新聞速覽

• 國家安全部警示：數(shù)字足跡，切莫大意

• 虛假信息源于生命本身？研究揭示從細(xì)菌到人類的欺騙性通信機(jī)制

• 中本聰消失十五年：百萬枚比特幣沉睡之謎

• 復(fù)雜Okta單點(diǎn)登錄釣魚攻擊繞過防御，借薪資審查誘餌竊取會話令牌

• 德國因空管系統(tǒng)遭黑客攻擊及虛假信息活動(dòng)召見俄羅斯大使

• GPT-5.2登場：OpenAI正面迎戰(zhàn)Gemini 3 Pro

• 200美元的“理想工作”：伊朗黑客組織APT35內(nèi)部文件泄露，揭秘運(yùn)營細(xì)節(jié)與情報(bào)關(guān)聯(lián)

• 照相亭拍照泄露隱私：Hama Film數(shù)據(jù)漏洞致多國用戶信息暴露

• 美國政府網(wǎng)站遭SEO污染攻擊：官方域名被篡改為色情內(nèi)容入口

• 零售業(yè)為何成黑客“提款機(jī)”？2026年最新安全數(shù)據(jù)全梳理

特別關(guān)注

國家安全部警示：數(shù)字足跡，切莫大意

個(gè)人在使用數(shù)字設(shè)備時(shí)留下的軌跡、位置、行為等數(shù)據(jù)，構(gòu)成被動(dòng)或主動(dòng)的“數(shù)字足跡”。這些微觀信息經(jīng)大數(shù)據(jù)聚合后，可繪制區(qū)域經(jīng)濟(jì)活力、社會運(yùn)行脈絡(luò)乃至敏感戰(zhàn)略要地的宏觀圖景。境外勢力可能借此精準(zhǔn)識別重點(diǎn)單位周邊人員，實(shí)施策反；分析關(guān)鍵基礎(chǔ)設(shè)施人流車流，尋找安保漏洞；甚至利用人口流動(dòng)數(shù)據(jù)操控輿論、煽動(dòng)事件，威脅國家安全。我國已通過《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》構(gòu)筑法律防線。公民應(yīng)審慎授權(quán)APP權(quán)限，避免非必要開啟位置服務(wù)，分享信息時(shí)禁用精確定位，并定期清理后臺數(shù)據(jù)收集權(quán)限。如發(fā)現(xiàn)軌跡數(shù)據(jù)被非法獲取或出境，應(yīng)立即通過12339等渠道舉報(bào)。守護(hù)數(shù)字足跡，是每個(gè)公民的責(zé)任。

https://www.secrss.com/articles/86019

熱點(diǎn)觀察

中本聰消失十五年：百萬枚比特幣沉睡之謎

2010年12月14日，比特幣創(chuàng)始人中本聰（Satoshi Nakamoto）最后一次公開活動(dòng)后徹底消失。其核心貢獻(xiàn)是2008年11月1日發(fā)布的《比特幣：一種點(diǎn)對點(diǎn)電子現(xiàn)金系統(tǒng)》，首次以區(qū)塊鏈技術(shù)解決數(shù)字貨幣的“雙重消費(fèi)問題”。該方案依賴去中心化的公共賬本，由網(wǎng)絡(luò)節(jié)點(diǎn)共同驗(yàn)證交易，無需中央機(jī)構(gòu)。

據(jù)估計(jì)，中本聰在比特幣誕生首年挖出約110萬枚BTC，按當(dāng)前約9萬美元單價(jià)計(jì)算，價(jià)值近990億美元。這些幣自2010年起從未移動(dòng)，引發(fā)其是否已故或失聯(lián)的猜測。專家指出，即便未來量子計(jì)算機(jī)發(fā)展，目前尚無能力破解比特幣所用的SHA-256算法。若這些地址發(fā)生交易，不僅將暴露公鑰，還可能重燃身份之謎。至今，中本聰?shù)恼鎸?shí)身份及其巨額持倉，仍是加密世界最引人注目的未解之謎。

https://www.securitylab.ru/news/567182.php

復(fù)雜Okta單點(diǎn)登錄釣魚攻擊繞過防御，借薪資審查誘餌竊取會話令牌

員工期待年終績效評估之際，一種新型復(fù)雜釣魚攻擊出現(xiàn)。Datadog安全實(shí)驗(yàn)室報(bào)告顯示，該活動(dòng)自2025年12月初起針對使用Microsoft 365和Okta單點(diǎn)登錄的企業(yè)，利用薪資審查誘餌繞過防御竊取會話令牌。攻擊者偽裝HR或薪資服務(wù)郵件，用加密PDF附件、含目標(biāo)Okta租戶參數(shù)的代理釣魚頁面等手段，還通過監(jiān)控瀏覽器流量攔截FederationRedirectUrl字段，動(dòng)態(tài)重定向至偽造頁面。inject.js腳本捕獲憑證并劫持idx、JSESSIONID等關(guān)鍵會話Cookie，通過POST請求外發(fā)。攻擊者用Cloudflare驗(yàn)證隱藏惡意站點(diǎn)并持續(xù)優(yōu)化代碼。

https://securityonline.info/sophisticated-okta-sso-phishing-bypasses-defenses-to-steal-session-tokens-with-salary-review-lures/

