美国最大的体育用品零售连锁店DICK’S Sporting Goods披露，其机密信息在上周三发现的网络攻击中被泄露。 成立于1948年的DICK’S在全美运营857家门店，2023年报告的收入达到129.8亿美元。截止到2024年2月，这家财富500强公司拥有超过55,500名员工，其中包括18,900名全职员工和36,600名兼职员工。 根据向美国证券交易委员会（SEC）提交的文件，该公司已聘请外部网络安全专家来协助控制安全漏洞并评估网络攻击的影响。 DICK’S表示：“2024 年 8 月 21 日，公司发现第三方未经授权访问了公司的信息系统，包括系统中的一些机密信息。在发现这一事件后，公司立即启动了网络安全响应计划，并与外部网络安全专家合作，调查、隔离并遏制威胁。” 据一位不愿透露姓名的内部人员透露，公司未提供有关此次泄密事件的详细信息，并告知员工不要公开讨论此事或将任何内容记录下来。 同一消息来源告诉 BleepingComputer，公司的电子邮件系统已被关闭，很可能是为了隔离攻击，所有员工账户也已被锁定。IT人员正在通过摄像头手动验证员工身份，以便他们能够重新获得对内部系统的访问权限。 在与 BleepingComputer 分享的内部备忘录中，DICK’S 告诉员工，由于“计划中的活动”，大多数人不再有权访问系统，团队领导将通过个人电子邮件或短信与他们联系，以提供进一步的指示。 DICK 发给员工的内部备忘录 当地商店的电话线路也因此次事件而中断。BleepingComputer在尝试联系美国20多家商店时，均收到服务中断的通知。 在今天向美国证券交易委员会（SEC）提交的文件中，这家财富500强零售商表示，已向相关执法部门报告了这一违规行为，并强调目前该事件对公司的运营没有造成影响。 “公司还通知了联邦执法部门，称公司不知道这一事件已经扰乱了业务运营。”DICK’S 补充道，“公司对此次事件的调查仍在进行中。但根据目前掌握的情况，公司认为此次事件并不严重。” 今天早些时候，BleepingComputer 联系了 DICK’S 的发言人，但尚未收到回复。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

6月25日，Cybernews研究团队发现了一个包含超过1.7亿条敏感数据记录的数据集，这些数据被暴露在互联网上，所有人都可以访问。泄露的数据包括： 全名 电话号码 电子邮件 详细地址 技能 专业摘要 教育背景 工作经历 由于泄露的数据集被标记为“PDL”，因此数据泄露的线索指向位于旧金山的数据经纪公司 People Data Labs (PDL)。 该公司的网站声称其数据库涵盖了15亿个人档案，供各种企业用于市场营销、销售、招聘等活动。PDL自豪地宣称，其在150多个数据点上提供了“无与伦比的覆盖范围”。 虽然最终导致数据泄露的责任方仍不清楚，但必须强调的是，将Elasticsearch服务器配置为无密码状态是极为危险的。威胁行为者可以在几秒钟内发现此类暴露的数据，这将使个人面临身份盗窃和欺诈的风险，并增加他们成为网络钓鱼攻击目标的可能性。 Cybernews 研究团队表示：“数据经纪公司的存在本就备受争议，因为它们通常缺乏足够的审查和控制措施，无法确保数据不会落入不当之手。大规模的数据泄露使威胁行为者更容易、更便捷地滥用数据进行大规模攻击。” PDL此前已经遭遇了一次大规模数据泄露事件，该事件在2019年暴露了超过十亿条数据记录。这两次泄露源于一个相同的问题：一个暴露且未受保护的Elasticsearch服务器。当时，PDL否认对数据泄露负有责任。 此次泄露的数据集被标记为“Version 26.2”，表明它可能与之前的数据泄露有关。无论这次泄露是否直接来源于PDL，此类事件都会对数据经纪公司造成严重的声誉损害，削弱其与客户和合作伙伴之间的信任。 我们的研究人员补充道：“如果这是一起新的泄露事件，而不是第三方对 2019 年所泄露的数据的处理和丰富，那么这一事件将揭示公司在个人数据安全方面的严重疏忽。” Cybernews 已联系 PDL 以征求意见，正在等待其回复。 如果用户认为自己可能受到了数据泄露的影响，可以采取以下几个步骤来减轻潜在的危害。   消息来源：Cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

