📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
Mixpanel是一个数据分析提供商,OpenAI通过其分析API产品的前端界面。
这次事件发生在 Mixpanel 的系统中,涉及部分用户的 API 相关分析数据,其他如 ChatGPT 等产品的用户未受到影响。
这并不是 OpenAI 系统的安全漏洞。没有聊天记录、API 请求、API 使用数据、密码、凭据、API 密钥、支付信息或政府身份证被泄露或曝光。
❓发生了什么事?
2025年11月9日,Mixpanel发现攻击者未经授权访问其部分系统,并导出包含有限客户身份信息和分析信息的数据集。
Mixpanel通知OpenAI他们正在调查,并且在2025年11月25日,Mixpanel与OpenAI分享了受影响的数据集。
⁉️这对你意味着什么?
使用 platform.openai.com 的用户资料,可能被包含在从Mixpanel导出的数据中。
可能受到影响的信息仅限于:
- 提供给我们的 API 账户名称
- 与 API 账户关联的电子邮件地址
- 基于 API 用户浏览器的大致粗略位置(城市、州、国家)
- 用于访问 API 账户的操作系统和浏览器
- 来源网站
- 与 API 账户关联的组织或用户 ID
🤖OpenAI的回应:
作为我们安全调查的一部分,我们从生产服务中删除了Mixpanel,审查了受影响的数据集,并正在与Mixpanel和其他合作伙伴密切合作,以充分了解事件及其范围。
虽然我们没有发现Mixpanel环境之外的系统或数据有任何影响的证据,但我们继续密切监控任何滥用迹象。
❗️您应当牢记
此处可能受到影响的信息可能会被用于针对您或您所在组织的网络钓鱼或社会工程学攻击。
由于其中包含了姓名、电子邮件地址以及 OpenAI API 的元数据(例如用户 ID),我们提醒您要对看似可信的网络钓鱼尝试或垃圾邮件保持警惕。
在此提醒您:
- 对于意外收到的电子邮件或消息要谨慎对待,尤其是其中包含链接或附件的情况。
- 务必核实声称来自 OpenAI 的任何消息是否来自 OpenAI 的官方域名。
- OpenAI 不会通过电子邮件、短信或聊天请求密码、API 密钥或验证码。
- 通过启用多因素身份验证进一步保护您的账户。
据 Cybernews 的 Vilius Petkauskas 称,研究人员自年初以来一直在调查此次泄漏事件,“已发现 30 个暴露的数据集,每个数据集包含数量从数千万到超过 35 亿条记录不等。”
Petkauskas 确认,总体上,被泄露的记录数量现在已经达到了 160 亿被认为是历史上最大的密码泄漏事件。
Dispersive公司副总裁 Lawrence Pingree 说:“情报机构和威胁行为者都在暗网中使用这些列表并加以积累,有时会被多次重新打包,有时则是单独出售的。” 正如 Pingree 告诉我的那样,如果不检查整个数据集、去除重复数据以及将其与单独的泄漏数据集进行比较的话,很难判断这是否是重新打包的泄漏。
但是,Cybernews 的研究人员肯定没有重复的数据。
无论如何,正如 Pingree 所说,“160 亿条记录是一个庞大的数字”,而此类凭证数据“可以被滥用而且确实被滥用——这正是其价值所在。”
这些超过 160 亿的泄露数据,存放在几个巨大的数据集内,包括来自社交媒体、VPN、开发者门户和所有主要供应商的用户账户的数十亿登录凭证。
据称,这些数据集之前没有被报告过泄露,这些都是新的数据。
排名前十的最差密码仍然包括“password”和“secret”
大约六年过去了,自从虚拟私人网络公司 NordVPN 开始搜索数据泄露中使用最多的密码以来,事情还是跟公司刚开始时一样糟糕。
每年,该公司都会在暗网上搜索被恶意软件窃取或在安全漏洞中泄露的密码,以确定最常用的密码,而今年的结果仍然让人感到沮丧……
NordVPN 表示,他们分析了来自 44 个国家的 2.5TB 的凭证数据。
