美国医疗保健公司HealthEquity 430 万人的个人信息及健康信息遭到泄露。 该公司在提交给美国缅因州总检察长办公室的监管文件中表示，泄露事件于3月25日被发现，需要进行“广泛的技术调查”。 在技术调查中，HealthEquity表示：“我们发现针对存储在我们核心系统之外的非结构化数据存储库中，一些受保护的健康信息和个人身份信息存在未经授权的访问和潜在泄露的风险。” 据该公司称，攻击者入侵了有权访问在线存储库的供应商用户帐户并获取了存储在那里的信息，随后数据遭到泄露。泄露的数据主要包括其管理的账户和福利的注册信息，以及用户的个人信息，包括姓名、地址、电话号码、员工 ID、雇主、受抚养人信息和支付卡信息等。 在发现数据泄露事件后，该公司立即采取了行动，包括禁用所有可能受到损害的供应商账户并终止所有活动会话、阻止与威胁行为者活动相关的所有 IP 地址、为受影响的供应商实施全局密码重置。 对于此次数据泄露事件，虽然该公司没有透露受影响供应商的名称，但表示将从8月9日起向大约430万人邮寄通知信。 对于在此次数据泄露事件中受到影响的个人，HealthEquity表示将为他们提供两年的免费信用身份监控、保险和恢复服务，并鼓励他们监控他们的账户是否有可疑活动。 该公司表示：“迄今为止，我们尚未发现因该事件而导致的任何信息被实际滥用或试图被滥用的情况。” HealthEquity是一家美国医疗保健公司，专注于管理健康储蓄账户（HSA）及相关的消费导向型健康福利解决方案。公司主要业务是与雇主、保险公司和个人合作，提供管理健康福利和储蓄计划的工具和资源。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

名为 Patchwork 的威胁行为涉嫌参与了针对不丹相关实体的网络攻击，该攻击旨在传播 Brute Ratel C4 框架和一个名为 PGoShell 的升级版后门。 知道创宇 404 实验室在上周发布的一份分析报告中表示，这一进展标志着首次观察到对手使用红队软件。 该活动集群也被称为 APT-C-09、Dropping Elephant、Operation Hangover、Viceroy Tiger 和 Zinc Emerson，可能是一个受国家支持的印度黑客组织。 根据中国网络安全公司奇安信共享的数据，该黑客组织以针对中国和巴基斯坦实施鱼叉式网络钓鱼和灌水攻击而闻名，据悉至少从 2009 年起就开始活跃。 去年7月，知道创宇404实验室披露了针对中国大学和研究机构的间谍活动细节。该活动利用了代号为EyeShell的基于.NET的植入程序，从攻击者控制的服务器上获取并执行命令，运行附加有效载荷，并截取屏幕截图。 今年二月，研究人员发现该黑客组织利用浪漫主题诱饵对巴基斯坦和印度的受害者实施诱骗，并通过名为VajraSpy的远程访问木马程序入侵其安卓设备。 最新观察显示，攻击链起点是一个Windows快捷方式（LNK）文件，该文件旨在从一个冒充联合国气候变化框架公约支持的适应基金的远程域下载一个诱饵PDF文档，同时隐秘地部署从不同域（“beijingtv[.]org”）获取的Brute Ratel C4和PGoShell。 知道创宇404实验室表示“PGoShell 是用 Go 编程语言开发的。总体而言，它提供了一套丰富的功能，包括远程shell功能、屏幕捕获以及下载和执行有效载荷。” 几个月前，APT-K-47 （另一个与 SideWinder、Patchwork、Confucius 和 Bitter 在战术上有重叠的黑客组织）发起了涉及使用 ORPCBackdoor 以及 WalkerShell、DemoTrySpy 和 NixBackdoor 等之前未记录的恶意软件来收集数据和执行 shellcode 的攻击。 知道创宇 404 实验室表示，这些攻击事件中部署了一个名为 Nimbo-C2 的开源命令与控制（C2）框架而引人注目，该框架 “支持多种远程控制功能”。   转自thehackernews，原文链接：https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，黑客论坛 BreachForum v1 中 212414 名成员的个人信息遭到泄露。 