外汇公司通济隆集团（Travelex）因未打补丁的 VPN 软件而遭到勒索软件的攻击，攻击者索要 600 万美元的赎金。2019 年 4 月，企业级 VPN 服务商 Pulse Secure 发布紧急补丁修复一个软件漏洞，该漏洞允许远程攻击者无需用户名或密码访问 VPN 服务器，关闭多步认证，查看服务器上缓存的日志、用户名和密码。新年前夕，Travelex 的网络遭到了勒索软件 Sodinokibi aka REvil 的攻击。攻击者联络媒体称他们在六个月前就渗透进入了该公司的计算机网络，下载了 5GB 的敏感客户数据。包括了客户的出生日期、信用卡信息和国家社会保险号。如果 Travelex 支付赎金，攻击者表示将会删除其持有的数据集，恢复其网络。如果拒绝支付的话会出售其持有的数据库。Travelex 称它正与警方合作，同时派遣了 IT 团队和外部专家共同解决问题。

以色列网络安全公司Check Point 发布研究报告，称在 TikTok 平台发现严重的安全漏洞。在报告给其运营商北京字节跳动之后，这些漏洞已经修复。这些漏洞可以让攻击者向 TikTok 用户发送带有恶意链接的消息。用户点击链接后，攻击者就能控制他们的帐户，包括上传视频或访问私密视频。通过另一个漏洞，Check Point 研究人员可以从该公司网站上获取 TikTok 用户账户的个人信息。TikTok 于 11 月 20 日了解到 Check Point 的研究结论，表示已在 12 月 15 日之前修复了所有漏洞。

Google Project Zero 公布了最新的漏洞披露政策：不管有没有修复，它都会在默认 90 天后披露漏洞细节，除非已有协议存在。在这之前，Google Project Zero 的漏洞披露是在 90 天或漏洞修复之后，选择最早的哪个。从 2020 年 1 月 1 日起，新的政策是不管有没有提前修复，漏洞都会在 90 天后披露。Google 安全团队表示，它的目的是补丁的开发能更快更彻底，并能及时推送给用户。改进安全不是发现 bug 或修复 bug，而是让用户知道 bug 和补丁。

美国国家公路交通安全管理局着手调查与一辆特斯拉 Model S 汽车相关的致命车祸，这辆汽车据报道闯红灯，撞上了一辆本田思域，杀死了两名乘客，特斯拉汽车里的两个人也被送往医院，但没有生命危险。车祸发生在 12 月 29 日，可能与特斯拉的自动驾驶功能有关联。特斯拉和美国国家公路交通安全管理局都建议司机在启用自动驾驶时双手握住方向盘，集中注意力，特斯拉称自动驾驶功能只是辅助驾驶，能在车道上导向、加速和刹车，但并不具有真正的自主驾驶功能。

美国海岸警卫队在一则安全通知中称，它的一处海事设施感染了勒索软件 Ryuk，致使其停止运作 30 多个小时。海岸警卫队没有透露海事设施的位置，表示它相信勒索软件渗透到其网络是通过发送给一名雇员的钓鱼邮件。一旦雇员点击了嵌入在恶意邮件长的链接，勒索软件随后访问了企业信息网络文件，加密，阻止访问关键文件。海岸警卫队称，病毒在 IT 网络中扩散，甚至影响到了监视和控制货物驳运的工控系统，加密了对操作流程至关重要的文件。

WSJ 报道，被称为 Cloud Hopper 的网络间谍行动是至今最大规模企业间谍活动之一。中国黑客窃取了大量的知识产权、安全调查细节等情报。Cloud Hopper 采用的策略是所谓的供应链攻击，针对的是云服务供应商，将云服务商作为跳板入侵其客户的计算机网络窃取各种机密。遭到入侵的企业包括了矿业巨头力拓、电子和医疗保健设备制造商飞利浦公司等。被入侵作为跳板的云服务商包括了加拿大的 CGI Group、芬兰的 Tieto Oyj，以及 IBM 和 HPE 等十多家公司。

加密邮件服务 ProtonMail 推出了自己的加密日历服务 ProtonCalendar，扩大了其 Google 产品和服务的隐私替代阵容。ProtonCalendar 目前处于公测阶段，将首先提供给付费用户使用，在 beta 测试结束之后提供给所有用户。ProtonMail CEO Andy Yen 称，他们打造的产品是为了服务于用户而不是利用用户。该公司正接近提供 Google 服务的一整套替代。

