分类: 黑客事件

巴尔的摩勒索攻击事件已造成 1800 万美元损失

美国马里兰州巴尔的摩在5月上旬遭遇了严重的网络攻击,导致市政系统近乎瘫痪。本周二,市长Bernard “Jack” Young及其内阁成员召开新闻发布会介绍了恢复工作的最新进展。该市财政部部长预估本次网络攻击造成了将近1000万美元的损失,这还不包括由于逾期和城市无法处理付款而造成的800万美元损失。 目前恢复工作进展并不顺畅,只有不到三分之一的公务员获得了新的登陆凭证,而且该市的很多业务目前还只能通过纸张的方式进行处理解决。 市长Young在新闻发布会上强调:“所有城市服务依然是开放的,巴尔的摩同样也欢迎企业入驻”。市长罗列了在网络中断期间仍在继续运作的关键服务,该市财务总监亨利·雷蒙德(Henry Raymond)称目前诸多政府系统虽然不理想,但仍可以管理使用。 目前部分电子邮件和电话服务已经恢复,很多系统也重新上线,但是支付处理系统和其他用于处理城市交易的工具仍处于手动解决状态下。公共工程部主任Rudy Chow警告居民预计未来的水费将超出正常水平,因为该市的智能电表和水费计费系统仍处于脱机状态,无法生成账单。 停车票以及城市的超速、闯红灯摄像头拍摄的罚单,如果有收到纸质罚单可以亲自支付。该市政府官员表示,截至5月4日,该市已恢复所有停车和摄像机违规行为的数据,但仍缺乏查看违规行为的能力。对于与城市的许多其他互动也是如此,目前需要邮寄或手工递送纸质文件和手动变通办法。 公务员被要求以个人账号来接收新网络和邮件凭证,并且在允许获得新密码之前显示公务员编号。市长副总参谋长Sheryl Goldstein表示,尽管这是一个耗时的过程,巴尔的摩市的信息技术办公室(BCIT)正在全天候工作推动恢复工作,其中有超过10,000名城市员工需要完成整个过程并分散在城市各处的办公室。   (稿源:cnBeta,封面源自网络。)

WordPress 插件漏洞被黑客用于恶意重定向和弹窗

黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点,或者不断显示弹窗和伪造的订阅信息。 本月初,Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响,此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低,并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现,攻击者们多次利用漏洞注入恶意 JavaScript脚本,引起“恶意重定向,弹窗和虚假订阅消息”。这一方法被用于至少47家网站,并且这一数字仍在增长。 例如,被攻击网站的用户会收到一则以“权力的游戏”为主题的广告,与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录,这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告,以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会,并且WordPress 插件经常是被瞄准的目标之一,因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天,一篇针对 Convert Plus 插件漏洞的文章指出,攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现,并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品,但据统计,  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源:Bleepingcomputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国汉堡连锁品牌 Checkers 遭黑客攻击 102 家门店 POS 机被感染

美国快餐连锁品牌 Checkers & Rally’s 遭遇恶意程序攻击,15% 的美国门店 POS 机被感染,导致严重的数据泄露。Checkers 是美国境内最大的免下车汉堡连锁餐馆之一,总部位于佛罗里达州坦帕市,目前已经在美国 28 个州开拓业务。 黑客攻击了Checkers的支付系统,并且在100多家线下门店的POS系统中植入了恶意软件。这些恶意软件会收集支付卡磁条上的数据,包括持卡人姓名、支付卡号、卡验证码以及到期日期等等。 Checkers在本周三的安全公告中表示:“近期我们发现部分Checkers & Rally’s线下门店出现了恶意程序导致数据泄露问题。在发现这个问题之后,我们快速聘请了业内的数据安全专家进行广泛调查,并配合联邦执法机构协同受影响餐馆解决这个问题。” 目前Checkers没有回应外媒Threatpost的评论请求。 Checkers表示,根据调查结果,没有证据表明持卡人信息以外的数据受到此问题的影响。 目前美国20个州的102家Checkers门店被发现存在恶意程序,其中最早一笔支付发生在2015年12月。Checkers在其官方网站上罗列了本次受影响的所有门店信息。   (稿源:cnBeta,封面源自网络。)