我们与 NordStellar 一起,审查和分析了一个从各种公开可用的来源(包括暗网上的来源)提取的 2.5TB 数据库。为进行这项研究,没有获取或购买个人数据。
我们将数据整理成不同类别,以便按来源国进行分析。也就是说,我们只关注统计信息,因此这项研究没有包含互联网用户的个人数据。
我们分析了被恶意软件窃取或在数据泄露中暴露的密码。在大多数情况下,这些密码是与电子邮件地址一起泄露的,这让我们能够通过域名区分公司和个人的凭证。
即使是列表排名来到第 200 个,它还是“letmein”…
微信消息和对话没有进行端到端加密,这意味着该应用的服务器可以解密并读取每条消息。 然而,根据一项新的研究,这款流行消息应用的用户可能需要担心,加密协议中存在的漏洞可能会使该服务受到攻击。
多伦多大学公民实验室最近进行的调查发现了微信自定义加密协议中潜在的安全漏洞。 出现这些弱点的原因是,月活跃用户超过 10 亿的微信开发人员修改了传输层安全 (TLS) 1.3 协议,创建了一个名为 MMTLS 的版本。
微信使用双层加密系统。 首先,被称为"业务层加密"的内层对明文内容进行加密。 加密后的内容在传输前使用 MMTLS 进一步加密。
虽然这种双层加密提供了一定的保护,但也发现了几个令人担忧的问题。 业务层加密无法保护敏感元数据,如用户 ID 和请求 URI。 此外,MMTLS 使用确定性初始化向量 (IV),这与现代加密的最佳实践相悖。 此外,加密缺乏前向保密性,而这正是长期安全性的关键特征。
2016 年之前,微信的网络请求仅依赖于业务层加密。 MMTLS 的引入似乎是为了解决之前系统的缺陷。
在某种程度上,这种做法是有效的。 在这项研究中,研究人员无法成功攻击微信的加密,因为易受攻击的业务层加密现在受到 MMTLS 层的保护。 在缺乏 MMTLS 的早期微信版本中,业务层加密是暴露的,可能会受到某些攻击。 MMTLS 的加入使内部加密层免受直接攻击,从而大大提高了微信的整体安全性。
不过,研究人员指出,微信的实施没有达到这种规模的应用程序应有的加密标准。 此外,研究人员发现的其他"小"问题在标准、未修改版本的 TLS 中也不存在。
研究人员还指出,在中国,安全开发人员的独特做法是创建自己的定制密码系统,而不是使用既定标准。 这些自制的解决方案通常无法与 TLS 1.3 或 QUIC 等广泛使用的协议相媲美。 公民实验室将此描述为"中国安全领域独有的一种日益增长、令人担忧的趋势"。
例如,一些中国应用程序采用自定义域名解析方法来对抗互联网服务提供商的 DNS 劫持。 此外,包括微信在内的许多中国应用程序使用腾讯火星等开源基础设施组件,而这些组件可能缺乏适当的文档和安全指导。
Citizen Lab 研究人员提出的主要建议是,微信母公司腾讯应采用标准 TLS 或 QUIC 和 TLS 的组合来增强应用程序的安全性,这也许并不令人意外。
消息称,美团用户的信用卡信息遭泄漏
部分绑定了国外银行发行的卡片的用户遭遇盗刷,如果你也绑定了外卡请及时解除绑定。
手机支付/银行快速绑卡/银联 似乎暂未受到影响
🗒 标签: #隐私 #数据泄漏
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
部分绑定了国外银行发行的卡片的用户遭遇盗刷,如果你也绑定了外卡请及时解除绑定。
手机支付/银行快速绑卡/银联 似乎暂未受到影响
根据《华尔街日报》查看的文件,迪士尼内部的 Slack 工作协作系统中的数据已经被泄露到网上,内容包括关于广告活动、工作室技术和面试候选人的讨论。
一个自称 Nullbulge 的匿名黑客组织在博客帖子中表示,他们公布了这家娱乐公司数千个 Slack 频道的数据,包括电脑代码和未发布项目的详情。Slack 在大型公司中被广泛用于关于战略计划的团队沟通。
该组织关于所取文件范围及其获取方式的说法暂时无法验证。《华尔街日报》查看的材料包括关于维护迪士尼公司网站的对话、软件开发、对求职者的评估、ESPN 内新兴领导者的计划以及员工狗狗的照片,这些数据至少可以追溯到 2019 年。
“迪士尼正在调查此事,”一位发言人说。
