据 BleepingComputer 了解，企鹅俱乐部的粉丝入侵迪士尼 Confluence 服务器试图窃取该游戏信息，最终却获取了 2.5 GB 的公司内部数据。 企鹅俱乐部是一款于 2005 年至 2018 年间推出的多人在线游戏（MMO），玩家可以在虚拟世界中与其他玩家一起玩游戏、开展活动和聊天。该游戏最初由新地平线互动公司（New Horizon Interactive）制作，后来被迪士尼公司收购。 虽然《企鹅俱乐部》和后续版本《企鹅俱乐部岛》接连于 2017 年、2018 年正式下架，但这款游戏仍存在于粉丝和独立开发者运营的私人服务器中。尽管迪斯尼对较为知名的的 “企鹅俱乐部重写版 ”进行法律打击，导致其运营者被捕，但私人服务器中至今仍有成千上万的玩家。 企鹅俱乐部粉丝入侵迪士尼 本周，一位匿名者在 4Chan 留言板上上传了 “企鹅俱乐部内部 PDF ”的链接，并表示“他不再需要需要这些文件”。 该链接指向 415 MB 的归档文件，其中包含 137 个 PDF 文件，内有企鹅俱乐部的旧内部信息，包括电子邮件、设计原理图、文档和角色表。 所有这些数据都是七年前或者更早的，只有游戏迷才会对这些数据感兴趣。 泄露文件中的 SENSEI 角色表 BleepingComputer 后来了解到，企鹅俱乐部的数据只是从迪士尼 Confluence 服务器窃取的数据集中的一小部分，该服务器存储了迪士尼内部使用的各种业务、软件和 IT 项目的文档。 据一位匿名消息人士称，攻击者使用此前暴露的凭据来入侵迪士尼的 Confluence 服务器。这些黑客最初只是在查找企鹅俱乐部的数据，最终却下载了 2.5 GB 公司内部数据，内容涉及迪士尼的企业战略、广告计划、Disney+、内部开发工具、业务项目和内部基础设施。 泄露文件中还包括内部 api 端点和 S3 存储桶等的凭据。窃取数据包括各种计划和项目的文档，以及名为 Helios 和 Communicore 的内部开发人员工具的信息，该信息此前从未公开披露过。 CommuniCore 是一个 “高性能异步消息库，主要用于分布式应用程序”。而 Helios 是一种节目创作和回放工具，该工具允许迪士尼的制作人和作者利用迪士尼乐园中传感器的真实输入，创作互动式非线性 “体验”。 文件中还包含迪士尼开发人员使用的内部网站链接，对于试图攻击迪士尼的黑客来说这些链接可能很有价值。 虽然企鹅俱乐部的数据相当陈旧，但 Discord 上流传的其他数据尤为新颖，其中包括 2024 年的信息。 BleepingComputer 被告知，4Chan 上共享的原始企鹅俱乐部 PDF 是在几周前被盗的。然而，迪士尼公司的数据似乎早在此之前就被下载了，泄露文档中写道：“文档由 Confluence 于 2024 年 6 月 1 日 21:59 生成”。 BleepingComputer 曾多次联系迪士尼，询问有关信息泄露的问题，但至今仍未收到回复。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据安全研究人员报告，云存储公司 Snowflake 发生数据泄露事件，Ticketmaster 和其他多家机构的大量信息被盗。 在上周末提交给美国证券交易委员会的一份文件中，Ticketmaster 母公司 Live Nation Entertainment 证实，有人未经授权访问了 “第三方云数据库环境”，其中主要包含在线票务销售平台的数据。 “2024年5月27日，一名黑客通过暗网出售所谓公司用户数据。我们正在努力降低用户和公司面临的风险，目前正在与执法部门合作。”文件中写道 虽然 Live Nation Entertainment 并未指明对此次漏洞负责的第三方服务提供商，但威胁情报部门已得知该服务商为 Snowflake，即一个云人工智能数据平台，大量公司使用该平台存储、管理和分析大量数据。 5 月 31 日，Snowflake 披露，在威胁分子瞄准只有单因素身份验证的客户账户后，该公司正在调查一起影响少数客户的网络事件。 Snowflake 在其社区论坛上发表声明说：“作为此次活动的一部分，黑客利用了此前购买的或通过信息窃取恶意软件获得的凭证。” 该公司表示，没有发现任何证据表明此次恶意活动是由于其平台存在漏洞或被入侵，亦或 “ Snowflake 在职或离职人员证书被泄露 ”造成的。 然而，该声明确实透露一名前员工的个人凭证被泄露的情况，该凭证并被用于访问不包含敏感数据的演示账户。 “演示帐户没有被连接到 Snowflake 的生产或企业系统。