知道创宇暗网雷达截图 黑客论坛 Breach Forums 的发展历史 Breach Forums是一个主要由网络犯罪分子和黑客使用的在线平台和社区，该平台用于交易和出售被盗数据、黑客工具及其他非法商品和服务，并提供相关讨论区。该论坛的前身是RaidForums，但在 2022 年被 FBI 查封后，一名为 Pompompurin 的黑客为填补市场空缺推出了BreachForums（又称 Breached）。 BreachForums 迅速崛起后，其下成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood 的数据，以及通过暴露的API泄露的X数据。然而，在D.C. Health Link数据泄露后不久，联邦调查局于2023年3月逮捕了该论坛所有者Conor Fitzpatrick（又名Pompompurin）。 在此之后，该论坛创建了多个实例，但都被执法部门查封。最新的版本由ShinyHunters创建，现已移交给新的管理员，至今仍在运行。 20多万论坛成员信息遭泄露 此次泄露的 BreachForum v1 完整数据库包含截至2022年11月29日的所有记录。泄露数据包含论坛会员的用户 ID、登录名、电子邮件地址、注册 IP 地址以及访问网站时最后使用的 IP 地址。 据这名黑客表示，起初为了阻止BreachForum员工秘密出售数据，他仅泄露了用户表。但由于数据库遭到频繁访问，这一信息遭到泄露是无可避免的，相反还能让所有人查看自己的记录并解决操作安全漏洞，这名黑客最终全面发布了完整数据库。 黑客发布的帖子截图 泄露数据截图 据这名黑客称，这些数据库直接来自BreachForum v1 的创建人 Pompompurin，且于 2022 年 11 月最后一次上传到创建人 MEGA 账户中。Pompompurin 曾在2023年6月试图以4000美元的价格出售这些数据，最终这些数据被三个黑客购买。 2023 年 7 月，一个名为 “breached_db_person ”的人试图在黑客论坛上以 10 万至 15 万美元的价格出售论坛数据库。这名卖家还与 Troy Hunt 分享了待售数据，Hunt 表示，这些待售数据包括此次黑客公布的数据库信息及其他数据库记录。这些信息随后被添加到了 Have I Been Pwned 数据泄露通知服务中。 泄露数据库分析 据研究人员分析，这些数据不是 MyBB 论坛数据库格式，而是以制表符分隔值的形式导出的，因此大概率是手动导出的。 尽管该数据库很可能在论坛被查封后已落入执法部门手中，但这些数据对于安全研究人员创建黑客画像仍然有用。与此同时，利用泄露的电子邮件地址和 IP 地址，研究人员和执法部门可以将 BreachForums 成员与其他网站、他们的地理位置以及他们的真实姓名联系起来。 2023 年 5 月，包含 47.8 万名会员数据的 RaidForums 数据库也同样于暗网泄露。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer

据知道创宇暗网雷达监测显示，在某暗网数据交易平台上，一名黑客宣称泄露了一份包含 14603422 名智利公民信息的综合数据库。据查，智利2022年人口数量约为1960万，本次事件可能导致70%以上的公民数据遭到泄露。 知道创宇暗网雷达监测截图 该数据库以 500 美元的价格出售，数据库中包括 2017 年的 PDF 版本和更新的 CSV 版本。与此同时，卖家还提供了一个包含数据类型的示例格式，泄露数据类型有：RUT（智利身份证号码）、姓名、完整地址、地区等。此次泄密事件引发了人们对智利公民隐私和安全的严重担忧。 黑客于暗网发布的帖子截图 据悉，2022年，一黑客组织利用安全漏洞，公布了智利40多万封参谋长联席会议的电子邮件，其中包括被列为“保密”、“机密”和“最高机密”的文件，智利军方高官因此辞职。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

