HackerNews

HackerNews 编译，转载请注明出处： 英国国家医疗服务体系（NHS）证实，去年导致伦敦多家医院血液检测服务瘫痪的勒索软件攻击事件，已直接造成一名患者死亡。 2023年6月，网络犯罪团伙Qilin对伦敦病理服务提供商Synnovis发动勒索攻击，致使伦敦大量NHS医院及医疗机构的服务严重中断。此次攻击导致血液检测效率大幅下降。国王学院医院NHS基金会信托发言人表示，在事件期间，检测延迟构成“多重因素共同作用”，最终导致一名患者不幸身亡。该结论由权威医疗期刊《健康服务期刊》率先披露。 “我们沉痛确认，一名患者在勒索攻击期间意外离世。依据标准流程，我们已对其诊疗过程展开详细审查，”发言人声明，“患者安全事故调查表明，其死亡由多重因素共同导致。其中包括因网络攻击影响病理服务而造成的血液检测结果严重延误。我们已会面告知患者家属调查结果。” 出于患者隐私保护，发言人拒绝透露其他影响因素细节。 Synnovis首席执行官Mark Dollar在声明中回应：“获悉去年恶意网络攻击被确认为患者离世的诱因之一，我们深感悲痛，并向涉事家属致以深切哀悼。” 上月，Recorded Future News披露2024年影响NHS的两起网络攻击已被正式认定存在临床安全风险。除Synnovis事件外，另一起针对Wirral大学教学医院NHS基金会信托的攻击，亦导致癌症治疗服务延误。 据信，Qilin团伙通过勒索手段泄露了超90万人的敏感数据，包括性传播感染和癌症患者的检测结果。数据泄露分析公司CaseMatrix确认，泄露内容涵盖患者姓名、出生日期、NHS编号及联系方式，甚至包含医疗机构间流转的病理学与组织学检查表单。 事件发生一年后，受影响患者仍未获知自身具体哪些数据遭泄露。Synnovis发言人上月表示：“调查已接近尾声，我们正最后确定通报机制，将适时向受影响机构及个人更新信息。” 此次攻击的连锁反应导致全英血液库存锐减——因血液配型功能受限，医生被迫使用万能供血者血型，多家医院濒临仅能向危重患者输血的困境。本月稍早，NHS再度呼吁公众献血以缓解持续低位的血库储备。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mainline健康系统披露了一起影响超过10万人的数据泄露事件。该机构成立于1978年，是一家位于阿肯色州波特兰市的非营利性联邦认证健康中心（Federally Qualified Health Center），服务覆盖阿肯色州东南部地区。通过30多个分支机构（包括校内诊所和社区中心），它提供全面的基础医疗、牙科及行为健康服务。 此次泄露事件共影响101,104人。安全漏洞发生于2024年4月10日左右，波及该机构的内部网络。 “获悉后立即启动全面调查，同时向联邦执法部门通报事件，聘请外部网络安全专家，并对受影响文件展开人工审查。”该机构提交给缅因州总检察长办公室的数据泄露通知函中说明，“2025年5月21日的审查确认，部分包含受保护个人信息的文件在此次事件中遭到未经授权的访问或获取。” 勒索组织INC Ransom宣称对此次攻击负责，并将该机构列入其Tor泄漏站点名单。INC RANSOM自2023年开始活跃，迄今已宣称入侵数十家组织，据公开报道的受害者包括苏格兰国家医疗服务体系（NHS）和美国跨国企业施乐公司（Xerox Corp）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着近期以色列与伊朗冲突升级，支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产，尤其针对以色列卫星。这是他们表达抗议的方式。 GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动，在黑客行动主义领域中独树一帜。目前，该组织正专注于攻击 VSAT（甚小孔径终端）系统——一种用于卫星通信的地面终端设备。 这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击，但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。 这是一种操纵天基基础设施的手段。 与想象不同，黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址，这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。 虽然 Shodan 仍是各类黑客的首选资源，但 VSAT 端点也可通过 OSINT（开源情报）方法（如关联卫星 ISP 的 ASN/IP 所有权）暴露出来。此外，还能利用各种 SNMP 枚举技术进行发现，例如以下 Metasploit 模块：auxiliary/scanner/snmp/snmp_enum。 VSAT、SNMP、Shodan 与黑客行动主义 SNMP 指简单网络管理协议（Simple Network Management Protocol），运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单，用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。 试想一下：一条改变卫星调制解调器设置的 SNMP 写入命令，就可能导致整个区域断网，在战区尤其如此。 暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息： 设备类型 供应商/制造商（如 Gilat、iDirect、HughesNet 等） 接口名称（如 satEnd0、satUplink、rf0ut 等） 网络拓扑，包括卫星链路、调制解调器、路由行为等 物理位置 上行/下行链路统计数据 GPS 坐标（如已设置） GhostSec 电报频道言论 GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示： “这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪，直到问题解决为止——显然这花了他们超过 24 小时。” 他解释称，该组织使卫星失效，因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。 在远程部署中，VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标，如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。 此外，许多 VSAT 出厂时带有默认的 SNMP 团体字符串（community strings），如 public（读权限）和 private（写权限），并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁：拥有 public（读权限）的任何人都可从中提取信息（包括流量日志）。 若保留未更改的 private（写权限）团体字符串，攻击者就能向 VSAT 终端写入数据，这才是真正灾难的开始。拥有 private 字符串的访问权限，攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数，甚至彻底瘫痪或完全禁用 VSAT 终端。 这正是在俄乌战争初期得到证实的网络攻击中发生的情况：2022 年 2 月 24 日（即俄罗斯入侵乌克兰当天），乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪，中断了乌克兰军事通信，并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。 GhostSec 的目标 该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标，并制造乏味的结果。 2023 年春季，GhostSec 在破坏 11 台全球导航卫星系统（GNSS）接收器后成为头条新闻，这使他们能够清除每台设备的数据，并阻止卫星未来获取任何数据。 然而，GhostSec 当前的攻击虽然与之前类似，但略有不同。 “之前的 GNSS 接收器大多用于图像采集或一般用途。这次，我们瞄准了八颗特定卫星，并成功攻击了其中两颗，在此场景下产生了更大的影响。” GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日，GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。 “除了关闭 500 多个网站（数量仍在增加）之外，我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备，影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备，篡改了部分设备界面，并彻底扰乱了其余设备的设置，最终将其全部关闭。” “我们入侵了八台 Unitronics 设备，在对系统进行彻底破坏后，也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备，特别是我们之前帖子中简要提及的卫星，影响了以色列直接拥有和军方控制的卫星。” “我们有着攻击以色列的历史记录，包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备，这足以说明问题，但今天我们发起大规模攻击，以继续向他们施压。” 该帖以声援巴勒斯坦的声明结尾。 6 月 11 日的更早帖子展示了该组织的 OSINT（开源情报）技能，他们发布了一份以色列卫星系统及其战略价值的清单。例如，由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统，被用于单兵背负式终端，供地面部队通信使用。 尽管这是公开信息，但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信（SATCOM）目标档案。 心理框架效应 此外，该组织利用宣传作为心理放大器的手法，带有心理震慑的成分。与我个人观察到的其他团体不同，GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。 多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器，充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此，成员们对此情绪化回应，而非战术性回应。他们助长了绝望感，这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。 