2025.09.02

美国政府一核心部门24名IT职员因攻击事件响应不力被集体


新闻速览

  • 公安部公布3起涉无人机飞控系统黑客犯罪典型案例

     

  • 美国政府一核心部门24名IT职员因攻击事件响应不力被集体解雇

     

  • Claude Opus 4.1 被指 “降智”,AI产品迭代难以平衡性能与质量

     

  • 谷歌遭黑客组织威胁泄露数据,要求解雇两名员工

     

  • 流行AI 笔记工具被控侵犯隐私,全球 2500 万用户数据安全引担忧

     

  • 微软签名驱动滥用或成为Silver Fox APT攻击的关键突破口

     

  • 知名轮胎制造商普利司通遭网络攻击,事件调查已启动

     

  • Google网页设计工具曝远程代码执行漏洞

     

  • Salesforce供应链攻击愈演愈烈,安全厂商Zscaler也中招了

     

  • iPhone 17或在多国取消实体 SIM 卡,欧盟成首批推广区域

     

  • 微软敦促OEM 厂商尽快修复 Windows 11 USB-C 通知问题

 

特别关注

公安部公布3起涉无人机飞控系统黑客犯罪典型案例

近年来,破解无人机禁飞、限高等限制进行的“黑飞”行为时有发生。针对无人机“黑飞”行为,特别是非法破解无人机飞行控制系统的黑客行为,全国公安网安部门始终保持高压严打态势,全面遏制非法活动扩散蔓延。日前,公安部公布3起非法破解无人机飞行控制系统黑客违法犯罪典型案例。

1)浙江衢州公安机关侦破陈某强非法破解无人机飞行控制系统案

 

浙江衢州公安网安部门查明,2020年2月以来,陈某强非法提供无人机禁飞破解服务,谋取非法利益。2024年6月,浙江衢州公安机关将陈某强抓获,查获作案电脑1台、无人机10余台,查明其非法破解无人机200余台,非法获利共计10万余元。

2)山东临沂公安机关侦破张某玲非法破解无人机飞行控制系统案

 

山东临沂公安网安部门查明,2023年1月以来,张某玲利用非法获取的无人机破解程序,破坏无人机飞行控制系统,谋取非法利益。2024年4月,山东临沂公安机关将张某玲抓获,查明其非法破解无人机10余台,非法获利共计6000余元。

3)四川成都公安机关侦破陈某平非法破解无人机飞行控制系统案

 

四川成都公安网安部门查明,2023年9月以来,陈某平多次向无人机生产公司谎报无人机丢失,利用有关服务条款漏洞获取新机后,将因报丢而被锁定的无人机的飞行控制系统进行非法破解并销售,谋取非法利益。2024年9月,四川成都公安机关将陈某平抓获,查明其非法破解无人机5台,非法获利共计3万余元。

 

公安部网安局提示,无人机飞行控制系统属计算机信息系统,正规企业生产销售的无人机自带飞行控制系统均限制特定区域起飞或限制飞行高度,对无人机所有者提供解除禁飞、限高等服务可能对国家安全、公共安全等造成侵害,属违法犯罪行为,公安机关将依法严厉打击。

 

参考链接:

https://mp.weixin.qq.com/s/h0B9meXBNtafsolz9D0-MA?scene=1&click_id=1

 

热点观察

美国政府一核心部门24名IT职员因攻击事件响应不力被集体解雇

据路透社报道,美国国土安全部新任部长克里斯蒂·诺姆(Kristi Noem)日前发表声明,公布了美国联邦紧急事务管理局(FEMA)近期发生的一起严重网络安全入侵事件,引发了广泛关注。该事件不仅暴露出美国政府在网络安全防护方面的不足,同时也直接导致24名相关的IT员工被解雇。

 

本次事件的核心是FEMA的办公系统遭入侵,尽管声明中未提供入侵的具体技术细节,如入侵方式、攻击者身份或具体漏洞,但强调了事件可能“威胁到整个部门以及整个国家”,并暗示可能涉及潜在的系统性风险。事件曝光后,诺姆直接下令解雇了FEMA IT部门的24名员工,并在声明中严厉批评这些员工玩忽职守,在日常安全运营及事件响应过程中存在“失败”、“疏忽”、“无能”和“不诚实”等问题,甚至在国土安全部介入调查后,仍然极力阻挠,急于掩盖自身失误而非保护国家机密数据安全,因此需要对事件的后果负责。

 

