2025-12-14 01:04:16 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这篇文章是一份网络安全周报，涵盖了近期多个重要安全事件，包括69款App因违规收集个人信息被通报、台积电控告英特尔窃取商业秘密、多起数据泄露事件和黑客案件侦破等。同时报道了最新法规政策动态，如《公安机关网络空间安全监督检查办法（征求意见稿）》的发布。文章还介绍了业界活动和调查报告，为网络安全从业者提供了全面的行业动态信息。 综合评分： 84 文章分类： 数据安全,漏洞分析,安全大事件,政策法规,安全运营

cover_image

在看 | 周报：69款App因违规收集使用个人信息被通报；台积电控告英特尔窃取商业秘密

原创

管窥蠡测

安在

2025年12月6日 15:13 浙江

热点事件，政策法规，产业要闻，资讯报告，尽在「网安周报」。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

安全事件

1、“淘宝崩了”“支付宝崩了”“闲鱼崩了”冲上热搜

社交平台多位用户反馈阿里系APP出现支付宝付款异常，涉及淘宝、闲鱼、1688、饿了么等多平台，出现用户完成付款后订单显示未付款情况，“支付宝崩了”“淘宝崩了”“闲鱼崩了”登上热搜。

2、违规收集使用个人信息，虎牙直播、呷哺呷哺等 69 款 App 被通报

据国家网络安全通报中心消息，依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展 2025 年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，69 款移动应用存在违法违规收集使用个人信息情况。

3、国家网络安全通报中心通报一批境外恶意网址和恶意 IP

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，对中国国内联网单位和互联网用户构成重大威胁。

4、谷歌AI编程工具曝出严重BUG

科技媒体 theregister 于 12 月 1 日发布博文，报道称希腊摄影师 Tassos M. 反馈，使用谷歌 AI 编程平台 Antigravity 后，AI 错误生成并执行了一段代码，意外删除了他整个 D 盘的数据。

5、台积电控告英特尔窃取商业秘密

台积电前高级副总裁Wei-Jen Lo因涉嫌向竞争对手Intel泄露敏感信息而被台积电起诉。目前，这家芯片制造商已向台湾智慧财产及商业法院正式提起诉讼。

6、网警侦破2起黑客案件

近期网警侦破两起网络犯罪案：吕某入侵全国80余个系统植入涉黄链接引流牟利，被采取刑事强制措施，警方已发安全预警；袁某开发“某助手”软件，供1.7万余个僵尸账号群发涉黄涉赌广告，因涉嫌相关罪名被刑拘。

7、网警破获通过“AI换脸”技术非法侵入计算机信息系统案

近期武汉网警侦破一起AI换脸网络犯罪案：阿成等4人利用AI换脸技术破解人脸识别，篡改某MCN机构公众号法人信息及密码，还承接“人脸代过”需求牟利。警方追踪线索抓获全部嫌疑人，4人已被依法采取刑事强制措施，案件正进一步侦办中。

8、5起不履行个人信息保护义务案

上海举办“亮剑浦江・2025”个人信息保护专项执法行动总结会，网信与市场监管部门联合发布5起典型案例。其中3家企业（新能源、医疗、装修领域）因未落实数据加密、防护措施等导致信息泄露，2家企业（餐饮、药店）存在强制收集信息、违法使用信息等行为，相关企业均被依法责令整改、警告，部分遭罚款或没收违法所得。

9、2家酒店因个人信息问题被公安机关处罚

晋中市左权县公安局网安部门开展酒店行业网络数据安全专项检查，发现2家酒店未对住客姓名、身份证号等信息脱敏处理，且无数据安全管理制度和相关培训，存在信息泄露风险。依据《数据安全法》，警方对涉事酒店予以警告，责令15日内整改。

10、黑客利用ArrayOS AG VPN漏洞植入网页后门

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-arrayos-ag-vpn-flaw-to-plant-webshells/

2025年12月4日报道，Array AG系列VPN设备（包括特定旧版本及启用Desktop Direct功能的设备）存在命令注入漏洞。自今年8月起，黑客已利用该漏洞植入网页壳并创建违规用户，其攻击活动源自特定IP地址，主要影响到中国、日本、美国等地区的相关组织。实际上，厂商早在今年5月发布的9.4.5.9版本更新中已修复此漏洞，但尚未分配漏洞标识符。如果无法立即更新设备，建议临时禁用相关功能或拦截特定URL以作防护。