软件解决方案提供商 Young Consulting 披露了一起影响了950000人的数据泄露事件，并声称此次泄露是由于BlackSuit勒索软件攻击导致的。 4 月 13 日，软件解决方案供应商 Young Consulting“意识到其基础设施出现了技术困难”，调查发现有黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间侵入了该公司网络，并窃取了一些文件。 “2024年4月13日，公司检测到内部计算环境出现技术故障。我们迅速将受影响系统下线并启动调查，委托网络安全取证公司协助，以确定事件的性质和范围。”该公司发布的一份数据泄露通知写道，“调查发现，一名未经授权的黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间访问了 Young Consulting 的网络，并下载了某些文件的副本。” 泄露的数据因人而异，可能包括某些个人的姓名、社会保险号、出生日期、保险单或索赔信息等。 该公司制造商未公开此次攻击的详细信息。根据该公司与缅因州总检察长办公室共享的数据泄露通知显示此次事件影响了 954,177 人。 Young Consulting 开展的调查显示，在一次安全漏洞中，未经授权的行为者访问了包括Blue Shield在内的某些数据持有者的信息。公司仍在审查受影响的文件，并确定具体受影响的个人。2024年6月28日，Young Consulting已向Blue Shield确认了此次漏洞，并开始通知可能信息已被泄露的个人。 Blue Shield发布的事件通知中写道：“Blue Shield收到了其软件解决方案供应商Young Consulting的通知，该供应商报告称经历了一次数据安全事件，可能会影响健康计划成员的信息。” 该软件制造商已为受影响的个人提供了一年的免费信用监控服务。 5 月份，BlackSuit 勒索软件组织将 Young Consulting 添加到其 Tor 泄漏网站的受害者名单中。该勒索软件团伙声称窃取了以下信息： 业务数据（合同、联系人、计划、演示文稿等） 员工数据（护照、合同、联系方式、家庭详细信息、体检等） 财务数据（审计、报告、付款、合同等） 从共享和个人文件夹中获取的其他数据 BlackSuit 补充说，Young Consulting 高层管理人员完全拒绝谈判，认为他们是在虚张声势。 被盗数据现已可供下载。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

荷兰数据保护局 (DPA) 对 Uber 处以创纪录的 2.9 亿欧元（3.24 亿美元）罚款，因其将欧洲出租车司机的个人数据传输至美国，并未对这些数据进行适当保护。 数据保护监管机构表示，此举严重违反了《通用数据保护条例》（GDPR）。 有关部门发现，Uber 收集了司机的敏感信息，并在美国服务器上保存超过两年，敏感信息包括账户详情、出租车执照、位置数据、照片、付款信息、身份证件，甚至犯罪和医疗数据。 “Uber 让司机申请查看或接收个人数据副本的过程非常复杂。”数据保护机构在 2024 年 1 月指出，“此外， Uber 没有在隐私条款和条件中具体说明其保留其司机个人数据的时间长度，也未说明将数据传送至欧洲经济区以外的国家时采取的具体安全措施。” Uber 在与彭博社分享的一份声明中表示，罚款“完全没有道理”，并计划对这一决定提出异议，称其跨境数据传输流程符合 GDPR 规定。 这并非美国公司首次因在欧盟数据传输中未能提供合理的隐私保护而受到欧盟数据保护机构的打击，这引发了人们对欧洲用户数据可能受到美国监控计划影响的担忧。 第一次是在2018 年，Uber 因未能保护客户和司机的个人数据，使其遭受未经授权的访问而被罚款 60 万欧元。这次网络安全事件影响了全球 5700 万名 Uber 用户。 第二次是在2023年12月11日，Uber在处理欧盟主体的数据时，数据管理做法模糊，DPA 机构对 Uber 处以 1000 万欧元的罚款。 “在欧洲，《通用数据保护条例》（GDPR）要求企业和政府谨慎处理个人数据，以保护人们的基本权利，”DPA主席 Aleid Wolfsen 表示。“然而，这种保护在欧洲以外的地区并不常见。”   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