GhostSec 自信、直接的语气，结合其精准度和掌控力，营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点，但他们的自信本身就是一种功勋章。 GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言，这可能造成一种印象：其安全、加密的系统正在被分析并准备遭受攻击。 对于 GhostSec 的众多支持者，该组织展现了专业素养和研究能力，强化了其合法性。他们实现这一点的方式不是通过提问或猜测，而是通过以掌控者的姿态呈现机密级别的信息，将整个局势描述为既成事实。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一批新的恶意 npm 软件包，这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”（传染性面试）有关。 安全公司 Socket 表示，此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。 其中，有六个软件包目前仍可从 npm 下载：react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。 每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息，并有选择地投递后续有效载荷，该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。 BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门，从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。 “这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核，” Socket 研究员 Kirill Boychenko 说道，“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包，可以捕获每个按键操作，这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。” “传染性面试”（Contagious Interview）是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的，是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动，旨在未经授权访问开发者系统，窃取加密货币和数据。 该攻击群还被广泛追踪，其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima（著名千里马）、Gwisin Gang（鬼怪帮）、Tenacious Pungsan（坚韧的普山）、UNC5342 和 Void Dokkaebi（虚空德基）。 该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。 Socket 的最新发现表明，平壤的威胁行为者正在采取多管齐下的策略，利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。 “传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员，通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接（该项目嵌入了 npm 软件包）来向求职者和开发者发送编码任务。 “他们瞄准正在积极求职的软件工程师，利用求职者通常对招聘人员的信任，” Boychenko 说道，“虚假身份会主动联系，通常会使用事先准备好的推广信息和令人信服的职位描述。” 然后，在所谓的面试过程中，受害者会被诱导在容器化环境之外克隆并运行这些项目。 “此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩，它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学，旨在通过可信生态系统入侵开发者。” Socket 说道。 通过在开源软件包中嵌入 HexEval 等恶意软件加载器，并通过虚假的作业分配进行传播，威胁行为者得以绕过外围防御，并在目标开发人员的系统上执行攻击。 该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明，资源充足的对手正在实时改进其入侵方法。