文章总结： 本文档为一周安全特辑，报道了以色列黑入伊朗交通摄像头辅助军事打击、法国超1500万条医疗数据泄露等重大事件。同时涵盖车企胎压监测系统追踪风险、Langflow与ChromeGeminiLive高危漏洞预警，以及CanadianTire和甲骨文EBS数据泄露案例，涉及地缘政治攻防、数据安全、IoT与AI安全等多个领域。 综合评分： 78 文章分类： 安全大事件,漏洞预警,数据泄露,AI安全,车联网安全

伊朗交通摄像头被渗透、法国曝史上最大医疗数据泄露|一周特辑

威努特安全网络

2026年3月7日 07:59 北京

以色列被曝黑入伊朗首都摄像头

为袭击哈梅内伊收集情报

据英国《金融时报》报道，以色列为实施2月28日针对伊朗的军事打击，进行了长达数年的情报准备，包括黑入德黑兰几乎全部交通摄像头系统。通过分析加密传回的图像，以方锁定了伊朗最高领袖哈梅内伊官邸附近保镖与司机的停车点，并为他们建立了包含住址、值班规律等信息的详细档案，从而掌握了哈梅内伊的“生活模式”。

在行动当天，以情报人员还通过干扰手机基站阻断了安保人员的通讯。多方独立情报确认哈梅内伊将于2月28日上午在官邸召开会议后，以美两国调整了原定计划，于当天上午发起袭击。此次行动展示了以色列利用大数据和网络渗透进行精准情报分析的能力。

法国发生史上最大医疗数据泄露

超1500万人敏感信息被窃

法国卫生部近日披露，在2025年末发生一起大规模医疗数据泄露事件，超过1500万人的行政信息和医疗记录被黑客窃取。此次事件源于医疗软件供应商Cegedim Sante公司旗下的“MonLogicielMedical”患者档案管理软件被攻破，影响了约1500家使用该软件的医疗诊所。泄露数据主要为患者姓名、电话和地址，其中约16.9万份档案还包含了医生记录的个人备注，涉及高度敏感信息，这些信息据称已在网上出现。

此次泄露被认为是法国医疗领域规模最大的一次，网络安全专家警告其后果“无法弥补”。就在此次事件公布前几天，法国还发生了另一起重大数据泄露，约120万个银行账户信息因官员凭证被盗而被黑客获取。涉事软件公司已提起刑事诉讼，并表示正配合调查。

知名车企胎压监测系统存漏洞

未加密信号可致车辆被追踪

西班牙研究机构IMDEA的研究人员发现，包括丰田、雷诺、现代和梅赛德斯-奔驰在内的多家汽车制造商，其车辆使用的直接式轮胎压力监测系统（dTPMS）会广播未加密的无线信号。这些信号包含传感器唯一ID、胎压和温度等数据，可被成本仅100美元的设备在数十米外捕获，从而导致对特定车辆及其驾驶员的长期、隐蔽追踪。

研究人员在10周内成功捕获了超过2万辆车的600多万个信号。由于传感器ID固定且未加密，攻击者可通过分析信号出现的时间与模式，推断车主的出行规律、工作地点甚至居家时间，带来隐私与安全风险。尽管联合国已有车辆网络安全法规，但并未涵盖TPMS系统，凸显了现有监管的缺失，亟需更新标准以强制要求加密或轮换传感器标识符。

国家信息安全漏洞库通报

人工智能重要安全漏洞

3月5日，国家信息安全漏洞库（CNNVD）通报Langflow可视化AI工作流平台中的一个严重安全漏洞（CNNVD-202602-4530，对应CVE-2026-27966）。该漏洞的根源在于，Langflow的CSV Agent节点在创建时将参数 allow_dangerous_code硬编码为 True，导致系统自动启用LangChain的Python代码执行工具（python_repl_ast）。攻击者可通过构造特定的提示词注入，利用此工具在服务器上执行任意Python代码和操作系统命令，从而完全远程控制服务器。Langflow 1.8.0之前的所有版本均受此漏洞影响。

此漏洞被评级为“严重”，CVSS评分为10.0分（满分10分）。攻击者可在无需任何权限和用户交互的情况下，通过网络发起攻击，对服务器数据的机密性、完整性和可用性造成最高级别的损害。目前，Langflow官方已发布新版本修复了该漏洞，建议所有用户立即升级至1.8.0或更高版本。

谷歌浏览器漏洞允许

恶意扩展控制Gemini Live AI助手

3月4日，安全研究人员披露了谷歌Chrome浏览器的一个高危漏洞（CVE-2026-0628）。该漏洞存在于新版Chrome的Gemini Live AI助手功能中，使得拥有基础权限的恶意扩展程序可劫持浏览器侧边栏中的Gemini Live面板，向其注入代码，从而获得超越普通扩展的提权能力。

成功利用此漏洞后，攻击者可在无需用户额外授权的情况下，实施监控、窃取敏感文件、对HTTPS页面截图、擅自启用摄像头和麦克风，以及进行钓鱼攻击。该漏洞于2025年10月报告给谷歌，并在2026年初的Chrome 143版本中得到修复。报告指出，随着AI功能深度集成到浏览器，必须持续监控此类安全风险。

加拿大零售巨头Canadian Tire数据泄露

影响超3800万账户

加拿大零售巨头Canadian Tire日前披露，其于2025年10月发生一起数据泄露事件，影响了超过3800万个客户账户。事件涉及对该公司电商数据库的未授权访问，泄露信息包括客户姓名、电子邮箱、出生日期、加密密码及部分不完整的信用卡号码。Canadian Tire强调，泄露的密码与信用卡数据无法直接用于账户登录或欺诈交易。

近日，与该事件相关的数据集已被纳入数据泄露通知网站“Have I Been Pwned”。该网站显示，此次泄露涉及约4200万条记录，包含3830万个独立邮箱地址，此外还发现有地址、电话号码和性别等该公司最初未提及的信息。Canadian Tire已通过电子邮件通知受影响用户。

甲骨文EBS漏洞攻击波及纽约地标

致敏感数据泄露

3月4日，纽约地标麦迪逊广场花园（MSG）确认其成为2025年针对甲骨文电子商务套件（EBS）大规模网络攻击的受害者之一。此次泄露源于Cl0p勒索软件组织利用甲骨文EBS中的一个关键零日漏洞（CVE-2025-61882），未经授权访问了超过100家机构的系统。MSG表示，其供应商托管的甲骨文EBS应用中，与招聘和付款相关的业务记录在2025年8月遭窃。

泄露的数据包含员工的姓名和社会安全号等敏感信息。在MSG拒绝支付赎金后，勒索组织公开了超过210GB的公司文件。MSG已就事件通知执法部门、受影响的个人，并为相关人员提供为期一年的信用监控与身份盗窃保护服务。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威努特安全网络 《伊朗交通摄像头被渗透、法国曝史上最大医疗数据泄露|一周特辑》