∞ 近百万份各国护照和身份证明在互联网上被曝光
一位安全研究人员近日发现,近 98.5 万份护照、驾照等照片身份证明及相关个人信息,被一家为西班牙大麻俱乐部提供软件服务的公司以几乎零防护的方式暴露在公网上,任何技术水平一般的黑客都可以轻易获取。这批数据涉及来自世界各地的用户,包括约 3 万名美国访客,还有部分名人,他们在西班牙等地的大麻俱乐部登记身份信息、本人的自拍照、联系方式以及消费习惯等隐私内容,都可能已被悄然暴露。
发现这一严重漏洞的是安全研究员 Sammy Azdoufal,他此前曾披露多款扫地机、婴儿监视器和安全摄像头存在严重安全缺陷。他表示,通过简单的脚本扫描,他在互联网上发现了超过 98.5 万张身份证件照片,其中绝大部分来自西班牙的大麻俱乐部会员注册系统。这些文件被存放在极其简单、可预测的公开 URL 下,没有任何密码或访问控制,只要知道链接格式就能查看任意用户的证件图像。
这些大麻俱乐部本身并不直接运营相关系统,而是使用一家名为 Cannabis Club Systems(CCS)的爱尔兰公司提供的软件和云服务,该公司此前也名为 Nefos Solutions。CCS 为俱乐部提供销售、财务以及入场验证系统:接待人员会将用户护照或身份证照片以及自拍上传到 Nefos 的云端,以便日后快速核验身份。在传统模式下,会员每次进店都要出示实体证件,而该系统则允许工作人员通过调出云端资料进行比对,部分俱乐部还配套使用名为 PuffPal 的手机应用,通过扫描二维码加快入场流程。
然而,当 Azdoufal 对 PuffPal 应用进行反编译分析时,他发现 Nefos 的整体安全设计几乎形同虚设。应用内不仅以明文形式嵌入了 Stripe 支付平台的密钥,用户资料接口也只需修改一个数字就能访问到不同会员的完整档案,其中可能包括电话号码、家庭住址、护照信息以及个人大麻消费偏好等敏感数据。更严重的是,系统将身份证件照片保存在类似 “https://ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg” 的公开地址上,没有任何令牌或权限校验,而各俱乐部每天仍在以这样的方式上传约 5000 张新证件照。
Azdoufal 还发现,一个面向俱乐部的管理后台同样暴露在公网,并且俱乐部账号使用的弱密码在现代 GPU 的暴力破解下可以在数分钟内被攻破。通过 PuffPal 应用在俱乐部与会员之间的私聊消息,也被证明存在潜在泄露风险。在他看来,这种“把一整座金库的钥匙随手扔在街上”的做法,让任何有心的攻击者都能够批量窃取并转卖这些高度敏感的身份数据,对当事人造成无法预估的损害。
在媒体介入后,Nefos 终于开始采取实质行动。据 Azdoufal 在 6 月 10 日的最新测试结果,这家公司已经宣布暂时关闭 PuffPal 整套系统及其存在漏洞的 API,护照图片和个人数据目前看起来已被加固,外界已无法再通过此前的方式直接访问。公司方面表示,已向当地监管机构通报情况,将全面修复问题并承担罚款责任,同时向用户说明事件经过。
Nefos 联合创始人 Andreas Nilsen 在接受采访时称,公司已经就此次数据泄露事件与爱尔兰数据保护委员会(DPC)取得联系,这一点也得到了 DPC 发言人通过邮件的证实。Nilsen 表示,他们“必须向所有可能受影响的人发出通知”,并希望 DPC 能指导公司如何规范地履行这一义务。他同时声称,目前尚无证据显示除 Azdoufal 以外的外部人员访问过这些数据。
不过,从时间线上看,Nefos 对这起严重风险的响应明显拖延。在 Azdoufal 主动联系公司后,Nefos 迟迟未做出实质回应,直到媒体表明要报道此事五天之后才正式回复。在此期间,公司更多是在“打补丁”式地封堵局部漏洞,以避免影响业务运转,而非从根本上停止存在安全隐患的系统。
更具讽刺意味的是,今年 6 月初,当 Azdoufal 告知记者护照照片似乎已经被锁定时,记者却意外发现 Azdoufal 本人的护照图像再次在网上公开可见。原因在于,Nefos 虽暂时限制了图像访问,但并未立刻停止俱乐部使用 PuffPal 应用,而后者的客户因抱怨“图片加载不如从前方便”,促使 Nefos 再次放开了访问限制。Nilsen 辩称,在他们与研究人员和媒体沟通期间,图像大约有“70% 的时间”处于封锁状态,但事实证明公司在保护用户隐私和维护客户体验之间,明显偏向了后者。
