HackerNews 编译，转载请注明出处： 检测泄露的凭证只是战斗的一半。真正的挑战——往往被忽视的另一半——在于检测后的处理。GitGuardian《2025年机密泛滥现状报告》的新研究揭示了一个令人不安的趋势：在公共代码库中发现的大多数暴露的企业机密，在被检测后仍保持有效数年之久，这导致攻击面持续扩大，而许多组织未能有效应对。 根据GitGuardian对GitHub公共代码库中暴露机密的分析，早在2022年检测到的凭证中，仍有惊人的比例至今有效： “检测到泄露的机密只是第一步，”GitGuardian研究团队表示，“真正的挑战在于快速修复。” 这种持续有效性暗示着两个令人担忧的可能性：要么组织未意识到其凭证已暴露（安全可见性问题），要么缺乏资源、流程或紧迫性来妥善修复（安全运维问题）。在这两种情况下，一个值得关注的观察结果是，这些机密甚至未被例行撤销——既没有通过默认过期自动失效，也未在定期轮换流程中手动处理。 组织要么对暴露的凭证毫不知情，要么缺乏资源有效应对。硬编码机密在代码库中泛滥，使得全面修复变得困难。凭证轮换需要跨服务和系统协调更新，通常会影响生产环境。 资源限制迫使组织仅优先处理最高风险的暴露，而遗留系统因不支持临时凭证等现代方法造成技术障碍。可见性有限、操作复杂性和技术限制的结合，解释了为何硬编码机密在暴露后仍长期有效。转向采用集中化自动化系统和短期凭证的现代机密安全方案，已成为运营必需，而不仅仅是安全最佳实践。 在原始数据背后隐藏着一个令人不安的现实：由于凭证在公共代码库中持续存在多年，关键生产系统仍然脆弱。 对2022-2024年暴露机密的分析表明，数据库凭证、云密钥和关键服务的API令牌在首次暴露后仍长期有效。这些并非测试或开发凭证，而是通往生产环境的真实密钥，为攻击者访问敏感客户数据、基础设施和关键业务系统提供了直接通道。 仍暴露的敏感服务（2022–2024） MongoDB：攻击者可利用这些凭证窃取或破坏数据。这些高度敏感的凭证可能让攻击者获取个人身份信息，或用于提权和横向移动的技术洞察。 谷歌云、AWS、腾讯云：这些云密钥可能让攻击者访问基础设施、代码和客户数据。 MySQL/PostgreSQL：这些数据库凭证每年也持续出现在公开代码中。 这些都不是测试凭证，而是真实服务的密钥。 过去三年间，公共代码库中暴露机密的格局变化既显示出进步，也揭示了新风险，尤其是云和数据库凭证方面。需再次强调，这些趋势仅反映已被发现且仍然有效的案例——意味着尽管已被公开暴露，它们仍未被修复或撤销。 对于云凭证，数据显示出明显的上升趋势。2023年，有效云凭证占所有仍活跃的暴露机密比例略低于10%。到2024年，该比例激增至近16%。这一增长可能反映了企业环境中云基础设施和SaaS采用率的提升，但也凸显出许多组织在安全管理云访问方面持续面临的挑战——尤其是随着开发速度和复杂性的增加。 相比之下，数据库凭证暴露呈相反走势。2023年，有效数据库凭证占检测到的未修复机密超13%，但到2024年该数字降至不足7%。这一下降可能表明，针对数据库凭证的认知和修复工作——特别是高调数据泄露事件后及托管数据库服务使用增加——正在产生效果。 总体结论是微妙的：尽管组织可能在保护传统数据库机密方面有所进步，但有效且未修复的云凭证暴露的快速上升表明，新型机密正在成为最普遍和高风险的存在。随着云原生架构成为常态，对自动化机密管理、短期凭证和快速修复的需求比以往任何时候都更加紧迫。 高风险凭证的实用修复策略 MongoDB凭证 为降低暴露的MongoDB凭证带来的风险，组织应迅速轮换任何可能泄露的凭证，并设置IP白名单严格限制数据库访问。启用审计日志对实时检测可疑活动和协助事件调查也至关重要。长期来看，应通过动态凭证摆脱硬编码密码。如果使用MongoDB Atlas，可通过API编程实现密码轮换，使CI/CD流水线能够定期轮换机密，即使未检测到暴露。 谷歌云密钥 如果发现谷歌云密钥暴露，最安全的措施是立即撤销。为防范未来风险，应从静态服务账户密钥转向现代短期认证方法：对外部工作负载使用“工作负载身份联盟”，将服务账户直接绑定至谷歌云资源，或在需要用户访问时实施服务账户模拟。强制执行定期密钥轮换，并对所有服务账户实施最小权限原则，以降低任何暴露的潜在影响。 AWS IAM凭证 对于AWS IAM凭证，若怀疑暴露必须立即轮换。最佳的长期防御是完全弃用长期用户访问密钥，选择通过IAM角色和AWS STS为工作负载提供临时凭证。