🔥 戴尔(Dell)确认 4900 万客户数据泄露
戴尔公司今日向客户发送邮件,证实其系统遭到入侵,涉及约 4900 万名购买过戴尔产品的客户信息。
泄露内容:包括客户姓名、收货地址、订单明细(型号、服务标签、购买日期)及保修信息。
黑客声明:一名化名为”Menelik”的黑客声称通过一个针对戴尔合作伙伴的专用API,在三周内发送了数百万次请求,未触发任何限流保护。
—
🍎 Apple 发布紧急补丁:修复 M4 芯片初期的内核级漏洞
随着搭载 M4 芯片的设备全面上市,苹果今日紧急推送了 iOS 19.5/macOS 16.2 更新,修复了一个已被野外利用的零日漏洞。
细节:该漏洞允许恶意应用程序通过特定的内存映射操作,绕过芯片层面的”受保护指针”机制。
背景:这对使用 M4 Mac 的专业人士(如媒体从业者)具有极高的预警价值,建议立即升级以防本地提权攻击。
—
🚇 ZEEKO 组织:针对公共交通支付系统的”勒索+篡改”
一个名为 ZEEKO 的新型黑客组织今日锁定了欧洲三个主要城市的地铁支付系统。
独特战术:除了加密服务器要求赎金外,他们还远程篡改了 NFC 闸机的逻辑,导致持有特定加密货币钱包的用户可以”免费乘车”。
目的:这种行为被视为一种极端的”激进主义黑客(Hacktivism)”,旨在通过社会混乱向政府施压。
—
⭐ GitHub 警告:恶意”星标(Stars)”工厂正掩护供应链攻击
GitHub 官方安全博客今日发布预警,监测到大量虚假的”高星”仓库正在分发被污染的 Python (PyPI) 包。
手段:黑客利用 AI 机器人为恶意仓库刷取数千个 Star,使其看起来像是受社区信赖的开源项目,随后通过这些项目引入具有”字符级隐写”功能的后门脚本。
—
⚖️ 美国法院行政办公室 (AO) 确认电子案件档案遭到入侵
美国法院行政办公室今日正式确认,其高度机密的电子案件立案系统 (CM/ECF) 遭到攻击,部分未公开的法律文件(如封存的起诉书、搜索令申请)可能已外泄。
影响:这可能导致正在进行的重大刑事调查、证人保护计划以及国家安全敏感案件的信息暴露。
—
🤖 “Agentic Poisoning”:首个针对 AI 招聘代理的对抗性攻击
安全研究机构披露了一种新型攻击手法,专门针对大型企业的 AI 自动招聘代理。
原理:黑客在简历文件的”隐形层”(白色背景白色文字)中写入特定的 Prompt 指令,诱导 AI 代理不仅给予申请者最高分,还试图让 AI 代理在处理该文件时将其本地内存中的其他应聘者 PII 数据发送至外部邮箱。
—
🏭 施耐德电气 (Schneider Electric) 修复 Modbus 控制器高危漏洞
施耐德今日为其 Modicon M580 和 M340 系列控制器发布了紧急固件更新。
风险:漏洞允许远程攻击者通过构造异常的 Modbus TCP 数据包,导致控制器进入无限循环并停止工作。
预警:这种针对关键工业协议的攻击在当前地缘政治背景下极其敏感。
—
📡 日本电信巨头 KDDI 遭遇”路径分流”攻击导致数百万用户掉线
KDDI 今日下午发生大规模网络故障,初步调查指向一次复杂的 BGP(边界网关协议)路径劫持。
现状:攻击者通过错误宣告 IP 地址段,将 KDDI 的大量内部管理流量重定向至第三方服务器,导致核心网认证失败。