然而一些FEMA内部人士并不认同诺姆的说法,他们认为这些被解雇的员工“极其能干”且“备受尊敬”。这种相互矛盾的说法引发了此次解雇是否合理或出于政治动机的争论。此外,诺姆在声明中使用了“根深蒂固的官僚”等带有政治色彩的措辞也引起外界质疑。批评者认为,用此类措辞给政府公职人员贴标签开创了危险先例,可能使政府机构内部运营政治化。

 

参考链接:

https://thecyberexpress.com/noem-fires-fema-it-team-over-dhs-cybersecurity/

 

Claude Opus 4.1 被指 “降智”,AI产品迭代难以平衡性能与质量

近期,新发布的人工智能模型 Claude Opus 4.1 大量出现较严重的应用体验问题。大量用户反馈,该模型在处理请求时变得迟钝,出现较明显智能水平下降、输出结果格式错误以及 Claude Code 工具调用异常等状况。比如在文稿处理时逻辑混乱、错误频出,而这种质量下滑在凌晨又消失不见,引发诸多猜测,有观点认为或与白天采用 1.58 位量化有关,该量化虽减少内存使用,但严重影响模型精度,致使关键信息丢失 。

 

除性能问题外,Claude Opus 4.1 使用限制也遭用户诟病。有用户两小时内就达使用上限,客服回应却含糊不清,时而称时长限制,时而称使用量限制。甚至有用户反映模型会暴露 API 密钥。

 

Anthropic 官方迅速回应,承认是推理堆栈更新所致,本意是提升模型效率与吞吐量,却意外影响响应质量。目前,官方已对 Claude Opus 4.1 回滚更新。祸不单行,团队还发现 Claude Opus 4.0 也受此问题波及,同样在进行回滚处理 。此次事件不仅是技术挑战,更敲响了 AI 产品在迭代中平衡性能与质量的警钟。

 

参考链接:

https://mp.weixin.qq.com/s/IRD_K4OAuivBVsh59GfUQg?scene=1&click_id=2

 

谷歌遭黑客组织威胁泄露数据,要求解雇两名员工

近日,谷歌或因网络攻击事件而解雇了两名员工 Austin Larsen 与 Charles Carmakal 。这一举措与黑客组织 “Scattered LapSus Hunters” 发出的通牒紧密相关。该黑客联盟由 Scattered Spider、Lapsus、ShinyHunters 等臭名昭著的黑客团体成员构成。他们要求谷歌解雇上述两名员工,并停止网络探查活动,否则将公开所谓 “数据泄露” 内容。

 

此前,谷歌在 8 月遭遇企业 Salesforce 数据库泄露事件,尽管未波及 Gmail 或 Cloud 用户数据,仅涉及公开可见的企业联系信息,但随后谷歌仍发布全球安全警报,提醒 25 亿 Gmail 用户更新密码,以防范钓鱼攻击。

 

目前,并没有确凿证据表明黑客已成功访问谷歌核心数据库或窃取敏感信息,其威胁也尚未被证实。但黑客组织的施压以及谷歌的人员解雇行为,还是引发了外界对谷歌数据安全状况的高度关注 。此次事件不仅考验着谷歌应对外部黑客威胁的能力,也让人们对谷歌内部管理及员工与企业安全策略的关系产生诸多猜测。后续谷歌如何进一步应对黑客威胁、稳定用户信心,成为行业关注焦点 。

 

参考链接:
https://cybersecuritynews.com/google-fire-two-employees/

 

安全事件

流行AI 笔记工具被控侵犯隐私,全球 2500 万用户数据安全引担忧

2025 年 8 月,音频转录服务提供商 Otter.ai 面临一起隐私诉讼,原告 Justin Brewer 在加利福尼亚州北区法院提起诉讼,主张将其升级为集体诉讼,并已联系超 100 名潜在参与者。

 

诉讼核心指向 Otter 的 AI 笔记功能(Otter Notetaker),该功能可自动将 Google Meet、Zoom、Microsoft Teams 会议语音转为文字。Otter 隐私政策虽告知注册用户其语音可能用于 AI 训练,但未通知无 Otter 账户的会议嘉宾,也未获其同意。原告认为此举违反《电子通信隐私法》《计算机欺诈和滥用法案》及加州本地法律。

 