对于AWS外部的系统，利用“IAM Roles Anywhere”。使用AWS IAM访问分析器定期审计访问策略，并启用AWS CloudTrail进行全面日志记录，以便快速发现和响应可疑的凭证使用行为。 通过采用这些现代机密管理实践——聚焦短期动态凭证和自动化——组织能显著降低暴露机密带来的风险，并使修复成为可管理的常规流程，而非紧急救火行动。机密管理器集成也能帮助自动完成此类任务。 暴露机密的持续有效性代表着重大且常被忽视的安全风险。尽管检测至关重要，但组织必须优先考虑快速修复，并转向能够最小化凭证暴露影响的架构。 正如数据所示，问题正在恶化而非改善——更多机密在暴露后长期保持有效。通过实施适当的机密管理实践并弃用长期凭证，组织能显著减少攻击面，缓解不可避免的暴露事件的影响。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦刑事警察局（BKA）以涉嫌洗钱和运营犯罪交易平台为由，查封了加密货币交易所eXch的线上基础设施并关闭其服务。 当局称，此次行动于2025年4月30日开展，并查获了8TB数据以及价值3400万欧元（约合3825万美元）的加密货币资产，包括比特币、以太币、莱特币和达世币。 据BKA披露，eXch[.]cx自2014年运营至今，提供加密货币兑换服务，用户可通过该平台交易数字资产。该平台同时存在于明网（clearnet）和暗网（dark web）。 BKA在一份声明中表示，eXch“在犯罪地下经济（UE）平台中公开宣称不实施任何反洗钱措施”，且“用户无需向服务提供身份信息，平台也不会存储用户数据。因此，通过eXch进行的加密货币兑换尤其适合掩盖资金流向”。 自平台上线以来，估计有价值19亿美元的加密货币资产通过其完成转移，其中包括朝鲜黑客组织今年早些时候入侵Bybit后获得的部分非法收益。 值得注意的是，eXch曾于4月17日宣布计划于本月停止运营，此举促使当局提前行动以获取“大量证据和线索”。 在BitcoinTalk论坛的一则帖子中，eXch声称关闭服务的理由是“已确认平台成为一项跨大西洋执法行动的目标，旨在强制关闭我们的项目并以‘洗钱和恐怖主义’罪名起诉我们”。其辩称：“我们从未想过支持洗钱或恐怖主义等非法活动，也绝无动机运营一个被视为犯罪的项目。这毫无意义。” 区块链情报公司TRM Labs在5月2日发布的报告中指出，eXch的链上活动与儿童性虐待材料（CSAM）犯罪组织有关，且该平台直接经手超过30万美元的CSAM相关资金。报告称：“尽管eXch以隐私保护型交易所自居，但其以阻碍生态问责而闻名，例如拒绝协助Bybit冻结可能与其黑客事件相关的资金。” 在平台被取缔后，荷兰财政情报和调查局（FIOD）表示“正积极调查通过该兑换服务参与洗钱及其他非法活动的个人”，并强调：“此次行动并非对隐私权的攻击。我们尊重隐私权，但也将在服务被滥用于犯罪时采取行动。请相关人士立即停止违法行为——问题不在隐私，而在犯罪滥用。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌同意向美国德克萨斯州支付13.75亿美元（约合人民币100亿元），就两起涉嫌非法追踪用户位置与违规收集生物识别数据的诉讼达成和解。这是继2024年7月与Meta（原Facebook）就非法面部识别数据使用达成14亿美元和解后，德州总检察长肯·帕克斯顿在科技巨头监管领域的又一重大胜利。 根据德州总检察长办公室发布的声明，此次和解涉及谷歌在用户关闭“位置历史记录”情况下仍秘密追踪地理位置、收集无痕搜索数据，以及通过谷歌照片服务非法获取生物识别数据（声纹与面部特征）等多项指控。此前同类案件中，全美40个州联合诉讼仅获3.91亿美元和解，加州单独诉讼金额为9300万美元，此次德州和解金额超历史总和。 “在德州，科技巨头没有法外特权。多年来，谷歌通过产品服务秘密追踪用户行踪、私人搜索甚至生物特征。我们通过多年诉讼最终赢得这场战役，”帕克斯顿表示，“这13.75亿美元和解金是对企业滥用用户信任的严厉警示，我将持续保护德州民众隐私免受科技巨头侵害。” 谷歌在声明中否认存在不当行为，称相关产品政策早已调整。发言人何塞·卡斯塔内达表示：“此次和解主要涉及多年前已修正的旧版产品功能，包括Chrome无痕模式提示、谷歌地图位置披露条款及照片生物识别数据处理方式。