安全资讯 第5页
聚合当前分类下的最新内容,按时间顺序查看第 5 页精选文章。
Oracle PeopleSoft 高危零日遭勒索组织利用:高校成主要目标,临时缓解还不够
ShinyHunters 已利用 Oracle PeopleSoft 零日漏洞 CVE-2026-35273 攻击约 300 个端点,涉及约 100 家用户组织,但这不等于全部已确认被攻破。真正的风险在于:这是 CVSS 9.8 的远程 SSRF 漏洞,已被勒索组织规模化用于数据窃取,而 Oracle 目前仅发布临时缓解措施,尚未完整修补。
恶意软件把武器文本塞进代码:AI 拒答可能变成安全扫描盲区
据 John Scott-Railton(jsrailton)转述的 SocketSecurity 案例,有间谍软件把核武器、生物武器相关文本混入样本,目的更像是诱发 LLM 拒答,而不是传播武器知识。 真正的风险不在这些文本本身,而在安全扫描系统如果把“拒答”当成分析终点,攻击者就多了一个逃逸面。 对 AI 安全和恶意软件检测团队来说,关键动作是重做拒答后的处置流程,而不是简单要求模型更敢答或更会拒。
Google 起诉被指来自中国的诈骗网络:AI 短信钓鱼开始打基础设施战
Google 起诉名为 Outsider Enterprise 的网络,称其在诈骗活动中使用 AI,冒充 Google 等品牌发送短信,窃取密码和信用卡信息。关键不只是 AI 会写诈骗话术,而是短信、假网站、域名和运营商通道正在被打包成一套诈骗基础设施。能不能压住这类攻击,要看 Google、运营商和执法部门能否拆掉域名和分发链路,而不只是封号码。
Google 起诉钓鱼即服务团伙:Gemini 被拿去把诈骗做成模板工厂
Google 指控 Outsider Enterprise 通过 Telegram 提供“钓鱼即服务”,还指导诈骗者用 Gemini 批量生成仿冒网站和短信诈骗页面。案件涉及约 9000 个假网站、100 万个 URL,以及超过 250 万条发给 Android 用户的短信。真正刺眼的不是“坏人也用 AI”,而是通用大模型正在把低技术诈骗做成低成本流水线。
FCC 想给电话加 KYC:反诈别变成通信准入审查
FCC 正在征求意见,考虑强化语音服务商 KYC 规则;这还不是正式实施,但可能影响预付费 SIM、第三方销售渠道和普通电话开户。诈骗电话确实该治,问题是这套方案把成本压给守法用户,尤其是依赖预付费电话和匿名通信保护安全的人。接下来最该看三件事:KYC 范围、记录保存期限、按通话计罚会不会逼运营商过度审核。
Verizon 误寄带 MDM 的翻新机:问题不止是寄错一台手机
Verizon 将一台未正确清除 MDM 管理配置的门店演示机,作为 Samsung Galaxy Z Flip7 替换机寄给 22 年老用户 Tom Collery。设备随后疑似因 MDM 策略或远程指令被重置,用户称联系人、信息、照片、视频和文件被清空。更该追问的是:运营商翻新机在回收、擦除、MDM 解绑和出库复核上,是否有可审计的流程。
FISA第702条款将首次失效:美国监控权力被国会卡了一下
美国众议院以218比198否决FISA第702条款续授权,19名共和党议员反对,下一次投票预计在6月23日。这不代表美国监控系统周五立刻停摆,FISC既有认证仍可让相关项目运行至2027年3月。真正的变化是,国会把无证监控、美国人通信被波及,以及情报机构人事政治化这几件事绑到了一起谈。
AI 代读邮件后,邮箱安全开始从送达转向验真
Fastmail 的判断是:AI 开始过滤、摘要和代办邮件后,邮箱安全的重心正在前移,不能只看邮件能不能送达,还要看来源能不能验证。 SPF、DKIM、DMARC 不是新技术,但在 AI 参与读信和行动后,会更像邮箱可信度的基础设施。 企业邮件管理员要补的是域名认证和外发系统治理;普通用户也要记住,认证只能证明域名身份,不能证明内容安全。
荷兰公务员邮件风波:数据在欧洲,不代表权力在欧洲
据荷兰媒体报道,微软被指向美国众议院提供了荷兰公务员未删节邮件、姓名、会议纪要和邀请等信息;微软和美国众议院均拒绝置评。敏感点在于,相关人员涉及欧盟《数字服务法》监管语境,监管者的内部沟通可能被另一个司法辖区触达。真正要重估的不是“数据放哪”,而是谁能依法访问、谁握密钥、谁能审计和拒绝披露。
Oracle PeopleSoft 漏洞遭利用:高校 HR 与学生数据系统成批量勒索入口
Oracle 警告 PeopleSoft 存在一个可通过互联网远程、无需认证利用的高危漏洞;公告发布时尚未给出正式补丁,只建议客户先做缓解。 Mandiant/Google 已通知 100 多家可能存在风险的全球机构,多数在美国,约三分之二是高校;这不等于 100 多家都已确认被入侵。 我更在意的是:PeopleSoft 这类后台企业软件,正在从“内部系统”变成黑客批量找入口、偷数据、再勒索的稳定靶面。
儿童社交媒体禁令从澳大利亚走向多国议会,真正难题在年龄验证
澳大利亚已在2025年12月实施16岁以下儿童社交媒体禁令,多个国家正在跟进立法或咨询。我的判断是,儿童社交媒体限制正从单国试验变成全球监管趋势,但它的成败不取决于口号,而取决于平台能否在不制造新隐私风险的前提下识别年龄。
