网络安全 关键字列表
Apple芯片现不可修复漏洞,或成iPhone越狱突破口

Apple芯片现不可修复漏洞,或成iPhone越狱突破口

西班牙网络安全公司Paradigm Shift披露了一个名为"usbliter8"的苹果芯片漏洞,影响搭载A12和A13芯片的iPhone XS、XR及iPhone 11等机型。该漏洞存在于Boot ROM中,无法通过软件补丁修复,攻击者需物理接触设备方可利用。此漏洞可能为安全研究人员和政府机构提供开发iPhone越狱工具的基础,但普通用户受到的直接威胁有限。官方建议用户升级至更新硬件以规避风险。

美国最高法院裁定地理围栏搜查令须受隐私权保护

美国最高法院裁定地理围栏搜查令须受隐私权保护

美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。

佛罗里达州勒索软件谈判员因协助黑客勒索美国企业被定罪判刑

佛罗里达州勒索软件谈判员因协助黑客勒索美国企业被定罪判刑

佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。

被盗患者数据已成为地下市场的结构化商品

被盗患者数据已成为地下市场的结构化商品

最新研究追踪了163个地下社区中逾2.1万条暗网市场信息,揭示出一个分工明确、定价分层的医疗数据黑市体系。医疗记录因无法撤销或重新签发,成为犯罪经济链顶端的高价商品。包含诊断、处方、保险信息的"医疗完整身份包"可同时用于保险欺诈与身份盗窃。勒索软件团伙Rhysida与Interlock占据已公开医疗数据泄露帖的68.5%,EHR软件供应商已成高风险攻击入口。

CrowdStrike发现五种新型AI提示词注入攻击手法

CrowdStrike发现五种新型AI提示词注入攻击手法

安全公司CrowdStrike识别出五种新型提示词注入攻击技术,对企业AI系统构成威胁。这些攻击通过欺骗大语言模型接受恶意指令来实施,包括:触发式规则注入、认知令牌抑制、算法载荷分解、特殊令牌注入,以及用户上下文数据注入。CrowdStrike建议安全团队通过威胁建模、扩展测试范围及加强复合攻击检测等方式加以防范。

OpenVPN三大版本全面解析:免费社区版到企业云端方案如何选择

OpenVPN三大版本全面解析:免费社区版到企业云端方案如何选择

OpenVPN目前提供三个版本:免费开源的社区版(Community Edition)、自托管的Access Server以及云端服务CloudConnexa。社区版完全免费但需命令行操作;Access Server提供Web管理界面,支持LDAP、SAML等认证方式,超出2个并发连接后每连接每月7美元;CloudConnexa为全托管云端方案,支持30余个服务器位置,5个席位内免费,超出后每席每月7至9.5美元。三者核心加密标准相同,适合不同规模用户选择。

AI音乐生成器Suno遭入侵,疑从YouTube抓取训练数据

AI音乐生成器Suno遭入侵,疑从YouTube抓取训练数据

AI音乐生成器Suno遭遇黑客攻击,黑客通过供应链攻击获取员工凭证,访问其源代码,发现Suno涉嫌从YouTube Music、Deezer等平台抓取数十年音频数据用于训练。Suno曾承认使用互联网公开音乐文件训练AI,并以"合理使用"原则辩护,但主要唱片公司认为此举违反《数字千年版权法》。此次泄露还涉及用户邮箱、电话及部分信用卡信息,Suno未主动通知用户。

Grafana Labs遭黑客入侵后拒绝支付赎金

Grafana Labs遭黑客入侵后拒绝支付赎金

开源可视化工具开发商Grafana Labs确认遭遇黑客攻击。黑客通过窃取的令牌凭证入侵其GitHub代码仓库,并以公开源码为威胁索要赎金,但Grafana Labs明确拒绝支付。调查显示,此次入侵未波及客户记录或财务数据。公司已撤销相关令牌并加强安全措施。Grafana Labs援引FBI建议,指出向黑客付款既不能保证数据安全,也会助长未来的网络攻击。目前调查仍在进行中。

纽约公共医疗系统遭黑客入侵,逾180万人数据及指纹信息被窃

纽约公共医疗系统遭黑客入侵,逾180万人数据及指纹信息被窃

纽约市健康与医院公司(NYCHHC)披露,一起持续数月的网络攻击导致至少180万人的个人信息、医疗记录及指纹数据遭窃。攻击者于2025年11月至2026年2月间潜伏于系统内部,通过第三方供应商漏洞入侵。泄露数据包括医保信息、诊断记录、社会安全号码及生物特征信息。由于指纹等生物信息无法更换,此次泄露影响尤为严重。目前NYCHHC尚未解释存储生物数据的原因。

7-Eleven数据泄露事件波及逾18.5万人个人信息

7-Eleven数据泄露事件波及逾18.5万人个人信息

数据泄露通知服务"Have I Been Pwned"披露,便利店连锁品牌7-Eleven遭遇数据泄露,超过18.5万人的姓名、出生日期、住址、电话及电子邮件等信息外泄。黑客组织ShinyHunters对此次攻击负责,并以公开数据相威胁索要赎金。据7-Eleven首席信息安全官表示,黑客入侵了存储加盟商文件的内部服务器,部分州的报告还显示社会安全号码及驾照信息亦遭泄露。

黑客组织ShinyHunters声称入侵逾百家机构Oracle PeopleSoft服务器

黑客组织ShinyHunters声称入侵逾百家机构Oracle PeopleSoft服务器

知名网络犯罪组织ShinyHunters声称已入侵超过100家机构的Oracle PeopleSoft服务器,受害者中有大量高校。黑客称已窃取学生个人信息,包括家庭住址、电话号码、邮箱及出生日期等,还涉及财务、移民及健康数据。该组织惯于针对主流软件漏洞实施批量攻击。此次行动的最初目标是入侵FBI的PeopleSoft服务器,但以失败告终。Oracle暂未回应置评请求。

