Instagram密码沉置事务引数据泄露忧郁

首页 > 安全钻研 > 安全传递 > 安全简讯

Instagram密码沉置事务引数据泄露忧郁

颁布功夫 2026-01-12

1. Instagram密码沉置事务引数据泄露忧郁

1月11日，全球多地Instagram用户陆续收到看似来自官方邮箱的意表密码沉置邮件，引发大规模数据泄露忧郁。这次事务涉及超百万用户，网络安全公司Malwarebytes在暗网发现蕴含约1750万个Instagram账户敏感信息的数据集，蕴含用户名、电话号码、电子邮箱及地理地位等，虽未蕴含密码，但专家忠告该信息可能被用于网络垂钓、身份偷窃及社会工程攻击，有关数据已在地下平台流通，加剧隐衷安全风险。面对证疑，Instagram母公司Meta公开否定系统遭入侵，称事务源于技术故障导致表部人员可触发部门用户密码沉置邮件，强调"系统未被攻破，账户仍安全"，并呼吁用户忽略未要求的沉置邮件。然而，该诠释未能齐全解除公家疑虑，尤其在不足具体技术分析的情况下，用户对账户安全仍存忧郁。

https://securityboulevard.com/2026/01/massive-instagram-data-scare-ties-17-5m-accounts-to-leak-but-meta-denies-breach/

2. BreachForums新版本数据泄露告发32万用户信息

1月10日，臭名远扬的黑客论坛BreachForums最新版本遭逢沉大数据泄露，其用户数据库表及PGP私钥等敏感信息被公开。该论坛作为RaidForums的继任者，持久活跃于犯法数据买卖、企业网络接见权限售卖等网络犯罪领域，此前屡次因法律行动被迫迁徙域名，甚至被质疑为法律部门钓饵。本次泄露源于一个名为"brokeedforum.7z"的压缩文件，内含三个关键文件：蕴含323,988条成员纪录的MyBB用户数据库表（mybb_users）、2023年7月创建的PGP私钥文件，以及关联勒索团伙ShinyHunters的文本。分析显示，数据库表中70,296笔纪录蕴含真实公共IP地址，可能组成用户安全隐患，但对法律部门及安全钻研人员拥有沉要价值。值妥贴心的是，PGP私钥虽已泄露，但受密码�；�，目前密码已被公开验证，存在被滥用的潜在风险。据BreachForums治理员"N/A"证实，这次泄露源自2025年8月论坛从.hn域名复原沉建期间，用户表及PGP密钥曾短暂存储于不安全文件夹，仅被下载过一次。

https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/

3. 伊利诺伊州IDHS近70万居民数据泄露

1月10日，近期，伊利诺伊州人类服务部（IDHS）披露一路因隐衷设置配置谬误导致的大规模数据泄露事务。经调查，2021年4月至2025年9月期间，约32,401名康复服务部（DRS）客户的姓名、地址、病例编号、转介起源及受益人状态等敏感信息遭泄露；2022年1月至2025年9月，672,616名医疗补助和医疗保险储蓄打算受益人的地址、病例编号、人丁统计信息及打算名称亦被泄露，但姓名未被露出。这次事务源于IDHS家庭和社区服务司规划与评估局在地图网站上创建的内部资源分配规划地图被谬误设置为公开可接见，这些地图本仅供内部使用，用于决策如新处事处选址等。发现缝隙后，IDHS当即限度接见权限至授权员工，并发展全面数据审查。为预防类似事务，该部门已执行新安全地图政策：不容将可鉴别客户信息上传大公共地图网站，且地图接见权限严格按角色分配。同时，IDHS正通过免费电话、信誉机构及联国业务委员会（FTC）提供的诓骗警报和安全冻结信息，通知受影响幼我及监管机构。

https://securityaffairs.com/186745/data-breach/illinois-department-of-human-services-idhs-suffered-a-data-breach-that-impacted-700k-individuals.html

