SpeedX泄露数亿条记录:客户住址与司机驾照曝光
发布时间 2026-05-295月27日,近期,研究团队发现美国最后一公里包裹递送公司SpeedX在网上泄露了数亿条记录,暴露了众多美国居民的个人数据。针对此事,SpeedX回应称,对Azure Blob配置的审查仅发现“容器元数据响应有限”,但并未发现任何恶意活动。公司强调,调查没有发现未经授权访问敏感客户数据的证据,也没有发现任何安全漏洞,认为这只是一个存储配置问题而非数据泄露,并声称访问对象仍需了解具体路径,不等于不受限制的公开访问。然而,研究人员反驳称,任何人只需知道存储桶名称就能访问超过8.4亿个文件,无需任何具体路径信息。泄露的Azure存储桶包含11个前缀,文件数量从几个到近6.2亿个不等。最大的数据库包含6.18亿个文件,主要是包裹和运输标签的照片,揭示了收件人信息。另一个超过2.2亿条记录的前缀包含货运标签PDF文件,记录了包裹的运输阶段及最终目的地数据,其中部分标签属于加拿大快递公司Raven Force Couriers,可能是SpeedX的合作伙伴。另有380万条记录披露了交付批次报告,泄露了跟踪号码、处理设施地址及收件人个人信息。最令人担忧的是,研究人员还发现了近10.5万条记录,包含司机驾照照片和SpeedX应用凭证截图,很可能是司机提交的资格确认信息。
https://cybernews.com/security/speedx-delivery-data-leak-840-million-exposed/
2. 俄黑客组织“GreyVibe”借AI开展网络间谍活动
5月28日,一个名为GreyVibe的疑似俄罗斯威胁组织自2025年8月以来,利用人工智能生成的诱饵和一套定制恶意软件工具,针对军事、政府、民间及商业实体展开了持续的网络间谍活动。尽管该组织的行为与俄罗斯国家利益高度契合,但网络安全公司WithSecure表示,尚无法确定性地将其归类为国家行为。GreyVibe设计了多种攻击链,其中包括PhantomMail:通过伪装成乌克兰政府、应急、电信和能源机构的钓鱼邮件,利用Google Drive和4sync链接传播恶意压缩包;PhantomClick:伪造Zoom和LAPAS网站的CAPTCHA页面,诱导用户执行自感染命令;PrincessClub:设立虚假交友网站,传播FallSpy安卓间谍软件和PhantomRelay、LegionRelay等Windows恶意软件;DroneLink:以FPV无人机为主题的虚假慈善网站,与PrincessClub共享基础设施;Nebo:伪造俄罗斯军事通信登录页面,企图欺骗乌克兰军方人员。这些诱饵内容逼真,得益于对ChatGPT、Ideogram AI和Google Gemini等AI工具的广泛应用。
https://www.bleepingcomputer.com/news/security/greyvibe-hackers-use-chatgpt-gemini-to-power-cyberattacks/
3. 美军事位置数据泄露,五角大楼被批应对迟缓
5月28日,一份最新披露的美国国防部文件显示,外国对手已成功利用从商业数据经纪人处购买的地理位置信息,对驻中东美军人员进行定位和监视。尽管这一问题至少从2016年起就已向军方领导层汇报,但五角大楼被指行动迟缓,未能有效保护军人隐私与行动安全。参议员罗恩·怀登与众议员帕特·哈里根等十余名国会议员近日联名致信国防部首席信息官,要求各军种紧急调整智能手机安全策略。信中指出,美国中央司令部已收到多起威胁报告,确认敌方利用商业位置数据针对战区内美军人员。这些数据的来源与普通商业买家相同,即智能手机广告资料。更令人担忧的是,军方并未禁止作战区域内的军人使用个人设备,也没有政策要求他们在活跃战区关闭地理位置功能。国防部虽发布了相关风险指南,但承认指南并不总能完全禁用定位服务。即便是国防部配发的智能手机,也未禁用广告配置文件。国防部表示正在迁移新的移动设备管理解决方案,以便完全禁用定位服务,但计划于5月初完成的迁移是否落实仍不明朗。与此同时,陆军却在推进更广泛的自带设备政策,使问题更加复杂。
https://www.theregister.com/security/2026/05/28/troops-phones-leaked-location-data-to-foreign-adversaries/5248108
