安全资讯 第12页
聚合当前分类下的最新内容,按时间顺序查看第 12 页精选文章。
伊朗关联黑客开始直接动美国工业设备:关键基础设施风险从“丢数据”变成“停机器”
美国多家联邦机构最新联合警告称,伊朗关联黑客已在美国关键基础设施中直接针对 PLC 等工业控制设备实施攻击,并造成运营中断和财务损失。新增信息的关键不在于“又有黑客组织出现”,而在于官方首次把重点放到“工业现场被直接碰到”这件事上:攻击已从窃取和干扰 IT 系统,推进到可能影响水厂、工厂和能源设施实际运行的层面。
从成人视频到操作系统:美国“年龄验证”之争正在上移到手机入口
威斯康星州州长否决成人视频年龄验证法案,焦点不是要不要保护未成年人,而是成年人是否要为访问合法内容交出身份信息。美国国会新提出的 H.R.8250 把争议再往前推一步:年龄验证可能不再只落在网站和应用身上,而是压到 iOS、Android 等操作系统入口。真正的分歧正在变成:谁来验、怎么验、验到什么程度才停。
特斯拉“远程召唤”调查为何被叫停:没那么安全,也没糟到必须下架
美国国家公路交通安全管理局结束了对特斯拉“Actually Smart Summon”远程泊车功能的调查,理由并不复杂:事故确实发生了,但比例很低、速度很慢、后果也大多只是轻微剐蹭。可这并不等于监管层给特斯拉盖了“安全认证章”,更像是在说——眼下它还没坏到必须动刀,但行业关于“功能上线速度是否跑在安全边界前面”的争论,远没有结束。
德国公开“UNKN”真身:勒索软件黄金年代的幕后操盘手,被照出名字与脸
德国联邦刑警局近日公开指认,曾主导 GandCrab 与 REvil 两大俄语勒索软件团伙的神秘人物“UNKN”,真实身份是 31 岁俄罗斯人 Daniil Shchukin。这不只是一次“网络通缉”,更像是执法机构对勒索软件工业化历史的一次回溯:那些曾经自信宣称“作恶也能全身而退”的人,如今正在被一层层剥开面具。
当调查网站开始反向“盯梢”大厂:Meta、微软与一场不太体面的自动化侦察
一个名为 TBOTE Project 的调查项目公开宣称,自己监测到来自 Meta、微软相关网络的大规模自动化抓取行为,甚至包括版本比对、作者追踪和登录探测。这件事最耐人寻味的地方,不是“爬虫来了”,而是当平台公司、云基础设施与 AI 抓取工具混在一起时,外界已经很难分清:这是正常索引、舆情监控,还是对调查者的数字化侦察。
从杀毒到“打无人机”:网络安全老兵米科·许波宁,盯上了下一场看不见的战争
当智能手机越来越难被黑、传统恶意软件攻防逐渐走向成熟,一位与病毒鏖战 35 年的网络安全老兵,开始把目光投向天空中的无人机。米科·许波宁的转身,不只是职业选择的变化,更像是一个信号:未来安全产业的边界,正在从电脑和手机,扩展到无线电、协议栈和现实世界的低空战场。
Firefox扩展商店被“几乎全量扫描”后,真正暴露的问题不是271个零日
一位开发者抓取并分析了约8.4万个 Firefox 扩展,覆盖率接近全站,结果看到的不是一个整洁的小众插件市场,而是一个混着臃肿应用、低质 AI 生成物、钓鱼扩展和灰色流量生意的分发系统。相比旧有讨论里对“零日”和个别安全事件的聚焦,这条新线索补强了更关键的一点:Firefox 的风险不只在漏洞数量,更在商店可见性、审核能力和平台治理的长期缺口。
FAA撤回移动ICE车辆禁飞圈:无人机不是重点,看不见的执法边界才是
FAA曾把无人机禁飞范围扩展到DHS地面车辆周围:横向3000英尺、垂直1000英尺,车辆还可以移动、未标记、路线不公开。最新修订说明这条线确实画过了:安全规则不能变成公众监督的隐形门槛。
欧盟委员会被黑幕后:一次开源供应链失守,如何演变成92GB数据外泄
欧盟网络安全机构将这起大规模数据泄露归咎于黑客组织 TeamPCP,并指出臭名昭著的 ShinyHunters 负责将窃取的数据公开。这不只是一起“云账号被盗”的普通入侵,更是一堂昂贵的供应链安全公开课:今天最危险的攻击,往往不是正面突破,而是从你信任的软件绕到背后。
他在 Facebook 看清内容审核困局,如今要给 AI 聊天机器人装上一层“实时刹车”
前 Facebook 业务诚信负责人 Brett Levenson 创办的 Moonbounce 完成 1200 万美元融资,试图把“内容审核”从事后救火,改造成 AI 时代的实时基础设施。这件事重要,不只是因为又一家 AI 安全公司拿到钱,而是因为行业终于开始承认:靠模型自己管自己,可能真的不够了。
“隐身模式”不隐身?Perplexity被诉把AI聊天记录悄悄喂给谷歌和Meta
一桩新诉讼把 Perplexity 推上了隐私风暴中心:用户以为自己在和 AI 私下交谈,结果聊天内容可能被广告追踪器转手送到谷歌和 Meta。比起单一公司的合规失误,这更像是整个互联网广告体系和 AI 产品逻辑的一次正面碰撞——当“多聊一点”能换来更精准的广告,谁还真心在乎你的秘密?
