安全资讯 第5页
聚合当前分类下的最新内容,按时间顺序查看第 5 页精选文章。
当缉毒遇上手机间谍:美国 ICE 承认使用 Paragon 监控软件,真正的争议才刚开始
美国移民与海关执法局(ICE)首次明确承认,已购买并使用以色列背景公司 Paragon 的间谍软件,理由是打击毒品走私和应对加密通信带来的执法盲区。问题在于,这类“数字破门锤”一旦进入美国本土执法体系,争议就不再只是技术是否好用,而是边界由谁来划、谁来监督、普通人会不会成为附带损伤。
你的护照,可能就躺在公网里:加拿大汇款应用 Duc 的这次泄露,暴露了金融 App 最危险的软肋
加拿大汇款应用 Duc 因云存储配置失误,把大量用户护照、驾照、自拍照和交易信息直接暴露在互联网上,任何知道地址的人都能查看,甚至无需密码。这不只是一次“技术事故”,而是金融科技行业长期把 KYC 当成合规任务、却没有把数据安全当成生命线的老问题再次爆雷。
喜马拉雅上空的“假救援”生意:当直升机、医院和保险公司被串成一条灰色流水线
尼泊尔高山救援原本是挽救生命的最后一道防线,如今却被一张由徒步公司、直升机运营商、医院和中介拼成的骗保网络严重污染。更令人不安的是,这不是几个人的小动作,而是一套运转多年、分佣清晰、几乎把“紧急救命”做成标准化生意的产业链。
Linux 内核漏洞报告突然井喷:安全团队忙到加人,保密修复时代可能要结束了
Linux 内核安全邮件列表最近迎来一波罕见的漏洞报告潮:从两年前每周 2 到 3 份,涨到如今每天 5 到 10 份。更关键的是,这次不再是“AI 垃圾报告”刷屏,而是真能修、也必须修的漏洞在成批出现,这可能正在改写整个开源世界处理安全问题的方式。
把邮箱藏起来,垃圾邮件就找不到你了吗?2026 年最实用的反爬虫实验
一篇看似冷门的网页技术实验,实际上戳中了互联网最古老也最顽固的问题:公开邮箱到底还能不能安全存在。最新测试显示,很多“老土”的邮箱混淆技巧依然有效,真正的关键不在炫技,而在于能否在反爬虫、可访问性和用户体验之间找到平衡。
当注册表单成了帮凶:一场“邮件轰炸”暴露了互联网最被低估的安全漏洞
一家 SaaS 初创公司最近发现,自己的注册与找回密码流程,正在被黑产当作“邮件轰炸机”使用:不是为了入侵网站,而是为了淹没受害者的邮箱,好掩护更严重的盗刷与账户接管。真正值得警惕的,不是这家公司的个案,而是整个互联网仍有大量产品默认向未经验证的邮箱发送邮件,这让无数看似无害的注册表单,变成了攻击链里最安静的一环。
Drift 遭黑客重击:一场上亿美元失窃案,再次撕开 DeFi“去中心化安全”神话
去中心化金融平台 Drift 因遭遇正在进行中的攻击,紧急暂停充值和提现。链上追踪机构给出的失窃规模从 1.36 亿到 2.85 亿美元不等,这起事件很可能成为 2026 年迄今最大的一笔加密货币盗窃案。更刺痛行业的是,DeFi 一边高喊“无需信任”,一边却在关键时刻仍靠人工按下暂停键。
一台二手 Pixel,可能买来一肚子麻烦:GrapheneOS 用户为何公开劝退 Swappa
在 GrapheneOS 论坛上,一则“远离 Swappa”的帖子虽然信息并不完整,却戳中了一个真实而长期被忽视的问题:对注重隐私和安全的用户来说,买到一台“看起来正常”的二手 Pixel,远比买一台新机复杂得多。二手平台卖的不是只有硬件,还有激活锁、运营商限制、引导加载器状态,以及一串可能在收货后才爆雷的隐形风险。
别再把签名签错对象了:FOKS 想从协议层堵上密码学里最隐蔽的坑
FOKS 团队提出了一种很“工程师”、也很有野心的做法:把随机生成且不可变的域分离标识直接写进 IDL,让签名、加密、MAC 和哈希从协议定义层面就知道“自己在处理什么类型的数据”。这不是一个炫技式的新序列化格式,而是在补密码学工程里一个长期被低估、却反复酿成事故的老漏洞。
一根安全带,扯出造车新势力的老问题:Lucid召回超4000辆Gravity SUV
Lucid Motors宣布召回超过4000辆Gravity SUV,原因不是软件Bug,也不是电池,而是更基础也更要命的安全带焊接问题。这起事件提醒整个电动车行业:当新势力忙着讲性能、智能和豪华故事时,真正决定生死的,往往还是制造体系里最不起眼的那颗螺丝和那一道焊点。
孩之宝被黑,恢复要数周:当玩具巨头也成了网络攻击的“玩具”
美国玩具巨头孩之宝确认遭遇网络攻击,部分系统被迫下线,恢复可能持续数周。这不只是一起企业安全事故,更提醒所有依赖数字供应链的消费品牌:今天卖玩具、卖卡牌、卖IP,本质上也在经营一套高风险的信息系统。