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击，通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示，他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体： • 本地存储型：将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型：将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实，此次攻击已针对全球26个国家的65个机构，这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者，涵盖政府机构、银行、IT公司和教育机构，首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞（例如ProxyShell）向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括： • CVE-2014-4078：IIS安全功能绕过漏洞 • CVE-2020-0796：Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065：Microsoft Exchange Server远程代码执行漏洞（ProxyLogon） • CVE-2021-31206：Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523：Microsoft Exchange Server安全功能绕过漏洞（ProxyShell） 安全研究人员Klimentiy Galkin和Maxim Suslov指出：恶意JavaScript代码读取并处理身份验证表单的数据，通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数，该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于：由于无需建立外联流量传输数据，检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求，将编码后的登录名和密码分别存储在APIKey与AuthToken标头中，利用Telegram机器人作为渗透点；另一种方法结合域名系统（DNS）隧道与HTTPS POST请求发送用户凭证，突破组织防御体系。 受感染的服务器中有22台位于政府机构，其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调：大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面，攻击者得以长期潜伏，同时直接获取明文凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西门子公司周二告知客户，其正与微软合作解决Microsoft Defender防病毒软件（MDAV）与Simatic PCS工业控制系统间的兼容性问题。根据该工业巨头发布的安全通告，核心问题在于Defender当前缺乏“仅警报”功能。 西门子在Simatic PCS 7及PCS Neo过程控制系统的技术文档中，曾建议通过配置Defender实现威胁分级警报——即在检测到特定级别威胁时不自动处置，仅触发告警。但实际运行中存在两类风险： 静默忽略风险 若将威胁响应设为“忽略”，不仅不会采取行动，系统甚至不会向工厂操作员和管理员发送任何警报，导致恶意软件潜伏未被察觉。 误删关键文件风险 若采用其他设置，Defender可能直接删除或隔离被标记为潜在威胁的文件（包括误报文件）。当系统依赖这些文件运行时，将引发生产中断。西门子在通告中强调：“受影响的设备可能完全失效，导致工厂丧失监控与控制能力。” 在微软提供解决方案前，西门子建议客户执行以下应急措施： 风险评估决策：企业需权衡选择——优先接收感染警报（可能面临误报干扰），或容忍文件误删风险（保障系统连续性）。 设备集群化管理：对受影响设备进行分组，根据各组功能重要性配置差异化的Defender策略。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队Neural Trust发现名为“Echo Chamber”（回音室）的新型大语言模型（LLM）越狱攻击技术。该技术通过渐进式语义污染与上下文操控，可突破主流AI模型的防护机制，诱导模型生成违禁内容。Neural Trust研究员Ahmad Alobaid在测试中偶然发现此漏洞：“我最初以为系统出错，但持续测试后发现LLM竟如此容易被操控”。 攻击核心原理 三阶段渗透 种子植入：首轮对话嵌入无害但具导向性的语义种子（如“撰写信息控制失败案例研究”），规避内容过滤机制。 引导强化：通过多轮看似中立的追问（如“请重述重点”），诱导模型逐步复述并扩展敏感概念，形成自我强化的语义闭环。 边界突破：当模型在“绿区”（允许内容）积累足够多被污染的上下文后，其内部状态逐渐接受本应被拦截的语义关联，最终生成违禁内容（如武器制作指南）。 与传统攻击差异 区别于微软披露的”Crescendo”攻击（直接引导敏感回答），Echo Chamber利用模型自解释特性，让AI主动构建危险内容框架。 攻击全程避免触发“红区”（如直接提及“炸弹”），仅使用“鸡尾酒”等合法词汇分散组合，使防护系统难以识别意图。 实测威胁数据 成功率：在GPT-4o、Gemini 2.0等模型测试中，生成性别歧视/暴力内容成功率超90%，虚假信息达80%。 效率：平均2-3轮对话即可完成越狱，部分案例仅需单次交互。 低成本性：无需技术背景，攻击者仅需掌握基础对话技巧即可实施。 行业影响与挑战 防御机制失效 传统关键词过滤与单轮提示检测完全失效，因攻击依赖模型自身的上下文记忆与逻辑推演能力。 新型防护方向 Neural Trust建议采用动态上下文可信评估（如语义一致性检测）、设定上下文记忆窗口限制（防止污染延续），这与微软“提示词防护盾”、Anthropic“宪法分类器”的防御思路形成呼应。 