近期发生的一系列网络与隐私安全事件凸显了全球范围内日益增长的风险。教育平台 Canvas 因勒索软件攻击而中断,影响了大量学生;一款售价高昂的机器人割草机被发现存在严重漏洞,可被远程劫持;同时,Meta 决定取消对 Instagram 消息的端到端加密支持,引发了对用户隐私的广泛担忧。这些事件与针对国家关键基础设施的攻击一起,共同描绘了一幅严峻的网络安全图景。
可被黑客入侵的机器人割草机
一款售价 5000 美元的 Yarbo 机器人割草机被发现存在严重的安全漏洞,这给用户带来了新的噩梦。该机器人不仅能割草,还能作为吹叶机和扫雪机使用。
- 远程接管: 漏洞允许黑客远程完全控制这台重达 200 磅、带有刀片的机器。
- 数据泄露: 攻击者可以访问机器的摄像头画面,并窃取用户的个人信息,包括 电子邮件地址、Wi-Fi 密码和家庭住址。
- 现实危险: 为了证明漏洞的严重性,安全研究人员在一名记者面前劫持了一台机器人,并操控它差点撞到该记者。
在此事件之后,Yarbo 公司表示正在开发一个补丁,以修复研究人员发现的至少一个漏洞。
Meta 放弃 Instagram 消息加密
Meta 公司已经取消了对 Instagram 私信(DM)的端到端加密支持,这一举动逆转了其之前保护用户隐私的承诺。
- 从 5 月 8 日起,Instagram 停止提供加密选项,这意味着 Meta 现在可以 更容易地在技术上访问用户的私信内容。
- Meta 在 2023 年曾为 Messenger 推出了默认加密,并计划将 Instagram 的加密功能也设为默认,但这一天从未到来。
- 公司给出的理由是,选择使用加密功能的 用户数量不足,因此决定移除该选项。
这一 180 度大转弯激怒了隐私和安全专家,他们担心此举可能会损害全球范围内推广端到端加密的努力。
俄罗斯精英黑客学校被曝光
泄露的文件揭示了俄罗斯军事情报机构(GRU)如何通过一所顶尖大学的特殊部门来培养黑客。
- 培训基地: 鲍曼莫斯科国立技术大学内部一个名为“第四系”的单位,据称是为 GRU 输送人才的渠道。
- 师资力量: 文件显示,与黑客组织 “奇幻熊”(Fancy Bear) 有关的 GRU 情报官员在“第四系”任教,教授学员各种黑客技能。
- 黑客输出: 一些毕业生被发现加入了“奇幻熊”和臭名昭著的 “沙虫”(Sandworm) 等组织,后者曾对乌克兰电网和全球范围内的目标发动过毁灭性攻击。
波兰水务系统遭黑客入侵
波兰国内情报机构(ABW)警告称,黑客去年渗透了五个城镇的水务公司网络,凸显了关键基础设施面临的威胁。
- 攻击者在某些情况下深入网络,足以访问能够影响设施物理运作的 工业控制系统。
- 这给城镇的供水连续性带来了 “直接风险”。
- 尽管报告没有将攻击归咎于任何国家,但它指出,波兰面临的黑客行动不断升级,并特别提到了 “俄罗斯联邦的特殊服务”。报告还描述了俄罗斯正在进行更广泛的侦察活动,为针对波兰军事和关键基础设施的潜在网络破坏行动做准备。
其他值得关注的安全事件
- 特朗普的反恐策略: 一份新的反恐战略备忘录将 “暴力左翼极端分子”(包括无政府主义者和反法西斯主义者)与贩毒集团和伊斯兰恐怖组织并列为三大恐怖威胁,并将其意识形态描述为“反美”和“激进的亲跨性别者”。
- 教育平台瘫痪: 由于教育科技公司 Instructure 遭到名为 ShinyHunters 的黑客组织发动的勒索软件攻击,其下的 Canvas 平台进入“维护模式”,导致美国大量学生在期末考试期间无法使用。
- Chrome 隐私争议: 用户发现谷歌浏览器在未经明确告知的情况下,默认下载并占用了 4GB 空间的 Gemini Nano 人工智能模型,引发了对隐私和资源占用的担忧。