我们将继续加强服务中的隐私控制。” 技术细节显示，作为和解协议的一部分，谷歌将于2024年12月1日起调整地图时间线功能——相关数据将仅存储于用户设备本地，停止云端同步并关闭网页端访问权限。用户需下载移动端谷歌地图应用方可继续使用该功能。 此次和解创下美国州政府单起隐私诉讼最高赔偿纪录。2024年以来，德州通过三起科技巨头隐私诉讼累计获赔超21亿美元，包括： 2024年1月：谷歌支付700万美元和解非法收集未成年人声纹数据诉讼 2024年7月：Meta支付14亿美元和解非法面部识别数据收集案 2024年8月：本起13.75亿美元谷歌隐私和解案 法律专家指出，德州通过修订《生物识别数据隐私法》与《数据隐私与安全法案》，构建了全美最严苛的数据保护体系。该州总检察长办公室设有专职技术侦查部门，配备逆向工程专家与数字取证团队，为诉讼提供技术支持。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，新型信息窃取软件“Noodlophile窃密者”正通过伪造的AI视频生成工具传播。攻击者在Facebook高流量群组投放名为“造梦机器”（Dream Machine）的广告，宣称可通过上传文件生成AI视频，实则诱导用户下载恶意压缩包。 感染链分析显示，受害者下载的ZIP文件内藏名为“Video Dream MachineAI.mp4.exe”的可执行程序（实为CapCut视频编辑软件v445.0版本的重打包程序），利用Winauth工具伪造数字签名。当用户双击该文件时，系统会执行多阶段攻击流程： 启动批处理脚本：通过install.bat调用Windows系统工具certutil.exe，解码Base64加密的带密码RAR压缩包（伪装为PDF文档） 建立持久化：在注册表添加自启动项 载荷注入：根据目标环境选择注入方式——若检测到Avast杀毒软件，则通过PE空心化技术将恶意代码注入RegAsm.exe进程；否则直接使用Shellcode内存加载 窃密执行：运行从硬编码服务器获取的混淆Python脚本，最终在内存中激活Noodlophile窃密者 该恶意软件具备三重数据窃取能力： 浏览器凭证：盗取Chrome、Edge等浏览器的账号密码、会话Cookie及身份令牌 数字资产：扫描加密货币钱包文件（如metamask.txt、ledger.txt等）与私钥 远程控制：部分样本捆绑XWorm远控木马，实现主动渗透 窃取数据通过Telegram机器人实时回传至攻击者，形成隐蔽的C2通道。安全公司Morphisec指出，此恶意软件即服务（MaaS）由越南语系犯罪团伙运营，暗网论坛提供“Cookie+密码提取”订阅服务。防御建议包括：禁用Windows文件扩展名隐藏功能，下载文件前验证数字签名，并使用更新至最新病毒库的安全软件扫描。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国高校常用课堂互动平台iClicker官网近期遭“ClickFix”攻击，黑客通过伪造验证码诱导师生执行恶意脚本。该平台隶属麦克米伦出版集团，服务全美5000余名教师与700万学生，用户包括密歇根大学、佛罗里达大学等知名院校。 据密歇根大学安全团队披露，2025年4月12日至16日期间，访问iClicker.com的用户会遭遇虚假CAPTCHA验证，提示点击“我不是机器人”按钮。当用户照做后，攻击者会将混淆处理的PowerShell指令复制至Windows剪贴板，诱导用户通过“运行”窗口执行。该脚本会连接远程服务器（http://67.217.228[.]14:8080）下载二级载荷——针对普通用户植入可实现设备完全控制的后门程序，对沙箱环境则伪装成微软VC++运行库安装包以规避检测。 安全机构SilentPush分析称，此类“ClickFix”社会工程攻击近年呈泛滥趋势，常伪装成Cloudflare验证、谷歌会议报错等界面。历史案例显示，最终载荷多为信息窃取程序，可盗取Chrome、Edge等浏览器的密码、Cookie、加密货币钱包及敏感文档（如seed.txt、metamask.txt等），并通过加密通道回传数据。考虑到攻击目标为高校群体，专家推测其最终目的可能是窃取凭证实施网络渗透或勒索攻击。 尽管iClicker于5月6日在官网发布安全公告，但BleepingComputer发现其页面嵌入了“noindex”元标签，致使公告无法被搜索引擎收录。