Flipboard 发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用 Flipboard 今天发布安全通告,公司内部多个系统遭到黑客攻击,已经持续超过 9 个月时间。援引外媒 ZDNet 掌握的多封电子邮件,Flipboard 表示黑客获得了存储客户信息的服务器访问权限。在该服务器上存储了用户名、哈希值、加密密码,以及和第三方服务捆绑的 Flipboard 个人资料。 不过好消息是服务器上存储的密码都是通过名为 bcrypt 的强密码哈希算法进行加密的,目前业内这种算法很难被破解。公司也表示一些密码是使用比较弱的 SHA-1 算法加密的,但是数量并不多。Flipboard 表示:“如果用户在 2012 年 3 月 14 日之后创建或者更改过密码,那么都使用了 bcrypt 算法进行加密。如果用户并没有更改过密码,那么是使用 SHA-1 算法进行加密的。” Flipboard 表示:“我们仍在确定确切的受影响账户数量,但是我们知道并非所有账户都收到了伤害。”在其电子邮件中,Flipboard 表示无论是否受到影响,所有用户都应该重置密码。此外公司已经取消了连接到 Flipboard 的包括 Facebook、Twitter、Google 和 Samsung 在内第三方服务的所有数字代币。 该公司表示。“我们没有发现任何证据证明未经授权的人访问了与您的 Flipboard 帐户相关的第三方帐户。”   (稿源:cnBeta,封面源自网络。)

安全预警 | 多个国内网站遭土耳其政治黑客攻击

近日,创宇盾网站安全舆情监测平台发现多个国内党政机关、民营企业网站遭受土耳其黑客部队(代号Ayyıldız Tim)的攻击。 据知道创宇安全专家分析,此次攻击主要特性为爆破攻击、弱口令攻击、通用应用漏洞攻击及针对性应用渗透攻击。 目前已经发现多个网站首页遭篡改,或被上传黑页面。   部分被篡改页面 安全提示 近期请重点关注来自中东地区特别是土耳其地区的异常访问或攻击情况,提前做好安全防护措施或应急保障方案,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全。

超 12,000 个 MongoDB 数据库被 Unrisllar 黑客组织删除

在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。 黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。 黑客留下的联系方式 研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库(Shodan报道的数量较少,为7,656个数据库,可能是因为查询被阻止)。根据Jain所说,目前,BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器,Unistellar黑客组织似乎已经删除了约20%。研究人员于4月24日首次注意到此类攻击,当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据,其只包含以下信息:“想要恢复?联系方式:unistellar@yandex.com。” 使用BinaryEdge找到的被删除的MongoDB数据库 研究人员后来发现,在删除数据库后,黑客留下赎金票据。如果受害者想要恢复数据,向以下两个电子邮件地址之一发送电子邮件:unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库,但整个过程很可能是完全自动化的。 连接到其中一个未受保护的MongoDB数据库后发现,黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库,然后添加赎金表。 正如Jain所说,Unistellar黑客组织似乎已经创建了恢复点,以便恢复他们所删除的数据库。遗憾的是,无法追踪受害者是否一直在为要恢复的数据库付费,因为Unistellar只提供电子邮件地址,并不提供加密货币地址。 (各个国家被删除的数据库数量) 保护MongoDB数据库 发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护,因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法,还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯黑客又开始行动 这次目标是儿童电视选秀节目

听到俄罗斯黑客时,我们通常会想到他们对美国选举干预行为,但他们确实有其他用途,包括为儿童操纵俄罗斯电视选秀节目。在俄罗斯一次电视选秀节目当中,11岁的米凯拉·阿布拉莫娃在获得56.5%的选票,赢得了3万张选票,荣膺“俄罗斯声音之子”的桂冠。 当人们发现她获得的选票是其他选手的10倍时,人们开始怀疑。网络安全调查组随即开始检查结果,发现其中大约有8000条投票短信是从300个连续的电话号码中发送出来。 网络安全调查组在其报告中表示,经过分析相关流量显示,大量的自动短信为其中一名参赛者投票。 网络安全调查组发现,这些自动投票短信都包含了一段相同的代码,格式为«07 31: 2019-04-26 22:47:31»,其中07是参与者的编号,目前仍不知道幕后操纵者是谁。 尽管如此,这个俄罗斯选秀节目还将按计划拍摄第六季最后一集。不过,在下一季节目开始之前,新的投票系统将到位,有可能会阻止自动投票短信。     (稿源:cnBeta,封面源自网络。)

