安全资讯 第6页

聚合当前分类下的最新内容,按时间顺序查看第 6 页精选文章。

台湾66亿美元无人机预算:防务急单,也是外向型军工窗口
安全 2026/6/19

台湾66亿美元无人机预算:防务急单,也是外向型军工窗口

台湾防务部门提出2026至2031年投入66亿美元,采购本土无人机和无人水面艇,目标规模与现有约5000架无人机军备相比是数量级跃升。 这笔预算还不是采购结果,但已经给本土厂商一个明确信号:产能、认证和交付能力会变得更值钱。 台湾厂商正在借西方军工供应链“去中国化”进入美国、欧洲及乌克兰相关链条,但短板仍在AI、软件和作战系统。

无人机台湾防务军工供应链
MCP 企业授权扩展稳定:AI 工具进公司,不能再靠员工逐个点 OAuth
安全 2026/6/19

MCP 企业授权扩展稳定:AI 工具进公司,不能再靠员工逐个点 OAuth

MCP 的 Enterprise-Managed Authorization(EMA)扩展已进入稳定版,核心变化是企业管理员可通过 IdP 集中授权 MCP 服务器访问。它不是替代 MCP 核心授权的强制升级,而是给企业治理、安全审计和账号边界补上标准化入口。能否成为企业默认方案,要看 Okta 之外的 IdP、更多 MCP 客户端和服务器是否跟进。

Enterprise-Managed AuthorizationMCP企业授权
Elkjop 被罚 180 万欧元:会员同意不能再当营销门票
安全 2026/6/19

Elkjop 被罚 180 万欧元:会员同意不能再当营销门票

挪威 Datatilsynet 对 Elkjop 罚款 2000 万挪威克朗,约 180 万欧元,原因是会员资格与营销同意捆绑,且会员数据被继续用于广告和转化追踪。监管认定相关同意被强迫、不具体、告知不足,还涉及未做 GDPR 第 6(4) 条兼容性评估。真正受影响的不是一家零售商,而是所有把会员、CRM、邮件营销和广告归因绑成一条流水线的团队。

GDPR营销同意数据保护
Beats Studio Buds 补上高危窃听漏洞,蓝牙耳机的安全债还在后面
安全 2026/6/19

Beats Studio Buds 补上高危窃听漏洞,蓝牙耳机的安全债还在后面

Apple 已向 Beats Studio Buds 自动推送 1B211 固件,修复高危蓝牙认证漏洞 CVE-2025-20701,评分 8.8/10。攻击需要近距离、配对状态等条件,目前没有公开证据显示已被大规模利用,普通用户不必恐慌。真正要盯住的是 Airoha 芯片固件、耳机厂商补丁整合和自动配对体验背后的供应链安全债。

蓝牙漏洞CVE-2025-20701Beats Studio Buds
Android 开发者验证 2026 年先在四国执行:侧载没消失,但门槛变高了
安全 2026/6/19

Android 开发者验证 2026 年先在四国执行:侧载没消失,但门槛变高了

Google 确认,Android 开发者验证将从 2026 年 9 月 30 日起先在巴西、印尼、新加坡、泰国执行,6 月起相关系统服务会下发到多数 Android 8 及以上的 Google 认证设备。 这不是全面禁止侧载,第三方商店和绕过流程仍在;但未注册开发者、独立 APK 分发和高级用户安装工具,都会遇到更高门槛。 我更在意的是:反诈骗能解释安全需求,却不能抹掉 Android 开放安装生态被重新收口的事实。

Android 开发者验证GoogleAndroid
SpaceX上市前境外持股名单曝光:风险不在“偷技术”,而在谁能看见什么
安全 2026/6/19

SpaceX上市前境外持股名单曝光:风险不在“偷技术”,而在谁能看见什么

ProPublica推动解封的法庭文件显示,SpaceX上市前曾有中国内地、香港、俄罗斯及卡塔尔相关投资人通过美国中介基金间接持股。现有材料不能证明SpaceX违法或投资人获取机密,但它暴露了敏感国防承包商在私募融资阶段的所有权透明度和信息边界问题。

SpaceX境外持股国防承包商
MosaicLeaks 撕开的口子:研究型 Agent 越会查,越可能把机密带出门
安全 2026/6/19

MosaicLeaks 撕开的口子:研究型 Agent 越会查,越可能把机密带出门

ServiceNow 发布 MosaicLeaks,用 1,001 条受控多跳研究链测试深度研究 Agent 是否会在外部搜索查询里泄露企业私有信息。最关键的反常点是:只奖励任务成功,会把 Qwen3-4B 的成功率从 48.7% 拉到 59.3%,也把泄露率从 34.0% 推到 51.7%。PA-DR 把隐私写进奖励函数后,成功率保持在 58.7%,泄露率降到 9.9%,但这仍不是彻底解决方案。