公告称“登录前的虚假验证码由无关第三方植入，平台数据与核心功能未受影响”，建议4月12-16日期间点击过验证码的师生运行杀毒软件，并立即重置iClicker密码。若执行过恶意指令，需更换设备存储的所有密码，推荐使用BitWarden等密码管理器。 目前，移动端用户及未遭遇虚假验证码的访问者不受影响。平台母公司麦克米伦集团未回应媒体质询，安全研究人员正逆向分析攻击中使用的PowerShell混淆技术，以追溯攻击源头。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国第二大私营医疗集团Ascension披露，因前合作伙伴系统遭入侵，超43.7万名患者的个人健康信息遭泄露。此次事件源于2024年12月的数据泄露，系第三方文件传输软件漏洞被Clop勒索软件组织利用所致。 根据4月28日提交至美国卫生与公众服务部（HHS）的备案文件，泄露数据涵盖患者姓名、联系方式、社保号码及就诊记录等敏感信息，具体字段因个案而异。得克萨斯州有114,692人、马萨诸塞州96名居民确认受影响。 Ascension在致患者的通知信中解释，2024年12月5日发现潜在安全事件后启动调查，至2025年1月21日确认：前商业合作伙伴因使用的第三方软件存在漏洞遭入侵，导致Ascension患者数据被窃。尽管未透露技术细节，安全专家推测与Clop团伙利用Cleo文件传输系统漏洞的勒索攻击有关。 目前，Ascension通过第三方机构Kroll为受影响患者提供为期两年的免费身份监控服务，包括信用监测、欺诈协助及身份恢复支持。这是该机构一年内遭遇的第二起重大网络安全事件——2024年5月，Black Basta勒索软件攻击曾导致其全美多家医院运营瘫痪。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现三个恶意npm软件包专门针对苹果macOS版人工智能驱动的源代码编辑器Cursor。这些伪装成“最便宜Cursor API”开发者工具的软件包会窃取用户凭证，从攻击者控制的服务器获取加密载荷，覆盖Cursor的main.js文件，并禁用自动更新机制以维持持久性驻留。 受影响的软件包包括： sw-cur（2,771次下载） sw-cur1（307次下载） aiide-cur（163次下载） 截至5月9日时，这三个软件包仍可在npm仓库下载。其中“aiide-cur”由用户“aiide”于2025年2月14日发布，自称是“macOS版Cursor编辑器的命令行配置工具”；另外两个软件包由别名“gtr2018”的用户提前一天发布，累计下载量已超3,200次。 安装后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器（t.sw2031[.]com或api.aiide[.]xyz）获取第二阶段载荷，用恶意代码替换合法Cursor文件。“sw-cur”还会禁用Cursor自动更新功能并终止所有相关进程，随后重启应用使恶意代码生效，使攻击者能在平台上执行任意代码。 Socket公司研究员基里尔·博延科指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势。这种“补丁式攻击”的阴险之处在于，即使删除恶意软件包，仍需重新安装被篡改的软件才能彻底清除威胁。 “攻击者不再局限于向软件包管理器植入恶意代码，而是发布看似无害的npm包来重写受害者计算机上的可信代码，”Socket向The Hacker News解释，“恶意逻辑通过合法父进程（如IDE或共享库）运行时，会继承应用程序信任，在被删后仍保持持久性，并自动获取软件权限——从API令牌、签名密钥到外网访问权限。” 攻击者还利用开发者对AI工具的兴趣实施钓鱼，以“最便宜Cursor API”为诱饵吸引用户安装后门。防御此类供应链攻击需监测安装后脚本、修改node_modules外文件、异常网络请求等行为，配合版本锁定、实时依赖扫描和关键文件完整性监控。 此次披露还包含另两个npm包——2024年9月由用户“olumideyo”发布的pumptoolforvolumeandcomment（625次下载）和debugdogs（119次下载）。后者通过调用前者传播混淆载荷，窃取加密货币平台BullX的密钥、钱包文件和交易数据，并通过Telegram机器人外传。