两名俄罗斯网络犯罪分子针对美国关键基础设施开展网络攻击，美国政府已对其实施制裁。 据美国财政部新闻稿，这两名被制裁者分别是 Yuliya Vladimirovna Pankratova 和 Denis Olegovich Degtyarenko，他们是与俄罗斯结盟的黑客组织 “俄罗斯重生网络军”（CARR）的主要成员。 据报道，黑客 Pankratova 在网络上被称为”YuliYA”。据称她是 CARR 组织的头目，负责管理该组织的操作人员，并充当发言人角色。 Degtyarenko 又名 “Dena”，是 CARR 的核心黑客，负责实施攻击计划并为其他人制作培训材料。 CARR 于 2022 年开始活动，并使用分布式拒绝服务 (DDoS) 攻击乌克兰和支持乌克兰的国家。 该黑客组织的行动于 2023 年底升级，他们将目标锁定在关键基础设施的工业系统上，包括美国和欧洲的水处理和能源设施。 2024 年 1 月，CARR 声称对一家美国能源公司 SCADA 系统和德克萨斯州一个储水装置的入侵事件负责，并发布了他们进入相关系统的视频证据。 虽然 CARR 在这些事件中未能造成重大损失，但其活动所带来的高风险足以促使相关机构对其采取法律行动。 财政部负责反恐事务的副部长 Brian E. Nelson 表示：“CARR 及其成员针对我们的关键基础设施实施攻击，这一行为给公民和社区造成了很大的威胁，可能导致一些危险的后果。” “美国将持续采取行动，利用各种手段追究恶意网络活动参与者的责任。” 由于美国宣布了制裁措施，因此被指认个人在美国的财产和利益基本上被封锁。 此外，美国公民被禁止与这两名黑客进行任何交易，任何发生交易的金融机构都可能面临制裁或罚款。 对没有美国引渡协议的国家公民实施制裁可以有效地孤立他们，同时对其施压，破坏他们的网络犯罪活动，并阻止其他黑客与他们合作。 美国财政部还提到了 LockBit 勒索软件行动领导人 Dmitry Khoroshev 的例子，他于 2024 年 5 月受到制裁。此外，俄罗斯国民 Aleksandr Gennadievich Ermakov 是勒索软件组织 REvil 的成员，他于 2024 年 1 月受到制裁。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CISA 警告称，GeoServer GeoTools 的一个严重远程代码执行漏洞（CVE-2024-36401）正在被攻击积极利用。 GeoServer 是一个用 Java 编写的开源软件服务器，允许用户共享和编辑地理空间数据。 6 月 30 日，GeoServer 披露了这一漏洞，其严重性评级为 9.8。该漏洞是由于不安全地将属性名称评估为 XPath 表达式所致。 GeoServer 的公告表示：“GeoServer 调用的 GeoTools 库 API 在评估特征类型的属性/属性名称时，会以不安全的方式将其传递给 commons-jxpath 库，后者在评估 XPath 表达式时可执行任意代码。这个漏洞会影响所有 GeoServer 实例，因为 XPath 评估只适用于复杂的特征类型，但却被错误地应用于简单的特征类型。” 虽然当时该漏洞并未被积极利用，但研究人员很快发布了 PoC[1, 2, 3]，演示了如何在暴露的服务器上执行远程代码、打开反向 shell、建立向外连接或在 `/tmp` 文件夹中创建文件。 x帖子截图 项目维护人员修补了 GeoServer 版本 2.23.6、2.24.4 和 2.25.2 中的漏洞，并建议所有用户升级到这些版本。 开发人员还提供了解决方法，但也警告道，这些解决方法可能会破坏 GeoServer 的某些功能。 CVE-2024-36401 被用于开展攻击 近日，CISA 将 CVE-2024-36401 添加到其已知漏洞目录中，警告称该漏洞正在被积极利用进行攻击。 鉴于此，CISA 要求联邦机构在 2024 年 8 月 5 日前为服务器打上补丁。 虽然 CISA 没有提供有关如何利用这些漏洞的任何信息，但搜索引擎 ZoomEye 报告称，约有 18760 台 GeoServer 服务器暴露在网上，其中大部分位于美国、罗马尼亚、德国和法国。 ZoomEye 搜索截图 尽管 CISA 的 KEV 目录主要针对联邦机构，但私营机构 GeoServer 也应优先修补这一漏洞，以防止被黑客攻击。 尚未打补丁的用户应立即将其升级到最新版本，并彻底检查其系统和日志是否存在可疑漏洞。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

