Instagram data breach reportedly exposed the personal info of 17.5M users4 months agohttps://www.engadget.com/cybersecurity/an-instagram-data-breach-reportedly-expos...Instagram数据泄露事件导致1750万用户的个人信息被曝光。泄露数据包括用户名、电子邮箱地址、电话号码及实际住址。据报道这些数据正在暗网出售,可能被用于网络犯罪活动。漏洞是在例行暗网扫描中发现,与2024年Instagram API接口暴露事件有关。部分用户收到密码重置邮件,存在钓鱼攻击或账户接管风险。Meta公司尚未就该数据泄露事件发布官方声明。安全建议:启用双重验证、修改密码并检查已登录设备列表。
Claude Cowork Exfiltrates Files4 months agohttps://www.promptarmor.com/resources/claude-cowork-exfiltrates-filesClaude Cowork因代码执行环境中未解决的隔离缺陷,存在文件窃取攻击漏洞。Anthropic承认该风险,但将避免访问敏感文件的责任归于用户。攻击者可通过在文档中隐藏提示注入(如伪装的.docx文件),通过API将文件窃取至其Anthropic账户。该攻击无需人工审批,利用受信任的Anthropic API绕过网络限制。Claude Opus 4.5虽更具韧性,仍可能通过间接提示注入被操纵以窃取数据。畸形文件可能导致API错误,引发潜在拒绝服务(DOS)攻击。Cowork与浏览器及MCP服务器交互等广泛功能,增加了提示注入攻击风险。用户需谨慎使用Connectors功能,其代表重大风险暴露面。
Millions of Audio Devices Need a Patch to Prevent Wireless Hacking and Tracking4 months agohttps://www.wired.com/story/google-fast-pair-bluetooth-audio-accessories-vulnera...谷歌快速配对协议(专为简化蓝牙连接设计)存在漏洞,黑客可劫持音频设备鲁汶大学研究人员在10家公司的17款音频配件中发现'WhisperPair'漏洞,涉及索尼、Jabra和谷歌等品牌攻击者可接管音频流、麦克风,甚至通过支持谷歌Find Hub功能的设备追踪用户位置谷歌已承认漏洞并发布补丁,但由于用户更新率低,多数设备仍处于风险中攻击需在约15米范围内获取设备型号ID,该信息可通过公共谷歌API等多种方式取得谷歌Pixel Buds Pro 2等设备允许黑客将其绑定至攻击者账户实现持续追踪小米、JBL等厂商正在推送更新,但用户常因缺乏安全意识或需配套应用而未安装漏洞源于快速配对协议的实施缺陷,设备制造商与芯片厂商均可能负有责任研究者建议采用加密配对验证机制,强调需在便捷性之外兼顾安全性专家敦促用户及时更新设备,警惕物联网安全隐患,多数漏洞因更新不及时长期存在
6-Day and IP Address Certificates Are Generally Available4 months agohttps://letsencrypt.org/2026/01/15/6day-and-ip-general-availabilityLet’s Encrypt现已提供有效期160小时(约6天)的短期证书和IP地址证书。短期证书通过缩短密钥暴露的脆弱期(相比传统90天证书更快过期)来增强安全性。订阅者可通过在ACME客户端选择'shortlived'配置文件启用短期证书,但该选项非默认设置。Let’s Encrypt计划未来几年将默认证书有效期从90天缩短至45天。IP地址证书用于验证IP地址(IPv4/IPv6)的TLS连接,由于IP地址的临时性必须设为短期有效。该证书的开发得到了开放技术基金、主权技术机构等赞助方的支持。
Releasing rainbow tables to accelerate protocol deprecation4 months agohttps://cloud.google.com/blog/topics/threat-intelligence/net-ntlmv1-deprecation-...Mandiant发布Net-NTLMv1彩虹表以揭示该协议的安全隐患Net-NTLMv1虽已弃用但仍广泛使用,导致系统易受凭据窃取攻击公开的数据集可使攻击者在12小时内通过消费级硬件恢复密钥攻击者可利用Net-NTLMv1漏洞入侵Active Directory对象并提权演示如何通过Responder等工具获取并破解Net-NTLMv1哈希值企业应禁用Net-NTLMv1协议并监控其使用情况以防范攻击可通过筛选事件日志检测Net-NTLMv1认证尝试行为
