分类: 数据泄露

微软:Solorigate 攻击未使客户数据泄露

2020年底,全球发生了一起重大网络攻击事件,横跨美国联邦部门、英国、欧洲议会等数千家机构受到影响。据悉,此次事件是由三大公司的供应链攻击引发的。SolarWinds,微软,和VMware, 攻击者能够借此访问大量私人文件和电子邮件。 这次攻击被微软称为 “Solorigate”,总裁布拉德·史密斯(Brad Smith)称其为 “清算时刻”。现在,该公司已经分享了Solorigate调查的最后进展。 微软公司安全、合规和身份认证副总裁Vasu Jakkal得出结论,虽然有国家背景的黑客能够破坏一些初始安全程序,但他们随后被 “统一的人类和数字保护团队”所阻止。她还澄清,公司没有发现客户数据或生产服务被入侵的证据。此外,调查证实,微软软件也没有被用来攻击其他主体。 微软表示,多种因素有助于限制此次攻击的范围,其他安全团队和组织也应该接受这些因素来推进工作。这些因素包括采用零信任安全模式,对凭证进行多因素认证,以及Azure Active Directory和Microsoft 365 Defender等云技术。最后,Jakkal强调,最重要的是公司和团队要共同加强集体防御。 微软安全响应中心(MSRC)接着表示。 虽然我们的内部调查已经结束,但这并不意味着事件会就此平息。这意味着我们依然要保持正常的 “零信任”安全态势,安全团队应该不断努力保护用户、设备和数据免受环境中持续存在的威胁。我们与网络安全社区的合作工作仍在继续,以保护我们免受持续的威胁,随着我们了解到更多的信息,我们将适当地分享学习和指导。 MSRC强调,即使攻击是在2020年12月发现的,各组织都在争分夺秒地减轻威胁,但它的分析显示,恶意行为者在2021年1月也依然在试图访问各类数据。微软已经澄清,在其所有服务中,攻击者只能够查看和下载Azure、Intune和Exchange的少量代码文件。被入侵的代码文件都不包含任何正在生产环境中使用的真实凭证。         (消息及封面来源:cnBeta)

加州车辆管理局警告称其承包商数据或遭泄露

加州车辆管理局(DMV)日前警告说,在一个承包商遭遇勒索软件攻击后,可能出现数据泄露。总部位于西雅图的自动资金转移服务(AFTS)表示,自2019年以来,DMV一直用于与国家数据库核实地址变更,本月早些时候受到了一个不明勒索软件的攻击。 DMV在通过电子邮件发送的一份声明中表示,此次攻击可能已经泄露了“过去20个月的加州车辆登记记录,其中包含姓名、地址、车牌号和车辆识别号”。但DMV表示,AFTS无法获取客户的社会安全号码、出生日期、选民登记、移民身份或驾照信息,并没有被泄露。 DMV表示,此后已经停止了所有向AFTS的数据传输,并在此后启动了一项紧急合同,以防止任何宕机。 AFTS在美国各地被用于处理付款、发票和核实地址。已经有几个市镇确认他们受到数据泄露的影响,这表明它可能并不限于加州的DMV。但目前还不知道是什么样的勒索软件袭击了AFTS。勒索软件通常会对公司的文件进行加密,并会解锁以换取赎金。但由于许多公司都有备份,一些勒索软件组织威胁说,除非支付赎金,否则将把被盗文件公布在网上。 AFTS无法立即获得评论。它的网站已经离线,并有一条简短的消息。“AFTS的网站和所有相关的支付处理网站由于技术问题而无法使用. 我们正在努力尽快恢复它们。” “我们正在研究实施更多的措施来加强安全性,以保护车管所和与我们签订合同的公司所持有的信息,”加州DMV局长史蒂夫·戈登说。 据报道,去年加州DMV通过出售司机的个人信息,包括向债券商和私人调查员出售信息,每年赚取超过5000万美元。 加州有超过3500万辆注册车辆。       (消息及封面来源:cnBeta)

