# 数据泄露
美国一名匿名举报人向社会保障署监察长办公室提交报告,指控一名前“政府效率部”(DOGE)雇员将包含数百万美国人敏感信息的社保数据拷贝至U盘,并带往新雇主处。该员工还向前同事炫耀仍拥有“神级访问权限”,并声称若行为违法将获得总统特赦。该事件正在由社保署监察长办公室调查,若属实,可能构成美国历史上最大规模的数据泄露事件。此前已有举报称DOGE在云端创建了社保数据的实时副本,绕过监管。国会委员会调查报告指出,DOGE的数据管理方式已使美国公民面临重大风险,甚至可能导致全体公民需更换社保号码。
伊朗关联黑客组织Handala宣称对美国医疗科技公司史赛克(Stryker)发动网络攻击,称其行为是对美国近期轰炸德黑兰米纳布女子学校及对伊朗基础设施持续网络攻击的报复。据称,超过20万台系统、服务器和移动设备被清除数据,50TB关键数据被窃取,史赛克在79个国家的办公室被迫关闭。该公司确认全球Windows系统遭受严重影响,正紧急恢复服务。美国网络安全与基础设施安全局(CISA)暂未回应。该组织自哈马斯10月7日袭击以色列后活跃,主要针对以色列民用基础设施、海湾能源企业和西方组织,使用擦除恶意软件、钓鱼攻击及数据泄露等手段,强调意识形态驱动并瞄准医疗、能源等关键领域。
据《华盛顿邮报》报道,一名前埃隆·马斯克领导的政府效率部门(DOGE)软件工程师涉嫌窃取美国社会保障局(SSA)的个人数据,并将其存储在U盘中。该员工曾声称掌握“Numident”和“主死亡文件”两大受限数据库,涵盖超5亿美国公民的社保号、出生信息、国籍、种族及父母姓名等敏感数据。举报人称其曾拥有“上帝级”系统访问权限。SSA监察长办公室已介入调查。此前,DOGE成员被指非法访问社保数据以协助推翻选举结果,并曾将数亿社保记录上传至脆弱云服务器,引发多起安全争议。该事件凸显DOGE在SSA内部活动的透明度与数据安全风险问题。
随着AI自主助手如OpenClaw的普及,其带来的安全风险正引发全球关注。该类工具可访问用户全部数字资产,实现自动化任务执行,但配置不当或暴露于互联网可能导致数据泄露、权限滥用及供应链攻击。Meta安全负责人Summer Yue亲历AI助手误删邮箱事件,而安全专家Jamieson O’Reilly发现数百个OpenClaw实例暴露于公网,攻击者可窃取凭证、操纵通信。此外,AI助手被用于发起全球性网络攻击,如俄罗斯黑客利用AI服务攻陷600余台FortiGate设备。专家警告,AI助手已成为新型攻击面,需建立“AI脆弱性”防御体系,避免“致命三重威胁”——私有数据、非信任内容与外部通信能力...
一名资深信息安全专家伪装成AI机器人潜入社交平台Moltbook,发现该平台存在严重安全漏洞。研究者在平台上尝试与AI机器人互动时遭遇大量垃圾信息,部分机器人试图索要加密货币钱包、推广机器人市场或诱导执行危险命令。部分机器人泄露了用户个人隐私信息,包括姓名、兴趣爱好及设备配置,存在隐私泄露风险。此外,平台数据库遭泄露,包含机器人API密钥及私密对话内容。研究者还发现平台广告的技能库中存在恶意软件。该事件凸显AI社交网络在安全与隐私保护方面的薄弱环节。
美国健康科技公司三泽托(TriZetto)确认,超过340万用户的个人及健康信息在2024年遭受网络攻击后被盗,该公司直至2025年10月2日才发现该漏洞,而黑客实际早在2024年11月已获取系统访问权限。被盗数据包括姓名、出生日期、家庭住址、社会安全号码及医疗与保险信息。三泽托隶属于跨国集团认知公司(Cognizant),服务美国87.5万家医疗机构,覆盖约2亿用户。此次事件是继2024年变更医疗(Change Healthcare)遭勒索软件攻击导致1.92亿患者文件泄露后,又一重大健康科技数据泄露事件。部分医疗机构如OCHIN及加州多家医疗机构已确认数据受影响。三泽托表示并非所有客...
美国联邦调查局(FBI)、欧洲刑警组织(Europol)及其他14国执法机构于2026年3月3日至4日联合行动,成功关闭了全球知名网络犯罪论坛LeakBase。该平台拥有超过14.2万名成员和21.5万条消息,是黑客买卖被盗数据和网络犯罪工具的重要场所。执法部门已查封用户账户、帖子、信用卡信息、私信及IP日志,用于取证。行动中,美国、澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙和英国等地执行了搜查令并实施逮捕。此次行动旨在打击跨国网络犯罪,遏制敏感个人信息、银行凭证等被盗数据的非法交易。尽管未明确提及加密货币相关账户,但此前类似平台Raidforums曾泄露加密钱包公司Ledger的...
