安全威胁情报周报(2025/07/12-2025/07/18)
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg4NjYyMzUyNg==&mid=2247492371&idx=1&sn=d9e7ad8ef00d8339278d9636007b7e5e
安全威胁情报周报(2025/07/12-2025/07/18)
观安无相实验室 2025-07-18 09:02
#本期热点
01
热点安全事件
谷歌Gemini for Workspace存在漏洞:可在邮件中隐藏恶意脚本
3.5亿辆汽车、10亿设备暴露于一键蓝牙RCE漏洞
ChatGPT 被绕过守护机制,泄露 Windows 产品密钥事件概述
Microsoft Exchange Online 全球宕机,数百万用户无法访问邮箱
OpenAI推出人工智能浏览器:挑战Chrome地位
起亚车机系统曝安全漏洞!黑客竟能远程操控
美国铁路12年前的惊天漏洞,如今才被曝光
国产IP摄像头存在CVSS10分隐蔽后门,攻击者可获取Root权限
02
数据安全情报
麦当劳AI招聘工具漏洞导致6400万求职者数据泄露
日本新日铁旗下 IT 公司遇零日攻击,用户数据泄露
芝加哥知名电台遭黑客攻击,财务数据及合同外泄
IT巨头英迈因SafePay勒索软件攻击导致服务中断
03
网络安全监管动态
国家网信办发布《生成式人工智能服务已备案信息》
五部门联合清理非法网络招聘活动
04
网络安全研究报告
平台算法应用的安全风险与法治规范
数字经济时代网络身份认证公共服务的意义
0
1
热点安全事件
01
谷歌Gemini for Workspace存在漏洞:可在邮件中隐藏恶意脚本
安全研究人员发现,谷歌Gemini for Workspace存在一个重大漏洞,威胁者可借此在邮件中嵌入隐藏的恶意指令。攻击者利用这款人工智能助手的“总结此邮件”功能,显示伪造的、看似来自谷歌官方的安全警告,进而可能实施凭证窃取和社会工程学攻击。
攻击者利用不可见的HTML/CSS代码在邮件中隐藏恶意指令,Gemini在总结邮件时会对这些代码进行处理。
此类攻击仅需精心构造的HTML标签,无需链接、附件或脚本。Gemini会显示攻击者伪造的、看似来自谷歌的钓鱼警告,诱骗用户泄露凭证。
该漏洞影响Gmail、文档(Docs)、幻灯片(Slides)和云端硬盘(Drive),可能在谷歌Workspace中催生人工智能蠕虫。
一名研究人员向0DIN提交了相关发现(提交ID:0xE24D9E6B),并演示了这一漏洞。攻击者通过嵌入在邮件中的特制HTML和CSS代码,采用提示词注入技术操纵Gemini的人工智能处理功能。
与传统钓鱼攻击不同,这种攻击无需链接、附件或外部脚本,仅需在邮件正文中隐藏经过特殊格式处理的文本。
攻击原理是利用Gemini对隐藏HTML指令的处理方式。攻击者将指令嵌入
当受害者点击Gemini的“总结此邮件”功能时,人工智能助手会将隐藏指令当作合法的系统命令进行处理,并在总结结果中如实呈现攻击者伪造的安全警报。
谷歌GeminiforWorkspace漏洞详情
该漏洞属于间接提示词注入(IPI),即提供给人工智能模型的外部内容中包含隐藏指令,这些指令会成为有效提示词的一部分。安全专家按照0DIN分类法,将这种攻击归为“策略→元提示→欺骗性格式”类别,社会影响评分中等。
概念验证示例显示,攻击者可插入包含管理员风格指令的不可见跨度(span),这些指令会指示Gemini在邮件总结中添加紧急安全警告。
图:Gmail
这类警告通常会催促收件人拨打特定电话或访问特定网站,为凭证收集或语音钓鱼方案创造条件。
该漏洞的影响范围不止于Gmail,还可能波及谷歌Workspace中集成Gemini的其他产品,包括文档、幻灯片和云端硬盘的搜索功能。这形成了一个重大的跨产品攻击面,任何涉及Gemini处理第三方内容的工作流程都可能成为潜在的注入载体。
安全研究人员警告称,一旦SaaS账户遭到入侵,攻击者可能会利用自动化的新闻通讯、客户关系管理系统(CRM)以及工单邮件,将其转化为成千上万个“钓鱼信标”,对广大用户构成广泛而持续的网络安全威胁。
这种技术还引发了对未来“人工智能蠕虫”的担忧——此类蠕虫可能在邮件系统中自我复制,从单个钓鱼尝试升级为自主传播。
缓解措施
安全团队应采取多项防御措施,包括对入站HTML进行代码检查以剥离不可见样式、配置大语言模型(LLM)防火墙,以及部署可扫描Gemini输出内容中可疑信息的后处理过滤器。
各组织还应加强用户意识培训,强调人工智能总结仅为参考信息,而非权威的安全警报。
对于谷歌等人工智能提供商,建议的缓解措施包括在接收内容时进行HTML清理、改进上下文归因以区分人工智能生成文本与源材料,以及增强可解释性功能,向用户揭示隐藏的提示词。
这一漏洞凸显了一个新的现实:人工智能助手已成为攻击面的新组成部分,安全团队需将其作为潜在威胁载体进行监测、沙箱隔离和密切监控。
图:示意图
02
3.5亿辆汽车、10亿设备暴露于一键蓝牙RCE漏洞
近日,PCA Cyber Security研究团队披露了一组可实现一键远程代码执行的蓝牙漏洞攻击链,命名为“PerfektBlue”。该攻击链影响广泛——涵盖超3.5亿辆汽车和超过10亿台嵌入式设备,波及奔驰、斯柯达、大众等知名品牌车载系统,以及众多消费级、工业级、医疗级智能终端。
漏洞根源源自一套名为 Blue SDK 的蓝牙协议栈,由德国软件厂商 OpenSynergy 开发,并广泛集成于车载信息娱乐系统(IVI)和嵌入式蓝牙设备中。研究人员指出,4个高危漏洞(CVE-2024-45431~45434)可被链式利用,攻击者仅需一次点击交互,即可实现完整的远程代码执行。