4. 嘉年华邮轮遭网络攻击,近600万客户数据泄露
5月28日,嘉年华邮轮公司近日通报了一起大规模数据泄露事件,受影响总人数高达5,995,277人。据该公司向缅因州总检察长办公室提交的通知,攻击者于2026年4月14日利用社交工程手段成功入侵一名员工账户,随后访问内部系统并窃取了包含客户数据的文件。公司IT安全团队当天发现异常活动后迅速阻止入侵,并立即与第三方安全专家合作展开调查。调查证实,攻击者获取的个人信息可能包括姓名、地址、电子邮件地址、电话号码、出生日期,以及护照和驾驶执照号码等政府身份证件信息。嘉年华于2026年5月27日开始通知受影响个人,并为符合条件的美国客户提供为期两年的免费TransUnion信用监控服务。公司表示,事件发生后已改进安全和监控系统,并将继续加强数据保护措施,同时敦促客户密切关注银行账户和信用报告,如发现可疑活动应立即报警。今年4月,知名网络犯罪组织ShinyHunters声称对此次攻击及870万条记录被盗负责。
https://securityaffairs.com/192833/uncategorized/carnival-data-breach-exposes-personal-data-of-nearly-6-million-customers.html
5. 2026年世界杯临近,FBI警告虚假票务网站激增
5月28日,美国联邦调查局近日发布警告称,在2026年世界杯开赛前,大量虚假网站冒充国际足联,以出售假门票和招待套餐为名,窃取个人及财务信息。本届世界杯将于6月11日至7月19日在美国、加拿大和墨西哥举行,网络犯罪分子已为此准备了数百个钓鱼网站。这些虚假域名模仿官方fifa.com,通过细微拼写更改如fiffa[.]com,或使用.org、.xyz、.live、.sale等替代顶级域名,以及虚假招聘门户如“jobs-fifa[.]com”等,诱骗用户上钩。FBI指出,许多欺诈网站会收集访问者的姓名、地址、电子邮件、电话号码及银行支付信息,这些数据可用于身份盗窃和金融诈骗。网络安全公司Bitdefender发现,自2月份起,针对英国、葡萄牙、美国、加拿大、墨西哥等多国用户的欺诈活动激增,涉及假冒商品、球衣、流媒体服务等。为帮助球迷规避风险,FBI建议:手动在浏览器输入fifa.com,避免使用付费搜索广告或启用广告拦截器;确认网址以.com结尾;使用书签访问官方页面;不点击私信中的可疑链接;未经验证的网站绝不输入敏感数据。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-fifa-websites-running-world-cup-fraud-schemes/
6. 黑客利用FortiClient漏洞传播EKZ窃密程序
5月28日,黑客正在利用FortiClient企业管理服务器中的一个身份验证绕过漏洞(CVE-2026-35616),传播一种名为EKZ的未公开凭据窃取程序。攻击者将恶意软件伪装成Fortinet端点更新,并通过FortiClient管理的VPN脚本工作流执行。该漏洞属于不当访问控制缺陷,允许未经身份验证的远程攻击者通过精心构造的请求执行任意代码或命令。Fortinet于4月初确认漏洞存在,并发布了7.4.5和7.4.6版本的热修复程序。本月初,Arctic Wolf公司发现攻击者利用该漏洞传播EKZ恶意软件。入侵始于滥用端点API,在未经身份验证的情况下执行管理操作。攻击者随后修改EMS配置和VPN策略以执行恶意脚本。终端与FortiGate防火墙建立IPsec隧道后,合法的fortitray.exe进程通过命令提示符启动恶意批处理脚本,执行base64编码的PowerShell载荷,下载并运行伪装成Fortinet补丁的恶意软件,再通过HTTP将数据泄露至攻击者控制的VPS。EKZ信息窃取程序功能典型,同时针对Chromium和Firefox浏览器,将存储的数据提取到文本文件,绕过加密密码保护,目标包括凭据、信用卡信息、地址、电话号码和cookie,攻击者可借此访问受多因素认证保护的账户。
https://www.bleepingcomputer.com/news/security/hackers-exploit-forticlient-ems-flaw-to-push-infostealer-malware/
京公网安备11010802024551号