巴西一数据库发生重大数据泄露事件

据外媒报道,当地时间周二上午,PSafe的网络安全实验室dfndr报告称,巴西的一个数据库发生了一起重大泄密事件,数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿。 泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF–包括当局。在一份新闻稿中,dfndr实验室主任Emilio Simoni指出,最大的风险是这些数据会被用于网络钓鱼诈骗,其将会诱使人们在一个虚假页面上提供更多的个人信息。 据了解,超1.04亿辆汽车的信息会曝光重要的细节如汽车的底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机容量乃至使用的燃料类型。在公司方面,,泄露的信息则包括了CNPJ、企业名称、商号名称、成立日期。 另外,Simoni指出,由于这些信息对市场来说是宝贵的信息,所以它们被认为会被在某些暗网络论坛进行非法交易。此外他还表示,网络犯罪分子会出售最深入的数据如电子邮件、电话、购买力数据和受影响人群的职业等。 在这份声明中,PSafe既没有说明涉案公司的名称也没有说明信息是如何泄露的。根据该国的新《数据保护安全法》规定,对此类违规行为可以处以最高可达5000巴西雷亚尔的罚款处罚。         (消息及封面来源:cnBeta)

报道称 Facebook 用户的手机号码被出售

根据Motherboard的报道,有人掌握了一个包含大量Facebook用户手机号码的数据库,现在正利用Telegram机器人出售这些数据。发现这个漏洞的安全研究人员Alon Gal表示,运行这个机器人的人声称掌握了5.33亿用户的信息,这些信息来自于Facebook的一个漏洞,该漏洞在2019年被修复。 对于很多数据库来说,要找到任何有用的数据都需要一定的技术能力。而且拥有数据库的人和想要从数据库中获取信息的人之间往往要有互动,因为数据库的 “主人 “不会随便把那些有价值的数据交给别人。然而,制作一个Telegram机器人,就解决了这两个问题。 这个机器人可以让别人做两件事:如果他们有一个人的Facebook用户ID,就可以找到这个人的手机号码;如果他们有一个人的手机号码,就可以找到他们的Facebook用户ID。当然,虽然真正获得人们要找的信息是要花钱的–解锁一个信息,比如手机号码或Facebook ID,需要一个信用点,机器人背后的人以20美元的价格出售。根据Motherboard的报告,还有批量定价,1万个信用点的售价为5000美元。 根据Gal发布的截图,这个机器人至少从2021年1月12日开始运行,但它提供的数据是2019年的。尽管数据是以前的,但人们不会那么频繁地更换手机号码。这对Facebook来说尤其尴尬,因为它历史上收集了包括开启双因素认证的用户在内的人的手机号码。 目前不知道Motherboard或安全研究人员是否已经就此事联系了Telegram。         (消息及封面来源:cnBeta)  