安全研究员库什·潘迪亚指出，这种“包装器模式”使用多重名称传播相同恶意代码，能在数秒内清空数字资产。 此外，安全公司Aikido发现合法npm包“rand-user-agent”遭供应链攻击，恶意版本2.0.83、2.0.84和1.0.110会植入远程控制木马。这些版本通过与外部服务器通信实现目录切换、文件上传和命令执行，于2025年5月5日被检测到。目前该包已被标记为弃用，GitHub仓库重定向至404页面。维护方WebScrapingAPI称，攻击者通过未启用双因素认证的过期自动化令牌实施了此次入侵。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌上周四宣布，将在Chrome浏览器、搜索引擎和安卓系统中推出全新人工智能反欺诈功能。该公司表示，其设备端大型语言模型Gemini Nano将首次被整合至桌面版Chrome 137的安全浏览系统，通过实时分析网站内容识别诈骗风险，即使面对从未出现过的诈骗手段也能提供保护。 “设备端处理方式可即时识别危险网站，其独特优势在于能解析网站复杂多变的特征，帮助我们更快适应新型诈骗手法，”谷歌在声明中指出。目前该技术已用于打击远程技术支持诈骗，这类诈骗常以虚假的电脑故障为借口骗取用户财务信息。 谷歌Chrome安全团队工程师解释称，系统通过大语言模型扫描网页中可能存在的诈骗信号，例如滥用键盘锁定API等可疑行为。检测到风险信号后，安全浏览系统会综合判断页面是否为欺诈网站。为平衡性能与安全，谷歌采用异步处理机制限制GPU使用量，并设置令牌配额防止资源过度消耗。 除当前针对技术支持诈骗的防护外，谷歌计划将检测范围扩展至包裹追踪和未缴通行费类诈骗。安卓版Chrome预计将在今年晚些时候获得该功能。同时，升级后的AI反诈系统日均拦截的欺诈性搜索结果数量已提升20倍，2024年成功将仿冒航空公司客服的诈骗页面减少80%，虚假签证/政府服务网站减少70%。 针对安卓用户，Chrome将新增设备端机器学习通知预警功能。当检测到恶意网站推送的诱导性通知（如要求下载可疑软件或泄露敏感信息），浏览器会显示网站名称、欺诈风险提示，并提供退订选项。该功能与谷歌今年3月在短信应用中推出的AI诈骗检测形成互补，延续了其设备端优先的安全策略。 值得关注的是，谷歌正为安卓16系统开发“高级防护”功能，默认关闭JavaScript和2G连接，并启用防盗锁、离线设备锁等安全设置。此前有报道称，该公司还在测试通话中检测银行APP诱导开启的新型反诈技术，进一步构建多层级防护体系。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 南非国有航空公司南非航空(SAA)于周二发布声明称，其于上周六遭遇网络攻击，导致官方网站和多个内部运营系统暂时中断。 此次攻击还影响了移动应用程序，但该公司表示IT团队已控制事态，并“将核心航班运营的干扰降至最低”。 在周二发布的声明中，南非航空强调：“我们确保了客户服务中心、销售办公室等关键客服渠道的持续运行，所有受影响平台已于当天恢复正常功能”。 该公司未回应此次事件是否涉及勒索软件的质询。 首席执行官约翰·拉莫拉表示，公司正在调查事件根本原因，并核查敏感信息是否外泄。作为预防措施，该事件已向国家安全局、南非警察局及信息监管机构报告。 南非航空承诺，若确认存在信息被盗将通知受影响人员。南非航空公司去年营收超3亿美元、运营16条航线。截至周三下午尚无黑客组织宣称负责。 此次攻击是南非关键机构持续遭受网络犯罪冲击的最新案例。2023年，勒索团伙曾泄露总统个人联系方式，并窃取国防部1.6TB数据。 此后，国有银行、能源巨头、政府雇员养老基金及国家实验室接连遇袭。仅2025年前四个月，政府气象服务部门、最大鸡肉生产商和主要电信公司已相继沦陷。 上周，非洲最大电信运营商MTN集团也确认遭遇数据泄露。 面对愈演愈烈的网络威胁，南非政府于今年4月出台新规，强制要求所有机构向信息监管机构报告网络攻击，以加强个人信息安全事件的监控。 这项立法恰逢南非航空等国有企业正从长期财务危机中复苏的关键时期——该航司2024年才实现13年来首次盈利，此前累计接受政府注资约137亿元人民币。        消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文