Canvas数据泄露波及哈佛牛津等近9000所机构
发布时间 2026-05-121. Canvas数据泄露波及哈佛牛津等近9000所机构
5月6日,黑客组织ShinyHunters近日公布了一份包含近9000所教育机构的名单,声称这些机构卷入了不断扩大的Canvas学习管理系统数据泄露事件,受影响者可能多达2.75亿人,包括学生、教师和工作人员。该组织还声称获得了平台内交换的“数十亿条”私人信息,可能泄露学生、教育工作者和管理人员之间的敏感对话。公布的名单涵盖至少10个不同国家的高等教育机构和高中,大部分来自美国,其次是澳大利亚、英国和瑞典。受害者中包括哈佛大学、斯坦福大学、麻省理工学院、牛津大学、普林斯顿大学、哥伦比亚大学、剑桥大学、康奈尔大学、加州大学伯克利分校和乔治城大学等世界最著名的教育机构。名单中还出现了亚马逊、苹果和思科等企业客户,表明这些公司可能使用Canvas进行员工培训。如此大规模的数据泄露极其危险,攻击者可以利用这些信息精心策划针对性的社交工程攻击,识别高价值目标。
https://cybernews.com/security/anvas-lms-breach-universities-data-leak/
2. Checkmarx遭TeamPCP连环供应链攻击
5月11日,Checkmarx于上周末发出警告,其在Jenkins Marketplace上发布的应用程序安全测试(AST)插件中出现了一个恶意版本。此次入侵由名为TeamPCP的黑客组织声称负责。Jenkins作为最广泛使用的持续集成/持续部署(CI/CD)自动化解决方案,被用于软件构建、测试、代码扫描、打包及应用部署。Checkmarx的AST插件正是将安全扫描集成到Jenkins的自动化管道中。据安全工程师Adnand Khan透露,TeamPCP设法获取了Checkmarx的GitHub仓库访问权限,并在Jenkins AST插件中植入后门。攻击者正是利用了3月份Trivy供应链攻击中窃取的仓库凭证,凭借这些凭证,攻击者在一个多月内持续保持访问权限,并在GitHub、Docker、VSCode及Open VSX等多个平台发布了包含窃取信息代码的开发者工具恶意版本,包括该公司KICS分析工具的篡改版本。5月9日星期六,版本号为2026.5.09的恶意Jenkins AST插件被上传至repo.jenkins-ci.org。该版本未经过官方发布流程,缺少git标签和GitHub发布版本,且日期格式与官方方案不符。
https://www.bleepingcomputer.com/news/security/official-checkmarx-jenkins-package-compromised-with-infostealer/
3. GhostLock工具滥用API实施文件锁定的拒绝服务攻击
5月11日,一位安全研究人员近日发布了一款名为GhostLock的概念验证工具,该工具演示了如何滥用合法的Windows文件API函数进行攻击,从而阻止用户或应用程序访问存储在本地或SMB网络共享上的文件。这项技术由以色列航空航天工业公司的Kim Dvash研发,其核心在于滥用Windows的“CreateFileW”API及其文件共享模式参数,实现对其他进程的文件访问阻断。为将这一技术自动化,Dvash在GitHub上发布了GhostLock工具。该工具能够递归地打开SMB共享上的大量文件,在保持文件句柄活跃的状态下,使任何新的文件访问尝试都被系统拒绝。值得注意的是,该工具可以由标准域用户运行,无需任何提升的权限。攻击者甚至可以从多台受感染的设备同时发起攻击,并在先前进程终止后不断重新获取文件句柄,从而延长阻断时间。不过,一旦关联的SMB会话结束、GhostLock进程被终止,或者受影响的系统重启,Windows会自动关闭所有文件句柄,恢复正常的文件访问。
https://www.bleepingcomputer.com/news/security/new-ghostlock-tool-abuses-windows-api-to-block-file-access/