Foreigners' data stolen in hack of French immigration agency4 months agohttps://www.lemonde.fr/en/pixels/article/2026/01/05/foreigners-data-stolen-in-ha...黑客公布了居住在法国的外籍人士个人数据,并声称此次攻击是为了牟利。泄露数据包括来自乌克兰、喀麦隆、阿富汗、中国和以色列等国民众的姓名、入境日期、居留事由、电子邮箱地址及电话号码。法国移民与融合办公室(OFII)确认数据遭窃,但表示这些信息来自分包商而非其直接系统。被盗数据涉及参与"共和融入合同"(CIR)计划的移民,该计划是法国为长期居留者设置的融入项目。OFII表示将提出申诉、对涉事运营商实施制裁,并加强安全措施。黑客宣称掌握200万条记录,但具体受影响人数尚无法确定。
Mandiant releases rainbow table that cracks weak admin password in 12 hours4 months agohttps://arstechnica.com/security/2026/01/mandiant-releases-rainbow-table-that-cr...Mandiant发布了一个彩虹表数据库,可用于破解受微软NTLMv1哈希算法保护的密码。该彩虹表能在12小时内通过成本低于600美元的消费级硬件实现密码恢复。由于遗留应用程序依赖性和迁移停机顾虑,NTLMv1仍在敏感网络中继续使用。NTLMv1因其有限的密钥空间及依赖56位单DES加密而存在安全漏洞。NTLMv2虽然对弱密码的暴力破解仍显脆弱,但由于随机熵的引入使其不受彩虹表攻击影响。
All your OpenCodes belong to us4 months agohttps://johncodes.com/archive/2026/01-18-all-your-opencodes/知名开源AI编程助手OpenCode曝出重大漏洞(CVE),攻击者可利用该漏洞实现任意远程代码执行(RCE)。国家背景的黑客组织尤其热衷RCE漏洞,此类漏洞能让攻击者在受控系统上执行任意代码。作者提及曾为容器优化操作系统Bottlerocket修复潜在RCE漏洞的经历,强调这类漏洞的严重性。OpenCode漏洞危害性更大且更易利用,会暴露执行任意shell命令、终端会话及文件读取的接口。漏洞演示视频显示,攻击者不仅能执行任意代码,还能向大语言模型(LLM)上下文注入恶意提示词。该漏洞同时存在提示词注入风险,这种独立攻击向量可能导致更严重的数据泄露或系统破坏。当前缺乏面向AI代理的监控审计工具,使得此类漏洞的实际影响难以全面评估。开发者常以最高权限运行AI代理,这相当于将root权限交给不可信承包商,存在极大安全隐患。随着AI代理能力提升,业界亟需建立专属监控体系,否则愈加强大的AI系统可能引发更大安全灾难。
The coming industrialisation of exploit generation with LLMs4 months agohttps://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-gen...实验内容是在Opus 4.5和GPT-5.2上构建智能体,针对QuickJS零日漏洞编写漏洞利用程序。智能体成功在6种场景下创建了40多个不同的漏洞利用方案,其中GPT-5.2解决了所有场景。关键结论:进攻性网络安全任务可能很快实现工业化,届时令牌吞吐量将成为限制因素,而非人类黑客。漏洞开发非常适合工业化,因为环境设置简单、工具成熟且验证流程直接。对于需要在对抗环境中实时交互的任务(如横向移动和维持访问权限)仍存在挑战。当前Opus 4.5和GPT-5.2等模型在自动化漏洞发现和漏洞开发方面展现出潜力。呼吁前沿实验室和AI安全研究所使用零日漏洞针对真实高难度目标评估模型。鼓励研究人员尝试高令牌预算的漏洞利用问题并分享成果。
Cloudflare zero-day: Accessing any host globally4 months agohttps://fearsoff.org/research/cloudflare-acmeFearsOff是一款提供顶尖信息安全专业知识的网络安全解决方案。服务内容包括帮助组织做好抵御网络攻击的准备。研究揭示了一个Cloudflare零日漏洞,该漏洞允许全球主机访问。该问题的最新研究更新于2026年1月19日。