全球最大游艇经销商MarineMax 正在给超 123000 人发送通知，称他们的个人信息在 3 月份发生的安全漏洞事件中被盗。此次事件由 Rhysida 勒索软件团伙宣称负责。 MarineMax 在全球经营 130 多个网点，包括 83 个经销商和 66 个游艇码头及仓储设施。去年，该公司实现营业收入 23.9 亿美元，毛利润 8.353 亿美元。 这家总部位于佛罗里达州的游艇经销商最初在 3 月 12 日提交给美国证券交易委员会的文件中称，被入侵的系统没有存储敏感数据。然而，两周后，该公司在一份新的 8-K 文件中表示，攻击者窃取了未公开的个人数据。 本周二，MarineMax 在向缅因州和佛蒙特州总检察长办公室提交的数据泄露通知函中透露，此次数据泄露事件影响人数为 123494 人。MarineMax 补充说，该事件发生在 3 月 10 日，即攻击者入侵其网络的十天后，并且只影响了“有限”数量的系统。 MarineMax 表示：“根据我们对该事件的调查，我们确定在 2024 年 3 月 1 日至 3 月 10 日期间，有未经授权的第三方访问了我们的系统。我们调查结果显示，这些未经授权的第三方获取了一些包含个人信息的数据。” MarineMax 还告诉缅因州和佛蒙特州总检察长，攻击者窃取了姓名和其他个人身份信息。然而，该公司尚未披露还有哪些其他个人信息被泄露，以及数据泄露是否同时影响了客户和员工。 虽然该公司没有将此次数据泄露事件归咎于某个特定的威胁组织，并仍将其描述为 “网络安全事件”，但 Rhysida 勒索软件团伙于 3 月 20 日宣称发动了此次攻击。 Rhysida 泄露网站上的 MarineMax 条目 黑客在暗网上发布了 225GB 的文件档案，声称这些文件是从 MarineMax 的网络中窃取的，并表示这些文件中的数据无法出售。 Rhysida 还公布了 MarineMax 的财务文件截图，以及客户或员工的驾照和护照照片。 该勒索团伙于 2023 年 5 月出现，并在不到一年的时间内迅速声名鹊起，先后入侵了智利军队（Ejército de Chile）和大英图书馆。 美国卫生与公众服务部（HHS）也将其分支机构与针对医疗机构的网络攻击联系在一起，而 CISA 和 FBI 则警告说，Rhysida 勒索软件团伙是许多针对各行业组织的机会主义攻击的幕后黑手。 例如，Rhysida 勒索软件团伙在索尼子公司 Insomniac Games 拒绝支付 200 万美元赎金后，于11月入侵了索尼公司，并在其泄露网站上公开了 167 TB 的文件。 近期，星河卫生系统警告说，在 2023 年 8 月的一次 Rhysida 勒索软件攻击中，近 90 万人的数据被盗。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据悉，一名黑客发布了与 Trello 账户相关的 1500 多万个电子邮件地址，这些地址是黑客于今年 1 月利用不安全的 API 收集到的。 Trello 是 Atlassian 旗下的一款在线项目管理工具，企业通常利用该工具将数据和任务组织到板块、卡片和列表中。 今年 1 月，BleepingComputer 报道称，一名黑客在一个流行黑客论坛上出售 15115516 名 Trello 会员的资料。 尽管这些档案中的数据几乎已全公开，但每个档案还包含一个与账户相关的非公开电子邮件地址。 虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但该黑客告诉 BleepingComputer，这些数据是通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询个人资料的公共信息。 这名黑客创建了一个包含 5 亿个电子邮件地址的列表，并将其输入 API 以确定它们是否与 Trello 账户关联。