TechCrunch 2026-06-18 报道:Texas DPS 数据泄露 3,030,422 名德州居民的驾照、护照、SSN 等敏感数据,持续 11 周未被发现。BlackCat/ALPHV 勒索软件团伙索要 3,000 万美元赎金。攻击入口是 Tyler Technologies 6 个月未打补丁的 CVE-2025-47892 API 漏洞。这起事件揭开了「政府 IT 第三方供应商管理」这个被所有人忽略的「第三类风险」。

SecurityDiscovery 6 月 17 日公开 1,847 个面向互联网的管理后台明文凭据泄露清单,涉及 1,200+ 组织的 7,400+ 账号。其中 312 个医疗系统 + 278 个政府系统 + 195 个工业控制系统前端,最敏感的是俄亥俄州某市水务 SCADA 系统。CISA 当晚发布紧急指令 ED 26-06-15 要求联邦机构 6 月 20 日前自查。根本原因是 Salesforce/Workday/Okta 等 SaaS 厂商创造的「影子管理员账户」——IT 团队根本看不见的「第三类权限」。

Ars Technica 报道揭示:Pokemon Go 母公司 Niantic 分拆出来的 Niantic Spatial,使用 300 亿张玩家街景扫描图像训练「大型地理空间模型」,并把这套能力卖给美国防务承包商 Vantor(前 Maxar Intelligence),用于开发 GPS 拒止环境下的无人机视觉定位系统。这条「游戏玩家→AI 训练→军售」的链路,几乎每个环节都「合规」,但合在一起就是一个关于数据所有权漂移、知情同意失效与 AI 双用途困境的典型案例。

Oracle PeopleSoft 的 CVE-2026-35273 SSRF 漏洞评分高达 9.8,ShinyHunters 从 5 月 27 日起利用它攻击了约 100 家组织,其中 68% 是高校,英国诺丁汉大学已经公开承认受害。从 Mandiant 公布的攻击链还原、暂存服务器里的 bash 脚本、176.120.22.24 外联 IP 和 zstd 压缩痕迹,看这次「高校被一锅端」背后,ShinyHunters 从攻击 FBI 失败后转向防守更松的高校的「替代战场」策略。

2026 年 6 月 11 日,Arch Linux 用户仓库(AUR) 维护者邮件列表披露,数百个 AUR 软件包遭攻击者通过窃取的维护者凭据注入了信息窃取恶意软件。这不是普通的安全事件——它直接命中了 AUR 「去中心化+无中心审计」的核心哲学,也再次给整个开源供应链敲响了警钟。

AWS 把 Anthropic 旗舰模型 Claude Fable 5 摆上 Bedrock 货架,却悄悄在支持文档里加了一条:客户对话默认保留 30 天、数据「离开 AWS 边界」流向 Anthropic。这条被开发者称为「Bedrock 史上最激进数据政策」的条款,把「中立模型市场」的默认安全网拆掉了一个口子,也给企业数据治理出了道新考题。

2026 年 6 月,Telus Digital 确认 5 月底遭受供应链攻击,黑客通过第三方 IAM 供应商的 API 密钥窃取了约 380 万用户数据和企业元数据,据传总量近 1 PB。这场事件再次证明:2026 年企业安全的最大单点故障,是你的供应商的供应商。

美国网络安全和基础设施安全局（CISA）发生严重数据泄露事件，敏感凭证被发现在公开GitHub仓库中流动，多位国会议员已要求CISA局长作出解释。本文深度解读这一事件的原因、影响及警示意义。

2026年5月，纽约市健康与医院系统确认遭遇网络攻击，至少180万患者数据被窃取，其中包括指纹等生物识别信息。本文深度解读事件经过、原因分析及其对普通人的影响。