Gemini AI助手引发Google API密钥袒露危害

首页 > 清静研究 > 清静转达 > 清静简讯

Gemini AI助手引发Google API密钥袒露危害

宣布时间 2026-02-28

1. Gemini AI助手引发Google API密钥袒露危害

2月26日，，，，，，，近期，，，，，，，TruffleSecurity研究职员在扫描全球网站时发明，，，，，，，近3000个嵌入在公共JavaScript代码中的Google API密钥保存严重清静危害。。。。。这些密钥原本用于地图、YouTube嵌入、Firebase等效劳，，，，，，，在Google推出Gemini AI助手后，，，，，，，其权限被意外扩展至Gemini身份验证，，，，，，，导致攻击者可复制密钥会见私有数据并滥用API挪用赚钱。。。。。研究显示，，，，，，，这些袒露密钥多安排于金融机构、安保公司、招聘企业等组织的网站源代码中，，，，，，，部分密钥自2023年2月起便一连袒露。。。。。TruffleSecurity通过测试Gemini API的/models端点验证了密钥的有用性，，，，，，，发明单日最高可爆发数千美元用度。。。。。问题泉源在于，，，，，，，开发者此前将Google云API密钥视为非敏感数据果真，，，，，，，而Gemini推出后，，，，，，，这些密钥突然获得更高权限却未被实时察觉。。。。。研究职员于2025年11月21日向谷歌报告误差，，，，，，，谷歌历时数月于2026年1月13日将其归类为“单效劳权限提升”。。。。。谷歌已接纳起劲步伐。。。。。

https://www.bleepingcomputer.com/news/security/previously-harmless-google-api-keys-now-expose-gemini-ai-data/

2. ManoMano遭第三方效劳商黑客入侵致数据泄露

2月26日，，，，，，，法国DIY电商巨头ManoMano克日披露，，，，，，，其一家第三方客户效劳提供商于2026年1月遭遇黑客攻击，，，，，，，导致约3800万用户数据泄露。。。。。该公司证实，，，，，，，黑客通过未经授权会见该突尼斯分包商系统，，，，，，，窃取了与用户账户及客服互动相关的小我私家信息，，，，，，，包括姓名、电子邮件、电话号码及客户效劳相同纪录，，，，，，，但未涉及账户密码或公司系统数据修改。。。。。作为欧洲领先的家居装修、园艺产品在线市场，，，，，，，ManoMano在法、比、西、意、德、英六国运营，，，，，，，月均自力访客达5000万。。。。。此次事务源于黑客论坛上假名“Indra”的攻击者宣称对入侵认真，，，，，，，并声称获取了3780万用户账户及数千份支持工单与附件。。。。。网络清静公司Hackmanac指出，，，，，，，泄露泉源或与Zendesk数据泄露相关，，，，，，，但ManoMano未直接确认手艺细节。。。。。事务曝光后，，，，，，，ManoMano连忙接纳应急步伐：禁用相关会见权限、作废分包商数据会见权、强化会见控制与监控，，，，，，，并同步转达法国国家信息与自由委员会（CNIL）及国家科学与工业治理局（ANSSI）。。。。。

https://www.bleepingcomputer.com/news/security/european-dyi-chain-manomano-data-breach-impacts-38-million-customers/

3. 马赛足球俱乐部遭网络攻击，，，，，，，40万用户信息面临危害

2月26日，，，，，，，法国马赛奥林匹克足球俱乐部（OM）克日证实遭遇网络攻击，，，，，，，成为近期针对大型体育组织网络清静事务的最新案例。。。。。该俱乐部建设于1899年，，，，，，，是法甲联赛首创成员之一，，，，，，，并于1993年成为首支夺得欧洲冠军联赛冠军的法国球队。。。。。据威胁行为者在黑客论坛披露，，，，，，，其于本月初入侵俱乐部部分效劳器，，，，，，，窃取了包括40万名员工、球迷及支持者信息的数据库，，，，，，，详细数据涉及姓名、地点、订单纪录、电子邮件及手机号码。。。。。攻击者还声称获取了2050个Drupal CMS账户信息，，，，，，，其中包括34名俱乐部员工和1770名孝顺者、版主的账户凭证。。。。。为证实攻击真实性，，，，，，，攻击者果真了部分数据样本，，，，，，，并试图在论坛出售所谓“2026年2月角逐数据”。。。。。俱乐部在周二宣布的声明中确认了攻击事务，，，，，，，但强调“得益于手艺团队与专业效劳商的快速响应，，，，，，，事态已获得控制”。。。。。现在俱乐部所有营业均在清静情形下正常运行，，，，，，，且无银行信息或密码泄露。。。。。然而，，，，，，，俱乐部体现仍在视察事务详细规模，，，，，，，并已向法国数据�；；；せ梗–NIL）正式报告，，，，，，，同时呼吁球迷小心垂纶攻击及可疑活动。。。。。

https://www.bleepingcomputer.com/news/security/olympique-marseille-football-club-confirms-cyberattack-after-data-leak/