美国与欧洲执法机构于2026年3月4日联合行动,查封了名为LeakBase的黑客论坛,该网站被指控为全球最大的网络犯罪分子交易平台之一,用于分享被盗密码和黑客工具。该网站自2021年运营,拥有超过14.2万名成员及21.5万条内部消息,其数据库存有数亿条账户凭证、信用卡信息及银行账户数据。执法部门在全球范围内采取约100项行动,针对37名主要用户,并逮捕13人,搜查33名嫌疑人。FBI已接管该网站域名,其内容、私信及IP日志均被保留以供调查。
美国网络安全与基础设施安全局(CISA)在特朗普政府领导下经历重大预算削减、裁员及休假风波后,于2026年2月28日更换其代理局长马杜·戈图穆卡拉。戈图穆卡拉任职期间因将政府机密文件上传至ChatGPT、裁员三分之一、未能通过反间谍测谎而引发争议。其领导期间还导致多名高级官员被停职,包括首席安全官和首席信息官鲍勃·科斯特洛。科斯特洛原计划被调离,但遭其他政治任命官员阻挠。此次人事调整反映出CISA当前面临严重治理与信任危机。
美国国会联合经济委员会(JEC)民主党成员发布少数派报告,指出四起重大数据经纪商数据泄露事件导致消费者身份盗窃损失超209亿美元。调查涉及Comscore、Findem、IQVIA Digital、Telesign和6Sense Insights五家公司,发现部分企业使用“no index”代码隐藏隐私退出页面,妨碍用户保护个人信息。其中Findem未回应调查,且未移除相关代码,其2024年披露显示仅处理20%的隐私请求。报告分析了Equifax(2017)、Exactis(2018)、National Public Data(2023)和TransUnion(2025)四起事件,受影响...
一名软件工程师在开发遥控应用时,意外发现通过AI辅助逆向工程获取了DJI扫地机器人云端服务器的访问权限,进而可访问近7000台分布在24国的设备实时摄像头、麦克风、地图及状态数据。该安全漏洞经曝光后,DJI于2月8日和10日分两阶段完成修复。事件凸显物联网设备安全风险,引发国际关注。
网络安全专家确认,谷歌应用商店存在大量未经认证AI应用,已导致全球数十亿用户数据外泄。其中“视频AI艺术生成器”和IDMerit两款应用分别泄露超12TB媒体文件及1TB身份信息,涉及25国用户。72%的分析应用存在硬编码密钥等安全隐患。
美国时间2025年12月12日,PayPal披露其贷款平台因软件错误导致用户社会安全号码等敏感信息暴露长达6个月。该公司称已修复漏洞并立即通知受影响用户。
美国教育服务公司VentureEd运营的Ravenna Hub平台现安全漏洞,数百万学生及家长个人信息面临泄露风险。该漏洞属于常见IDOR类型,攻击者可通过修改URL数字访问他人数据,问题已在披露后当日修复。
日本性玩具公司Tenga确认其员工邮箱遭黑客入侵,约600名美国客户信息可能泄露,包括姓名、邮箱及历史邮件内容。
意大利内政部Digos部门确认发生数据泄露事件,疑似中国黑客入侵系统并获取特工信息。官方称攻击者意图绘制意大利境内异见人士的分布图,已启动刑事调查。事件引发对跨国网络安全合作的担忧。
网络安全公司UpGuard研究人员发现,德国云服务商Hetzner托管的数据库中包含约27亿条含美国社会安全号码的记录及30亿组电子邮件密码。尽管部分数据源自2015年泄露事件,但未被完全利用的敏感信息仍构成长期风险。Hetzner已确认数据被删除,但专家指出历史数据泄露事件的叠加效应将持续影响全球网络安全格局。
2026年2月18日,区块链借贷平台Figure证实发生数据泄露事件,据安全研究员分析,约96.7万客户信息遭黑客窃取,包含姓名、出生日期、住址及电话等敏感数据。黑客组织ShinyHunters声称对此负责,并在暗网公开2.5GB数据。
微软确认其Microsoft 365 Copilot工具自1月下旬起存在漏洞,导致AI助手绕过数据防泄漏政策,错误读取并摘要用户已发送邮件和草稿箱中的机密信息。
日本朝日集团控股有限公司18日公布2023年9月网络攻击事件调查结果,确认客户及员工姓名、电话号码等共计11.5万条个人信息已泄露。该公司表示正在强化防护系统并配合相关部门调查。