德克萨斯州政府数据泄露,逾300万份驾照与护照信息遭窃

德克萨斯州政府数据泄露,逾300万份驾照与护照信息遭窃

德克萨斯州检察长披露,德克萨斯州公园与野生动物部发生重大数据泄露事件,黑客入侵该部门的许可证系统供应商,窃取逾300万人的驾照信息与护照号码,同时涉及受害者的电子邮件、电话及住址信息。该部门未透露供应商名称,亦未说明事件发生时间及具体性质,此次泄露为今年德克萨斯州规模最大的数据安全事件之一。

密码管理工具LastPass遭遇Klue数据泄露,用户支持数据被窃

密码管理工具LastPass遭遇Klue数据泄露,用户支持数据被窃

密码管理工具LastPass宣布,因技术合作伙伴市场调研公司Klue遭黑客入侵,其客户的姓名、电话、邮箱、地址及客服工单等数据被窃取。LastPass强调自身基础设施未受影响,用户密码库仍安全。此次事件同样波及HackerOne、Recorded Future等多家企业。Klue于6月12日发现入侵,黑客组织Icarus声称对此负责并威胁勒索。LastPass目前拥有逾3300万用户,此前曾于2022年发生严重数据泄露事件。

Klue确认2022年凭证遭滥用,黑客借此入侵多家客户系统

Klue确认2022年凭证遭滥用,黑客借此入侵多家客户系统

市场研究公司Klue确认,黑客于本月初利用一个源自2022年试点项目的遗留凭证,窃取了多家企业客户的大量数据,受害方包括密码管理工具LastPass及多家网络安全公司。黑客借助该凭证获取Klue系统中存储的OAuth令牌,进而访问并下载客户存储在其他云端和数据库中的数据,并实施勒索。目前,黑客组织Icarus已公开宣称对此次攻击负责,并威胁若未收到赎金将公开所窃数据。

美国保险商AssuranceAmerica数据泄露,近700万人驾照信息外泄

美国保险商AssuranceAmerica数据泄露,近700万人驾照信息外泄

美国汽车保险公司AssuranceAmerica确认发生重大数据泄露事件,约699万名客户的姓名、联系方式及驾照号码遭到黑客窃取,成为今年美国最大规模的驾照信息泄露事件。公司于3月17日发现黑客入侵,6月15日完成调查。调查显示,黑客通过攻击某员工账户获取凭证,同时还窃取了车险保单、车辆及理赔相关信息。目前公司尚未披露是否支付赎金。

关键基础设施巨头Itron确认遭遇网络攻击

关键基础设施巨头Itron确认遭遇网络攻击

美国能源科技公司Itron证实,其系统于4月中旬遭到网络攻击,黑客成功入侵部分内部系统。公司已向美国证券交易委员会提交监管文件,表示在收到入侵通知后已驱逐黑客,目前未发现进一步入侵迹象。Itron未披露攻击类型,但表示已启动应急预案与数据备份,运营基本正常,并已通知执法机构。此次攻击范围疑限于IT网络,但公司提示可能触发数据泄露相关法律通知义务。Itron为全球逾1.1亿家庭和企业提供智能电表服务。

IBM股价单日暴跌逾25%,业绩预警引发科技股连锁抛售

IBM股价单日暴跌逾25%,业绩预警引发科技股连锁抛售

IBM周二发布令人失望的第二季度初步业绩,股价单日暴跌逾25%,跌幅甚至超过1987年"黑色星期一"。公司二季度营收约172亿美元,仅同比增长1%,低于分析师预期的178.6亿美元。IBM表示,企业客户支出正从软件转向数据中心基础设施和网络安全,导致其高利润率的大型机及相关软件业务受挫。受此影响,微软、Salesforce等软件股也下跌3%至5%。

Claude Code被利用安全漏洞,仅凭"乐于助人"就可触发攻击

Claude Code被利用安全漏洞,仅凭"乐于助人"就可触发攻击

Mozilla 0din团队研究人员揭示,Claude Code可被操控在开发者设备上开启隐藏反向Shell。攻击无需在克隆项目中植入恶意代码,而是通过运行时从DNS文本记录中获取指令实现。整个攻击链由一条伪造的错误信息触发,静态扫描器和防火墙均无法检测到异常。研究人员指出,编码智能体在执行任何命令前,必须严格审查将要运行的内容,开发者不应轻信陌生代码库。

Nextcloud数据库配置失误,泄露36.7万条员工及客户敏感信息

Nextcloud数据库配置失误,泄露36.7万条员工及客户敏感信息

欧洲云服务商Nextcloud发生重大数据泄露事件。安全研究人员于2026年5月发现一个未受保护的ElasticSearch集群,其中约含36.7万条记录(8GB数据),涵盖员工信息、客户合同及脚本文件。部分敏感信息以明文存储,包括员工邮箱、客户公司名称及地址等。Nextcloud在收到通知后两天内完成修复,并将问题归因于托管基础设施配置错误,强调客户服务器未受影响。

NymVPN iOS重大更新:新增混合网络调优与服务器家族功能

NymVPN iOS重大更新:新增混合网络调优与服务器家族功能

Nym Technologies为NymVPN iOS应用发布重大更新(2026.11.0版本),新增多项连接与便利功能。核心亮点包括:服务器家族警示系统,帮助用户识别同一运营商节点以保持去中心化;混网调优Beta功能,允许用户在匿名性与性能间灵活调节延迟和诱骗流量;此外还支持将应用图标伪装成计算器或记事本以保护隐私。应用还修复了订阅数据显示错误,并增强了广告拦截能力。