Canvas数据泄露波及哈佛牛津等近9000所机构

首页 > 安全钻研 > 安全传递 > 安全简讯

Canvas数据泄露波及哈佛牛津等近9000所机构

颁布功夫 2026-05-12

1. Canvas数据泄露波及哈佛牛津等近9000所机构

5月6日，黑客组织ShinyHunters近日颁布了一份蕴含近9000所教育机构的名单，宣称这些机构卷入了不休扩大的Canvas进建治理系统数据泄露事务，受影响者可能多达2.75亿人，蕴含学生、老师和工作人员。该组织还宣称获得了平台内互换的“数十亿条”个人信息，可能泄露学生、教育工作者和治理人员之间的敏感对话。颁布的名单涵盖至少10个分歧国度的高档教育机构和高中，大部门来自美国，其次是澳大利亚、英国和瑞典。受害者中蕴含哈佛大学、斯坦福大学、麻省理工学院、牛津大学、普林斯顿大学、哥伦比亚大学、剑桥大学、康奈尔大学、加州大学伯克利分校和乔治城大学等世界最驰名的教育机构。名单中还出现了亚马逊、苹果和思科等企业客户，批注这些公司可能使用Canvas进行员工培训。如此大规模的数据泄露极其危险，攻击者能够利用这些信息精心策动针对性的社交工程攻击，鉴别高价值指标。

https://cybernews.com/security/anvas-lms-breach-universities-data-leak/

2. Checkmarx遭TeamPCP连环供给链攻击

5月11日，Checkmarx于上周末发出忠告，其在Jenkins Marketplace上颁布的利用法式安全测试（AST）插件中出现了一个恶意版本。这次入侵由名为TeamPCP的黑客组织宣称掌管。Jenkins作为最宽泛使用的持续集成/持续部署（CI/CD）自动化解决规划，被用于软件构建、测试、代码扫描、打包及利用部署。Checkmarx的AST插件正是将安全扫描集成到Jenkins的自动化管路中。据安全工程师Adnand Khan泄漏，TeamPCP设法获取了Checkmarx的GitHub仓库接见权限，并在Jenkins AST插件中植入后门。攻击者正是利用了3月份Trivy供给链攻击中窃取的仓库凭证，凭借这些凭证，攻击者在一个多月内持续维持接见权限，并在GitHub、Docker、VSCode及Open VSX等多个平台颁布了蕴含窃守信息代码的开发者工具恶意版本，蕴含该公司KICS分析工具的篡改版本。5月9日星期六，版本号为2026.5.09的恶意Jenkins AST插件被上传至repo.jenkins-ci.org。该版本未经过官方颁布流程，短缺git标签和GitHub颁布版本，且日期体式与官方规划不符。

https://www.bleepingcomputer.com/news/security/official-checkmarx-jenkins-package-compromised-with-infostealer/

3. GhostLock工具滥用API执行文件锁定的回绝服务攻击

5月11日，一位安全钻研人员近日颁布了一款名为GhostLock的概想验证工具，该工具演示了若何滥用合法的Windows文件API函数进行攻击，从而阻止用户或利用法式接见存储在本地或SMB网络共享上的文件。这项技术由以色列航空航天工业公司的Kim Dvash研发，其主题在于滥用Windows的“CreateFileW”API及其文件共享模式参数，实现对其他过程的文件接见阻断。为将这一技术自动化，Dvash在GitHub上颁布了GhostLock工具。该工具可能递归地打开SMB共享上的大量文件，在维持文件句柄活跃的状态下，使任何新的文件接见尝试都被系统回绝。值妥贴心的是，该工具能够由尺度域用户运行，无需任何提升的权限。攻击者甚至能够从多台受习染的设备同时提议攻击，并在先前过程终止后不休沉新获取文件句柄，从而耽搁阻断功夫。不外，一旦关联的SMB会话实现、GhostLock过程被终止，或者受影响的系统沉启，Windows会自动关关所有文件句柄，复原正常的文件接见。

https://www.bleepingcomputer.com/news/security/new-ghostlock-tool-abuses-windows-api-to-block-file-access/