互联网最脆弱的角落,终于开始补课了:BGP 安全正在从“口号”变成现实
Cloudflare 推出的“Is BGP safe yet?”页面,像一张全球网络运营商的安全成绩单:不少头部骨干网和云厂商已经补上了 BGP 安全机制,但仍有大量重要网络处在“部分安全”甚至“不安全”状态。对普通用户来说,这不是一项遥远的底层协议升级,而是决定你访问的网站会不会被劫持、绕路,甚至无声失联的基础工程。
一个 128 字节缓冲区,差点把 FreeBSD 内核交给远程攻击者
FreeBSD 最近披露的 CVE-2026-4747,不是那种“理论上可利用”的边角漏洞,而是研究者已经走通链路、能把远程 NFS 请求一路打进内核并拿到 root shell 的高危缺陷。它最刺眼的地方不在技术炫技,而在于老生常谈的边界检查缺失,居然仍然出现在内核网络认证路径里,也再次提醒企业:Kerberos 和 NFS 这类“传统基础设施”,从来不是安全盲区之外的净土。
一场开源组件失守,牵出 AI 招聘独角兽的安全软肋
AI 招聘公司 Mercor 证实遭遇网络安全事件,导火索指向开源项目 LiteLLM 的供应链攻击。这不是一家创业公司的倒霉个案,而是整个 AI 产业链正在集体面对的现实:当所有人都在狂奔接入模型时,最脆弱的那一环,往往是没人多看一眼的开源依赖。
泰格·伍兹车祸之后:手机不是借口,真正可怕的是“分心驾驶”早已日常化
高尔夫巨星泰格·伍兹在一次车祸后将原因归咎于看手机和调车载电台,但警方披露的信息显示,事情远不只是“低头几秒”那么简单。这起事件之所以值得科技媒体关注,不仅因为名人效应,更因为它再次照出一个被智能手机和车机系统共同放大的现实:分心驾驶,已经成了很多人习以为常的危险动作。
量子计算离“破密时刻”又近了一步:这次先紧张的,可能不只是币圈
两份最新白皮书给出的结论很扎眼:破解支撑互联网和加密货币安全的椭圆曲线加密,量子计算机所需资源比过去估算少了一个数量级,甚至更多。这不意味着“明天世界密码体系就崩了”,但它确实在提醒所有还没完成后量子迁移的企业和政府——Q Day 不是科幻设定,而是一场正在逼近的工程现实。
从“谁打来的”到“替你挂电话”:Truecaller 5亿月活背后,是骚扰电话战争进入下半场
瑞典来电识别应用 Truecaller 月活用户突破 5 亿,这不只是一个漂亮的增长数字,更说明全球用户对骚扰电话、诈骗电话的焦虑还在持续放大。问题在于,当一款工具从“识别来电”走向“AI代接、代挂、代判断”时,它解决了麻烦,也把隐私、平台权力和监管竞争一起推到了台前。
90秒逃生神话,可能该改写了:一项飞机撤离研究把“老人坐哪儿”变成了安全问题
一项针对空客 A320 的最新仿真研究发现,在更贴近现实的老龄化乘客场景下,飞机要在 FAA 要求的 90 秒内完成紧急撤离,几乎是不可能任务。真正刺痛行业的,不是某个模型算得多快,而是一个被长期回避的问题:今天的客舱设计和安全标准,可能仍建立在“年轻、灵活、听得清、跑得动”的理想乘客之上。
Chrome把yt-dlp拦下来了:一句“可疑下载”,暴露了浏览器安全权力的边界
一位 Hacker News 用户发现,最新版 Chrome 在下载 yt-dlp 时弹出“Suspicious Download(可疑下载)”警告,却没有给出足够解释。这看似只是一次普通的误报,背后却折射出浏览器厂商在“保护用户”与“替用户做决定”之间越来越微妙的权力扩张。
8小时足够掀翻一座医院的信息墙:CareCloud 医疗数据遭入侵,真正让人不安的不只是“是否被偷走”
美国医疗技术公司 CareCloud 确认,其一处电子病历存储环境在3月中旬遭黑客非法访问,持续超过8小时,涉及的可能是数以百万计患者背后的敏感医疗信息。比起“是否已经外泄”这个尚未确认的问题,这起事件更刺痛行业的一点在于:医疗数据基础设施正越来越像公共卫生系统里的隐形命门,一旦出事,影响远超一家公司的财报。
一年点名7655家受害者:勒索软件越来越像一门“稳定生意”了
最新统计显示,从 2025 年 3 月到 2026 年 3 月,129 个勒索软件组织在公开泄密站上共“点名”了 7655 家受害机构,平均每 71 分钟就新增一家。比数字更让人不安的是,这已经不是少数黑客团伙的突袭,而是一套分工成熟、覆盖全球、越打越散的地下产业链。