Internet voting is insecure and should not be used in public elections4 months agohttps://blog.citp.princeton.edu/2026/01/16/internet-voting-is-insecure-and-shoul...互联网投票本质上是不安全的,目前没有已知技术能确保其安全性。所有互联网投票系统(包括'端到端可验证互联网投票'E2E-VIV)都存在关键安全漏洞。由Free and Fair开发的VoteSecure系统既不安全也不完善,缺乏争议解决机制、无收据性等核心功能。选民设备、服务器或选举办公室中的恶意软件可在不被察觉的情况下篡改选票。由于恶意软件风险和争议解决机制的缺失,E2E-VIV系统无法提供有效验证。VoteSecure的协议存在大规模自动化买票和窃票的漏洞。科学界共识认为互联网投票存在安全隐患,且短期内无解决方案。选举官员和记者应警惕那些通过新闻稿而非同行评审研究发布的声明。
Threat Actors Expand Abuse of Microsoft Visual Studio Code4 months agohttps://www.jamf.com/blog/threat-actors-expand-abuse-of-visual-studio-code/与朝鲜(DPRK)有关的威胁行为体正滥用微软Visual Studio Code任务配置文件(tasks.json)来传播恶意软件。感染始于受害者克隆并打开恶意Git仓库,这些仓库通常伪装成招聘或技术测试项目。若用户授权Visual Studio Code的信任提示,将自动执行tasks.json中嵌入的恶意命令。在macOS系统中,攻击通过nohup bash -c和curl -s组合命令,利用Node.js获取并执行JavaScript有效载荷。载荷托管在vercel.app平台——该平台正日益成为朝鲜相关攻击者的基础设施。该JavaScript后门具有远程代码执行、系统指纹识别及C2通信功能。恶意软件会收集主机名、MAC地址、操作系统详情及通过ipify.org获取的公网IP用于指纹识别。每5秒进行一次C2信标通信,支持从攻击者控制服务器动态执行JavaScript代码。感染后获取的附加载荷显示出AI辅助生成的代码特征,并具备自我清理能力。开发者应审查代码仓库、避免盲目信任tasks.json文件,并严格检查npm安装脚本以防感染。
Overrun with AI slop, cURL scraps bug bounties to ensure "intact mental health"4 months agohttps://arstechnica.com/security/2026/01/overrun-with-ai-slop-curl-scraps-bug-bo...知名开源网络工具cURL宣布终止漏洞奖励计划,原因是收到大量低质量的AI生成报告cURL创始人Daniel Stenberg表示,小型团队无力处理海量提交并维护心理健康是做出该决定的主因用户担忧终止计划可能损害工具安全性,但Stenberg强调这一举措的必要性cURL将对提交低质量报告者实施封禁并公开嘲讽,该计划将于本月底正式终止诞生30周年的cURL是系统管理员、研究人员和安全专家的核心工具,已被集成至Windows、macOS和Linux系统鉴于其广泛使用性,安全性对cURL至关重要,该项目此前主要依赖私有漏洞报告和高危漏洞现金悬赏机制
You Can't Block Space Internet4 months agohttps://www.lawfaremedia.org/article/you-can%27t-block-space-internet伊朗政府在骚乱期间实施互联网封锁,但部分民众正使用SpaceX星链系统突破限制。活动人士走私约5万台星链终端入境伊朗,美国制裁豁免为这一行动提供了便利。伊朗当局难以封锁星链系统,转而采取警告、没收无人机及使用俄罗斯设备进行电子干扰等手段。SpaceX应政治压力免除伊朗用户费用,类似其在乌克兰冲突期间的应对措施。星链在乌克兰的军事应用曾引发作战复杂性及与五角大楼的资金纠纷。诈骗窝点滥用星链服务,促使SpaceX在美国国会审查后关闭相关终端。新兴的直连卫星服务可能更有效抵抗政府审查,但需更复杂的部署条件。约书亚·拉德将军在NSA/网络司令部提名听证会上对关键网络议题缺乏强硬立场引发批评。积极进展包括:针对OCCRP的DDoS攻击显示新闻影响力、犯罪平台Tudou Guarantee被取缔、FTC限制通用汽车数据共享行为。全球网络安全动态:欧洲短信钓鱼攻击、Snap Store遭遇域名复活攻击、德国扩大监控权限、DRAM短缺推高防火墙成本。
Microsoft collects passwords and scans password-protected zip files (2023)4 months agohttps://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the...微软云服务扫描受密码保护的zip文件以检测恶意软件。安全研究人员对微软绕过密码保护的做法表示惊讶。微软采用从电子邮件或文件名中提取密码等方法扫描文件。这一做法引发了恶意软件研究人员对安全共享样本的担忧。微软的扫描服务覆盖其所有365云服务,而不仅是SharePoint。