与 Snowflake 的企业和生产系统不同的是，演示账户背后没有 Okta 或多因素身份验证 (MFA)，因此黑客才能成功访问。”该公司说。 在另一篇知识库文章中，该公司警告道 “针对公司客户账户的网络攻击数量变多”，且再次强调是此次数据泄露是凭证填充造成的，而不是漏洞、配置错误或 Snowflake 系统受损。 该公司表示：“在调查过程中，我们已及时通知公司认为可能受到影响的少数客户。” 知识库文章还为发现账户存在可疑活动的组织提供 IoC 和一些建议。 Snowflake 黑客的背后是青少年 上周，一名声称对 Snowflake 活动负责的黑客在与 Hudson Rock 的对话中表示，他们访问了 Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等组织的数据，此外还有 Ticketmaster 这一彩票公司的数据。 Santander Bank 于 5 月中旬披露，该行由第三方供应商托管的数据库遭到未经授权访问，同时声称智利、西班牙和乌拉圭客户的信息及所有在职和离职员工的数据遭到泄露。 总体而言，大约有 400 家组织可能受到 Snowflake 事件的影响，该黑客声称希望 Snowflake 支付 2000 万美元来换取这些数据。 Hudson Rock 在一篇现已删除的帖子中指出，攻击者还声称入侵了 Snowflake 员工的 ServiceNow 账户，并绕过了 Okta 保护措施，同时获得了生成会话令牌的能力，从而得以窃取大量数据。 该黑客向 Hudson Rock 提供了一个 CSV 文件，其中包含在 Snowflake 服务器上运行的 2000 多个客户实例的数据，这些数据包括 2023 年 10 月一名感染信息窃取程序的 Snowflake 员工信息。 “报告显示，在与被入侵的 Snowflake 账户相关的窃取者日志中检测出 500 多个演示环境实例，”SOCRadar 在分析中指出。 与此同时，澳大利亚网络安全中心宣布发现 “一些利用 Snowflake 环境的公司被成功入侵”，并正在跟踪与 Snowflake 客户环境有关威胁活动的增加情况。 尽管 Snowflake 可能声称自己不是数据泄露事件的受害者，但攻击者的说法和该公司声明完全相反，安全研究员 Kevin Beaumont 指出：事实是，该公司一名员工的账户没有得到妥善保护，导致该账户感染了信息窃取程序。 因此，该研究人员表示，虽然 Snowflake 试图将黑客此次攻击的责任归咎于客户，但该公司也要对这一事件负责。 研究人员说：“Snowflake 也落入了陷阱，因为他们既没有在演示环境中使用多因素身份验证，也没有禁用离职者的访问权限。” 据 Beaumont 所说，此次攻击事件背后的黑客是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年，他们依靠信息窃取者而使用客户被盗的凭据访问 Snowflake 数据库。 SOCRadar 指出，该黑客于 5 月 23 日首次出现于暗网论坛上，当时他们使用 “Whitewarlock ”的化名吹嘘 Santander Group 的漏洞，并将窃取的数据标价为200万美元。 “Whitewarlock 在网络安全界的活动和口碑尚不明确，也没有任何已知历史记录。他们的突然出现和具体要求表明，此次攻击大概是一次机会主义攻击，缺乏协调准备。”SOCRadar 指出。 建议 Snowflake 客户禁用不活跃的账户，并确保启用 MFA，同时重置活跃账户的凭据，采用云存储提供商提供的缓解建议。 Ticketmaster 此前已发生数据泄露 据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息，同时还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 相关链接： Ticketmaster 5.6 亿客户数据泄露，疑似被高价出售   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在Have I Been Pwned 数据泄露通知服务中，新增了 3.61 亿个电子邮件地址，这些地址来自密码窃取恶意软件、凭证填充攻击和数据泄露所窃取的凭证，所有用户都可以通过该服务检查自己的账户数据是否被泄露。 网络安全研究人员从大量 Telegram 网络犯罪频道收集该凭证，这些频道通常通过泄露被盗数据来建立声誉，从而吸引更多订阅者。 