4. SailPoint披露GitHub代码库遭未经授权访问
5月11日,SailPoint是一家专注于企业身份安全与身份治理解决方案的网络安全公司,其产品旨在帮助各类组织有效管理和控制用户对系统、应用程序及敏感数据的访问权限。2026年4月20日,该公司披露了一起涉及其GitHub代码库的网络安全事件。根据SailPoint向美国证券交易委员会(SEC)提交的8-K表格显示,公司在当天检测到部分GitHub代码库遭到了未经授权的访问。事件发生后,SailPoint迅速启动了内部事件响应机制,并在第三方网络安全公司的协助下立即终止了未经授权的活动,成功控制了安全漏洞的影响范围。SailPoint在提交的文件中明确表示,此次事件的根本原因是某第三方应用程序存在安全漏洞,目前该漏洞已经得到修复。经过与第三方网络安全响应公司的联合调查,SailPoint确认没有发现任何证据表明其生产环境或测试环境中的客户数据遭到非法访问,也没有发现公司的正常服务出现中断。这意味着,尽管攻击者成功侵入了SailPoint的GitHub代码库,但客户的实际使用体验和数据安全性并未受到直接威胁。
https://securityaffairs.com/191997/data-breach/identity-security-firm-sailpoint-discloses-github-repository-breach.html
5. 谷歌研究人员发现首个疑似AI生成的零日漏洞
5月11日,谷歌威胁情报小组(GTIG)的研究人员近日发布报告指出,针对一款流行的开源网络管理工具的零日漏洞,极有可能是利用人工智能生成的。该漏洞能够绕过该工具中的双因素身份验证(2FA)保护机制。谷歌之所以高度确信攻击者使用了人工智能模型,主要基于Python漏洞利用代码的结构和内容特征。研究人员发现,该脚本包含大量教育性的文档字符串,甚至包括一个虚构的CVSS评分,并且采用了结构化、教科书式的Python格式,这些正是大语言模型(LLM)训练数据的典型特征。用于此次恶意任务的LLM具体是哪一款尚不清楚,但谷歌已排除了其自家Gemini模型参与的可能性。进一步证据表明,LLM还被应用在漏洞发现阶段。该漏洞本质上是一个高级语义逻辑错误,这类缺陷恰好是人工智能系统擅于识别的类型,而非通常通过模糊测试或静态分析就能发现的内存损坏或输入清理问题。GTIG研究人员表示,这是他们首次发现一个使用零日漏洞的威胁行为者,且该漏洞被认为是通过人工智能开发的。
https://www.bleepingcomputer.com/news/security/google-hackers-used-ai-to-develop-zero-day-exploit-for-web-admin-tool/
6. 黑客利用Vercel与生成式AI大规模制造钓鱼网站
5月11日,网络安全公司Cofense的研究人员近日发现,黑客利用网站开发平台Vercel发起高质量诈骗的活动急剧增加。诈骗分子现在借助生成式人工智能(GenAI)构建出几乎无法与真实网站区分的虚假页面。特别是通过Vercel旗下的生成式UI系统v0.dev,即使是技术能力很弱的诈骗者,也能轻松创建模仿知名品牌外观和风格的钓鱼网站。这一过程不仅快速,而且成本低廉。Vercel本身是一个面向网站开发者的合法云平台,但黑客可以轻易注册使用。该平台提供免费版本以及每月20美元的专业版账户,攻击者无需管理自己的服务器即可在线托管网页。更为关键的是,一旦某个钓鱼页面被查封,他们能够快速搭建新页面,因为人工智能每次都会生成略有不同的版本,使得基于特征的传统封堵策略难以奏效。黑客还将这些虚假网站与Telegram平台连接起来。当受害者在伪造的登录页面中输入个人信息时,Telegram机器人API会将这些数据实时发送给攻击者。这种自动化部署接口使诈骗者无需维护复杂的后端服务器即可轻松监控并收取窃取到的凭证。
https://hackread.com/hackers-exploit-vercel-genai-phishing-sites/
京公网安备11010802024551号