研究员发现被删 Parler 帖子含大量用户位置数据

据外媒报道,在美国国会大厦遭特朗普总统支持者暴力袭击之后,一位独立研究员开始对Parler上的用户帖子进行编录。Parler一开始是为保守用户提供发表“自由言论”的避风港的平台,然而最终却沦为了极右阴谋论、无节制种族主义和针对杰出政客死亡威胁的温床。 这名要求用Twitter账号@donk_enby来介绍她的研究员一开始的目标是将1月6日国会大厦暴乱那天起的所有帖子存档,这被她称之为是一组显示有罪的证据。而根据大西洋理事会的数字法医研究实验室和其他消息来源,Parler是叛乱分子用来协调他们破坏国会大厦的几个应用之一,他们计划推翻2020年的选举结果从而让唐纳德·特朗普继续掌权。 @donk_enby希望创建一个持久的公共记录以供未来的研究人员筛选,于是她从暴乱发生当天开始将帖子存档起来。 在睡眠很少的情况下,@donk_enby开始存档Parler的所有帖子并最终获取了约99%的内容。周日早些时候,@donk_enby在Twitter上发文称,她正在爬取110万个Parler视频url。“这些是上传到Parler的原始、未处理的原始文件以及所有相关的元数据,”她写道。@donk_enby确认原始视频文件包含GPS元数据,其提供了拍摄视频的确切位置,现在该数据容量已经超过了56TB。 @donk_enby随后分享了一个截图,其显示了特定视频的GPS位置以及经纬度坐标。 这对隐私的影响是显而易见的,但大量的数据也可能成为执法部门的肥沃狩猎场。据悉,美国联邦政府和地方政府最近几天已经逮捕了数十名被控参与国会大厦暴乱的嫌疑人。在国会大厦骚乱中,一位名叫Brian Sicknick的警官头部因被灭火器击中而身受致命伤。 @donk_enby称自己是黑客,用欧洲最大的黑客协会Chaos Computer Club的定义来解释,她是一个对技术有创造性但又持怀疑态度的人。“我希望这是对那些说黑客行为不应该带有政治色彩的人的一大竖中指。”@donk_enby说道。实际上,@donk_enby的工作确实帮助到其他研究人员,包括纽约大学网络安全中心的一名研究人员。 @donk_enby的工作记录被储存在ArchiveTeam.org网站上,据其介绍,说这些数据最终将由互联网档案馆托管。 @donk_enby告诉Gizmodo,在Parler否认了黑客活动人士Kirtner发现的邮件泄露事件后,她开始调这家公司。Kirtner被认为是黑客组织“匿名者(Anonymous)”的创始人。@donk_enby表示,她当时能独立找到同样的材料。 目前看起来Parler不太可能迅速反弹–如果有可能反弹的话。正像Duckbill Group的Corey Quinn最近在Twitter上解释的那样,从AWS上迁移一个大型产品可能需要几个月的准备时间,并且执行起来可能需要几年时间。Quinn指出,整合AWS大量服务的应用无法轻松地转移到另一个不同的托管平台。       (消息及封面来源:cnBeta)

Ubiquiti 客户数据可能遭非法访问

据外媒报道,Ubiquiti是最大的网络设备销售商之一,其销售产品包括路由器、网络摄像头和网状网络。近日,这家公司提醒客户注意数据泄露问题。这家科技公司在周一发给客户的一封简短电子邮件中表示,它意识到第三方云供应商托管的系统遭到了未经授权的访问。 Ubiquiti没有透露这家云计算公司的名字也没有说明何时发生了泄露和导致这次安全事件发生的原因。但这家公司证实,它不能确定客户数据没有被泄露。 邮件中写道:“这些数据可能包括您的姓名、电子邮件地址和单向加密密码。如果您向我们提供了您的地址和电话号码,这些数据也可能包括您的地址和电话号码。” 虽然邮件说密码被打乱了,但该公司表示,用户还是应该更新自己的密码并启用双重身份验证,这样黑客就更难获取密码并利用它们入侵账号。 据悉,Ubiquiti账号用户可以通过web远程访问和管理自己的路由器和设备。 这家网络公司在发出这封邮件后很快在其社区页面上发帖确认客户收到的邮件是真实的,而在此前有几位客户抱怨这封邮件中出现了一些拼写错误。       (消息来源:cnBeta;封面源自网络)

新西兰央行称遭黑客攻击

据外媒报道,新西兰央行周日表示,该行的一个数据系统已被一名身份不明的黑客入侵,该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说,新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示,漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示:“我们正在与国内和国际网络安全专家和其他相关部门密切合作,作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中,但可能包括一些商业和个人敏感信息,”Orr补充道。 在银行完成初步调查之前,该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间,我们正在与信息可能被访问的系统用户合作,”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间,也不清楚是否有任何迹象表明谁是责任人,以及文件共享服务是在哪个国家。 在过去的一年里,新西兰的几个主要机构都成为了网络干扰的目标,其中包括新西兰证券交易所,该交易所的服务器在8月份遭网络黑客攻击,连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台,银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的,政府机构是不会支付你的赎金或其他什么的,所以你更感兴趣的可能是从政府对政府的层面来的,”Parry说。           (消息来源:cnBeta;封面来自网络)