01、蓝牙栈漏洞首次具备持久远控能力
不同于以往蓝牙攻击受限于短暂近距离通信,此次PerfektBlue具备更强的持续性与扩展性。
研究人员强调,攻击初始阶段确实要求攻击者在距离目标设备10米以内,并建立配对。但一旦配对成功,PerfektBlue便可植入远程访问恶意代码,实现跨网络的持续控制,甚至突破车载系统的物理安全边界。
以大众 ID.4 和斯柯达 Superb 为例,研究人员实测发现,攻击者无需用户手动进入配对模式,即可远程诱导设备发起配对请求。而在奔驰NTG6系统中,则仍需用户主动操作。这表明,不同厂商的实现差异将直接影响漏洞利用的门槛和后果。
大众汽车曾试图降级漏洞影响,称需满足五个苛刻条件才能被利用,包括车辆点火、进入配对模式、用户手动确认等。但研究人员指出,这些前提并不完全成立。例如,现代车辆信息娱乐系统通常可在未点火状态下开启,攻击者也无需用户主动发起配对。
02、危害已知,补丁难及
PerfektBlue 并非简单的信息窃取工具。研究人员测试表明,攻击者可追踪车辆GPS位置、实时窃听车内语音、获取乘客的手机联系人、通话记录等敏感信息。更关键的是,其可能是攻击车载关键系统的入口点,为后续攻击打开通路。
尽管大众方面强调,其安全架构可阻止攻击者进一步控制转向、制动等关键模块,但研究人员认为,只要攻入信息娱乐模块,车内数十个子系统之间的交互机制就可能被滥用,存在被横向渗透的风险。
OpenSynergy 表示,已于2024年9月向合作客户发布补丁。但 PCA 指出,部分OEM厂商至今尚未接到任何修复通知,仍在向用户交付带漏洞的设备。
Swimlane 安全专家 Nick Tausek 表示,该事件暴露了物联网时代补丁链条的系统性失控:“厂商关系复杂、SBOM缺失、供应链攻击频发、设备设计过时和寿命短……这一切导致漏洞通知迟缓,补丁分发困难,有时甚至根本无人负责。”
更现实的是,用户想打补丁往往还需前往4S店或厂商服务中心,这对已停售或未纳入主动召回计划的老旧设备而言,几乎等同于“无法修复”。
Tausek 直言,PerfektBlue更像是一面镜子,揭示物联网生态系统补丁难题,而非对普通用户构成“立即威胁”的攻击。
图:示意图
03
ChatGPT 被绕过守护机制,泄露 Windows 产品密钥事件概述
近期安全研究者通过一种复杂的提示注入(prompt injection)技巧,成功绕过 ChatGPT 的内容审查机制,获取了 Windows Home、Pro 和 Enterprise 版本的产品密钥。此事件揭示当前 AI 审查系统在上下文理解、过滤机制与社交工程攻击防御方面的重大缺陷。
图:示意图
主要发现:
攻击者将请求敏感信息伪装为无害的“猜谜游戏”,绕过直接请求限制,
使用 等 HTML 标签对敏感关键词进行掩蔽,逃避关键字过滤。
通过游戏规则、提示线索及触发词“I give up”引导 AI 最终吐出完整密钥,
所泄密钥为公开测试密钥,AI 对此类内容缺乏情境识别能力,
技术可能同样适用于绕过对个人信息、恶意链接、成人内容等的限制
攻击流程概述
:
设定游戏机制:通过提示构建一套“猜谜规则”,要求 AI 参与并如实回应
引导提示阶段:逐步提供暗示,引导 AI 接近目标答案
触发揭示点:以“I give up”等语句请求“正确答案”,AI在语境误判下执行敏感内容输出
HTML 混淆:使用 HTML 标签分隔关键字,绕过基于字符串匹配的过滤机制,AI依然能够理解语义
技术原理分析:
该攻击揭示了当前守护机制主要依赖关键字过滤,而非上下文理解。AI 在识别提示意图时倾向于遵循提示结构而非审慎判断安全性,导致在表面逻辑合理的语境下放行敏感内容。
潜在风险扩大:
除 Windows 密钥外,攻击方法可用于规避对敏感身份信息、社会工程数据及攻击性内容的限制
若未及时修复,可能被用于构造钓鱼模板、泄露隐私数据、传播恶意内容
应对建议:
强化上下文理解与意图识别能力,避免 AI 被语义结构误导
建立逻辑层面防御机制,识别带有欺骗性的提示模式
多层级内容审查体系,结合关键字、结构、上下文三重因素进行过滤
对提示注入攻击建立自动检测机制,及时响应可疑交互行为。
04
Microsoft Exchange Online 全球宕机,数百万用户无法访问邮箱
2025年7月10日,Microsoft Exchange Online 出现严重全球性宕机事件,导致全球数百万用户无法访问其邮箱服务。此次事件编号为 EX1112414,自协调世界时(UTC)7月9日22:20 起开始影响用户,持续超过11小时。
本次宕机波及北美、欧洲、澳大利亚及部分亚洲地区,纽约、华盛顿、达拉斯、伦敦、德里、柏林、悉尼等主要城市用户报告严重中断。受影响的访问方式包括:
Outlook Web
Outlook 桌面客户端
Outlook 移动应用
Exchange ActiveSync
MAPI
REST API
据 DownDetector 报告,至美东时间7月10日9:30,已有超过2100名用户报告 Outlook 服务问题,其中登录失败占62%,服务器连接错误占33%,无法发送邮件占5%。
问题分析与修复进展
微软初步调查显示,部分邮箱基础架构性能低于预期。进一步分析后确认,问题源于最近的一项服务更新,该更新导致部分用户无法认证并访问邮箱服务。
UTC 7月9日22:20:微软确认问题,启动调查。
UTC 7月10日03:30:识别出认证组件异常。