像 Ticketmaster 一样,AT&T 的数据显示被第三方云服务商偷走了。这些数据包括 2022 年六个月的通话记录。
AT&T 周五早上透露,一次网络攻击暴露了“几乎所有”用户的通话记录和短信,这些用户包括使用 AT&T 网络的虚拟运营商(如 Cricket、Boost Mobile 和 Consumer Cellular)的客户。这次泄露涉及 2022 年 5 月 1 日至 2022 年 10 月 31 日期间的数据,以及 2023 年 1 月 2 日“极少数”客户的记录。
AT&T 发言人 Alex Byers 向《The Verge》确认,威胁行为者通过公司在第三方云平台 Snowflake 的账户获取了信息,这类似于之前影响到 Ticketmaster 和桑坦德银行的数据泄露事件。AT&T 在四月份首次发现这一安全漏洞,但据 TechCrunch 报道,一位 FBI 发言人证实,“AT&T、FBI 和司法部曾两次同意推迟通知公众和客户,理由是‘可能对国家安全和/或公共安全构成风险’。”
被盗的数据包括客户互动的电话号码,Byers 告诉 The Verge,此次泄露还包括“那些通话/短信的次数以及特定天或月的通话总时长。”
如果有一种公司你绝对不希望看到它被黑客攻击,那就是拥有驾照等照片身份证件的身份验证服务公司——但是这似乎正是 AU10TIX 所发生的事情。
这家网络安全公司的过去或现在的客户包括 PayPal、Coinbase、X、TikTok、Uber、LinkedIn、Upwork 和 Fiverr..
据 404 Media 报道,AU10TIX 不小心泄露了其管理员凭证,这让黑客能够访问大量的个人数据。
根据 404 Media 获取的截图和数据,AU10TIX 在网上暴露了一组管理凭证长达一年多,这可能让黑客有机会访问那些敏感数据
这些凭证允许访问一个记录平台,而该平台包含了与上传身份证件的特定人员相关的数据链接,Hussein 展示道。可访问的信息包括这些人的姓名、出生日期、国籍、身份证号,以及上传的文件类型,比如驾照。接着的一个链接则包含了身份证件的图片,其中有些是美国驾照。
这些被泄露的凭证似乎属于公司的一位网络管理员。
404 Media 下载了这些凭证,发现这个名字与在 LinkedIn 上列出的 AU10TIX 网络运营中心经理的名字一致。文件中包含大量员工使用的密码和各种服务的认证令牌,包括 Salesforce 和 Okta 的工具,以及日志服务本身。
尽管已经接到问题警告,但公司还是没有立即封锁访问权限。
404 Media 首次联系 AU10TIX 进行评论是在 6 月 13 日。大约一周后,AU10TIX 表示:“你们提到的事件发生在 18 个月前。经过彻底调查,确定员工凭证当时被非法访问,并已立即撤销。”然而,Hussein 表示,该登录平台的凭证在本月仍然有效。当 404 Media 将此信息反馈给 AU10TIX 时,该公司表示将在凭证首次在 Telegram 上曝光一年多后停用相关系统。
公司声称没有个人数据被获取,但考虑到这些凭证是在大多数黑客使用的 Telegram 频道中共享的,并且已经使用了一年多,这说法似乎有些可疑。
一场数据泄露事件可能影响多达 5.6 亿个 Ticketmaster 账户,Santander 银行也确认受到了影响,这可能是由于对一家名为 Snowflake 的公司的云存储账户的攻击所致。据 Bleeping Computer 报道,网络安全公司 Hudson Rock 的调查显示,一名不法分子通过使用一名 Snowflake 员工的被盗凭证,获得了对 Ticketmaster 和 Santander 的访问权限。
根据 Hudson Rock 的说法,黑客使用这些凭证绕过了认证服务 Okta,然后生成会话令牌,从 Snowflake 获取了大量信息。除了 Ticketmaster(该公司在周五晚上公开承认了这一漏洞)和Santander 银行,Hudson Rock 还表示,黑客可能已经访问了数百个其他 Snowflake 客户。一些使用该云存储服务的主要品牌包括 AT&T、惠普、Instacart、DoorDash、NBCUniversal 和万事达卡。
