安全威胁情报周报（2025/12/27-2026/01/02）

派出所两名辅警为谋取利益，盗用副所长的公安网数字证书，通过聊天软件为不法分子提供公民个人信息，二人牟利超11.7万元。12月7日，记者从中国裁判文书网获悉，河北唐山路南区法院已对该案作出刑事判决。

图：示意图

王某和陈某原是派出所辅警，今年3月26日至5月10日期间，王某为谋取非法利益，通过聊天软件联系了昵称为“聚XX档”的人，在派出所内私自使用副所长的数字证书，按“聚XX档”要求为其提供公民个人信息。而陈某经王某介绍，在4月21日至5月10日期间，使用同样的方式，盗用数字证书为“聚XX档”及“椰XX档”提供公民个人信息。

法院查明，两人共同为“椰XX档”提供公民个人信息，违法所得人民币7986元（王某分得3600元）。王某出售公民个人信息违法所得共计74152元，陈某违法所得共计人民币48303.33元。

5月10日，分局网安大队民警电话通知派出所负责人，让其带陈某到网安大队接受调查。同日下午，陈某也被带到路南分局接受询问。到案后，陈某如实供述其和王某的犯罪经过并详细供述了自己参与作案的经过。

6月4日、6日，陈某和王某先后委托家属，将全部违法所得11.7万余元（有部分预付钱款但公民信息尚未出售），退缴至路南分局。法院认为，被告人王某、陈某为牟取非法利益，违反国家规定，向他人出售公民个人信息，情节严重，已构成侵犯公民个人信息罪，应予处罚。考虑到二人退缴全部赃款，酌情对其从轻处罚。

2025年11月17日，路南法院作出刑事判决，被告人王某犯侵犯公民个人信息罪，判处有期徒刑二年八个月，并处罚金人民币8万元。被告人陈某犯侵犯公民个人信息罪，判处有期徒刑一年十个月，并处罚金人民币5万元，随案移送的违法所得117199.3元，予以没收，上缴国库。

近日，“70余万条学生信息被售卖”一事引发关注。不少网友表示，曾有骚扰电话准确报出过孩子的信息，但不知道信息是如何泄露的，现在“恍然大悟”。

图：大量学生信息被泄露 图据央视

新闻记者注意到，该事件源于四川冕宁县人民法院公开的一则侵犯公民个人信息罪判决书。案件中，70余万条学生信息被多次贩卖，信息内容包括学生及家长信息、联系方式等，购买信息人员则涉及学校副校长、教育咨询机构负责人等。

目前，相关涉案人员已分别获刑，一条“后台工作人员泄露数据—中介买卖信息—教育机构购买信息招生”的信息泄露黑色产业链浮出水面。

70余万条学生信息被多次转手卖出

购买信息人员有学校副校长

“我女儿的信息被泄露了，2024年1月份开始，每天都接到招生、助考的电话。培训机构天天打电话，不是招生就是买网上课程。”2024年，谭女士来到凉山州冕宁县公安局执法办案中心报案。孩子的信息，是如何泄露的？警方随即展开调查。

《四川省冕宁县人民法院刑事附带民事判决书》（下文简称《判决书》）显示，公诉机关指控，2023年9月，成都市某技工学校副校长杨某为了招生，给四川某职业技术学院负责招生工作的马某转账2万元，以购买2021级初三学生信息。

马某随即转账给雷某（另案处理）。当年10月，雷某将60余万条学生信息拷贝给马某，马某将这些信息拿给杨某。

之后，在重庆某有限公司职员徐某的介绍下，杨某以1.5万元的价格，将2021级四川省除成都外的60余万条初三学生信息，以1.5万元的价格卖给了刘某。同时，杨某还将这60余万条信息提供给徐某，徐某利用公司智能机器人将学生信息加上成绩后，再以9000元的价格“回卖”给杨某。

此后，这一批学生信息被多次倒手转卖。2023年12月至2024年3月，宋某（另案处理）让胡某帮忙购买外省的学生信息，并先后转账9.95万元。胡某找到李某，转账8.6万让其帮忙购买学生信息。之后，因胡某没有及时提供学生信息，退还了5.1万元给宋某。

后来，因宋某需要四川省2021级成都市、眉山市、凉山州、内江市的初三学生信息，李某将从徐某处获得的存有上述地区共计22万条初三学生信息的U盘拿给了胡某，胡某又将这些信息拿给了宋某，用于抵账2万元。

图：大量学生信息被泄露 图据央视

图：大量学生信息被泄露 图据央视

《判决书》显示，在徐某的电脑中，有一个名为“四川初升高”的文件夹，内有123456和成都初三两个子文件夹。其中，包含了四川省成都市、绵阳市、攀枝花市、自贡市、达州市、广安市、乐山市、眉山市、凉山州等多个市州学生信息，内容包括学校名称、学生姓名、2021级、父母亲名字和电话，共有70余万条信息。

平台工程师监守自盗

黑色产业链浮出水面

几经溯源，这些被多次转卖的学生信息来源于雷某，那雷某的信息又是如何而来？

据此前央视报道，雷某是一家教育咨询公司负责人，他手上的学生信息，来自“神秘卖家”彭某（另案处理）。警方调查发现，彭某是四川省某通信工程有限公司的工程师，该公司承担着四川省教育资源公共服务平台的维护与升级工作。彭某在日常维护中，有权限接触到四川学籍的中小学生，甚至是大学生信息。

据彭某交代，2023年，他在上网时偶然了解到一条与自己工作密切相关的赚钱门路，“他们说外网上有个软件可以卖学生信息，我就试着搜来看，加了一些群聊，里面确实有人说要收数据。”

在利益驱动下，彭某通过一款境外聊天软件与雷某上家费某搭上线，并以43万元的价格，将四川省内各类学生信息当面和费某进行交易。

此时，一条“后台工作人员泄露数据—中介买卖信息—教育机构购买信息招生”的信息泄露黑色产业链浮出水面。

犯侵犯公民个⼈信息罪

涉案人员获刑、处罚金并赔礼道歉

2025年2月25日，冕宁县人民法院公开开庭对此案进行了审理。公诉机关认为，被告人杨某、马某、李某、胡某、徐某向他人出售或者提供公民个人信息，情节特别严重，其行为触犯了《中华人民共和国刑法》第二百五十三条之一之规定，犯罪事实清楚，证据确实、充分，应当以侵犯公民个人信息罪追究其刑事责任。

法院认为，公诉机关指控的罪名成立。判处被告人徐某、杨某、胡某、李某、马某犯侵犯公民个人信息罪。其中，徐某、杨某被判有期徒刑三年，缓刑三年，分别处以罚金8.5万、4.5万。

被告人胡某、李某、马某被判处有期徒刑一年两个月，缓刑二年，分别处以罚金8.5万、4.5万、3万元。判令五名被告人在媒体上赔礼道歉，徐某、胡某、杨某、李某因侵犯公民信息，还需支付数额不等的赔偿金。

法院认为，公民个人信息是动态且高度依赖于具体场景的，学校名称、班级、学生姓名、家长姓名能够和公民个人一一对应，应认定为公民个人信息，本案中部分学生及家长信息不全、不准确、没有电话号码、电话号码错误等问题，不影响本案侵犯公民个人信息罪中“公民个人信息”的认定。