UTC 7月10日07:00:微软启动修复流程,并表示部署“快于预期”。
GMT+5:30 7月10日21:34:微软验证配置变更有效,开始全球部署。
微软表示,修复过程中将遵循安全变更管理流程,确保服务稳定恢复。
用户反馈与影响
宕机期间,不少用户收到“Something went wrong”、“Invalid licenses”等错误信息,无法访问邮件及关键业务文档。其他 Microsoft 365 服务如 Teams、Skype、OneDrive 并未受到明显影响,初步判断故障局限于 Exchange Online 架构。
本次事件是2025年以来 Microsoft 365 系统多次服务中断中的又一次重大故障。此前6月亦发生 Exchange Online 与 Teams 联合宕机事件,起因于路由配置错误。
微软表示,事件仍在调查中,用户可通过官方 Service Health Dashboard 获取实时进展。
图:示意图
05
OpenAI推出人工智能浏览器:挑战Chrome地位
去年有报道称,OpenAI正在研发一款集成ChatGPT及相关技术的人工智能浏览器,旨在实现人工智能代理驱动的自动化功能。最新消息显示,这款浏览器可能在未来几周内正式发布,有望对谷歌Chrome的市场主导地位构成有力挑战。
图:示意图
据路透社报道,这款即将推出的浏览器基于开源的Chromium框架构建,多名前谷歌Chrome团队的高管参与了研发工作。这款人工智能增强型浏览器将深度整合ChatGPT的自然语言处理能力,并嵌入人工智能代理功能,使用户的浏览体验超越被动浏览模式。用户可通过浏览器内的对话交互直接完成日常任务,如搜索、预订和表单填写等,从而将浏览器转变为真正的数字助手。
通过这一创新,OpenAI旨在消除用户在众多网站间切换的繁琐操作,借助ChatGPT支持的语音或文字指令,让用户快速完成各项任务。其愿景是将人工智能的应用从简单的对话问答拓展到个人及职业生活的实际场景中,例如餐厅预订、行程安排和表单管理等,由此开启自动化浏览和任务执行的新时代。
尽管OpenAI尚未披露完整细节或明确的发布时间表,但这款浏览器的核心体验显然与传统模式有所不同。它不再仅仅是访问网络的窗口,而是能主动响应用户需求、进行搜索、整合信息,甚至执行后续操作,从而大幅减少手动切换网站的需求,重塑用户与在线内容的互动方式。
目前,OpenAI的ChatGPT每周活跃用户已超过4亿。若其中相当一部分用户转而使用其推出的浏览器,将对谷歌以广告和搜索为核心的生态系统产生深远影响,尤其可能削弱谷歌长期以来的广告模式及其对全球搜索和网络流量导向的掌控力。
不过,分析人士指出,Chrome凭借成熟的生态系统、跨平台优化以及无可比拟的稳定性,仍保有显著优势。微软的Edge和苹果的Safari在各自领域也占据着稳固的市场份额。因此,即便OpenAI拥有先进的人工智能技术,要在竞争激烈的浏览器市场立足,仍需克服生态系统建设、兼容性以及用户使用习惯迁移等方面的挑战。
除OpenAI外,微软和Opera也已开始在其浏览器中嵌入人工智能功能,据悉Perplexity.ai也在关注人工智能浏览器领域。由此可见,OpenAI的入局可能面临激烈竞争。
与此同时,鉴于美国司法部正对谷歌提起反垄断诉讼,若法院最终强制谷歌剥离Chrome业务,OpenAI和Perplexity.ai等公司已表示有兴趣收购相关资产——这或许会为浏览器市场的竞争格局带来根本性转变。
06
起亚车机系统曝安全漏洞!黑客竟能远程操控
近日,起亚车机系统曝安全漏洞,黑客竟能远程操控。事情发生在Hardware.io 2025安全大会,研究员Danilo Erazo现场演示:只要一台2022—2025年出厂的起亚装了MOTREX MTXNC10AB中控,就能被远程“拿捏”。
该漏洞藏在名为RTOS固件里,编号CVE-2020-8539,黑客先唤醒“micomd”守护进程,再往系统里塞恶意指令,接着伪造CAN数据帧,顺着M-CAN总线一路送到刹车、转向、空调这些关键节点,车辆就像被接管。
更离谱的是,系统对PNG图片没做签名验证,黑客可以插U盘、连蓝牙甚至用OTA推送一张带毒图片,屏幕立刻弹出“车辆故障,扫码解决”的钓鱼界面,车主一扫就中招。
Bootloader只用1字节CRC校验固件完整性,改几个字节系统毫无察觉;串口日志里RSA私钥、蓝牙PIN码全裸奔,黑客直接抄走就能签假固件、配对手机。
简单说,只要连上这辆车,理论上能让它自己开走,也能让车主把账号密码双手奉上。
图:示意图
07
美国铁路12年前的惊天漏洞,如今才被曝光
最近,一则关于北美铁路系统的重大安全漏洞震惊网络安全圈。一套每天运行在成千上万节货运列车上的无线制动系统,被曝存在严重设计缺陷:无身份认证、无加密、防护机制如同虚设。令人匪夷所思的是,这个漏洞其实早在12年前就被安全研究员尼尔·史密斯发现并报告。然而直到近期,这一切才被公之于众。
漏洞代号 CVE-2025-1727:黑客可远程接管列车制动系统
这套问题系统由列车车头(HoT)与车尾(EoT)设备通过无线方式互传刹车数据。但该协议仍停留在上世纪设计标准:没有身份验证机制、没有加密、仅靠BCH校验码简单纠错。
CISA(美国网络安全和基础设施安全局)发布预警:该漏洞CVSS评分高达8.1,属于高危级别,一旦被远程利用,将导致列车突然刹车、系统瘫痪,甚至引发脱轨事故。
而要实现攻击,门槛令人震惊地低:
只需一台成本不足500美元的无线电设备,就能伪造控制信号,远程“劫持”列车制动系统。
攻击无需靠近列车,射程可达240公里!