集体诉讼索赔管理公司 Arden Claims Service 通知约 139000 人，称他们的个人信息在 2023 年 10 月的数据泄露事件中被盗。 事件发生在 10 月 17 日，该公司发现一个电子邮件账户存在异常活动。确保账户安全后，Arden Claims Service 展开了调查，并发现第三方于 10 月 3 日左右未经授权获取了部分数据。 该公司于 2024 年 8 月 6 日完成了对被盗数据的审查，并于 8 月 14 日向可能受影响的个人发送了书面通知。 通知信已提交给缅因州和佛蒙特州总检察长办公室，信中表示被窃取的数据包括姓名及其他个人身份信息。 虽然该公司在其新的监管文件中没有提供泄露信息的具体细节，但在一月份提交给缅因州审计院的文件中提到社会安全号码也在此次数据泄露中被盗。 Arden Claims Service 向缅因州税务总局表示，此次事件可能影响了约 138890 人。 集体诉讼和解管理员正向可能受影响的个人提供免费的身份保护服务，包括信用和暗网监控、身份欺诈损失补偿政策及身份盗窃恢复服务。 目前尚不清楚此次数据泄露是否由针对 Arden Claims Service 的勒索软件组织造成。SecurityWeek 尚未发现任何勒索软件组织对此事件负责。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

AppOmni 的网络安全研究人员警告称，Oracle NetSuite SuiteCommerce 平台存在数据泄露风险，可能使攻击者能够访问客户的敏感信息。 NetSuite 是一个广泛使用的 SaaS 企业资源规划 (ERP) 平台，它允许通过 SuiteCommerce 或 SiteBuilder 部署面向外部的在线商店。这些商店托管在 NetSuite 租户的子域上，未经身份验证的客户可以直接从企业浏览、注册并购买产品。 问题的根源不在于 NetSuite 解决方案本身，而在于自定义记录类型（CRT）的访问控制配置错误，这可能会泄露客户的敏感信息。 暴露的数据包括注册客户的个人身份信息（PII），如完整地址和手机号码。 攻击者可能会利用 NetSuite 中配置为“无需权限”访问的自定义记录类型 (CRT)，通过 NetSuite 的记录和搜索 API 获取数据。然而，要成功发动攻击，攻击者需要事先知道正在使用的 CRT 的名称。 “我们还需要假设未经身份验证的参与者知道 CRT 的名称。在本文发表之前，曾有一种方法可以检索所有 CRT 的名称，但这个问题已经得到解决。”研究人员发布的报告写道。“如今，还有两种方法可以检索 CRT 名称： 使用由 Github 等公共资源整理的流行 CRT 名称组成的单词列表，对下面第一步中显示的 API 端点进行暴力破解。 通过观察与网站交互时的 HTTP 流量，在响应中查找以“customrecord_”为前缀的字符串。” 为了降低风险，管理员应加强对自定义记录类型 (CRT) 的访问控制，限制公众对敏感字段的访问，并考虑暂时使受影响的站点脱机以防止数据泄露。 “解决这些数据泄露问题的最可靠方法是加强 CRT 的访问控制。从安全角度来看，最简单的解决方案可能是将记录类型定义的访问类型更改为设置更改为‘需要自定义记录条目权限’或‘使用权限列表’ ”。报告总结道。 实际上，许多组织确实有业务需求，需要公开记录类型中的某些字段。因此，管理员应该开始评估字段级别的访问控制，并确定哪些字段（如果有）需要公开。对于必须锁定以防止公共访问的字段，管理员应进行以下两项更改： 默认访问级别：无 搜索/报告的默认级别：无   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Halliburton于周三确认其系统正遭受网络攻击。报告显示，该攻击已迫使公司实施了全面的网络隔离措施，要求员工断开所有与内部网络的连接。 该公司发言人表示：“我们已意识到部分公司系统受到影响，目前正在进行原因分析和潜在影响评估。”发言人补充道：“公司已启动既定应对措施，IT团队正在与外部安全专家协作，积极处理和缓解此次安全事件。” X 用户@MzBlckSheep发文称，“从休斯顿的一位朋友那里得知，Halliburton 目前正遭受大规模的基于云的网络安全攻击”，这是社交媒体上关于这一事件的较早评论之一。 用户 @MzBlckSheep 还写道：“他们让每个人都断开与内部网络的连接，这正是将所有数据托付给云计算所带来的问题。” 此外，一位知情人士向路透社证实，Halliburton已要求部分员工暂时断开与内部网络的连接。此次攻击似乎已影响到公司位于休斯顿北带园区的业务运营以及一些全球网络连接。 截至周三，尚无任何网络犯罪组织声明对Halliburton遭受的袭击负责。 根据公司网站的信息，Halliburton是全球第二大油田服务公司，总部设在美国德克萨斯州休斯顿和迪拜，业务覆盖70个国家，拥有超过40000名国际员工。 针对能源部门的袭击 安全专家指出，针对能源部门的网络攻击构成了对关键基础设施构成了严重威胁，过去类似攻击曾造成重大后果。 2021 年，美国燃料供应商 Colonial Pipeline 遭遇了 DarkSide 勒索软件团伙的攻击，导致其网络系统关闭了近一周。Colonial Pipeline 的首席执行官承认，公司向该组织支付了440万美元的赎金。 这一臭名昭著的攻击发生在新冠疫情结束之际，对燃料供应链造成了严重冲击，导致价格飙升、燃料短缺，并引发了美国东南部各地加油站的恐慌性囤积。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