11、掠夺者间谍软件采用新传播方式，实现“无交互”入侵

https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/

2025年12月4日报道，Intellexa公司的Predator间谍软件通过名为“阿拉丁”的零点击机制进行传播，其目标仅需观看恶意广告便会遭到感染，而无需任何点击操作。自2024年部署以来，该机制至今仍在运作，其借助多国广告公司网络进行投放。它既可通过公网IP定位目标，还能进一步从运营商处获取信息。在防御方面，用户可首先屏蔽浏览器广告并隐藏公网IP。鉴于其隐蔽性较强，必须警惕各类网页及App中潜藏的广告风险。

12、俄罗斯以“涉恐”为由屏蔽FaceTime和Snapchat

https://www.bleepingcomputer.com/news/security/russia-blocks-facetime-and-snapchat-over-use-in-terrorist-attacks/

2025年12月4日报道，俄罗斯电信监管机构Roskomnadzor接连采取封锁措施，将多项涉外平台列入屏蔽清单：具体而言，自10月10日起屏蔽Snapchat，理由是平台被用于协调恐怖袭击、招募罪犯及实施欺诈；后又禁止了Roblox，指责其传播LGBT宣传与极端内容。此外，该机构还计划封禁在全球拥有超30亿用户的通信软件WhatsApp。实际上，该机构此前已封锁Viber、Signal等应用，并从2023年起禁止政府部门使用多款外国私信平台，所持理由包括反恐、清除虚假信息等。

13、CISA警告：VMware服务器遭“BrickStorm”恶意软件攻击

https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/

2025年12月4日，CISA联合国家安全局（NSA）及加拿大相关机构发布警告称，黑客组织（WarpPanda/UNC5221）正利用Brickstorm恶意软件攻击VMware服务器。具体而言，该恶意软件自2024年4月起开始入侵，其通过多层加密实现隐蔽，能够创建流氓虚拟机、窃取凭证与敏感数据，并可对受害系统实施持续控制，相关活动预计延续至2025年9月。

14、96个政府数据库遭删除，肇事者被曝有黑客前科

https://www.bleepingcomputer.com/news/security/contractors-with-hacking-records-accused-of-wiping-96-govt-databases/

2025年12月4日报道，两名34岁的弗吉尼亚州双胞胎兄弟（此前曾任联邦承包商），曾因非法访问美国国务院系统而入狱，但在服刑后却被重新聘用。然而，在2025年2月遭到解雇后，二人随即密谋窃取敏感信息（其中包括国税局450人数据），并删除了多达96个政府数据库（包含国土安全部文件）。此外，他们还利用人工智能工具清理系统日志、试图销毁证据。目前，两人因计算机欺诈、信息盗窃等多项罪名被起诉。

15、React与Next.js曝高危漏洞，可致黑客在服务器执行任意代码

https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/

2025年12月4日报道，React与Next.js中存在一个被称为“React2Shell”的高危漏洞（涉及CVE-2025-55182等），其严重性评分为10/10。该漏洞源于不安全反序列化问题，攻击者无需认证即可通过特制的HTTP请求实现远程代码执行。具体而言，漏洞影响React19.x的部分版本、Next.js14.3及以上实验版本，以及15.x至16.x的部分版本，目前已导致39%的云环境受到影响，而两者的NPM周下载量合计超过7200万。

16、Marquis数据泄露事件影响超74家美国银行及信用社

https://www.bleepingcomputer.com/news/security/marquis-data-breach-impacts-over-74-us-banks-credit-unions/

2025年12月3日报道，美国金融软件商Marquis于8月14日遭遇勒索软件攻击，黑客通过SonicWall防火墙/VPN侵入其网络，进而窃取了超过40万客户的个人信息（包括社保号、财务账户等），并波及美国74家银行及信用社。据称，该公司已支付赎金，但截至目前尚无数据滥用的证据。为加强安全防护，Marquis已采取防火墙打补丁、启用多因素认证以及地理IP过滤等措施。

17、法国家装零售巨头Leroy Merlin披露数据泄露事件

https://www.bleepingcomputer.com/news/security/french-diy-retail-giant-leroy-merlin-discloses-a-data-breach/