根据研究员披露的信息,攻击者无需靠近铁路或列车,甚至可以在数十甚至数百公里外发起远程攻击:
“列车全长可达5公里,而无线电信号经过增强后可从240公里外发出,覆盖整个列车系统并接管控制。”
——尼尔·史密斯,漏洞发现者
这意味着,列车控制信道已成为潜在的远程攻击面,更糟的是——它长期以来一直无人修补。
事故风险真实存在,波兰曾因类似攻击脱轨
如果你觉得这是“理论上的风险”,现实已经打脸:
2023年,波兰爆出黑客攻击事件,一名嫌疑人用廉价无线电发射器伪造停车信号,导致20列火车紧急刹车,多起列车脱轨事故发生。
如此简单、廉价、致命的攻击手段,正是这类老旧列车通信协议的最大隐患。
全面升级需100亿美元,至少5年时间,
面对危机,美国铁路协会(AAR)已着手推进替代方案,准备用支持身份认证、加密、低延迟的新协议(IEEE 802.16t)替换旧系统。
然而,现实很骨感:
需更换设备约7.5万台、
全部完成至少耗时5~7年、
总成本高达 100亿美元
史密斯感慨道:“哪怕我12年前就通报过漏洞,但厂商却用‘理论风险’为由否认、拖延,甚至不给测试接口,直到今天漏洞才得以披露。”
结语:交通安全,不能靠“信号靠谱”来碰运气
火车不再只是铁轨上的钢铁怪兽,它们已经是移动中的信息系统。
而这个信息系统的控制命令,竟然在2025年的今天,还以明文无线方式裸奔传输,其风险之大、代价之重,远超想象。
这不仅仅是铁路安全的问题,更是国家级关键信息基础设施安全的警钟。
图:示意图
08
国产IP摄像头存在CVSS10分隐蔽后门,攻击者可获取Root权限
外媒报道,Shenzhen Liandian Communication Technology LTD 生产的某款IP摄像头被曝存在高危漏洞(CVE-2025-7503)。该漏洞获得CVSSv4满分10分评级,攻击者可通过未公开的Telnet服务获取设备root权限,对隐私安全构成严重威胁。
技术细节
漏洞存在于摄像头固件(AppFHE1_V1.0.6.0)及其配套内核(KerFHE1_PTZ_WIFI_V3.1.1)和硬件(HwFHE1_WF6_PTZ_WIFI_20201218)中。
设备在23端口默认开启未公开的Telnet服务,具有以下特征:
默认启用且未在用户手册中提及
无法通过网页界面或移动应用访问
使用硬编码凭证即可连接
据悉,具备网络访问权限的攻击者使用默认凭证认证后,可获得设备的root级shell访问权限。研究人员无法联系到厂商,目前尚未发布固件补丁或官方公告。研究人员强调:厂商未提供禁用Telnet的方法,既无法修改或删除凭证,也没有关闭Telnet服务的界面选项。
攻击影响
攻击者获取root权限后能够执行以下操作:
查看或重定向实时监控画面
修改文件系统
以设备为跳板发起网络攻击
植入持久化恶意软件或后门
该漏洞不仅影响单一型号设备,更暴露出低成本OEM物联网设备的通病——未公开功能和不安全的默认配置。安全公告明确警告:”root shell访问权限意味着对设备文件系统、网络功能和摄像头画面的完全控制”。在办公场所、学校、公共场所等大规模部署场景中,攻击者可能利用该漏洞实施监控、篡改或将其作为内网渗透跳板。
缓解措施
在厂商未发布修复方案前,受影响用户可采取以下防护措施:
通过VLAN将IP摄像头与主网络隔离
在防火墙规则中禁用23端口(Telnet)
监控设备异常外联行为
如需强化安全性和厂商支持,建议更换设备
图:示意图
0
2
数据安全情报
01
麦当劳AI招聘工具漏洞导致6400万求职者数据泄露
麦当劳旗下AI招聘工具McHire存在重大安全缺陷,暴露了6400万份求职申请。
调查发现,不安全的直接对象引用(IDOR)漏洞与弱默认凭证共同导致了大规模个人数据泄露,开发方Paradox.ai已迅速完成修复。
Part01、漏洞详情曝光
麦当劳绝大多数特许经营商使用的AI招聘平台McHire存在安全漏洞,导致超过6400万求职者的个人信息遭暴露。安全研究人员伊恩·卡罗尔和萨姆·柯里发现,该漏洞允许未授权访问包含姓名、电子邮箱、电话号码和家庭住址在内的敏感数据。
事件起因是Reddit用户报告由Paradox.ai开发的McHire聊天机器人”Olivia”出现异常响应。研究人员随即发现两处关键缺陷:首先,餐厅业主的管理登录界面接受极易猜测的默认凭证——用户名和密码均为”123456″,通过该凭证可直接获取系统内测试餐厅账户的管理权限。
Part02、IDOR漏洞加剧风险
更严重的问题在于内部API存在不安全的直接对象引用(IDOR)漏洞。攻击者只需修改网址中的数字参数(本案中与申请人聊天记录关联的lead_id),任何McHire账户持有者都能查看其他申请人的聊天交互机密信息。
研究人员在博客中指出,通过此漏洞可查阅数百万份求职申请的详细信息,包括未脱敏的联系方式,甚至能获取用于冒充申请人登录的身份验证令牌,查看原始聊天记录。
Part03、平台运作机制与修复过程
通过https://jobs.mchire.com/访问的McHire平台会引导求职者完成自动化流程,包括Traitify.com的性格测试。申请者与Olivia交互时需提供联系方式及班次偏好。
研究人员从餐厅业主端测试申请时发现存在漏洞的API,注意到获取候选人信息的PUT/api/lead/cem-xhr请求可通过修改lead_id参数查看他人数据。