检察机关在起诉实施侵犯公民个人信息行为的被告人时，可同时提起附带民事公益诉讼，符合国家对公民个人信息保护的价值取向，弥补了个人信息保护私益诉讼的不足。通过刑事附带民事公益诉讼，被告人除应承担刑事责任外，还应承担赔偿损失、向公众赔礼道歉等民事责任。对被告人实施刑事和民事双重制裁，形成追责合力，更有利于实现对违法行为的预防和对公益的全面保护。

科技媒体 cyberkendra 昨日（12 月 24 日）发布博文，报道称 WordPress 缓存插件 W3 Total Cache 陷入安全泥潭，该插件拥有超过 100 万的安装量，但其针对 CVE-2025-9501 漏洞连续发布的三个补丁均宣告失败。

图：示意图

注：W3 Total Cache 是个主流 WordPress 缓存插件，全球站点装机量超过 100 万，近期爆发严重安全危机（CVE-2025-9501），根源在于插件处理动态内容的机制。

研究人员 "wcraft" 最初向 WPScan 披露该漏洞时，它影响 2.8.13 之前的所有版本，CVSS 评分为 9.0，被评为 " 严重 " 级别。

W3 Total Cache 的 _parse_dynamic_mfunc 函数使用 PHP 的 eval ( ) 函数来执行缓存页面评论中嵌入的代码。虽然该设计旨在提升动态页面的加载效率，但也为黑客留下了后门，只要攻击者能在评论中注入特定代码，插件就会将其视为合法指令并直接执行。

厂商的修复过程被研究人员形容为 " 安全马戏团 "：

2.8.13 版本试图用 str_replace 移除恶意标签，但逻辑简单粗暴：攻击者只需将安全令牌嵌套（如构造 "rcercesecsec"），当程序剔除中间的 "rcesec" 后，剩余字符会自动重组为有效令牌，令防御失效。

2.8.14 版本增加了更多检查，但漏洞依然存在。

随后的 2.8.15 版本试图通过检测标签后的空格（正则 s+）来拦截攻击，却忽视了原代码允许 " 零空格 "（正则 s*）的特性。攻击者只需删除标签与令牌间的空格，即可再次轻松穿透防线。

尽管漏洞利用极其简单，但攻击者仍需满足三个特定条件：

首先，必须获取管理员配置的 W3TC_DYNAMIC_SECURITY 安全令牌（通常为一串秘密字符串）；

其次，网站必须允许未登录用户发布评论；

最后，页面缓存功能必须处于开启状态。

虽然这些条件限制了攻击面，但在庞大的用户基数下，符合条件的受害者数量依然庞大。

鉴于补丁屡修屡破的现状，单纯依赖更新已不足以确保安全。安全专家建议，管理员在升级至最新版本的同时，必须立即审计 W3TC_DYNAMIC_SECURITY 常量的唯一性，确保其未被泄露。

此外，该安全公司建议暂时限制未验证用户的评论权限，并重点审查 2025 年 10 月以来的评论日志，排查是否存在异常代码注入痕迹。

网络安全研究人员近日公开披露了一个影响MongoDB数据库的高危安全漏洞（CVE-2025-14847，CVSS 评分：8.7）。该漏洞可能允许未经身份验证的用户读取服务器未初始化的堆内存，导致敏感信息泄露。

图：示意图

Part01、漏洞原理分析

该漏洞被研究人员命名为"Mongobleed"。利用此漏洞，攻击者可在无需任何凭证的情况下，远程提取 MongoDB 服务器未初始化的内存数据，可能导致内部日志、系统状态信息及其他敏感数据泄露。

漏洞根源在于 MongoDB 处理压缩消息时存在缺陷。攻击者可发送一个经过特殊构造的消息，消息中暗藏了一个异常庞大的“uncompressedSize”。MongoDB 会根据这个消息分配一个巨大的缓冲区，但 zlib 库实际上只将真实数据解压缩到缓冲区的起始部分。

服务器会将整个缓冲区都视为有效数据，这导致后续的 BSON 解析过程将未初始化的内存内容当作字段名进行读取，直至遇到空字节为止。通过尝试不同的偏移量，攻击者能够系统性地逐块泄漏内存数据。

Part02、泄露数据类型

研究人员表示：Mongobleed通过构造具有不同长度字段的畸形 BSON 文档，来系统性地扫描内存区域。每一次探测都可能泄露诸如 MongoDB WiredTiger 存储引擎配置、/proc/meminfo系统状态信息、Docker 容器路径、连接 UUID 以及客户端 IP 地址等数据片段。

Part03、受影响版本

该漏洞影响以下 MongoDB 版本：

MongoDB 8.2.0 至 8.2.3

MongoDB 8.0.0 至 8.0.16

MongoDB 7.0.0 至 7.0.26

MongoDB 6.0.0 至 6.0.26

MongoDB 5.0.0 至 5.0.31

MongoDB 4.4.0 至 4.4.29

所有 MongoDB Server v4.2v4.0v3.6版本

Part04、PoC工具已公开

研究人员在其 GitHub 仓库发布了该漏洞的 PoC 工具。该工具基于 Python 开发，部署使用较为简单。示例输出中可见类似“MemAvailable: 8554792 kB”的系统指标，以及“SyncookiesFailed EmbryonicRsts”等网络统计信息。 

研究人员还提供了一个 Docker Compose 配置，用于搭建易受攻击的实例进行测试，这凸显了漏洞复现的简易性。在其演示中，泄露的数据总量超过 8700 字节，共 42 个片段。

Part05、修复方案

MongoDB 已在 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32 和 4.4.30 版本中修复该漏洞。

如果无法立即更新，建议在MongoDB服务器上禁用zlib压缩功能。具体操作方法是：在启动mongod或mongos进程时，通过networkMessageCompressors或net.compression.compressors配置选项明确排除zlib。MongoDB支持的其他压缩器选项包括snappy和zstd。此临时措施可在升级前降低漏洞被利用的风险，但升级至安全版本仍是彻底解决问题的根本方案。

TeamViewer DEX客户端的内容分发服务（NomadBranch.exe，原1E客户端组件）存在多个高危漏洞。这些漏洞影响25.11版本之前及部分旧版本分支的Windows系统，源于不正确的输入验证（CWE-20），可能使本地网络上的攻击者执行恶意代码、导致服务崩溃或泄露敏感数据。

图：示意图

漏洞技术细节分析

高危漏洞：CVE-2025-44016（CVSS 8.8）

这是最严重的漏洞，允许攻击者绕过文件完整性检查。通过构造带有有效哈希值的恶意代码请求，攻击者可诱使服务将其视为可信内容，从而在NomadBranch上下文中实现任意代码执行，完全控制受影响系统。

