HackerNews 编译，转载请注明出处： 消费者信用报告巨头TransUnion警告称，其遭遇数据泄露，导致超过440万美国人的个人信息暴露。BleepingComputer获悉，数据是从其Salesforce账户中被窃取的。 TransUnion是美国三大信用机构之一，另外两家是Equifax和Experian。其在30个国家开展业务，拥有13,000名员工，年收入达30亿美元。...

HackerNews 编译，转载请注明出处： 西班牙警方逮捕一名涉嫌入侵地方政府教育管理系统的大学生，该嫌疑人被控篡改成绩并侵入教授电子邮箱。据警方通报，这名21岁的男子在塞维利亚被捕，涉嫌入侵安达卢西亚地区教育平台Séneca。该平台覆盖西班牙人口最密集区域，被当地学校及大学广泛使用。警方称其不仅篡改本人中学及大学入学考试成绩， 调查发现，哈恩、科尔多瓦、塞维利亚、韦尔瓦、加的斯和阿尔梅里亚六地至少13名教授的工作邮箱遭入侵，其中包括负责编写2025年大学入学试题的教师。案件于今年3月曝光，当时哈恩圣胡安·博斯科高中的工作人员向警方举报Séneca系统异常。警方随后搜查嫌疑人在塞维利亚的住所，...

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正通过滥用企业官网“联系我们”表单，向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同，黑客首先通过企业官网表单联系受害者，使后续通信更具可信度。 黑客假扮潜在商业伙伴，与目标企业进行长达两周的沟通，要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上，实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出：“这种长期互动表明攻击者愿意投入时间，可能根据目标价值或入侵难度调整策略”。...

HackerNews 编译，转载请注明出处： 瑞典软件供应商Miljödata遭遇疑似勒索软件攻击，该公司负责管理病假等人力资源报告系统，事件预计影响该国约200个市级政府机构。 公司首席执行官Erik Hallén表示，攻击于上周六被发现。警方向当地媒体《BLT》证实，攻击者正试图对Miljödata实施勒索。...

HackerNews 编译，转载请注明出处： 医疗保健服务集团（Healthcare Services Group）2024年数据泄露事件导致超过624,000人的个人信息暴露。受影响人群目前正陆续收到通知。 根据向缅因州总检察长办公室提交的通报，2024年医疗保健服务集团发生的数据泄露事件影响624,496人。该美国公司主要为养老院、辅助生活中心和医院等医疗机构提供家政、洗衣、餐饮及营养服务。...

HackerNews 编译，转载请注明出处： 超过28200台Citrix NetScaler ADC/Gateway设备仍暴露于高危漏洞CVE-2025-7775威胁之下。该漏洞已被确认遭在野利用，可导致远程代码执行（RCE）及服务拒绝（DoS）。 暗影服务器基金会（Shadowserver Foundation）专家警告，目前仍有超过28200台Citrix设备易受CVE-2025-7775漏洞攻击。该漏洞CVSS评分达9.2分，属于内存溢出漏洞，攻击者可借此执行远程代码或瘫痪服务。...

HackerNews 编译，转载请注明出处： Cybernews研究人员发现腾讯云两个站点存在严重配置错误，导致敏感凭证和内部源代码暴露。这些关键漏洞可能使攻击者获得腾讯云内部服务及后端基础设施的完全访问权限。 核心要点：

腾讯云两个站点存在严重配置错误，暴露了敏感凭证与内部源代码。
含有硬编码管理员控制台凭证的环境文件及.git目录已公开数月，危及数百万腾讯云用户。
腾讯承认这是“已知问题”并已关闭访问权限。

2025年7月23日，...

HackerNews 编译，转载请注明出处： 知名危机公关公司Singer Associates遭勒索软件组织Qilin宣称入侵。该团伙在其暗网泄露博客公布该公司为最新受害者，并发布据称从该公司窃取的数据片段。 Qilin团伙在公告中附长篇声明，指控Singer Associates存在“操纵选民与客户的方案、伪造与虚假信息的事实、谎言与造假、欺骗与欺诈”等行为，声称已获取“包含Singer Associates全部内部工作的档案”。该公关公司曾为雪佛龙、拜耳、爱彼迎、维萨、福特等众多知名企业提供服务。...

HackerNews 编译，转载请注明出处： 网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区（APAC）针对政府机构发起攻击。该组织已渗透超过30个目标，主要动机为数据窃取，其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。...

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号， “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。”...