https://www.infostealers.com/article/massive-moveit-vulnerability-breach-hacker-leaks-employee-data-from-amazon-mcdonalds-hsbc-hp-and-potentially-1000-other-companies/

来源：

https://hackread.com/hackers-leak-mit-technology-review-user-records/

来源：

https://www.bleepingcomputer.com/news/security/schneider-electric-confirms-dev-platform-breach-after-hacker-steals-data/

3.1.4.美国俄亥俄州哥伦布市50万居民信息遭勒索团伙窃取并泄露

11月4日，美国俄亥俄州哥伦布市（人口超过905000）在今年7月遭受Rhysida勒索软件团伙的攻击，导致公共服务和IT连接中断。该团伙声称窃取了6.5TB数据，包括员工凭证、城市摄像机源等敏感信息，并在勒索失败后泄露了45%的被盗数据。

来源：

https://www.bleepingcomputer.com/news/security/city-of-columbus-data-of-500-000-stolen-in-july-ransomware-attack/

3.1.5.美国Hot Topic等三品牌数据泄露，5690万账户信息遭曝光

11月11日，据Have I Been Pwned警告，美国零售连锁店Hot Topic及旗下子品牌Box Lunch、Torrid的客户个人信息遭到泄露，涉及56904909个账户。泄露信息包括客户全名、电子邮件地址、出生日期、电话号码、实际地址、购买历史以及部分信用卡数据。

来源：

https://www.bleepingcomputer.com/news/security/hibp-notifies-57-million-people-of-hot-topic-data-breach/

3.1.6.超1亿商业联系信息遭B2B平台DemandScience数据泄露

11月13日消息，自2024年2月以来，一个名为“KryptonZambie”的黑客者在 BreachForums论坛上出售 1.328亿条个人信息记录。目前已证实，这些数据来自美国一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation），包括全名、地址、电子邮件、电话号码、职位和社交媒体链接等，数据是由该公司从公共来源和第三方收集的。

来源：

https://www.bleepingcomputer.com/news/security/leaked-info-of-122-million-linked-to-b2b-data-aggregator-breach/

4.1.1.工信部通报侵害用户权益行为的APP（SDK）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，工信部组织第三方检测机构进行抽查，共发现27款APP及SDK存在侵害用户权益行为，予以通报。

来源：

https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2024/art_a20860e438684a039708611ceeadc003.html

4.1.2.美柚、宝宝树等App平台推送涉黄短信？官方回应：数据库安全，启动自查

近日，多位用户在社交媒体发文称，准爸爸注册母婴APP美柚后，会频繁接到涉黄短信，而此前没有出现此种情况。除了美柚，另一款母婴APP宝宝树孕育也被指泄露用户隐私。随后，美柚和宝宝树孕育先后发布官方声明回应，表示尚未发现用户信息泄漏等违法违规情况，公司目前已开展内部调查。

https://finance.sina.com.cn/roll/2024-11-18/doc-incwnnhp0320951.shtml

4.1.3.国家计算机病毒应急处理中心监测发现13款App存在隐私不合规行为

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。

来源：

https://news.cctv.com/2024/11/12/ARTIZ9G9Ok4GcMxqSmLBGT5P241112.shtml

4.1.4.湖南省网信办执法约谈10家违规收集使用个人信息App负责人

近期，按照“亮剑湖湘·消费领域个人信息权益保护”专项执法行动工作部署，湖南省网信办组织技术支撑单位，聚焦餐饮外卖、房屋租售、商超购物、停车约车等社会关注度较高、个人信息被滥用和过度索取乱象突出的四类消费场景，发现了一批违法违规收集使用个人信息的问题。下一步，湖南省网信办将进一步落实属地管网职责，严厉查处网络违法违规行为，不定期向社会公布专项执法行动成果和典型案例，加强对消费领域企业的合规指引和对消费者的警示提醒，积极回应人民群众对个人信息保护的关切，促进互联网行业健康有序发展。

来源：

https://www.cnr.cn/hunan/gstjhunan/20241102/t20241102_526962078.shtml

4.1.5.快手公司被公安机关警告处罚，因未及时处置禁止发布或传输信息、落实青少年模式不到位等问题

2024年11月22日，据“国家网络安全通报中心”近日针对快手公司短视频中存在违法信息等问题，公安机关依据《网络安全法》规定，依法给予快手公司警告处罚。经查，快手公司存在对法律、行政法规禁止发布或者传输的信息未及时处置，以及落实青少年模式不到位等情况，导致违法信息扩散，危害未成年人身心健康，违反了《网络安全法》相关规定。公安机关依法对快手公司给予行政处罚，责令其全面落实青少年模式，全面排查清理违法信息，并依法依规处置违法违规账号。

来源：

http://news.china.com.cn/2024-11/22/content_117564448.shtml

4.2.1.加拿大政府以国家安全为由下令TikTok关闭在加业务

加拿大创新、科学和工业部长Fran?ois-Philippe Champagne于11月7日宣布，基于国家安全风险考虑，加拿大政府已正式要求字节跳动旗下的TikTok终止其在加拿大的业务运营。这一决定是建立在加拿大安全情报部门和其他政府合作伙伴的建议基础之上，经过全面审查后做出的。这项命令并未禁止加拿大民众使用TikTok应用程序或创作内容。加拿大政府表示，使用社交媒体应用是个人选择。不过政府同时提醒公民在使用社交媒体平台时需要注意网络安全实践，特别是评估外国机构如何获取、管理、使用和共享个人信息可能带来的潜在风险。

来源：

https://thehackernews.com/2024/11/canada-orders-tiktok-to-shut-down.html

4.2.2.新型安卓恶意软件ToxicPanda来袭，超1500台银行设备已沦陷

安全研究机构Cleafy日前披露，新型Android恶意软件"ToxicPanda"主要针对零售银行客户，已在意大利、葡萄牙、西班牙和部分拉美地区感染超过1500台设备，其中意大利占比超过50%。ToxicPanda目前尚处于发展阶段，其代码中缺乏混淆技术和调试文件，这意味着该恶意软件很可能会进一步升级。

来源：

https://www.infosecurity-magazine.com/news/toxicpanda-malware-banking-android/

4.2.3.高通芯片组曝严重安全缺陷，或影响数百万Android设备

日前，谷歌公司在最新的Android安全公告中官方披露了两个正在被黑客积极利用的零日安全缺陷，并呼吁用户立即更新设备系统。其中一个缺陷（CVE-2024-43047）是一个影响高通芯片组的高危漏洞。这个存在于高通FastRPC驱动程序中的释放后使用（use-after-free）漏洞可能被攻击者利用来执行任意代码，进而实现未授权访问和权限提升。该漏洞影响包括骁龙8（第一代）在内的数十款高通芯片组，波及摩托罗拉、三星、OnePlus、OPPO、小米和中兴等品牌的众多Android手机。

来源：

https://cybersecuritynews.com/android-zero-day-flaws-actively-exploited/

4.2.4.FakeCall安卓恶意软件新变种出现，瞄准Android无障碍服务

近日，Zimperium zLabs安全研究人员发现了FakeCal安卓恶意软件的一个新变种，该软件具备更强大的功能，可对受害者设备实施更全面的控制，从而进行欺诈和网络间谍活动。

来源：

https://www.darkreading.com/cyberattacks-data-breaches/vishing-mishing-fakecall-android-malware