在看|周报:上海携程因违法出境个人信息被罚1000万元;苏州银行涉网络及数据安全等11项违规,合计罚没760万元

admin 2026-07-01 06:12:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本期安全周报披露多起数据安全事件与监管处罚,重点包括上海携程因违法出境个人信息被罚1000万元、苏州银行涉网络及数据安全等11项违规罚没760万元。海外方面,韩国电商Coupang数据泄露波及3750万用户被罚近28亿元,FortiBleed事件致7万余台VPN设备凭证外泄。AI安全领域出现13词评论即可污染AI搜索结果的新型攻击手法,MetaAI客服漏洞致2万Instagram账户被盗。报告警示数据出境合规风险、供应链安全薄弱环节及AI系统验证缺陷。 综合评分: 85 文章分类: 数据安全,政策法规,漏洞预警,AI安全,安全大事件


cover_image

在看 | 周报:上海携程因违法出境个人信息被罚1000万元;苏州银行涉网络及数据安全等11项违规,合计罚没760万元

原创

管窥蠡测 管窥蠡测

安在

2026年6月27日 18:56 上海

在小说阅读器读本章

去阅读

[导读]

本期周报动态。数据安全层面,国内携程、苏州银行等多家企业因数据出境违规、安全管理缺位遭大额处罚,海外多起大规模数据泄露事件波及千万级用户,覆盖电商、医疗、制造等多领域。AI安全领域,AI搜索投毒、平台漏洞、供应链攻击等新型风险不断涌现。网络安全方面,开源软件供应链投毒集中爆发,多款主流产品曝出高危漏洞,攻击手法更趋隐蔽多元。

数据安全及个人信息保护

1、上海携程因违法出境个人信息被罚1000万元

上海市网信办在国家网信办指导下,办理一批属地企业网络数据安全违规执法案件。其中上海携程商务有限公司因未落实数据出境安全评估要求、违法出境个人信息,依据《个人信息保护法》被处以1000万元罚款,并被责令限期改正,涉事企业受处罚后已积极配合落实整改。

2、《精灵宝可梦GO》海量实景数据引发军事安全风险警惕

外媒披露日本知名动漫IP衍生游戏《精灵宝可梦GO》将用户敏感数据提供给美国一家军工企业。该游戏以拍摄周边实景环境为核心交互玩法,迄今已积累全球用户上传的300亿张实景图像。相关分析指出,这些海量实景数据可训练出高精度军事级3D视觉定位系统,支撑军用无人机在卫星导航受干扰时自主执行精确打击。钧正平就此发文提醒,民用零散数据经大数据整合后可能转化为军事情报,数据安全直接关联国家安全。

3、新韩银行(中国)因9项违规被罚约248.9万元

中国人民银行北京市分行对新韩银行(中国)有限公司作出行政处罚,该行因违反网络安全管理、数据安全管理、反洗钱、账户管理等9项规定,被给予警告并处以约248.9万元罚款,三名对相关违规负有直接责任的人员也被处以不同金额的罚款。这是该行再度因数据安全相关问题受到监管处罚,与此前的同类处罚相比,本次违规覆盖范围更广,罚款金额大幅提升,暴露出其在技术防护与数据处理层面均存在合规缺口。

4、上海市网信办通报属地交通出行类 App 个人信息收集违规问题

上海市网信办依据网络安全法、个人信息保护法等法律法规,对属地App、小程序的个人信息收集使用行为开展检测,通报交通出行专项中存在问题的多款应用,涉及享道出行、EVCARD、随申行等运营主体。这些应用存在超范围收集信息、强制同意非必要信息收集、超频次调用权限等问题,部分还存在敏感信息处理不合规、未设投诉渠道、未提供账号注销功能等情况。相关运营者需在15个工作日内完成整改并报送情况,相关部门将后续核查并依法处置。

5、浙商银行珠海分行因三项违规被罚,含未制定网络安全应急预案

中国人民银行珠海市分行公示行政处罚决定,浙商银行珠海分行存在涉农贷款专项统计错误、账户尽职调查不到位、未制定网络安全事件应急预案三项违法行为,被予以警告并处罚款55万元。制定网络安全事件应急预案是网络安全法规定的网络运营者法定义务,此前已有多家银行因同类违规被监管处罚,预案缺失会让安全事件处置缺乏标准化依据,放大风险损失。