据 Bleeping Computer 报道,参与此次事件的威胁行为者似乎是一个名为 ShinyHunters 的黑客组织,他们试图在暗网上以 50 万美元的价格出售 Ticketmaster 的数据。ShinyHunters 还声称对 Santander 的数据泄露事件负责,并将据称属于超过 3000 万客户的信息进行出售。
在上个月 超过 15,000 个 Roku 账户遭到黑客攻击 之后,该公司在周五表示,它发现了第二起安全事件,影响了额外的 576,000 个用户账户。
Roku 表示,它已经重置了所有受影响账户的密码,并且正在直接通知那些客户最新的事件。据该公司称,在不到 400 个案例中,“恶意行为者”利用这些账户中存储的支付方式未经授权购买了流媒体服务订阅和/或 Roku 硬件产品。Roku 表示,它正在为那些被盗用来进行非法购买的账户退款或撤销收费。
此外,Roku 表示,它已经为所有 Roku 账户启用了双因素认证(2FA),即使是那些没有受到最近事件影响的账户也不例外。结果是,下次用户尝试在线登录他们的 Roku 账户时,一个验证链接将被发送到与账户关联的电子邮件地址;然后 Roku 用户需要点击电子邮件中的链接,之后才能访问账户。
Roku公司透露,黑客通过一次安全漏洞获取了15,363个账户的访问权限以及储存的信用卡信息,这一消息最初由Bleeping Computer报道。Roku在发送给客户的通知中表示,黑客获取了登录信息,并尝试在“少数”情况下购买流媒体订阅服务。
Roku表示,黑客很可能通过之前第三方服务数据泄露事件获取了账户信息。这种攻击被称为“凭证填充”,黑客会获取在数据泄露中暴露的电子邮件和密码,然后尝试将这些组合用于其他服务。一旦他们成功进入一个账户,黑客就会更改一些账户的登录信息,从而完全控制这些账户。
如果账户里保存了信用卡信息,黑客还可以在Roku上为Netflix、Max、Paramount Plus、Hulu、Peacock、Disney Plus等服务购买订阅。《Bleeping Computer》还发现,黑客们在一个黑客市场上以每个账户大约50美分的价格出售这些偷来的信息。
幸运的是,这次Roku账户泄露并没有暴露社会保障号码、完整的支付账户号码或出生日期。Roku表示,他们已经通过要求受影响用户重置密码来“保护账户不再遭受未授权访问”。同时,他们也在努力取消并退款那些未经授权的购买。
康卡斯特旗下的Xfinity公司披露了一起数据泄露事件,黑客得以获取大量客户信息。
获得的Xfinity客户的数据“可能”包括用户名、散列密码、真实姓名、联系信息、出生日期、社会保险号的后四位数字以及安全问题和答案……
Xfinity表示,这些数据是通过上个月发现的思杰漏洞获得的。
2023年10月10日,思杰宣布Xfinity和全球数千家其他公司使用的软件存在漏洞。Citrix于2023年10月23日发布了额外的缓解指导。Xfinity迅速修补并缓解了其系统中的Citrix漏洞。然而,在10月25日的例行网络安全演习中,Xfinity发现了可疑活动,并随后确定,在2023年10月16日至10月19日期间,未经授权访问其内部系统,这是该漏洞的结果。
Xfinity通知了联邦执法部门,并对事件的性质和范围展开了调查。11月16日,Xfinity确定这些信息可能是被获取的。在对受影响的系统和数据进行了进一步审查后,Xfinity于2023年12月6日得出结论,范围内的客户信息包括用户名和散列密码;对于某些客户,可能还包含其他信息,例如姓名、联系信息、社会安全号码的最后四位数字、出生日期和/或秘密问题和答案。然而,数据分析仍在继续。
三星引入ChatGPT不到20天就出事 半导体机密恐已外泄
据韩国媒体报道,三星电子引入ChatGPT不到20天,近日便曝出机密资料外泄的给意外事故,涉及半导体设备测量资料、产品良率等内容,传已经被存入ChatGPT的数据库中。总共有3起事故涉及ChatGPT,2个跟半导体设备有关,1个跟会议内容有关。
