麦当劳AI招聘平台漏洞

致6400万求职者数据泄露

麦当劳加盟商广泛使用的AI招聘工具“McHire”近日被曝存在严重安全漏洞，导致超过6400万求职者的个人信息面临泄露风险。安全研究人员Ian Carroll与Sam Curry发现，该平台存在两个关键缺陷：

弱默认凭证： 餐厅管理员的初始登录用户名和密码过于简单，攻击者可轻易获取测试账户权限。

网址篡改漏洞（IDOR）： 仅需修改聊天记录网址中的申请者ID号，即可越权访问其他所有求职者的完整申请数据，包括姓名、邮箱、电话、住址等未脱敏信息。

漏洞源于McHire平台的内部API设计缺陷。研究人员在观察到其AI聊天机器人“Olivia”出现异常反馈后展开调查，迅速确认了漏洞。

McHire平台AI聊天机器人故障

（来源：Ian Carroll）

此次事件暴露了 AI系统部署中的基础安全缺失。相关专家强调：“核心问题并非AI本身，而是 企业急于部署时忽视了基本的安全管控。任何处理个人数据的AI系统，都必须与核心业务系统遵循同等严格的访问控制与审计标准。”麦当劳与该平台开发负责人均承诺将加强数据安全防护。

PerfektBlue蓝牙漏洞威胁

梅赛德斯、大众、斯柯达等汽车安全

研究人员披露了影响OpenSynergy公司BlueSDK蓝牙协议栈的四个漏洞（统称“PerfektBlue”）。这些漏洞可被组合利用，实现远程代码执行，并 可能危及包括梅赛德斯-奔驰、大众、斯柯达在内的多家汽车品牌的关键系统。攻击者仅需通过无线方式诱使用户点击即可发动攻击。

在梅赛德斯-奔驰 NTG6 系统上的漏洞

（来源：PCA Cyber Security）

尽管OpenSynergy早已向客户推送了补丁，但许多汽车制造商尚未部署修复固件。部分主要厂商近期才获知此风险。漏洞严重性从低到高不等，可通过车辆信息娱乐系统（IVI）作为突破口。攻击演示显示，在已与受影响设备配对的情况下，黑客能借此操控系统、提升权限并在车载网络内横向移动。研究人员在大众ID.4、梅赛德斯-奔驰（NTG6系统）和斯柯达Superb（MIB3系统）上成功验证了攻击，获取了反向外壳控制。

此类攻击的潜在危害极大：攻击者一旦在IVI上远程执行代码， 便能追踪车辆GPS位置、窃听车内对话、访问手机联系人，甚至可能渗透至控制车辆行驶的关键子系统。目前，相关厂商正加紧推进修复工作。

澳洲航空确认遭黑客勒索

600万客户数据成筹码

澳大利亚航空公司澳洲航空（Qantas）于本周证实，在7月初披露的数据泄露事件已收到威胁行为者的勒索要求。 该事件导致约600万客户的姓名、电子邮件地址、电话号码、出生日期等信息面临风险。澳航表示已将此事件进展通报澳大利亚联邦警察，并拒绝透露勒索细节。

此次攻击发生于6月底，黑客通过入侵澳航呼叫中心使用的第三方平台窃取数据。澳航重申，没有信用卡、财务信息、护照、密码或登录凭证被泄露。公司紧急提醒客户警惕利用被盗信息进行的钓鱼诈骗，强调其官方邮件绝不会主动索要敏感信息。

此次事件被视为黑客组织“Scattered Spider”针对航空业系列攻击的一部分。该组织以社会工程攻击（如诱骗服务台重置员工密码和MFA）突破企业防线著称。值得注意的是，该组织近期攻击策略呈现行业轮动特征：4月曾重点袭击零售业（如英国玛莎百货M&S），后转向保险公司，现聚焦航空运输业（西捷航空、夏威夷航空此前亦遭波及）。安全专家指出，此类攻击 凸显第三方服务商和身份验证环节的脆弱性，相关行业需加强防护。

全球IT分销巨头Ingram Micro

因勒索软件攻击系统中断

在Ingram Micro设备上发现SafePay赎金票据

（来源：BleepingComputer）

相关人士透露， 攻击者疑似通过泄露的凭证入侵了该公司的VPN系统。事件发生后，Ingram Micro迅速关闭了内部系统，部分员工被告知居家办公。受影响的系统包括其AI驱动的Xvantage分销平台和Impulse许可证配置平台，但Microsoft 365、Teams和SharePoint等服务仍可运行。

SafePay是2025年较为活跃的勒索软件团伙之一。值得注意的是，尽管勒索票据声称窃取了广泛数据，但勒索票据的内容通常为通用模板，不一定反映Ingram Micro的具体情况。截至目前，Ingram Micro尚未公开确认此次攻击，仅向员工通报存在“IT问题”，且未回应媒体询问。

比特币运营商数据泄露

近2.7万客户信息遭暴露

美国主要比特币运营商Bitcoin Depot近期确认发生了数据泄露事件，导致近27,000名客户的敏感个人信息落入黑客之手。在内部调查结束时，公司确认未经授权的个人获取了包含客户个人信息的文件。

此次泄露的信息类型因人而异，但可能包括受影响用户的全名、电话号码、家庭住址、出生日期、电子邮件地址以及驾驶执照号码。由于事件涉及加密货币相关的特殊金融风险，Bitcoin Depot并未像通常数据泄露事件那样为受影响客户提供身份监控或盗窃保护保险服务。取而代之，公司强烈建议客户对潜在的欺诈活动保持高度警惕，密切监控所有账户报表，并考虑采取信用报告安全冻结等预防性措施。

值得注意的是，这并非加密ATM行业的首例。就在2024年12月，另一家美国比特币ATM运营商Byte Federal也曾披露一起影响58,000名客户的数据泄露事件。Bitcoin Depot表示已开始通过信件直接通知受此次事件影响的客户。

M&S确认社会工程攻击

引发大规模勒索软件事件

英国零售巨头玛莎百货（M&S）近日证实， 其遭遇的大规模勒索软件攻击最初源于一场社会工程攻击。公司董事长在英国议会听证会上透露，攻击者冒充了M&S的某位员工，成功欺骗了某个第三方实体重置了该员工的密码，从而获得了初始网络访问权限。

此次攻击被归因于名为DragonForce的勒索软件团伙，据信该团伙在亚洲活动。攻击发生后，M&S为阻止攻击蔓延主动关闭了所有系统。然而，攻击者还是成功加密了多台VMware ESXi服务器，并窃取了约150GB的数据。DragonForce团伙采用典型的“双重勒索”策略，既加密数据又窃取数据，并威胁如不支付赎金就将公开数据。