6、苏州银行涉网络及数据安全等11项违规,合计罚没760万元

中国人民银行江苏省分行公示行政处罚决定,苏州银行因存在违反网络安全管理、数据安全管理、账户管理等11项违法行为,覆盖支付结算、风险管理、信息科技等多个业务板块,而被予以警告、通报批评,没收违法所得并处罚款,合计罚没超760万元,创下该行开业以来最大罚单,两名相关业务责任人也被一并追责。

7、韩国电商Coupang因数据泄露等多项违规被罚近28亿元

韩国数据保护监管机构对电商企业Coupang处以6247亿韩元罚款,创下该机构针对单一企业的最高罚款纪录。罚款包含两部分,一是波及超3750万用户的数据泄露事件对应的4236亿韩元,受影响群体占韩国总人口超七成;二是未经授权收集用户在线活动记录等违规的2011亿韩元追加罚款。调查显示此次泄露并非复杂黑客攻击所致,根源是Coupang安全管理体系存在多处不足,该公司还因妨碍调查被控告,其物流子公司也因隐私违规被罚。

8、第三方催收商泄露千万患者数据,涉事企业赔付超2.3亿元

美国医疗催收服务商AMCA遭黑客入侵,海量患者医疗、身份、支付敏感信息外泄,其中千万用户数据隶属于医疗企业LabCorp。相关诉讼合并审理后LabCorp选择和解并承担高额赔款,受害用户可凭损失凭证申领高额补偿或小额基础赔偿,还能领取信息监测与防盗保险。涉事催收公司曾被多州联合处罚,但其后续破产停业,相关罚款未能落实。

9、23andMe数据泄露案敲定赔偿方案,涉事企业已完成破产重组

基因检测企业23andMe曾发生大规模数据泄露,数百万用户的基因资料、家谱信息等敏感数据被窃取并流向暗网。涉事企业后续因经营状况恶化申请破产并完成更名重组,法院批准相关和解协议,设立专项赔偿基金,按用户受损程度分级赔付,数十万华裔用户也在受偿范围内。受企业财务条件限制,最终赔偿金额远低于原告诉求,法院认定该方案更利于保障各方实际利益。

10、FortiBleed泄露事件曝光,七万余台Fortinet VPN设备凭证外泄

安全研究员发现名为FortiBleed的数据泄露事件,一个俄语多操作者威胁组织通过暴力破解、哈希解密等方式,获取了全球194个国家七万三千余台Fortinet防火墙与VPN设备的有效凭证,覆盖多家全球知名企业、政府机构及关键基础设施运营商,部分受侵组织机密文件被盗。多名独立研究员验证了泄露数据的真实性,Fortinet官方回应称,相关凭证来自过往事件与暴力破解攻击,与新近披露的漏洞无关。

11、得克萨斯州发生数据泄露,超300万人身份信息遭窃

得克萨斯州总检察长透露,该州公园与野生动物局发生大规模数据泄露事件,超过300万人的驾照信息和护照号码被黑客窃取。州网络安全部门排查后确认,泄露源于负责销售狩猎与捕鱼许可证的系统供应商遭到入侵,除核心身份凭证外,受影响许可证持有人的电子邮箱、电话号码以及居住地址等个人信息也一并泄露,这也是该州今年规模最大的数据泄露事件之一。

12、印度塔塔电子发生大规模数据泄露,涉苹果特斯拉机密信息

印度代工巨头塔塔电子遭遇网络安全事件,勒索组织World Leaks声称从中窃取超20万个文件,总容量超630GB,内容涵盖苹果、特斯拉的组件设计、生产规格等商业机密,还包含员工护照、内部邮件等资料。塔塔电子已启动应急响应协议,苹果正针对事件开展全面调查,特斯拉暂未作出回应,此次事件凸显出供应链环节已成为企业数据泄露的高发切入点。

AI安全

1、AI竞争情报平台Klue遭入侵,致9家网络安全公司数据泄露

AI竞争情报平台Klue遭遇网络入侵,黑客组织Icarus利用已泄露的旧集成凭证访问系统,窃取平台内多家客户的内部数据,其中涉及Recorded Future、HackerOne等9家知名网络安全企业,泄露内容多为业务联系信息与客户账号数据。Klue已聘请应急响应机构并断开集成功能以控制影响,目前攻击者获取凭证的具体途径尚未明确,针对第三方SaaS服务商的供应链攻击正成为高发攻击模式。