Stack Overflow 遭遇黑客攻击 目前没有证据表明数据被窃

Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。” 图片来自于 Stack Overflow 在公告中写道:“我们已经确认黑客于5月11日获得了一定程度的生产访问。我们在发现入侵之后就立即调查了黑客访问的范围并解决了所有已知的漏洞。”Ferguson表示目前并没有直接证据表明黑客窃取了用户的登陆凭证,但是目前不能百分百排除这种可能。在公告中Ferguson表示在调查结束之后会公布更多的细节。 Stack Overflow是一个程序设计领域的问答网站,隶属Stack Exchange Network。网站允许注册用户提出或回答问题,还可对已有问题或答案加分、扣分或进行修改,条件是用户达到一定的“声望值”。“声望值”就是用户进行网站交互时能获取的分数,例如,用户A回答了一个问题,用户B对用户A的解答给予了“加分”,用户A就会因而获得10点声望值。当声望值达到某个程度,用户的权限就会增加,如声望值超过50点就可以评论答案,另外网站也会根据用户的贡献颁发徽章。用户创建的内容都使用知识共享协议授权。 直至2018年9月,Stack Overflow有超过9,400,000名注册用户和超过16,000,000个问题,其中最常见的主题有JavaScript、Java、C#、PHP、Android、Python、jQuery和HTML。   (稿源:cnBeta,封面源自网络。)

佛罗里达州州长:俄罗斯黑客在 2016 年入侵了该州的两个选民数据库

佛罗里达州州长Ron DeSantis在周二表示,俄罗斯黑客在2016年总统选举之前入侵了该州的两个选民数据库。根据DeSantis的说法,黑客能够通过向县雇员发送垃圾邮件来访问数据库。这些链接包含恶意软件,一旦打开,就会允许俄罗斯情报部门格勒乌(GRU)获得选民登记信息。 受影响县的名称未正式公布,但DeSantis表示已通知这些县的选举官员和雇员。 《纽约时报》上个月月底报道称,在前特别顾问罗伯特·穆勒发布关于俄罗斯干涉2016年选举的报告后不久,这些恶意电子邮件被发送到佛罗里达州的120个选举电子邮件帐户。该报告此前证实,至少有一个县遭受了GRU的黑客攻击活动。 根据穆勒的报告,“这些网络参与者至少可以改变或删除选民登记数据。”然而,DeSantis周二表示,黑客并没有操纵任何数据或选举结果。 尽管个人投票没有受到影响或改变,但美国情报官员在过去两年中越来越关注选举安全。美国联邦调查局局长克里斯托弗·雷(Christopher Wray)在上个月举行的外交关系委员会会议上表示,2018年的中期选举仅仅是2020年总统选举的“ 大型演出的彩排”。国会山的立法者试图为俄罗斯选举干预提供立法解决方案。 参议员罗恩·怀登(D-OR)是该项工作最前沿的立法者之一。上周,他写了一封信给选举技术公司VR Systems的首席执行官,探讨他们是否为即将举行的总统选举做好准备。威登一直倡导在全美各地使用纸质选票,去年秋天他提出了一项提案,希望使用纸质选票并进行选举后的审计。   (稿源:cnBeta,封面源自网络。)

黑客正在收集 4600 个网站上的支付细节及用户密码

据外媒报道,黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了他们的JavaScript文件,以便在超过4,600个网站上嵌入恶意代码。 Picreel是一种分析服务,允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户,即网站所有者,在他们的网站上嵌入了一段JavaScript代码,以便运行Picreel服务。正是这个脚本被黑客入侵,并添加了恶意代码。 Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发,并于八年前开放了源代码。Cloud CMS仍然为Alpaca Forms提供免费的CDN(内容分发网络)服务。但黑客似乎已经攻破了由Cloud CMS管理的CDN,并修改了Alpaca Forms中的一个脚本。 恶意代码会记录表单字段中输入的所有数据 目前,尚不清楚黑客是如何破坏Picreel或Alpaca Forms中的CDN。恶意代码记录所有用户在表单字段中输入的内容,并将信息发送到位于巴拿马的服务器。这些信息包括用户在结帐或付款页面,联系表单和登录部分输入的数据。已在1,249个网站上发现嵌入Picreel脚本中的恶意代码,而在Alpaca Forms中的恶意代码已在3,435个域名中被发现。Cloud CMS已经介入并取消了服务于受影响的Alpaca Forms脚本的CDN。该公司正在调查这一事件,并阐明公司、客户及产品都没有安全漏洞或安全问题。然而,没有证据证明这一点,除非Cloud CMS的客户仍在他们的网站中使用Alpaca Forms的脚本。 供应链攻击对网站的威胁越来越大 在过去的两年里,类似的攻击相当普遍。实行供应链攻击的黑客组织已经意识到,破坏那些高级一点的网站并不像听起来那么简单,因此他们开始瞄准那些为网站提供“二级代码”的小企业。他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。 今天的攻击有所不同,其通用性十分广泛。不管其目的如何,它针对的都是网站上的每个表单字段。   消息来源:ZDnet, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接