2025年12月3日报道，法国家装零售巨头Leroy Merlin（年收入达99亿美元）已通知其法国客户，部分个人信息遭遇数据泄露。泄露信息包括客户的全名、电话、邮箱、住址、出生日期及忠诚度计划详情，但其中不涉及银行数据和账户密码。对此，公司表示在事件发生后已采取措施阻止未授权访问，且目前失窃信息暂未被发现用于恶意用途，但仍提醒客户对陌生沟通保持警惕，注意识别钓鱼信息。

18、Freedom Mobile发生数据泄露事件

https://www.bleepingcomputer.com/news/security/freedom-mobile-discloses-data-breach-exposing-customer-data/

2025年12月3日，加拿大第四大无线运营商Freedom Mobile（拥有超过350万用户）披露了一起数据泄露事件，公司于10月23日检测到其客户账户管理平台遭到入侵。据悉，攻击者利用被盗的分包商账户，窃取了少数客户的姓名、住址、出生日期、电话号码及账户号码等信息。公司表示已采取措施屏蔽可疑账户和IP，并强调此次事件并非勒索软件攻击，网络运营也未受影响，目前暂无证据表明被盗数据遭滥用。

19、Aisuru僵尸网络发动超强DDoS攻势，流量峰值创历史新高

https://www.bleepingcomputer.com/news/security/aisuru-botnet-behind-new-record-breaking-297-tbps-ddos-attack/

2025年12月3日报道，Aisuru是一个由全球数千万物联网及路由器设备构成的雇佣僵尸网络，在2025年第三季度，它已发起超过1300次DDoS攻击，其中峰值流量高达29.7Tbps，创下历史纪录，其攻击目标还包括微软Azure网络。此外，该网络的攻击大多属于超大流量型，虽然持续时间较短（通常不足10分钟），但破坏力强，足以扰乱网络基础设施，目标覆盖游戏、金融等多个行业。

20、菲尼克斯大学披露数据泄露事件

https://www.bleepingcomputer.com/news/security/university-of-phoenix-discloses-data-breach-after-oracle-hack/

2025年12月3日报道，美国菲尼克斯大学于今年8月遭遇了Clop黑客团伙的网络攻击，并于11月21日发现此事。据悉，攻击者利用了甲骨文EBS系统的一个零日漏洞（CVE-2025-61882），窃取了学生、教职工及供应商的姓名、社保号、银行账户等敏感信息。此次攻击是Clop系列勒索行动的一部分，同批次受影响的还包括哈佛大学、宾夕法尼亚大学等多所美国高校，以及罗技、《华盛顿邮报》等企业。

21、多名嫌疑人因售卖由黑客IP摄像头窃取的私密视频而被韩国警方逮捕

https://www.bleepingcomputer.com/news/security/korea-arrests-suspects-selling-intimate-videos-from-hacked-ip-cameras/

2025年12月2日报道，韩国警方逮捕了四名嫌疑人，他们涉嫌入侵全国超12万台IP摄像头（包括住宅和商业设施），并将窃取的视频售卖给外国成人网站。其中，两人分别入侵了约6.3万台和7万台设备，通过售卖非法视频获利超过3.6万美元；另有一人还制作了涉及未成年人的违规内容。目前已有3名视频购买者被逮捕。与此同时，警方正通过国际合作追查网站运营者。

22、FTC勒令教育公司Illuminate彻底清理违规留存的学生信息

https://www.bleepingcomputer.com/news/security/ftc-settlement-requires-illuminate-to-delete-unnecessary-student-data/

2025年12月2日报道，面向K-12学校的云端服务商Illuminate Education因其存在访问控制缺失、明文存储数据等多重安全漏洞，被黑客利用前员工凭证入侵系统，最终导致1010万学生的个人及健康信息遭到泄露。不仅如此，该公司还曾虚假宣传自身安全措施，并延迟两年才通知受影响方。近期，其与FTC及多州达成和解，需删除冗余数据、完善安全计划并遵守数据存管要求；若违反协议，则将面临高额罚款。

法规政策

1、《公安机关网络空间安全监督检查办法（征求意见稿）》公开征求意见

为规范网络空间安全监督检查，依据网络安全法、数据安全法等法规，公安部修订原相关规定，起草《公安机关网络空间安全监督检查办法（征求意见稿）》并公开征求意见。办法明确检查对象含网络运营者、数据处理者等，采用线上巡查 + 线下核查方式，重点检查法定安全义务履行情况。

2、《数据安全技术电子产品信息清除技术要求》等2项强制国标获批发布