意识到潜在数据暴露规模后,研究团队立即启动披露程序,于2025年6月30日美国东部时间17:46联系Paradox.ai和麦当劳。麦当劳迅速确认报告,当日19:31即禁用默认管理凭证。Paradox.ai确认所有问题在2025年7月1日22:18前彻底解决,两家公司均表示将加强数据安全防护。
Part04、行业专家警示AI安全风险
全球数据隐私管理公司MineOS联合创始人兼CEO科比·尼桑评论称:”此事件警示企业,若在缺乏适当监督的情况下仓促部署面向客户的AI工作流,将使自身和数百万用户暴露于不必要的风险中。”
“问题不在于AI技术本身,而是缺乏基本的安全防护与治理机制。任何收集或处理个人数据的AI系统,都应与企业核心业务系统遵循相同的隐私保护、安全及访问控制标准。”科比强调,”这意味着需要建立身份验证、审计追踪机制,并将其整合至整体风险工作流,而非放任其成为监管盲区。随着AI应用加速普及,企业必须将其视为受监管资产而非新奇工具,从初始阶段就构建确保责任归属的框架。”
图:示意图
02
日本新日铁旗下 IT 公司遇零日攻击,用户数据泄露
日本新日铁集团旗下IT服务商NS解决方案公司确认其系统遭黑客入侵,员工、合作伙伴及客户数据可能已泄露。该公司在7月8日发布的日文声明中指出,今年3月7日发现内部网络存在未授权访问行为。
该公司将事件定性为零日攻击,由“部分网络设备未知软件漏洞遭利用引发”,可能导致“客户、合作伙伴及员工的个人信息和其他敏感数据泄露”。
泄露信息类别:客户:姓名、公司名称、部门、职务、公司地址、工作邮箱及电话;合作伙伴(含前合作伙伴):姓名及工作邮箱(含公司域名邮箱);员工(含前员工):姓名、部门、职务及工作邮箱。
公司声明表示,截至目前尚无证据表明泄露信息在社交媒体或暗网传播,也未发现数据被二次滥用迹象。但发言人提醒需警惕可疑来电及邮件。
NS解决方案公司证实,发现入侵后立即阻断了涉事系统的所有外部连接。“我们采取隔离重建受影响系统、强化出口管控及行为监测等多项措施降低残余风险,内部网络现已恢复至安全状态。”
该公司已就事件向警方及日本个人信息保护委员会报备,正协同业务伙伴实施必要安防措施,并将依据日本《个人信息保护法》通知受影响人员。
图:示意图
03
芝加哥知名电台遭黑客攻击,财务数据及合同外泄
芝加哥古典音乐电台WFMT遭Play勒索软件团伙攻击,黑客声称窃取大量敏感信息并已在暗网公布部分数据样本。据泄露内容显示,5.5GB数据包含薪资记录、医疗保险详情、公司预算、政府资助文件及各类合同报告,可能被用于身份盗用或欺诈性医疗索赔。
攻击手法
Play勒索团伙将WFMT列入暗网受害者名单,采用“数据窃取+加密”的双重勒索模式,通过公布部分数据施压支付赎金。该团伙近期还利用远程工具SimpleHelp的漏洞(CVE-2024-57727)实施攻击,并通过电话恐吓受害者。
泄露数据风险
医疗信息:黑客重点窃取医疗保险细节,此类数据在黑市可被用于处方药欺诈索赔
财务文件:薪资单与政府资助文件可能引发针对性钓鱼攻击
企业机密:预算与合同曝光恐影响商业竞争力
攻击方背景
Play勒索团伙2024年位列全球最活跃网络犯罪组织前三,累计攻击超900家机构。其首创的间歇性加密技术(仅加密系统固定区段)可加速数据窃取,已被ALPHV/BlackCat等组织效仿。
WFMT电台背景
成立于1948年,是美国历史最悠久的古典音乐电台之一,首个通过卫星向全球广播的“超级电台”,也是欧洲广播联盟(EBU)唯一独立电台成员。
事件进展
网络安全研究团队已验证泄露数据真实性,WFMT暂未公开回应。Play团伙近期攻击目标已扩展至Windows与ESXi系统,安全机构建议企业及时修补SimpleHelp漏洞并强化终端防护。
历史关联
该团伙2023年曾攻击美国爱荷华州警局及罗德岛监狱系统,凸显其对公共机构的持续威胁。
图:示意图
04
IT巨头英迈因SafePay勒索软件攻击导致服务中断
据了解,IT巨头英迈(Ingram Micro)的持续停机是由SafePay勒索软件攻击造成的,该软件导致内部系统关闭。英迈是全球最大的企业对企业技术分销商和服务提供商之一,为全球经销商和管理服务提供商提供一系列解决方案,包括硬件、软件、云服务、物流和培训。
自上周四以来,英迈的网站和在线订购系统一直处于瘫痪状态,该公司没有透露问题原因。据了解,这次中断是由周四凌晨发生的网络攻击造成的,员工突然在他们的设备上发现了创建的赎金记录。
这起事件与SafePay勒索软件行动有关,该行动已成为2025年较为活跃的行动之一。目前尚不清楚设备是否在攻击中被加密。
值得注意的是,虽然赎金笔记声称窃取了各种各样的信息,但这是所有SafePay赎金笔记中使用的通用语言,可能不适用于英迈攻击。
图:在英迈的设备上发现了SafePay的勒索信
威胁者通过 Ingram Micro 的 GlobalProtect VPN 平台渗透了该公司的系统。攻击被发现后,一些地区的员工被告知在家工作。公司还关闭了内部系统,告诉员工不要使用公司的GlobalProtect VPN访问,据说这次IT故障影响到了它。
许多位置受到影响的系统包括公司的基于人工智能的Xvantage分发平台和Impulse许可证分配平台。然而,其他内部服务,如Microsoft 365、Teams和SharePoint,继续像往常一样运行。
