安全资讯 第2页

聚合当前分类下的最新内容,按时间顺序查看第 2 页精选文章。

近 98.5 万份证件照暴露:KYC 系统最怕的不是漏洞,是把护照当运营素材
安全 2026/6/11

近 98.5 万份证件照暴露:KYC 系统最怕的不是漏洞,是把护照当运营素材

爱尔兰软件商 Nefos/CCS 为西班牙部分大麻俱乐部提供的 PuffPal 和验证系统,被曝曾让约 98.5 万份护照、驾照等照片 ID 暴露在无密码公网 URL 和脆弱 API 后面。受影响者包括相关俱乐部会员、约 3 万名美国访客及部分名人,暴露信息可能不止证件照,还包括电话、住址、邮箱、偏好品种、月消费量和私信。更关键的问题是:公司曾因俱乐部业务受阻而重新放开证件图片访问,说明安全在真实运营压力面前被降级了。

KYC数据泄露Nefos Solutions
ShinyHunters 声称打穿 100 多家 PeopleSoft:高校最怕的不是黑客,是旧核心系统
安全 2026/6/11

ShinyHunters 声称打穿 100 多家 PeopleSoft:高校最怕的不是黑客,是旧核心系统

ShinyHunters 声称入侵 100 多家机构的 Oracle PeopleSoft 服务器,许多受害者是大学;目前仍是黑客单方说法,Oracle 未回应 TechCrunch 置评请求。真正要看的不是一次泄露有多吓人,而是高校和大型机构的核心系统、补丁治理、预算约束,是否已经被黑产批量化攻击追上。学生和申请人最现实的动作,是盯紧学校通知、警惕钓鱼邮件、保存沟通记录,必要时考虑信用冻结。

数据泄露ShinyHuntersOracle PeopleSoft
OpenAI封禁疑似中国来源账号:AI数据中心和关税争议正在被试探
安全 2026/6/11

OpenAI封禁疑似中国来源账号:AI数据中心和关税争议正在被试探

OpenAI披露并封禁两组疑似源自中国的ChatGPT账号,称其用AI生成内容介入美国AI数据中心、关税和ChatGPT数据安全讨论。OpenAI未发现这些操作形成显著扩散,也明确否认ChatGPT用户数据泄露指控。更该留意的是,外部操作者正在测试怎样把AI基础设施和技术竞争议题包装成“真实民意”。

OpenAIChatGPT账号封禁
朝鲜黑客混进远程招聘:CrowdStrike称Famous Chollima占美国科技行业相关人工入侵47%
安全 2026/6/11

朝鲜黑客混进远程招聘:CrowdStrike称Famous Chollima占美国科技行业相关人工入侵47%

CrowdStrike称,2025年4月至2026年5月,朝鲜相关组织Famous Chollima占美国科技行业国家背景“hands-on-keyboard”入侵活动的47%。这个47%不是美国科技行业全部网络攻击的一半,口径要讲清。更要紧的变化是,攻击者把远程IT岗位、开发者身份和招聘骗局做成入口,安全边界被推到了面试和入职环节。

朝鲜黑客CrowdStrikeFamous Chollima
Apache疑遭Shahed撞击:3.5万美元无人机背后的霍尔木兹风险
安全 2026/6/11

Apache疑遭Shahed撞击:3.5万美元无人机背后的霍尔木兹风险

6月8日,一架美军AH-64 Apache在霍尔木兹海峡附近坠落,美方匿名官员称可能遭伊朗Shahed无人机击中,两名机组人员获救,美军随后打击伊朗防空、地面控制站和雷达目标。 现在还不能把这写成“廉价无人机击落昂贵直升机”的确定战果。美方仍在调查:如果无人机确实命中,这到底是有意攻击,还是低空密集环境里的偶然相撞。 真正影响判断的是可复制性。若只是偶发,美伊冲突的风险在误判;若伊朗具备更强的移动目标打击能力,霍尔木兹附近的飞行、搜救和航运成本都要重算。

霍尔木兹海峡AH-64 ApacheShahed无人机
Google 搜索历史要换口径:Lens 图片、语音和 Search Live 录音将进新设置
安全 2026/6/11

Google 搜索历史要换口径:Lens 图片、语音和 Search Live 录音将进新设置

Google 将把 Lens 图片、上传文件、Search Live 音视频、语音搜索和 Translate 语音短语,纳入新的 Search Services History 设置。关键变化是:这些多模态搜索数据会从 Web & App Activity 中拆出,单独定义保存、个性化和 AI 模型改进的边界。用户仍能关闭 Search Services History 和 Save Media,但高频使用 Lens、语音搜索和 Translate 的人,最好重新检查一次设置。

Google搜索隐私Search Services History
Anthropic 的 Fable 被安全研究员吐槽:AI 安全护栏是不是拦得太粗了
安全 2026/6/11