LiteSpeed Cache WordPress 插件中存在一个严重漏洞，攻击者可以利用该漏洞创建恶意管理员账户，从而控制数百万个网站。 LiteSpeed Cache 是一个开源且极受欢迎的 WordPress 网站加速插件，拥有超过 500 万个活跃安装，并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。 该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 )，该漏洞源自 LiteSpeed Cache 6.3.0.1 及更高版本中的弱hash校验。 安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了此漏洞报告。LiteSpeed 团队开发了一个修复补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。 成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，从而可以通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、分发恶意软件或窃取用户数据，完全控制运行易受攻击的 LiteSpeed Cache 版本的网站。 “我们能够确定，暴力攻破解会迭代安全hash的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中，即使以每秒 3 个请求的相对较低速度运行，也能够在几小时到一个星期内以访问到任何给定的用户 ID。”Patchstack 安全研究员 Rafie Muhammad 周三解释说，“唯一的先决条件是知道管理员级别用户的 ID，并将其传递到 litespeed_role cookie 中。确定此类用户的难度取决于目标站点，许多情况下，使用用户 ID 1 就能成功。” 虽然开发团队已于上周二发布了修复此严重安全漏洞的版本，但根据WordPress 官方插件库的下载统计数据，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能仍面临攻击风险。 今年早些时候，攻击者利用 LiteSpeed Cache未经身份验证的跨站点脚本漏洞 (CVE-2023-40000)创建了恶意管理员账户并控制了易受攻击的网站。5 月，Automattic 的安全团队 WPScan 警告称，威胁行为者在 4 月份开始扫描目标，因为他们发现仅一个恶意 IP 地址就发起了超过 120 万次探测。 Wordfence 威胁情报负责人 Chloe Chamberland 今天也警告称：“我们强烈建议用户尽快更新到 Litespeed Cache 的最新修补版本（截至本文撰写时为 6.4.1 版）。我们认为这个漏洞很快就会被积极利用。” 此外，Wordfence 威胁情报团队在 6 月报告称，某威胁行为者在 WordPress.org 上至少植入了五个插件后门，并添加了恶意 PHP 脚本，以在运行这些插件的网站上创建具有管理员权限的账户。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Broadcom Symantec的研究人员发现了一个以前未被发现的后门，称为Msupedge，它被用于攻击中国台湾一所未命名的大学。 该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。   “Msupedge是动态链接库（DLL）形式的后门，”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中： csidl_drive_fixed\xampp\wuplog.dll csidl_system\wbem\wmiclnt.dll 虽然 wuplog.dll 是由 Apache （httpd.exe） 加载的，但 wmiclnt.dll 的父进程未知。” Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。 