(02/03--02/09）

DeepSeek未加密传输敏感用户和设备数据，引发安全担忧

近日，外媒称DeepSeek应用在苹果iOS系统上的一项新审计中发现了严重的安全问题，其中最突出的是该应用在未加密的情况下通过互联网传输敏感数据，使其容易受到拦截和篡改攻击。

未加密传输与数据收集问题

此次评估由NowSecure进行，该公司还发现该应用未能遵循最佳安全实践，并收集了大量用户和设备数据。NowSecure表示：“DeepSeek iOS应用通过互联网传输部分移动应用注册和设备数据时未进行加密，这使得互联网流量中的任何数据都容易受到被动和主动攻击。”

此外，审计还揭示了在用户数据加密方面的几个实施弱点，包括使用不安全的对称加密算法（3DES）、硬编码的加密密钥以及初始化向量的重复使用。

数据流向与安全防护缺失

这些数据被发送到由字节跳动（ByteDance）旗下的云计算和存储平台“火山引擎”管理的服务器。字节跳动也是TikTok的母公司。NowSecure指出：“DeepSeek iOS应用全局禁用了应用传输安全（ATS），这是iOS平台的一项保护措施，旨在防止敏感数据通过未加密的通道传输。由于此保护被禁用，该应用可以通过互联网发送未加密的数据。”

这些发现进一步加剧了人们对这款人工智能聊天机器人服务的担忧。尽管DeepSeek在全球多个市场的Android和iOS应用商店排行榜上迅速攀升，但其安全问题却引发了广泛关注。

威胁行为者利用AI技术

网络安全公司Check Point表示，已观察到威胁行为者利用DeepSeek、阿里巴巴的Qwen以及OpenAI的ChatGPT等AI引擎开发信息窃取工具、生成未经审查或不受限制的内容，并优化大规模垃圾邮件分发的脚本。该公司强调：“随着威胁行为者利用越狱等先进技术绕过保护措施并开发信息窃取工具、金融盗窃和垃圾邮件分发，组织迫切需要实施主动防御，以应对这些不断演变的威胁，确保对AI技术潜在滥用的强大防御。”

国际禁令与恶意攻击

本周早些时候，美联社透露，DeepSeek的网站配置为将用户登录信息发送给中国移动，这家国有电信公司已被禁止在美国运营。与TikTok类似，DeepSeek的中国背景促使美国立法者推动在全国范围内禁止政府设备使用该应用。

包括澳大利亚、意大利、荷兰、韩国在内的多个国家，以及印度和美国的部分政府机构（如国会、NASA、海军、五角大楼和德克萨斯州）已禁止在政府设备上使用DeepSeek。

恶意攻击与仿冒页面

DeepSeek的迅速流行也使其成为恶意攻击的目标。中国网络安全公司XLab告诉《环球时报》，该服务在上个月底遭受了来自Mirai僵尸网络hailBot和RapperBot的持续分布式拒绝服务（DDoS）攻击。与此同时，网络犯罪分子正利用DeepSeek的热潮，迅速建立仿冒页面，传播恶意软件、虚假投资骗局和欺诈性加密货币计划。

2024年超过50亿个帐户被泄露，中美俄位居前三

根据网络安全公司Surfshark的研究人员称，2024年有超过50亿个帐户遭到泄露，与2023年的7.3亿个帐户 相比暴增8倍，平均每秒的帐户泄露数量将近180个。

这种激增的部分原因可能源自2024年9月的一次超大规模数据泄露事件，有多达30亿个帐户被泄露至地下犯罪论坛。Surfshark表示，尽管这些数据是从以往的泄露事件中汇总而来 ，但已经去除了重复项。

研究人员发现，被泄露的帐户中大约有7.9亿个来自俄罗斯，3.1亿个来自美国，1.6亿个来自中国，1.1亿个来自德国，1亿个来自法国。

另一起重大泄露事件发生在2024年2月，一家名为DemandScience的B2B需求生成公司泄露了1.2亿人数据，包括个人全名、物理地址、电子邮件地址、电话号码、职位头衔以及社交媒体链接，其中涉及约3300万美国人、240万英国人、140万加拿大人和120万澳大利亚人。