在公告中,英迈公司证实他们遭受了勒索软件攻击。英迈表示正在努力恢复受影响的系统,以便能够处理和发货订单,“在得知该问题后,公司立即采取措施确保相关环境的安全,包括主动关闭某些系统并实施其他缓解措施。公司还在顶尖网络安全专家的协助下展开了调查,并通知了执法部门。”
SafePay勒索软件团伙是一个相对较新的行动,于2024年11月首次被发现,自那时以来已经积累了220多名受害者。安全研究人员此前曾观察到,该勒索软件使用受损凭证和密码喷雾攻击,通过VPN网关破坏企业网络。
图:示意图
0
3
网络安全监管动态
01
国家网信办发布《生成式人工智能服务已备案信息》
促进生成式人工智能服务创新发展和规范应用,网信部门会同有关部门按照《生成式人工智能服务管理暂行办法》要求,持续开展生成式人工智能服务备案工作。
4月至6月,新增93款生成式人工智能服务在国家网信办完成备案,对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,由地方网信办开展登记,本阶段新增74款完成登记。截至2025年6月30日,累计有439款生成式人工智能服务完成备案,233款生成式人工智能应用或功能完成登记。现将相关信息予以公告。
提供具有舆论属性或者社会动员能力的生成式人工智能服务的,可通过属地网信部门履行备案或登记程序。已上线的生成式人工智能应用或功能,应在显著位置或产品详情页面公示所使用已备案或登记生成式人工智能服务情况,注明模型名称、备案号或上线编号。
图:官网截图
02
五部门联合清理非法网络招聘活动
7月9日从人力资源社会保障部获悉,人力资源社会保障部近日会同中央网信办、公安部、教育部、市场监管总局,以纠治各类网络招聘乱象为重点,组织各地区深入开展2025年清理整顿人力资源市场秩序专项行动。
当前正值招工求职高峰期,一些不法单位和个人为牟取利益,未经行政许可、逃避监管,擅自开展职业中介活动。部分非法职介活动从线下迁移至网上,利用各类互联网平台,以公众账号、小程序和其他互联网群组等形式,常态化发布招聘岗位,开展职业介绍。其中不乏大量涉嫌就业歧视、虚假招聘、“招转培”“培训贷”等违法信息,有的甚至涉及以招聘为名实施诈骗犯罪活动,严重扰乱人力资源市场秩序,侵害劳动者公平就业和人身财产权益。
有关部门提示广大求职者,在求职过程中务必提高防范意识,警惕各类招聘“陷阱”,注意查询相关网络招聘机构是否具有合法资质,通过正规渠道获取招聘岗位信息。一旦发现就业权益和人身财产权益遭受损失,请及时联系有关部门依法投诉维权。
图:官网截图
0
4
网络安全研究报告
01
平台算法应用的安全风险与法治规范
2024年11月,中央网信办秘书局、工业和信息化部办公厅、公安部办公厅、市场监管总局办公厅联合印发《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》,针对平台算法应用常见的信息茧房、操纵榜单、侵害新就业形态劳动者权益、大数据杀熟等社会公众关注的热点问题,实施专项整治行动。
图:示意图
此次行动以强化算法向上向善服务为目标导向,严格落实平台的主体责任,确保算法技术不被滥用。从行动成效看,各大网络平台积极配合,围绕正能量信息推送权重增加、用户自主选择权保障等核心环节进行功能优化,算法滥用现象得到有效遏制,算法应用方式持续优化。但算法治理是一项长期性、系统性的工程,面向平台算法应用的业务模式创新,监管机构不仅需要“时时看”,还需要“回头看”,关注平台算法应用的安全风险,引导和督促平台持续优化算法服务模式。在此背景下,中央网信办相关负责人在2025年5月公开表示,“清朗·网络平台算法典型问题治理”专项行动开展以来,重点平台信息推荐算法治理取得了一定成效,但还存在相关功能使用效果不显著、推荐内容质量不够高等问题,与广大网民和社会各界的期待相比还有差距。网信部门还将开展常态化巡查,督导信息推荐算法平台持续优化算法运行机制和管理规则,不断提升推荐内容质量,探索多样化“破茧”路径,创新用户赋权功能,切实维护网民合法权益。
平台算法技术滥用的安全风险与社会危害
自《互联网信息服务算法推荐服务管理规定》等专门立法正式实施以来,平台算法应用日渐规范化,但在互联网流量经济诱导下,部分网络平台仍心存侥幸心理,将经济效益最大化作为核心目标,忽视算法应用可能导致的各类侵权风险。对社会公众而言,用户点击各类移动应用程序,首页推荐的各类网页信息、搜索结果呈现的产品顺序等均是算法应用的直观体现。但这种以提升用户体验为名义的个性化服务也产生了一系列问题:随着用户消费行为数据收集数量的增加,部分平台根据用户过往的消费能力,有意将价格更高的产品置于搜索结果前列,或者提供更高昂的信息服务,或者利用收集的消费者日常消费数据,依照一定算法逻辑,自动生成和输出个性化的销售或服务定价,使不同消费者对相同销售或服务支付不同对价的行为和现象,形成“大数据杀熟”。这严重侵害消费者的自主选择权、公平交易权。
近年来,随着常态化监管措施的持续实施,“大数据杀熟”现象已得到了有效遏制,但部分平台基于“可能感兴趣的内容”“社会热搜榜”“同城美食推荐榜单”等用户标签为用户设置“行为画像”,致使用户持续接收到内容同质化的网络信息,形成“信息茧房”。用户一旦长时间接触同质化信息,不仅实质性限制用户获取的信息类型和范围,还有可能导致用户就特定事项形成固化认知,使得平台实现对网络舆情的操纵。比如,各类排名榜单中的“明星热搜榜”“美食推荐榜”“社会热搜榜”等一度成为网络黑灰产的“重灾区”,“网络水军”通过人工智能机器人等技术工具实现规模化操纵网络评论。此外,在外卖配送等新型业务模式层面,有的外卖平台利用算法尽可能缩减配送时间,却忽视了“外卖小哥”等从业者在外卖配送过程中还会受到天气、交通拥堵等不确定因素影响。