Anthropic 的 Fable 被安全研究员吐槽:AI 安全护栏是不是拦得太粗了

Anthropic 周二发布 Fable,作为强大网络安全模型 Mythos 的公开受限版本,但多名安全研究人员反馈,模型护栏会误拦代码审查、阅读安全博客等低风险任务。问题不在于 Anthropic 该不该设限,而在于它把“防滥用”和“正常安全工作”的边界切得过粗,正在削弱产品对核心用户的实用性。

AnthropicFableMythos
警察用 Flock 查前任:车牌识别的麻烦,是权限太顺手
安全 2026/6/10

警察用 Flock 查前任:车牌识别的麻烦,是权限太顺手

404 Media 披露,美国多地警察滥用 Flock 自动车牌识别系统查询伴侣、前任或受害者行踪,已知十多起案例涉及逮捕、解雇或曝光。Flock 称滥用罕见且平台有审计功能,但多起案例靠受害者、记者、公民组织和公开记录请求才被挖出。问题不在所有车牌识别都是违法监控,而在低门槛访问把公共权力变成了私人跟踪工具。

Flock自动车牌识别系统警察滥用
Meta 放松审核后,Facebook 上针对美国议员的威胁评论被指激增
安全 2026/6/10

Meta 放松审核后,Facebook 上针对美国议员的威胁评论被指激增

CCDH 分析约 800 万条 Facebook 评论后称,Meta 放松内容规则后的六个月里,针对美国国会议员的种族主义和辱骂性评论约增至此前三倍。这个研究只能说明时间相关,不能直接证明 Meta 是唯一原因,也不能等同于 Facebook 整体仇恨内容上升。更现实的问题是:平台少管之后,威胁、骚扰和安保成本正在落到议员办公室和公共机构身上。

MetaFacebook内容审核
Valve 停售实体 Steam 礼品卡:不是取消充值,是收掉一个诈骗入口
安全 2026/6/10

Valve 停售实体 Steam 礼品卡:不是取消充值,是收掉一个诈骗入口

Valve 将逐步停止向零售店补货实体 Steam 礼品卡,预计门店库存到 2026 年底前售罄。已购买的实体卡仍可在 Steam 使用,Steam 数字礼品卡也会继续销售。真正变化是线下实体卡渠道被收缩,原因是礼品卡诈骗已经绕过了此前的警示和限制措施。

礼品卡诈骗ValveSteam
Snapchat 收紧低龄用户 Spotlight:不是禁发,而是少让陌生人看见
安全 2026/6/10

Snapchat 收紧低龄用户 Spotlight:不是禁发,而是少让陌生人看见

Snapchat 将把 13 至 15 岁用户的 Spotlight 分享范围压到互相关注好友内,16 岁以下用户也会有单独的 Stories 和 Spotlight 资料页。 这次调整的重点不是禁止青少年发内容,而是降低低龄用户被陌生流量、互动数字和二次传播推着走的概率。 对家长来说,Family Center 的使用时长只是入口,更该盯的是孩子的内容能被谁看见。

青少年安全SnapchatSnap
微软补了两个零日,真正该追的是漏洞治理这笔账
安全 2026/6/10

微软补了两个零日,真正该追的是漏洞治理这笔账

微软在 6 月补丁日修复约 200 个漏洞,其中包括 Nightmare Eclipse 提前公开的两个 Windows 高危零日。CVE-2026-45586 尚无主动利用迹象,但利用门槛低,可串联拿到 SYSTEM;MiniPlasma 被微软归到 CVE-2020-17103,更像旧补丁没补干净或发生回归。对企业管理员来说,动作不是围观争吵,而是排补丁优先级、核对 BitLocker 缓解、盯住微软后续根因修复。

微软Windows零日漏洞
国会险胜拨款700亿美元:DHS扩权,比驱逐口号更值得盯
安全 2026/6/10

国会险胜拨款700亿美元:DHS扩权,比驱逐口号更值得盯

美国国会以众议院214比212、参议院52比47的窄幅结果,通过预算协调法案,未来三年向DHS追加约700亿美元。 这笔钱将强化特朗普的大规模驱逐和移民执法议程,但更关键的是程序:钱先进入执法体系,ICE/CBP改革和约束条款没有同步跟上。 受影响的不只是移民群体。边境与城市社区、地方政府、法律援助机构,以及关注美国科技政策和国家监控能力的人,都要盯预算如何变成日常执法动作。

