICS)和物联网，还提供数据发现服务和培训。之前，谷歌发现了三种不同的漏洞利用框架，Heliconia Noise、 Heliconia Soft、Heliconia file。值得注意的是，Heliconia Files由中国网络安全公司奇虎360发现，目前已于3月通过紧急Firefox更新对其进行了修补。

近日，NVIDIA发布了适用于Windows的GPU显示驱动程序的安全更新，其中包含针对威胁行为者可以利用的高严重性缺陷的修复程序，以及执行代码和权限提升。最新的安全更新解决了Windows和Linux GPU驱动程序上的25个漏洞，有7个缺陷被归类为高严重性，其中最严重的漏洞是：CVE-2022-34669 (CVSS v3.1: 8.8)和CVE-2022-34671 (CVSS v3.1: 8.5)。目前，NVIDIA尚未发布相关的技术细节。

据LastPass在30日表示，未知攻击者利用8月的一次安全事件中窃取的信息，攻破了其云存储。该公司表示:“我们最近在一个第三方云存储服务中发现了不寻常的活动。”目前，已经聘请了安全公司Mandiant调查这一事件，并通知了执法部门。这是Lastpass今年披露的第二起安全事件。去年8月，该公司确认，该公司的开发人员环境通过一个被破坏的开发人员账户遭到破坏。据了解，LastPass是最受欢迎的口令管理软件之一，有超过3300万人和10万家企业在使用它。

据外媒30日报道，澳大利亚议会批准一项法案，以修订该国的隐私立法，将对遭受大规模数据泄露的公司和数据控制者的最高罚款大幅提高至5000万澳元。这些改革向公司表明，对重大数据泄露的处罚不能再被视为开展业务的成本。除了设置更高的罚款外，新法案还赋予澳大利亚信息专员办公室(OAIC)更大的权力，以更多地参与隐私泄露解决和范围确定过程，将利用其增强的作用更好地保护个人和国家经济。