Otter.ai 提供语音转文字服务近 10 年,2020 年新增会议转录功能(仅付费用户可用),2025 年 3 月年经常性收入首超 1 亿美元,全球用户达 2500 万(较两年前翻倍),至今已转录超 10 亿场会议。但该服务默认开启会议转录及邀请功能,易导致不知情嘉宾语音被记录,且转录内容可能自动发送给所有参会者。此外,有媒体报道其可能与第三方共享数据,引发安全担忧,Otter.ai 回应称不会与外国政府或执法机构共享数据。

 

参考链接:

https://www.cpomagazine.com/data-protection/otter-privacy-lawsuit-accuses-ai-notetaker-of-training-on-guest-participants-in-company-meetings/

 

微软签名驱动滥用或成为Silver Fox APT攻击的关键突破口

近期,安全研究人员监测到高级持续性威胁(APT)组织 Silver Fox,通过滥用带有微软数字签名的驱动程序,成功部署 ValleyRAT 后门,对目标机构发起攻击。此次攻击中,Silver Fox 利用了微软签名驱动的信任属性 —— 这类驱动因经过微软验证,可绕过系统常规安全检测,成为其突破设备防护的关键跳板。

 

技术细节显示,Silver Fox 先获取合法微软签名驱动文件,通过篡改驱动代码植入恶意载荷,随后将篡改后的驱动与 ValleyRAT 后门捆绑分发。当目标设备运行该驱动时,ValleyRAT 会隐蔽加载,实现对设备的远程控制,进而窃取敏感数据、监控系统操作。ValleyRAT 具备进程注入、流量加密等特性,可躲避主流杀毒软件扫描,长期潜伏在受感染设备中。

 

目前,Silver Fox 的攻击目标主要集中在政府机构、能源及科技行业。安全专家建议,企业需加强对微软签名驱动的审计,禁用非必要签名驱动;同时更新终端安全软件规则,对驱动加载行为进行实时监控,防范类似利用信任凭证的攻击手段。

 

参考链接:
https://securityonline.info/silver-fox-apt-exploits-microsoft-signed-driver-to-deploy-valleyrat-backdoor/

 

知名轮胎制造商普利司通遭网络攻击,事件调查已启动

2025 年 9 月 1 日,Bridgestone Americas 官方证实,其部分设施遭遇网络攻击。目前,该公司已针对这一网络事件展开调查,相关情况正处于持续核实与推进中。

 

作为一家在美洲地区有重要业务布局的企业,Bridgestone Americas 此次部分设施受网络攻击,引发了行业对企业网络安全防护的关注。不过,截至目前,官方暂未披露此次网络攻击的具体技术手段,如是否涉及 ransomware(勒索软件)、phishing(钓鱼攻击)等常见攻击方式,也未公布受影响设施的具体数量、所在区域,以及攻击是否对生产运营、数据安全造成实质性影响,是否有核心业务数据泄露等关键信息。

 

参考链接:

https://www.wrdw.com/2025/09/01/local-company-investigating-cyber-incident/

 

Google网页设计工具曝远程代码执行漏洞

2025 年 9 月 1 日,安全研究员 Bálint Magyar 披露 Windows 版 Google Web Designer 存在严重客户端远程代码执行(RCE)漏洞,影响 16.4.0.0711 版本(2025 年 7 月 29 日发布)之前的所有版本,macOS 与 Linux 版因子进程处理机制不同暂不受影响。

 

该漏洞源于gwd_workspace.json文件的 CSS 注入问题。该文件color.customColorPalettes数组存储自定义调色板,渐变定义可绕过严格 sanitization,攻击者能在css字段插入任意 CSS 规则,触发 Chrome 内部ninja-shellAPI 请求。同时,//ninja-shell/api/browser的url参数未正确转义,攻击者可突破引号参数追加指令,借助 WebDAV 服务器托管payload.exe,通过 UNC 路径让 Windows 自动执行恶意程序。

 

成功攻击仅需用户打开恶意广告文档并在取色器中选择 “色板” 选项。目前,Google 已在 16.4.0.0711 及后续版本修复漏洞,建议用户立即更新。安全团队需审计gwd_workspace.json文件,排查异常url()或渐变规则,并限制网络文件共享访问。Google 漏洞奖励计划为此发现奖励 3500 美元。

 

参考链接:

https://cyberpress.org/google-web-designer-vulnerability-could-let-hackers-take-control-of-pcs/

 

Salesforce供应链攻击愈演愈烈,安全厂商Zscaler也中招了

2025 年 9 月 1 日,网络安全公司 Zscaler 披露数据泄露事件。攻击者借助 Salesloft Drift(一款集成 Salesforce 的 AI 聊天代理)的泄露凭证,入侵其 Salesforce 环境。此次泄露源于针对 Salesloft Drift 的大规模供应链攻击,威胁者窃取 OAuth和刷新令牌,进而非法访问 Salesforce 客户实例并窃取敏感信息。