2、CNNVD通报新一批OpenClaw安全漏洞

CNNVD此次共采集OpenClaw漏洞40个,其中高危漏洞24个,中危漏洞13个、低危漏洞3个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前,OpenClaw官方已经发布了更新修复漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

3、13词评论即可实现AI搜索投毒,ChatGPT与Gemini均受影响

最新学术研究发现,攻击者仅需在Reddit等开放平台发布一条精心构造、仅含13个英文单词的评论,就能污染ChatGPT、Google Gemini等AI深度搜索系统的返回结果。由于AI搜索引擎抓取网页内容时会将这类公开评论纳入信息源,且整合多源信息时缺乏对信息来源与内容的深度校验,虚假信息会被当作可信内容传递给用户。这种攻击成本几乎为零,无需入侵系统或编写恶意代码,仅需一个普通平台账号即可实施。

4、OpenAI因ChatGPT相关问题遭遇诉讼与联合调查

美国多州总检察长已联合调查OpenAI,并向其下发传票,要求提交相关业务及用户影响的文件。与此同时,OpenAI还深陷多起诉讼纠纷,有加拿大女子起诉该公司及负责人,认为ChatGPT的设计缺陷致使其女儿自杀。据悉,当事人曾长期向ChatGPT倾诉轻生想法,但该产品安全系统并未介入,且其设计更看重用户活跃度,易造成用户过度依赖。OpenAI对此表示惋惜,并计划强化敏感场景的应对能力。

5、Meta AI客服系统存验证漏洞致两万余Instagram账户被盗

Meta旗下用于账户找回的HTS AI客服系统存在基础身份验证缺陷,该系统处理密码重置申请时,不会核对申请人填写的邮箱与账户绑定邮箱是否一致。攻击者只需知晓目标用户名,且对应账户未开启两步验证,即可通过填写自有邮箱获取重置链接并接管账户,此次漏洞共造成20225个遍及全球的Instagram账户受影响。发现问题后,Meta已关停相关系统,作废未使用的重置链接,强制受影响账户完成安全校验并重置密码。

6、AI智能体遭虚假信息误导,短时间产生高额云服务费用

一名用户为持有AWS权限的AI智能体下达限时网络扫描任务,该智能体自主部署多台高性能云实例,又被社区用户提供的虚假指令、无效任务持续消耗资源,单日产生高额账单。用户试图在网络众筹分担开支,后与服务商协商下调账单。相关研究显示,AI智能体面对模糊任务时易出现失控行为,同类AI操作失误引发故障的案例也多次出现。

7、Dify被曝四个安全漏洞,超百万AI应用面临风险

Zafran Labs研究人员披露开源AI平台Dify存在四个被统称为DifyTap的安全漏洞,其中两个严重等级为关键级,两个无需身份验证即可利用,三个漏洞会对云服务造成跨租户数据泄露风险。最严重的追踪系统漏洞可被用于搭建持久化数据外泄通道,插件守护进程存在路径遍历漏洞,另有两个漏洞可实现越权访问文档、窃取文件内容。该平台还长期存在PDFium组件旧漏洞,且容器镜像存在安全扫描盲区。

8、微软认定Mastra AI供应链攻击由朝鲜黑客组织实施

微软高度确信,造成超140个npm软件包被植入恶意代码的Mastra AI供应链攻击,由朝鲜国家级威胁组织Sapphire Sleet发起。攻击者入侵npm维护者账户后,在相关软件包中注入仿冒常用库的恶意依赖,开发者安装受影响的包后会触发窃密程序,可跨平台窃取设备内的凭证、API密钥与加密货币钱包信息。该组织此前已实施多起同类供应链攻击,长期瞄准金融与加密资产领域。

网络安全

1、国家网络安全通报中心警告:软件供应链投毒攻击集中爆发

国家网络安全通报中心监测发现,近期集中爆发多起软件供应链投毒攻击事件,涉及开源软件仓库和商用工具两大核心场景。这类攻击采用上游污染、下游传导的模式植入恶意程序,具备隐蔽性强、影响范围广、危害程度高、传播速度快的特征,可造成凭据窃取、远程代码执行、敏感数据泄露等严重后果,引发全域感染的系统性危机,需要各相关主体从开发、运维、使用等全链条环节落实防护举措。