中危漏洞组合

CVE-2025-12687

（CVSS 6.5）：通过特制命令触发拒绝服务（DoS），导致服务完全崩溃，影响业务连续性

CVE-2025-46266

（CVSS 4.3）：强制服务向任意内部IP地址发送数据，泄露敏感信息，可能暴露网络拓扑和系统配置

攻击条件与影响范围

所有漏洞均需邻近网络访问权限（AV:A），使其在以下环境中构成切实威胁：

点对点网络环境

共享局域网办公环境

未实施网络分段的混合云架构

好消息：截至目前尚未发现野外利用证据。以下配置不受影响：

默认状态下禁用NomadBranch的安装

TeamViewer Remote/Tensor的"DEX Essentials" 附加组件

官方修复方案

TeamViewer已在25.11.0.29版本及旧版分支的热修复补丁中解决这些问题：

重要提示：CVE-2025-46266仅在25.11及更高版本中修复，旧版本用户必须应用指定热修复补丁。

安全加固建议

立即行动项

优先更新：所有使用DEX客户端的组织应立即部署最新补丁

服务验证：检查NomadBranch服务状态，如非必要应保持禁用

网络分段：实施VLAN隔离，限制邻近网络攻击面

纵深防御策略

部署网络行为监控，检测异常的内部数据传输

实施最小权限原则，限制NomadBranch服务的系统权限

建立定期漏洞扫描机制，特别关注远程访问工具链。

Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。

该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。

此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。

两大攻击链路

图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。

图：示意图

链路一：PDF 文档传播 PYTRIC 恶意软件

第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。

这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。

PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。

图：示意图

链路二：Word 文档传播 RUSTRIC 植入程序

第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。

RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。

安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。

流行协作套件 Zimbra Collaboration Suite（ZCS）被曝出两项独立安全漏洞，相关运维人员被敦促立即进行补丁修复。其中危害最严重的漏洞，可让未授权攻击者通过 “经典” 网页邮件界面读取系统内部文件，进而可能将敏感服务器数据暴露至公共互联网。

图：示意图

这两个漏洞的编号分别为 CVE-2025-68645 和 CVE-2025-67809，影响该平台的 10.0 与 10.1 两个版本分支。

本次安全通报的重点漏洞是 CVE-2025-68645，这是一项高危本地文件包含（LFI）漏洞，通用漏洞评分系统（CVSS）得分为 8.8。

该漏洞存在于经典网页邮件界面（Webmail Classic UI）的 RestFilter 服务器小程序中。由于系统对用户请求处理不当，未能对发送至 /h/rest 端点的输入数据进行充分净化。

漏洞描述文件中提到：“未授权远程攻击者可构造针对 /h/rest 端点的请求，进而干扰系统内部的请求分发机制。”

这一设计缺陷使得攻击者能够诱导服务器读取网站根目录（WebRoot）下的任意文件。由于攻击全程无需身份验证，任何将经典网页邮件界面暴露至公网的服务器，都有可能被自动化扫描工具窃取内部应用文件。

第二项漏洞则是硬编码凭据风险的典型案例。该漏洞编号为 CVE-2025-67809（CVSS 评分 4.7），与 Zimbra 平台中用于对接照片分享服务的 Flickr 集成插件（Flickr Zimlet）相关。

研究人员发现，开发者将 Flickr 应用程序编程接口（API）密钥与密钥密码直接嵌入该插件的代码中，导致这些敏感信息可被公开获取。

美国国家标准与技术研究院（NIST）指出：“由于这些凭据被直接写入插件代码，任何未授权主体都可获取并滥用该 Flickr 集成功能。”

攻击者获取这些密钥后，可伪装成合法的 Zimbra 应用程序，发起有效的开放授权（OAuth）登录流程。一旦诱骗用户批准相关请求，就能未经授权访问该用户在 Flickr 上的私密数据。

目前，软件厂商已撤销存在风险的密钥，并从代码库中移除了硬编码的敏感信息。

Zimbra 官方已发布更新补丁以修复这两个漏洞。运维人员应立即将部署的系统升级至以下版本：

Zimbra Collaboration 10.1.13

Zimbra Collaboration 10.0.18

鉴于此次本地文件包含漏洞允许攻击者未经授权发起访问，相关机构应优先进行此次版本更新，以防范伺机而动的威胁行为者发起侦察或数据泄露攻击。

安全研究人员披露了一组影响多款主流蓝牙耳机及耳塞设备的高危漏洞。黑客利用这些漏洞，可窃听用户通话、盗取敏感数据，甚至直接劫持与之配对的智能手机。

图：示意图

这组漏洞的编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702，主要影响搭载络达（Airoha）蓝牙系统级芯片 的设备。索尼、Bose、JBL、Marshall、Jabra等多家主流音频设备厂商的产品均采用该芯片。

漏洞编号漏洞名称通用漏洞评分系统（CVSS）       评分

CVE-2025-20700低功耗蓝牙（BLE）认证缺失漏洞8.8

CVE-2025-20701传统蓝牙认证缺失漏洞        8.8

CVE-2025-20702RACE 协议远程代码执行 / 任意读取漏洞9.6

研究人员最初于 2025 年 6 月披露了这些漏洞，为设备厂商留出了开发安全补丁的时间。

然而时隔半年，仍有大量设备未完成补丁推送。为此，研究人员公开发布了漏洞完整技术细节，同时配套发布了一份白皮书及RACE 工具包—— 用户和安全专业人员可借助该工具检测自身设备是否存在漏洞风险。

络达是蓝牙系统级芯片领域的核心供应商，其产品尤其广泛应用于真无线立体声（TWS）耳塞设备。该公司向各大厂商提供芯片参考设计方案及软件开发工具包（SDK），厂商基于此进行产品集成与功能开发。

ERNW 安全研究团队发现，搭载络达芯片的设备会通过低功耗蓝牙、传统蓝牙、通用串行总线人机接口设备等多种接口，开放一款名为RACE 的自定义协议。

RACE 协议最初设计用途为工厂调试与固件更新，具备强大的底层操作能力，支持对设备闪存和随机存取存储器的任意地址进行读写操作。

CVE-2025-20700 漏洞：存在于低功耗蓝牙的通用属性配置文件（GATT）服务中，核心问题是认证机制缺失。黑客无需与耳机配对，即可在蓝牙信号覆盖范围内发现并连接存在漏洞的设备，静默获取 RACE 协议的访问权限。这类连接通常不会向用户推送任何通知，攻击过程具备完全隐蔽性。

CVE-2025-20701 漏洞：针对传统蓝牙连接的认证机制缺陷。尽管这类连接有时更容易被用户察觉，甚至可能造成音频播放中断，但黑客可利用未授权访问权限建立双向音频连接，借助耳机的免提配置文件（HFP），通过设备麦克风实现窃听。

CVE-2025-20702 漏洞：聚焦于 RACE 协议本身暴露的高危功能。

通过该漏洞，黑客可发送特定指令获取设备信息、读取闪存页面、对 RAM 执行任意读写操作，还能提取设备的传统蓝牙地址。这些操作足以让黑客对设备进行永久性篡改，并窃取其中的敏感配置数据。

从耳机蔓延至智能手机

这组漏洞最严重的危害在于，黑客可通过漏洞链攻击，实现对配对智能手机的入侵。攻击流程如下：首先，黑客通过低功耗蓝牙或传统蓝牙连接附近存在漏洞的耳机；随后利用 RACE 协议导出设备闪存中的数据。

闪存中存储着设备的配对列表，包含所有曾配对设备的信息，其中就有耳机与智能手机之间用于双向认证的加密链路密钥（Link Key）。

一旦获取该链路密钥，黑客即可伪装成受信任的耳机设备，以特权身份连接受害者的智能手机。

ERNW 研究团队指出，这种攻击方式可衍生多种攻击路径：提取受害者的手机号码与通讯录信息；唤醒苹果智能语音助手（Siri）或谷歌智能语音助手，发送信息或拨打电话；劫持来电通话；甚至利用手机内置麦克风建立窃听连接。