微软宣布它成功控制了 50 个被朝鲜黑客组织使用的域名。软件巨人称，这些域名被 Thallium aka APT37 用于发动网络攻击。微软称，它的数字犯罪部门和威胁情报中心团队监视了 Thallium 数个月内的活动，查清了其使用的基础设施。它在 12 月 18 日向法庭递交了针对 Thallium 的诉讼，圣诞节后收到了法庭命令，允许它接管黑客组织使用的域名。这些域名被用于发送钓鱼邮件和托管钓鱼网页。除了跟踪 Thallium 的攻击活动，微软还跟踪了受害者，根据受害者的信息，黑客攻击的目标包括政府工作人员、智囊团、大学教职工，人权组织和反核扩散机构成员。

研究人员利用英特尔 CPU 漏洞实现了对其负载端口的嗅探。CPU 通过一系列端口发送指令，每一个端口服务于一组指令类型，如算术、内存加载/储存、矢量指令，实现负载端口的嗅探意味着能跟踪系统的所有内存访问。研究人员利用是的早些时候曝出的 Microarchitectural Data Sampling（MDS）漏洞。研究人员称，因为所有负荷都必须经过负荷端口，因此在理论上负荷执行的内容都能被观察到。这项研究将可以帮助深入理解英特尔 CPU 微架构的工作原理。

1986 年，当时担任美国劳伦斯伯克利国家实验室系统管理员的 Clifford Stoll 在实验室的计算机系统发现了一名入侵者，他对此展开了调查。在历尽三年多时间之后，他识别了一个向克格勃出售美国情报的黑客小组——成员包括 Markus Hess、Dirk Brzezinski 和 Peter Carl。Stoll 设立了蜜罐，跟踪了这些与德国混沌计算机俱乐部有点松散联系的黑客，将收集的信息转交给了美国和西德的当局。1989 年 3 月 ARD Im Brennpunkt 报道了这起被称为 KGB Hack 的网络间谍活动。时隔三十周年之后，本周末举行的混沌计算机俱乐部年度会议（36C3）回顾了这段历史。

纽约时报早些时候根据调查和美国情报官员的消息报道，一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。那么 ToTok 是否含有后门或其它恶意功能？安全研究人员对其进行了破解，拦截了其流量进行分析，结果是没有，它就像是一个合法的 VoIP 应用，只是你根本不知道应用开发商/发行商的真实身份。调查发现，ToTok 使用了阿里巴巴的云服务，其大部分代码来自于另一家消息应用开发商 YeeCall，很可能是 Breej Holding 从 YeeCall 获得授权使用了其代码创建了 ToTok。情报官员口中的“间谍工具”就是一个消息应用的“合法功能”，阿联酋政府封掉了 WhatsApp 和 Skype 等流行 VoIP 应用，让 ToTok 成为当地唯一可用的 VoIP 应用，然后利用其合法功能就能获得用户的通讯录、通话和聊天细节，以及位置信息。

腾讯安全研究员披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人员共发现了 5 个漏洞，位于 SQLite 中，统称为 Magellan 2.0，这组漏洞允许攻击者在 Google Chrome 内远程运行恶意代码。Google 与 SQLite 官方已确认并修复了漏洞。如果用户使用 2019 年 12 月 13 日前的旧版本 SQLite 或运行低于 Chrome 79.0.3945.79 并启用了 WebSQL 的设备，那么可能会受到影响。和 Magellan 1.0 类似，这组新漏洞是因为 SQLite 数据库从第三方接受 SQL 命令输入验证不正确导致的。攻击者可以制作包含恶意代码的 SQL 操作命令，当 SQLite 数据库引擎读取该指令时会执行恶意代码。

安全研究员 Ibrahim Balic 利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。可能是为了防止此类的随机号码生成，Twitter 不接受序列格式的通讯录上传。但这一机制显然很容易绕过，Balic 生成了超过 20 亿个手机号码，将其顺序随机化，然后使用 Twitter Android app 上传。在两个月时间里他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户账号。Twitter 在 12 月 20 日封掉了他的账号阻止了他的手机号码匹配。Twitter 发言人已经证实了这一漏洞，表示正致力于让这一漏洞不能再被利用。Web 端的 Twitter 上传功能没有该漏洞。

荷兰安全公司 Fox-IT 报告，中国黑客组织 APT20 在最近的攻击中被发现能绕过二步验证。该组织的主要目标是政府机构和管理服务供应商。安全研究人员称，黑客使用 web server 作为进入目标系统的最初入口点，一个利用目标是大型企业和政府机构常用的企业级应用平台 JBoss。APT20 利用漏洞访问这些 web server，安装 web shells，然后逐渐渗透进系统。之后黑客会去寻找管理员账号，以及用于从外网访问内网的 VPN 账号。安全研究人员发现，黑客能绕过 VPN 账号使用的二步认证，他们猜测可能是黑客窃取了 RSA SecurID 软件令牌，用它去生成有效的一次性代码。