Hims & Hers 客服系统被黑:当你向健康平台倾诉时,谁在门外偷听?
美国远程医疗公司 Hims & Hers 证实,其第三方客服工单系统遭黑客入侵,部分用户提交给客服的个人信息被窃取。表面看这不是“病历数据库失守”,但对一家卖减肥药和性健康处方的平台来说,客服记录本身就足够敏感——这也再次暴露出医疗科技公司最脆弱的环节,往往不是核心系统,而是外围服务链条。
当3D打印机开始学会“拒绝开枪”:纽约要把幽灵枪挡在喷头之前
纽约州政界正试图把“幽灵枪”问题往前推一步解决:不是等枪被打印出来再查,而是要求3D打印企业从设备和平台层面直接拦截。这个思路很像给打印机装上“数字安检门”,但它也把一个更大的争议摆上台面:通用技术平台究竟该为用户制造什么负责到什么程度?
当缉毒遇上手机间谍:美国 ICE 承认使用 Paragon 监控软件,真正的争议才刚开始
美国移民与海关执法局(ICE)首次明确承认,已购买并使用以色列背景公司 Paragon 的间谍软件,理由是打击毒品走私和应对加密通信带来的执法盲区。问题在于,这类“数字破门锤”一旦进入美国本土执法体系,争议就不再只是技术是否好用,而是边界由谁来划、谁来监督、普通人会不会成为附带损伤。
你的护照,可能就躺在公网里:加拿大汇款应用 Duc 的这次泄露,暴露了金融 App 最危险的软肋
加拿大汇款应用 Duc 因云存储配置失误,把大量用户护照、驾照、自拍照和交易信息直接暴露在互联网上,任何知道地址的人都能查看,甚至无需密码。这不只是一次“技术事故”,而是金融科技行业长期把 KYC 当成合规任务、却没有把数据安全当成生命线的老问题再次爆雷。
喜马拉雅上空的“假救援”生意:当直升机、医院和保险公司被串成一条灰色流水线
尼泊尔高山救援原本是挽救生命的最后一道防线,如今却被一张由徒步公司、直升机运营商、医院和中介拼成的骗保网络严重污染。更令人不安的是,这不是几个人的小动作,而是一套运转多年、分佣清晰、几乎把“紧急救命”做成标准化生意的产业链。
把邮箱藏起来,垃圾邮件就找不到你了吗?2026 年最实用的反爬虫实验
一篇看似冷门的网页技术实验,实际上戳中了互联网最古老也最顽固的问题:公开邮箱到底还能不能安全存在。最新测试显示,很多“老土”的邮箱混淆技巧依然有效,真正的关键不在炫技,而在于能否在反爬虫、可访问性和用户体验之间找到平衡。
当注册表单成了帮凶:一场“邮件轰炸”暴露了互联网最被低估的安全漏洞
一家 SaaS 初创公司最近发现,自己的注册与找回密码流程,正在被黑产当作“邮件轰炸机”使用:不是为了入侵网站,而是为了淹没受害者的邮箱,好掩护更严重的盗刷与账户接管。真正值得警惕的,不是这家公司的个案,而是整个互联网仍有大量产品默认向未经验证的邮箱发送邮件,这让无数看似无害的注册表单,变成了攻击链里最安静的一环。
Drift 遭黑客重击:一场上亿美元失窃案,再次撕开 DeFi“去中心化安全”神话
去中心化金融平台 Drift 因遭遇正在进行中的攻击,紧急暂停充值和提现。链上追踪机构给出的失窃规模从 1.36 亿到 2.85 亿美元不等,这起事件很可能成为 2026 年迄今最大的一笔加密货币盗窃案。更刺痛行业的是,DeFi 一边高喊“无需信任”,一边却在关键时刻仍靠人工按下暂停键。
一台二手 Pixel,可能买来一肚子麻烦:GrapheneOS 用户为何公开劝退 Swappa
在 GrapheneOS 论坛上,一则“远离 Swappa”的帖子虽然信息并不完整,却戳中了一个真实而长期被忽视的问题:对注重隐私和安全的用户来说,买到一台“看起来正常”的二手 Pixel,远比买一台新机复杂得多。二手平台卖的不是只有硬件,还有激活锁、运营商限制、引导加载器状态,以及一串可能在收货后才爆雷的隐形风险。
别再把签名签错对象了:FOKS 想从协议层堵上密码学里最隐蔽的坑
FOKS 团队提出了一种很“工程师”、也很有野心的做法:把随机生成且不可变的域分离标识直接写进 IDL,让签名、加密、MAC 和哈希从协议定义层面就知道“自己在处理什么类型的数据”。这不是一个炫技式的新序列化格式,而是在补密码学工程里一个长期被低估、却反复酿成事故的老漏洞。