研究人员通过概念验证攻击，成功入侵了受害者的 WhatsApp 及亚马逊账户，直观印证了这些漏洞的真实危害程度。

目前，研究人员已确认多款热门设备存在漏洞，但受影响产品的完整清单尚未完全明确。

已核实存在漏洞的设备包括：索尼 WH 系列与 WF 系列多款耳机（含旗舰型号 WH-1000XM5 和 WF-1000XM5）、博士消噪耳塞、杰宝 LIVE Buds 3、马歇尔 MAJOR V 与 MINOR IV，以及拜雅（Beyerdynamic）、捷波朗、德斐尔（Teufel）等品牌的多款机型。

部分厂商已发布修复漏洞的固件更新。其中捷波朗的信息披露最为透明，不仅在其安全中心公开列出受影响设备型号，还在固件更新说明中标注了对应的漏洞编号。马歇尔和拜雅也已推送相关更新，但不同厂商的信息公开程度差异显著。

安全建议

用户层面：应立即通过设备厂商官方应用或官网，为蓝牙耳机安装最新固件更新。记者、外交官、政界人士等高危目标人群，建议暂时改用有线耳机，彻底规避蓝牙攻击风险；同时需定期查看手机蓝牙配对列表，移除不常用的配对设备，减少链路密钥泄露的潜在风险。

厂商层面：必须立即应用络达提供的软件开发工具包安全补丁，并在产品上市前开展全面的安全评估。遵循成熟的蓝牙安全测试方法论，可有效避免同类漏洞在后续产品中复现。

凤凰城大学披露，该校于今年夏季遭遇黑客未授权入侵系统事件，近350万人的信息因此泄露。此次事件导致在校学生、往届校友、教职工及供应商的敏感个人信息与财务信息遭窃取。

图：示意图

凤凰城大学是一所总部位于亚利桑那州凤凰城的私立营利性院校，该校表示，此次信息泄露源于其甲骨文电子商务套件（Oracle E-Business Suite，简称EBS）财务应用程序遭到攻击。

调查人员确认，黑客入侵行为发生在2025年8月13日至22日期间，但校方直至11月21日才检测到这一事件 —— 而在前一天，该校刚被克洛普（Clop）勒索软件团伙列入其数据泄露网站的攻击名单。

12月初，凤凰城大学在其官网发布相关公告，其母公司凤凰教育伙伴公司则向美国证券交易委员会提交了一份8-K文件（上市公司重大事项报告）。

校方于本周一向缅因州总检察长办公室及受影响人员提交的通知函证实，此次事件的受害者共计3489274人，其中包括9131名缅因州居民。

遭泄露的数据具体包含以下内容：姓名及联系方式、出生日期、社保号码、银行账户号码及路由号码

凤凰城大学称，上述信息均被黑客非法访问，但同时指出，黑客获取的银行账户信息 “不具备实际使用权限”。

据悉，此次攻击是克洛普勒索软件团伙发起的系列攻击的一部分。该团伙利用了甲骨文电子商务套件中一个编号为CVE-2025-61882的零日漏洞实施攻击。这一系列攻击于今年10月初被公开曝光，已波及多个行业的超百家机构。

“根据我们的数据统计，这是今年全球范围内波及人数第四多的勒索软件攻击事件。” 数据研究机构Comparitech的数据研究主管丽贝卡穆迪表示。“这一事件凸显出企业持续面临的勒索软件威胁 —— 这种威胁不仅源于针对企业自身系统的攻击，像甲骨文这类第三方平台遭遇攻击时，黑客往往能通过这一集中式入口，获取多家企业的访问权限及数据。”

尽管克洛普团伙已宣称对此次事件负责，但部分安全研究人员仍不愿将攻击方完全归咎于FIN11威胁组织。经证实，同样因甲骨文电子商务套件漏洞遭攻击的美国高校还包括哈佛大学、宾夕法尼亚大学及达特茅斯学院。

值得注意的是，尽管此次事件波及范围甚广，但截至本文撰写时，攻击者虽已公布据称从其他受害者处窃取的大量文件，凤凰城大学的相关数据却未被公开泄露。

凤凰城大学表示，将为受影响人员提供免费的身份信息保护服务，具体包括为期12个月的信用监控、身份盗用恢复协助、暗网监测，以及一份保额达100万美元的欺诈赔偿保险。

“我强烈建议所有受此次泄露事件影响的人员，充分利用校方提供的免费身份保护服务。” 隐私保护机构Pixel Privacy的消费者隐私维权专员克里斯豪克说。“这项服务能帮助他们及时察觉不法分子是否正利用泄露的数据实施恶意行为。”安全领域负责人指出，此次事件暴露出高等教育行业普遍存在的系统性安全漏洞。

“这起信息泄露事件，凸显了我们在2025年全年观察到的一个令人担忧的趋势。” 网络安全公司SOCRadar的首席信息安全官恩萨尔塞克尔解释道。“像克洛普这样的威胁组织，持续将零日漏洞和大规模数据窃取攻击作为武器，针对大型集中式教育平台发起攻击。”

此次事件跻身2025年已披露的最严重教育行业信息泄露事件之列，同时也表明，高校作为海量个人及财务数据的存储库，对网络犯罪分子的吸引力有增无减。

Clop勒索软件团伙（又名Cl0p）正发起新一轮数据窃取勒索攻击，目标为暴露在公网环境中的Gladinet CentreStack文件服务器。

图：示意图

Gladinet CentreStack可帮助企业无需VPN，通过网页浏览器、移动应用及映射驱动器，安全共享本地文件服务器中存储的文件。据Gladinet官方信息，CentreStack“被来自49个国家的数千家企业使用”。

今年4月以来，Gladinet已发布多轮安全更新，修复了多个曾被攻击利用的安全漏洞，其中部分为零日漏洞。

目前，Clop网络犯罪团伙正扫描并入侵暴露在公网的CentreStack服务器。据了解，攻击者会在被攻陷的服务器上留下勒索信。 

但目前尚未有信息表明Clop利用了CentreStack的哪一漏洞实施入侵，无法确定该漏洞是零日漏洞，还是已被修复但受害服务器未完成补丁更新的已知漏洞。 

从近期的端口扫描数据来看，至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务，这些都是Clop的潜在攻击目标——该团伙正利用这些系统中一个未知的CVE漏洞（可能是n日漏洞或零日漏洞）发起攻击。

Clop的数据窃取攻击历史

Clop勒索软件团伙长期以安全文件传输产品为攻击目标。此前，该勒索团伙曾针对Accellion FTA、GoAnywhere MFT、Cleo及MOVEit Transfer文件共享服务器发起数据窃取攻击，其中MOVEit Transfer攻击影响了全球超2770家机构。

近期，自2025年8月初起，该团伙利用Oracle EBS的零日漏洞（CVE-2025-61882），从多家机构窃取敏感文件。受影响的包括哈佛大学、《华盛顿邮报》、GlobalLogic、宾夕法尼亚大学、罗技，以及美国航空子公司Envoy Air。

在攻陷目标系统、窃取敏感文件后，Clop会将被盗数据发布在其暗网泄露站点，同时提供种子文件（Torrent）供他人下载。

2025年12月28日，自称与伊朗有关联的黑客组织"Handala Hack"宣布成功入侵了以色列总理内塔尼亚胡的幕僚长扎希·布拉弗曼的iPhone手机。该组织声称获取了大量敏感文件、联系人列表、私人视频及通讯记录，并将其命名为"Braverman文件"，宣称这是"Bibi Gate"（内塔尼亚胡丑闻）的开端。

