2020年东京Pwn20wn黑客大赛的第二天，一黑客团队成功地通过TP-Link AC1750智能无线路由器上的WAN接口链接了三个bug，使代码得以执行，该团队因此赢得了2万美元和2个Pwn大师点数。另一个黑客团队则陈工破解了TP-Link AC1750的局域网接口并触发了3个bug来执行代码，该团队赢得了5000美元和1个Pwn大师点数。除此之外，群晖的DS418 Play这一型号的NAS也被破解成功。

Luxottica Group S p A 是一家意大利的眼镜企业，同时也是全球眼镜行业中数一数二的大企业，该公司拥有超过8万名员工，去年营收达到了94亿欧元。据了解，该公司在9月18日曾遭遇勒索软件攻击，10月有媒体报道称Nefilim勒索软件的运用者公布了一串数据似乎属于Luxottica。对泄露文件的分析显示，这些文件包含招聘流程、专业简历以及集团人力资源部门内部结构方面的机密信息。

谷歌的威胁分析小组负责人表示，同样的安全漏洞在iPadOS 14 2和WatchOS 5 3 8、6 2 7和7 1上也得到了修复。根据谷歌的披露，这三个漏洞是一同使用，可以令攻击者远程入侵iPhone设备。

美国联邦调查局查获了该机构有史以来规模最大的比特币隐匿处，这些比特币源自暗网silk road，联邦国库因此增加了10亿美元。2014年，FBI拍卖了政府最初缴获的3万枚，这些比特币存放在silk road服务器上的钱包文件中。然而，根据美国政府本周提交的一份民事诉讼，在网站被删除之前有54个不同交易的收益被黑客窃取，意味着非法活动仍在延续，引发了美国国税局的调查。

微软表示，英特尔的Thunderbolt界面与Windows 10的两个最新版本Windows 10 2004和20H2存在兼容性问题，因此，用户可能被禁止升级到Windows 10版本2004或20H2。 

据外媒报道，2017年8月至2019年5月，一巴西人伙同多名诈骗者通过电话和亲身在线的方式说服受害者将钱用于投资加密货币，但是诈骗者实际只将一小部分用于投资加密货币，其他部分都进去他们所拥有的企业当中。美司法部应巴西政府要求没收了2400万美元的加密货币。据巴西政府统计，成千上万的巴西人被骗之后，骗子获得了2亿美元的收益。

Check Point研究人员发现，在过去的一年中黑客利用VoIP（互联网协议语音）漏洞入侵了20多个国家 地区的近1200个组织的VoIP网络，受害者包括政府，军事，保险，金融和制造业等各行各业。据悉，该漏洞去年已经修复，但许多组织都未对其系统打补丁。利用该漏洞，黑客可以无需任何身份验证即可远程访问，进行具有破坏性的活动，如监听、加密矿。

小米集团副总裁、安全与隐私委员会主席崔宝秋在小米 AIoT 安全大会上发布了小米 IoT 安全实验室编制的物联网产品安全基线，表示在安全技术标准上，小米坚持开放共享的原则，开放内部安全实践，共建物联网安全生态。用开源共建这个模式，打磨物联网产品安全基线，尽管这在目前看虽然只是一小步，但相信在未来会成为一大步。

11月5日，2020年全国工业互联网安全技术技能大赛决赛在江苏省南京市国际博览中心正式开幕，大赛创新搭建了“浸入式”工业互联网竞赛环境汇聚了产学研用顶尖战队，以赛促训，提升选手实战能力，全国累计5279支队伍、15837名选手报名参赛， 112支队伍晋级全国决赛。大赛闭幕式暨颁奖仪式将于11月6日下午在南京国际博览中心举行。

据外媒报道，巴西高等法院（STJ）在本周二下午遭受了RansomExx勒索软件攻击，STJ 暂停了11月3日到9日的所有视频判决会议，直到法院网络的安全得到恢复为止。目前巴西其他多个联邦政府机构的网站也处于离线状态，但是还尚不清楚他们是否受到相同威胁者的攻击，或者是否与法院位于同一地点。据匿名人士称，巴西伯南布哥州法院系统也在10月27日遭到RansomExx的攻击。