支付处理公司 Juspay 发生数据泄漏 : 1 亿用户信息在暗网出售

援引外媒 ZDNet 报道,印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售。Juspay 主要为亚马逊、Swiggy、MakeMyTrip 等公司处理支付业务。 本次泄漏的数据是以数据转储(data dump)的形式,从一个被入侵的 Juspay 服务器中泄漏的。Juspay 已经在其官方博客中确认了此次数据泄露事件,并概述了此次泄露事件的细节。 在官方博客中写道:“我们很痛心地通知您,2020 年 8 月 18 日确实发生了一起数据泄露事件。我们部分用户的非敏感掩码卡信息、手机号码和电子邮件 ID 被泄露”。 网络安全研究人员 Rajshekhar Rajaharia 发现了数据泄露。他发现,数据转储可以在暗网上出售。Rajaharia 对 Business Insider 表示,如果黑客弄清楚用于散列卡号的加密算法,这次数据泄露可能会更严重。 按照 Juspay 的说法,泄露的信息包括非敏感的掩码卡信息、手机号和部分用户的邮箱ID。该公司表示,泄露的信息不包括完整的卡号、订单信息、卡的PIN码或密码。Rajaharia 指出,如果用于哈希卡号的算法被泄露,或者黑客自己弄清楚,可能会给用户带来重大风险。 除了上述风险外,Rajaharia还指出,诈骗者可能会利用这次数据泄露来欺骗持卡人。由于泄露的数据包括手机号码,他们可以打电话给毫无戒备的持卡人,骗取他们透露完整的卡号、PIN、CVV以及一次性密码。         (消息及封面来源:cnBeta)

Nefilim 勒索软件幕后黑客泄漏了从 Whirlpool 窃取的数据

近日,美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击,黑客要求公司支付赎金,否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后,黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌,技术研究制造中心遍及全球,拥有77,000多名员工,其2019年的盈利为200亿美元。 周末,Nefilim勒索软件的幕后黑客发布了第一批数据,包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示:“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金,并且其网络安全防护非常脆弱,这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示,此次网络攻击活动发生在12月初。十月份,Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛,还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

研究称通用电气医疗成像设备中的硬编码密码或使患者数据面临风险

根据安全公司CyberMDX的新发现,通用电气公司制造的数十种医疗成像设备都有硬编码的默认密码,这些密码不容易改变,但可能被利用来访问敏感的病人扫描数据。研究人员表示,攻击者只需要在同一个网络上就可以利用易受攻击的设备,例如通过欺骗员工打开带有恶意软件的电子邮件。 CyberMDX表示,X射线机、CT和MRI扫描仪、超声和乳腺摄影设备都是受影响的设备。 通用电气使用硬编码密码远程维护设备。但CyberMDX的研究主管Elad Luz表示,一些客户并不知道他们的设备存在漏洞。Luz将这些密码描述为 “硬编码”,因为虽然这些密码可以更改,但客户必须依靠通用电气工程师现场更改密码。 这一漏洞也引起了国土安全局网络安全咨询部门CISA的警告。受影响设备的客户应联系通用电气更改密码。 通用电气医疗保健公司的发言人Hannah Huntly在一份声明中表示。“我们没有意识到这种潜在漏洞在临床情况下被利用的任何事件。我们已经进行了全面的风险评估,并得出结论,不存在患者安全问题。维护我们设备的安全、质量和安全性是我们的首要任务。” 这是这家位于纽约的医疗网络安全初创公司的最新发现。去年,这家初创公司还报告了通用电气其他设备的漏洞,该公司后来承认,在最初清除设备的使用后,可能会导致患者受伤。 CyberMDX主要致力于通过其网络情报平台保护医疗设备的安全,提高医院网络的安全性,同时进行安全研究。该公司在今年早些时候筹集了2000万美元资金。       (消息及封面来源:cnBeta)