AMD 更新器漏洞拖了 124 天:MITM RCE 之外,更该看赏金边界
研究员披露,AMD AutoUpdate/Ryzen Master 相关更新链路曾把 HTTPS 配置入口和 HTTP 下载链接混在一起,攻击者在具备 MITM 能力时可能替换可执行文件。AMD/Intigriti 最初以“可选工具、MITM 不在范围”为由关闭报告,后由 AMD PSIRT 继续审查、修复并发 CVE。问题不该被夸大成“所有 AMD 用户被远程打穿”,但它暴露了可选工具安全、赏金范围和披露节奏之间的灰区。
Flock 执法车牌查询被搜索引擎收录:问题不在黑客,在门缝
404 Media 与 NoCo Privacy Coalition 发现,Flock 部分执法车牌查询相关 URL 出现在 DuckDuckGo、Bing 等搜索结果中,可见查询原因、疑似车牌、州别、车辆特征和部分日期范围。Flock 称约有 70 条结果,时间在 2024 至 2025 年,未暴露搜索结果或底层执法数据。更该警惕的是,云端执法系统一旦接入日常 Web 机制,搜索引擎索引也可能变成监控元数据外泄通道。
FISA 702 延期在众议院受挫,但美国监听网络不会立刻“断电”
美国众议院以 218:198 否决将 FISA 第 702 条延长至 7 月 2 日,相关授权可能至少中断一周。真正关键不在于情报系统是否立刻失明,而在于既有 FISA 法院认证仍可让部分监控指令继续执行。争议的核心,是国家安全叙事能否继续压过对无证监听边界的追问。
Coupang 被韩国罚超 4 亿美元:跨国平台别再把本地数据当远程资产
韩国个人信息保护委员会因 2025 年数据泄露事件,拟对 Coupang 处以 6240 亿韩元、约 4 亿美元以上罚款,创下韩国相关监管纪录。事件影响超过 3400 万名客户,约为韩国人口三分之二,涉及姓名、邮箱、地址、电话和订单历史。更硬的一点是:Coupang 总部在美国,但只要吃的是韩国用户和韩国订单,就要按韩国的数据责任被追问。
Fedora 旧账号被疑似 AI agent 滥用:开源信任模型被敲了一下
一个有历史信誉的 Fedora 贡献者账号,被用于在 Bugzilla 改状态、关 bug、提交 PR,并让可疑改动进入 Anaconda 45.5,随后在 45.6 回滚。现在还不能断言这是攻击,也没有证据表明已植入恶意代码。真正刺眼的是:账号历史、维护者善意和审查疲劳,正在被自动化代理放大成供应链入口。
近 98.5 万份证件照暴露:KYC 系统最怕的不是漏洞,是把护照当运营素材
爱尔兰软件商 Nefos/CCS 为西班牙部分大麻俱乐部提供的 PuffPal 和验证系统,被曝曾让约 98.5 万份护照、驾照等照片 ID 暴露在无密码公网 URL 和脆弱 API 后面。受影响者包括相关俱乐部会员、约 3 万名美国访客及部分名人,暴露信息可能不止证件照,还包括电话、住址、邮箱、偏好品种、月消费量和私信。更关键的问题是:公司曾因俱乐部业务受阻而重新放开证件图片访问,说明安全在真实运营压力面前被降级了。
ShinyHunters 声称打穿 100 多家 PeopleSoft:高校最怕的不是黑客,是旧核心系统
ShinyHunters 声称入侵 100 多家机构的 Oracle PeopleSoft 服务器,许多受害者是大学;目前仍是黑客单方说法,Oracle 未回应 TechCrunch 置评请求。真正要看的不是一次泄露有多吓人,而是高校和大型机构的核心系统、补丁治理、预算约束,是否已经被黑产批量化攻击追上。学生和申请人最现实的动作,是盯紧学校通知、警惕钓鱼邮件、保存沟通记录,必要时考虑信用冻结。
OpenAI封禁疑似中国来源账号:AI数据中心和关税争议正在被试探
OpenAI披露并封禁两组疑似源自中国的ChatGPT账号,称其用AI生成内容介入美国AI数据中心、关税和ChatGPT数据安全讨论。OpenAI未发现这些操作形成显著扩散,也明确否认ChatGPT用户数据泄露指控。更该留意的是,外部操作者正在测试怎样把AI基础设施和技术竞争议题包装成“真实民意”。
朝鲜黑客混进远程招聘:CrowdStrike称Famous Chollima占美国科技行业相关人工入侵47%
CrowdStrike称,2025年4月至2026年5月,朝鲜相关组织Famous Chollima占美国科技行业国家背景“hands-on-keyboard”入侵活动的47%。这个47%不是美国科技行业全部网络攻击的一半,口径要讲清。更要紧的变化是,攻击者把远程IT岗位、开发者身份和招聘骗局做成入口,安全边界被推到了面试和入职环节。
Apache疑遭Shahed撞击:3.5万美元无人机背后的霍尔木兹风险
6月8日,一架美军AH-64 Apache在霍尔木兹海峡附近坠落,美方匿名官员称可能遭伊朗Shahed无人机击中,两名机组人员获救,美军随后打击伊朗防空、地面控制站和雷达目标。 现在还不能把这写成“廉价无人机击落昂贵直升机”的确定战果。美方仍在调查:如果无人机确实命中,这到底是有意攻击,还是低空密集环境里的偶然相撞。 真正影响判断的是可复制性。若只是偶发,美伊冲突的风险在误判;若伊朗具备更强的移动目标打击能力,霍尔木兹附近的飞行、搜救和航运成本都要重算。