歐盟新款年齡驗證應用程式兩分鐘內即遭破解

正計畫在麥迪遜廣場花園（Madison Square Garden）度過一個美好的夜晚嗎？祝你玩得開心——但別說我們沒警告過你。

本週一份《連線》（WIRED）的調查揭露了關於 MSG 負責人吉姆·多蘭（Jim Dolan）及其安全主管約翰·埃弗索爾（John Eversole）所建立的私人監控國度的新細節。根據法院記錄和《連線》的消息來源，前往花園球場及其他多蘭旗下場館的訪客，一直受到面部識別、社群媒體監控、真人跟蹤監視等手段的對待。

美國政府的無證監聽權力本週遭遇阻礙。儘管總統唐納·川普推動對所謂的「第 702 條」間諜計畫進行長期重新授權，但眾議院的 20 名共和黨議員投票反對全面重新授權，迫使議長麥克·強生（Mike Johnson）僅能將該計畫延長 10 天。

Meta 的 Ray-Ban 和 Oakley AI 智慧眼鏡存在形象問題——且理由充分。包括美國公民自由聯盟（ACLU）和全國婦女組織（National Organization for Women）在內的 70 多個公民社會團體本週向該公司致信，要求其放棄任何為 AI 眼鏡配備面部識別功能的計畫。這些團體主張，在已經可以秘密錄製他人影片的穿戴式裝置中加入面部識別，將進一步侵蝕僅存的隱私，並可能為跟蹤者、家庭暴力施暴者和聯邦探員提供便利。

根據《連線》與 Indicator 的分析，未經同意的深偽（deepfake）裸照已成為全球校園的禍害。透過追蹤公開報導的針對國中和高中女生的深偽「脫衣」技術事件，我們在全球 28 個國家識別出超過 600 名受害者。

你可能會認為，從平台上禁止一個為詐騙者服務、價值 200 億美元的黑市是理所當然的事。但如果你是 Telegram，情況就不同了。一份《連線》調查發現，儘管英國政府將「新幣擔保」（Xinbi Guarantee）列為人口販運的促進者，並制裁了這個同類中規模最大的線上市場，該通訊軟體仍繼續為其提供服務。加密貨幣追蹤公司 Elliptic 表示，在英國發布制裁後的 19 天內，新幣擔保又進行了 5.05 億美元的交易。

AI 競賽終於進入了網路安全階段。在 Anthropic 透露其新模型 Mythos 對現有安全現狀構成獨特風險後，OpenAI 也宣布了其新的網路安全戰略，以及隨之而來的新模型——GPT-5.4-Cyber。

這還不是全部！每週我們都會彙整那些我們未深入報導的安全與隱私新聞。點擊標題閱讀完整故事。出門在外請注意安全。

駭入歐盟新款年齡驗證 App 僅需 2 分鐘

歐盟執委會本週發布了一款免費的開源 App，用於驗證社群網路和色情網站訪客的年齡。在週三的新聞發布會上，歐盟執委會主席烏蘇拉·馮德萊恩（Ursula von der Leyen）宣稱，隨著該 App 的發布，未能檢查用戶年齡的平台「再也沒有藉口了」。然而，這是在專家發現該 App 是一場安全災難之前的事。

據《Politico》報導，安全顧問保羅·摩爾（Paul Moore）在 X 上聲稱發現了該 App 的一系列安全問題，使他能在「不到 2 分鐘內」駭入。這些問題包括該 App 據稱儲存用戶建立的 PIN 碼的方式，這可能讓攻擊者輕易接管該用戶的 App 個人檔案。（白帽駭客巴蒂斯特·羅伯特向《Politico》證實了該漏洞。）摩爾在他的貼文中標記了馮德萊恩，並總結道：「這款產品遲早會成為一場巨大洩漏事故的催化劑。這只是時間問題。」

