安全资讯 第7页
聚合当前分类下的最新内容,按时间顺序查看第 7 页精选文章。
FBI局长私人邮箱被黑:当“猎人”自己成了猎物,美国网络战的尴尬一幕
美国司法部证实,FBI局长卡什·帕特尔的私人邮箱遭到与伊朗有关的黑客组织入侵。这个事件最刺眼的地方,不只是“高官也会被黑”,而是它发生在美方刚高调悬赏、誓言追捕对方之后——网络对抗的象征意味,已经远远超过一次普通的数据泄露。
欧盟委员会也被黑了:当欧洲最高行政机构的“云”开始漏水
欧盟委员会证实,其部分云基础设施遭遇网络攻击,黑客声称已从亚马逊云账户中窃取大量数据。这起事件真正刺眼的地方,不只是“被黑”本身,而是连监管科技巨头、制定数字规则的欧洲权力核心,也没能躲过云时代最典型的安全风险。
一枚被劫持的 Python 包,撕开了开源供应链最危险的一道口子
通信开发常用的 Python 包 telnyx 在 PyPI 上遭到投毒,看起来像是一起普通的软件供应链攻击,但它更像是一场持续蔓延的“自动化接管实验”。从 Trivy 到 npm,再到 PyPI,攻击者 TeamPCP 展示的不是单点破坏,而是把开发者信任链变成感染链的能力,这才是最让人不安的地方。
FBI局长私人Gmail疑遭伊朗黑客入侵:比“有没有被黑”更麻烦的,是旧邮件也能变成情报资产
Handala 宣称攻破 FBI 局长 Kash Patel 的私人 Gmail,FBI 也确认其个人邮箱信息遭到恶意行为者盯上,但强调不涉及政府系统与当前公务信息。新线索真正补强的地方,不是“私人邮箱被黑”这件事本身,而是两点:泄露样本里至少有部分邮件可被技术核验为真实,且邮件多为 2014 至 2019 年的历史材料,这让事件从单纯的账号入侵,转向更现实的情报拼图、舆论操控和高层数字卫生问题。
连打印机都该有正式证书了:一位折腾党的自动化方案,戳中了家庭网络安全的旧痛点
一位博主用 Certbot、Cloudflare 和一个第三方工具,把 Brother 打印机的 HTTPS 证书更新做成了自动化流程。看起来像是极客的小把戏,实则点出了一个长期被忽视的问题:家用和小型办公设备的安全,至今还停留在“能用就行”的年代。
从哈瓦那回到迈阿密,他们的手机却被美国海关带走了
一群前往古巴运送人道物资的美国公民,在返回迈阿密机场后遭遇了美国海关二次盘查,18人的手机与电子设备被扣押。它刺痛人的地方不只是“边境执法”四个字,而是当手机早已装下一个人的工作、社交、思想和记忆时,设备搜查实际上正在变成一种没有边界的数字检查。
当手机密码变成“义务”:香港新规把加密隐私推上风口浪尖
香港最新国家安全规则生效后,警方在特定情形下可要求当事人交出手机、电脑等设备的密码或解密方式,拒绝配合可能面临刑罚和罚款。这不只是一次法律修订,更像是对“数字隐私到底归谁”发出的强硬追问:当加密技术遇上国家安全,用户手里的那部手机,正在从私人空间变成执法前线。
“匿名举报”神话破了:9300万条犯罪线索疑遭泄露,最危险的不是黑客,而是系统太松
一家号称能保护举报人匿名的线索平台,疑似被黑客打包带走了 93GB 数据,涉及约 830 万条犯罪举报,连调查人员的回复都可能在内。这起事件真正刺痛人的地方,不只是数据量惊人,而是它再次提醒我们:很多“高敏感系统”在宣传上像保险柜,在安全实践上却像没锁门的文件柜。
一边挂着安全认证,一边中了供应链木马:LiteLLM 与 Delve 把硅谷的尴尬演成了现实剧
LiteLLM 这款日下载量高达数百万次的 AI 开源项目,近日因依赖项被植入窃取凭证的恶意软件而卷入风波。更刺眼的是,它官网仍展示着由 Delve 提供的 SOC 2 和 ISO 27001 认证,而 Delve 本身也正处在“合规是否靠谱”的争议中心——这起事件等于把 AI 时代最敏感的两根神经:开源供应链安全与合规可信度,硬生生拧到了一起。
当监控也能“搜一搜”:Conntour 融资 700 万美元,把安防摄像头变成自然语言搜索引擎
安防行业正处在一个微妙时刻:AI 让摄像头“看懂世界”的能力突飞猛进,但隐私争议也同步放大。Conntour 拿到 700 万美元种子轮融资,想把海量监控画面变成可用自然语言检索的数据库,这既是一个很现实的企业需求,也是一场关于边界、权力和责任的技术考题。
iPhone 安不安全,差距已经不只在“更不更新”:敢不敢开锁定模式,开始决定上限