中国成为首要目标

在2024年所有被泄露的帐户中，有46%集中在三个国家：中国、俄罗斯和美国。中国从2023年的第12位跃升至首位。Surfshark表示，2023年美国和俄罗斯占据了帐户泄露事件发生的主要国家，占比达到了80%。但到了2024年被中国反超。

2024年，中国和俄罗斯各占所有被泄露帐户的约17%，而美国占12%。中国平均每分钟有近1800个帐户被泄露，俄罗斯紧随其后，每分钟超过1700个，美国为1300个。

欧洲人均帐户泄露风险最高

通常，在人口较少的国家和地区，泄露帐户的总数可能较低，但就数据泄露密度（表明居民面临更大的数据泄露风险）而言，欧洲处于最高区域，俄罗斯以每1000人中有近6400个帐户被泄露而位居榜首，法国以2300个位居第二。

Surfshark 还发现，在人口超过 100 万的 15 个国家和地区，平均每人面临1个以上的帐户被泄露，其中 70% 位于欧洲。

通过区域概览，欧洲的被泄露帐户占比最高，达29%，其中俄罗斯位居前列。亚洲紧随其后，成为受影响第二大的地区，占比23%，其中主要来自中国。北美排名第三，占比14%，其中主要来自美国。

2024年勒索赎金总额超8亿美元，下降35%

2024年，勒索软件攻击者的赎金支付额同比下降了35%，总额为8.1355亿美元，低于2023年的25亿美元。此外，只有约30%的受害者在与勒索软件攻击者谈判后最终支付了赎金。

这些数据由区块链情报公司Chainalysis报告，突显了在勒索软件攻击创纪录的一年中，赎金支付额却显著下降的现象。

勒索软件团伙年度赎金支付额 来源：Chainalysis

具体而言，2024年，一家财富50强公司向Dark Angels勒索软件团伙支付了创纪录的7500万美元。此外，根据NCC Group的数据，2024年是勒索软件攻击数量最多的一年，成功攻击次数达到5263次。

Chainalysis的报告进一步证实，数据泄露网站的披露数量有所增加，这表明攻击者在勒索赎金方面遇到了困难，因此增加了攻击活动以弥补损失。

思科披露两个严重的身份服务引擎漏洞

思科公司披露了其身份服务引擎（ISE）软件中的两个关键漏洞，CVE-2025-20124和CVE-2025-20125，CVSS评分分别为9.9和9.1，严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作：远程任意命令执行、系统权限提升以及配置参数篡改。

截至目前，思科产品安全事件响应团队（PSIRT）尚未发现这些漏洞被公开利用或恶意使用的证据。但这些关键漏洞的发现进一步强调了，在企业环境中保持软件更新以及保护管理权限凭证的重要性。

1. CVE-2025-20124 反序列化漏洞

• 成因：API 接口对 Java 字节流反序列化处理不当

• 攻击方式：通过 API 发送恶意序列化 Java 对象

• 影响：获得 root 权限执行任意命令，从而可能完全控制整个设备

2. CVE-2025-20125 权限绕过漏洞

• 成因：API 授权机制缺陷 + 用户输入验证不足

• 攻击方式：向易受攻击的API发送精心构造的HTTP请求

• 攻击效果：窃取敏感信息、修改系统配置、强制节点重启

两个漏洞都要求攻击者具备有效的只读管理凭证，这也强调了保护此类账户的重要性。

这些漏洞影响思科ISE和思科ISE被动身份连接器（ISE-PIC），无论设备配置如何。具体受影响的软件版本包括3.0、3.1、3.2和3.3，已确认3.4版本不受影响。

