上周，Linux社区正在积极讨论 Looney Tunables 漏洞 ，该漏洞的漏洞在 该漏洞公开披露后不久就被发布 。 现在， Linux 中发现了一个 与 libcue 开源库中的内存损坏相关的新漏洞。它可以允许攻击者在运行GNOME桌面环境的 Linux 系统上执行任意代码。 Libcue 是一个设计用于分析CUE文件的库，集成到Tracker Miners文件元数据索引器中，默认情况下包含在最新版本的 GNOME 中。 GNOME 是各种 Linux 发行版使用的流行桌面环境，包括 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise。 攻击者可以利用这个在CVE-2023-43641 下跟踪的缺陷 ，通过使用 Tracker Miners 的自动索引器更新运行 GNOME 的设备上的搜索索引来执行恶意代码。 “由于 Tracker Miners 中的使用方式，libcue 中的此漏洞变成了一键式RCE。如果您使用 GNOME，请立即更新。” 发现该漏洞的 GitHub安全研究员 Kevin Backhouse于 10 月 9 日表示。 Backhouse 在视频中展示了他的PoC漏洞，但是该漏洞的公开发布将被推迟，以便让所有 GNOME 用户有时间更新和保护他们的系统 。 尽管该漏洞需要进行一些调整才能在每个 Linux 发行版上正常工作，但研究人员表示，他已经针对 Ubuntu 23.04 和 Fedora 38 平台调整了自己的创作。Backhouse 表示，该漏洞在这些平台上运行“非常可靠”。 虽然成功利用 CVE-2023-43641 需要诱骗潜在受害者下载并激活恶意 CUE 文件，但我们鼓励管理员尽快修补系统并减轻与此安全缺陷相关的风险。该漏洞允许在运行广泛使用的 Linux 发行版最新版本（包括 Debian、Fedora 和 Ubuntu）的设备上执行代码，这可不是开玩笑。 不管怎样，保护解决方案已经存在是件好事，并且它可供易受攻击的发行版的每个用户使用，请尽快更新环境以保护数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/290693 封面来源于网络，如有侵权请联系删除

亚马逊、Cloudflare 和谷歌周二联合发布消息称，一种依赖于 HTTP/2 快速重置技术的攻击行为对它们造成了破纪录的分布式拒绝服务 (DDoS) 攻击。 根据披露的信息，该攻击自8月下旬以来便一直存在，所利用的漏洞被跟踪为CVE-2023-44487，CVSS 分数为 7.5。在针对谷歌云的攻击中，攻击峰值达到了每秒 3.98 亿次请求(RPS)，而针对 AWS 和 Cloudflare 的攻击量分别超过了每秒 1.55 亿次和 2.01 亿次请求 (RPS)。 HTTP/2 快速重置是指 HTTP/2 协议中的0-Day缺陷，可被利用来执行 DDoS 攻击。简而言之，该攻击滥用 HTTP/2 的流取消功能，不断发送和取消请求，以压垮目标服务器。另一个关键方面在于此类攻击可以使用中等规模的僵尸网络来实施，据 Cloudflare 观察，该僵尸网络可容纳 2万台机器。 据W3Techs称，目前有35.6% 的网站使用 HTTP/2 。根据Web Almanac共享的数据，使用 HTTP/2 的请求百分比为 77% 。谷歌云表示，已经观察到快速重置攻击的多种变体，且比标准 HTTP/2 DDoS 攻击更有效。 缓解措施 Cloudflare 发现，HTTP/2 代理或负载均衡器特别容易受到快速发送的长字符串重置请求的影响，并最终使用了一个旨在处理超容量攻击的系统（称为“IP Jail”）来缓解这些攻击，公司已将该系统扩展到覆盖其整个基础设施。 亚马逊表示已缓解了数十起此类攻击，但没有提供有关其影响的任何详细信息，并强调其客户服务的可用性得到了维持。 受影响的三家公司都得出结论，客户应对 HTTP/2 快速重置攻击的最佳方法是使用所有可用的 HTTP 洪水防护工具，并通过多方面的缓解措施增强其 DDoS 抵御能力。 但由于这种策略滥用了 HTTP/2 协议，因此没有通用的修复方法可以完全阻止攻击者使用这种 DDoS 技术。相反，在软件中使用该协议的软件开发人员正在实施速率控制，以减轻 HTTP/2 快速重置攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/380270.html 封面来源于网络，如有侵权请联系删除