4. UAT-10027使用Dohdoor后门攻击美国教育和医疗保健系统

2月26日，，，，，，，Cisco Talos克日披露编号为UAT-10027的威胁集群，，，，，，，该集群自2025年12月起以美国教育及医疗保健机构为目的，，，，，，，安排了新型后门程序Dohdoor。。。。。攻击初始阶段通过垂纶邮件触发PowerShell剧本，，，，，，，下载恶意.bat文件并使用DLL侧载手艺加载Dohdoor恶意DLL。。。。。该后门通过DNS over HTTPS（DoH）与Cloudflare基础设施隐藏C2通讯，，，，，，，将流量伪装成正当HTTPS毗连，，，，，，，实现绕过古板清静检测的一连会见。。。。。Dohdoor为2025年11月编译的64位DLL加载器，，，，，，，接纳双重解密机制：批量数据使用SIMD指令的XOR-SUB算法处置惩罚，，，，，，，剩余数据通过位置相关公式解密。。。。。其C2通讯通过剖析Cloudflare的JSON响应获取效劳器IP，，，，，，，并模拟curl流量发送HTTPS GET请求下载加密载荷。。。。。为规避EDR检测，，，，，，，Dohdoor会动态定位ntdll.dll中的NtProtectVirtualMemory函数，，，，，，，通过修补系统挪用存根建设直接系统挪用跳转，，，，，，，绕过用户模式钩子。。。。。Talos评估以为，，，，，，，只管UAT-10027与Lazarus保存手艺关联，，，，，，，但其目的领域特殊性仍需引起相关行业高度小心。。。。。

https://securityaffairs.com/188558/apt/uat-10027-campaign-hits-u-s-education-and-healthcare-with-stealthy-dohdoor-backdoor.html

5. 朝鲜APT37组织提倡Ruby Jumper恶意活动

2月27日，，，，，，，云清静公司Zscaler克日披露，，，，，，，由朝鲜国家支持的黑客组织APT37提倡的"Ruby Jumper"恶意活动，，，，，，，正通过可移动存储驱动器在物理隔离系统与联网系统间建设隐藏数据传输通道。。。。。攻击链始于受害者翻开伪装成朝鲜媒体关于巴以冲突阿拉伯语译本的恶意LNK文件，，，，，，，该文件会安排PowerShell剧本提取有用载荷并启动诱饵文档。。。。。剧本首先加载RESTLEAF植入程序，，，，，，，通过Zoho WorkDrive与C2效劳器通讯，，，，，，，获取加密shellcode后下载基于Ruby的SNAKEDROPPER加载器。。。。。该加载器会装置伪装成usbspeed.exe的Ruby 3.3.0运行时情形，，，，，，，并通过每五分钟执行的妄想使命替换RubyGems默认文件，，，，，，，实现自动加载。。。。。THUMBSBD后门以ascii.rb文件形式下载，，，，，，，认真网络系统信息、暂存下令文件，，，，，，，并在USB驱动器建设隐藏目录举行数据双向传输，，，，，，，将可移动介质转化为"隐藏C2中继"。。。。。VIRUSTASK则通过替换正当文件为恶意快捷方法，，，，，，，在驱动器有2GB以上空间时触发熏染，，，，，，，向新物理隔离装备撒播。。。。。FOOTWINE特工软件伪装成APK文件，，，，，，，支持键盘纪录、屏幕截图、音视频录制等远程操作。。。。。

https://www.bleepingcomputer.com/news/security/apt37-hackers-use-new-malware-to-breach-air-gapped-networks/

6. RESURGE恶意软件实现Ivanti装备隐藏长期入侵

2月27日，，，，，，，美国网络清静和基础设施清静局（CISA）克日宣布了关于RESURGE恶意植入程序的最新手艺细节。。。。。该程序被用于使用CVE-2025-0282零日误差入侵Ivanti Connect Secure装备，，，，，，，具有延迟启动、重大网络级规避和认证手艺等特征，，，，，，，可实现隐藏通讯与长期性驻留。。。。。据CISA剖析，，，，，，，RESURGE是一个名为libdsupgrade.so的32位Linux共享工具文件，，，，，，，具备rootkit、bootkit、后门、投放器、署理和隧道等多重功效。。。。。其奇异之处在于不自动向C2效劳器发送信标，，，，，，，而是无限期期待特定入站TLS毗连，，，，，，，通过CRC32 TLS指纹哈希计划识别攻击者的毗连实验。。。。。当在"web"历程下加载时，，，，，，，它会挂钩"accept()"函数，，，，，，，在流量抵达效劳器前检查TLS数据包，，，，，，，若指纹匹配则建设双向TLS会话，，，，，，，不然将流量导向正当Ivanti效劳器。。。。。攻击者还使用伪造的Ivanti证书举行身份验证，，，，，，，该证书仅用于认证而非加密，，，，，，，且通过互联网明文传输，，，，，，，防御者可将其作为网络署名检测入侵。。。。。

https://www.bleepingcomputer.com/news/security/cisa-warns-that-resurge-malware-can-be-dormant-on-ivanti-devices/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

918博天堂

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系918博天堂

清静研究