官媒报道了一起利用银行手机应用漏洞获利的案件。报道称，犯罪嫌疑人“长期在网上寻找全国各家银行、金融机构的安全漏洞。今年 5 月，他发现某银行 APP 软件中的质押贷款业务存在安全漏洞，遂使用非法手段获取了 5 套该行的储户账户信息，在账户中存入少量金额后办理定期存款，后通过技术软件成倍放大存款金额，借此获得质押贷款，累计非法获利 2800 余万元。为了在套现过程中躲避侦查和监管，嫌疑人将非法获利的账户存款余额，在某网络直播平台上全部购成点数卡，再折价卖给其他用户”。

意大利和阿联酋的石油和天然气公司遭到恶意程序 Shamoon 新变种的攻击，其中意大利公司的计算机上有十分之一的文件遭到破坏。Shamoon 是已知最具有危险性的恶意程序之一，最初针对的是沙特国有石油巨头沙特阿美，感染之后它会覆写某些目录中的文件和硬盘主引导记录。沙特阿美在 2012 年 和 2016 年两次遭到 Shamoon 的攻击，该恶意程序被认为与伊朗有关。这次遭到攻击的意大利公司是沙特阿美的承包商 Saipem。 新变种和旧版本存在差异，旧版 Shamoon 是覆写文件，而新变种则是加密文件。

安全公司 Certfa 研究人员报告，伊朗黑客最近针对美国政府官员、活动人士和记者的钓鱼攻击使用了能绕过二步认证的技术。这一事件凸显了基于短信的二步认证的风险。攻击者首先向目标发送钓鱼邮件，邮件嵌入了隐藏的图像，能在目标查看邮件时实时提醒攻击者。当目标在假的 Gmail 或 Yahoo Mail 登录页面输入密码，攻击者几乎能实时在真实的登录页面输入登录凭证。如果目标账号受到二步认证的保护，攻击者能将目标重定向请求一次性密码的新页面。黑客使用的钓鱼域名和 IP 地址与伊朗政府有关联的黑客组织 Charming Kitten 相关联。

船舶的 IT 系统并不像人们以为的那样是物理隔离的。根据船舶行业的一份报告，它也遭遇过各种安全事故，如感染勒索软件、蠕虫和病毒等，只是我们以前没有听说过罢了。行业组织和航运协会公布的《Guidelines on Cyber Security onboard Ships》列举了多起船舶感染病毒的案例：一艘新建的干散货船由于其电子海图显示与信息系统（ECDIS）感染病毒而推迟航行数天，这艘船是为无纸导航设计的，没有携带纸质海图，ECDIS 的故障最初并没有被视为是网络安全问题，直到技术人员花了大量时间排除故障后发现是 ECDIS 感染了病毒。病毒隔离后 ECDIS 计算机恢复了工作。延误加上维修费用损失了数十万美元。文件还披露了一艘船感染了两个勒索软件。在另一个勒索软件感染案例中，船主支付了赎金。

万豪上月底发出安全警告，它旗下的喜达屋酒店预订系统遭到非法访问，而且非法访问的时间长达四年之久，多达五亿客户的信息泄露。《纽约时报》援引两位知情人士的消息报道，黑客被怀疑与国家安全部有关联，旨在收集情报。万豪的数据库不仅包含了信用卡信息而且包含了护照数据，其中护照数据是非常有价值的情报，可以透露一个人的旅行习惯，加上从 Office of Personnel Management 获取的美国公民信息，中国可以构建美国人的庞大数据库，排除和发现间谍，以及招募间谍。中国黑客被认为从万豪窃取到了最多 3.27 亿护照数据。当然美国的黑客也在做类似的事情。

服务器主板制造商超微发表致客户的公开信，称外部调查团队进行的检测没有发现有证据显示主板嵌入了恶意芯片。彭博商业周刊今年 10 月引用多个匿名消息来源声称，中国军方利用在中国组装超微主板的机会秘密植入后门芯片，但相关企业以及美英情报和安全机构都否认了这一报道。据路透社报道，检测是由 Nardello & Co,  公司进行的，该公司检查了超微出售给苹果和亚马逊的主板样本，以及产品的软件和设计文档，它的测试和检测没有发现恶意硬件。超微 CEO Charles Liang 及其高级副总裁在声明中称，“自媒体报道这些指控以来，我们一再声明：没有任何政府机构通知我们它在我们的产品上发现了恶意硬件；没有客户告知我们它在我们的产品上发现了恶意硬件；我们也从未在我们的产品上发现恶意硬件的证据。”

