← 返回博客
安全简报 2026年2月19日 7分钟阅读

Honeywell监控摄像头绕过 + Figure百万账户泄露

CISA警告Honeywell监控摄像头存在严重漏洞(CVSS 9.8),允许未经授权访问。Figure金融科技公司数据泄露,通过社会工程攻击导致近100万账户信息泄露。四个VS Code扩展下载量超1.25亿,存在严重漏洞。Microsoft Copilot漏洞自1月以来绕过DLP策略


严重:Honeywell监控摄像头身份验证绕过

CISA警告:CVE-2026-1670 — CVSS 9.8

CISA警告在关键基础设施中使用的多款Honeywell监控摄像头产品存在严重漏洞。攻击者无需身份验证即可劫持账户并访问摄像头视频流。

由研究人员Souvik Kanda发现,CVE-2026-1670被归类为"关键功能缺失身份验证"。该漏洞允许未经身份验证的攻击者更改与设备账户关联的恢复电子邮件地址,从而实现完全账户接管。

受影响型号

型号 固件版本
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

这些符合NDAA标准的摄像头部署在美国政府机构、联邦承包商和关键设施中。CISA建议:


Figure金融科技:96.72万账户泄露

ShinyHunters声称对社会工程攻击负责

区块链原生金融科技公司Figure Technology Solutions遭受数据泄露,影响近100万账户。攻击通过社会工程手段实施。

Figure公司已通过250多家合作伙伴(包括银行、信用社和金融科技公司)解锁超过220亿美元房屋净值贷款,公司向TechCrunch确认了此事件。攻击者使用语音钓鱼(vishing)欺骗员工提供访问权限。

泄露数据

ShinyHunters勒索团伙在其暗网网站上泄露了来自数千名贷款申请人的2.5GB数据。这是针对Okta、Microsoft和Google的SSO账户的更大规模攻击活动的一部分,涉及100多个高知名度组织

🎯 攻击模式

攻击者冒充IT支持人员致电员工,欺骗他们在模仿公司登录门户的钓鱼网站上输入凭据和MFA代码。一旦进入,他们就可以访问连接的企业应用程序,包括Salesforce、Microsoft 365、Google Workspace、Slack和Dropbox。


VS Code扩展:超1.25亿下载量受影响

严重漏洞允许文件泄露和远程代码执行

OX Security研究人员在四个流行的VS Code扩展中发现多个漏洞。三个CVE仍然未修补

"黑客只需要一个恶意扩展,或单个扩展中的一个漏洞,就可以进行横向移动并入侵整个组织,"研究人员警告说。

CVE 扩展 CVSS 影响
CVE-2025-65717 Live Server 9.1 通过恶意网站进行本地文件泄露
CVE-2025-65716 Markdown Preview Enhanced 8.8 通过.md文件执行任意JavaScript
CVE-2025-65715 Code Runner 7.8 通过settings.json执行任意代码
Microsoft Live Preview 敏感文件泄露(已在v0.4.16中修复)

立即行动


Microsoft Copilot绕过DLP策略

漏洞自1月21日起处于活跃状态——汇总机密电子邮件

Microsoft 365 Copilot漏洞导致AI助手汇总机密电子邮件,绕过旨在保护敏感信息的数据丢失防护(DLP)策略。

此漏洞被追踪为CW1226324,影响Copilot的"工作标签"聊天功能。它错误地读取并汇总"已发送邮件"和"草稿"文件夹中的电子邮件——包括带有机密标签的邮件,这些标签明确设计为限制自动化工具的访问。

时间线

Microsoft表示:"这并未让任何人访问他们未被授权查看的信息...已为企业客户在全球范围内部署配置更新。"

企业建议

审查自1月21日以来的Copilot活动日志。验证带有敏感性标签的内容是否未被无意包含在Copilot汇总中并共享给非预期接收者。


其他头条新闻

德克萨斯州起诉TP-Link涉嫌中国黑客风险

德克萨斯州起诉TP-Link Systems,指控该公司欺骗性地将路由器宣传为安全产品,同时允许中国国家支持的黑客利用固件漏洞。

国际刑警组织"红牌行动2.0"

在16个非洲国家进行651次逮捕。追回超过430万美元。该行动针对投资诈骗、移动支付诈骗和欺诈性贷款应用程序,这些应用程序与4500万美元的损失有关。

PromptSpy:首个滥用Gemini AI的恶意软件

ESET发现使用Google的Gemini AI保持持久性的Android恶意软件。该恶意软件利用生成式AI分析屏幕并生成逐步说明,以保持自己固定在最近的应用程序中。

尼日利亚黑客因税务欺诈被判8年

因入侵马萨诸塞州多家税务准备公司并提交虚假申报单,试图获得超过810万美元退税而被判刑。


今日数据

指标 数值
Figure泄露受影响账户 967,200
Honeywell CVE严重性(CVSS) 9.8
VS Code扩展风险下载量 1.25亿+
Copilot DLP绕过持续时间 约30天
国际刑警组织逮捕(红牌行动2.0) 651
ShinyHunters针对的组织 100+

今日优先事项

  1. 隔离:Honeywell监控摄像头系统——立即应用网络分段
  2. 审核:VS Code扩展——禁用Live Server、Markdown Preview Enhanced、Code Runner直到修补
  3. 培训:关于语音钓鱼攻击的安全意识(ShinyHunters手册)
  4. 验证:Microsoft Copilot DLP合规性——审查自1月21日以来的活动
  5. 审查:SSO安全控制——MFA绕过抵抗能力

使用KENSAI保护你的组织

AI驱动的漏洞管理,索引超过333,000个CVE。

开始免费扫描

保持安全。保持警惕。

🗡️ KENSAI安全团队

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home