图：示意图

1. 事件背景与概述

泄露内容主要发布在Handala Hack的官方网站及社交媒体频道上，包含了长达110页的联系人PDF、多段私人聚会视频以及据称是安全人员的照片。

Handala自称亲巴勒斯坦激进黑客，实则被广泛视为伊朗的"网络战代理人"。其专攻以色列基础设施与政府高层，核心战术是"黑客与泄密"结合心理战。该组织擅长利用钓鱼手段窃取数据，通过发布真假参半的信息并夸大破坏成果，旨在通过隐私泄露在以色列社会引发恐慌与政治动荡。

2. 泄露内容详细清单

根据对Handala Hack发布页面的初步审查，泄露内容主要分为以下几类：

3. 真实性多维度分析

针对该事件的真实性，我们从技术手段、历史背景及官方回应三个维度进行深度剖析：

3.1 部分数据的真实性（高可靠性）

Handala Hack 并非完全在虚张声势。以色列前总理纳夫塔利·贝内特近日证实其 Telegram 账号遭窃，这表明该组织确实掌握了针对以色列高层的渗透能力。但值得注意的是，Handala 习惯将有限的战果无限放大。在贝内特一案中，他们就曾将"账号被盗"包装成"手机被黑"。因此，虽然其威胁是真实的，但其公开宣称的破坏程度往往含有大量水分。

联系人验证：泄露的联系人名单中包含大量真实的以色列政界和媒体界活跃号码，这增加了数据的可信度。

视频内容：视频中的人物身份（如布拉弗曼本人及相关外交官）已被初步确认，内容看起来并非AI生成，而是真实的偷拍或私人录制素材。

3.2 获取途径的疑点（中度质疑）

虽然数据可能是真实的，但黑客声称"直接黑入iPhone"的说法存疑。

技术难度：直接攻破最新款iPhone的系统防御（尤其是高级官员通常开启了"锁定模式"）难度极大。不认为他们具有攻破iPhone的能力。

替代途径：网络安全专家分析认为，数据更有可能来自云端备份（iCloud）、第三方即时通讯工具（如Telegram/WhatsApp），或者是通过入侵布拉弗曼身边安全意识较弱的助手或家属的设备间接获取。

3.3 心理战与夸大成分（高度警惕）

该事件具有典型的"黑客泄露与影响行动"特征，旨在通过部分真实的信息来包装大规模的虚假指控。

煽动性措辞：使用"Every Secret Now Exposed"、"Bibi Gate"等极具煽动性的词汇，明显带有政治目的。

信息筛选：泄露的内容目前多为社交性质的视频和联系人，尚未出现真正涉及国家安全的绝密文件。这表明黑客可能在"虚张声势"，试图通过公开私人隐私来制造"掌握核心机密"的假象。

4. 官方回应与各界看法

以色列总理府：在事件发生后迅速发表声明，否认布拉弗曼的手机被黑，称其为"虚假信息"和"心理战"。

网络安全专家：普遍认为这是伊朗针对以色列发起的认知作战的一部分。以色列网络安全公司Cyberint指出，Handala Hack长期从事此类活动，其目的是在以色列社会内部制造分裂和恐慌。

以色列主流媒体（如《国土报》、《耶路撒冷邮报》）对此保持谨慎，重点关注其对个人隐私的侵犯及潜在的安保漏洞，而非其指控的"腐败内容"。

5. 结论

综上所述，关于"Braverman文件"的真实性结论如下：

数据真实性：真假参半。联系人信息和部分私人视频极大概率为真，但其宣称的"掌握所有核心机密"存在严重夸大。

攻击性质：心理战。这是一个典型的由国家背景支持的黑客组织发起的认知作战，利用部分真实的隐私数据来破坏公众对政府核心成员的信任。

安全警示：即使核心设备未被攻破，官员的云端备份和社交账号依然是极大的安全隐患。

建议：读者应理性看待此类泄露，警惕其中夹杂的政治诱导信息，关注官方调查结果及权威网络安全机构的技术分析。

大韩航空的机上配餐及免税品供应商 —— 大韩航空配餐免税服务公司（KC&D）遭遇黑客攻击，导致约 3 万名大韩航空员工的个人信息泄露，大韩航空因此陷入数据安全危机。

图：示意图

大韩航空是韩国的国家航空公司，同时也是亚洲规模最大的航空公司之一，运营着覆盖全球的客运与货运航线。该航企在全球范围内拥有约 1.8 万至 2 万名员工，航线网络连通各大洲多个目的地。2024 年，大韩航空承运旅客超 2300 万人次；截至 2025 年，其旅客运输量已突破 1600 万人次。大韩航空拥有一支现代化的庞大机队，以首尔主要机场为枢纽，搭建起密集的国际、国内航线网络。

据《韩国中央日报》援引消息人士报道，大韩航空已发布内部通知称，KC&D 公司已就其员工个人信息相关的安全漏洞事件进行通报。

大韩航空强调，此次网络安全事件未涉及任何客户数据泄露。

通知中指出：“2020 年从本公司拆分独立运营的机上配餐及机上零售企业 ——KC&D 服务公司，近期遭到境外黑客组织攻击。经核实，存储在该公司企业资源规划服务器中的本公司员工个人信息（姓名、银行账号）已发生泄露。本公司近期收到 KC&D 服务公司的相关通报后，方才获悉此事。尽管该事件发生于已拆分出售的外部合作企业的管理范围内，但鉴于涉及本公司员工信息，公司对此高度重视。”

大韩航空表示，在获悉数据泄露事件后，已立即启动应急安全措施，向有关部门进行报案，并正全力排查事件影响范围及受波及员工名单。该航企确认目前无更多员工数据泄露，但同时提醒全体员工警惕可疑信息。后续公司将为员工提供进一步指导与支持，并全面审查与合作方的安全协议，杜绝类似事件再次发生。

大韩航空副会长禹基洪在致员工的公开信中表示：“即便此次事件源于已剥离的第三方合作商，但鉴于涉及员工数据，大韩航空对此高度重视。目前，公司正集中全部力量，排查数据泄露的完整范围及具体受影响人员。”

大韩航空已向相关主管部门进行通报，同时正开展调查工作，以明确数据泄露的具体范围及泄露信息的针对性目标。

大韩航空并未指明发起此次攻击的具体黑客组织，但早在今年 11 月，Clop勒索软件团伙就已宣称对 KC&D 公司的攻击负责。该团伙不仅将 KC&D 公司列入其洋葱网络数据泄露网站，还公开了据称是窃取所得的数据。

近日，国家网信办发布《国家电子政务发展报告（2014—2024年）》（以下简称《报告》）。

图：官网截图

《报告》坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，系统总结2014年至2024年我国电子政务发展成效和经验，分析面临形势与挑战，提出下一步重点任务，为“十五五”时期推进国家电子政务高质量发展凝聚共识、提供指引。

《报告》指出，发展电子政务是顺应信息革命大势的战略选择，是实施网络强国战略的重要内容，是推进国家治理现代化的关键举措，是促进信息便民惠民的务实行动，对推进中国式现代化具有重大意义。

《报告》指出，2024年是网络强国战略目标提出10周年。十年来，各地区各部门深入贯彻习近平总书记关于网络强国的重要思想，坚持发挥信息化驱动引领作用，扎实推动电子政务稳步前行，赋能履职增效实现整体性提升，政务服务信息化实现跨越式发展，政务数据资源体系实现系统性重构，电子政务发展环境实现全局性优化，为推动国家治理体系和治理能力现代化提供了有力支撑。