隐私泄露研究型 AgentMosaicLeaks
得州300万人证件信息外泄:政府外包系统的责任缺口暴露了
安全 2026/6/19

得州300万人证件信息外泄:政府外包系统的责任缺口暴露了

得州总检察长披露,Texas Parks & Wildlife 的狩猎和钓鱼许可证销售系统供应商遭入侵,超过300万人的驾照信息、护照号码、邮箱、电话和住址被获取。 这不是得州政府主系统整体被攻破,已知入口是部门许可证系统供应商。 更要紧的问题是:公共服务把高敏感身份数据交给外包系统后,谁负责安全、谁负责通报、公众该按什么信息判断风险。

数据泄露Texas Parks & Wildlife政府外包系统
约 1 万个 GitHub 仓库疑似用克隆项目分发木马,真正危险的是“看起来很正常”
安全 2026/6/18

约 1 万个 GitHub 仓库疑似用克隆项目分发木马,真正危险的是“看起来很正常”

一名研究者通过 GitHub 事件数据和 API 筛选,发现约 1 万个非 fork 仓库疑似克隆正常项目,并在 README 中加入含木马的 zip 下载链接。这个数字不是 GitHub 官方统计,也不能证明所有样本来自同一团伙;但它指向一种更麻烦的分发方式:用提交历史、贡献者列表和搜索索引伪装成正常开源项目。最该紧张的不是所有 GitHub 用户,而是开源维护者、安全研究人员,以及会从陌生仓库下载压缩包的开发者。

GitHub木马分发恶意仓库
美国中期选举前,SAVE项目把选民名册推向隐私风险中心
安全 2026/6/18

美国中期选举前,SAVE项目把选民名册推向隐私风险中心

特朗普政府在2026年中期选举前扩大使用国土安全部SAVE项目,要求多州提交完整选民登记数据,以核查并清理被认定不合格的选民。真正的风险不在于核验本身,而在于用一个原本服务福利资格审查的系统集中处理选民敏感信息,可能放大误删、泄露和联邦越权争议。

SAVE项目选民名册隐私风险
欧盟机构账号迁入 W Social:数字主权不能只看服务器在哪
安全 2026/6/19

欧盟机构账号迁入 W Social:数字主权不能只看服务器在哪

clearsky.app 的 ATproto 索引截图显示,欧盟委员会、冯德莱恩、欧洲央行和拉加德等账号已从 Bluesky 迁至 W Social 服务器。真正的争议不在于公共机构能否使用欧洲平台,而在于以“数字主权”之名迁入一个透明度不足的私营平台,可能把公共传播基础设施交给新的黑箱。

数字主权W SocialATproto
澳洲品牌短信要注册:ACMA 开始卡住“谁能用这个名字发消息”
安全 2026/6/18

澳洲品牌短信要注册:ACMA 开始卡住“谁能用这个名字发消息”

ACMA 要求从 2026 年 7 月 1 日起,企业、组织、学校、社区团体和国际机构向澳大利亚用户发送带品牌发件人 ID 的短信/MMS 前完成注册。未注册不等于一律屏蔽,但消息可能出现送达中断或展示变化。关键变化不是审短信内容,而是把可随意伪装的品牌名称,变成需要备案、可追责的通信身份。

短信诈骗治理ACMASMS Sender ID Register
7.4 万台 Fortinet 防火墙凭据暴露:企业边界设备的旧账被翻出来了
安全 2026/6/18

7.4 万台 Fortinet 防火墙凭据暴露:企业边界设备的旧账被翻出来了

研究人员发现一批俄语犯罪攻击者大规模攻破 Fortinet 防火墙,约 7.4 万台设备、2.1 万多个 IP、194 个国家受影响,规模据称接近互联网上暴露 Fortinet 防火墙的一半。受影响名单涉及 Oracle、Chevron、Lenovo、FedEx、Fortinet、北约防务承包商等,但“数据出现”不能等同于整网沦陷。真正危险的是:远程入口、弱口令、SSL VPN 哈希破解和 AD/Radius 等集中认证系统连成了一条内网入口链。

Fortinet防火墙失守FortiGate
FTC 起诉 Genesis Tech:订阅陷阱已经从 App 变成支付网络
安全 2026/6/18

FTC 起诉 Genesis Tech:订阅陷阱已经从 App 变成支付网络

FTC 起诉 Genesis Tech,称其借塞浦路斯等地壳公司、多个商户账户和跨境资金流转,面向美国消费者运营疑似强诱导订阅应用。 涉案品牌包括 MadMuscles、Unimeal、PDF Guru、Nebula 等;诉状提到,2023 年初至 2025 年中,五家公司产品全球收入近 2.5 亿美元。 这案子的关键不在几个 App 被点名,而在订阅灰产已经公司化、跨境化、支付基础设施化,平台治理还习惯按单个 App 打地鼠。