200美元的“理想工作”：伊朗黑客組織APT35內(nèi)部文件泄露，揭秘運(yùn)營細(xì)節(jié)與情報(bào)關(guān)聯(lián)

2025年12月13日消息，伊朗黑客組織APT35（又稱Charming Kitten）的內(nèi)部文件遭泄露，新增內(nèi)容涉及財(cái)務(wù)、監(jiān)控系統(tǒng)及歷史機(jī)密。文件顯示，該組織分為女性團(tuán)隊(duì)Aqiq和男性團(tuán)隊(duì)Pelak1，2025年4-5月部分成員月薪僅150-220美元，部分金額極低或與參與狀態(tài)有關(guān)。此外，還曝光了KSIR旗下監(jiān)控系統(tǒng)“Кашеф”的界面，其整合多部門數(shù)據(jù)，可查詢境外活動(dòng)、雙重國籍等信息，含宗教信仰分類。另有2004年伊朗情報(bào)部文件顯示，該組織曾獲取IAEA關(guān)于重水項(xiàng)目的機(jī)密資料，涉及關(guān)鍵人物Olli Heinonen。此次泄露揭示了該APT組織的運(yùn)營細(xì)節(jié)及與伊朗情報(bào)活動(dòng)的關(guān)聯(lián)。

https://www.securitylab.ru/news/567159.php

虛假信息源于生命本身？研究揭示從細(xì)菌到人類的欺騙性通信機(jī)制

發(fā)表于Interface期刊的一項(xiàng)研究提出，虛假信號并非通信系統(tǒng)的偶發(fā)故障，而是生物通信中幾乎不可避免的結(jié)果。研究團(tuán)隊(duì)系統(tǒng)分析了數(shù)十年來關(guān)于信息傳播的理論與實(shí)證工作，發(fā)現(xiàn)從細(xì)菌、鳥類到人類社會，錯(cuò)誤或誤導(dǎo)性信息普遍存在。

社會通信有助于生存，例如預(yù)警風(fēng)險(xiǎn)或協(xié)調(diào)群體行為，但同一機(jī)制也會傳播不真實(shí)信號，如鳥類發(fā)出虛假警報(bào)、動(dòng)物沿用過時(shí)的遷徙路徑，甚至細(xì)菌之間也存在誤導(dǎo)性化學(xué)信號。

為解決跨物種比較困難的問題，研究人員提出通用數(shù)學(xué)模型，用于量化個(gè)體“認(rèn)知”與現(xiàn)實(shí)的偏差，以及社會信息對其影響程度。模型結(jié)果表明，社會性傳播的虛假信息應(yīng)被視為生態(tài)與進(jìn)化中的常態(tài)。未來研究將探索其對群體生存的影響，以及是否存在可用于人類網(wǎng)絡(luò)空間治理的通用控制規(guī)律。

https://www.securitylab.ru/news/567183.php

零售業(yè)為何成黑客“提款機(jī)”？2026年最新安全數(shù)據(jù)全梳理

Shopify于2025年12月12日發(fā)布統(tǒng)計(jì)指出，零售業(yè)因云工具、POS與多渠道系統(tǒng)疊加，Attack surface持續(xù)擴(kuò)大，Phishing、Ransomware與第三方漏洞正從大企業(yè)蔓延至中小商家。關(guān)鍵數(shù)據(jù)包括：全球平均數(shù)據(jù)泄露成本為$4.44M，美國組織在2025年平均達(dá)$10.22M；FBI IC3披露2024年網(wǎng)絡(luò)犯罪損失$16B，同比較2023年的$12.5B增長33%。在泄露內(nèi)容上，46%的事件涉及客戶PII（姓名、郵箱、支付信息、購買記錄）。