• 3.1版本：在3.1P10版本中修复

• 3.2版本：在3.2P7版本中修复

• 3.3版本：在3.3P4版本中修复

思科已经发布了免费的软件更新以解决这些漏洞，由于没有可用的临时解决方案，建议所有受影响用户立即升级系统，以降低潜在利用风险。

#03 数据安全

虚假谷歌广告瞄准微软广告账户，恶意软件攻击再升级

据Verizon发布的2024 年数据泄露调查报告，80%的攻击利用了包括搜索引擎在内的在线平台，攻击者利用搜索的可信度将其武器化，通过搜索引擎优化 （SEO） 对数亿用户分发恶意软件、发起网络钓鱼攻击和传播有害内容。

这种被称为 SEO中毒的做法会操纵搜索结果以引诱毫无戒心的用户点击恶意链接。最近的研究显示，在 2023 年 8 月至 2024 年 1 月期间，由恶意搜索结果引起的恶意软件检测增加了 60%。这种趋势凸显了这些策略的日益复杂性，以及企业和个人提高警惕的迫切需要。

SEO 中毒是一种恶意策略，网络犯罪分子操纵搜索引擎算法，将有害网站排在搜索结果的显著位置。 这些网站通常包含恶意软件、网络钓鱼或旨在为窃取敏感信息设下的骗局。

攻击者利用与热门话题或紧急事件（如自然灾害、重大产品发布或公共卫生危机）相关的高需求关键词。通过使用关键字填充、垃圾反向链接和欺骗性内容等技术，使自己的页面看起来合法，并引诱毫无戒心的用户。

在2023 年初 Gootloader 恶意软件激增的案例中，攻击者以 "隐含雇佣协议 "等小众搜索词为目标，将用户重定向到受感染的网站，反映出即使是低竞争度的搜索词也能成为网络犯罪分子的乐园。

SEO中毒示例

由于利用了用户对搜索结果中的信任，SEO中毒已被用于三类典型攻击场景：

• 假冒杀毒软件：用户在搜索免费杀毒工具时，会被引导至冒充可信供应商的恶意网站。这些虚假程序利用用户对 Avast、Bitdefender 和 Malwarebytes 等知名杀毒软件品牌的信任，加密文件并索要赎金。据了解，假冒杀毒软件网站会假冒知名安全提供商来欺骗用户。

• 假日购物诈骗：在购物旺季，网络犯罪分子针对热门产品创建虚假电子商务网站。这些欺诈网站被设计成在搜索结果中排名靠前，让攻击者诱骗用户输入支付信息，然后犯罪分子窃取这些信息。

• 软件搜索利用：2023 年，用户在搜索 Blender 3D 等流行工具时被引向提供受感染下载的欺诈网站。此类活动凸显了 SEO 中毒针对可信软件的危险性。

尽管 SEO 中毒是一个持续的威胁，但采取主动措施可以帮助企业和个人用户降低风险。

对企业而言，与值得信赖的 SEO 提供商合作，可以优化网站，同时识别和缓解漏洞，例如虚假反向链接或未经授权的内容更改，这些漏洞经常在 SEO 中毒活动中被利用；对个人用户而言，除了仔细检查URL，还应利用防病毒软件和浏览器扩展程序来帮助识别和阻止有害网站。

此外，谷歌和必应等搜索引擎正不断更新算法，以检测和惩罚恶意网站，包括针对关键字填充、可疑反向链接模式和误导性内容等行为。机器学习算法也被用于分析数十亿个网页，以查找恶意意图的迹象。

尽管如此，网络犯罪分子仍在不断改进他们的技术，创造出复杂的战术来绕过检测。2024 年 11 月，攻击者利用 "孟加拉猫在澳大利亚是否合法 "等小众搜索词 ，诱使用户访问恶意网站。此类事件凸显了用户和企业采取积极主动的措施来补充自动化系统的重要性。识别和避免恶意链接仍然是一项共同责任。

谷歌称黑客正滥用Gemini AI来增强攻击能力

谷歌威胁情报小组（GTIG）发现，与政府相关的高级持续性威胁（APT）组织主要使用Gemini来提高工作效率，而不是开发或实施能够绕过传统防御的新型AI网络攻击。