149M Usernames and Passwords Exposed by Unsecured Database4 months agohttps://www.wired.com/story/149-million-stolen-usernames-passwords/一个包含1.49亿账户用户名和密码的数据库遭泄露,涉及4800万Gmail、1700万Facebook以及42万Binance账户凭证。安全研究员Jeremiah Fowler发现该数据库后向托管服务商举报,因违反服务条款该数据库已被下线。泄露数据还包括政府系统登录凭证、银行账户信息及流媒体平台账号,很可能是信息窃取恶意软件收集汇编而成。在Fowler耗时一个月联系托管商期间,该数据库仍在持续增长,该托管商为拥有地区分支的全球服务商。数据库中还发现雅虎、微软Outlook、苹果iCloud、.edu教育账户、TikTok、OnlyFans及Netflix等平台凭证。这些数据可通过网页浏览器公开访问和搜索,自动化系统对日志进行了分类整理以便检索。信息窃取恶意软件降低了网络犯罪门槛,犯罪分子每月仅需支付200-300美元即可获取海量凭证。
NIST is rethinking its role in analyzing software vulnerabilities4 months agohttps://www.cybersecuritydive.com/news/nist-cve-vulnerability-analysis-nvd-revie...美国国家标准与技术研究院(NIST)正重新评估其在软件漏洞分析中的角色,原因是需求激增及对国家漏洞数据库(NVD)的担忧该机构难以跟上漏洞数量激增的速度,导致漏洞数据富集处理出现积压NIST计划根据已知漏洞利用情况、联邦机构使用范围及关键软件等因素对漏洞进行优先级排序该机构正在重新审视自身在漏洞生态系统的定位,拟通过合作伙伴沟通明确实际需求NIST拟将漏洞富集工作移交CVE编号机构(CNAs),但需先行制定相关指导规范此次职能调整被视作NIST回归科研与标准制定核心职能的战略转型该机构正与网络安全和基础设施安全局(CISA)及全球漏洞交换(GCVE)等国际组织协调,避免漏洞分析工作的重复与碎片化美国商务部监察长办公室开展的专项审计预计将于近期完成
Poland's energy grid was targeted by never-before-seen wiper malware4 months agohttps://arstechnica.com/security/2026/01/wiper-malware-targeted-poland-energy-gr...波兰电网遭遇擦除器恶意软件攻击,疑似俄罗斯国家黑客所为。该网络攻击发生于12月下旬,意图破坏可再生能源设施与电力运营商间的通信但未得逞。安全公司ESET判定该恶意软件为数据擦除器,专为永久销毁数据、瘫痪系统而设计。ESET以中等置信度将攻击归因于亲俄的Sandworm高级持续性威胁组织。Sandworm曾有多次破坏性攻击记录,包括2015年导致乌克兰23万人断电的大规模停电事件。
Europe wants to end its dangerous reliance on US internet technology4 months agohttps://theconversation.com/europe-wants-to-end-its-dangerous-reliance-on-us-int...互联网突然中断可能会扰乱支付系统、医疗服务和通信网络欧洲被敦促建立技术独立性,摆脱对美国科技巨头的依赖以应对潜在风险亚马逊AWS、微软Azure和谷歌云等美国公司占据欧洲云市场70%的份额近期技术故障(AWS、Cloudflare)和停电事件凸显了依赖性的风险欧洲正在测试数字韧性,例如赫尔辛堡市的停电应急准备项目德国石勒苏益格-荷尔斯泰因州正转向开源软件,减少对微软的依赖欧盟国家正在投资开源平台以建设自主数字基础设施欧盟的'云主权框架'旨在确保欧洲数据由欧洲掌控个人应考虑数据存储、访问权限和备份方案以增强数字韧性完全的数字化独立并不现实,但欧洲可以建立抗危机系统
SoundCloud Data Breach Now on HaveIBeenPwned4 months agohttps://haveibeenpwned.com/Breach/SoundCloudSoundCloud在2025年12月遭遇数据泄露事件未经授权的活动导致20%用户的公开资料数据与电子邮箱地址被关联匹配泄露数据涉及3000万条邮箱地址、姓名、用户名、头像、粉丝/关注数,部分包含国家信息攻击者曾试图敲诈勒索,次月将数据公开泄露建议措施:立即修改密码、启用双重验证(2FA),推荐使用1Password等密码管理器