【盘点】2025年全球十大信息泄露事件
在数字化浪潮席卷全球的2025年,数据作为核心生产要素的价值愈发凸显,但数据安全防线却面临“AI驱动攻击升级、跨境风险加剧、供应链漏洞频发”的多重挑战。全年全球范围内爆发的多起信息泄露事件,不仅涉及金融、政府、汽车、AI等关键领域,更暴露了数据治理在技术迭代与全球化协作中的短板。本文基于事件的全球影响力、行业代表性及安全警示意义,盘点2025年全球十大信息泄露事件,为各行业筑牢数据安全屏障提供参考。
01、美国Coinbase加密货币平台数据泄露事件
2025年5月,美国最大加密货币交易平台Coinbase公开披露严重数据泄露:黑客通过贿赂其海外外包客服人员,非法获取约9.7万名用户的敏感信息,涵盖姓名、家庭地址、部分社会安全号码、银行账户信息、政府身份证件图像及交易历史,并索要2000万美元比特币赎金。
Coinbase拒绝支付赎金,转而悬赏同等金额征集破案线索,但其报告显示,此次事件预计造成1.8亿至4亿美元损失,主要用于用户赔偿、系统修复及安全加固。受影响用户虽未直接遭遇资金被盗,但黑客利用泄露信息冒充平台客服,诱导部分用户将加密货币转入非法钱包。事件暴露平台内部权限管理漏洞,Coinbase已解雇涉事员工,并计划建立美国本土客服中心强化管控。事件曝光后,Coinbase股价单日下跌超7%,收于244.44美元。
02、西班牙“Natohub”黑客入侵北约、联合国事件
2025年2月,西班牙警方联合国民警卫队在阿利坎特卡尔佩抓获网名为“Natohub”的18岁黑客。该黑客涉嫌对西班牙及国际组织发动40余起网络攻击,目标包括西班牙国民警卫队、国防部、教育部,以及北约、美国陆军、联合国、国际民用航空组织(ICAO)等关键机构。
调查显示,“Natohub”通过复杂技术隐藏身份,在暗网论坛BreachForums泄露1.4万名联合国代表的个人数据,并窃取多国机构敏感文件。警方查获其计算机设备、iPhone及50余个加密货币账户,嫌疑人虽获释但被没收护照。此次行动由西班牙国家密码中心、欧洲警察组织及美国国土安全调查局协同推进,凸显跨国网络犯罪的打击难度,也暴露国际组织数据防护的薄弱环节。
03、澳大利亚养老金系统凭证填充攻击事件
2025年4月,澳大利亚多家养老金基金提供商遭遇大规模凭证填充攻击,约2万个客户账户被黑客劫持,潜在损失高达50万美元。
澳大利亚最大养老金基金AustralianSuper(管理3650亿澳元资产、服务350万会员)确认600名会员受影响;管理930亿澳元的RestSuper则透露,8000名会员的“有限个人信息”(姓名、邮箱、会员识别号)被访问,所幸资金未失窃。澳大利亚养老金基金协会(ASFA)表示,多数攻击尝试被拦截,但事件反映出用户重复使用密码的风险——黑客利用已泄露的账户密码批量尝试登录养老金系统。相关机构已联系受影响用户,并强化多因素认证(MFA)机制。
04、美国肯尼迪遇刺案记录泄露事件
2025年3月,美国国家档案馆按前总统特朗普行政令,公布肯尼迪遇刺案相关2182份、共6.34万页文件,却意外泄露数百人的个人信息,包括前国会工作人员、情报研究人员及一名大使的敏感数据。
美媒披露,政府官员在文件公开前已知晓“未删改发布将导致信息泄露”,但白宫直至文件公开后才启动审查。白宫新闻秘书莱维特随后表示,已要求国家档案馆与社会保障管理局制定行动计划,为受影响人员提供协助。此次事件被国家安全律师称为“令人震惊的泄密”,暴露美国政府历史档案脱敏审查机制的疏漏,也引发公众对政府数据公开与隐私保护平衡的质疑。
05、跨国时尚消费品牌违规传输中国用户数据事件
2025年5月,多家媒体报道某境外时尚消费品牌发生数据泄露,中国大陆用户陆续收到警示短信。上海公安机关网安部门调查发现,该品牌中国公司存在多重违规:未通过数据出境安全评估、未订立标准合同或取得个人信息保护认证,擅自向境外总部传输用户信息;未充分告知用户境外接收方的信息处理方式,未取得用户“单独同意”;且未对收集的个人信息采取加密、去标识化等防护措施。
最终,公安机关依法对该公司处以行政处罚,并责令限期整改。此次事件凸显跨国企业在全球数据流动中的合规风险,也成为中国《个人信息保护法》下“数据出境合规”监管的典型案例。
06、日产聆风电动车安全漏洞与数据风险事件
