分类: 黑客事件

万豪旗下喜达屋酒店数据库遭入侵 5 亿顾客信息或泄露

新浪科技讯 北京时间11月30日晚间消息,万豪国际酒店集团(Marriott International)今日宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。 该消息公布后,万豪国际酒店股价在今日盘前交易中一度下跌逾5%。 万豪国际酒店称,调查结果显示,有一未授权方复制并加密了这些数据。而且,自2014年就开始了对喜达屋酒店网络进行未授权访问。 目前,万豪国际酒店已采取了补救措施,但并未公布进一步的信息。 万豪国际酒店称,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。 对于部分客户,可能被泄露的信息还包括支付卡号码和有效日期,但这些数据是加密的。 万豪国际酒店表示,已将该事件报告给执法部门和监管部门,积极配合其调查。   稿源:新浪科技,封面源自网络;

美司法部指控两名伊朗黑客勒索攻击 造成 3000 万美元损失

美国司法部近日指控两名伊朗黑客,策划和执行了针对美国多个主要城市(包括亚特兰大,圣地亚哥和纽瓦克)的勒索软件攻击,导致美国多地的基础公共服务瘫痪。本周三美国检察官在新闻发布会上表示,34岁的Faramarz Shahi Savandi和27岁的Mohammad Mehdi Shah Mansouri通过向200多名受害者部署SamSam勒索软件,造成了价值3000万美元的损失。 近年来网络勒索事件频发,在设备感染后,黑客以内容为要挟要求受害者支付一定的赎金。司法部刑事部门负责人Brian Benczkowski表示,目前并没有直接证据表明有政府参与其中,但指出这起诉讼是对黑客“部署营利性勒索软件”的首次刑事诉讼。 副检察长Rod Rosenstein说,这款勒索软件通过比特币支付的方式获得了超过600万美元的非法收益。Rosenstein说:“许多受害者都是公共机构,其中不乏涉及公共紧急救助和其他关键职能部门。”根据法庭文件,Savandi和Mansouri所部署的SamSam勒索软件专门针对美国的关键基础设施,如医院和城市系统,以便于敲诈更多的金钱。 Carpenito说:“钱不是他们唯一的目标。他们试图伤害我们的机构和关键基础设施,他们试图影响我们的生活方式。”除了上文提及的亚特兰大之外,受影响城市还包括纽瓦克市,新泽西州,科罗拉多州交通局,加拿大卡尔加里大学以及洛杉矶,堪萨斯,北卡罗来纳,马里兰州,内布拉斯加州和芝加哥的医院。     稿源:cnBeta,封面源自网络;

戴尔披露 11 月初网络攻击事件:或有数据泄露 建议客户重置密码

针对 11 月 9 号遭遇的网络攻击事件,戴尔发布公告称:“我司检测并瓦解了一场针对 Dell.com 的网络攻击,未经授权的攻击者试图窃取我司的客户信息,但仅限于姓名、电子邮件地址、以及散列(哈希)后的密码”。尽管戴尔未发现任何服务器上的客户信息被渗透的证据,但不排除有数据泄露的可能。 尽管数据失窃的可能性很小,戴尔还是建议客户重置所有密码,以防止客户信息的进一步泄露 ——“所有客户请通过多步身份验证流程,以重新获得对账户的访问权限”。 在下次访问 dell.com 并尝试登陆账户时,系统会自动提示所有戴尔用户重置密码。Premier、Global Portal 和 support.dell.com(Esupport)等在线服务亦受到影响。 最后,该公司在第三方数字取证公司的帮助下展开了调查、并与执法机构取得联系,以便了解网络安全事件的更多细节。   稿源:cnBeta,封面源自网络;

美国国家电网仍持续不断地遭受俄罗斯黑客的网络安全试探攻击

美国国家电网仍在持续不断地遭受到来自俄罗斯的网络黑客安全威胁试探,由美国国土安全部颁发认证的网络安全公司的火眼(FireEye)在今日于华盛顿特区举办的网络安全论坛上指出。 火眼的分析员Alex Orleans指出“目前仍然有瞄准美国电网的俄罗斯网络间谍活动,电网仍然会遭受到不断的攻击”这份报告指出,他们已经识别出一组俄罗斯网络集团通过TEMP.Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞进行试探和攻击。这组黑客依赖于现成黑客工具和自制后门技术的组合,尽管美国的电网已经通过NERC发布的一系列CIP 标准增强了网络防御能力。但是并不是每一处的电网组成设施都固若金汤,比如部分承包给本地企业的地方电网的网络防御能力就非常差,这留给了来自俄罗斯(包括伊朗和朝鲜)的网络黑客们可乘之机。   稿源:cnBeta,封面源自网络;

