Flickr因第三方服务漏洞致用户数据泄露
发布时间 2026-02-091. Flickr因第三方服务漏洞致用户数据泄露
2月9日,作为SmugMug旗下拥有超1亿注册用户、数百万活跃摄影师的照片分享平台,Flickr于2026年2月5日发现其第三方电子邮件服务提供商存在系统漏洞,可能造成部分用户个人信息遭未经授权访问。据官方通报,此次事件可能泄露的信息包括用户姓名、电子邮箱地址、IP地址及账户活动记录,但未涉及密码、支付数据等敏感信息。Flickr在获悉漏洞后数小时内即关闭受影响系统,切断与存在漏洞的第三方端点的连接,并同步启动全面安全审查。尽管Flickr未披露涉事服务提供商具体身份及受影响用户规模,但已采取多项应急措施:立即通知第三方服务商开展深度调查,强化对第三方服务的管控流程,同时向相关数据保护机构报备事件详情。平台方强调,已通过删除存在漏洞的端点链接、实施系统架构加固等方式提升安全防护等级,并承诺将持续监控第三方服务提供商的合规性。
https://securityaffairs.com/187753/data-breach/flickr-moves-to-contain-data-exposure-warns-users-of-phishing.html
2. 思科Talos曝光DKnife:中文用户Linux网关攻击框架
2月8日,思科Talos于近期披露名为“DKnife”的Linux恶意工具包,该工具由七个基于Linux的植入程序组成,专为路由器和边缘设备设计,可执行深度包检测、流量操纵及恶意软件传播。据报告,DKnife自2019年起被使用,其C2服务器至2026年1月仍活跃,主要针对中文用户,通过劫持软件下载、安卓应用更新(如微信、中国出租车/网约车应用)传播ShadowPad和DarkNimbus后门,窃取中国服务凭证及热门应用数据。技术层面,DKnife支持中间人攻击(AitM),可拦截Windows、Android更新及二进制文件下载,将合法请求重定向至恶意服务器,替换为含ShadowPad/DarkNimbus的安装程序。其加密规则采用QQ TEA密钥解密,使用后自动删除。该工具还具备流量检测模块,可识别并干扰360安全软件、腾讯服务等安全产品的通信,通过伪造TCP RST数据包阻断流量,降低受害者设备防护能力。
https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
3. BridgePay支付网关遭勒索软件攻击致全国服务中断
2月6日,美国大型支付网关提供商BridgePay Network Solutions遭遇勒索软件攻击,导致其核心支付系统全国性瘫痪,引发大规模服务中断。事件始于周五凌晨,监控系统率先发现“Gateway.Itstgate.com - 虚拟终端、报告、API”等关键服务性能下降,随后多个核心生产系统(如BridgePay网关API、PayGuardian云API、MyBridgePay虚拟终端、托管支付页面及PathwayLink门户)出现间歇性降级,最终演变为全面瘫痪。BridgePay在当日晚些时候证实,此次中断由勒索软件攻击引发,并已联合联邦调查局、美国特勤局及外部取证团队展开调查。公司强调,初步取证显示无支付卡数据泄露,被访问文件均已加密,目前“无证据表明存在可用数据泄露”。然而,勒索软件攻击已造成严重现实影响,全国多地商家因银行卡处理系统故障被迫仅接受现金支付,佛罗里达州棕榈湾市政府在线账单支付门户瘫痪,建议市民通过现金、银行卡或支票现场支付,部分机构甚至需电话支付。Lightspeed Commerce、ThriftTrac及德克萨斯州弗里斯科市等其他组织亦报告服务受影响。
https://www.bleepingcomputer.com/news/security/payments-platform-bridgepay-confirms-ransomware-attack-behind-outage/
4. CISA将React Native及SmarterMail漏洞添至KEV目录
