← 返回博客
安全简报4 min read2026-04-20

安全简报,2026年4月20日:Vercel 泄露、Apple 钓鱼提醒邮件,以及 NIST CVE 放缓

今天早上的核心是信任被侵蚀。一家云平台正在处理被入侵与数据出售指控,Apple 自己的邮件通道被武器化为钓鱼载体,而漏洞处理管线的压力已经大到让 NIST 缩减低优先级漏洞的补充分析。


要点: 今天有三件事值得盯紧:对供应商平台的信任、对官方邮件的信任、以及对公开漏洞分级的信任。这三者都刚刚变弱了。


1. 威胁方开始兜售数据后,Vercel 确认发生安全事件

BleepingComputer 报道称,在攻击者声称入侵系统并试图出售窃取数据后,Vercel 披露了一起安全事件。即使完整影响范围尚未公开,防守层面的结论已经很明确,云平台和开发平台访问本身就是生产访问。


2. Apple 账户变更提醒被滥用,让钓鱼邮件更像真的

攻击者找到了滥用 Apple 合法账户变更通知的方法,使钓鱼内容能够嵌入由 Apple 基础设施发出的真实邮件中。这很重要,因为用户和邮件过滤器都会信任发件人。真实的发件地址并不等于安全邮件。


3. NIST 正在退出对低优先级漏洞的完整评分

NIST 表示,由于漏洞提交量激增,它将停止为低优先级 CVE 分配完整严重度评分。The Hacker News 提到 2020 年到 2025 年之间提交量增长了 263%。这意味着过度依赖 NVD 补充信息的团队,将不得不加强自己的内部分级能力。


安全团队今天应该做什么

  1. 确认生产或 CI/CD 系统是否依赖 Vercel,并优先轮换暴露的密钥。
  2. 发出一条简短的反钓鱼提醒,说明合法 Apple 邮件同样可能被滥用。
  3. 检查依赖 NVD 评分的漏洞处理流程,去掉不必要的等待环节。
  4. 向管理层说明共同主题,可信渠道本身已经成为攻击面。

结论: 今天再次提醒我们,当防守方过于轻率地把信任交给云平台、官方邮件或公共评分体系时,安全就会断裂。多验证,少假设。

在攻击者之前发现信任缺口

KENSAI 帮助团队在盲点变成事故前,发现暴露系统、脆弱身份路径和高风险依赖。

开始免费扫描 →

保持锋利。

🗡️ KENSAI 安全团队