苹果最新补了一条很关键的信息:自 2022 年推出锁定模式以来,尚未发现任何已开启该模式的设备被商业间谍软件成功攻破。相比旧稿只强调“新旧机型和更新节奏拉开差距”,这一点把判断往前推了一步——真正影响高风险用户安全上限的,已经不只是你拿的是哪代 iPhone,还包括你是否愿意牺牲一部分体验,换一层更硬的系统级防护。
Reddit开始给“像机器的人”验明正身:当真实人类,成了互联网最贵的资产
Reddit宣布将要求行为可疑的账号证明“背后是人”,这不是一次普通的风控升级,而是社交平台在AI洪水前的一次自救。更耐人寻味的是,Reddit并不打算彻底封杀AI内容,它真正想保住的,是“这里还有真人在说话”这块越来越值钱的招牌。
“我不会当替罪羊”:希腊监听丑闻再起波澜,间谍软件掌门人的一句话把政府推回聚光灯下
被定罪的间谍软件公司 Intellexa 创始人 Tal Dilian 表示将上诉,并暗示希腊政府才是大规模手机入侵行动的真正授权者。这不是一场普通的法律拉扯,它再次揭开了商业间谍软件行业最危险的一面:技术公司卖“武器”,政府按下扳机,最后却常常只剩公众在为隐私和民主买单。
一边挂着安全认证,一边中招恶意软件:LiteLLM把AI开源圈的尴尬撕开了
AI 开源项目 LiteLLM 因依赖链被植入窃取凭证的恶意软件,暴露出一个比“中毒”本身更刺眼的问题:安全合规证书并不等于真实安全。更耐人寻味的是,给它做 SOC 2 和 ISO 27001 合规背书的 Delve,本身就深陷“假合规”争议,这让整个事件像一面镜子,照出了 AI 时代软件供应链和合规生意的双重脆弱。
Spotify 给歌手加了一道“发片验证码”,对付 AI 假歌这次终于像回事了
Spotify 正在测试一项名为“Artist Profile Protection”的新功能,允许艺人在作品上线前手动审核,目标直指越来越猖獗的 AI 假歌和冒名上传。这个动作来得不算早,但至少说明流媒体平台终于开始承认:在生成式 AI 时代,音乐行业最缺的不是效率,而是真实身份的确认机制。
欧盟又想“看一眼”你的私聊:Chat Control 为何让隐私派集体炸锅
围绕“Chat Control”的拉锯战,正在把欧盟推向一个尴尬路口:一边是打击儿童性侵内容的正当目标,另一边是对所有私人通信进行普遍扫描的巨大代价。真正让人不安的,不只是技术是否可行,而是欧洲是否会为了安全,亲手削弱自己最引以为傲的隐私与法治原则。
把特斯拉“车机”搬上书桌:一场来自事故车零件的硬核拆解,也照见了智能汽车的另一面
一位安全研究员从报废特斯拉 Model 3 上淘来零件,硬生生在书桌上点亮了整套车载电脑和中控屏。这件事有趣的地方不只是“极客折腾”,而是它再次提醒我们:今天的汽车,已经越来越像一台可联网、可调试、也可能被攻击的计算机。
Axios 被劫持之后:会“自己找路”的供应链蠕虫,正在沿着默认信任扩散
旧稿讨论的是一种会顺着依赖链扩散、把开源项目当跳板的供应链威胁;新线索把这个判断压得更实了:攻击者不是抽象地“污染上游”,而是实打实拿下了 Axios 这样的高频基础包,并在不到 3 小时内把恶意版本送进 npm 发布通道。新增信息最关键的地方,不在于又多了一起事故,而在于它补强了三个现实变量:热门基础库比冷门工具更适合做攻击入口,维护者账号接管仍是最脆弱的一环,而一旦载荷是带自清理能力的 RAT,企业就不能再把它当成一次普通的依赖污染来处理。
美国突然对海外家用路由器下狠手:这不只是封杀硬件,更是在重写网络安全规则
美国联邦通信委员会(FCC)把“海外制造的消费级路由器”整体推上了国家安全审查台,实际效果接近于堵住未来新品进入美国市场的大门。表面上这是一次网络安全行动,背后却是供应链、产业政策与地缘政治的三重叠加;问题是,安全焦虑能不能靠“产地”一刀切解决,恐怕没那么简单。
当校园遇上“一键脱衣”AI:美国一所学校的迟报风波,正在把所有中学拉进现实考场
美国宾夕法尼亚州一所私校的AI深伪校园事件,正在从一场少年犯罪案,演变成一场关于学校责任、法律漏洞和平台时代未成年人保护的公共讨论。比起两名涉案学生将面临什么处罚,这件事更刺眼的问题是:当技术把伤害门槛压低到几乎为零,学校和制度准备好了吗?
一座不起眼的文档库,为何撑起了美国政府网络安全的“地基”
美国国防信息系统局(DISA)公开提供的 STIGs Document Library,看起来只是一个朴素的下载页面,但它背后代表的是一整套“把系统安全做成标准动作”的治理思路。真正重要的不是这个网页本身,而是它提醒整个行业:在网络安全这件事上,最贵的从来不是攻击,而是长期忽视基础配置。