到了 6 月 9 日,Azdoufal 又发现,尽管 Nefos 已经为护照图片等文件增加了访问令牌,用户档案中的其他数据仍处于“裸奔”状态。黑客只需在命令行中输入类似 “curl -X POST https://ccsnubev2.com/v8/api/userProfile.php -d 'user_id=[编号]&[俱乐部名]=test&language=en'” 的请求,就能获取到包括护照号码、电话、邮箱和家庭住址在内的一整套个人信息。在研究员和媒体再次提醒后,Nefos 才彻底封堵了这一接口。
面对质疑,Nilsen 在承认最终责任在公司的同时,也将部分锅甩给了外包团队。他点名一家名为 9Series 的外包公司,称其负责开发 PuffPal 应用和相关 API,而正是这些接口让大量未加保护的数据从 Nefos 的用户数据库中被直接调取至公网。截至发稿时,9Series 尚未就此作出回应。
目前,随着 PuffPal 被关闭,Nefos 正通过邮件通知各家大麻俱乐部,其会员今后将无法再使用二维码入场。不过,俱乐部仍可通过扫描会员的 RFID 卡或输入电话号码等方式,从 Nefos 服务器调用相关身份资料进行现场核验。Nilsen 强调,公司不会因为俱乐部要求就重新上线安全性不足的 PuffPal,而是在与 9Series 终止合作后,计划在未来几个月推出一款新的应用。他承诺,新系统将由独立安全研究人员进行审核,并在确认“百分之百安全”后才会重新投入使用。
根据欧盟《通用数据保护条例》(GDPR),企业在发生数据泄露后 72 小时内必须向监管机构报告,否则可能面临巨额罚款。Nilsen 也承认,公司没有在法定时限内完成披露,因此“肯定会受到某种形式的处罚”。就在上个月,一家名为 “UK Visa Portal” 的网站同样因将至少 10 万份护照及自拍照暴露在可猜测 URL 下而引发舆论关注。业内人士担心,类似事件正在不断累积,暴露出越来越多企业在处理高度敏感身份信息时的疏忽和短视,也再次敲响了数据安全的警钟。
∞ 美国三大运营商联合打击铜缆盗窃
据美国有线与电视协会最新报告显示,近年来针对通信网络线路的盗窃与破坏事件急剧增加,仅相关统计期内就发生了18327起影响用户宽带和电视连接的案件,涉及近1200万民众,平均每月约1527起、每天约50起,比2024年上升了59%。这类事件主要针对负责将互联网接入用户家庭的有线网络基础设施,已经对社会运行和公众生活造成显著冲击。
为应对这一趋势,美国三大运营商 AT&T、T-Mobile 和 Verizon 近日共同宣布加入名为 STRIKE 的行业协作计划。该计划全称为“战略威胁响应与基础设施知识交流”(Strategic Threat Response & Infrastructure Knowledge Exchange),旨在通过运营商之间的信息共享和协同防御,加强对关键通信网络的监测、防护和快速处置能力。参与方希望借此在运营层面形成合力,减少针对通信线路的蓄意破坏与盗窃事件,降低对用户服务的实际影响。
在诸多案件中,铜缆往往成为首要目标。由于铜材具有较高回收价值,不法分子会直接盗割铜线牟利。与此同时,光纤线路也不可避免地遭到波及,部分光缆在破坏或报复性行为中被人为剪断,造成大范围断网。行业内部人士强调,这类行为不仅影响普通家庭上网,更可能干扰医院、学校以及紧急服务等关键机构的通信保障,因此有声音呼吁应将其定性为“恐怖袭击”性质的行为,以反映其对公共安全的严重威胁。
基于铜缆的传统有线网络本身就面临老化问题,许多线路和设备铺设年代久远,长期维护投入不足。在盗窃和破坏事件激增的压力下,运营商加速推进基础设施升级,将老旧铜缆网络替换为光纤等新一代传输介质。光纤本身没有可观的金属回收价值,同时能够提供更高带宽和网速,这一升级既是安全层面的被动应对,也顺势推动了美国宽带网络整体向更高速、更可靠方向演进。
据悉,相关行业组织已在报告中系统梳理了事件数量、影响范围及发展趋势,并呼吁监管部门、执法机构与运营商之间建立更紧密的协同机制。未来,随着 STRIKE 等跨运营商合作平台的运作以及光纤化改造的推进,美国运营商希望逐步遏制铜缆盗窃与恶意破坏,减少互联网与电视服务中断频率,提升社会整体通信安全韧性。