被窃取的数据通常以两种形式泄露，第一种是以一组用户名和密码的形式（通常通过凭证填充攻击或数据泄露窃取）泄露，第二种是以一组用户名、密码、与之相关的 URL（通过密码读取软件窃取）和原始 Cookie（通过密码读取软件窃取）的形式泄露。 Telegram 上免费共享被盗证书的截图 研究人员与 Have I Been Pwned 背后运营商 Troy Hunt 共享了从 Telegram 频道收集的共 122 GB 的凭证数据。 据 Hunt 称，该数据非常庞大，包含 3.61 亿个独特的电子邮件地址，其中 1.51 亿个地址此前从未在数据泄露通知服务机构中出现过。 Hunt 发布说：“该数据包含 1.7k 个文件，2B 行数据和 3.61 亿个电子邮件地址，其中 1.51 亿个地址从未在 HIBP 中出现过。” “除电子邮件地址外，泄露数据还包括密码和数据相关的网站信息。” 面对如此庞大的数据集，验证所有泄露的证书是否合法是不可能的。 Hunt 表示，他利用网站的密码重置表确认了许多泄露的电子邮件地址与被盗凭证中所列网站是相关联的。但由于登录账户是非法的，所以无法查看密码。 利用网站密码恢复表确认漏洞的截图 无免受影响的网站 由于数据集十分庞大，任何允许登录的网站都会受到这些泄露凭证的影响，包括 BleepingComputer。 上周，此前同一研究人员与 BleepingComputer 分享了一份与 BleepingComputer 论坛相关的信息窃取恶意软件所窃取的证书列表。 信息窃取恶意软件是一种从受感染设备中窃取密码、cookie、浏览器历史记录、加密货币钱包和其他数据的感染软件。 被窃取的数据会被汇编成一个名为 “日志 ”的档案，然后传送回黑客的服务器。这些档案在网络犯罪市场上出售，或是直接与其他黑客共享，亦或用于入侵受害者的其他账户。 这类恶意软件通常通过社交媒体、破解软件、假冒 VPN 产品传播，亦或仅通过黑客入侵的游戏公司支持网站发送的恶意电子邮件传播。 与 BleepingCompute 共享的数据包括会员登录论坛时使用的用户名、密码和 URL，这些数据会保存在他们的浏览器密码管理器中。 部分 BleepingComputer 账户被恶意软件窃取信息的截图 如上图 URL，很多用户访问 BleepingComputer 是因为怀疑自己的电脑被感染了，现在可以确认这一事件属实。 BleepingComputer 目前正在分析这些数据，同时删除了其中重复的部分，以便主动重置受影响会员的密码，并警告用户或许感染了窃取信息的恶意软件。 感染信息窃取恶意软件的用户必须重新设置浏览器密码管理器中保存的账户密码，包括其他网站中使用相同凭据的密码。 然而，被盗凭据通常不会与时间戳共享，因此无法确定泄露的具体时间。受影响的用户必须假设所有凭据都已泄露。 尽管该过程十分繁杂，但用户至少明确了他们的账户和服务在多年来出现异常行为的原因。 BleepingComputer 频繁被告知，即使用户经常更改密码，他们的账户仍然不断被黑客攻击。这些用户不断报告设备或网络出现异常行为，但却从未发现任何恶意软件感染。 用户目前已明确知晓，这些恶意活动的出现很可能是由于此前凭据被盗，黑客滥用凭据进行娱乐或恶意活动。 窃取信息的恶意软件已成为网络安全的一大祸患，黑客利用它进行勒索软件和数据盗窃攻击等大规模攻击。 一些知名攻击是通过信息窃取恶意软件窃取凭据实现的，包括对哥斯达黎加政府、微软、CircleCi 的攻击事件，以及 Orange Spain RIPE 的一个账户故意导致 BGP 配置错误的攻击事件。 近期，黑客声称利用信息窃取恶意软件窃取的受损凭证，从 Snowflake 数据库中窃取了数据。 遗憾的是，由于信息窃取攻击的复杂性较低，此类攻击可以通过各种方式广泛传播，因此没有能够简单解决信息窃取攻击的方案。 最好的防御方法是养成良好的网络安全习惯，包括不打开不可信来源的附件、只从可信来源下载软件、启用 Windows 中的文件扩展名、使用杀毒软件并保持软件更新。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 这些被盗的数据库最初在俄罗斯黑客论坛 Exploit 上出售，据称该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息。 泄露的数据还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 ShinyHunters 表示，的确有买家对这些数据感兴趣，他们认为其中一个买家可能就是 TicketMaster 公司。当被问及数据何时被窃以及如何被窃取时，该黑客表示他们 “对此什么都不能说”。 