研究员警告 Neural Trust安全主管Rodrigo Fernández强调：“该技术可能被大规模用于生成虚假信息、仇恨言论及犯罪指导，全球AI服务商需立即升级防护体系”。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据进攻性安全公司Cobalt的最新报告，约半数（48%）的安全专业人员认为需要对生成式AI部署实施“战略暂停”，以重新校准防御措施。调查显示，绝大多数（94%）的安全负责人和从业者观察到过去12个月内其所在行业的生成式AI采用率显著提升。令人担忧的是，36%的受访者承认生成式AI部署速度已超出其团队管理能力范围。 尽管许多安全专家呼吁暂停部署，Cobalt首席技术官Gunter Ollmann警告此举并不现实：“威胁行为体不会坐等，安全团队同样不能。研究表明生成式AI在重塑工作方式的同时，也在改写风险规则。安全基础必须同步演进，否则我们将在过时的安全措施上构建未来的创新。” 生成式AI主要安全漏洞 约四分之三（72%）的安全从业者将生成式AI列为首要IT风险。受访者指出的主要风险集中于数据安全与准确性：敏感信息泄露（46%）、数据模型投毒与窃取（42%）、数据不准确（40%）及训练数据泄露（37%）位列前四。尽管风险高企，33%的安全团队未对其大语言模型（LLM）部署实施定期渗透测试等安全评估。 Cobalt自2022年开展LLM测试以来的评估显示，生成式AI工具中约32%的漏洞属于高风险类别，这是所有资产类型中高危漏洞占比最高的领域。其中仅21%的高危漏洞得到修复，修复率在所有渗透测试类型中最低。传统Web漏洞在生成式AI系统中依然突出：SQL注入（19.4%）和存储型XSS（9.7%）占比最高，这表明部署LLM应用时仍需遵循严格的输入验证、安全编码和系统配置等基础安全实践。 渗透测试还发现多类LLM特有漏洞： • 诱导生成不当内容：通过精心设计的输入提示绕过内容过滤器 • 诱导泄露敏感数据：利用提示注入技术使LLM泄露个人身份信息等数据 • 模型拒绝服务攻击：通过API发送大量复杂查询导致服务中断 • 越权操作：通过精细化交互使LLM执行超出权限范围的操作 报告强调：“这些案例证明，发现涉及复杂提示操纵的LLM特有漏洞需要高水平人工专业能力和创新测试方法。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 赫尔辛基2024年发生的数据泄露事件影响了超过30万人的敏感个人信息，为网络安全专业人士提供了宝贵的教训。 芬兰安全调查局 (SIAF/OTKES) 对这起事件进行了长达一年的调查，并于2025年6月17日发布了技术报告。 芬兰国家网络安全中心（NCSC-FI）高级专家马蒂亚斯·梅西娅 (Matias Mesia) 领导了该机构的任务小组，协助赫尔辛基从泄露事件中恢复。 在6月23日于哥本哈根举行的FIRSTCON会议上，他分享了关于该事件的见解以及用于遏制和缓解泄露的策略，为面临类似网络安全挑战的其他人提供了实用指导。 关于赫尔辛基2024年数据泄露的见解 赫尔辛基拥有约4万名员工和4-5亿欧元（4.6-5.8亿美元）的预算，它不仅是芬兰的首都和最大城市（2025年3月吸引了全国12%的人口，即686,595名居民），也是该国最大的雇主。 4月30日晚上11点30分，赫尔辛基市有人向NCSC-FI报告了一起潜在的数据泄露事件。在次日（5月1日）早期媒体报道后，赫尔辛基于5月2日公开发布声明，确认泄露影响了该组织的教育部门（KASKO）。 在赫尔辛基市、NCSC-FI 以及一家私营数字取证和事件响应 (DFIR) 合作伙伴展开调查的数日内，受感染的设备被确认。这是一台由KASKO用作VPN连接接收路由器的思科ASA 5515防火墙设备。该硬件于2014年安装，最后一次更新是在2016年。2017年，负责该设备的人员离开了组织。 攻击者的作案手法也在调查早期被确认。攻击始于暴力破解，随后通过用户计算机与路由器之间的远程连接（利用思科AnyConnect软件）进行漏洞利用。设备崩溃后，攻击者（使用在暗网上找到的凭证登录）得以在内部系统中横向移动，并获得了对微软Active Directory、虚拟化服务器和备份服务器的特权访问权限，从而窃取数据。 赫尔辛基市很快意识到数据量相当巨大（约1000万份文件或2TB数据被盗），最初估计有12万人可能受影响，随后重新评估为15,000人，最终确定为超过30万人。 受害者范围广泛，包括城市雇员、儿童保育津贴申请人、私立学校工作人员、融合培训学生、2005年至2018年间出生的学生及其亲属等。 “然而，我们很早就知道没有密码被泄露，也没有收到勒索要求，”梅西娅在FIRSTCON的演讲中表示。 此外，至今未对事件进行归因。“警方仍在调查此案，”梅西娅在会后告诉Infosecurity。 NCSC-FI在事件响应过程中的角色 赫尔辛基数据泄露事件是NCSC-FI以最高参与级别（该机构称为“特殊案件”）处理的18起案件之一。 NCSC-FI于2024年5月9日开始协助赫尔辛基市，投入10至20名工作人员直至2024年6月，其中一半专注于技术修复，其余人员负责合规、沟通和数据泄露报告等各种任务。 在其各项贡献中，NCSC-FI为赫尔辛基市的调查提供建议，协助策划新闻发布会，提供定制场景，并于2024年5月底协调举办了一场专家研讨会，参与者包括芬兰各市镇的管理团队和安全专家。 