本周,密码管理器 LastPass 因其合作方 Klue 遭到入侵而再次泄露了客户数据,涉及姓名和联系方式等信息,但密码库未受影响。同时,英国一个运行十余年的预测性警务系统被曝光;AI 领域,中美竞争升温引发对灾难性风险的担忧,而 OpenAI 则发起漏洞修复计划;此外,澳大利亚发现有国家级黑客潜入其关键基础设施,可能正准备实施破坏。
LastPass 因合作伙伴被黑导致数据泄露
密码管理器 LastPass 通知客户,由于其合作伙伴、人工智能商业智能公司 Klue 遭到入侵,导致又一起数据泄露事件。
- 泄露原因: 攻击者入侵了 Klue,并窃取了其客户(包括 LastPass)的访问令牌,进而抓取了 Salesforce 等平台上的数据。
- 泄露内容: 客户的姓名、电话号码、电子邮件地址、实际地址、技术支持案例数据和销售相关数据。
- 关键点: LastPass 强调,此次事件 并非其自身基础设施的漏洞,客户的密码库没有受到影响。
LastPass 在通知中建议:“我们建议客户对潜在的网络钓鱼攻击或社会工程学企图保持警惕,这些攻击可能会利用已泄露的联系方式。对未经请求的通信,务必保持谨慎。”
英国预测性警务系统曝光
一项调查揭示了英国布里斯托尔一个运行了十多年的预测性警务项目。
- 该项目涉及 23 个独立的模型,用于评估特定个人犯罪或成为受害者的可能性。
- 这个执法系统对社区产生了真实影响,但 当地大多数居民对此一无所知。
AI 领域的安全进展与担忧
- Anthropic: 经过与白宫协商,获准向部分美国公司和政府机构重新提供其最新的 Claude Mythos 5 模型。
- OpenAI: 发布了其 GPT-5.5-Cyber 模型的改进版,并启动了一项名为“Patch the Planet”的大规模行动,旨在利用 AI 加速漏洞发现的同时,支持开源项目的漏洞修补工作。
- 中美 AI 竞争: 随着两国在 AI 领域的竞争加剧,双方专家都对可能出现的“切尔诺贝利时刻”——即由 AI 引发的灾难性事故——表示担忧。
其他重要安全事件
Peter Thiel 小组信息泄露: 私密组织“Dialog”的成员信息被曝光。证据显示,这并非黑客攻击,而更可能是由于 网站配置错误 导致数据被公开访问。
前美国国家安全顾问认罪: 约翰·博尔顿就 非法保留机密国防信息 的指控认罪,并达成认罪协议,可能面临最高五年的监禁。
欧洲刑警组织打击网络犯罪: 微软、欧洲刑警组织及其他合作伙伴联合行动,摧毁了 Amadey 和 StealC 这两种被广泛使用的信息窃取木马的基础设施。
澳大利亚发现国家级黑客: 澳大利亚安全情报组织(ASIO)透露,他们发现有国家级黑客已经渗透到该国的关键基础设施中。 > ASIO 总干事迈克·伯吉斯表示:“我们发现,国家支持的黑客已经渗透了一家澳大利亚关键基础设施提供商的网络。ASIO 评估认为,这些黑客正在为破坏活动做准备。”