据外媒报道，意大利饮料供应商Campari11月1日遭遇RagnarLocker勒索软件攻击，关闭了很大一部分IT网络，攻击者要求一周内支付1500万美元的赎金。这家公司似乎选择了自己恢复其加密系统，拒绝支付赎金。但是目前Campari网站、电子邮件服务器和电话线路仍然关闭。

 一网络安全公司今天揭穿了一场跨国的大面积网络欺诈行动，在过去12个月中，数十个国家的1200多个组织的VoIP(Voice Ove rInternet Protocol)电话系统遭到了攻击，黑客入侵SIP服务器并获得控制权，使得黑客可以以多种方式滥用这些服务器，包括对外通话和窃听。其中一半以上的受害者在英国，包括政府、军事、保险、金融和制造业在内的行业均受创。

面对有人将GitHub Enterprise Server源代码副本进行分享的事件，北京时间11月5日，公司CEO否认GitHub遭到任何形式的黑客攻击。其声称“泄漏的源代码”只包括了GitHub企业服务器产品，并表示这个源代码在几个月前被公司工程师意外地泄露了。GitHub承诺将修复泄密者利用的两个漏洞，并防止未经授权的各方通过伪造身份将代码附加到他人的项目中。

Malware Labs威胁情报小组发现有恶意垃圾邮件被伪装成先前被盗的电子邮件的回执，邮件带有恶意Excel附件并伪装成安全DocuS文件，据称包含与选举干扰有关的信息。跟踪发现这是QBot僵尸网络（一种具有蠕虫特性的木马程序）正在推出的美国大选主题的网络钓鱼电子邮件，这些邮件被用来感染受害者电脑以获取用户数据和电子邮件，供今后的活动使用。

国家网信办自11月5日起开展为期45天的移动应用程序信息内容乱象专项整治，将以资讯类、社交类、音视频类、教育类、电子读物类、生活服务类移动应用程序为重点，着力解决移动应用程序传播违法违规信息、提供违法违规服务、服务导向背离主流价值观等突出问题，对违法违规的移动应用程序将依法依规采取约谈警告、责令整改、暂停版块或功能、关停下架等处置措施。

北京时间11月5日，伪装成Elon Musk(特斯拉CEO)的一名骗子，在回复特朗普推文中称，选举基本上大局已定，为了庆祝他将向用户赠送礼品，并给出链接把用户引流到一个网站，要求用户提供比特币以获取更高的回报。在骗取价值约合人民币25万元的虚拟货币后，骗子修改了Twitter账户名称，并删除了网站。据悉骗子使用的账户通过了Twitter的认证，用户名显示为“Elon Musk”。

网络犯罪分子正在滥用合法的Google Drive功能来欺骗用户点击恶意链接，并最终在他们的系统中安装恶意软件。这个钓鱼骗局源于Drive的协作功能，数百万人使用它创建电子邮件或推送通知，邀请他人一起处理文档。研究人员发现，骗子利用这一特殊功能向潜在受害者发送通知，要求他们在文档上进行协作，这些通知包含指向恶意网站的链接。

11月5日，第十一届中国信息安全法律大会在北京举办。会议以“主权 治权 权利”为主题，设主论坛和数据安全治理、个人信息保护、密码法治、网络犯罪生态治理、优秀论文线上交流五个分论坛，关注后疫情时代网络安全法律体系在保障安全与创新发展之间的冲突与平衡，重视法律规范落地中的现实困境与解决路径，探索我国网络空间安全治理的未来方向。

中国银保监会、中国人民银行发布《网络小额贷款业务管理暂行办法（征求意见稿）》，要求经营网络小额贷款业务的公司使用独立的业务系统，并符合网络与信息安全管理要求，具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度，保障系统安全稳健运行和各类信息安全。

新加坡重新修订了其《个人数据保护法》（Personal Data Protection Act，PDPA），允许当地企业在未经事先同意的情况下就使用消费者的数据，例如进行业务改进和研究。同时修正案还规定对数据泄露处以更严厉的罚款，最高罚款超过了此前的100万新加坡元。