据外媒报道，Sysdig的安全研究者近日发现Docker Hub中暗藏着超过1600个恶意镜像，可实施的攻击包括加密货币挖矿、嵌入后门 机密信息、DNS劫持和网站重定向等。Docker Hub是一个云容器库，允许人们搜索和下载Docker镜像，或将其作品上传到公共或个人存储库。但由于黑客的滥用，超过一千个恶意容器镜像已被用户部署到本地托管或基于云的容器上。还发现，Docker Hub中大多数黑客人均上传的恶意镜像数量都不多，这意味着很难通过删除和封锁少数“惯犯“的方式来改善此态势。

据DigiCert调研结果揭示数字信任是客户忠诚度的主要推动力量，84%的客户表示会考虑抛弃未能管理好数字信任的供应商。这份题为《2022年数字信任状况》的调研报告还揭示，如果失去对某公司的信任，84%的客户会考虑换一家，而57%的客户表示可能会更换。随着IT攻击面持续扩大，企业需要数字信任来满足诸多用例，例如联网设备、用户身份与访问、数据完整性、软件安全、电子邮件保护等，以及Web和数字内容完整性。

据外媒报道，英国已经完成脱欧后的第一个独立数据保护决议，这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示，在7月首次达成原则性协议的新立法，将使两国的企业更容易分享数据，增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的，就评估结果而言，韩国拥有强大的隐私法，将保护数据传输，同时维护英国公民的权利，并对英国企业带来帮助，减少负担。

近日， Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告，表示Google Chrome GPU进程存在堆溢出漏洞，不法分子可利用此漏洞可导致在应用程序上下文中执行任意代码，并已发现此漏洞被用于在野攻击。目前，Google Chrome已发布新版本，并建议用户尽快升级至最新版本。

据媒体消息，密码管理工具 NordPass 现已发布 2022 年全球最常用的密码名单，结果显示用户仍在使用众所周知的弱密码。统计数据显示，今年全球最常见的密码是“password”，黑客只用了不到一秒钟的时间就破解了它；第二个和第三个最常见的密码同样如此，分别为“123456″”和“123456789”。为了避免密码泄露这一问题，NordPass建议使用至少 12 个字符的复杂密码，包含各种大小写字母、符号和数字。此外，用户还应避免为多个账户重复使用同一个密码。

据媒体消息，去年Twitter出现了严重的数据泄露事件，暴露了超过500多万用户的电话号码和电子邮件。但这个事件还远远没有终结，该事件中曝光的漏洞已经被多名黑客利用，窃取的用户资料已经放在暗网进行出售。多位安全专家表示，去年该平台发生的安全事件中，用户数据被多个不良行为者访问，而不是此前宣布的 1 个。消息称，黑客每小时能够下载约 50 万条记录，多个来源获得的这些数据在暗网上以约 5000 美元的价格出售。

据外媒报道，23日安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个账号容易受到系统配置问题的影响，并在一篇技术博客中透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密），还有可能实施包括删除服务器文件的破坏性攻击。目前，Alevski已向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞

据环球时报报道，自“双十一”以来，浙江慈溪网警大队接到多家电商公司报警，经过多方勘察，发现部分连接打印机的电脑中被植入了不明木马软件。经查，犯罪嫌疑人蒙某和吴某此前通过境外聊天软件进行交流，购买木马软件。随后，潜入电商公司在办公电脑上安装木马软件。这些软件将自动把窃取的客户信息上传到境外服务器，上家便会支付高额的佣金。截至案发，他们非法获取信息3000余条，目前两名犯罪嫌疑人均已被依法采取刑事强制措施。

据外媒报道，已发现20多万用户安装了Chrome浏览器扩展程序“SearchBlox”，并发现该程序可以在Roblox交易平台Rolimons上窃取用户的Roblox凭据和资产。当地时间23日，Roblox在推特中写道，“流行插件SearchBlox已被泄露，如果您已安装该插件，帐户可能会面临风险。”并建议用户尽快更换账户密码，以保证账户安全。目前，谷歌发言人表示这些扩展程序已被删除，并表示，这些被识别的恶意扩展程序在Chrome Web Store上已不再可用。

据Cybernews报道，有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码，而通过检验数据库样本，这些数据极有可能是真实数据。据称，该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息；还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。目前，Meta还未做出任何回应。

据外媒消息，近日Meta封禁了多个美国军方在Facebook Instagram等社交平台的账号，并表示这些由美国军方运营的账号一直针对中东、俄罗斯等国家 地区，在中东和东亚则传播对美国军方有利的内容。Meta称，这些账户以集群方式运作，推广与上述国家 地区的受众兴趣相对应的特定主题，还可能使用生成对抗网络 ( GAN ) 等机器学习技术，以此自动化创建信息和内容。同时，还投放了数千美元的广告，以确保他们的虚假信息内容能够覆盖更多用户，但效果并不明显。