健身連鎖店與酒店巨頭披露重大數據外洩

歐洲最大的健身連鎖店 Basic-Fit 週一證實發生重大數據外洩，透露約 100 萬名客戶的銀行詳細資訊遭到洩露。僅在荷蘭就有約 20 萬名會員受影響。被盜數據包括銀行資訊以及客戶姓名、住址、電子郵件、電話號碼和出生日期。一名發言人告訴《The Register》，比利時、法國、德國、盧森堡和西班牙的會員也因記錄會員入館情況的單一系統而受到類似打擊。據報導，Basic-Fit 表示不儲存密碼，因此密碼未遭洩露。

同一天，全球旅遊和酒店預訂巨頭 Booking.com 證實，駭客可能已提取了包括姓名、電子郵件、電話號碼和預訂詳情在內的客戶數據。該公司告知《TechCrunch》，他們「注意到一些可疑活動」並「採取行動遏制問題」。疑似客戶在 Reddit 上發布的公司通知似乎披露了一場涉及用戶「可能與住宿方分享的任何內容」的洩漏。《TechCrunch》報導稱，Booking.com 拒絕分享外洩規模的細節，但另行告訴《衛報》（The Guardian）沒有「財務資訊」遺失。

Bluesky 在 DDoS 攻擊下癱瘓

Bluesky 的網站和 App 在週四陷入困境，公司證實這是一場分散式阻斷服務（DDoS）攻擊。營運長羅絲·王（Rose Wang）表示，這場「複雜的」攻擊始於美東時間 4 月 15 日晚上 8:40 左右，導致動態消息、通知和搜尋功能出現斷斷續續的故障。該公司表示，尚未發現任何未經授權訪問用戶數據的證據。

停機影響了 Bluesky 自身的基礎設施，但像 Blacksky 這樣在底層 AT 協議上運行自己實例的社群則倖免於難。Blacksky 告訴《TechCrunch》，在過去 12 小時內，隨著用戶和競爭對手的 ATmosphere 營運商推廣替代方案，遷移請求顯著激增。截至週五下午，其狀態頁面顯示服務已全面恢復運作。

ICE 向背景可疑的申請者提供職位

川普政府一直在大舉招聘。美國國土安全部 1 月份的一份新聞稿稱，ICE 在不到一年的時間內雇用了超過 12,000 名官員和探員。作為工作申請的一部分，移民官員理應接受廣泛的背景調查，調查內容涵蓋過去七年內的逮捕記錄、累積債務以及與外國人的互動。美聯社（Associated Press）對 40 名 ICE 探員進行了自己的背景調查，發現其中三人因先前執法工作中的涉嫌不當行為而面臨訴訟，還有幾人據報導因欠債歷史而面臨法律行動。國土安全部未對具體的招聘選擇發表評論，但向美聯社承認，已向部分申請者發放了「臨時選拔信」，並在完成完整背景調查前就允許他們開始工作。

俄羅斯加密貨幣交易所 Grinex 遭駭，指責外國間諜

被廣泛報導協助俄羅斯規避制裁的俄羅斯加密貨幣交易所 Grinex 週四突然宣布，由於發生入侵事件，將暫停營運。該交易所稱，駭客竊取了價值超過 10 億盧布的用戶資金，相當於超過 1,300 萬美元。Grinex 在其社群帳號的公告中將此歸咎於外國的「特種部門」，寫道「數位痕跡和攻擊性質表明，其資源和技術水平是敵對國家機構所獨有的」，且似乎旨在「對俄羅斯的金融主權造成直接損害」。Grinex 本身也受到美國金融當局的制裁，它是 Garantex 的繼任者，後者是另一家因協助規避制裁和其他涉嫌金融犯罪而受制裁的俄羅斯交易所。根據加密貨幣追蹤公司 Elliptic 的說法，Grinex 很可能由同一批所有者創建，並繼承了 Garantex 的資金和客戶。Grinex 並未提供任何公開證據來支持其關於資金遭國家支持駭客竊取的說法。