《报告》指出，回顾十年发展历程，坚持统筹协调、坚持人民至上、坚持创新驱动、坚持集约共建、坚持安全可控，是推动电子政务高质量发展的宝贵经验。面向“十五五”，国家电子政务发展面临新形势新要求，要深入贯彻习近平新时代中国特色社会主义思想，认真落实习近平总书记关于网络强国的重要思想，更加注重为民惠民、更加注重智慧协同、更加注重赋能增效、更加注重安全可靠，构建完善全国一体化发展格局，夯实智能集约支撑底座，深化政务数据资源开发利用，提升政务服务普惠化智能化水平，规范引导前沿技术创新应用，强化网络安全屏障，健全人才培养体系，拓展国际合作与交流，推动电子政务发展迈上新台阶。

图：报告封面截图

《中华人民共和国网络安全法》的最新修正版将于2026年1月1日正式施行，这次修订主要强化了法律责任和数据保护要求。

图：示意图 

以下是核心内容：

一、修订背景与时间

修订时间：2025年10月28日通过，2026年1月1日施行。

修订目的：应对人工智能等新技术挑战，加强法律协同。

二、主要修订内容

强化法律责任：

网络运营者：不履行网络安全保护义务的，罚款从1万至5万元提高至5万至100万元。

关键信息基础设施运营者：罚款从5万至10万元提高至10万至100万元。

造成严重后果：罚款50万至200万元，责任人罚款5万至20万元。

造成特别严重后果：罚款200万至1000万元，责任人罚款20万至100万元。

新增条款：

党的领导：网络安全工作坚持中国共产党的领导，贯彻总体国家安全观。

人工智能支持：国家支持人工智能基础理论研究和算法等关键技术研发。

个人信息保护：

网络运营者：处理个人信息应遵守《民法典》《个人信息保护法》等规定。

用户权利：有权要求删除或更正错误信息。

三、实施意义

数据治理：强化数据安全，提升通信安全。

法律协同：为应对新技术挑战和加强法律协同铺设轨道。

12月25日，公安部在京召开专题新闻发布会，通报公安部和国家金融监督管理总局联合部署开展金融领域“黑灰产”违法犯罪集群打击工作举措成效情况，并公布了十起典型案例。公安部经济犯罪侦查局华列兵局长，国家金融监督管理总局稽查局邢桂君局长，上海金融监管局陈颖副局长，广东省公安厅经济犯罪侦查总队朱嘉伟总队长出席发布会并介绍有关情况。公安部新闻发言人李国忠主持发布会。

图：公安部新闻发布会现场 

公安部经济犯罪侦查局华列兵局长在发布会上介绍，近年来，金融领域的消费纠纷矛盾较为突出，滋生非法中介乱象，并借助互联网快速蔓延，已形成完整的黑灰产业链条，严重侵害金融消费者合法权益，扰乱金融市场正常秩序。为从源头上化解金融领域矛盾风险，今年6月至11月，公安部会同国家金融监管总局部署17个重点省市开展为期6个月的金融领域“黑灰产”违法犯罪集群打击。工作开展以来，全国公安经侦部门先后组织发起集群打击近60次，共立案查处金融领域“黑灰产”犯罪案件1500余起，打掉职业化犯罪团伙200余个，涉案金额累计近300亿元，有效净化了金融市场生态，全力维护了国家金融管理秩序和安全稳定，有力保护了金融消费者合法权益。

一是突出靶向清理、精准研判。聚焦贷款领域非法存贷款中介服务、保险领域非法代理退保理赔、信用卡领域不正当反催收等重点方向，充分发挥公安经侦部门资金分析优势，先后组织开展多期专项集中研判，为集群打击靶向精准治理提供有力保障。

二是突出集中攻坚、打深打透。强化拓展分析，注重跨机构、跨行业、跨地区犯罪延伸调查，深挖犯罪信息链、资金链、技术链、人员链，深入拓展上下游关联案件线索和犯罪团伙，延伸打击实际操控幕后黑手，形成了对金融领域“黑灰产”活动的全链条打击格局，从根源上铲除金融领域“黑灰产”滋生的土壤。

三是突出行刑联动、衔接高效。不断强化与金融监管部门、行业清算组织的协作配合，切实把监管数据、产业数据和警务数据整合汇聚，进一步健全了违法犯罪案件线索跨部门通报机制，有效推动形成行政稽查和刑事打击无缝衔接、一体推进的常态化打击整治工作格局。

四是突出执法规范、成效稳固。坚持依法办案，及时研究解决难点问题，通过典型案件剖析等方式，固化形成侦查工作规范。实现类案统一证据标准，确保办案质量，为后续常态化、制度化刑事打击扫清侦查和诉讼障碍。

五是突出源头治理、长效长治。针对集群打击中发现的制度漏洞、金融机构风险治理短板等问题，累计向主责部门发送“公安经侦建议函”39份，不断压缩不法中介利用制度漏洞从事违法犯罪活动的空间。同时，依托“5·15”全国公安机关打击和防范经济犯罪宣传日等节点加大宣防力度，部分地区金融纠纷投诉率明显下降，公众参与度、满意度显著提升。

国家金融监督管理总局稽查局邢桂君局长在发布会上介绍，今年6月金融领域“黑灰产”违法犯罪集群打击工作开展以来，金融监管稽查部门携手公安经侦部门，查办了一批重大案件、惩治了一批不法分子、披露了一批典型案例，有效遏制了金融领域“黑灰产”蔓延态势，切实维护了消费者合法权益，有力规范了金融市场秩序，以实实在在的打击成效积极践行金融工作的政治性和人民性。主要成效体现在四个方面：

一是从“分兵作战”转向“齐抓共管”，以更加健全的机制推进行刑衔接工作。今年3月，金融监管总局联合公安部制定涉嫌犯罪案件移送工作规定，夯实了联合执法的制度基础。双方持续强化工作会商，确保集群打击各项工作扎实推进。截至11月末，金融监管总局系统向公安机关移交线索4500余笔，涉及金额超210亿元；指导督促金融机构报案1700余起，涉及金额超170亿元。上海、重庆、浙江、江苏四家金融监管局和当地公安机关创新“监管+公安”执法协作机制，在线索研判、调查取证、罪名适用等方面加强实质性合作，取得了积极的打击成效。

二是从“常态排查”转向“靶向惩治”，以更加精准的线索扩大打击战果。通过监管大数据平台自主建模分析、深挖线索，推动集群打击工作专业化、数字化、智能化。靶向定位金融领域“黑灰产”违法犯罪疑点线索并移交公安机关立案侦查，大幅提升效率。监管部门在“零报案”“零投诉”情形下，穿透资金链、人员链、信息链，发现并移送多起涉案金额亿元以上的非法中介重大案件线索，推动线索落地成案。此外，针对各界较为关注的不法贷款中介包装经营贷、车险诈骗犯罪两类问题，组织开展专项稽查，发挥强大震慑。

