/
嘉年华邮轮遭遇数据泄露,750万封邮件地址外泄
全球最大邮轮公司嘉年华集团陷入数据泄露危机。据"我是否被黑客攻击"(HIBP)平台披露,约750万个独立邮箱地址疑遭泄露,涉及其子公司荷美邮轮旗下的"Mariner Society"忠诚度计划,泄露数据包含姓名、生日、性别及会员信息。黑客组织ShinyHunters声称还窃取了"数TB企业内部数据",而嘉年华方面仅承认发生了针对单一账户的网络钓鱼事件,目前尚未回应媒体追问。
Lovable平台否认数据泄露,却将责任推给HackerOne
AI编程平台Lovable被安全研究人员披露存在严重漏洞,任何免费账户均可访问其他用户的源代码、数据库凭证及聊天记录。该公司起初将问题归因于"设计行为"和"文档不清晰",后又将责任推给漏洞赏金合作方HackerOne。据悉,该漏洞源于对象级授权缺陷(BOLA),研究人员仅需5次API调用即可获取他人数据。Lovable估值高达66亿美元,Uber、Zendesk等企业均为其用户。
爱立信供应商遭语音钓鱼攻击致上万用户数据泄露
爱立信一家服务供应商遭遇语音钓鱼攻击,导致超过1.5万人的个人信息泄露。攻击者通过电话社工手段诱骗员工交出系统访问权限。事件发生在2025年4月,但爱立信直到同年11月才得知此事。泄露数据可能包括姓名、社会保险号码、驾照号码、银行账户信息和医疗信息等敏感数据。爱立信表示目前未发现被盗信息遭到滥用,已为受影响人员提供12个月信用监控服务。
数千个Google云API密钥泄露,可被滥用访问Gemini服务
研究发现近3000个谷歌API密钥嵌入在客户端代码中,当用户在谷歌云项目中启用Gemini API时,现有API密钥会意外获得Gemini端点访问权限。攻击者可利用这些密钥访问上传文件、缓存数据,并产生大量费用。谷歌已实施主动措施检测和阻止泄露的API密钥访问Gemini API,建议用户检查并轮换公开的API密钥。
新研究:64%第三方应用无业务理由访问敏感数据
最新研究分析4700个主流网站发现,64%的第三方应用在没有业务需求的情况下访问敏感数据,较2024年的51%大幅上升。政府部门恶意活动从2%激增至12.9%,七分之一的教育网站显示被入侵迹象。主要违规者包括Google标签管理器、Shopify和Facebook像素等。尽管81%安全负责人将网络攻击列为重点,但仅39%部署了相应解决方案,凸显出治理缺失问题。
Mixpanel数据泄露事件波及部分OpenAI API用户账户信息
数据分析提供商Mixpanel遭遇安全漏洞,导致OpenAI部分API用户账户信息泄露。黑客通过短信钓鱼攻击入侵Mixpanel内部系统,获取了用户姓名、邮箱地址、位置信息及技术数据。OpenAI表示支付详情和API提示内容未受影响,用户无需重置密码,但需警惕钓鱼攻击。作为应对措施,OpenAI已移除Mixpanel服务并计划对供应商实施更严格的网络安全要求。
京公网安备 11010802021500号
