23andMe 证实黑客窃取了 690 万用户的家族遗传史数据。提供基因检测服务的 23andMe 是在 10 月初黑客在地下论坛兜售其客户数据之后证实遭到黑客入侵，当时表示攻击者利用的是撞库攻击，它的系统本身没有发现漏洞。23andMe 有约 1400 万客户，690 万意味着受影响用户规模接近半数。被盗取的数据包括了用户姓名、出生年份、关系标签、与亲属共享的 DNA 百分比、家族史报告和自我报告的位置。

Google Threat Analysis Group 研究人员报告了三个正被利用 0day，影响苹果所有系统和 Chrome。苹果周四释出了安全更新，修复了两个正被利用的漏洞 CVE-2023-42916 和 CVE-2023-42917，两个漏洞都位于苹果操作系统广泛使用的 WebKit 引擎中，其中之一是越界读取，允许黑客在使用 WebKit 的应用处理特制网络内容时窃取敏感信息；另一个是内存损坏 bug，允许存在漏洞的设备执行恶意代码。Google Chrome 本周二释出了更新修复了 7 个漏洞，其中之一是正被利用的 0day CVE-2023-6345，该漏洞为整数溢出，位于浏览器的 Skia 组件中。

身份认证管理服务商 Okta 上个月披露，黑客在获取到其客户支持管理系统的凭证之后访问了客户信息。本周 Okta 在给客户的邮件中披露，入侵规模比预期的更严重，黑客窃取了所有客户支持用户的数据。这可能增加客户遭到钓鱼攻击等的风险。Okta 表示美国政府或五角大楼的数据未受影响，称正与一家数字取证公司合作调查，完成之后会通知客户。为客户提供单点登陆服务的 Okta 在黑客眼中是一个瞩目的攻击目标，通过攻击 Okta 他们可以访问其它大量目标。

ownCloud 上周披露了一个严重程度 10/10 的高危漏洞 CVE-2023-49103，漏洞存在于 graphapi 的 v0.2.0 和 v0.3.0 中，它使用第三方库提供了一个 URL，访问该 URL 可显示基于 PHP 环境的配置信息，包括 webserver 的所有环境变量。在容器化部署中，环境变量可能会包含敏感数据如管理员密码、邮件服务器凭据和许可证密钥。安全公司 Greynoise 的研究人员报告，在漏洞披露之后他们在蜜罐服务器上观察到了对该漏洞的大规模利用。安全研究人员认为该漏洞虽然严重但不会构成重大威胁，因为默认情况下它无法利用，且是在 2 月的容器化部署中引入的，而 graphapi 的安装量很小。

日本宇宙航空研究开发机构（JAXA）发言人周三声明该机构今年夏季前后遭到网络攻击，黑客没有访问到任何对火箭和卫星运行重要的信息。警方在秋季前后察觉到攻击，联系了 JAXA。现阶段攻击源和受害情况不得而知，政府和相关机构正联手调查详细情况。相关人士称，可能是管理 JAXA 网络的服务器遭到非法访问，攻击方或许已经接触到内部的大范围信息。

从 11 月 18 日到 22 日，3D 开源建模软件项目 Blender 遭遇了持续五天的 DDoS 攻击，网站还一度下线。目前未知攻击者发起者身份及其动机，攻击者专注于发动拒绝服务攻击，因此项目和用户数据未受影响。Blender 是通过迁移到 CloudFlare 的 DDoS 缓解服务之后才解决问题。攻击在 23 日停止，网站恢复正常。

微软委托安全公司 Blackwing Intelligence 评估了三种流行指纹传感器的安全性，结果显示戴尔、联想甚至微软的笔记本电脑都能绕过 Windows Hello 指纹认证。安全研究人员评估了戴尔 Inspiron 灵越 15、联想 ThinkPad T14 和微软 Surface Pro X 嵌入的 Goodix、Synaptics 和 ELAN 指纹传感器，发现它们存在多个漏洞，可被用于绕过 Windows Hello 保护。这些漏洞可被攻击者执行发动中间人攻击，访问被盗的笔记本电脑，或者对无人看管的设备发动“邪恶女佣攻击（evil maid）”。