2、研发自动化抢购软件涉案3亿,技术黄牛黑产团伙被依法判决

最高人民检察院披露一起技术黄牛案件,以李某为首的犯罪团伙研发自动化抢购软件,可跳过图形验证码、伪造设备ID,在0.8秒内完成抢购全流程。该团伙通过批量注册账号、搭建运维管理系统,大规模抢购演唱会门票与限量球鞋,再经多层分销收取佣金牟利,累计涉案金额达3.27亿元。最终该团伙被警方查获,8名主犯被判处有期徒刑及罚金,多名从犯因情节较轻且认罪退赃被作出不起诉决定。

3、初级黑客利用Tailscale与OpenSSH搭建备用通道,规避C2下线影响

一名代号为Poisson的初级攻击者入侵法国一家小型汽车企业,植入键盘记录器窃取银行与邮件等账号凭证。为避免命令与控制服务器下线导致访问中断,攻击者提前在受害设备上安装OpenSSH与Tailscale,搭建起独立的加密访问通道,即便C2服务器离线,仍可通过该备用路径持续控制设备。安全厂商Cato Networks通过攻击者遗留在公开存储桶中的操作记录还原了完整攻击流程,证实仅关停C2服务器无法彻底阻断攻击者的持久化访问。

4、UniFi OS存在高危漏洞链 无需认证即可获取root权限

Ubiquiti旗下UniFi OS Server被曝出存在由访问控制缺陷、路径穿越与命令注入组成的高危漏洞链,三个关联漏洞的CVSS评分均达满分10.0。攻击者无需任何认证凭据,仅通过一条构造的HTTP请求即可绕过身份校验,最终获取服务器root权限,波及旗下网关、录像机等多类设备。该漏洞可造成JWT签名密钥等核心数据泄露,补丁无法消除已入侵的遗留风险,厂商已发布对应修复版本。

5、世界杯官方赛事系统曝权限漏洞 直播流可被任意查看篡改

世界杯官方赛事系统存在权限控制漏洞,安全研究员通过FIFA官方球员经纪人注册平台注册账号后,借助后端API未验证用户权限的缺陷,成功访问多个FIFA内部平台。该研究员可查看并完全控制每场世界杯比赛的电视直播流,还能操控解说员端的显示内容,甚至可劫持全部摄像机播放其他内容进行恶搞。研究员上报漏洞后,FIFA在数小时内完成修复,但未确认收到漏洞报告,也未回应媒体的置评请求。

6、Arch Linux AUR仓库超400个软件包遭恶意投毒

Arch Linux社区用户软件仓库AUR遭遇严重供应链安全攻击,超过400个软件包被恶意篡改。攻击者通过劫持或伪装成可信发布者修改构建脚本,植入恶意程序,该程序可窃取浏览器Cookie、SSH密钥等多种开发者敏感凭证,还具备eBPF Rootkit能力,能在内核层面隐藏恶意进程与文件。事发后AUR维护团队正紧急清理恶意提交并封禁违规账号,安全专家建议受感染用户重装系统以彻底清除风险。

7、Arch Linux AUR仓库遭遇大规模软件供应链投毒攻击

Arch Linux AUR仓库爆发史上最大投毒攻击,上千软件包植入窃密代码,攻击者清理完成后再次入侵,借助代码混淆隐藏恶意程序。社区利用AI模型检出隐蔽恶意样本,团队封禁涉事账号并优化审核机制。该攻击手段趋于专业化,同时暴露出国内镜像、企业开发环境、国产开源仓库多方面供应链安全隐患。

8、微软Copilot被曝SearchLeak高危漏洞,点击链接可致敏感数据外泄

网络安全公司Varonis Threat Labs发现Microsoft 365 Copilot企业版存在编号为CVE-2026-42824的高危漏洞,将其命名为SearchLeak。攻击者可在看似正常的URL中嵌入恶意参数,诱导用户点击后,利用AI对自然语言指令的轻信特性绕过常规安全检测,驱使Copilot自动检索邮件、SharePoint文档、OneDrive文件、2FA验证码及会议详情等企业内部敏感数据,再通过注入的图片标签借Bing后端完成数据外泄。微软已发布对应补丁,官方称暂无证据表明该漏洞已被实际利用。

10、哪吒监控面板曝9.1分高危漏洞 两次请求即可免密接管

开源服务监控面板哪吒监控存在编号为CVE-2026-53519的未授权路径穿越漏洞,CVSS严重性评分为9.1分,属于极高危级别。攻击者无需身份认证与用户交互,仅通过两次GET请求,先利用漏洞读取核心配置文件获取JWT密钥,再伪造管理员Cookie,即可直接获得最高权限,完整接管监控面板及下辖所有节点。该漏洞影响v2.0.13之前的所有版本,官方已发布修复版本,目前公网相关自动化扫描与攻击正在快速增长。