三是从“被动应对”转向“主动作为”，以更加一致的目标维护金融市场秩序。督促金融机构加强对合作机构的管理，通过发布公开声明等方式引导公众正确认知，金融监管总局系统累计发布各类风险提示、公开声明或联合倡议书超1100份。指导各地主动对接网信、司法、市场监管等行业主管部门，协同处置非法引流广告、律所违规、中介虚假宣传等行为，从源头斩断非法中介获客渠道，净化金融生态。针对金融领域“黑灰产”入罪难、定罪难问题，组织开展六场座谈，邀请最高人民法院、最高人民检察院和公安部相关司局负责同志及律师、高校学者参加，推动类案打击。金融监管总局系统累计与各级公安、检察等机关会商1900余次，开展专题调研400余次，持续深化行政执法与刑事司法衔接协作，为严厉惩治非法中介提供坚强的法律保障。

四是从“末端处置”转向“溯源治理”，以更加扎实的举措夯实稳健发展根基。金融监管总局、公安部联合发布“黑灰产”典型案例，获得广泛关注，相关新闻稿件在总局官微浏览量10万+。金融监管总局系统累计开展线上线下专题宣教活动1700余次，通过媒体发布相关报道或专访300余次，加强正面引导。及时固化有益经验，优化调整监管政策，激励金融机构自查自纠，指导督促金融机构完善内部风险防控制度，推动建立或优化跨部门协作机制，进一步夯实稳健经营根基，着力推动金融行业高质量发展。

华列兵回答了记者关于金融领域“黑灰产”此类犯罪呈现哪些特征与挑战的提问。他表示，此类犯罪呈现出以下三方面的特点，一是运作模式产业化。金融领域“黑灰产”已形成一套完整的产业链条，包括虚假广告投放、提供“对抗”教程、定制统一话术、伪造虚假证明、代为谈判协商等环节。二是从业人员职业化。主要表现在部分职业律师和催收机构专业人员熟悉国家法律法规和信贷机构投诉规则，在利益驱使下相继加入“反催收”等团队，对不法行为推波助澜，产生了职业投诉人、代理人。三是作案手段隐蔽化。不法分子利用各类新技术手段和智能生成工具，有关行为识别发现难度很大。总的来看，“反催收联盟”、“职业背债”等新形态“黑灰产”在金融领域迅速扩张，蚕食金融机构合法利益，危害国家金融管理秩序，滋生各类违法犯罪，已经成为影响当前金融秩序的行业乱象之一。伴随行业整治和刑事打击的不断深入，金融领域“黑灰产”违法犯罪活动会更加隐蔽，犯罪手法更加复杂多变。公安机关将继续加强与金融监管部门协作配合，保持常态化打击震慑，积极参与非法金融中介行业乱象治理，为金融高质量发展贡献公安力量。

针对记者关于打击金融领域“黑灰产”违法犯罪存在哪些难点，公安机关有哪些应对措施的提问时，华列兵表示，通过专项打击发现，打击金融领域“黑灰产”违法犯罪的难点主要是三个方面，一是行为辨识难。金融领域“黑灰产”活动往往借助网络技术进行，产品多层嵌套，身份识别难，犯罪手法不断翻新，上下游非法产业链分工明确、相互独立，且犯罪国际化趋势愈发明显，行为隐蔽性强。二是性质认定难。金融领域“黑灰产”行为法律关系复杂，不法分子长期钻法律“空子”、打政策“擦边球”，运用合法形式掩盖非法目的，违法犯罪定性难度较大。三是信息追踪难。金融非法中介往往利用新媒体平台引流，然后通过点对点、一对一方式或专属群诱导客户消费借机牟利，其传播扩散呈网络化趋势，源头有效遏制难度加大。对此，公安机关采取的措施主要有，一是强化类案研究，明确认定标准。通过广泛调研，掌握非法中介活动现状，压实监管责任，推动研究形成非法中介的行为界定标准，明确涉嫌违法犯罪司法移送标准。二是深化技术应用，构筑智能防线。发挥行业优势，互通涉及非法中介活动的相关数据信息，对职业代理人等中介活动特征进行群体画像，做好异常特征筛查。三是构建协同体系，压实各方责任。建立针对非法中介的风险预警机制和异常机构名单共享机制，警示行业及时切断非法中介业务渠道，发挥行业力量进行联合惩戒。四是加强普及宣传，提升公众素养。定期公布典型案例，通过在主流媒体渠道曝光宣传，帮助社会公众正确认识非法中介代理行为，引导金融消费者通过正规渠道合法维权。

广东省公安厅经济犯罪侦查总队总队长朱嘉伟回答了记者关于“代理维权”类案件特点及预防措施的提问。他表示，通过广东公安机关侦办的周某某等人涉嫌非法集资案，发现这类案件存在以下特点，一是犯罪团伙组织化、专业化。犯罪团伙通过成立多家关联公司伪装身份，形成完整的组织架构和人员分工。充分利用消费者迫切想“解除债务”的心理，设计复杂的“服务”与合同陷阱，编制诱人话术，线上线下同步洗脑，专业化程度高。二是名为“解债”，实为骗新还旧。涉案公司并无实际经营活动，公司资质和宣称的项目为虚构，不法分子往往打着与相关资产处置公司有合作、可以“打折解债”“债务调解”等旗号行骗，其实是通过骗新还旧的庞氏骗局模式维持，以“解债”之名行诈骗之实。三是迷惑性大，发展迅速。犯罪团伙以召开线下推介宣传会，线上引流等方式向社会不特定人群公开宣传，影响力大，发展迅速，其中单个案件短短两年间即可在全国28个省份吸纳客户超万人次，涉案金额达9亿元。根据公安部集群打击统一部署，广东公安机关持续加强与有关部门配合，严厉打击金融领域“黑灰产”违法犯罪活动，全省共侦破贷款诈骗、骗取贷款、保险诈骗、信用卡诈骗、非法套现、合同诈骗、非法集资、集资诈骗等各类案件290余起，打掉犯罪团伙90余个，涉案金额21亿元，有效维护消费者合法权益和金融市场秩序。公安机关提醒广大消费者：凡是遇到打着“不用还的贷款”“全额化债”“低成本维权”“不成功100%退费”等极具诱惑力旗号的推介，消费者一定要保持高度警惕，切勿轻信虚假宣传，特别要拒绝预缴高额费用，应该通过与有关机构协商、向监管部门反馈或司法救济等合法渠道解决。

邢桂君回答了记者关于金融机构应该如何防范金融领域“黑灰产”的提问。他表示，当前，金融领域“黑灰产”已演化为借助高科技手段批量化、智能化、产业化造假，传统风控模式难以有效识别和应对。治理金融领域“黑灰产”既需要司法机关、各行业主管部门持续加强执法司法协作、综合施策，更需要金融机构坚定扛牢全面风险管理特别是内控合规管理的主体责任，筑牢风险屏障。借此机会，提醒各金融机构要牢固树立和践行正确政绩观，传承和发展铁账本、铁算盘、铁规章“三铁”内控管理准则，持续健全完善全面风险管理体系，努力使风险管理走在市场曲线前面，一是强化源头防控。金融机构要规范合作机构管理，加强第三方合作机构资质审核和日常监督管理；优化投诉分类处置与差异化考核政策，畅通客户合理诉求的投诉与调解渠道。二是加强科技赋能。金融机构要加大科技投入，充分运用大数据、人工智能等科技手段，提升“黑灰产”风险识别能力，构建智能化风险防控体系。三是转变经营理念。监管部门将持续规范行业经营秩序，金融机构要树牢正确的经营观、业绩观、风险观，找准市场定位，优化考核导向，提升自主获客能力，规范员工展业行为，核心服务功能不得外包，斩断“黑灰产”获利渠道。谢谢！