俄罗斯黑客释放的 U 盘蠕虫扩散到了世界各地。有着 Gamaredon、Primitive Bear、ACTINIUM、Armageddon 和 Shuckworm 等众多名字的黑客组织主要针对乌克兰的实体目标，它被认为与俄罗斯联邦安全局有关联。它使用的一种恶意工具是通过 U 盘传播的蠕虫 LitterDrifter。安全公司 Check Point Research 的研究人员报告，他们在美国、越南、智利、波兰、德国和香港等国家和地区监测到了感染 LitterDrifter 的证据，表明了这种 U 盘蠕虫的扩展。乌克兰之外国家的感染数量接近其半数。

一加联合创始人裴宇（Carl Pei）创办的手机公司 Nothing 上周发布了它的消息应用 Nothing Chats，该消息应用源自 Sunbird app，它立即被发现存在严重安全问题，不到 24 小时就被迫从 Google 应用商店 Play Store 下架。Nothing Chats 的卖点是允许用户使用苹果的账号和密码在 Android 上登陆 iMessage——这听起来就不像是好事，声称支持端对端加密，结果被发现明文储存信息，身份验证令牌通过 HTTP 发送，意味着中间人可以拦截并读取你的消息。Text.com 的调查发现，当用户收到一条消息或一则附件，在客户端请求确认前它们在服务端是未加密的。它还发布了一个概念验证应用能从服务器上提取出号称端对端加密的信息。

因拒绝支付赎金，勒索软件组织 LockBit 泄露了波音公司大约 45GB 的数据。这次网络攻击发生在 10 月 27 日，波音在同一天承认遭到网络攻击，表示没有影响到飞行安全。因未在两周内支付赎金，LockBit 公开了波音的数据，其中包括云计算公司 Citrix 的文件、安全控制、电邮备份等。安全分析师称，波音的邮件等数据对恶意攻击者非常有价值。安全公司 MalwareHunter 认为，泄露数据可能来自于波音在 2006 年收购的 Aviall。如果 Aviall 的系统在过去 17 年已经与波音深度整合，那么问题将会很严重。如果整合程度不高，那么 LockBit 只是入侵了 Aviall 的网络，问题不那么严重。

微软安全响应中心上周庆祝了周二补丁日实施二十周年。所谓周二补丁日是指在每个月的第二个星期二推送安全补丁。在统一采用周二补丁日前，安全补丁的发布是零零散散的，这种零散的模式给 IT 工作者和组织部署重要补丁带来了挑战。微软率先提出的可预测的补丁发布时间表改变了这一状况。

三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称，攻击者利用了未披露名字的第三方应用的漏洞，在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。三星称它直到三年后的 2023 年 11 月 13 日才发现这次入侵。三星通知受影响客户，黑客可能已获取了姓名、电话号码、 邮政地址和电子邮件地址等信息。

名为 Alphv/BlackCat 的勒索软件组织向 SEC 投诉受害者未按照规定在四个工作日内披露数据被窃取事件。勒索软件组织声称它入侵了加州金融软件公司 MeridianLink，窃取了其客户数据，要求支付赎金否则将泄露窃取的数据。为了增加获得赎金的几率，该组织称已经向 SEC 投诉 MeridianLink，指控该公司未按 7 月公布的规定及时披露数据泄露。BlackCat 黑客称他们是在 11 月 7 日入侵了 MeridianLink，没有加密文件只是窃取了数据。MeridianLink 发言人证实遭到网络攻击，但尚未确认有客户数据被盗，称该公司的调查没有发现有未经许可访问其生产平台的证据，如果发现有客户数据被盗，将按照法律要求发布通知。

美国电动汽车制造商 Rivian 本周推送了最新更新 2023.42，但该更新导致了 R1Ses 和 R1Ts 的车载信息娱乐系统黑屏变砖，问题可能无法通过 OTA 更新解决。2023.42 除了导致显示屏黑屏外，并不影响汽车正常驾驶。Rivian 软件工程副总裁 Wassim Bensaid 在 Reddit 上承认了问题，称问题没有影响汽车系统的其它部分，重置无法解决问题，他们正在验证解决问题的最佳方案，已经向受影响车主发去了电子邮件，将在明天推送更新。

