HackerNews 编译，转载请注明出处： 一位安全研究员发现了Cloudflare内容分发网络（CDN）的一个漏洞，该漏洞可能通过在Signal和Discord等平台发送图片暴露用户的大致位置。尽管攻击的地理定位能力不足以精确到街道级别，但可以推断出用户所在的地理区域并监控其移动轨迹。 这一发现对注重隐私的人群——如记者、活动家、异见人士甚至网络犯罪分子而言，尤其令人担忧。然而，对于执法部门，这一漏洞可能是调查的利器，帮助确定嫌疑人所在的国家或州。 无交互追踪攻击 三个月前，安全研究员Daniel发现Cloudflare通过将媒体资源缓存到距离用户最近的数据中心来提升加载速度。 他解释道：“我发现了一种独特的无交互去匿名攻击，能够在250英里范围内定位任何目标。” 该攻击仅需目标设备上安装一个易受攻击的应用（或运行于笔记本电脑的后台应用）。攻击者通过发送托管在Cloudflare CDN上的特定图片（如截图或头像），利用Cloudflare Workers的一个漏洞强制请求通过特定数据中心处理。 这一漏洞使攻击者能够绕过Cloudflare默认的安全限制，这些限制通常会根据用户位置从最近的数据中心路由请求。通过枚举不同数据中心的缓存响应，攻击者可以根据返回的机场代码大致确定用户位置。 由于许多应用（包括Signal和Discord）会自动下载推送通知中的图片，这种攻击无需用户交互即可实现追踪，是一种无交互攻击。追踪精度在50到300英里之间，城市地区的精度更高，而农村或人口稀少地区的精度较低。 在测试中，研究员通过Cloudflare的任播路由机制追踪Discord首席技术官Stanislav Vishnevskiy的位置，发现多个邻近数据中心可同时处理请求，从而进一步提高了准确性。 受影响平台的回应 根据404 Media的报道，研究员已将发现披露给Cloudflare、Signal和Discord。Cloudflare标记该问题为已解决，并奖励200美元。但研究员表示，尽管Workers漏洞已修复，通过使用VPN测试不同CDN位置，追踪攻击仍然可能，只是操作略显繁琐。 研究员称：“我选择了一家在全球31个国家设有3000多台服务器的VPN供应商。通过这种新方法，我可以再次覆盖大约54%的Cloudflare数据中心。”这已涵盖全球大部分人口密集地区。 Cloudflare回应称，禁用缓存功能是用户的责任。Discord和Signal则认为问题在于Cloudflare，且不属于它们的职责范围。 BleepingComputer已联系Signal、Discord和Cloudflare寻求对此事的进一步评论，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施与安全公司Cloudflare周二表示，其检测并阻止了一次高达5.6 Tbps的分布式拒绝服务（DDoS）攻击，这是迄今为止报告的最大规模攻击。 这次基于UDP协议的攻击发生在2024年10月29日，目标是一家位于东亚的未具名互联网服务提供商（ISP），攻击源自一个Mirai变种僵尸网络。 “此次攻击持续了80秒，并来源于超过13000个物联网设备，”Cloudflare的Omer Yoachimik和Jorge Pacheco在一份报告中表示。 与此同时，每秒观测到的平均唯一源IP地址为5500个，每个IP地址每秒的平均流量约为1 Gbps。 此前最大规模的DDoS攻击记录同样由Cloudflare在2024年10月报告，其峰值为3.8 Tbps。 Cloudflare还披露，其在2024年阻止了约2130万次DDoS攻击，比2023年增长了53%，超过1 Tbps的攻击数量在季度间激增了1885%。仅在2024年第四季度，就缓解了多达690万次DDoS攻击。 以下是2024年第四季度观察到的一些其他重要统计数据： 已知DDoS僵尸网络占所有HTTP DDoS攻击的72.6%。 Layer 3/Layer 4（网络层）最常见的攻击向量是SYN洪水（38%）、DNS洪水攻击（16%）和UDP洪水（14%）。 Memcached、BitTorrent及勒索型DDoS攻击分别环比增长314%、304%和78%。 约72%的HTTP DDoS攻击和91%的网络层DDoS攻击在十分钟内结束。 印尼、中国香港、新加坡、乌克兰和阿根廷是DDoS攻击的最大来源国。 中国、菲律宾和德国是被攻击最多的国家。 通信、互联网、营销、信息技术和博彩是最常被攻击的行业。 与此同时，网络安全公司Qualys和Trend Micro披露，臭名昭著的Mirai僵尸网络恶意软件的变种正通过利用已知的安全漏洞和弱密码攻击物联网（IoT）设备，将其用作DDoS攻击的工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oracle敦促用户尽快应用2025年1月的关键补丁更新（CPU），以修复其产品和服务中的318个安全漏洞。 最严重的漏洞是Oracle Agile产品生命周期管理（PLM）框架中的一个高危漏洞（CVE-2025-21556，CVSS评分：9.9），该漏洞允许攻击者接管易受攻击的实例。据NIST国家漏洞数据库（NVD）描述，这是一个易于利用的漏洞，攻击者可通过HTTP以低权限网络访问破坏Oracle Agile PLM框架。