平台算法技术滥用的社会危害性主要表现为公民个体的权益损害和社会层面的网络信息生态失序。个体层面,算法技术滥用不仅限制公民获取多元化网络信息内容的可能性,还会限制公民在购买产品或服务时的选择空间。社会层面,算法技术滥用则可能诱发网络暴力、群体对立等社会事件,更会促使网络舆情被随意操纵,威胁国家安全和社会稳定。
强化平台主体责任,促使算法技术应用透明化
面对已经存在及未来可能发生的各类算法技术滥用风险,应通过强化平台主体责任,促使算法技术应用透明化。《中华人民共和国电子商务法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《互联网信息服务算法推荐管理规定》等法律法规已对平台的算法安全义务作出了详尽规定。因此,要确保网络平台充分完整履行算法安全保障义务。在2024年的“清朗·网络平台算法典型问题治理”专项行动中,监管机构也将算法导向正确、算法公平公正、算法公开透明、算法自主可控、算法责任落实等作为基本的工作目标,在治理实践中,实现这些目标必须以平台积极履行法定义务为保障。算法安全保障义务的设置始终要以促进算法技术更好更快的发展为目标。只有这些法定义务得到充分履行,才能形成有利于平台经济发展的市场环境和网络空间秩序。
平台算法安全保障义务的履行是一项长期性、系统性的工程。随着算法技术的更新迭代,平台需要适时调整义务履行方式和重心。具体而言,相关义务的主要内容包括四个层面:其一,算法应用应保障用户自主选择的能力,在增加推送内容类型多元化的同时,提升推送内容的信息质量,不能以个性化服务等名义不当限制用户实际能够接触的网络信息范畴,避免用户陷入“信息茧房”。其二,算法应用应以尊重人格尊严和维护人类主体地位为前提,而不是通过技术应用使得劳动者成为“算法操纵”“算法管制”的对象。要允许用户自行设置和调整兴趣偏好,保障用户反感的网络信息不会频繁被推送。其三,算法应用具备一定的透明性。要确保社会公众有能力知晓相关应用的基本功能和对权益的实际影响,而不是以信息倾斜的方式逃避告知义务的履行。其四,算法应用要遵循安全可靠的运行规则,持续健全算法应用安全管理机制和信息推送质量把控机制,预防平台算法应用沦为网络黑灰产的“滋生地”。平台应将内部人员与网络黑灰产勾结作为业务合规管理的重点。需要注意的是,平台算法安全保障义务的履行并不涉及对算法技术应用方式和企业经营自主权的不当干预,而是强调网络平台应当尽可能采取合理措施确保算法技术的应用结果合理合法、向上向善。
监管机构要以常态化、动态化监管措施督促网络平台严格落实主体责任。一方面,监管机构需要继续延续“清朗·网络平台算法典型问题治理”专项行动的执法模式,不定期对各类算法技术应用及其典型问题展开专项整治。特别是在网络信息传播环节,监管机构要重点审查网络平台是否实质性限制用户能够获取的网络信息类型和范围,预防算法滥用导致的网络舆情被操纵。另一方面,监管机构要以协同治理模式全面整治与算法应用相关的网络黑灰产业。实践中,“网络水军”利用技术手段规避平台内部管理措施,提供有偿增加、降低网络热度等服务,操纵网络评论,引导网络舆情导向,人为制造社会热点事件。对此,平台要严格落实网络实名制等法定义务,监管机构要以全产业链治理方式打击此类活动,力争杜绝“网络水军”通过更换账号、更换平台等方式“死灰复燃”。
信息技术的创新发展应以服务社会公众为目标,任何创新性的技术应用方式都不应凌驾于人类主体地位之上。平台在创新应用算法技术时,应严守法律红线和伦理底线,综合采用技术创新、业务合规、内部管理优化等多元方式提升算法应用的安全可靠性,实现“技术让生活更加美好”的目标。
图:示意图
02
数字经济时代网络身份认证公共服务的意义
近期,公安部、国家互联网信息办公室等六部门发布《国家网络身份认证公共服务管理办法》,将于7月15日起施行。
图:示意图
所谓网号是指与自然人身份信息相对应,由字母和数字组成、不含明文身份信息的网络身份符号。网号在某种意义上就是自然人在网络空间中隐去个人身份信息的身份编码。基于网号及自然人非明文身份信息的网络身份认证凭证就是网证。通俗地说,网号和网证可以理解为在个人合法身份信息基础上生成的互联网身份证号和身份证。在网络社交、即时通讯等法定实名制领域以及其他需要验证身份的场景,无需向第三方平台输入自己现实的姓名和身份证号,只需要使用该平台直接验证即可,从而大大提升了数字生活和交易的安全性和便利性。
实施网络身份认证公共服务的主要目的就是为了保护公民身份信息安全,支撑数字经济健康有序发展。其最主要原因就在于:首先,在当下的网络生活中,公民个人信息具有使用的普遍性,但是在传统的身份认证过程中,平台从前段采集到后台存储的长链条和多环节,使得个人信息保障困难重重,公民个人信息的泄露渐成顽瘴痼疾,公民个人乃至整个社会由于个人信息的泄露而遭受的权利损害日趋严重。其次,在数字经济时代,实现网络交易、提供在线服务的前提是交易双方的互信,网络身份成为更为可靠的身份验证手段,对于提高网络诚信、增强数字交易的可信赖性好,并进而改善营商环境、加快数字经济发展具有基础性意义。显然,明确网络身份并且由国家统一提供身份认证服务,无论对于个人信息的保护,还是减少重复投入、提高认证权威都具有重要意义。
