文章总结： 2026年5月18日安全简讯披露多起重大网络安全事件：荷兰临床诊断中心因安全缺陷致85万人医疗数据泄露；英国航空机组人员信息被黑客窃取；美国贷款中心12.3万人数据遭勒索软件攻击；Tycoon2FA钓鱼平台新增设备代码劫持功能攻击微软账户；WordPressFunnelBuilder插件漏洞被利用窃取支付信息；俄罗斯黑客将Kazuar后门升级为P2P僵尸网络。关键发现包括普遍存在的安全监控盲区、身份验证失效及响应延迟问题，建议机构加强审计、启用多因素认证并及时更新补丁。 综合评分： 85 文章分类： 数据泄露,漏洞分析,恶意软件,威胁情报,安全大事件

安全简讯（2026.05.18）

启明星辰安全简讯

2026年5月18日 16:48 北京

在小说阅读器读本章

去阅读

1. 荷兰临床诊断中心遭攻击致85万人数据泄露

5月14日，荷兰卫生和青年护理督察局（IGJ）近日公布的一项调查结论显示，在2025年7月发生的大规模网络攻击之前，临床诊断中心长期未符合医疗保健行业法律规定的信息安全标准。该中心因参与宫颈癌筛查项目，持有大量敏感个人健康信息。攻击事件发生后，勒索软件团伙Nova入侵其IT系统，最初报告窃取了48.5万名参与者的数据，后经实验室修正，实际受影响人数高达85万人。为解决问题，该中心向黑客支付了数额不详的赎金。IGJ在彻底调查后发现，该实验室存在多项重大缺陷。首先，攻击者利用一个被盗用的用户账户，通过远程桌面连接成功访问了旧版操作系统，但该账户如何被盗用至今仍是未解之谜。其次，由于人为错误，遗留环境完全未受监控，安全运营中心（SOC）因信息错误误以为相关旧环境已不再运行，因而禁用了对其的监控，导致日志中的异常行为未能被及时发现。第三，尽管被盗用的账户使用了16个字符的密码，但多因素身份验证功能在攻击发生时已被禁用，极大降低了攻击门槛。最为严重的是，在事件发生前的整整三年里，该实验室从未进行过任何审计来审查其网络安全和数据保护状况。

https://cybernews.com/security/dutch-lab-security-standards-hackers-cancer-patients-data/

2. 黑客组织声称入侵英国航空，泄露机组及医疗数据

5月14日，一个名为“基础设施破坏小组”的黑客组织近日声称成功入侵了英国航空公司的内部系统，并泄露了敏感的机组人员信息及医疗数据。该组织在其Telegram频道上发布消息称，已获得英航服务器、内部系统及医疗服务器的访问权限，泄露的数据包括高度敏感的个人信息。据攻击者描述，他们侵入了员工门户网站，机组人员和飞行员在此记录日程安排、病假申请及提交其他与工作相关的个人信息。为了佐证其说法，该团伙公布了数据样本，包括疑似英航内部系统仪表盘的截图，如机组人员门户网站和Cognito AI数据分析平台的界面。样本中包含员工个人信息及病假申请记录，而完整数据集可能进一步涵盖机组人员向雇主提供的医疗数据。攻击者声称，他们是通过一个被盗用的员工账户实现入侵的，该账户拥有对整个管理员控制面板的访问权限。此外，该团伙还宣称已攻破英航的数据中心，并提供了撞库攻击的截图作为证据，声称数据中心泄露了员工病假申请及机组人员与管理层之间的通信记录。研究团队警告称，此类数据可用于收集英国航空公司的通信模式及航班运营方式，可能导致更多运营中断。

https://cybernews.com/security/british-airways-crew-data-breach/

3. 美国贷款中心数据泄露，12.3万人信息遭窃

5月17日，美国贷款中心（American Lending Center）是一家位于加利福尼亚州的非银行贷款机构，管理着30亿美元的政府担保小企业贷款组合。该机构于2025年7月发现了一起勒索软件攻击，但取证调查直至2026年4月8日才完成，耗时近九个月。调查确认，攻击者入侵了ALC内部网络，访问了包含姓名、出生日期和社会安全号码等个人身份信息的文件。尽管目前无证据表明信息已被滥用，也无勒索组织公开宣称负责，可能因已支付赎金或该组织无公开泄密网站，但此次事件已导致超过12.3万名个人面临信息泄露风险，受影响者主要包括申请或获得政府担保贷款的小企业主及相关人士。从首席信息安全官视角看，此次披露中最关键的操作隐患在于“发现到调查结束”的九个月时间差：在此期间，受影响个人无法采取任何保护措施，而加州等多州法律明确规定通知期限应从发现之日起算，而非调查结束之日。因此，延长调查不仅构成安全风险，更带来监管违规风险。

https://securityboulevard.com/2026/05/american-lending-center-data-breach-affects-123000-individuals-after-nearly-year-long-investigation/

4. Tycoon2FA新增设备代码钓鱼劫持微软账户

5月17日，尽管国际执法部门在3月对Tycoon2FA网络钓鱼平台开展了扰乱行动，该恶意工具包却迅速在新基础设施上完成重建，并恢复到正常活动水平。本月初，Abnormal Security证实Tycoon2FA不仅已恢复运营，还增加了新的混淆层以增强抗破坏能力。4月下旬，研究人员发现该工具包开始利用OAuth 2.0设备授权授予流程，发动设备代码钓鱼攻击，以劫持Microsoft 365账户。Tycoon2FA的设备代码钓鱼攻击始于受害者点击诱饵邮件中的Trustifi点击跟踪URL，邮件以发票为主题，包含Trustifi跟踪链接，该链接经过Trustifi、Cloudflare Workers及多层混淆JavaScript后，最终将受害者引导至伪造的Microsoft CAPTCHA页面。该页面从攻击者后端获取设备代码，指示受害者复制并前往微软合法设备登录页面完成MFA，随后微软向攻击者控制的设备颁发OAuth访问令牌和刷新令牌。值得注意的是，Tycoon2FA内置了针对研究人员和自动化扫描的广泛防护机制：可检测Selenium、Puppeteer等工具，阻止安全厂商、VPN、沙箱、AI爬虫和云提供商，并部署调试器计时陷阱，来自分析环境的请求会被自动重定向至合法微软页面。

https://www.bleepingcomputer.com/news/security/tycoon2fa-hijacks-microsoft-365-accounts-via-device-code-phishing/

5. WordPress Funnel Builder插件严重漏洞遭积极利用

5月17日，WordPress生态中一款安装量超过4万的Funnel Builder插件（来自FunnelKit）被发现存在一个严重漏洞，且正被攻击者积极利用。据Sansec研究人员报告，该漏洞允许未经身份验证的攻击者向WooCommerce结账页面注入恶意JavaScript代码，从而窃取顾客在购物过程中输入的支付信息。攻击者利用了插件中一个缺乏权限校验的端点，通过修改插件的全局设置中的“外部脚本”选项，直接植入恶意