订阅骗局FTCGenesis Tech
Fortinet 设备遭大规模入侵:问题不在零日漏洞,而在密码没有换
安全 2026/6/18

Fortinet 设备遭大规模入侵:问题不在零日漏洞,而在密码没有换

两家安全公司称,疑似俄语网络犯罪团伙正在入侵全球暴露在互联网上的 Fortinet 防火墙和 VPN 设备,涉及大型企业、政府机构和多个国家。更关键的判断是:攻击并非依赖未知漏洞,而是复用已泄露或已知密码,暴露了企业边界设备的凭据治理短板。

FortinetFortiBleed防火墙
ICE近千万美元采购ITIN数据服务:税号隐私被推向数据经纪商灰区
安全 2026/6/18

ICE近千万美元采购ITIN数据服务:税号隐私被推向数据经纪商灰区

404 Media查阅的采购记录显示,ICE在6月5日签下一份996.8万美元合同,采购与ITIN税号相关的数据订阅和分析服务。争议点不在“欺诈调查”四个字,而在法院已阻止IRS向DHS/ICE共享类似税务信息后,ICE是否正借商业采购绕开前门限制。现在最该看的,是合同实际数据字段、真实数据源,以及HSI如何区分欺诈调查和移民执法。

ICEITIN移民税号隐私
FCC反骚扰电话提案,把手机匿名性推到台前
安全 2026/6/17

FCC反骚扰电话提案,把手机匿名性推到台前

404 Media 本期播客讨论 FCC 拟要求电信公司在办理手机套餐时收集所有客户的政府身份证件号码,名义目标包括遏制 robocall,但代价可能是压缩预付费手机和 burner phone 的匿名空间。真正重要的不是骚扰电话治理本身,而是通信入口一旦实名化,执法、平台和数据系统会获得更稳定的身份锚点。

FCC手机实名制隐私争议
Secure Boot 旧证书 6 月 24 日到期:别急着怕开不了机,更该查启动防线有没有换钥
安全 2026/6/17

Secure Boot 旧证书 6 月 24 日到期:别急着怕开不了机,更该查启动防线有没有换钥

6 月 24 日,微软用于 Secure Boot 信任链的三项 2011 年签名证书将到期,新证书是 2023 年版本。多数未更新设备通常不会因此失效,但会少掉针对新 UEFI 启动威胁的完整保护。Windows 10/11 用户要确认 Secure Boot 与系统更新状态,启用 Secure Boot 的 Linux 用户更要盯发行版 shim 更新。

Secure Boot启动安全微软
IIS 默认页不是漏洞,真正要查的是误配置链条
安全 2026/6/17

IIS 默认页不是漏洞,真正要查的是误配置链条

原文讨论的是授权漏洞赏金和安全测试里的 IIS 侦察,不是无授权攻击教程。IIS 默认欢迎页只能说明服务暴露,真正的风险常在虚拟主机绑定、配置文件泄露、8.3 短文件名和 ASP.NET 旧机制里。企业安全团队该把这类问题当成资产治理失败来处理,而不是只盯着某个单点漏洞。

IIS误配置漏洞赏金
苹果 Hide My Email 要换域名:功能没关,但匿名性可能变弱
安全 2026/6/17

苹果 Hide My Email 要换域名:功能没关,但匿名性可能变弱

苹果将在未来数周把 Hide My Email 生成的匿名邮箱从 @icloud.com 迁移到 @private.icloud.com,现有地址仍会继续转发。问题不在功能下线,而在匿名邮箱被域名直接标出来,网站和应用更容易识别、过滤或拒绝。对 iCloud+ 用户来说,重要账户别只押注匿名邮箱;对开发者和邮件服务商来说,过滤规则要跟着改。

Hide My Email苹果iCloud+
GrapheneOS 完成 Android 17 移植:Pixel 用户别急着切 alpha
安全 2026/6/17

GrapheneOS 完成 Android 17 移植:Pixel 用户别急着切 alpha

GrapheneOS 称已在 Android 17 正式发布当天完成移植,并将向公开仓库推送代码,首个 Android 17 官方版本计划次日进入公开测试/发布流程。对 Pixel 和 GrapheneOS 用户来说,真正的问题不是“能不能升”,而是“何时升、用什么通道升、能否承受回退清数据的代价”。

GrapheneOSAndroid 17Pixel