2月6日,美国网络安全和基础设施安全局(CISA)近日将SmarterTools SmarterMail和React Native Community CLI的两个高危漏洞CVE-2025-11953与CVE-2026-24423添加至已知可利用漏洞(KEV)目录,并要求联邦机构在2026年2月26日前完成修复。CVE-2025-11953是React Native Community CLI的Metro开发服务器存在的操作系统命令注入漏洞。该服务器默认绑定外部接口,暴露易受攻击的端点,未经认证的攻击者可发送POST请求在Windows系统上执行任意命令,甚至运行完全可控的shell脚本。VulnCheck研究显示,该漏洞自2025年12月起已被持续利用,攻击者通过多阶段Base64编码的PowerShell加载器禁用安全软件、下载并执行恶意二进制文件。CVE-2026-24423是SmarterTools SmarterMail(9511版本前)的ConnectToHub API方法中存在的未认证远程代码执行漏洞,CVSS评分高达9.3。攻击者可引导SmarterMail连接恶意HTTP服务器,触发恶意命令执行。该漏洞由多团队联合报告,SmarterTools已在Build 9511版本中修复。
https://securityaffairs.com/187675/security/u-s-cisa-adds-smartertools-smartermail-and-react-native-community-cli-flaws-to-its-known-exploited-vulnerabilities-catalog.html
5. 英国建筑公司遭Prometei僵尸网络攻击
2月8日,一家英国建筑公司在其Windows服务器上发现名为"数字地狱租户"的隐蔽入侵者。经eSentire威胁响应部门(TRU)鉴定,入侵者为与俄罗斯关联的Prometei僵尸网络,自2016年起持续活跃的恶意程序,其核心功能虽为挖掘门罗币加密货币,但TRU研究证实其同样擅长密码窃取与远程控制系统。该攻击的显著特征在于低技术门槛:攻击者仅通过猜测弱密码或默认密码,便利用远程桌面协议(RDP)轻松获取系统访问权限,印证了"弱密码如敞门"的安全警示。Prometei实为完整工具包,安装后运行UPlugPlay服务并创建sqhost.exe文件,确保开机自启。其初始有效载荷zsvc.exe从Primesoftex Ltd.关联服务器下载,经高度加密伪装,具备隐蔽性。为规避检测,该恶意软件采用双重策略:一方面通过Windows内置工具收集计算机名称与技术细节,部署Mimikatz(标记为miWalk)窃取网络密码,并利用TOR匿名网络路由流量;另一方面实施"沙箱绕过",若无法找到mshlpda32.dll解包文件,则执行虚假系统任务伪装无害行为。
https://hackread.com/uk-construction-firm-prometei-botnet-windows-server/
6. “影子行动”揭秘:国家支持组织渗透多国关键设施
2月7日,由国家支持的威胁组织TGR-STA-1030/UNC6619发起的“影子行动”已在全球范围内展开大规模网络攻击,渗透37个国家的70余个政府及关键基础设施实体。据Palo Alto Networks Unit 42部门披露,该组织自2024年1月起活跃于亚洲,其攻击目标涵盖政府、执法、边境管制、能源、金融、外交等战略领域,包括美洲贸易政策机构、欧洲多国议会、澳大利亚财政部及台湾电力设备供应商等。攻击手段呈现高度定制化与多维度特征。早期通过钓鱼邮件投递含本地化名称的恶意压缩文件,利用Mega.nz存储服务诱导目标下载,结合环境检查规避沙箱检测,并加载Cobalt Strike及VShell框架实施命令控制。组织还利用15个已知漏洞获取初始访问权限,并部署定制Linux rootkit“ShadowGuard”,该工具基于eBPF内核技术,可隐藏最多32个PID及“swsecret”文件,通过系统调用拦截逃避监控,同时允许操作者定义可见进程以混淆调查。
https://www.bleepingcomputer.com/news/security/state-actor-targets-155-countries-in-shadow-campaigns-espionage-op/
京公网安备11010802024551号