 

泄露数据包括客户姓名、企业邮箱、职位、电话号码、地区信息、产品授权及商业细节,还有部分客户支持案例内容。不过 Zscaler 强调,仅 Salesforce 系统受影响,旗下产品、基础设施和服务未受波及,目前也未发现数据被滥用,但仍提醒客户警惕钓鱼或社会工程攻击。

 

Zscaler 已采取补救措施,包括撤销 Salesloft Drift 与 Salesforce 的所有集成、轮换 API 令牌,并加强客户支持通话中的身份验证。经调查,此次事件与威胁组织 UNC6395 及 ShinyHunters 相关,前者通过多种方式窃取数据,后者则以社会工程手段攻击,已影响谷歌、思科等多家企业。专家建议企业通过实施最小权限原则、扫描暴露密钥等方式防范 SaaS 供应链攻击。

 

参考链接:

https://www.linkedin.com/pulse/zscaler-confirms-data-breach-after-salesloft-drift-p6woe

 

产业动态

iPhone 17或在多国取消实体 SIM 卡,欧盟成首批推广区域

2025 年 9 月 1 日消息,苹果公司正为 iPhone 17 系列在更多国家取消实体 SIM 卡槽铺路,欧盟将成重点推进区域,此举符合其向更安全、灵活的 eSIM 技术转型的长期战略,该技术已率先在美国 iPhone 14 系列中应用。

 

据知情人士透露,苹果要求欧盟 27 国的授权经销商员工完成 eSIM 支持型 iPhone 培训,截止日期为 9 月 5 日,而苹果预计于 9 月 9 日 “惊艳” 活动上发布 iPhone 17 系列。这一时间安排暗示,在法、德、意、西等欧盟主要市场销售的部分 iPhone 17 机型,或将无实体 SIM 托盘,用户需采用 eSIM 技术 —— 无需实体 nano-SIM 卡,即可激活运营商移动套餐。

 

培训材料通过苹果全球员工使用的 SEED 应用分发,引发外界猜测其计划更广泛推广仅支持 eSIM 的 iPhone。eSIM 具备防丢失被盗后无法物理移除、便于切换运营商及单设备管理多个号码等优势。

 

传闻称,超轻薄的 “iPhone 17 Air” 或在全球范围仅支持 eSIM,以节省内部空间,甚至全系列机型可能在多国采用该方案。不过转型并非全球统一,中国因监管对 eSIM 阻力大且双实体 SIM 普及,大概率保留实体卡槽;印度等当前支持双 SIM 方案的地区,或推出部分仅支持 eSIM 的机型(如 iPhone 17 Air)。苹果具体计划将于下周官方发布会上揭晓。

 

参考链接:

https://cybersecuritynews.com/iphone-17-sim-card/

 

微软敦促OEM 厂商尽快修复 Windows 11 USB-C 通知问题

2025 年 9 月 1 日,微软向硬件合作伙伴发出呼吁,要求原始设备制造商(OEM)解决 Windows 11 中 USB-C 故障排除通知无法正常工作的配置问题。这些内置通知旨在识别并协助解决慢充电、连接故障、使用不支持配件等常见问题,以提升用户体验。

 

微软在近期技术更新中指出,用户无法看到这类通知,问题大概率源于 OEM 实施的不正确平台设置,而非 Windows 操作系统本身存在缺陷。核心问题出在高级配置与电源接口(ACPI)规范上,该规范是让操作系统与硬件组件通信和管理的标记语言。

 

微软发现 OEM在实施过程中存在多种常见错误,比如缺少或错误的 ACPI 描述符导致无法正确识别 USB-C 端口、误标端口类型(如将标准 USB-A 端口识别为 Type-C),以及混淆内部端口与外部可访问端口,进而抑制必要通知。为解决这些问题,微软为厂商制定了验证和测试协议,要求 OEM 使用 Windows 硬件实验室工具包(HLK)验证 USB 端口描述符,确保正确实施_UPC(USB 端口功能)和_PLD(设备物理位置)等特定 ACPI 方法。

 

参考链接:

https://cybersecuritynews.com/windows-11-usb-c-notification-issues/




上一篇:公有云安全产业生态的发展现状与挑战

下一篇:ChatGPT突发全球性宕机事故,或由前端系统异常导