每日安全简讯(20250611)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯AI聊天机器人公司泄露超过500名Canva创作者信息

近日，网络安全公司UpGuard发现，俄罗斯AI聊天机器人公司My Jedai运营的一套Chroma数据库在线暴露，泄露了超过500名Canva创作者的电子邮件地址及其对平台的反馈信息。此次数据曝光源自一份详细调查问卷，涉及报酬、使用体验及AI技术应用等内容，共计571个邮箱及大量个人化回答。尽管数据库大部分内容为通用资料，但该部分涉及实际用户身份和创作经验，引发对AI系统中敏感数据管理的担忧。数据库托管在爱沙尼亚IP下，缺乏任何认证保护，属于配置不当造成的公开访问。Canva表示，已确认泄露文件与用户账号无关，并已联系受影响创作者，同时配合监管机构履行合规义务。此次事件反映出AI训练平台在数据使用上的风险和监管盲区，凸显全球范围内对敏感信息流动路径日益难以掌控的问题。

https://hackread.com/limited-canva-creator-data-expose-ai-chatbot-database/

---

2 美国最大有机食品分销商遭网络攻击导致运营中断

美国最大天然与有机食品分销商United Natural Foods（UNFI）近日向监管机构披露遭遇网络攻击，导致其信息系统受损，客户订单配送受到严重干扰。该公司是Whole Foods的主要供应商，服务覆盖美国50州与加拿大10省，影响面广泛。此次攻击于上周四被发现，目前调查仍处初期阶段，公司预计业务中断仍将持续。此次事件导致UNFI股价一度大跌9%。FBI此前曾警告食品农业领域网络攻击激增，类似攻击已波及JBS、Dole等大型食品企业。UNFI已启动应急响应，部分系统被主动下线以遏制攻击，并已通知执法部门及聘请取证专家协助调查。该事件凸显零售与供应链领域日益严峻的网络威胁形势。

https://www.govinfosecurity.com/whole-foods-supplier-faces-cyberattack-disrupting-operations-a-28629

---

3 谷歌修复可能泄露账户绑定电话号码的漏洞

安全研究员BruteCat近日披露，谷歌曾存在一项严重漏洞，攻击者可借助用户名和部分手机号信息，暴力破解出与任意谷歌账号绑定的完整手机号。该攻击方式利用的是谷歌一套已废弃但仍在线的“无JavaScript用户名找回”表单，该页面缺乏现代防护机制。BruteCat利用IPv6地址轮换绕过限速机制，并通过模拟有效BotGuard令牌绕过验证码验证，构建了高效的暴力破解工具，能够每秒发起4万次请求。在美国，仅需20分钟即可穷举出目标手机号。谷歌在接到报告后初判风险为低，随后于5月将其升级为“中等严重性”并采取缓解措施，于6月彻底弃用相关接口。该漏洞一旦被滥用，可能为钓鱼诈骗和SIM卡交换攻击打开大门。目前尚无证据表明此漏洞曾被恶意利用。

https://www.bleepingcomputer.com/news/security/google-patched-bug-leaking-phone-numbers-tied-to-accounts/

---

4 Mirai变种利用Wazuh服务器的一个高危漏洞发起攻击

安全研究公司Akamai近日披露，至少两个Mirai僵尸网络正在利用Wazuh服务器中一个高危漏洞（CVE-2025-24016）发起攻击，这是该漏洞首次在野外被利用。Wazuh是一款开源的威胁检测与响应平台，亦为SIEM解决方案。该漏洞CVSS评分高达9.9，允许通过未过滤的JSON输入执行远程Python代码，攻击者可轻松入侵未打补丁的Wazuh服务器。Mirai本为感染物联网设备（如路由器、摄像头等）而生，但此次转向传统x86 Linux服务器，显示其攻击面持续扩展。此次入侵行动中，两种Mirai变种“Lzrd”和“Resentual”相继浮现，攻击脚本支持多种架构，体现出模块化和快速武器化的趋势。安全专家提醒，Wazuh服务器本不应暴露于公网，应立即修补漏洞并限制API访问，以避免成为僵尸网络控制节点。

https://www.govinfosecurity.com/mirai-botnets-exploit-flaw-in-unpatched-wazuh-servers-a-28624

---

5 工业科技企业Sensata确认勒索攻击导致员工敏感信息泄露

全球工业科技企业Sensata Technologies近日通报，其于4月遭遇的勒索软件攻击已造成大规模个人信息泄露，波及现任及前任员工及其家属。此次事件最初发生于3月28日至4月6日间，攻击者在此期间成功入侵其网络并窃取敏感数据。经深入调查，受影响信息包括姓名、地址、社会安全号、驾照及护照号码、金融及医疗信息等，种类广泛、泄露风险高。Sensata已向受影响人员发出正式通知，并提供一年免费的信用监控及身份盗窃防护服务。该公司尚未披露具体受害人数，目前尚无任何勒索组织公开对此次攻击负责。此次事件再次突显工业控制领域在面临网络勒索时的高风险敞口，也提醒企业需强化对员工数据的保护措施。

https://www.bleepingcomputer.com/news/security/sensata-technologies-says-personal-data-stolen-by-ransomware-gang/

---

6 美国司法部采取行动扣押与朝鲜IT员工诈骗案相关的774万美元加密货币

美国司法部（DOJ）近日发起民事没收程序，要求没收价值774万美元的加密货币和数字资产，这些资产与朝鲜伪装IT人员获取美国远程职位、为朝鲜政府创收的非法活动有关。该行动源于2023年4月起诉朝鲜外贸银行代表Sim Hyon Sop的案件，此人涉嫌协助IT人员洗钱，并通过NFT购买、小额转账和链间跳转等手法隐匿资金来源。据DoJ说明，朝鲜政府派遣大量技术人员以假身份接触区块链等公司远程职位，从雇主处骗取稳定币收入。这些资金最终回流朝鲜，部分通过与国防部有关联、早在2017年已被制裁的企业“Chinyong”洗出。2024年还起诉了一批协助伪装身份的美国及乌克兰人员，包括亚利桑那州的Christina Chapman和波兰被捕、正待引渡的Oleksandr Didenko。Chapman面临多项罪名，包括欺诈、身份盗用、非法就业协助与洗钱。这一连串执法行动反映了美国政府打击朝鲜通过网络和技术渗透全球供应链、规避制裁的坚定立场，也警示企业需严格审查远程雇员背景，防范国家支持的网络渗透与洗钱风险。

https://securityaffairs.com/178810/cyber-crime/doj-seize-7-74m-linked-to-north-korean-it-worker-scam.html

---