4. SailPoint披露GitHub代码库遭未经授权接见

5月11日，SailPoint是一家专一于企业身份安全与身份治理解决规划的网络安全公司，其产品旨在援手各类组织有效治理和节造用户对系统、利用法式及敏感数据的接见权限。2026年4月20日，该公司披露了一路涉及其GitHub代码库的网络安全事务。凭据SailPoint向美国证券买卖委员会（SEC）提交的8-K表格显示，公司在当天检测到部门GitHub代码库遭到了未经授权的接见。事务产生后，SailPoint迅速启动了内部事务响应机造，并在第三方网络安全公司的协助下立即终止了未经授权的活动，成功节造了安全缝隙的影响领域。SailPoint在提交的文件中明确暗示，这次事务的底子原因是某第三方利用法式存在安全缝隙，目前该缝隙已经得到建复。经过与第三方网络安全响应公司的结合调查，SailPoint确认没有发现任何证据批注其出产环境或测试环境中的客户数据遭到犯法接见，也没有发现公司的正常服务出现中断。这意味着，只管攻击者成功侵入了SailPoint的GitHub代码库，但客户的现实使用履历和数据安全性并未受到直接威胁。

https://securityaffairs.com/191997/data-breach/identity-security-firm-sailpoint-discloses-github-repository-breach.html

5. 谷歌钻研人员发现首个疑似AI天生的零日缝隙

5月11日，谷歌威胁谍报幼组（GTIG）的钻研人员近日颁布汇报指出，针对一款盛行的开源网络治理工具的零日缝隙，极有可能是利用人为智能天生的。该缝隙可能绕过该工具中的双成分身份验证（2FA）�；せ�。谷歌之所以高度确信攻击者使用了人为智能模型，重要基于Python缝隙利用代码的结构和内容特点。钻研人员发现，该剧本蕴含大量教育性的文档字符串，甚至蕴含一个虚构的CVSS评分，并且选取了结构化、教科书式的Python体式，这些正是大说话模型（LLM）训练数据的典型特点。用于这次恶意工作的LLM具体是哪一款尚不明显，但谷歌已排除了其自家Gemini模型参加的可能性。进一步证据批注，LLM还被利用在缝隙发现阶段。该缝隙性质上是一个高级语义逻辑谬误，这类缺点刚好是人为智能系统擅于识此外类型，而非通常通过吞吐测试或静态分析就能发现的内存败坏或输入算帐问题。GTIG钻研人员暗示，这是他们初次发现一个使用零日缝隙的威胁行为者，且该缝隙被以为是通过人为智能开发的。

https://www.bleepingcomputer.com/news/security/google-hackers-used-ai-to-develop-zero-day-exploit-for-web-admin-tool/

6. 黑客利用Vercel与天生式AI大规模造作垂钓网站

5月11日，网络安全公司Cofense的钻研人员近日发现，黑客利用网站开发平台Vercel提议高质量诳骗的活动急剧增长。诳骗分子此刻借助天生式人为智能（GenAI）构建出险些无法与真实网站分辨的虚伪页面。出格是通过Vercel旗下的天生式UI系统v0.dev，即便是技术能力很弱的诳骗者，也能轻松创建仿照驰名品牌表观微风格的垂钓网站。这一过程不仅急剧，并且成本便宜。Vercel自身是一个面向网站开发者的合法云平台，但黑客能够等闲注册使用。该平台提供免费版本以及每月20美元的专业版账户，攻击者无需治理自己的服务器即可在线托管网页。更为关键的是，一旦某个垂钓页面被查封，他们可能急剧搭建新页面，由于人为智能每次城市天生略有分歧的版本，使得基于特点的传统封堵战术难以见效。黑客还将这些虚伪网站与Telegram平台衔接起来。当受害者在伪造的登录页面中输入幼我信息时，Telegram机械人API会将这些数据实时发送给攻击者。这种自动化部署接口使诳骗者无需守护复杂的后端服务器即可轻松监控并收取窃取到的凭证。

https://hackread.com/hackers-exploit-vercel-genai-phishing-sites/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研