∞ 网络安全研究人员质疑Anthropic Fable安全护栏过于严格
Anthropic 本周二正式向公众发布其最新模型 Fable,将其定位为内部高阶网络安全模型 Mythos 的“公共、受限版”,但这一产品很快在网络安全圈内引发争议。 多名安全研究人员和从业者在社交平台和社区发帖抱怨称,Fable 内置的安全护栏过于严格,几乎无法用于任何实际的网络安全相关工作。
根据研究人员的反馈,Fable 会拒绝“任何哪怕略微沾边网络安全”的请求,甚至包括看似无害的任务,例如帮忙阅读一篇博客文章。 研究人员 Valentina “Chompie” Palmiotti(现就职于 IBM X-Force)表示,Fable 会直接中止对话,并提示其安全机制已将该消息标记为涉及网络安全或生物学主题。 这些护栏的设计初衷,是防止模型被用于开发恶意软件、攻击或破坏软件系统,同时也限制其在生物学领域被滥用来辅助研发生物武器。
Anthropic 在今年 4 月推出 Mythos 时,选择通过名为“Project Glasswing”的计划,仅向少量企业和机构开放,意在借助该模型帮助保护关键软件和基础设施。 上周,Anthropic 又宣布将 Mythos 的使用范围扩展到 15 个国家的数百家机构,进一步推动这类高能力安全模型在关键行业落地。 不过,在 Fable 面向公众开放后,其“降配版”安全策略在专业用户中遭到强烈质疑,不少人认为实际体验与官方宣传存在明显落差。
长期从事网络安全工作的 Matt Suiche 表示,Fable 在判断请求是否与网络安全相关时表现得非常生硬。 他举例称,如果用户提出“编写安全代码”的需求,Fable 会倾向于将其视为网络安全工作,而非软件工程最佳实践指导,从而直接触发降级机制。 一旦触发护栏,Fable 会自动回退至能力更弱的 Claude Opus 4.8 来继续对话。 Suiche 认为,Fable 的判断逻辑看起来高度依赖关键词,“只要落在‘网络安全’语义场里的词,很容易就被安全系统拦截”。
尽管如此,Suiche 也对当前阶段的严苛设置表示一定程度理解,认为在这一早期阶段,厂商对模型施加更保守的安全阈值,在风险控制上更有保障。 他预计,随着 Anthropic 与新一代网络安全公司加深合作,这些护栏将会被不断优化和微调。 在他看来,相比一开始放得太松,导致潜在滥用风险失控,先“多拦一些”再逐步放宽限制,是更可接受的路径。
对 Fable 表达不满的不止一人。另一位研究人员在社交平台上吐槽称,“就连请求它做代码审查,也会触发安全护栏”。 有用户在 Reddit 的 Claude 相关社区分享经验,称 Fable 在面对安全审计、漏洞分析等请求时几乎“清一色拒绝”,严重影响其在专业环境中的实用性。 截至发稿时,Anthropic 尚未就这些反馈作出公开答复。
除了模型内部的自动护栏机制,Anthropic 还针对网络安全从业者设立了额外的准入程序——“网络安全验证计划”(Cyber Verification Program)。 只有通过该计划审核的用户,才能在更少限制的条件下,使用 Claude 进行网络安全工作。 类似地,OpenAI 也推出了名为“Trusted Access for Cyber”的项目,为合规的网络安全实践开放更多模型能力。 这些做法反映出前沿模型公司在推进 AI 赋能网络安全的同时,仍试图通过审核制度与技术护栏双重手段,平衡能力释放与滥用风险。
∞ 从永续合约行情来看 SpaceX上市首日股价有望大涨两位数
参与 SpaceX 上市前永续合约交易的加密货币交易者普遍预期,这家备受市场追捧的太空企业上市首日将迎来大幅上涨。Hyperliquid 是一家以高频、高杠杆加密货币交易者为主的交易平台,平台上 SpaceX 上市前永续合约现价约 162 美元,较 135 美元的固定 IPO 发行价高出 20%;但该合约 5 月刚上线时价格曾突破 220 美元,如今跌幅显著。币安平台的 SpaceX 永续合约交易价格也处于相近区间。
2026 年 4 月 13 日周一,美国加州霍桑市,一辆特斯拉赛博皮卡驶过 SpaceX 厂区。