2025年4月,PCAutomotive研究团队在亚洲黑帽大会披露:第二代日产聆风电动车(2020款)存在严重安全漏洞(CVE-2025-32059),黑客可利用信息娱乐系统的蓝牙协议缺陷,远程操控车辆关键功能。
该漏洞链通过堆栈缓冲区溢出获取初始访问权限,借助车载蜂窝网络建立持久连接,最终突破CAN总线网关过滤器,实现对车门、车灯、后视镜及转向系统的控制。漏洞根源在于博世“Bluedragon”蓝牙协议栈缺乏内存保护、车载Linux系统未启用模块签名验证。尽管漏洞已于2023年8月报告,但日产表示车主需等待至2025年第三季度才能通过经销商获取固件更新。美国国家公路交通安全管理局(NHTSA)发布安全通告,建议车主临时关闭蓝牙功能,事件暴露汽车供应链组件的安全标准缺失问题。
07、英国关键防务机构遭“HolyLeagueCoalition”攻击事件
2025年4月,英国陆军、皇家海军及核安全办公室等关键防务机构,遭遇黑客组织 “HLC” 发起的高级网络攻击。
攻击主要采用分布式拒绝服务(DDoS)策略,通过海量流量涌入导致部分系统瘫痪;同时伴随恶意软件分发,存在数据泄露与系统故障的潜在风险。该组织成员“Mr.Hamza”在Telegram宣称负责,并警告“这仅是开始,未来将发起更具破坏性的行动”。外界猜测攻击或与英国支持乌克兰有关,事件引发对“独狼黑客组织关联国家势力”的担忧,也暴露防务机构在应对复杂网络攻击时的防御压力。
08、全球LLMjacking攻击窃取AI访问权限事件
2025年2月,Sysdig威胁研究团队发现,黑客通过“LLMjacking”技术窃取大型语言模型(LLM)访问权限并出售牟利,目标包括DeepSeek等主流LLM平台。
攻击者利用被盗的API密钥,通过OpenAI反向代理(ORP)提供未经授权的LLM访问,部分权限以每月30美元价格售卖。研究显示,一个仅运行4.5天的被盗LLM实例,产生近5万美元云成本,凸显LLM使用的高昂代价。黑客通过4chan、Discord等社区传播ORP工具,利用TryCloudflare隧道隐藏服务器痕迹。安全专家建议,保护LLM需避免硬编码凭证、使用临时密钥、定期轮换权限,并监控可疑账户行为,此次事件标志着AI基础设施成为网络攻击新靶点。
09、西班牙AI深度伪造投资诈骗泄露用户数据事件
2025年4月,西班牙警方逮捕6名犯罪嫌疑人,该团伙利用AI深度伪造技术生成知名公众人物广告,实施全球加密货币投资诈骗,导致208名受害者损失约1900万欧元(2090万美元)。
诈骗分三阶段推进:首先以“浪漫诱饵”或“财务顾问”身份接触目标,用算法筛选潜在受害者;再通过AI深度伪造广告展示“虚假高回报”;最后以“投资冻结需缴解冻费”“假扮欧洲刑警/律师索税费”收尾。团伙通过空壳公司洗钱,头目使用50余个化名。警方提醒,公众需警惕“保证回报”“提款收费”等陷阱,事件暴露AI技术被用于精准诈骗的新风险。
10、谷歌Android零日漏洞在野利用事件
2025年4月,谷歌在安全更新中修复两个已被在野利用的Android零日漏洞(CVE-2024-53150、CVE-2024-53197),这是连续第三个月出现Android系统主动攻击。
两个高危漏洞均影响Linux内核ALSAUSB音频驱动:CVE-2024-53150因未验证bLength参数导致内核内存越界读取(CVSS7.1);CVE-2024-53197通过恶意USB设备触发越界写入(CVSS7.8),可能导致系统崩溃或权限提升,技术与Cellebrite取证工具漏洞相似,暗示或被用于针对性监控。漏洞影响Android12至15系统,谷歌已向Pixel设备推送补丁,三星等厂商同步更新,但传统设备锁难以防护此类内核级漏洞。2023年Android零日漏洞案例较2022年增加50%,反映移动设备安全防御的紧迫性。
结语:全球协作,共筑数据安全防线
2025年的全球十大信息泄露事件,呈现出“攻击技术AI化、风险跨境化、目标多元化”的特征——从加密货币平台的内部贿赂,到AI模型的权限窃取;从养老金系统的凭证填充,到防务机构的定向攻击,每起事件都警示:数据安全已非单一企业或国家的“独角戏”,而是需要全球协作的“共同体责任”。
来源:明朝万达,原文地址:https://mp.weixin.qq.com/s/s7eDPQUSFx9jNGDLJ9i2Gw