2024年5月30日，NCSC-FI工作人员举行了一次内部“经验教训”会议，涵盖五个领域，后来形成了五份专题“经验教训”报告： 组织、协调与领导报告 案件协调报告 技术报告 法律报告 沟通报告 NCSC-FI成员继续向赫尔辛基市提供IT技术指导，直到6月底案件“平息下来”，正如梅西娅在FIRSTCON上所言。 “我们还发布了一份40页的文件，介绍如何创建高效的事件响应任务小组，”梅西娅补充道。 2024年7月，SIAF开始了自己的取证调查。 经验教训与未来发展 梅西娅在接受Infosecurity采访时分享了他在赫尔辛基案件中的三大收获： 涉及边缘设备（尤其是未打补丁或过时的设备）被入侵的网络事件应被视为严重事件。 组织应为事件响应和业务连续性流程做好后勤准备，包括确定要使用的通信工具以及建立操作模板。 组织应在任务小组中纳入各种不同背景的人员，包括有网络事件经验的人员和没有经验的人员。 此外，在演讲中，这位NCSC-FI高级专家分享了一些给事件响应者的个人建议： 保持聊天记录整洁——不发表情包，不闲聊。 合作并委派任务。 使用时间线，特别是向领导团队解释正在发生/已经发生的事情。 反复扫描您的网络。 在组织内部和公众中分享关于事件的信息——因为如果您不这样做，总会有人来填补信息真空。 谨慎处理信息。 尊重政治和媒体。 最后，梅西娅告诉Infosecurity，赫尔辛基事件促使NCSC-FI开发一个新的三级系统来评估网络事件，以确定该机构应投入多少精力（即应有多少NCSC-FI人员参与处理案件）。 该框架仍在开发中，但可能会将事件分为三个优先级： 中等优先级：由少数NCSC-FI工作人员处理。 高优先级：由最多10名NCSC-FI工作人员处理。 关键优先级：由超过10名NCSC-FI工作人员全力处理事件。 梅西娅宣布：“我认为明年在FIRSTCON上，我们可以准备一个很好的演示来介绍这个即将推出的框架。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国驻印度大使馆宣布，申请F类（学生签证）、M类（职业培训签证）及J类（访问学者签证）的非移民签证申请人须将其社交媒体账户设为公开状态。新规旨在协助官员依据美国法律核实申请人身份及入境资格，使馆强调“每项签证审查都是国家安全决策”。 即日起生效的强制要求规定：所有申请上述签证的印度学生、职业培训生及交流访问学者，必须在提交签证申请前将所有个人社交媒体账户隐私设置调整为“公开”，以便官方开展身份核验与入境许可审查。若拒绝公开账户，可能构成拒签依据。 使馆声明指出，美国自2019年起已要求移民/非移民签证申请人提供社交媒体标识符。审查过程中将运用任何“可用”信息甄别不符合入境条件者，包括威胁国家安全人员，但未具体说明审查细则。 该政策正在全球多国同步推行。例如美国驻墨西哥大使馆要求申请人申报近五年使用过的所有社交媒体账号。此次调整源于特朗普政府数周前指令——全球使领馆曾暂停学生签证预约以扩大社交媒体审查范围，上周国务院重启流程时新增账户公开审查要求。 国务院最终声明明确：“美国必须在签证发放过程中保持警惕，确保申请人无伤害美国公民及国家利益的意图，并能可信证明其符合签证资格及入境目的。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trend Micro研究人员苏尼尔·巴蒂与舒巴姆·辛格近期分析指出，攻击者正利用配置不当的Docker API访问容器环境，并通过Tor匿名网络隐匿行踪，在易受攻击环境中秘密部署加密货币挖矿程序。 攻击技术链分析 初始渗透 攻击始于IP地址198.199.72[.]27向目标机器发送请求，尝试获取所有容器列表。若未发现活跃容器，攻击者基于“alpine”Docker镜像创建新容器，并将物理/虚拟主机的根目录（“/”）以“/hostroot”名称挂载为容器卷——此操作使攻击者能访问并修改主机文件，导致容器逃逸风险。 隐匿通道建立 通过Base64编码的shell脚本在容器创建阶段植入Tor，连接至.onion域名（wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion）获取远程脚本。研究人员强调：“此举反映攻击者惯用策略——通过Tor隐藏命令控制(C&C)基础设施，规避检测并在云/容器环境投递恶意载荷。” 持久化与控制 部署“docker-init.sh”脚本修改SSH配置：启用root登录并向~/.ssh/authorized_keys添加攻击者密钥。同时安装masscan、libpcap、zstd、torsocks等工具，通过socks5h协议将所有流量及DNS解析路由至Tor增强匿名性。 加密货币挖矿 最终投递XMRig加密货币挖矿程序，包含预配置的矿池地址及攻击者钱包。该方案能规避检测并简化在受控环境中的部署流程，主要针对科技公司、金融服务及医疗机构。 行业安全态势关联 此攻击印证了针对配置缺陷云环境的加密劫持趋势持续蔓延。 云安全公司Wiz最新扫描显示：公共代码仓库的mcp.json、.env等配置文件中存在数百个有效密钥（含30余家企业的Fortune 100公司凭证），这些资源正成为攻击者“宝藏”。 研究人员警告：“Python笔记本等代码执行结果应视为敏感信息，其内容可能为攻击者提供关键侦察情报。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国众议院正式禁止国会工作人员在政府配发设备上使用WhatsApp，理由是该应用存在安全风险。Axios率先报道了这一决定。 据众议院首席行政官（CAO）声明，此举源于对该应用安全性的担忧。