信用巨头 Equifax 去年透露它遭到黑客入侵，大约有 1.48 亿美国用户的信息泄露，这是美国历史上规模最大的数据泄露事件之一。本周一美国众议院公布了 Equifax 数据泄露案调查报告（PDF），认为这起事件是完全可以避免的。报告认为，Equifax 没有采取足够的安全措施来保护敏感数据。报告指责该公司自满，技术过时，没有及时修复已知漏洞，导致其系统在 145 天内处于容易攻击的风险中。报告还披露了一个此前未知的信息：Equifax 没有发现攻击者将数据转移出去，原因是它监控网络流量的设备因为安全证书过期已经停止活动 19 个月；Equifax 有超过 300 个证书过期，其中包括 79 个监控关键域名业务的证书。

本周英国移动运营商 O2 网络发生大规模故障，导致数以百万计的手机用户失去了数据访问。O2 的核心网络设备由爱立信提供。爱立信发表声明称，故障是软件 SGSN–MME (Serving GPRS Support Node – Mobility Management Entity)的两个特定版本导致的，其根本原因是安装在客户设备上的软件使用的证书过期了。除了英国外，多个使用爱立信设备的国家也因为软件证书过期发生网络故障。

开源容器编排系统 Kubernetes 本周曝出了一个高危提权漏洞，影响从 1.0 到 1.12 的所有版本，但只有支持版本 1.10.11、1.11.5 和 1.12.3 得到修复。攻击者很快被发现利用该漏洞劫持 Kubernetes 集群。网络安全公司 BinaryEdge 报告，他们观察到很多 Kubernetes 集群被劫持挖掘数字货币，这些集群属于各个行业，企业规模从创业公司到财富五百强企业。

Sophos 公司的安全研究人员从 Google Play 官方应用商店发现了 22 款包含后门的应用，应用的总下载量超过 200 万，最流行的一款是手电筒应用 Sparkle Flashlight，其下载量超过一百万。应用含有的后门能悄悄从攻击者控制的服务器上下载文件。这些应用主要被用于广告欺诈，研究人员将它们命名为 Andr/Clickr-ad，通过欺骗性的广告点击获取收入，它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。

一位毫无经验的勒索软件作者在身份曝光之后很快遭到当局的逮捕。官媒报道，12 月 4 日 18 时许，东莞网警支队接省公安厅网警总队通报称，腾讯公司举报，东莞一名男子向多个计算机信息系统传播木马病毒，锁定目标系统文件，利用微信支付勒索钱财后解锁。网警于 12 月 4 日 22 时查明嫌疑人真实身份为 22 岁的罗x泳，主要在东莞市东坑镇活动；12 月 5 日 15 时他们将嫌疑人抓获。互联网专家表示，找到该嫌疑人并不困难。因为勒索病毒作者在病毒代码里留下了能关联到身份的信息。经东莞网警审讯，嫌疑人对其制作新型勒索病毒破坏计算机信息系统，利用微信支付勒索钱财的事实供认不讳。

过去几天有超过 10 万台电脑感染了勒索软件，有意思是恶意程序作者建议受害者通过微信支付来支付赎金。微信支付是一个基于实名制的中心式支付平台，难以想象有经验的恶意程序作者会使用它。中国安全公司火绒报告，作者身份已经锁定，称作者在病毒代码里嵌入了自己的 Github 链接。报告称，勒索病毒是通过供应链污染的方式传播的，植入到易语言编写的程序里，被植入病毒的软件超过 50 款。病毒作者还利用豆瓣等平台充当 C&C 服务器，他们发现一台病毒服务器包含了两万余条窃取的淘宝、支付宝等账户密码。

万豪上周发表警告，它旗下的喜达屋酒店预订系统遭到非法访问，而且非法访问的时间长达四年之久，多达五亿客户的信息泄露。路透社援引知情人士的消息报道，黑客留下的信息暗示他们在为中国政府的情报搜集行动工作。三名消息人士表示，调查本案的私人侦探发现，黑客所使用的工具、手法和程序，在之前被认为是中国黑客所为的网络攻击案中也曾被使用。虽然中国的嫌疑最大，但上述消息人士警告也有可能是其他黑客所为，因为部分侵入工具此前已被发在网上，其他人也可以获得同样的侵入工具。