值得注意的是，Oracle在2024年11月警告称，同一产品中的另一个漏洞（CVE-2024-21287，CVSS评分：7.5）正被积极利用。两者均影响Oracle Agile PLM框架9.3.6版本。 Oracle安全保障副总裁Eric Maurice表示：“我们强烈建议用户为Oracle Agile PLM框架应用2025年1月的关键补丁更新，因为它不仅修复了CVE-2024-21287，还包含其他补丁。” 其他同样严重的漏洞（CVSS评分：9.8）包括： CVE-2025-21524：JD Edwards EnterpriseOne Tools的监控与诊断SEC组件漏洞 CVE-2023-3961：JD Edwards EnterpriseOne Tools的E1开发平台技术（Samba）组件漏洞 CVE-2024-23807：Oracle Agile工程数据管理的Apache Xerces C++ XML解析器组件漏洞 CVE-2023-46604：Oracle通信直径信令路由器的Apache ActiveMQ组件漏洞 CVE-2024-45492：多个产品（包括Oracle通信网络分析数据总监和HTTP服务器）的XML解析器（libexpat）组件漏洞 CVE-2024-56337：Oracle通信策略管理的Apache Tomcat服务器组件漏洞 CVE-2025-21535：Oracle WebLogic服务器核心组件漏洞 CVE-2016-1000027：Oracle BI Publisher的Spring Framework组件漏洞 CVE-2023-29824：Oracle商业智能企业版的分析服务器（SciPy）组件漏洞 特别是CVE-2025-21535，与CVE-2020-2883（CVSS评分：9.8）相似，后者是Oracle WebLogic服务器中的一个关键安全漏洞，攻击者可通过IIOP或T3网络访问进行未经身份验证的攻击。本月，美国网络安全与基础设施安全局（CISA）将CVE-2020-2883添加到其已知被利用漏洞目录（KEV），并指出其已在野外被积极利用。 此外，Oracle还修复了影响其通信计费和收入管理产品的关键漏洞CVE-2024-37371（CVSS评分：9.1），该漏洞可能导致攻击者通过发送带有无效长度字段的消息令牌引发内存读取错误。 Oracle还发布了针对Oracle Linux的更新，包含285个新安全补丁。用户被建议及时应用相关修复以保持系统安全，避免潜在的安全风险。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织正在利用Cambium Networks cnPilot路由器中的未披露零日漏洞，部署一种名为AIRASHI的AISURU僵尸网络变种，用于发动分布式拒绝服务（DDoS）攻击。 据奇安信XLab披露，这些攻击自2024年6月起就已利用该漏洞实施。为防止漏洞被进一步滥用，相关技术细节暂未公开。除此之外，该僵尸网络还利用了多个已知漏洞，包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-28771，以及针对AVTECH摄像机、LILIN DVR设备和深圳天网科技设备的漏洞。 奇安信XLab指出，“AIRASHI的运营者在Telegram上发布了DDoS攻击能力测试结果。从历史数据来看，AIRASHI僵尸网络的攻击能力稳定在1-3 Tbps之间。” 大部分受感染设备位于巴西、俄罗斯、越南和印度尼西亚，而主要攻击目标包括中国、美国、波兰和俄罗斯。 AIRASHI是AISURU（又称NAKOTNE）僵尸网络的变种。2024年8月，奇安信首次检测到该僵尸网络在Steam平台发起DDoS攻击，时间与游戏《黑神话：悟空》上线相吻合。 AIRASHI僵尸网络持续更新，其中部分变种还整合了代理功能，显示威胁组织意图将其服务范围扩展至DDoS攻击之外。据悉，AISURU在2024年9月一度暂停活动，随后于10月卷土重来，并在11月底再次更新功能，此时已更名为AIRASHI。 XLab表示，“名为‘kitty’的样本在2024年10月初开始传播。与以往AISURU样本相比，kitty简化了网络协议，并在10月底开始使用SOCKS5代理与C2服务器通信。” AIRASHI至少存在两种版本： AIRASHI-DDoS（2024年10月底首次检测），主要用于DDoS攻击，同时支持任意命令执行和反向Shell访问。 AIRASHI-Proxy（2024年12月初首次检测），是AIRASHI-DDoS的修改版，新增代理功能。 该僵尸网络通过DNS查询不断调整方法获取C2服务器信息，并采用全新网络协议，使用HMAC-SHA256和CHACHA20算法进行通信。此外，AIRASHI-DDoS支持13种消息类型，而AIRASHI-Proxy仅支持5种。 研究显示，黑客持续利用物联网设备漏洞作为初始入侵点，并通过这些设备组建僵尸网络，助推大规模DDoS攻击的实施。 与此同时，奇安信还披露了一种跨平台后门程序alphatronBot，该恶意软件自2023年初起活跃，目标包括中国政府及企业，其利用被感染的Windows和Linux系统组建僵尸网络。此后门程序采用合法的开源点对点（P2P）聊天应用PeerChat与其他感染节点通信。 P2P协议的去中心化特性使得攻击者无需通过单一C2服务器，即可通过任意受感染节点发布命令，从而大幅提高僵尸网络对拆除行动的抵抗力。 “该后门程序内置的700多个P2P网络涵盖80个国家和地区的感染设备，包括MikroTik路由器、海康威视摄像机、VPS服务器、DLink路由器和CPE设备等。”奇安信指出。 此外，XLab去年还详细分析了一种名为DarkCracks的复杂隐秘载荷投递框架，该框架利用受感染的GLPI和WordPress网站充当下载器和C2服务器。 “其主要目标是收集受感染设备的敏感信息，维持长期访问，并利用受感染的高性能设备作为中继节点控制其他设备或分发恶意载荷，从而有效掩盖攻击者的痕迹。”XLab补充道，“被感染的系统涉及多个国家的重要基础设施，包括学校网站、公共交通系统和监狱访客系统。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月21日，Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求，伪装成网络安全机构，试图进行诈骗。 乌克兰计算机应急响应小组（CERT-UA）警告称，这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击，这些攻击试图利用用户的信任。 CERT-UA指出：“在某些情况下，我们可能会使用AnyDesk等远程访问软件。”然而，此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。 要使这种攻击成功，目标计算机上必须安装并运行AnyDesk远程访问软件，同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险，远程访问程序应仅在使用期间启用，并通过官方通信渠道进行协调。 与此同时，乌克兰国家特种通信和信息保护局（SSSCIP）透露，其网络安全事件响应中心在2024年共检测到1,042起事件，其中恶意代码和入侵尝试占所有事件的75%以上。 SSSCIP表示：“2024年，最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006，它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中，UAC-0010（也被称为Aqua Blizzard和Gamaredon）被认为与277起事件有关；UAC-0050和UAC-0006分别与99起和174起事件有关。 此外，研究人员还发现了24个此前未被报告的“.shop”顶级域名，这些域名可能与亲俄黑客组织GhostWriter（也称为TA445、UAC-0057和UNC1151）有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas（@BushidoToken）的分析显示，这些活动中使用的域名均采用了相同的通用顶级域名（gTLD）、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。 随着俄乌战争即将进入第三年，针对俄罗斯的网络攻击也在增加，其目的是窃取敏感数据，并通过部署勒索软件来扰乱商业运营。 上周，网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马，该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织，主要针对俄罗斯的国家机构、科研院所和工业企业。然而，以色列网络安全公司Morphisec此前的分析指出，这种联系“仍不确定”。 目前尚不清楚这些攻击的成功率如何。在最近几个月中，其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf（也称为GOFFEE）。其中，Paper Werewolf利用了一个名为Owowa的恶意IIS模块，以协助窃取凭据。 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件，通过一个多阶段加载器PNGPlug来传播。 根据Intezer发布的技术报告，攻击链始于一个钓鱼网页，该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。一旦执行，该安装包会执行两项关键任务：一是部署一个看似合法的应用程序以掩盖恶意行为；二是静默提取一个包含恶意软件负载的加密存档。 报告指出，MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档（all.zip），并提取核心恶意软件组件。这些组件包括： libcef.dll：作为加载器，通过填充大量无用代码使其体积膨胀至220MB，以此规避安全工具的检测。 down.exe：一个合法应用程序，用于掩盖恶意行为。 aut.png和view.png：伪装成PNG图片的恶意负载文件。 PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将aut.png和view.png注入内存，并通过修改Windows注册表来设置持久化，从而分别执行ValleyRAT恶意软件。 