然而，据称网络安全组织 vx-underground 已与一些入侵 Ticketmaster 的黑客进行了交谈。黑客表示他们可以 “通过托管服务提供商 ”从该公司的 AWS 实例中窃取数据。  Ticketmaster 数据待售的声明截图 诉讼和以往的违规行为 上周，由 30 位总检察长组成的两党联盟和美国司法部决定起诉 Live Nation Entertainment 及其子公司 Ticketmaster，并指控其反垄断行为和垄断现场活动行业的行为违反了《谢尔曼反托拉斯法》。 据 Bloomberg 首次报道，本周已有客户对 Ticketmaster 及其母公司 Live Nation 提出集体诉讼，并指控其涉嫌数据泄露。诉讼对象包括受此次数据泄露事件影响的美国居民。 原告要求获得惩罚性赔偿、实际损失赔偿和律师费，并要求法院下达令 Ticketmaster 支付信用监控服务费用的命令，同时披露事件中暴露的客户数据。 四年前，Ticketmaster 被罚款 1000 万美元，主要原因是该公司利用一名前雇员的凭证非法访问竞争对手 CrowdSurge 的系统，同时收集商业情报，利用这些情报 “扼杀 ”竞争对手的业务。 2018 年，该公司还披露了一起数据泄露事件，攻击者从第三方供应商 Inbenta 的系统中窃取了 Ticketmaster 的登录信息、支付详情以及主要属于英国客户的个人信息（即姓名、地址、电子邮件地址和电话号码），约 5% 的客户群受到了影响。 作为 Live Nation Entertainment 的一部分，Ticketmaster 每年在 30 个国家处理超过 5 亿张门票，控制着美国票务行业近 80% 的份额。 BreachForums 的回归 2024年5月6日，据知道创宇暗网雷达监测显示， 暗网知名黑市论坛BreachForums 再次被 FBI 执法机构控制。该论坛 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 2024年5月28日，数周前被FBI查封的黑客论坛BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 相关资讯链接： 又双叒被控制！著名暗网黑市 BreachForums 再次被美国 FBI 接管 被 FBI 查封仅数周的 BreachForums 重新上线   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

“四大”会计师事务所之一的普华永道（PwC）遭遇数据泄露，18900份内部档案被公开，文件大小共222GB。 据知道创宇暗网雷达监测显示， “四大”会计师事务所之一普华永道的18900份内部档案被公开，文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 知道创宇暗网雷达截图 据了解， 普华永道（PwC）是全球四大会计师事务所之一，提供广泛的专业服务，包括审计、税务、咨询和法律服务。该事务所在全球157个国家设有办事处，雇佣了超295000名员工。 2024年3月，一名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，包括普华永道等知名企业的域名遭到劫持。 2023年8月14日，由于普华永道使用的MOVEit软件存在安全漏洞，导致波多黎各自治区人民银行的82217名储户的个人信息被泄露。 相关资讯链接： 多家知名品牌子域名被劫持发送海量诈骗邮件 普华永道踩坑 MOVEit 漏洞，泄露银行 8 万名储户的信息   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

微软已将此前追踪的朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击联系起来，该组织提出了数百万美元的勒索要求。 尽管该威胁组织的战术、技术和程序（TTPs）在很大程度上与其他朝鲜攻击者重叠，但他们也在持续采用新颖的攻击方法，使用自主开发的基础设施和工具。 此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件（例如PuTTY）、恶意游戏和npm软件包、自定义恶意软件加载器，以及虚假的软件开发公司（如StarGlow Ventures和C.C. Waterfall）对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。 