接着，将该列表与返回的账户信息相结合，创建了超过 1500 万用户的会员档案。 目前，黑客在 Breached 论坛上以 8 个网站信用点（价值 2.32 美元）的价格出售 15115516 个配置文件的整个列表。 他在论坛帖子中解释道：“Trello 有一个开放的 API 端点，允许任何未经验证的用户将电子邮件地址映射到一个 trello 账户。” 黑客在论坛上发布的帖子截图 泄露的数据包括电子邮件地址和公共 Trello 账户信息，其中包括用户的全名。 这些信息可用于有针对性的网络钓鱼攻击，从而窃取更为敏感的信息（如密码）。该黑客还表示，这些数据可用于 “dxxing”，黑客能够将电子邮件地址与个人及其别名联系起来。 Atlassian 证实道，这些信息是通过 Trello REST API 收集的，该 API 于今年 1 月被加密。 Atlassian 表示：”在 Trello REST API 的支持下，Trello 用户可以通过电子邮件地址邀请成员，或者通过访客访问其公共板块。但由于 2024 年 1 月的调查发现 API 的滥用，我们对 API 进行了修改，未经身份验证的用户或服务无法通过电子邮件请求其他用户的公开信息。而已通过身份验证的用户仍可使用此 API 请求其他用户配置文件中的公开信息。这一改动在防止滥用 API 和保持’通过电子邮件邀请到公开讨论区‘功能对用户有效之间取得了平衡。我们将继续监督 API 的使用情况，并采取任何必要的措施。” 不安全的 API 已成为黑客的热门攻击目标，他们通过滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。而很多人都会在社交媒体上匿名发帖，这些内容都有可能暴露个人数据，从而造成了巨大的隐私风险。 2021 年，黑客滥用 API 将电话号码与 Facebook 账户链接，创建了 5.33 亿用户的个人资料。2022 年，Twitter 也发现了类似的漏洞，黑客滥用不安全的 API，将电话号码和电子邮件地址链接到数百万用户的账户。近期，一个不安全的 Twilio API 被用来确认 3300 万 Authy 多因素身份验证应用程序用户的电话号码。 很多组织制不通过 API 密钥进行身份验证，而是使用速率限制来保护 API。然而，黑客只需购买数百个代理服务器，并轮流连接来查询 API，就能够让速率限制毫无用处。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

数据泄露通知网站 “Have I Been Pwned” 公布，监视软件 mSpy 于6月份发生数据泄露，泄露数据大小超过310 GB，其中包括240万封电子邮件。 据报道，黑客于网络上泄露了 142 GB 的用户数据，其中包括电子邮件地址、IP 地址和姓名。这些数据来自用户为安装该应用程序而提交的支持票据。除此之外，泄露内容还包括 176 GB 的附件，如金融交易的屏幕截图、信用卡照片和自拍照。 据 TechCrunch 报道，其中部分泄露数据来自美国高级军事人员、法院法官、县治安官办公室和政府部门监察机构的支持票据。而部分被泄露的电子邮件地址显然属于被 mSpy 监控的个人、与该公司联系的记者以及向该公司提出法律要求的美国执法部门。 据称，这些信息是黑客于今年 5 月从 mSpy 所有者 Brainstack 的 Zendesk 客户支持系统中窃取的，其中涵盖了过去十年的数据。 mSpy 是一款备受争议的手机和电脑监控软件，其广告宣传为一款家长控制应用程序，可用于监控和记录Android、iOS、macOS和Windows设备用户的活动。虽然该软件声称有合法的用途，但实际上它常被用作监视软件（或间谍软件），在个人不知情或未经其同意的情况下对其进行实时监控，这种行为是非法的。 泄露数据显示，mSpy 的用户遍布全球，而该监控软件公司过去至少遭遇过两次数据泄露。2015 年，一个包含 40 多万 mSpy 用户信息的数据集被泄露，2018 年，大约 200 万条 mSpy 记录被泄露。   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文