威胁行为者一直在尝试利用AI工具来实现攻击目的，尽管成功率不一，但这些工具至少可以缩短攻击准备时间。

谷歌已识别出与来自20多个国家的APT组织相关的Gemini活动。最常见的用例包括：协助编写工具和脚本的代码任务、研究公开披露的漏洞、检查技术（解释、翻译）、查找目标组织的详细信息，以及寻找规避检测、提升权限或在受感染网络中运行内部侦察的方法。

Meta确认90名用户遭WhatsApp零点击间谍软件攻击

Meta旗下的WhatsApp于上周五表示，已成功阻止了一场针对记者和民间社会成员的间谍软件攻击活动。此次攻击活动涉及约90名受害者，攻击者使用了以色列公司Paragon Solutions开发的间谍软件。这些攻击者在2024年12月被成功遏制。

美国医疗系统遭遇重大数据泄露，88.2万患者信息被曝光

美国医院姐妹健康系统（HSHS）近日通知了超过88.2万名患者，称2023年8月的一次网络攻击导致了数据泄露，暴露了他们的个人和健康信息。

HSHS成立于1875年，拥有超过2200名医生和约1.2万名员工。该机构在伊利诺伊州和威斯康星州运营着一个由15家地方医院组成的网络，其中包括两家儿童医院。

这家非营利性医疗系统在发送给受影响患者的数据泄露通知中表示，事件是在2023年8月27日发现的，当时发现攻击者已经侵入了HSHS的网络。

攻击导致系统全面瘫痪

安全漏洞发生后，HSHS的系统还受到了广泛中断的影响，导致伊利诺伊州和威斯康星州的医院“几乎所有操作系统”和电话系统都陷入瘫痪。HSHS还聘请了外部安全专家来调查此次攻击，评估其影响，并帮助其IT团队恢复受影响的系统。

HSHS在2024年9月的一份声明中表示：“我们正在优先考虑患者安全，同时建立恢复流程。在第三方专家的支持下，我们正在尽快且安全地将系统重新上线。像我们这样规模的医疗系统在数千台服务器上运行着数百个系统应用程序，因此我们的恢复和调查工作将需要一些时间才能完成。”

攻击者访问了大量敏感信息

尽管此次事件和由此导致的中断具有勒索软件攻击的所有特征，但目前尚未有勒索软件组织声称对此负责。

经过取证调查，HSHS发现攻击者在2023年8月16日至8月27日期间访问了受感染系统上的文件。HSHS表示：“我们一直在审查这些文件，并在审查过程中逐步通知那些信息被发现的个人。”

攻击者在HSHS系统内访问的信息因受影响的个人而异，包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾驶执照号码等。

患者需警惕潜在风险

HSHS补充说，目前没有证据表明受害者的信息已被用于欺诈或身份盗窃，但仍建议受影响的个人监控其账户对账单和信用报告中的可疑活动。该医疗系统还为受影响的个人提供了一年的免费Equifax信用监控服务。

当BleepingComputer早些时候联系HSHS发言人确认数据泄露是否由勒索软件攻击引起时，该发言人并未立即回应。

医疗行业数据泄露事件频发

上周，康涅狄格州医疗服务提供商社区健康中心（CHC）向超过100万名患者发出数据泄露警报，而全球最大的独立血液采集和分发组织之一纽约血液中心（NYBC）表示，勒索软件攻击迫使其重新安排了一些预约。

本月早些时候，UnitedHealth透露，去年Change Healthcare的勒索软件攻击导致约1.9亿美国人的信息被盗，几乎是10月份披露的1亿人的两倍。

2023年12月下旬，美国卫生与公众服务部（HHS）提出了HIPAA更新，以应对大规模医疗安全漏洞激增的情况，确保患者的健康数据安全。

2024年近2亿人受影响，美国医疗成重点攻击目标

曝英国要求苹果留“后门”：允许其检索全球任何用户上传到云端的所有内容

消息由湖南省网络空间安全协会整理编辑，涉及版权请联系删除，如有转载请标明出处。