据外媒报道，英国警方破获该国最大的跨国网络诈骗案，取缔该国“最大的犯罪网站”，目前共120名嫌疑人被捕，其中包括网站管理员在内的103人在伦敦，其余17人分散在英国其他地区或海外。据《爱尔兰新闻报》24日报道，利用犯罪网站将自己的来电显示伪装成银行或税务局等的官方号码，犯罪嫌疑人向目标受害者致电，直接骗取钱财或者套取对方的银行账号等信息。目前一名网站管理员将于12月6日开庭受审，该网站已于11月8日被永久禁用。

据报道，广东省通信管理局公开通报48款未按要求完成整改APP。通报显示，广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动，近期共监测发现280款APP存在侵害用户权益和安全隐患问题，发出《违法违规APP处置通知》责令APP运营者限期整改，并通知相关应用商店协助督促APP运营者整改，共包括律师365、说品、宝安通、最珠海、开讲、惠州行、PP停车、随车拍、起点课堂、良策、513云课堂、广金所、消防智慧（企业版）、龟鼓等48款软件。

据外媒报道，软件公司Mysk研究人员发现，与 iPhone 相关的分析数据包括可以识别用户的目录服务标识符 (DSID)。Apple同时收集 DSID 和 Apple ID，这意味着它可以使用前者来识别用户并检索相关的个人信息，包括全名、电话号码、出生日期、电子邮件和地址。Apple使用DSID来唯一标识Apple ID帐户。DSID 与您的姓名、电子邮件以及您 iCloud 帐户中的任何数据相关联。专家分析称，这种行为违反了公司的隐私政策，该政策规定“所收集的信息都不会识别您的个人身份”。

据外媒24日报道，瑞典国有研究机构RISE正在启动欧洲最先进的专门用于车辆测试的网络安全计划，其网络测试实验室将与世界领先的电信专家和道德黑客合作，提供一系列方法和测试平台。该实验室将测试关键领域的漏洞——虚拟测试 数字双胞胎、车辆单元 (ECU) 中的嵌入式软件、基于车辆云的软件，将通过现有的Cyber Range与汽车测试台 AWITAR 和 Asta Zero 互连，提供完整的测试能力链，目前试点项目已经全面展开，模拟对车辆和电动汽车充电基础设施的网络攻击。

据外媒报道，在本周对员工的演讲中，马斯克阐述了他对平台上加密消息传递的愿景。根据The Verge 获得的演示文稿录音，马斯克说：“用户应该能够相互发送消息，而不必担心Twitter的数据泄露会导致他们所有的数据信息都被泄露到网上”但自马斯克接管以来，Twitter 已经失去了一半以上的员工，以及首席信息安全官、隐私主管和信任与安全主管，这让专家们担心Twitter是否可以在端到端的加密消息系统或E2EE上运行。

据共同社(Kyodo News)报道，日本正在考虑建立一个新的组织来保护国家免受网络攻击。据一名政府消息人士透露，该部门将负责整个日本军队和国家警察厅(National Police Agency)的网络安全，它将扩大目前国家网络安全事件准备和战略中心(NISC)的功能。NISC目前主要负责推动整个政府的网络安全政策，并与各部委、机构和企业共享攻击信息，而新机构将致力于加强日本与美欧网络安全机构的跨境合作和情报共享，以加强日本对网络攻击的反应。

据外媒24日报道，美国联邦通信委员会(FCC)在《联邦公报》上发布通知，要求紧急警报系统(EAS)参与者向委员会报告其设备、通信系统和服务受到的损害。并要求EAS参与者在知道或应该知道事件发生的72小时内，通过网络中断报告系统(NORS)向FCC报告其EAS设备、通信系统或服务被未经授权访问的任何事件，并提供有关事件的详细信息，并要求移动设备只能显示来自有效基站的无线紧急警报(WEA)警报。此外，FCC还就是否以及如何促进EAS的运行准备情况征求意见。

据外媒报道，欧盟网络安全机构(ENISA)发表了题为《NIS投资》的一份关于欧盟网络和信息安全投资的报告。报告详细分析了NIS指令(网络和信息系统安全指令)在过去一年里如何影响运营商的网络安全预算，深入研究了能源和卫生部门的相关情况，概述了有关信息技术安全人员配置、网络保险和OES(基本服务运营商)和DSP(数字服务提供商)的信息安全组织等方面的情况。并表示NIS指令的目标是在成员国之间实现共同的高水平网络安全。

11月24日，美创科技正式发布数据安全综合评估系统（DCAS）。该系统融合数据资产梳理、数据权限梳理、安全现状分析、数据合规基线分析、安全能力差距分析、数据安全风险分析等多重能力，可对多种风险因素进行多维可视化分析展示，自动化输出高质量报告，帮助单位组织识别安全风险与合规差距，满足合规需求。目前，该系统已在高校、金融、政府、跨国企业数据出境等实践中应用，依托该工具，人员投入量有效降低90%以上，交付时间缩短84%以上。