据消息称,马斯克旗下这家火箭企业本次 IPO 认购超额四倍,投资者需求规模约为发行流通股份数量的四倍。
SpaceX 将于本周五在纳斯达克挂牌交易。企业估值达 1.77 万亿美元,上市后将立刻跻身全美第七大上市公司,超越当前市值约 1.6 万亿美元的特斯拉。
去中心化金融基础设施企业 Injective Labs 联合创始人兼首席执行官埃里克・陈表示:“Hyperliquid 平台的永续合约反映出市场对 SpaceX IPO 存在投资兴趣,但并未出现狂热炒作情绪。该市场以风险承受能力高的高频交易者为主,相比其他 IPO 前置资产,其给出的溢价并不算夸张。永续合约仅具备参考意义,无法保证 SpaceX 正式挂牌后大盘整体的真实走势。”
埃里克・陈称,风险点在于即便是市场里最为乐观的交易者,做多情绪也并未极度高涨,这也让人质疑,待股票进入真实流动性、正式价格形成阶段后,现有需求能否持续。
永续期货合约(简称 “永续合约”)是一类特殊期货产品,投资者可借助杠杆对标的资产价格进行投机,合约无到期日,且无需实际持有底层标的资产。
数据平台 CoinGecko 统计,永续合约是加密市场最主流的交易品种,全球中心化加密交易所超 70% 的交易量均来自永续合约。
SpaceX 永续合约价格回落的同时,整个加密货币大盘同步走弱。自 5 月 18 日该永续合约上线至今,比特币、以太坊价格分别累计下跌 20%、23%。
∞ 监管机构出台预测市场规则草案 禁止恐怖主义、暗杀相关标的交易
美国联邦监管机构周三出台首套预测市场监管规则草案。美国商品期货交易委员会(CFTC)是统筹该类市场监管的联邦主管部门,本次拟搭建一套判定标准,界定哪些交易合约违背公共利益、属于非法产品。
2022 年 12 月 23 日,美国华盛顿,美国商品期货交易委员会总部大楼
依据《商品交易法》,监管重点排查以下题材合约:恐怖主义、暗杀、战争、博彩,以及各州或联邦法律明令禁止的各类非法行为相关合约。但委员会并未依据题材类别一刀切禁止所有事件类合约,体育赛事、大选相关合约不在全盘封禁之列。
本次规则草案重点细化判定标准,明确何种合约会触及恐怖主义、战争、暗杀三大红线 —— 目前境内持牌交易所均已主动下架此类标的合约。
规则在 “博彩” 相关界定上仍存在灰色地带,体育赛事类事件合约一直是该领域争议焦点;不过草案已列明部分明确不予放行的体育类合约类型。
委员会在公告中坦言,本次发布的规则草案内容尚不完善,后续还会针对预测市场出台更多配套监管细则。
本次规则公示结束后,将开启为期 45 天的公众意见征集阶段。
由特朗普总统任命的美国商品期货交易委员会主席迈克尔・塞利格在声明中表示:“美国商品期货交易委员会将维护持牌市场的公正秩序,同时不阻碍合规创新发展。这套草案为委员会提供一套长效、透明的判定框架,既能落实国会要求、从严审查高风险合约,也能保障合法合规的市场正常运营。”
塞利格还在社交平台 X 发文补充,委员会在后续立法进程中,会持续兼顾市场秩序维护与良性创新发展两大目标。
草案设立完整的合约禁入判定流程:第一步,确认合约是否真实锚定某一现实事件;第二步,判断该事件是否落入《商品交易法》划定的高风险范畴;第三步,开展公共利益影响评估,最终决定是否禁止该合约上线交易。
过去一年,预测市场热度爆发式增长,各国监管机构都在加紧制定配套监管方案。
美国多个州政府已对相关交易平台发起监管诉讼,州政府认为平台上线的体育类产品本质属于赌博,管辖权归各州所有。但美国商品期货交易委员会持不同观点,主张所有事件类合约均属于互换产品,联邦机构享有专属监管权。
与此同时,国会两党议员均对这类平台存在担忧,重点关注内幕交易潜在风险,但目前国会尚未出台专门针对预测市场的成文法案。
针对体育题材,草案作出清晰划分,明确部分合约严禁上线。
规则文件写明:“在博彩范畴内,委员会允许依托客观权威数据、配套完整风控体系、以赛事整体综合结果为结算依据的合约;但纯靠随机概率判定输赢的游戏、高风险边缘体育类合约一律禁止,例如仅针对运动员伤病、裁判判罚、单次赛场动作、赛场冲突、大学以下青少年赛事的相关合约。”
委员会表示,“博彩” 一词释义范围极广,本次统一界定标准:以休闲娱乐为目的、具备固定规则、最终结果由参与者实操水平决定且可量化评判的活动。
按照这一新定义,大选相关合约不属于博彩范畴,因其不具备休闲娱乐属性。