微软表示：“在首次检测到Moonstone Sleet活动时，我们发现该组织与Diamond Sleet表现出很大的重叠性。该组织重复使用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术获取对组织的访问权限，例如通过社交媒体传递木马化软件。” “然而，Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后，微软观察到Moonstone Sleet和Diamond Sleet同时行动，其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。” Moonstone Sleet PuTTY 攻击流程 朝鲜黑客与勒索软件相关 在黑客入侵受害者网络的两个月后，即今年四月，我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。 然而，与之前朝鲜国家黑客协调的勒索软件攻击不同，此前受害者被朝鲜黑客要求支付10万美元的赎金，而Moonstone Sleet攻击者要求支付660万美元的比特币。 微软对此次攻击的评估结论为：Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明，他们的攻击旨在创收和收集情报。 自首次观察到该组织的行动以来，Moonstone Sleet已针对多个行业发起攻击，包括软件和信息技术、教育以及国防工业基地部门的个人和组织。 FakePenny 勒索软件的留言截图 Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前，美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。 2022年7月，微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。 微软补充道：“Moonstone Sleet 的各种战术之所以引人注目，不仅是因为它们十分有效，还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。” “此外，Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库，这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

处方药管理服务公司 Sav-Rx 警告称超过 280 万美国公民的个人数据在 2023 年的网络攻击中被盗。 A&A Services 是一家以 Sav-RX 的名义经营的药房福利管理 （PBM） 公司，主要为美国各地的雇主、工会和其他组织提供处方药管理服务。 上周五，该公司向缅因州总检察长办公室通报了 2023 年 10 月发生的一起网络安全事件，该事件暴露了 2812336 人的数据。 “2023年10月8日，我们发现计算机网络出现中断。与此同时，我们立即采取了系统保护措施，并聘请了第三方网络安全专家。IT系统在下一工作日就会恢复，处方药按时发货，不会出现延误。”公司发给受影响个人的通知中写道。 尽管此次事件对该公司业务运营的影响已被降到最低，处方药发货和药房理赔都没有出现延误，但公司仍耗费了大量时间来调查数据是否被盗。 根据发布数据泄露通知的日期，该公司的调查历时近八个月，在第三方专家的协助下于2024年4月30日完成。 调查显示，黑客首次访问客户数据是在2023年10月3日。 “调查过程中，我们发现未经授权的第三方能够访问某些非临床系统，并获取包含个人信息的文件，”Sav-Rx表示。 此次事件中暴露的数据类型包括： 全名 出生日期 社会保障号码（SSN） 电子邮件地址 住址 电话号码 医疗资格数据 保险识别号码 在其网站的常见问题访问页面中，Sav-Rx解释道，之所以在数据泄露发生八个月后才向受影响客户发送通知，是因为公司优先将对患者护理的干扰尽量降到最低，然后才着手调查事件的影响程度。 Sav-Rx还指出，其健康计划客户（受影响的组织）在2024年4月30日至5月2日期间已提前收到通知。 随后，Sav-Rx与其商业客户达成通知受影响个人的协议，在上周末发出了通知信件。 公司指出，在很多情况下，由于缺乏足够的联系信息，他们无法通知某些个人，建议拨打888-326-0815确认自己是否受到影响。 Sav-Rx在此次事件后采取的安全措施包括设立全天候24/7安全运营中心、在关键账户上实施多因素认证、网络分段、加强地理位置阻断、升级防火墙和交换机、增强Linux安全性以及BitLocker加密。 尽管目前没有证据表明该公司被盗信息被滥用或在暗网上传播，但他们在信中附上了注册两年信用监控和身份盗窃保护服务的操作说明。 由于被盗数据包含可用于身份盗窃的敏感信息，强烈建议受影响者监控其信用报告，以预防潜在的欺诈活动。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