设计芯片设备的例子中,三星DS设备解决方案部门的员工在操作半导体测试设备下载软件的过程中,发现复制有问题,他就把有问题的代码复制到ChatGPT中寻找答案,这就有可能让ChatGPT把三星的机密信息当作训练资料使用。
另一个事故也是DS设备部门的,也是寻求ChatGPT来优化代码,只不过这个代码是涉及芯片良率的,第三起则是让ChatGPT记录会议内容,虽然不是技术机密,但也可能导致会议内容外泄。
三星DS部门在3月11日才允许员工使用ChatGPT,不到20天时间就出现了三次意外,后续预计要调整政策了,这也给其他公司提了个醒,ChatGPT很方便,但规范使用还是必要的。
🗒 标签: #三星 #ChatGPT #数据泄漏
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
据韩国媒体报道,三星电子引入ChatGPT不到20天,近日便曝出机密资料外泄的给意外事故,涉及半导体设备测量资料、产品良率等内容,传已经被存入ChatGPT的数据库中。总共有3起事故涉及ChatGPT,2个跟半导体设备有关,1个跟会议内容有关。
设计芯片设备的例子中,三星DS设备解决方案部门的员工在操作半导体测试设备下载软件的过程中,发现复制有问题,他就把有问题的代码复制到ChatGPT中寻找答案,这就有可能让ChatGPT把三星的机密信息当作训练资料使用。
另一个事故也是DS设备部门的,也是寻求ChatGPT来优化代码,只不过这个代码是涉及芯片良率的,第三起则是让ChatGPT记录会议内容,虽然不是技术机密,但也可能导致会议内容外泄。
三星DS部门在3月11日才允许员工使用ChatGPT,不到20天时间就出现了三次意外,后续预计要调整政策了,这也给其他公司提了个醒,ChatGPT很方便,但规范使用还是必要的。
Macworld 报道了这一发现:
Uptycs 发现 MacStealer 可以从 Firefox,Google Chrome 和 Microsoft Brave 浏览器获取密码,cookie 和信用卡数据。它可以提取几种不同的文件类型,包括.txt、.doc、.jpg和.zip,并且可以提取钥匙串数据库。根据 Uptycs 从暗网收集的信息,MacStealer 的制造商正在研究收集 Safari 密码和 cookie 以及 Notes 应用程序中数据的能力。
运行后,恶意软件会收集数据,将其全部压缩为单个zip文件,将文件发送给坏人,然后从Mac中删除该文件。
目前还不清楚 MacStealer 是否已记录在跟踪漏洞和暴露的CVE.report数据库中,Apple尚未对该恶意软件发表评论。苹果周一发布了macOS Big Sur,Monterey和Ventura的更新,但根据安全说明,这些更新似乎不包括MacStealer的补丁。
庆幸的是,这款软件没有经过数字签名,因此在大多数 Mac 上会被 Gatekeeper 阻止安装。您需要手动安装并运行该应用程序,然后输入Mac密码以授予其访问系统设置的权限才能使其正常工作。
OpenAI 的Bug 或导致付款信息被泄漏
OpenAI 表示,周一出现的bug除了 聊天记录 可能还泄漏了部分用户的付款信息
这是一个名为redis-py的开源库创建了一个错误的缓存,该错误可能导致其向一些活跃用户显示了其他用户信用卡的最后四位数字和到期日期,以及他们的名字和姓氏、电子邮件地址和账单地址。用户也可能看到了其他人聊天记录的片段。
🗒 标签: #OpenAI #ChatGPT #数据泄露
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
OpenAI 表示,周一出现的bug除了 聊天记录 可能还泄漏了部分用户的付款信息
这是一个名为redis-py的开源库创建了一个错误的缓存,该错误可能导致其向一些活跃用户显示了其他用户信用卡的最后四位数字和到期日期,以及他们的名字和姓氏、电子邮件地址和账单地址。用户也可能看到了其他人聊天记录的片段。