报告称圣诞节假期内网络攻击行为更加猖獗

根据Carbon Black威胁分析部门(TAU)发布的最新报告,从黑色星期五至圣诞节期间机构和个人遭受网络攻击的风险更高。在对1600万个端点进行深入追踪调查后,TAU观察到自2016年圣诞节假期开始,网络攻击量年增长率超过20.5%,远远超出正常水平。通常情况下会在黑五活动开始前升温,然后在圣诞节后几天内达到最高峰。 Carbon Black的首席网络安全官汤姆凯勒曼说:“基于现有的网络攻击数据,我们预计2018年假日购物季节期间应该会继续保持这样的趋势,但也不排除更快增长的可能。在节日期间,网络世界往往会比较活跃,而攻击者会尽可能地利用这一点。” 凯勒曼还表示这些网络攻击不仅仅针对个人,而且还针对企业和机构,因此它们数据受损的风险更高,可能会危及数百万客户的个人和财务信息。TAU的报告称,假期期间发生的绝大多数网络攻击都使用网络钓鱼活动或鱼叉式网络钓鱼活动来传播的。   稿源:cnBeta,封面源自网络;

黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。 这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScript npm包。 根据Twitter、GitHub和Hacker News上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当Copay启动(由比特币支付平台BitPay开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。 目前已经确认9月至11月期间,所有版本的Copay钱包都被认为已被感染。今天早些时候,BitPay团队发布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的Event-Stream。 建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本–Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表,其中Event-Stream作为直接或间接依赖项加载。   稿源:cnBeta,封面源自网络;

俄罗斯黑客工具“Cannon”正在美欧计算机上进行更隐蔽的攻击

网络安全专家表示,俄罗斯黑客拥有一种新工具,可以在不被察觉的情况下访问敏感计算机。而且他们正在利用它来瞄准美国和欧洲政府实体,以及苏联的前领土。网络安全公司Palo Alto Networks在周二的博客文章中描述了黑客工具,它称之为“Cannon”。 Cannon是一种恶意软件,黑客潜入目标计算机并用于截取受感染计算机主页的屏幕截图。然后,该软件使用电子邮件将图像发送回黑客并接收新指令。它就像是计算机上的间谍相机,可以将图像发送回家,显然是送到俄罗斯。 Palo Alto Networks认为,Cannon背后的黑客是一个情报官员已经结束的团体,是俄罗斯军事间谍机构GRU的一部分。有时被称为Fancy Bear,黑客组织也被指责在2016年黑客攻击民主党全国委员会。Palo Alto Networks威胁情报副主任Jen Miller-Osborn表示,黑客工具使用电子邮件向黑客可以访问的帐户发送信息既聪明又新颖。 在其他两家网络安全公司告诉路透社,俄罗斯黑客冒充美国国务院的员工向智囊团,企业和政府机构发送网络钓鱼电子邮件之后不到一周,Palo Alto Networks就发现了这个名为Cannon的黑客工具,但是他们没有透露黑客在攻击活动中扮演的角色,也没有提供有关特定目标国家的更多信息。   稿源:cnBeta,封面源自网络;

谷歌 G Suite 账号被黑 发推文称向社区成员赠送1万个比特币

本周二,拥有80多万粉丝的谷歌生产力工具G Suite官方推特账号被黑。在诈骗推文中谷歌将会向社区成员赠送10000个比特币,不过要求消费者先支付0.1至2个比特币,然后谷歌将会返还至少1个比特币,而且返还比例高达200%。在该条欺诈推文发布一小时后被删除。 谷歌并非唯一的受害者。今天早些时候,零售业巨头Target也遭到了类似的攻击。而在过去几周,印度的一家政府机构、一家总部位于澳大利亚的咨询公司以及部分政客的账户也成为此类攻击的受害者。   稿源:cnBeta,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;  

美女童军加州奥兰治县分部网络遭攻击 或涉及 2800 名成员信息泄露

据 Threat Post报道,美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击,最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露,该组织已经向所有填写申请的成员邮箱发送了一份通知信,承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉,并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号,破解进入了GSOC的计算机网络,获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名,出生信息,电邮地址,家庭地址,驾驶执照,健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号,通过传统邮箱寻求GSOC分部的确认。   稿源:cnBeta,封面源自网络;