11、Google Vertex AI SDK存存储桶抢占漏洞,可劫持模型上传并执行恶意代码

Palo Alto Networks Unit 42发现Google Cloud Vertex AI Python SDK存在安全漏洞,该攻击手法被命名为“Pickle in the Middle”。攻击者仅需获取通常公开的受害者项目ID,就能抢先创建SDK按固定规则生成的可预测名称存储桶,截获用户上传的模型文件并替换为恶意版本,待Vertex AI加载模型时执行代码,窃取租户内模型权重、数据元数据等敏感信息。Google已在1.148.0及以上版本完成修复,目前未观测到野外利用行为。

12、phpBB曝身份认证绕过漏洞 官方发布3.3.17版本修复

开源论坛软件phpBB旧版本存在身份认证绕过漏洞,覆盖3.3.16及之前所有3.x版本、4.0.0-a2之前的全部4.x测试版本,黑客可通过构造特定HTTP请求直接登录任意用户账号,甚至获取管理员权限,读取用户私信等敏感信息并操控论坛内容。该漏洞已存在超过十年,由安全公司Aikido发现并通过HackerOne平台披露。受后台管理面板独立密码机制限制,该漏洞暂不引发远程代码执行风险,目前官方已发布3.3.17版本完成漏洞修复。

13、Fortinet防火墙曝FortiBleed严重漏洞,全球7.5万台设备遭攻破

全球网络安全厂商Integrity360披露,Fortinet旗下防火墙产品存在名为FortiBleed的严重漏洞,全球约7.5万台设备在大规模网络攻击中被攻破。Fortinet是全球企业防火墙市场的头部厂商,产品广泛部署在金融、政府、能源等关键行业。攻击者可利用该漏洞绕过防火墙核心安全机制,窃取敏感数据与认证凭证,还能通过被攻破的设备向内网横向渗透,且大概率已在受影响设备中潜伏较长时间。

14、苹果被曝无法修复的硬件级BootROM漏洞,影响上亿部设备

欧洲网络安全公司Paradigm Shift公开名为Usbliter8的BootROM漏洞,该漏洞存在于苹果芯片内永久烧录的SecureROM代码中,无法通过任何系统更新修复。漏洞主要影响搭载A12、A13芯片的iPhone及Apple Watch机型,覆盖设备数量上亿。攻击者需物理接触设备,借助特殊USB设备触发漏洞,可绕过签名检查并获取设备最高权限,但无法直接读取安全隔区内的用户数据。搭载A14及更新芯片的设备不受影响,苹果已收到相关漏洞通报。

15、WhatsApp遭虚假商务文档钓鱼攻击,可远程控制用户PC

卡巴斯基监测到一场覆盖全球十余个国家的恶意攻击活动,威胁行为者入侵WhatsApp账号后,向受害者的联系人发送伪装成财务账单、商务通知的VBScript恶意文件。用户在Windows设备上运行该文件后,脚本会禁用系统UAC保护,静默安装ManageEngine Endpoint Central程序并接入攻击者服务器,使攻击者获得设备远程管理权限。该攻击的部分基础设施与已知远控木马活动存在关联,目前暂无法精准锁定攻击主体。

RECOMMEND

推荐阅读

●在看 | 周报:五家头部银保机构合计被罚1835万元;国家网信办通报30款App个人信息收集使用违规问题

●在看 | 周报:警方侦破跨境电商黑注册团伙;全国首例虚假撤销等保备案案件在广州作出处罚

#

#

●在看 | 周报:成都警方侦破房产领域公民个人信息贩卖大案;985博士沦为间谍偷拍涉密资料获刑

扫码加入诸子云知识星球。

END

点击这里阅读原文


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安在 管窥蠡测 管窥蠡测《在看 | 周报:上海携程因违法出境个人信息被罚1000万元;苏州银行涉网络及数据安全等11项违规,合计罚没760万元》

大饼到底了? 网络安全文章

大饼到底了?

文章总结: 该文档通过三个技术指标(绿圈出现、紫线向上、黄线向下)分析比特币是否处于底部阶段,指出当前状态尚未满足任何底部条件,因此判断尚未见底。 综合评分:
评论:0   参与:  0