澳大利亚计划本周出台严格的加密新规，政府认为，假日季节期间，情报部门需要有更强大的力量来遏制激进分子袭击风险。在国会审议这项拟定的安全法案时，澳大利亚国家情报机构负责人 Duncan Lewis 对议员们表示，从恐怖分子角度来看，圣诞季向来是一个风险高点。他说，恐怖袭击策划者利用加密系统逃避侦测。对此科技公司持抵制态度，称他们有权保护客户隐私，而且调查人员提出的许多要求技术上并不可行。2016 年 12 月，英国议会批准了《调查权力法案》，允许得到授权的安全部门侵入电脑，但未强制科技公司创建后门。澳大利亚的新提议被认为是建立在英国该法案的基础上，科技公司可能被要求开发新工具（后门），在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协，限制该法案的权力，将仅适用于最严重的犯罪情形，例如恐怖阴谋。

东北大学和 IBM Research 的研究人员发现了 Spectre CPU 漏洞的一种新变种，能通过基于浏览器的代码利用。被称为 SplitSpectre 的新漏洞与其它 Spectre 变种的一个重要区别是它更容易利用。研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器，以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。不过用户无需担心，因为现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。研究报告发表在 IBM Research 网站上。

万豪喜达屋发表公告，称有最多五亿用户的信息泄露，而黑客的入侵至少始于 2014 年。公告称它在今年 9 月收到警告，随后展开的调查发现从 2014 年起未经授权的第三方访问了喜达屋网络，复制并加密了某些信息。11 月 19 日它解密了加密的信息，确认其来自喜达屋宾客预订数据库。它认为数据库包含了 9 月 10 日或之前曾在喜达屋酒店预订的最多约 5 亿名客人的信息，其中约有 3.27 亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG 俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。部分客户泄漏的信息还包括支付卡号和支付卡有效期。支付卡号使用 AES-128 加密，解密支付卡号码需要解锁两项密钥，万豪国际无法排除该第三方是否已经掌握这两项密钥。此次泄密事故已经报告给了执法部门和监管机构。

流行问答社区 Quora 发出安全警告，称它在上周五检测到未经授权的第三方访问了它的系统，有最多一亿用户的帐户信息泄漏。Quora 称它仍然在调查原因，已经通知了执法部门，并计划雇佣安全公司帮助调查。可能泄漏的信息包括了账号信息，如用户名、电子邮件、哈希密码，用户授权导入的数据，以及公开的内容和动作如投票点赞，非公开的内容和动作，私聊信息，匿名写的提问和回答不受影响。它将通过电子邮件通知受影响的用户。

微软对知名耳机设备制造商森海塞尔的两款应用发出了警告，这两款应用在用户电脑上安装了两个 root 证书然后还泄漏了它们的私钥，这意味着恶意第三方可以利用私钥给恶意应用签发假的证书，伪装成合法应用。两个应用是 HeadSetup 和 HeadSetup Pro，用于设置和管理软件电话——通过互联网和计算机拨打电话的应用程序。存在问题的版本是 versions 7.3、7.4 和 8.0，私钥就放在 SennComCCKey.pem 文件里。

印尼狮航的一架波音 737 MAX8 客机上月底坠毁，机上所有人全部遇难。印尼事故调查人员公布的初步调查结果显示，错误的传感器数据导致了客机的坠毁，而这架客机此前已经多次发生传感器故障。印尼国家运输安全委员会负责人 Nurcahyo Utomo 在新闻发布会上说，在他们看来失事客机当时并不适合飞行。这起事故的最终结论还要过几个月才会公布，调查人员已经要求狮航改善飞行安全和加强飞机维修。飞行及维修日志记录显示，失事飞机之前几天多次出现空速及高度显示的故障。

戴尔发表新闻稿，称它在 11 月 8 日探测并阻止了一次对其客户信息的未经授权的访问，攻击者试图窃取的客户信息包括了名字、电子邮件地址和哈希加密密码。它的调查没有发现有确凿的证据显示信息被窃取了。敏感信息如信用卡号码不是攻击者的目标，它的产品和服务也都没有受到影响。戴尔称它已经启动了 Dell.com 客户账户的密码重组，雇佣了外部公司执行独立调查并通知了执法机构。