协作工具成为新型安全威胁源头

协作工具已成为现代职场不可或缺的组成部分。Slack、Teams、Zoom、Trello、Notion和Google Workspace等团队协作工具让员工能够相互发送消息、共享文档和文件、通过语音视频会议实时沟通，并跟踪任务分配。

然而，这些提升生产力和员工专注度的工具正逐渐演变为安全威胁。Mimecast发布的《2025年人类风险状况》报告发现，79%的安全负责人认为协作工具带来了新的威胁，61%的受访者表示其组织预计会遭遇与协作工具相关的数据泄露事件。

三大平台安全漏洞详解

Nikkei遭遇Slack重大数据泄露

日本媒体巨头日经集团周三披露了一起数据泄露事件，影响了超过17,000个员工Slack账户。事件起因是一名员工的个人电脑感染恶意软件，导致其Slack认证凭证被盗。攻击者利用这些凭证未经授权访问了公司的Slack工作区，暴露了员工和业务伙伴的姓名、电子邮件地址和聊天记录。该漏洞于9月被发现，促使公司立即采取了包括密码更改在内的安全措施。

Teams漏洞导致消息篡改和高管冒充

Check Point Research在Microsoft Teams中发现了四个关键漏洞，使攻击者能够操纵消息、伪造通知和冒充高管。具体而言，攻击者可以编辑消息而不留下"已编辑"标签，更改消息通知使其显示为来自不同发送者，修改私聊中的显示名称，以及更改视频和音频通话中的呼叫者身份。这些漏洞影响了Teams超过3.2亿用户，对企业邮件泄露和社交工程攻击构成重大风险。微软已通过多个修复程序解决了这些问题，最近一次更新于上月完成，主要针对音频和视频消息问题。

ChatGPT漏洞导致数据窃取和用户操纵

Tenable研究人员在OpenAI的ChatGPT中发现了七个关键漏洞，可能使数百万用户面临隐私泄露和操纵攻击风险。这些漏洞源于ChatGPT和SearchGPT处理外部网络内容的方式，使攻击者能够通过博客评论、被污染的搜索结果和特制URL注入恶意提示。关键攻击方法包括通过受信任网站进行间接提示注入、通过恶意ChatGPT URL进行一键利用，以及零点击漏洞。这些漏洞使攻击者能够窃取私人聊天记录、绕过安全过滤器并建立持久访问权限。尽管这些问题已于4月向OpenAI报告，但许多问题仍未解决，凸显了大型语言模型中持续存在的安全挑战。