CAO在备忘录中指出：“网络安全办公室认定WhatsApp对用户构成高风险，因其数据保护机制缺乏透明度、存储数据未加密，且使用过程存在潜在安全隐患。”因此，工作人员不得在政府配发的任何设备（包括手机、电脑及网页版）上安装该应用。 WhatsApp母公司Meta对此提出反驳，强调该平台默认采用端到端加密，其安全级别“高于CAO批准名单中的多数应用”。Meta传播总监安迪·斯通在社交平台X上回应：“我们以最强烈措辞反对众议院首席行政官的定性。我们知道议员及工作人员长期使用WhatsApp，期待众议院能像参议院那样正式批准其使用。” CAO推荐工作人员使用Microsoft Teams、亚马逊Wickr、Signal、苹果iMessage及FaceTime作为合规替代品。WhatsApp成为继TikTok、OpenAI ChatGPT及DeepSeek之后，众议院最新封禁的应用。 值得补充的是，上周Meta曾宣布将在WhatsApp引入广告，但承诺“绝不牺牲用户隐私”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 北美最大钢铁生产商纽柯公司（Nucor）确认，近期网络安全事件的攻击者已从其网络中窃取数据。这家钢铁巨头在美国、墨西哥和加拿大的300余家工厂雇佣超3.2万名员工，去年营收达307.3亿美元。 纽柯于上月首次披露该事件，称其主动断开部分系统网络连接以遏制安全漏洞，并暂停了多家工厂的生产运营。公司表示已通知执法部门，并聘请外部网络安全专家协助恢复与调查工作。 在向美国证券交易委员会（SEC）提交的最新文件中，纽柯虽未透露事件细节，但明确承认攻击者从受入侵系统盗取了数据。公司声明指出：“此次网络安全事件导致支持部分生产基地运营的信息技术应用临时受限。如初始8-K文件所述，出于审慎考虑，我们主动暂停了多个地点的特定生产作业。”“调查同时确认威胁行为者从本公司信息系统窃取了少量数据。公司正在评估受影响数据范围，并将依法向可能涉及的各方及监管机构履行告知义务。” 纽柯表示已完成受影响系统的访问恢复及生产运营重启，并确信威胁行为者已被清除出公司网络。目前公司尚未公布漏洞发现的具体日期或攻击类型，因此无法确定攻击者是否对入侵系统进行了加密。 截至发稿，尚无勒索软件组织宣称对此次攻击负责。但需注意的是，多数勒索组织在部署加密程序前会实施数据窃取，以此构成“双重勒索”策略。BleepingComputer已联系纽柯寻求更多信息，但尚未获得回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织APT28正利用Signal聊天软件针对乌克兰政府目标发起攻击，部署两种此前未公开的恶意软件家族BeardShell和SlimAgent。需明确的是，这并非Signal自身的安全漏洞，而是因全球政府广泛使用该平台，攻击者将其作为钓鱼攻击的新渠道。 乌克兰计算机应急响应小组（CERT-UA）最早于2024年3月发现此类攻击，但当时未能完全揭示感染途径细节。2025年5月，ESET向CERT-UA通报某gov.ua政府邮箱账户遭未授权访问，触发新一轮事件响应。调查发现，攻击者通过Signal发送恶意文档（Акт.doc），该文档利用宏功能加载名为Covenant的内存驻留后门。 Covenant作为恶意软件加载器，会下载DLL文件（PlaySndSrv.dll）和携带shellcode的WAV音频（sample-03.wav），进而加载用C++编写的BeardShell恶意软件。攻击者通过劫持Windows注册表的COM组件实现持久化控制。BeardShell的核心功能包括： 下载PowerShell脚本 使用chacha20-poly1305算法解密脚本 执行脚本并将结果回传至命令控制（C2）服务器（通过Icedrive API实现通信） 在2024年的攻击中还发现名为SlimAgent的屏幕截图工具，该工具调用Windows API（包括EnumDisplayMonitors、CreateCompatibleDC等）截取屏幕，使用AES和RSA加密图像后暂存本地，疑似等待其他载荷将其回传至APT28服务器。 CERT-UA将此活动归因于APT28（内部追踪代号UAC-0001），建议潜在目标监控与app.koofr.net、api.icedrive.net的网络交互。该组织长期针对乌克兰及欧美关键机构实施网络间谍活动，具有高度技术能力——2024年11月Volexity曾曝光其利用“最近邻”技术通过附近Wi-Fi网络实施远程入侵。 2025年Signal频成俄乌网络战焦点：攻击者滥用“设备关联”功能劫持账户，利用该平台分发Dark Crystal RAT等恶意软件。 乌克兰政府曾表示失望，称Signal未配合阻断俄罗斯攻击行动。但Signal总裁梅雷迪思·惠特克回应称，平台从未向乌克兰或其他政府提供用户通信数据。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列官员正紧急呼吁民众断开联网安全摄像头的电源，警告伊朗可能利用这些设备收集实时情报并调整导弹打击坐标。以色列国家网络局前副局长雷法埃尔·佛朗哥（Refael Franco）上周在公共电台采访中透露，伊朗黑客近期持续尝试访问私人监控系统，以评估其导弹袭击效果。 “我们掌握的情报显示，过去两三天内伊朗人不断尝试连接摄像头，目的是了解导弹实际落点及毁伤效果，从而提高打击精度。”佛朗哥在声明中未提供具体证据。以色列国家网络局发言人对彭博社证实，闭路电视监控系统正日益成为伊朗网络行动的攻击目标。