威尔士橄榄球管理机构威尔士橄榄球联盟（WRU）泄露了含近7万名成员个人信息的数据集。 橄榄球和网络安全至少有一个共同点——防御不力会导致失败。Cybernews研究团队的最新发现表明，该组织泄露了成千上万名成员的信息，WRU应该弥补其网络安全漏洞。 根据团队的报告，WRU公开了一个亚马逊网络服务（AWS）简单存储服务（S3）桶。该暴露的实例包含1419个文本文件，涉及69,317名WRU成员的详细信息。 WRU会员资格赋予成员优先购票权、独家内容和其他会员专属权益。同时，WRU是威尔士的橄榄球管理机构。尽管威尔士是英国的一部分，但在橄榄球和足球等其他体育比赛中作为独立实体参赛。 泄露数据的样本截图 WRU成员被泄露的数据 研究人员称，泄露的实例包含数万名WRU成员的大量数据，包括： 姓名 出生日期 家庭住址 电话号码 电子邮件地址 会员购买日期 会员付款方式 购买的会员类型 对于受影响的个人来说，这些被泄露的个人信息具有严重的信息安全影响。研究团队指出，黑客可以利用这些数据进行社会工程攻击。 “通过利用这些数据，攻击者可以使用操纵策略，诱使毫无戒心的人透露更多敏感信息或者采取危及其安全的行动，”我们的研究人员表示。 此外，泄露的电子邮件地址和电话号码为鱼叉式网络钓鱼或其他针对性社会工程攻击提供了大量基础。黑客可以利用泄露的详细信息，伪造合法来源的欺诈通讯，包括电子邮件、消息或电话。 “由于这种骗局看起来很真实，受害者可能会在不经意间上当，包括下载感染的附件、点击危险链接或泄露登录信息，”研究团队表示。 另一种滥用泄露信息的手段是网络安全专家所称的“人肉搜索”（doxxing），即曝光家庭住址。黑客可能会利用泄露的详细信息进行盗窃、入室抢劫或实体入侵。 减轻泄露影响的方法 为了减轻AWS S3桶中数据被泄露的危险，研究人员建议对访问日志进行回顾性监控，并评估是否有未经授权的用户访问该桶。 管理员还应利用AWS的服务器端加密工具，如KMS或AWS S3管理的密钥，对敏感数据进行加密，并修改桶的访问设置。 WRU并非第一个泄露用户数据的体育管理机构。今年早些时候，研究人员发现澳大利亚的足球管理机构——澳大利亚足球协会（Football Australia）泄露了秘密密钥，这可能导致127个数据桶被访问，其中包括购票者的个人数据和球员的合同及文件。 体育相关组织是网络犯罪分子的理想目标。例如，法国足球管理机构——法国足球联合会（FFF）称其数据库被盗，泄露了超过一千万名职业和非职业足球运动员的详细信息。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

5月21日，LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示，没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露，我们会根据隐私法通知受影响的人和相关隐私专员，”该药房连锁店表示。 5月9日，伦敦药房的总裁兼首席运营官（COO）Clint Mahlman再次确认，受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店，但公司网站仍然无法访问，且显示错误信息：“服务器遇到内部错误，无法完成请求。” 昨天早些时候，LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站，声称对4月份的网络攻击负责，并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件，只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法，但在它与 BleepingComputer 分享的一份声明中表示，伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示，LockBit 仅提到“被盗数据”。 伦敦药房补充道，他们不会也无法支付 LockBit 要求的赎金，但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件，其中一些文件可能包含员工信息”。 “在目前的调查阶段，我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中，但由于这次网络事件造成了系统损坏，我们预计这项审查将需要一些时间，”伦敦药房表示。 “出于极度谨慎的考虑，我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露，我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务（RaaS）运营于2019年9月以ABCD的身份首次出现，后来改名为LockBit。 自从它出现以来，LockBit声称对全球许多政府和知名组织发动了攻击，包括波音、大陆汽车巨头、意大利国家税务局、美国银行和英国皇家邮政。 2024年2月美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 ，同时执法部门发布了”克罗诺斯行动”，摧毁了LockBit的基础设施，没收了34台服务器，其中包含超过2500个解密密钥，这些密钥有助于创建一个免费的LockBit 3.0黑色勒索软件解密工具。 根据扣押的数据，美国司法部和英国国家犯罪局估算道，在2022年6月至2024年2月期间，LockBit在全球范围内发动了7000次攻击，勒索金额在5亿至10亿美元之间。 LockBit域名被扣押的截图 然而，LockBit目前仍然保持活跃，并已迁移到新的服务器和暗网域名。它以报复最近被美国和英国当局摧毁的基础设施为由，持续对全球范围内的受害者发动攻击，并释放大量新旧数据。 LockBit声称他们是伦敦药房网络攻击的幕后黑手，此前，另一次国际执法行动将该勒索软件团伙的领导人公之于众，该领导人为使用“LockBitSupp”化名的31岁俄罗斯国籍人士Dmitry Yuryevich Khoroshev。 目前，美国国务院提供了一笔高达1000万美元的奖金，用于奖励提供有助于LockBit领导人被捕或定罪的信息，同时额外提供了500万美元的奖金，用于奖励任何可能导致LockBit勒索软件成员被捕的线索。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

总部位于加利福尼亚的成像传感器制造商OmniVision在去年遭遇Cactus勒索软件攻击后，发布警告称公司存在数据泄露风险。 OmniVision是中国韦尔半导体的子公司，主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。2023年该公司拥有2200名员工，年收入达到14亿美元。 周五，OmniVision向加利福尼亚州当局报告了一起安全漏洞事件，据称该公司系统于2023年9月4日至9月30日期间被勒索软件加密。 “2023年9月30日，OVT发现一起安全事件，该制造商系统被未经授权的第三方加密。针对该事件，我们在第三方网络安全专家的协助下迅速展开全面调查，同时通知了执法部门。经过深入调查确定，未经授权方在2023年9月4日至9月30日期间从公司系统中获取了一些个人信息。”通知中写道。 OmniVision表示，其内部调查于2024年4月3日结束，调查结果显示攻击者窃取了公司的个人信息。 被盗数据在通知样本中已被屏蔽，同时被泄露的人员数量仍不明确。 然而，Cactus勒索软件团伙在2023年10月17日发布了一则公告，声称对OmniVision发动了攻击，并泄露了以下数据样本： 护照扫描件 保密协议 合同 机密文件 黑客最终免费提供此次攻击中持有的所有数据，该数据以ZIP档案的形式下载。 OmniVision被列入Cactus博客的截图 截至目前，OmniVision已从Cactus勒索软件分站（在暗网上）上移除。 Cactus是约一年前出现的勒索软件团伙，其目标是利用VPN设备的漏洞获取对企业网络的访问权限，同时采用特殊的加密方式来规避检测。 该团体曾攻击过一些大型公司，比如冷藏和物流巨头Americold以及能源和自动化制造企业Schneider Electric。 作为对此次数据泄露的回应，OmniVision积极采取措施来加强环境安全，同时能够更加快速地检测到可疑活动。他们还向通知接收者提供了为期24个月的信用监控和身份盗用恢复服务。 我们建议受影响的人注册OmniVision提供的服务，同时保持警惕，拒绝未经任何邀请和可疑的通信，定期审核信用报告和账户对账单，并将异常活动报告给所属金融机构。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文