本周安全新闻：LastPass 用户数据再次被盗

# 本周安全新闻：LastPass用户数据再遭窃取 来源：https://www.wired.com/story/security-news-this-week-lastpass-users-had-their-data-stolen-again/ 《连线》杂志本周的一项调查揭示了英格兰布里斯托尔一个预测性警务项目（https://www.wired.com/story/british-police-built-a-sprawling-crime-prediction-machine-some-results-couldnt-be-trusted/）的内部情况，该项目在过去十余年间涉及23个独立模型，旨在评估特定个人实施或遭受不同犯罪的可能性。调查基于公共记录请求和其他报道数据，展现了一个对社区有实际影响但当地大多数人毫不知情的混乱执法机制。 彼得·蒂尔私人"Dialog"社团（https://www.wired.com/story/leak-exposes-members-of-peter-thiels-secretive-dialog-society/）成员身份上周曝光后，该组织声称是一名"罪犯"黑客导致了泄露。但证据显示，成员个人信息——包括一位白宫情报官员和一位现役特种作战军官（https://www.wired.com/story/the-pentagon-is-looking-into-the-dialog-data-exposure-for-unmasking-national-security-officials/）的信息——本就可公开访问，很可能是由于Dialog网站配置错误（https://www.wired.com/story/dialog-hack-website-misconfiguration/）导致暴露。 在Anthropic与白宫就其最新Claude Mythos 5和Fable 5模型的路径继续谈判之际，批评者指出Anthropic似乎正在迅速积累权力（https://www.wired.com/story/anthropic-thinks-ai-can-only-be-safe-under-its-control/）——该公司表示这种策略对AI安全和负责任开发是必要的。周五晚上，白宫批准Anthropic向少数美国公司和政府机构（https://www.wired.com/story/anthropic-restores-access-to-mythos/）重新开放Mythos 5的使用权限。 与此同时，OpenAI本周发布了其限量版GPT-5.5-Cyber模型的改进版本，并启动了名为"Patch the Planet"的全面计划，旨在支持开源项目的漏洞修补（https://www.wired.com/story/openai-launches-full-scale-effort-to-patch-open-source-bugs-as-it-takes-on-anthropics-mythos/）及其他安全问题，这是AI加速漏洞发现和利用开发的背景下进行的。随着中美AI军备竞赛升级，《连线》采访了一批中国顶尖AI专家（https://www.wired.com/story/ai-arms-race-china-us-cooperation/），发现双方都对"切尔诺贝利时刻"的威胁感到担忧。 与此同时，随着世界杯淘汰赛阶段临近，与这项大型足球赛事相关的诈骗越来越难以识别（https://www.wired.com/story/world-cup-scams-are-getting-harder-to-spot/）。 还有更多新闻。每周我们都会汇总未能深入报道的安全与隐私新闻。点击标题阅读完整故事。祝各位安全无忧。 ## LastPass因合作伙伴泄露再次遭遇安全事件（https://techcrunch.com/2026/06/23/password-manager-maker-lastpass-says-hackers-stole-customer-support-case-data-during-klue-breach/） 密码管理器LastPass多年来已多次发生重大数据泄露，现在又添一笔。本周，该公司通知客户（https://blog.lastpass.com/posts/klue-supply-chain-incident-and-lastpass-response）发生了一起泄露事件，涉及姓名、电话号码、电子邮件地址、物理地址、支持案例数据和销售相关数据。此次攻击源于AI商业情报公司Klue（https://klue.com/blog/an-update-on-recent-klue-security-incident）的泄露。攻击者攻破了Klue客户（包括LastPass）的访问令牌，然后利用这些令牌从Salesforce及其他集成平台窃取数据。LastPass强调，此事件并非其自身基础设施遭入侵，也未影响密码保险库。 "我们建议客户警惕可能利用泄露联系方式进行的钓鱼攻击或社会工程学尝试，"LastPass在客户通知中写道。"对于未经请求的通信，包括电子邮件、电话或敏感信息请求，请始终保持谨慎。" ## 前特朗普顾问约翰·博尔顿因非法留存机密数据认罪（https://apnews.com/article/bolton-justice-department-trump-classified-information-e95c29e7f8659d8b4b01d44148ae1ab4?link_source=ta_bluesky_link&taid=6a3e8da290eb590001ecef4f&utm_campaign=trueanthem&utm_medium=social&utm_source=bluesky#） 前国家安全顾问约翰·博尔顿周五就一项处理不当及非法留存机密国防信息的指控认罪。现年77岁的博尔顿达成了一项认罪协议，可能避免监禁，但协议建议刑期不超过五年。马里兰州美国地方法院法官西奥多·庄将于10月28日举行的听证会上做出量刑决定。博尔顿曾在特朗普首届政府任职，但后来成为唐纳德·特朗普总统的著名批评者。作为协议的一部分，博尔顿还同意支付225万美元罚款，但如果庄法官决定处以比协议建议更高的罚款或更长的刑期，他可以选择撤回认罪。 ## 欧洲刑警组织、微软等联手打击助长网络犯罪的广泛使用的信息窃取木马（https://blogs.microsoft.com/on-the-issues/2026/06/24/scaling-cybercrime-disruption-through-innovation-and-ai/） 微软、欧洲刑警组织及其他合作伙伴周三宣布（https://www.europol.europa.eu/media-press/newsroom/news/global-cyber-strike-disrupts-socgholish-amadey-and-stealc-malware-networks），他们摧毁了Amadey和StealC信息窃取木马的基础设施，这些恶意软件是网络犯罪生态系统的核心。这是"终局行动"的一部分，该行动针对助长勒索软件及其他网络犯罪的平台和工具。行动包括识别、映射、查获并摧毁恶意软件基础设施，涉及326台服务器和142个域名。行动标记了约4700万美元的被盗加密货币，并回收了多达2700万条被盗访问凭证。微软强调，行动得益于创新技术，包括AI辅助分析，显示Amadey和StealC依赖同一个后端基础设施，因此可以一并打击。 ## 澳大利亚发现国家级黑客已入侵关键基础设施，准备实施破坏（https://www.theregister.com/security/2026/06/25/nation-state-actors-cracked-critical-australian-infrastructure-to-cripple-it-at-a-time-of-their-choosing/5261877） 澳大利亚安全情报组织（ASIO）本周表示，在发现黑客入侵该国系统后，正在组建专门团队应对针对关键基础设施的国家级网络攻击。"我们发现国家级黑客已入侵一家澳大利亚关键基础设施提供商的网络，"ASIO总干事迈克·伯吉斯周三发表讲话时表示。"ASIO评估认为，黑客正在准备实施破坏……他们正在绘制网络地图并维持访问权限，以便在自选时机瘫痪该系统。" 伯吉斯是在ASIO发布年度威胁评估（https://www.asio.gov.au/resources/speeches-and-statements/director-generals-annual-threat-assessment-2026）时发表上述言论的。"在这种情况下，一个国家级赞助团体不仅成功进入了澳大利亚关键基础设施提供商，还获取了网络活跃用户（包括负责保卫网络的IT专业人员）的登录凭证——即登录信息和密码。"他补充道。