在回答记者关于金融监管总局下一步将采取哪些监管措施的提问时，邢桂君表示，金融领域“黑灰产”严重扰乱金融市场秩序，严重损害消费者合法权益，严重破坏社会信用体系，必须予以严厉打击。在今年集群打击过程中，深刻体会到，金融领域“黑灰产”的坐大成势并非短期形成，打击治理工作需持续发力、久久为功。经过公安系统和监管系统半年多的努力，金融领域“黑灰产”蔓延的势头虽有所收敛，但作案手段不断翻新，且愈发隐蔽，治理难度加大。2026年，金融监管总局将坚持防风险、强监管、促高质量发展工作主线，多措并举持续规范市场秩序，着力提升强监管严监管质效，一是继续加大打击力度。持续加大对非法贷款中介、非法代理维权等重点领域的打击力度，保持“公安+监管”联合执法高压态势，全力维护金融市场秩序、保障金融消费者合法权益。二是加强跨部门工作协同。强化与市场监管、司法部门等行业主管部门的沟通联动，发挥跨部门执法乘数效应，着力推动金融领域“黑灰产”综合治理。三是推动完善制度机制。研究制定有关违法犯罪行为的证据移送标准，进一步提升行刑衔接质效。同时，与相关部门开展联合调研，对金融犯罪相关制度进行专题研究，提出立法建议，共同推动健全金融法治。谢谢！

金融监管总局上海监管局陈颖副局长回答了记者关于在线索研判、调查取证、罪名适用方面上海金融监管局的主要做法。她表示，今年以来，在国家金融监督管理总局的指导下，上海金融监管局按照“联防移打治”的“五个一”工作思路，联动公安、检察机关落实金融领域“黑灰产”集群打击工作部署，发起集群战役15次，合力破获银行保险领域“黑灰产”案件117起，摧毁犯罪团伙40余个，抓获犯罪嫌疑人370余名，有力遏制金融领域“黑灰产”蔓延势头，持续净化金融生态。主要做法如下，一是实践一套跨部门联合工作机制，增进集群打击协同性。健全上海地区金融犯罪打击治理联合工作机制，印发5份金融犯罪联合惩治机制性文件，与公安、检察机关分别构建全国首个协同共治、协作配合办公室，实体化推进研判会商、办案支持、风险防范、源头治理等12方面工作，形成部门协作、齐抓共管“一盘棋”的工作格局。二是打造一套数智化防控系统，突出全流程案件风险管理精准性。通过多维数据比对实现跨数据库联合建模，构建金融领域“黑灰产”模型组，提升线索定位精准性，探索贯通数据识别、信息侦测、风险预警、线索移送、立案打击的信息化打击路径，提高“黑灰产”集群打击数智化水平。三是移送一批重大线索，强化金融领域“黑灰产”治理前瞻性。统一辖内案件线索移送模板和证据标准，通过“专项金融稽查+机构排摸串并”双线筛查线索，召开200余场线索分析研判会，深挖犯罪信息链、资金链、技术链、人员链，向公安机关移送近900条重点线索，切实做到金融领域“黑灰产”早识别、早预警、早暴露、早处置。四是打击一批典型案件，注重发挥案例警示震慑有效性。联合破获车险分期贷款诈骗案、以“债务重组”为名非法放贷案和豪车险职业骗保索赔案等重点案件，并进行联合挂牌督办。针对“职业索赔”“职业背债人”等案情复杂的重大案件，共同商议案件定性、证据规格、罪名认定，联合发布27个金融领域“黑灰产”典型案例，形成类案打击、起诉、通报的“上海样板”。五是构建一个综合治理体系，夯实打击金融领域“黑灰产”的坚实基础。坚持打击和防范并举。联合开展“清朗浦江e企共治”整治网上金融信息乱象专项行动，治理金融领域骚扰电话和垃圾短信问题，源头治理金融领域“黑灰产”乱象。

为持续做好网络安全和数据安全教育，共同营造安全可靠的网络空间，现将近期全国各地网络和数据安全领域典型案例汇编如下。

图：示意图

01、2025年12月，苍南县网信办根据线索发现，属地某公司运营的多个网站存在网络安全漏洞。经调查，该公司网络安全风险意识不足，对公司网络信息系统的运营维护管理不到位，未按规定履行网络安全保护义务。苍南县网信办依据《中华人民共和国网络安全法》等法律法规，对该公司进行约谈，并责令其限期整改。

02、2025年12月，平阳县网信办根据线索发现，属地某公司所属网络信息系统多次存在弱口令风险漏洞。经调查，该公司网络安全风险意识不足，对公司网络信息系统的运营维护管理不到位，未按规定履行网络安全保护义务。平阳县网信办依据《中华人民共和国网络安全法》等法律法规，对该公司进行约谈，并责令其限期整改。

03、2025年12月，湖南省郴州市网信办根据线索发现，属地某公司部分数据泄露。经调查，该公司存在不履行网络安全、数据安全、个人信息保护义务行为，其相关信息系统未采取加密保护、健全网络安全管理制度、系统访问权限最小化授权等相应技术措施和其他必要措施保障数据安全。郴州市网信办依据《中华人民共和国数据安全法》等法律法规，对该公司作出警告并罚款10万元人民币的行政处罚。

04、2025年12月，重庆市黔江区网信办在巡查中发现，属地某公司所属视频监控平台遭受网络攻击，存在网络安全风险隐患。经调查，该公司未采取防范网络入侵等危害网络安全行为的技术措施，公司所属视频监控平台遭受网络攻击后，未及时采取有效措施处置风险，未按照规定向主管部门报告。黔江区网信办依据《中华人民共和国网络安全法》等法律法规，对该公司作出警告的行政处罚，并责令其限期整改。

05、2025年12月，新疆维吾尔自治区喀什地区喀什市网信办在工作中发现，属地某体检中心前置服务器多次遭受木马病毒攻击，存在个人信息泄露风险隐患。经调查，该体检中心未严格履行网络安全保护义务，网络安全保护责任落实不到位。喀什市网信办依据《中华人民共和国网络安全法》等法律法规，对该体检中心作出行政警告处罚，并责令其限期整改。

06、2025年12月，广西壮族自治区贵港市网信办在工作中发现，属地某医院所属系统存在漏洞，存在信息泄露风险。经调查，该医院未依法采取严密技术措施防范计算机病毒、网络攻击、网络侵入等危害网络安全的行为，未严格履行网络安全保护义务。贵港市网信办依据《中华人民共和国网络安全法》等法律法规，对该单位作出作出行政警告处罚，并责令其限期整改。

07、2025年12月，河南省新乡市网信办根据线索发现，属地某中心遭受网络攻击，被不法分子利用漏洞植入木马。经调查，该中心网络安全主体责任意识淡薄，未履行网络安全保护义务，系统存在可被利用的安全漏洞而未及时修复。新乡市网信办依据《中华人民共和国网络安全法》等法律法规，对该中心予以警告；同时按照党委(党组)网络安全责任制相关规定，对该中心进行通报批评。

08、2025年10月，江西省南昌市西湖区网信办根据线索发现，属地某公司数据库存在未授权访问漏洞，有数据泄露风险。经调查，该公司未依法履行网络安全保护义务，未采取技术措施和其他必要措施保障数据安全，未按法律规定留存相关网络日志。西湖区网信办依据《中华人民共和国网络安全法》等法律法规，对该公司作出警告的行政处罚。