英特尔周二推送了微码更新，修复高危 CPU 漏洞 Reptar（CVE-2023-23583）。该漏洞影响几乎所有现代英特尔处理器，可被用于攻击云端主机。Reptar 与 CPU 管理前缀有关，Intel x64 解码通常允许忽略冗余前缀而不会有任何后果，但 Google 安全研究员 Tavis Ormandy 在测试时发现，在支持“快速短重复移动（fast short repeat move）”的英特尔处理器上运行 REX 前缀会产生“意料之外的结果”。一旦触发，可能导致虚拟机中的 guest 账号执行不信任代码而导致系统崩溃，或者可用于提权。

SektorCERT 披露丹麦关键基础设施在今年五月遭遇了该国历史上最大规模的网络攻击。有 22 家公司遭到入侵，部分公司被迫切断与外界的网络接入断开所有非必要网络连接。攻击者利用了未修复的 Zyxel 防火墙漏洞，还利用了多个尚未公布的 0day 漏洞。SektorCERT 研究人员表示，攻击由多个组织发起，其中至少一个与俄罗斯情报机构的 Sandworm 行动相关。Zyxel 防火墙漏洞是在 4 月爆出的，允许远程攻击者无需身份验证完全控制防火墙，许多使用 Zyxel 的组织以为防火墙是由供应商更新的，但实际上 Zyxel 的软件是免费的，获得安全补丁则需要付费。还有很多组织根本不知道网络中存在有问题的设备。这种情况使得攻击者可以利用已公开的漏洞发动攻击。

工行美国子公司 ICBC Financial Services 上周遭到勒索软件攻击，与俄罗斯有关联的勒索软件组织 LockBit 与此次攻击相关。攻击者利用最近披露的高危漏洞入侵工行系统，此事凸显了及时打补丁的重要性。攻击者利用的一个漏洞是思杰(Citrix)在 10 月 10 日披露的 CitrixBleed 高危漏洞 CVE-2023-4966，危险等级 9.4/10，可远程利用，无用户互动，无特殊权限，低复杂度。攻击发生之后，工行隔离了部分系统，切断了与美国国债市场以及为其结算交易的纽约梅隆银行平台的连接，开始手动清算交易。工商尚未透露是否向黑客支付赎金。

安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击，攻击者发布了 8 个用于混淆代码的 Python 软件包，其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例，一旦安装，攻击者基本上可以完全控制受害者的电脑，能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令，等等。软件包的下载绝大部分来自美国（62%）、其次是中国（12%）和俄罗斯（6%）。

工商银行美国子公司 ICBC Financial Services(FS) 于 11 月 9 日遭到了勒索软件攻击。ICBC FS 在网站的声明中表示它立即切断了网络连接隔离了受影响系统。工商银行表示，其业务和电邮系统是独立于集团运行，这起事故没有对纽约分行、总行以及其他境内外附属机构产生影响。它已经向执法机构报告了这起事件。工商银行是全球收入最高的商业银行，去年收入 2147 亿美元，利润 535 亿美元。勒索软件攻击短干扰了美国国债的交易，ICBC FS 表示它能清算 8 日执行的美国国债交易，以及 9 日的回购融资。

澳大利亚主要港口运营商 DP World Australia 在网络攻击导致设施瘫痪愈两天后恢复了正常运行。该公司管理的港口处理了澳大利亚四成的进出口货物，从上周五到本周一早晨，位于墨尔本、悉尼、布里斯班和珀斯的港口运营因网络攻击受到干扰。这次事故没有影响到澳大利亚超市的商品供应。DP World Australia 隶属于迪拜国有的 DP World 集团，该公司表示今天将有四千个集装箱离开其管理的四个港口。目前还不清楚攻击者的身份。DP World 表示在上周五攻击发生之后，它立刻切断了与港口的网络连接，防止对其网络的任何未经授权的访问。它表示正对此次事故展开调查。