本月初，美国联邦检方宣布起诉俄罗斯网络犯罪组织 Evil Corp 的主要成员。该组织被指部署银行木马从美国、英国等国用户的银行账号窃取了超过 7000 万美元。美国政府对该组织主要负责人 Maksim V. Yakubets aka Aqua 开出了 500 万美元的赏金，奖励给提供情报将其逮捕的线人。知名安全博主 Brian Krebs 透露，他与该组织打过交道，甚至义务警告那些账号被黑的企业。他说，Evil Corp 在网上招募钱骡(Money mule)去转移和洗掉他们窃取到的钱，在让钱骡去取钱前 Evil Corp 会先进行一番考察筛选掉不可靠的人，整个过程都是在网络上进行。但招募钱骡的网站存在安全漏洞：用户在注册登陆之后，只要修改地址栏上的数字就能查看其他人的聊天记录。因此，Krebs 有一段时间每天早晨就是查看 Aqua 及其同伙向钱骡发送的提款信息，在钱被取走前从搜索引擎里找到电话号码打电话去警告受害者。很多情况下，电话警告就发生在钱被提取掉前几分钟或几小时；许多警告确实防止了受害者损失大量的钱，但还有很多情况受害者反应迟钝未能阻止未经授权的提款。还有受害者认为 Krebs 是 Evil Corp 的同伙，打电话报警，Krebs 也经常收到 FBI 特工或当地警方打来的电话。

一名前波音员工告诉美国众议院，在两架波音737 Max飞机在几个月内先后坠毁、造成 346 人死亡之前，他曾多次就波音飞机存在的安全问题发出警告，但都被波音无视。美国众议院运输委员会周三公布的文件显示，737飞机生产线前高级经理皮尔逊(Ed Pierson)曾向波音领导层发送一系列电邮和信件，力劝他们停产。美国众议院运输委员会针对这两起事故举行了一系列听证会，皮尔逊是在其中最新一个听证会上作证的。这两起事故造成了波音历史上最严重的危机之一。在这两起事故中，波音737 Max飞机的传感器似乎都出现故障，导致防失速系统失灵。波音无视皮尔逊的警告，让 737 飞机生产线继续生产，因为当时该公司正努力跟上其欧洲竞争对手空客的脚步。

最新版 uTorrent 客户端被多个杀毒引擎标记为“潜在有害应用程序”。uTorrent 背后的 BitTorrent 公司去年被中国区块链公司波场收购。标记 uTorrent 和 BitTorrent 客户端的 10 个杀毒引擎包括 Microsoft Defender、Sophos、Eset Nod32、GData 和 Dr.Web。被标记并不意味着该程序就是恶意程序，也可能是误报，或者与其捆绑的组件有关。uTorrent 客户端从 2012 年起开始引入难以关闭的广告功能，因此很多用户继续使用最后一个不含有广告的版本——即 uTorrent 2.2.1。

安全研究人员发现了一个漏洞允许攻击者劫持 VPN 连接。漏洞存在于使用 Weak Host Model 的 TCP/IP 协议栈，主要影响同一子网络中的 VPN 连接，比如同一个 WiFi 网络。在测试中，研究人员劫持了访问他们控制的无线网络的 VPN 连接。因为漏洞与 TCP/IP 协议栈相关，它影响 Linux 发行版，BSD 发行版、macOS、iOS 和 Android，对 OpenVPN、WireGuard 和 IKEv2/IPSec 都有效。

微软安全研究人员使用一个包含 30 多亿遭泄漏的用户名和密码数据库扫描了微软服务用户账号，发现多达 4400 万用户使用已泄漏的用户名和密码。4400 万账号中有 Microsoft Services Accounts 和 Azure AD 账号。这次扫描帮助用户识别出在不同服务之间重用用户名和密码的用户。微软表示，在发现重用泄漏的密码之后，它会强迫密码重置。对于企业级客户，微软会警告管理员。

在 2015 年 GitHub 之后，LIHKG 成为最新一个遭到网络大炮攻击的网站。AT&T Cybersecurity 发表报告称，访问两个流行 JS 脚本 http://push.zhanzhang.baidu.com/push.js 和 http://js.passport.qihucdn.com/11.0.1.js 的请求有一定比例遭到劫持，被替换为恶意脚本向 LIHKG 发动 DDoS 攻击。如果这两个脚本地址使用了 HTTPS，那么劫持将不会发生。在今年 8 月的攻击高峰，LIHKG 的每小时请求数超过了 15 亿次。