该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外，该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关，并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。 威胁行为者被发现利用一个关键的 PHP 漏洞（追踪编号为 CVE-2024-4577，CVSS 评分为 9.8））来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行，并获得了对目标网络的初步访问。 后门支持以下命令： 案例 0x8a ： 创建流程。该命令通过 DNS TXT 记录接收。 案例 0x75 ： 下载文件。下载 URL 通过 DNS TXT 记录接收。 情况 0x24 ： 休眠 （ip_4 * 86400 * 1000 ms）。 情况 0x66 ： 休眠 （ip_4 * 3600 * 1000 ms）。 案例 0x38 ： 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。 案例 0x3c：删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。 Symantec没有将攻击归咎于特定的威胁行为者，也未能确定攻击的动机。 “最近几周，Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止，我们尚未找到任何证据能够将此次威胁归因于特定的行为者，攻击动机仍然未知。”报告总结道，“报告中还包括了妥协指标（Indicators of Compromise）。”   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，美国知名建筑设计公司 CannonDesign（佳能公司）向其 13000 多名客户发送了数据泄露通知，告知他们黑客在2023年初的一次攻击中侵入并窃取了公司的网络数据。 公司在通知中说明，安全事件发生在2023年1月19日至25日期间，涉及未经授权的网络访问和数据泄露。尽管公司于2023年1月25日发现了入侵行为，但调查工作直到2024年5月3日才完成，整个过程持续了超过三个月。 调查结果显示，攻击者可能获取了包括姓名、地址、社会安全号码（SSN）和驾驶执照号码在内的个人信息。为了降低个人数据泄露的风险，公司将为受影响的个人提供Experian提供的24个月信用监控服务，但该措施显著滞后。 Cannon Design 没有明确指出攻击者的身份，但其发言人向 BleepingComputer 证实，此次披露的信息与 2023 年初发生的 Avos Locker 勒索软件攻击有关。 该公司还表示，尽管数据已在多个网站上公布，但目前尚未发现任何滥用被盗信息的行为。 Avos Locker勒索软件攻击 2023 年 2 月 2 日，Avos Locker 勒索软件团伙宣布对 CannonDesign 进行了攻击，声称掌握了 5.7 TB 的被盗数据，包括公司和客户文件。 Avos Locker的原始声明 在勒索未果后，数据被转交给了 Dunghill Leaks，该组织于 2023 年 9 月 26 日发布了被盗的 2TB 数据，内容包括数据库转储、项目示意图、招聘文件、客户详细信息、营销材料、IT 和基础设施细节以及质量保证报告。 被盗数据随后出现在 Dunghill Leaks 网站上 Dunghill Leaks 是由 Dark Angels 勒索软件组织于 2023 年 4 月推出的数据泄露网站，用于向受害者施压，迫使他们支付赎金。 2024 年 2 月，同一数据集在暗网中的黑客论坛上发布，包括 ClubHydra，而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享的。 黑客在 clearnet 黑客论坛上免费分享的部分数据 BleepingComputer 已联系 CannonDesign，确认此次披露的数据泄露与已在网上流传一年多的同一数据集有关，但尚未得到任何回复。 CannonDesign 是一家总部位于美国的著名建筑、工程和咨询公司，是全球最具创新力的建筑公司之一，以其在学术建筑、医院和体育场馆等领域的卓越项目而闻名，参与的重要项目包括明尼苏达大学健康诊所和外科中心、马里兰大学多功能体育场等。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文