协作工具是现代职场不可或缺的一部分。作为完成工作的关键,Slack、Teams、Zoom、Trello、Notion 和 Google Workspace 等团队协作工具使身处各地的员工能够互相发送消息、共享文档和文件、通过语音和视频会议进行实时沟通以及跟踪任务进度。
但是,当那些能够提高生产力、增强员工专注力的工具变成安全威胁时,会发生什么呢?
Mimecast 的《2025 年人类风险状况》报告发现,79% 的安全领导者认为协作工具构成新的威胁,61% 的人声称他们的组织预计会遭遇与协作工具相关的安全漏洞。
本文重点关注最近与知名企业协作工具相关的两起攻击,以及已经存在安全问题的 ChatGPT中的新漏洞。
日经新闻遭遇重大数据泄露
日本媒体集团日经新闻周三披露了一起数据泄露事件,影响了超过 17,000 个员工的 Slack 帐户。
事件起因是一名员工的个人电脑感染了恶意软件,导致其 Slack 身份验证凭证被盗。攻击者利用这些凭证非法访问了公司的 Slack 工作区,泄露了员工和业务伙伴的姓名、电子邮件地址和聊天记录。
该安全漏洞于 9 月份被发现,随即采取了包括更改密码在内的安全措施。
相关报道链接:https://www.darkreading.com/cyberattacks-data-breaches/nikkei-suffers-breach-slack-compromise
Teams 的缺陷使得消息操纵和高管冒名顶替成为可能
Check Point Research 发现 Microsoft Teams 中存在四个严重漏洞,攻击者可以利用这些漏洞篡改消息、伪造通知并冒充高管。例如,攻击者可以编辑消息而不留下“已编辑”标签,更改消息通知的发送者,更改私聊中的显示名称,以及更改视频和音频通话中的呼叫者身份。
这些漏洞影响了 Teams 的 3.2 亿多用户,并对商业电子邮件泄露和社会工程攻击构成重大风险。
微软已通过多次修复解决了这些问题,最近一次更新于上个月完成,主要针对音频和视频消息问题。这一发现凸显了人们对通过操纵可信通信平台来攻击企业高管和特权账户的复杂攻击日益增长的担忧。
相关报道链接:https://www.cybersecuritydive.com/news/researchers-flaws-manipulation-microsoft-teams-messages/804636/
ChatGPT 漏洞会导致数据窃取和用户操纵
Tenable 的研究人员在 OpenAI 的 ChatGPT 中发现了七个严重漏洞,这些漏洞可能使数百万用户面临隐私泄露和操纵攻击的风险。
这些漏洞源于 ChatGPT 和 SearchGPT 处理外部网络内容的方式,使得攻击者能够通过博客评论、恶意搜索结果和精心构造的 URL 注入恶意提示。主要攻击方法包括通过受信任的网站间接注入提示、通过恶意 ChatGPT URL 进行一键攻击以及零点击漏洞利用。
这些漏洞使攻击者能够窃取私人聊天记录、绕过安全过滤器并创建持久访问权限。虽然这些问题已于四月份报告给 OpenAI,但许多问题仍未解决,这凸显了大型语言模型持续存在的安全挑战,以及企业在集成 AI 聊天机器人时需要谨慎行事。
相关报道链接:https://www.darkreading.com/application-security/multiple-chatgpt-security-bugs-rampant-data-theft
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/62863.html