需要明确的是,实施网络身份认证、构建可信数字身份认证体系是当前数字经济发达国家不约而同的通行做法,而并非我国所独有。例如欧盟在21世纪之初就较早地开始积极推行电子身份标识计划,并在电子身份证中引入网络认证功能,即网络电子身份标识(electronic identity)。eID在欧盟成员国内部的电子政务、医疗健康服务和金融服务等领域得到大范围推广应用,以解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。英国也将欧盟eIDAS法规纳入进来,并通过修订《电子识别和信任服务用于电子交易(修订等)条例而形成了英国eIDAS法规。新加坡政府技术局则于2003年就推出SingPass(新加坡个人访问)国家级数字身份验证系统,采用生物识别技术(如指纹、面部识别)或SMS双重身份验证(2FA)进行身份验证,旨在为新加坡公民和居民提供一个安全、便捷的数字身份认证工具。韩国实行I-PIN码和公认认证书制度,它们都起到了代替真实身份信息的作用,相较于网络实名制,I-PIN码能够改善网络用户隐私和安全,降低数据泄露和身份盗用的风险。2009年,印度政府则启动了Aadhaar项目,该项目收集超过10亿人口的姓名、性别、地址、手机号、指纹、相片和虹膜扫描等个人敏感信息,作为公民身份的唯一识别码(UIDAI),纳入政府中央数据库。美国在2011年开始执行《网络空间可信身份国家战略》(NSTIC),其目的就在于提高在线交易的安全性和隐私性,并减少身份盗用。历经十年建设,美国政府制定了《数字身份指南(NIST SP800-63-3)》等系列标准,推动政府与社会对网络身份的广泛应用。事实上,可信的数字身份及其认证体系的建设已经成为各国推动互联网产业和数字经济健康持续发展的重要基础设施。
必须指出的是,国家网络身份认证公共服务具有多个上位法的依据,其设立具有毋庸置疑的合法性。例如网络安全法第24条即规定,国家实施网络可信身份战略;个人信息保护法第62条则规定,支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;反电信网络诈骗法第33条规定了国家推广网络身份认证公共服务建设,支持个人、企业自愿使用,并进一步规定有关互联网提供者可以通过国家网络身份认证公共服务对用户身份重新进行核验,以此明确了这一服务在打击电信网络诈骗中的重要作用。这些部门法律的相关规定既为网络身份的认证工作提出了法律需求,也为网络身份认证公共服务提供了法律渊源。
网络身份的设立对于网络用户的隐私和个人信息保护具有重要意义。有研究表明,当前互联网平台平均要求用户提交7.3项个人信息,而在多数实名制场景下,验证身份主要是依靠输入姓名、身份证号、手机号验证及人脸识别等,而互联网平台超范围收集、违规留存使用用户个人身份信息的现象较为普遍,个人信息及数据泄露存在极大风险。使用网证、网号后,网证通过国密算法对身份证信息进行脱敏处理,生成不含明文信息的不可逆数据文件。在这一机制下,平台无需获取真实身份信息,只需要验证“是否为合法用户”, 除法律法规有特殊规定或者用户同意外,平台不得要求用户另行提供明文身份信息,避免了平台过度收集和滥用个人信息,从而在根本上切断了数据泄露链条。已经有试点数据显示,67个接入平台的信息采集量减少了89%,个人信息泄露风险将实质性降低。
网络身份认证在某些特定领域也会产生各种多元效益。例如,很多未成年人的身份难以核验,导致很多未成年人沉迷游戏或产生打赏纠纷,而家长为子女申领“网号”后可以实现快速认证。北京青少年网络行为监测报告显示,该机制使未成年人非理性消费投诉量下降68%,游戏防沉迷系统触发准确率提升至92%。
进一步而言,网络身份认证公共服务有利于降低企业隐私与个人信息保护合规的成本。为保障个人数据安全,《个人信息保护法》《数据安全法》《网络安全法》等法律对互联网平台提出了较高的合规要求,这对于平台而言则意味着高昂的合规成本。但各互联网企业的数据安全实施情况参差不齐,由于缺乏人力和技术投入,中小平台很难达到应有的保护水准。有了网证,平台无需储存那么多的敏感信息,也就自然不需要重复投入巨量的人力、物力。显然,网络身份认证的公共服务机制的创建和使用,可以在很大程度上减轻企业在合规建设方面的成本和风险,从而将促进数字经济得到进一步健康发展。
和其他身份认证服务相比,国家网络身份认证公共服务具有很大的便利性,但自愿性原则仍然是这一公共服务提供中极为重要的基础性原则。首先,自然人向公共服务平台申领网号、网证具有必须基于自愿原则,未成年人申领网号、网证的,则更需要根据是否年满14周岁,需要父母或者其他监护人同意并由其父母或者其他监护人代为申领,或者在其父母或者其他监护人的监护下申领。其次,自愿性原则还体现在主管部门、重点行业在推广应用网号、网证过程中,也必须遵循自愿原则,并且应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。最后,互联网平台接入公共服务,用以支持用户使用网号、网证登记,也必须遵循自愿性原则,并且应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。上述自愿性原则排除了强制申领的可能性,平台用户完全不必产生如果不申领网号、网证就不能使用互联网服务的担忧。
图:示意图
部分文章依据互联网公开信息收录整理,若有侵权请联系我们。
扫描二维码
关注我们
了解更多精彩