RH-ISAC統(tǒng)計(jì)顯示，零售安全事件2023年725起升至2024年837起，確認(rèn)泄露由369起增至419起。文章建議以“分層防御”為主線：為后臺與云平臺強(qiáng)制MFA，配置IP allowlists與role-based access，定期權(quán)限復(fù)核與補(bǔ)丁更新，并加強(qiáng)第三方供應(yīng)鏈風(fēng)險(xiǎn)管理。

https://www.shopify.com/hk-en/enterprise/blog/retail-cybersecurity

安全事件

德國因空管系統(tǒng)遭黑客攻擊及虛假信息活動(dòng)召見俄羅斯大使

德國就俄涉嫌對其空管系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊及開展選舉前虛假信息活動(dòng)一事召見俄大使。德方宣布掌握明確證據(jù)，2024年8月針對德國空管機(jī)構(gòu)Deutsche Flugsicherung的攻擊與俄關(guān)聯(lián)APT組織APT28（即“奇幻熊”）有關(guān)，俄軍方情報(bào)機(jī)構(gòu)GRU對此負(fù)責(zé)。此外，德方指認(rèn)俄通過“Storm 1516”虛假信息活動(dòng)試圖影響并破壞德國聯(lián)邦選舉，該組織自2023年起活躍，曾針對烏克蘭及美歐多國選舉。德方稱俄混合威脅加劇，正聯(lián)合歐盟伙伴準(zhǔn)備反制措施，俄駐德使館尚未回應(yīng)且此前否認(rèn)類似指控。

https://securityaffairs.com/185650/apt/germany-calls-in-russian-ambassador-over-air-traffic-control-hack-claims.html

美國政府網(wǎng)站遭SEO污染攻擊：官方域名被篡改為色情內(nèi)容入口

2025年12月，美國多州及地方政府的.gov域名遭遇大規(guī)模SEO污染攻擊。攻擊者未直接入侵服務(wù)器，而是利用政府網(wǎng)站公開的文件上傳表單，上傳含惡意鏈接的PDF等文件。這些文件被Google索引后，用戶點(diǎn)擊官方域名鏈接會跳轉(zhuǎn)至色情廣告、AI成人內(nèi)容生成器等不良頁面。截至12月14日，已有38個(gè).gov域名（涉及18個(gè)州）受影響，包括內(nèi)布拉斯加州、夏威夷州、加州等政府機(jī)構(gòu)。研究人員Dominic Alvieri指出，攻擊利用了政府平臺文件上傳功能的公開性缺陷，文件默認(rèn)對外可訪問且被搜索引擎收錄。托管約5500個(gè)政府網(wǎng)站的Granicus公司已調(diào)整設(shè)置，禁止上傳文件默認(rèn)公開，但事件暴露了政府網(wǎng)站在內(nèi)容發(fā)布與索引管控上的漏洞。

https://www.securitylab.ru/news/567187.php

照相亭拍照泄露隱私：Hama Film數(shù)據(jù)漏洞致多國用戶信息暴露

2025年12月13日消息，安裝于多國的Hama Film公司照相亭存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。該公司隸屬于Vibecast，業(yè)務(wù)覆蓋美國、澳大利亞和阿聯(lián)酋。安全研究員Zeacer于10月向Hama Film報(bào)告其服務(wù)器存在漏洞，可無需授權(quán)訪問用戶照片和視頻，但未獲回應(yīng)。11月，他向TechCrunch提供了從服務(wù)器獲取的示例數(shù)據(jù)，其中包含墨爾本等地照相亭用戶的上千張照片。據(jù)悉，照相亭會自動(dòng)將照片上傳至在線存儲，原存儲周期為2-3周，現(xiàn)雖縮短至1天，但漏洞仍未完全修復(fù)。Vibecast及其聯(lián)合創(chuàng)始人Иоиль Пак均未回應(yīng)相關(guān)問詢。

https://www.securitylab.ru/news/567167.php

新品發(fā)布

GPT-5.2登場：OpenAI正面迎戰(zhàn)Gemini 3 Pro

OpenAI在宣布與Disney達(dá)成重磅合作的同日，正式發(fā)布旗艦?zāi)Ｐ虶PT-5.2，直指Google的Gemini 3 Pro。相較此前因表現(xiàn)平淡而飽受爭議的GPT-5，GPT-5.2被定位為面向真實(shí)專業(yè)場景的核心升級版本。

GPT-5.2采用分層策略，推出Instant、Thinking和Pro三種形態(tài)。其中，GPT-5.2 Thinking主打深度推理，在不依賴外部工具的情況下，于AIME 2025數(shù)學(xué)基準(zhǔn)中取得100%成績，ARC-AGI-1抽象推理測試較GPT-5.1提升超10%，事實(shí)性錯(cuò)誤下降30%，顯著增強(qiáng)科研與高風(fēng)險(xiǎn)決策的可靠性。Instant版本則優(yōu)化信息檢索、技術(shù)寫作與翻譯，并提升響應(yīng)速度。

該發(fā)布正值OpenAI競爭壓力加劇之際。此前Gemini 3 Pro登頂LMArena排行榜，迫使OpenAI加速回歸“生產(chǎn)力優(yōu)先”的模型路線，以支撐商業(yè)化與算力投入，同時(shí)繼續(xù)推進(jìn)其AGI長期愿景。

https://securityonline.info/openai-fights-back-gpt-5-2-unveiled-to-rival-googles-gemini-3-pro/