国土安全部DHS移民执法
npm v12 要改的不是安装命令,是默认信任
安全 2026/6/10

npm v12 要改的不是安装命令,是默认信任

npm v12 预计 2026 年 7 月发布,依赖脚本、Git 依赖、远程 URL 依赖都会从默认放行改成显式许可。npm 11.16.0+ 已经会用 warning 提前暴露风险点。真正要准备的不是背参数,而是把项目里谁能执行脚本、谁能拉远程代码写进清单。

npm v12默认信任依赖脚本
CISA给联邦民用机构三天期限:Check Point VPN漏洞为何被紧急处置
安全 2026/6/10

CISA给联邦民用机构三天期限:Check Point VPN漏洞为何被紧急处置

CISA要求美国联邦民用机构在6月11日结束前修复Check Point远程访问、防火墙和VPN产品中的已遭利用漏洞,依据是BOD 22-01和已知被利用漏洞处置机制。真正的风险不在于“又一个VPN漏洞”,而在于边界安全设备本身成了入侵入口,且Check Point称Qilin已用该漏洞入侵全球数十个目标组织。企业运维团队不应把这看作只影响美国政府的合规事件,使用相关产品的组织都需要立即核查暴露面和补丁状态。

CISACheck PointVPN漏洞
Linux 内核一个感叹号引发本地提权:风险不在远程破门,而在拿到入口之后
安全 2026/6/10

Linux 内核一个感叹号引发本地提权:风险不在远程破门,而在拿到入口之后

Linux 内核 nf_tables 子系统因一处错误的感叹号引入 use-after-free 漏洞,本地非特权用户在特定环境下可能提权到 root。它不是远程直接入侵漏洞,真实风险在攻击链后半段:攻击者已有低权限入口后,用它突破沙箱、扩大控制权。内核已在 2026 年 2 月修复,PoC 已公开,管理员和安全响应人员现在该优先核查版本、低权限暴露面和发行版公告。

Linux 内核本地提权nf_tables
无人艇救起阿帕奇飞行员,美军试的不是救援噱头
安全 2026/6/10

无人艇救起阿帕奇飞行员,美军试的不是救援噱头

美军称,两名坠海的 AH-64“阿帕奇”机组已在阿曼近海获救,CENTCOM 只确认 Task Force 59 参与;“无人艇完成救援”和“美军首次”来自匿名美军官员对 CBS、ABC 的说法。坠机原因仍未确定,不能写成被伊朗击落,也不能把一次救援吹成无人艇已能替代有人搜救。真正值得看的是:无人系统正在被放进高风险、要承担后果的战场流程里。

无人艇美军Task Force 59
Meta智能眼镜人脸识别代码被撤下:真正的问题是“未启用但已分发”
安全 2026/6/10

Meta智能眼镜人脸识别代码被撤下:真正的问题是“未启用但已分发”

WIRED披露Meta AI应用内含未启用的人脸识别组件后,Meta在一天内从新版应用移除了NameTag相关大部分代码。Meta称这只是探索性项目,尚未作最终决定,但拒绝说明为何移除、是否会回归。我的判断是:重点不是它有没有上线,而是一套生物识别能力已进入5000万装机量的配套应用,却缺少清楚的数据流和同意机制说明。

人脸识别Meta智能眼镜
FCC 拟收紧手机开户身份核验:美国匿名号码空间可能被压缩
安全 2026/6/9

FCC 拟收紧手机开户身份核验:美国匿名号码空间可能被压缩

美国 FCC 仍在征求意见,拟要求运营商在新用户和续约用户开通服务前,收集姓名、实体地址、政府签发身份证件号码和备用电话,评论截止日期为 6 月 25 日。它的官方理由是打击诈骗电话和短信滥用,但 ACLU、EFF、CDT 和 Cape 批评,这会形成事实上的全国手机身份登记。真正的争议不是要不要追踪骗子,而是能不能为了追踪少数违法者,让所有通信用户先交出更多身份信息。

FCC手机开户实名化匿名号码
俄罗斯预警卫星疑似短时干扰欧洲GPS:几秒钟,已经够说明问题
安全 2026/6/9

俄罗斯预警卫星疑似短时干扰欧洲GPS:几秒钟,已经够说明问题

研究人员分析2019年1月至2026年4月的欧洲GNSS地面站数据,发现75天出现至少一次广域干扰,单次通常不到10秒,却能被欧洲多地同时探测。一次事件被阿姆斯特丹和特隆赫姆两站原始无线电信号锁定到俄罗斯EKS预警卫星Kosmos 2546,但这不等于所有事件都来自它。真正值得警惕的是,卫星级GPS干扰正在把电子战从局部战场推向大陆尺度的灰色威慑。

GPS干扰GNSS电子战
Meta指控NSO再碰WhatsApp禁令:Pegasus生意被逼到墙角
安全 2026/6/9

Meta指控NSO再碰WhatsApp禁令:Pegasus生意被逼到墙角

Meta称WhatsApp拦截了与NSO相关的新一轮鱼叉式钓鱼尝试,并要求法院认定NSO违反此前永久禁令。现在还不能说法院已认定NSO藐视法庭,也不能断言用户已被成功感染。真正要看的,是当Pegasus在2025年代表NSO全部销售额时,禁令、平台封堵和政府客户需求能不能压住这门生意继续越线。

NSOMetaWhatsApp