ValleyRAT自2023年以来已被发现，是一种远程访问木马（RAT），能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外，ValleyRAT与一个名为Silver Fox的威胁组织有关联，该组织还与另一个名为Void Arachne的活动集群存在战术重叠，因为它们都使用名为Winos 4.0的命令与控制（C2）框架。 此次攻击活动的独特之处在于其针对中文用户群体，并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出：“攻击者巧妙地利用合法软件作为恶意软件的传播机制，将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁，因为其模块化设计使其能够针对多个攻击活动进行定制 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新型大规模攻击活动正在利用AVTECH IP摄像头和华为HG532路由器的安全漏洞，将这些设备纳入一个名为Murdoc Botnet的Mirai僵尸网络变种。Qualys安全研究员Shilpesh Trivedi在分析中指出：“此次持续的攻击活动展现了增强的能力，通过利用漏洞来入侵设备并建立广泛的僵尸网络。”该活动自2024年7月开始，至今已感染超过1,370个系统。大多数感染事件发生在马来西亚、墨西哥、泰国、印尼和越南。 证据表明，该僵尸网络利用已知的安全漏洞（如CVE-2017-17215和CVE-2024-7029）来获取对物联网（IoT）设备的初始访问权限，并通过shell脚本下载下一阶段的恶意负载。该脚本会根据设备的CPU架构，获取并执行僵尸网络恶意软件。这些攻击的最终目标是利用僵尸网络发动分布式拒绝服务（DDoS）攻击。 几周前，一个名为“gayfemboy”的Mirai僵尸网络变种被发现，自2024年11月初以来，它一直在利用最近披露的Four-Faith工业路由器的安全漏洞。2024年年中，Akamai还透露，CVE-2024-7029被恶意行为者利用，将AVTECH设备纳入僵尸网络。 上周，有关另一场大规模DDoS攻击活动的细节浮出水面，该活动自2024年底以来一直针对日本的主要公司和银行，通过利用漏洞和弱凭据来组建一个物联网僵尸网络。 此次DDoS攻击活动主要针对电信、技术、托管、云计算、银行、游戏和金融服务行业。超过55%的受感染设备位于印度，其次是南非、巴西、孟加拉国和肯尼亚。 Trend Micro表示：“该僵尸网络包含源自Mirai和BASHLITE的恶意软件变种。其命令包括可以采用多种DDoS攻击方法、更新恶意软件以及启用代理服务的指令。”这些攻击涉及入侵物联网设备，部署一个加载器恶意软件，该恶意软件会获取实际负载，然后连接到命令与控制（C2）服务器，等待进一步的DDoS攻击和其他用途的指令。为了防范此类攻击，建议监控由任何不受信任的二进制文件/脚本执行所产生的可疑进程、事件和网络流量。同时，建议应用固件更新并更改默认用户名和密码。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球一些知名酒店连锁的客户个人信息在一次针对行业软件供应商的攻击中遭到泄露。 该攻击者似乎未经授权访问了酒店管理软件供应商Otelier的系统。Otelier提供的基于云的酒店管理软件帮助酒店优化运营，声称支持全球10,000多家酒店品牌、业主和运营商。 根据数据泄露通知网站HaveIBeenPwned（HIBP）的消息，攻击者在2024年访问了Otelier系统，窃取了包括万豪、希尔顿和凯悦等品牌的客户数据。 HIBP在周末将该泄露事件中的近50万个独立账户加入了其数据库。 “泄露的数据包括437,000个客户电子邮件地址（另外868,000个来自booking.com和Expedia平台生成的电子邮件地址未加载到HIBP中）、姓名、住址、电话号码、与旅行计划相关的预订信息、平台记录的购买信息，以及少数情况下的部分信用卡数据，”HIBP的记录中写道。 “数据由一位请求将其归因于ayame@xmpp.jp的来源提供给HIBP。” 更多酒店行业数据泄露事件：洲际酒店确认网络攻击，导致两天宕机。 暗网监控公司WhiteIntel的威胁研究人员在社交媒体上透露了更多关于此次事件的细节，称其可能源于信息窃取恶意软件。 “我们发现了几个由信息窃取者驱动的凭证泄露事件，这些泄露似乎导致了未经授权访问Otelier的GitHub和Atlassian实例，”该公司在X（前Twitter）上的一篇帖子中表示。“与信息窃取者相关的泄露风险每天都在增加。” 2024年10月，DarkWebInformer的威胁情报研究人员警告称，名为“worry”的攻击者在BreachForums上出售了从Otelier（前身为MyDigitalOffice，MDO）窃取的数据库。 此次事件凸显了组织在管理广泛数字供应链风险时所面临的挑战。根据非营利组织身份盗窃资源中心（ITRC）的数据，2024年第一季度受到供应链泄露威胁影响的公司数量相比2023年同期增长了三倍多。 酒店行业由于存储大量客户个人和财务数据，成为了一个特别具吸引力的攻击目标。 2024年，万豪酒店同意支付5200万美元的和解费，解决涉及超过1.31亿美国客户的大规模多年的数据泄露事件。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文