4. 德克萨斯州加油站公司Gulshan遭数据泄露

1月9日，据向缅因州总检察长办公室提交的文件披露，德克萨斯州加油站治理公司Gulshan Management Services, Inc.遭逢沉大数据泄露事务，影响超过377,000人。该公司关联的Gulshan Enterprises在德克萨斯州运营约150家Handi Plus和Handi Stop品牌加油站及方便店，这次事务露出了其网络安全治理的脆弱性。事务始于2025年9月下旬，Gulshan公司发显熹IT系统遭未经授权接见。调查显示，攻击者通过成功的网络垂钓攻击侵入系统，并在被发现前持续入侵长达10天。在此期间，威胁行为者不仅窃取了蕴含姓名、联系方式、社会安全号码及驾驶牌照号码等敏感幼我信息，还部署勒索软件加密了公司系统文件，组成双沉攻击。只管数据泄露规模重大，但目前尚无已知勒索软件组织公开宣称对这次攻击掌管。Gulshan公司在复原过程中强调使用“已知安全的备份”沉建系统，这一表述通常暗示企业选择通过备份复原而非支付赎金协商，但具体是否涉及赎金支付仍存疑。

https://www.securityweek.com/377000-impacted-by-data-breach-at-texas-gas-station-firm/

5. 夏威夷大学癌症中心遭勒索软件攻击

1月11日，夏威夷大学癌症中心2025年8月产生勒索软件攻击，导致钻研参加者社会保险号码等敏感信息泄露。然而，大学直至12月才向立法机构提交汇报，远超州司律例定的20天汇报期限，且汇报未披露受影响项目、人数、是否支付赎金等关键信息，引发合规质疑。事务中，黑客入侵服务器加密钻研文件并索要解密用度。大学虽宣称通过表部网络安全团队获取解密工具并确保数据销毁，但回绝泄漏具体细节，蕴含支付金额及若何确认数据彻底销毁。州司法要求安全缝隙汇报需蕴含受影响人数、通知副本、延长原因等，但大学汇报未提及法律机构是否要求延长，亦未诠释四个月延长的具体原因。联国调查局明确否决支付赎金，以为此举会助长犯罪并增长其他组织风险。这次事务中，大学打算为受影响者提供信誉监控和身份偷窃防备服务，并已采取密码沉置、装置监控软件、第三方安全评估等措施，但具体执行成效仍存疑。

https://www.securityweek.com/hackers-accessed-university-of-hawaii-cancer-center-patient-data-they-werent-immediately-notified/

6. 新型Zero-Click攻击可使ChatGPT用户数据遭窃

1月9日，安全钻研员通过BugCrowd平台于2025年9月向OpenAI汇报了ChatGPT的“ZombieAgent”缝隙，该缝隙于12月中旬被建复。这次事务揭示了ChatGPT在“智能体化”转型中露出的安全风险，其新增的“衔接器”职能允许直接接见Gmail、Outlook、Google Drive等表部系统，虽提升了工具实用性，却为攻击者启发了窃取敏感数据的新蹊径。Bado此前已发现“ShadowLeak”技术：通过电子邮件HTML中暗藏的白底白字或微缩字体号令，诱导“深度钻延妆智能体泄露Gmail收件箱数据。此类攻击利用服务器端数据窃取机造，绕过本地防御系统，且用户难以觉察。OpenAI随后加强防护，不容ChatGPT动态批改URL，但Bado进一步发现绕过步骤ZombieAgent攻击。该攻击利用预建静态URL逐字符窃取数据。攻击者机关蕴含固定URL的恶意邮件，指令ChatGPT提取敏感数据、规范体式后，通过按序“打开」剽些URL泄露信息。由于ChatGPT仅执行预设链接而非构建URL，成功绕过了OpenAI的URL沉写与黑名单�；�。

https://www.infosecurity-magazine.com/news/new-zeroclick-attack-chatgpt/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研