信安标委日前召开了国家标准GB T 35273-2020《信息安全技术 个人信息安全规范》试点工作启动会，选择包含App、SDK、云计算、小程序、可穿戴设备等多种形态，涉及音视频处理、广告分发、生物识别、健康医疗、金融、房屋租售、天气服务等多种领域的试点对象，对标准内容的可操作性和适用性进行验证，探索形成标准实施应用工作模式，标准正式施行指日可待。

加拿大创新、科学和工业部部长Navdeep Bains提出了新的数据保护法规《数字宪章实施法》（Digital Charter Implementation Act），将大幅提高对违法公司的罚款，最高罚款可达全球收入的5％或2500万加元（两者取其高）。加拿大总理特鲁多表示，对于侵犯隐私的行为，新法的规定将成为七国集团中的最高罚款。

国家信息安全漏洞库（CNNVD）20日发布关于Drupal（一套使用PHP语言开发的开源内容管理系统）安全漏洞的通报，成功利用漏洞（漏洞编号为CNNVD-202011-1698、CVE-2020-13671）的远程攻击者可能获取目标系统或网站的管理权限，执行恶意代码。Drupal Core 7、8 8、8 9、9 0各分支版本均受此漏洞影响。目前，Drupal官方已经发布了版本更新修复了该漏洞。CNNVD建议用户及时确认产品版本并更新。

从去年发布macOS Catalina起，苹果将50个应用加入到防火墙的豁免名单中，即它们的网络流量不会路由经过防火墙。此举引起人们安全方面的担忧，安全研究者Patrick演示了恶意程序如何利用这一机制绕过防火墙的流量屏蔽：防火墙屏蔽所有外出流量，但恶意程序可以设法与列入豁免中的应用进行交互去实现与外界继续通信。目前苹果还未给出豁免理由，也尚未对此事发表声明。

Google 计划在Chrome Web Store商店页面加入一个新的区域，要求扩展开发者披露收集的用户数据以及如何处理用户信息，这一要求将于2021年1 月18日生效，目前Google已在扩展开发者的Web Store控制面板中加入了相关选项。Google不是唯一一个引入数据披露政策的公司，苹果在WWDC 2020上宣布所有App Store应用将要求展示隐私提示，列出应用收集的用户数据点，哪些数据点被用于跟踪用户。

11月19日，2020中国5G+工业互联网大会在武汉开幕，安全厂商及运营商等纷纷亮相展示安全方面的成果。奇安信复现一段代码瘫痪一座工厂的攻防全过程，360分享新基建下工业互联网安全的破局之道，中国移动5G智慧矿山项目上演井下安全生产场景，中国联通展示了可提供身份认证、定位等功能的5G安全帽，中国电信展示了疫情期间用于火神山、雷神山建设的云监控系统。     原文链接

IBM 的研究人员近日对热门应用--思科 Webex 进行了测试，发现该服务存在三个漏洞。这些漏洞能够让攻击者以“幽灵”身份加入到会议中而不被发现。这些漏洞不仅能够让攻击者秘密地加入会议，甚至在被“驱逐”之后仍然可以作为音频参与者留在会议中，攻击者甚至可以在不进入呼叫的情况下从大厅获得有关会议与会者的详细信息。

AWS近日推出了AWS网络防火墙，将此前分散在多款产品上的防火墙功能进行集中式管理，以保护客户的云环境免受恶意流量的影响。无独有偶，VMware近日宣布推出一种面向网络、安全和物理基础架构等服务的框架，致力于消除对硬件防火墙的需要，以防火墙即服务的方式过滤恶意流量。巨头纷纷入局，市场格局或将有所变动。

11月19日，2020 WCTF世界黑客大师赛正式打响。面向国内高校学生群体的“新锐赛”由清华RedBud战队、武汉大学DAWN战队与华南理工大学Kap0K战队暂居积分榜前三位。面向全球多个国家的“大师赛”以线上模式开战，中国台湾的Balsn战队、美国的Shellphish战队、德国的Eat, Sleep, Pwn, Repeat战队目前分列前三。     原文链接

11月19日，总部位于北京的专业网络安全公司——永信至诚完成2亿元融资，根据消息显示，本次融资是由北京熙诚金睿股权投资基金管理有限公司和北京金融街资本运营中心领投。

本月初日本知名游戏发行商 Capcom 透露第三方未经授权访问了它的内部系统，表示目前没有迹象显示客户信息泄露。本周一，Capcom 发表声明，证实遭到了勒索软件攻击，至多 35 万用户个人信息泄露，包括现雇员和前雇员，求助的客户，网站商店客户，电竞队成员，股东和应聘者。信息包括了名字、电话号码、地址和电邮地址，还包括已离职和现有雇员的护照信息等等。

近日Intel官方公开了CSME安全白皮书，这本手册中对于CSME的硬件SoC，软件，PCH内部fabric结构，密钥管理，代码模块，CSMEv14 v15中的安全特性以及相关Intel官方使用的标准化术语有更多的描述，这是自这个曾经被称为 "RING -3世界的恶魔”问世14年以来Intel官方第一次正式公开CSME相关的文档。

专注于移动领域的网络安全公司LookOut分析称，今年远程办公的盛行，令黑客将目光转向了移动设备，目前针对移动设备的网络攻击增加了一倍多。

中国社科院法学研究所副所长周汉华：在网络时代，往往个人信息都是海量的。公安部去年破获的一起案件里涉及到的个人信息达50亿条；在美国的Equifax征信公司，一次泄露了1 35亿条美国公民的个人征信信息；雅虎邮箱有一次泄露5亿条公民个人信息，另外一次是30亿条。所以在这个时代，其实每个人的个人信息都面临非常大的风险。

据北京市通信管理局官网18日信息，闪送、瓜子二手车以及聚美优品移动APP等三家公司在抽测中发现存在违规收集使用用户信息、强制授权等问题。11月16日，北京市通信管理局约谈了相关公司负责人，就三家公司移动APP存在的问题发出书面整改通知，责令限期整改。

近日业内安全专家发现，有黑客在暗网中再次出售华住集团2018年泄露的数据。黑客称出售数据共计4 93亿条，数据量高达141 5GB。其中包含华住官网注册资料、酒店入住登记的身份信息及酒店开房记录、用户姓名、手机号、邮箱、身份证号、账号登录密码等敏感信息。

当地时间17日晚，美国总统特朗普在推特上宣布，美国网络安全与基础设施安全局局长克里斯托弗∙克雷布斯被解除职务，立即生效。克雷布斯在特朗普发推不久后进行了简短回应，称“我们做了正确的事”。

近日，微步情报局通过外部威胁监控系统发现国内 300+ 家高校网站存在非法网站外链的现象，疑似被黑产团伙用于 SEO 推广。分析发现，该情况主要是由于相关网站的外链站点被黑客入侵后进行了恶意篡改，而多数网站自身其实并不存在问题。

国外安全专家研究发现，尽管微软已经在一年半以前修复了BlueKeep远程代码执行漏洞，但时至今日，仍然还能扫描出尚未修复BlueKeep漏洞的246869个Windows系统。BlueKeep漏洞存在于远程桌面服务（RDS）中，对互联网企业和工业互联网企业具有极高的危害。

近日，户外服装巨头The North Face（北面）发布数据泄露通知，声称在官方网站上检测到撞库攻击（凭证填充攻击）后，The North Face已重置了数量不详的客户账户。The North Face称，攻击者于10月8日至10月9日对其网站进行了撞库攻击。The North Face并未透露受到影响或泄露的用户和数据的数量，但是据外媒估测，受影响账户数量十分庞大。