每日安全简讯(20250605)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 印度生鲜平台KiranaPro遭黑客攻击导致数据被彻底删除

印度生鲜配送初创公司KiranaPro近日遭遇严重网络攻击，所有应用代码与服务器数据被黑客彻底删除。该公司CEO向TechCrunch证实，受影响数据包括客户姓名、地址及支付信息等敏感内容。尽管KiranaPro应用仍可访问，但已无法正常处理订单。据悉，KiranaPro于2024年12月上线，基于印度政府的开放数字商务网络运作，支持多语言语音下单服务，用户规模达55000人，活跃用户每日下单量超2000笔。公司原计划百日内扩展至100座城市，但黑客事件迫使其战略暂停。此次攻击疑似源于前员工账户被滥用，攻击者通过其GitHub与AWS根账户入侵，删除了所有EC2服务。尽管启用了多因素认证，系统仍被攻破。公司现已无法通过根账户获取日志，仅能通过IAM账户查看残留信息。技术负责人称尝试登录时，发现多因素认证码已被更改。KiranaPro正向GitHub寻求技术支持追查攻击来源，并准备对前员工提起法律诉讼。此次事件暴露了其在账号管理及访问控制方面的薄弱环节，引发外界对初创企业云安全治理的广泛关注。

https://techcrunch.com/2025/06/03/indian-grocery-startup-kiranapro-was-hacked-and-its-servers-deleted-ceo-confirms/

---

2 网络犯罪平台“Russian Market”成为盗取凭证的主要交易市场

随着Genesis Market被执法机关关闭，网络犯罪平台“Russian Market”迅速崛起，成为信息窃取类恶意软件（Infostealer）盗取凭证的主要交易市场。据ReliaQuest分析，该平台现已吸引大量黑产买家，交易内容主要包括账号密码、浏览器Cookie、加密钱包数据等敏感信息，部分日志售价低至2美元。尽管平台中85%的凭证为“二次利用”旧数据，仍因其种类丰富、上架频繁而备受追捧。研究显示，其中61%的日志包含SaaS平台凭证（如Google Workspace、Zoom、Salesforce），77%含单点登录（SSO）账户信息，表明企业级攻击趋势明显。此前主导市场的Lumma Stealer因其高达92%的市场份额而备受瞩目，但在近期全球执法行动中受挫，大量相关域名被查封。目前，其开发者正尝试重建系统。而与此同时，名为Acreed的新兴信息窃取器迅速崛起，首周即上传超4000条日志，成为继Lumma后的新一代主力工具。Acreed与其他信息窃取器类似，通过钓鱼邮件、恶意广告、虚假软件或社媒引流视频传播。安全专家提醒用户保持警觉，避免轻信不明链接和下载来源，防范个人信息和企业资产被非法获取。

https://www.bleepingcomputer.com/news/security/russian-market-emerges-as-a-go-to-shop-for-stolen-credentials/

---

3 研究人员发现Meta通过监听本地主机端口绕过隐私保护机制

近日，多所欧洲高校研究人员联合发布报告，揭露Meta（Facebook、Instagram）与俄罗斯搜索引擎Yandex通过Android本地应用监听localhost端口，从而将网页浏览数据与用户身份关联，绕过常规隐私保护机制。研究指出，两家公司在数千个网站中嵌入追踪脚本，借助WebRTC和SDP Munging等技术，通过localhost向设备上的原生App传输cookie和浏览元数据，实现跨站用户识别。这一行为打破了用户对隐私隔离机制的预期，如清除Cookie、隐身模式与权限限制。报告披露后，Meta于6月初已暂停相关技术，并移除大部分追踪代码。目前Chrome和DuckDuckGo等浏览器已开始采取对策，谷歌也在考虑引入“本地网络访问”权限机制，以应对此类漏洞。该事件再次引发对隐私侵犯与移动平台政策监管的广泛关注。

https://www.theregister.com/2025/06/03/meta_pauses_android_tracking_tech/

---

4 谷歌发布紧急安全更新修复在野外被利用的Chrome零日漏洞

谷歌近日发布紧急安全更新，修复了2025年以来第三个在野外被利用的Chrome零日漏洞CVE-2025-5419。该漏洞源自Chrome浏览器V8 JavaScript引擎中的越界读写漏洞，属于高危漏洞。谷歌安全团队在一周前发现该漏洞，并于次日通过配置变更初步缓解风险，随后于6月发布新版本修复该漏洞，涵盖Windows、Mac及Linux平台。谷歌提醒用户可通过浏览器菜单手动检查更新，加速补丁安装。虽然确认漏洞已被攻击者利用，谷歌暂未披露更多攻击细节，强调将在大部分用户更新后再公开信息。此前，今年3月和5月谷歌也紧急修复了两个Chrome零日漏洞，分别涉及沙箱逃逸和账户接管风险，部分漏洞被用于针对俄罗斯政府的间谍攻击。去年谷歌共修复了10个Chrome零日漏洞，显示出浏览器面临的持续安全压力。此次修复再次凸显及时更新浏览器的重要性，以防范持续出现的高级攻击威胁。

https://www.bleepingcomputer.com/news/security/google-patches-new-chrome-zero-day-bug-exploited-in-attacks/

---

5 美国社区银行MainStreet遭到黑客攻击导致客户数据被窃取

美国社区银行MainStreet Bancshares近日向美国证券交易委员会（SEC）披露，旗下部分客户数据在一起第三方供应商遭黑客攻击事件中被窃取。此次攻击发生于今年3月，至4月28日，银行确认约4.65%的客户数据被涉及。虽然MainStreet自身的技术基础设施未受影响，也无资金被盗，但事件凸显了供应链安全的薄弱环节。该行已中止与涉事供应商的合作，并于5月26日完成受影响客户的通知与监测安排。此事件正值美国金融界对SEC去年底施行的第1.05条规则，强制数据泄露上报条款表示不满之际。多个银行协会联名致信，要求废除该规定，称其过于苛刻、增加运营负担，且为勒索者提供了利用工具。该规则要求在数据事件“具重大性”时快速披露，引发监管界与金融界间的持续争议。

https://www.theregister.com/2025/06/02/mainstreet_bancshares_says_thirdparty_breach/

---

6 Vanta漏洞导致部分客户的私密数据被其他客户访问

合规服务公司Vanta近日证实，由于产品代码变更引发的漏洞，导致部分客户的私密数据被其他Vanta客户访问。此次事件并非外部攻击所致，而是源于5月26日Vanta进行的一次代码更新，预计修复工作将于6月4日完成。据Vanta首席产品官Jeremy Epling称，此次数据泄露涉及不到20%的第三方集成数据，受影响客户不到4%，但由于Vanta拥有超过10000家客户，意味着可能有数百家企业受到影响。一位受影响客户向媒体表示，其员工账户数据被错误导入其他客户的Vanta系统中，同时也收到了来自其他客户的相似数据。泄露内容可能包括员工姓名、角色信息以及与安全工具配置相关的信息，例如多因素认证的使用情况。Vanta目前未公开受影响数据的具体种类，也未说明是否包括自身员工数据。作为一家在自动化合规服务领域增长迅速的公司，Vanta自2018年成立以来已累计融资超3.5亿美元，最近一轮融资发生在2024年7月。此次事件为其信任基础带来严峻考验。

https://techcrunch.com/2025/06/02/vanta-bug-exposed-customers-data-to-other-customers/

---