本月初，因担忧黑客入侵和间谍活动，以色列已禁止政府官员使用任何连接公共互联网或电信网络的设备。 监控摄像头在现代战争中已成为极具吸引力的间谍工具。在包括俄乌冲突在内的多场战争中，此类系统被用于监视部队调动、防空阵地部署及关键基础设施动态。网络安全研究人员频繁报告各类联网摄像头品牌存在安全漏洞——某些未修复的陈旧漏洞甚至让黑客能持续访问设备。 今年1月，乌克兰当局通报拆除了基辅市两台据称被俄情报部门入侵的监控摄像头。调查人员称，攻击者通过远程操控调整摄像头拍摄角度，并将敏感画面实时传输至网络。另一起案件中，乌克兰安全局（SBU）逮捕了一名受雇于俄罗斯军事情报局（GRU）的本地公民，此人涉嫌在战略设施附近安装监控设备。当局披露，该男子通过Telegram被招募，对方承诺提供“轻松获利”的报酬。 类似安全忧虑在俄罗斯同样浮现。去年8月，莫斯科内政部警告边境地区居民停止使用监控摄像头，声称乌克兰军队正利用未加密系统收集道路及军事设施情报。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 密歇根州医疗保健服务商McLaren Health Care再度遭遇数据泄露事件，约75万人的个人身份信息（PII）遭曝光。这并非该机构首次遭受攻击——2023年其曾遭遇勒索软件攻击，导致超200万人信息泄露。 McLaren目前运营3100张特许病床，通过健康管理组织覆盖超73.2万人。2024年财报显示其净收入达66亿美元。 根据McLaren向缅因州总检察长办公室提交的违规通知函，2024年8月“McLaren发现涉及其旗下癌症研究机构Karmanos的可疑活动”。经第三方专家协助调查确认，黑客在2024年7月17日至8月3日期间入侵网络，获取包含以下敏感信息的文件： 姓名 社会安全号码 驾照号码 医疗信息 健康保险信息 失窃的个体医疗数据在暗网市场价格可达数百美元。不法分子可能利用这些数据实施医疗身份盗窃：通过提交伪造索赔骗取医保资金；同时，社保号、驾照等PII可被用于构建受害者画像，实施欺诈、身份盗用或精密钓鱼攻击。 历史攻击事件关联 2023年7月的攻击中，黑客潜伏近一月才被发现。臭名昭著的ALPHV勒索软件团伙（也称BlackCat）随后在暗网公布盗取数据，具体包括： 姓名与社会安全号码 出生日期及健康保险信息 医疗记录编号与诊断信息 账单及理赔数据       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 勒索软件组织Anubis声称其意外获得了巴黎迪士尼乐园64GB数据。6月20日，该组织在其数据泄露网站上将巴黎迪士尼乐园列为受害者，宣称掌握的数据构成“迪士尼乐园历史上最大的数据泄露事件”。 截至本文发布时，Anubis网站倒计时显示数据将于约三日后公开。通常情况下，此类倒计时代表受害企业支付赎金以阻止数据公开的最后期限，但本次事件中Anubis是否向迪士尼提出勒索要求、是否直接入侵巴黎迪士尼系统均尚未明确。 Anubis在声明中表示：“在迪士尼合作公司数据泄露过程中，涉及巴黎迪士尼乐园建造与翻新工程的39,000份文件落入了我们手中。”经Cybernews核查，该组织目前公开的数据样本主要为巴黎迪士尼园区内不同景点的图片、设计图纸及工程计划，暂未发现明显敏感信息。 该组织声称：“虽然本社编辑团队无法从工程角度评估这些内容的价值，但确信迪士尼的竞争对手会对其产生兴趣。”Cybernews编辑部特别指出，Anubis自称拥有“编辑团队”的说法明显荒谬。 Cybernews已联系迪士尼官方置评，尚未获得回应。Anubis在声明中还讽刺性地指出：“巴黎迪士尼一贯严格监控媒体泄密内容并全网清除相关照片，这种行为无意中引发了‘芭芭拉·史翠珊效应’。本次泄露的4000余份照片与视频将首次揭露乐园幕后工作场景。” 背景补充：Anubis勒索组织运作特征 Anubis是新兴勒索组织，其官方X账号显示自2024年12月开始活跃。该组织融合传统勒索手段与初创企业级盈利模式，通过多重联盟计划拓展业务：既提供勒索软件即服务（RaaS），也经营访问权限经纪业务，允许第三方通过其攻击行动获利。其攻击工具支持双重勒索策略——不仅加密受害者文件，同时以公开数据为要挟索要赎金。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国政府每年约有价值130万英镑（170万美元）的笔记本电脑、手机等设备遭窃或遗失，对国家安全构成系统性风险。《卫报》披露的信息公开数据显示，去年政府各部门共丢失超2000台设备，其中包含协调政府运作的内阁办公厅。 受影响的机构还包括国防部、内政部、财政部及英格兰银行。具体数据显示：内阁办公厅在2024年遗失66台笔记本电脑和124部手机；国防部报告丢失103台笔记本和387部手机；主管警务的内政部去年有147台设备失踪；而负责网络安全的科学、创新与技术部，在截至2025年5月的一年内遗落83部手机和18台笔记本。 网络安全专家指出，这些数字“惊人地庞大”且构成“重大国家安全威胁”，尤其当设备失窃时处于解锁状态。不过政府声称加密机制可阻止恶意访问——国防部强调加密“能保障数据安全并阻断对国防网络的入侵”；英格兰银行表示已部署“适当防护”；政府发言人则重申“所有笔记本电脑和手机均强制加密，确保遗失不会导致安全漏洞。” 官方声明称，所有遗失事件均按规程调查。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文