Instagram密码重置事件引数据泄露担忧
发布时间 2026-01-121. Instagram密码重置事件引数据泄露担忧
1月11日,全球多地Instagram用户陆续收到看似来自官方邮箱的意外密码重置邮件,引发大规模数据泄露担忧。此次事件涉及超百万用户,网络安全公司Malwarebytes在暗网发现包含约1750万个Instagram账户敏感信息的数据集,包括用户名、电话号码、电子邮箱及地理位置等,虽未包含密码,但专家警告该信息可能被用于网络钓鱼、身份盗窃及社会工程攻击,相关数据已在地下平台流通,加剧隐私安全风险。面对质疑,Instagram母公司Meta公开否认系统遭入侵,称事件源于技术故障导致外部人员可触发部分用户密码重置邮件,强调"系统未被攻破,账户仍安全",并呼吁用户忽略未请求的重置邮件。然而,该解释未能完全消除公众疑虑,尤其在缺乏详细技术分析的情况下,用户对账户安全仍存担忧。
https://securityboulevard.com/2026/01/massive-instagram-data-scare-ties-17-5m-accounts-to-leak-but-meta-denies-breach/
2. BreachForums新版本数据泄露揭露32万用户信息
1月10日,臭名昭著的黑客论坛BreachForums最新版本遭遇重大数据泄露,其用户数据库表及PGP私钥等敏感信息被公开。该论坛作为RaidForums的继任者,长期活跃于非法数据交易、企业网络访问权限售卖等网络犯罪领域,此前多次因执法行动被迫迁移域名,甚至被质疑为执法部门诱饵。本次泄露源于一个名为"brokeedforum.7z"的压缩文件,内含三个关键文件:包含323,988条成员记录的MyBB用户数据库表(mybb_users)、2023年7月创建的PGP私钥文件,以及关联勒索团伙ShinyHunters的文本。分析显示,数据库表中70,296条记录包含真实公共IP地址,可能构成用户安全隐患,但对执法部门及安全研究人员具有重要价值。值得注意的是,PGP私钥虽已泄露,但受密码保护,目前密码已被公开验证,存在被滥用的潜在风险。据BreachForums管理员"N/A"证实,此次泄露源自2025年8月论坛从.hn域名恢复重建期间,用户表及PGP密钥曾短暂存储于不安全文件夹,仅被下载过一次。
https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/
3. 伊利诺伊州IDHS近70万居民数据泄露
1月10日,近期,伊利诺伊州人类服务部(IDHS)披露一起因隐私设置配置错误导致的大规模数据泄露事件。经调查,2021年4月至2025年9月期间,约32,401名康复服务部(DRS)客户的姓名、地址、病例编号、转介来源及受益人状态等敏感信息遭泄露;2022年1月至2025年9月,672,616名医疗补助和医疗保险储蓄计划受益人的地址、病例编号、人口统计信息及计划名称亦被泄露,但姓名未被暴露。此次事件源于IDHS家庭和社区服务司规划与评估局在地图网站上创建的内部资源分配规划地图被错误设置为公开可访问,这些地图本仅供内部使用,用于决策如新办事处选址等。发现漏洞后,IDHS立即限制访问权限至授权员工,并开展全面数据审查。为防止类似事件,该部门已实施新安全地图政策:禁止将可识别客户信息上传至公共地图网站,且地图访问权限严格按角色分配。同时,IDHS正通过免费电话、信用机构及联邦贸易委员会(FTC)提供的欺诈警报和安全冻结信息,通知受影响个人及监管机构。
https://securityaffairs.com/186745/data-breach/illinois-department-of-human-services-idhs-suffered-a-data-breach-that-impacted-700k-individuals.html
4. 德克萨斯州加油站公司Gulshan遭数据泄露
1月9日,据向缅因州总检察长办公室提交的文件披露,德克萨斯州加油站管理公司Gulshan Management Services, Inc.遭遇重大数据泄露事件,影响超过377,000人。该公司关联的Gulshan Enterprises在德克萨斯州运营约150家Handi Plus和Handi Stop品牌加油站及便利店,此次事件暴露了其网络安全管理的脆弱性。事件始于2025年9月下旬,Gulshan公司发现其IT系统遭未经授权访问。调查显示,攻击者通过成功的网络钓鱼攻击侵入系统,并在被发现前持续入侵长达10天。在此期间,威胁行为者不仅窃取了包含姓名、联系方式、社会安全号码及驾驶执照号码等敏感个人信息,还部署勒索软件加密了公司系统文件,构成双重攻击。尽管数据泄露规模庞大,但目前尚无已知勒索软件组织公开声称对此次攻击负责。Gulshan公司在恢复过程中强调使用“已知安全的备份”重建系统,这一表述通常暗示企业选择通过备份恢复而非支付赎金协商,但具体是否涉及赎金支付仍存疑。
https://www.securityweek.com/377000-impacted-by-data-breach-at-texas-gas-station-firm/
5. 夏威夷大学癌症中心遭勒索软件攻击
1月11日,夏威夷大学癌症中心2025年8月发生勒索软件攻击,导致研究参与者社会保障号码等敏感信息泄露。然而,大学直至12月才向立法机构提交报告,远超州法律规定的20天报告期限,且报告未披露受影响项目、人数、是否支付赎金等关键信息,引发合规质疑。事件中,黑客入侵服务器加密研究文件并索要解密费用。大学虽声称通过外部网络安全团队获取解密工具并确保数据销毁,但拒绝透露具体细节,包括支付金额及如何确认数据彻底销毁。州法律要求安全漏洞报告需包含受影响人数、通知副本、延迟原因等,但大学报告未提及执法机构是否要求延迟,亦未解释四个月延迟的具体原因。联邦调查局明确反对支付赎金,认为此举会助长犯罪并增加其他组织风险。此次事件中,大学计划为受影响者提供信用监控和身份盗窃防范服务,并已采取密码重置、安装监控软件、第三方安全评估等措施,但具体实施效果仍存疑。
https://www.securityweek.com/hackers-accessed-university-of-hawaii-cancer-center-patient-data-they-werent-immediately-notified/
6. 新型Zero-Click攻击可使ChatGPT用户数据遭窃
1月9日,安全研究员通过BugCrowd平台于2025年9月向OpenAI报告了ChatGPT的“ZombieAgent”漏洞,该漏洞于12月中旬被修复。此次事件揭示了ChatGPT在“智能体化”转型中暴露的安全风险,其新增的“连接器”功能允许直接访问Gmail、Outlook、Google Drive等外部系统,虽提升了工具实用性,却为攻击者开辟了窃取敏感数据的新途径。Bado此前已发现“ShadowLeak”技术:通过电子邮件HTML中隐藏的白底白字或微缩字体命令,诱导“深度研究”智能体泄露Gmail收件箱数据。此类攻击利用服务器端数据窃取机制,绕过本地防御系统,且用户难以察觉。OpenAI随后加强防护,禁止ChatGPT动态修改URL,但Bado进一步发现绕过方法ZombieAgent攻击。该攻击利用预建静态URL逐字符窃取数据。攻击者构造包含固定URL的恶意邮件,指令ChatGPT提取敏感数据、规范格式后,通过按序“打开”这些URL泄露信息。由于ChatGPT仅执行预设链接而非构建URL,成功绕过了OpenAI的URL重写与黑名单保护。
https://www.infosecurity-magazine.com/news/new-zeroclick-attack-chatgpt/
京公网安备11010802024551号