本周二，命令行工具curl曝出两个漏洞（CVE-2023-38545、CVE-2023-38546），其中一个是高严重性漏洞。漏洞详细信息将于10月11日星期三发布curl v8.4.0修复版本后公布。（目前最新版本是8.3.0） 受上述漏洞影响的包括curl（命令行工具）和libcurl（客户端URL传输库），两个工具用于通过各种网络协议传输数据。其中curl是一种广泛极其广泛的基础开源软件，用于通过URL传输数据。 根据curl的项目介绍，“curl广泛应用于汽车、电视机、路由器、打印机、音频设备、手机、平板电脑、医疗设备、机顶盒、电脑游戏、媒体播放器，并且是数千种软件应用程序的互联网传输引擎，安装量超过200亿，几乎每位互联网用户日常都会用到curl。” 周三即将发布的curl v8.4.0版本将修复的两个漏洞的大致信息如下： CVE-2023-38545，一个影响libcurl库和curl工具的高严重性漏洞； CVE-2023-38546，一个低严重性漏洞，仅影响libcurl。 curl的作者兼首席开发人员Daniel Stenberg表示，这两个漏洞中较严重的一个“可能是curl有史以来最严重的安全漏洞”。 由于Linux系统默认内置curl，因此curl项目方已将漏洞信息通知并共享给各种Linux发行版的开发者，以便他们提前准备补丁/更新，并在curl 8.4.0发布后快速发布。 Stenberg拒绝透露任何漏洞细节，但表示8.4.0版本中没有更改API或ABI。 “即将发布的curl版本中没有API或ABI变化。更新共享libcurl库应该足以解决所有操作系统上的这个问题（漏洞）。”Stenberg指出。 Qualys威胁研究部门的产品经理Saeed Abbasi认为，由于没有API/ABI更改，大大减少了企业安装补丁前的测试和验证工作量，有助于加快补丁修复速度，减少潜在的攻击风险。此外，对于合规性至关重要的行业和项目，无需验证和认证新的（补丁）集成有助于保持对相关法规和标准的合规性，而无需进行新的审计或检查。 但是，由于许多Docker镜像有自己的curl库副本，因此许多都必须重新构建。Docker产品经理Jonathan Roberts建议用户使用Docker Scout在整个容器存储库中查找curl依赖项。 Endor Labs的安全研究员Henrik Plate指出，攻击者需要向存在漏洞的curl/libcurl实例提交URL来利用漏洞。因此在周三的安全更新之前，开发人员应该抢先检索所有curl/libcurl用例并收集重要的上下文信息，特别是正在使用的curl/libcurl版本和特定的用例。上下文信息必须明确输入到curl中的URL是否来自（不受信任的）用户提供的输入，因为攻击者可能有机会提交URL（例如，包含特殊字符或指向攻击者控制的域名）。 因此，缓解漏洞利用风险的措施除了安装补丁，还应限制从不受信任的网络访问存在漏洞的系统。 值得注意的是，安全人员和开发人员面临一个挑战：curl命令行工具可以通过多种不同的方式安装，例如，通过各种Linux发行版使用的yum和apt包管理器，或者更糟糕的是，只需从curl网站下载二进制文件。此类下载和后续执行通常是脚本化的，即Windows批处理文件或Unix shell脚本的一部分，这使得用户很难找到全部用例。 Synopsys高级软件解决方案经理Mike McGuire则警告用户注意“更新陷阱”，因为攻击者很有可能在团队手忙脚乱之际发布隐藏恶意软件的“修复版本”。 Sonatype安全研究员Ax Sharma表示，curl曝出的高严重性漏洞远没有Log4j棘手。因为大多数情况下curl作为命令行程序使用，与操作系统软件包一同分发并作为系统级服务工具提供，这意味着正常的操作系统更新应该能自动处理这个问题。“它与Log4j非常不同，Log4j作为依赖项嵌入，更加底层且没有直接更新功能。”Sharma说道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/dxkIpvdHW2zCXPSIGfyYQA 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。 2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。 美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。 一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。 威胁攻击者正在“积极”利用漏洞 X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。 此后，X-Force 在发布的报告中表示附加到合法 “index.html “文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 “登录 “元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。 值得一提的是，攻击链从威胁攻击者向”/gwtest/formssso? event=start&target=”发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 “ns.conf “文件的内容。 然后，攻击者在 “index.html “中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。 附加到 “index.html “的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 “Log_On “按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。 X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。 分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。   转自Freebuf，原文链接：https://www.freebuf.com/news/380066.html 封面来源于网络，如有侵权请联系删除

Facebook的官方页面遭到黑客攻击，页面上出现一些奇怪的内容，包括要求释放巴基斯坦前总理伊姆兰·汗的帖子。 Facebook的官方页面显然在2023年10月6日遭到黑客攻击。 社交媒体用户看到脸书发布奇怪的消息感到震惊。 其中一条奇怪的信息是黑客要求释放巴基斯坦前总理伊姆兰·汗。 伊姆兰·汗于2023年8月初被捕。 无论是恶作剧还是页面被黑客入侵，都引发了人们对Facebook账户和页面安全的严重担忧。 黑客攻击社交媒体上的用户账户和页面并不是什么新鲜事。甚至包括政客和名人在内的知名人士也经历过页面泄露，骗子以他们的名义发布信息。 然而，2023年10月6日发生的这件罕见的事件，用户惊讶地看到Facebook官方页面上出现了奇怪的帖子。这些帖子真正奇怪的地方是，他们专注于批评印度板球控制委员会（BCCI）没有向巴基斯坦板球迷发放国际板球联合会世界杯比赛签证。 这场所谓恶作剧的亮点是一条要求释放巴基斯坦前总理伊姆兰·汗的帖子，以及另一条“释放祖克”的帖子。 晚上10点40分，Facebook官方页面上出现了这样的帖子：“不知道为什么我突然可以在Facebook发帖了。或者我完全错了，我没有以Facebook UK身份发帖？”随后又发布了另一篇文章，其中写道：“让我借此机会告诉大家，他们没有向想要亲自观看板球世界杯的人发放签证，从而彻底搞砸了这项赛事。” 以下是一位X用户分享的关于Facebook页面黑客攻击的多张截图： 据最先报道这一事件的《每日邮报》报道，在Facebook意识到这一问题并做出回应之前，已经出现了几篇帖子。该社交网络立即删除了所有帖子，并发布官方声明，通知用户该页面已被盗用。同时，该平台已对事件展开调查，并采取措施增强页面的安全性。 到晚上11点30分，Facebook的官方页面被禁用。然而，在那之前，成千上万的用户已经看到了这些帖子。  2014年2月，一名埃及黑客利用私人漏洞从马克·扎克伯格的账户中删除了他的Facebook时间线封面照片。这些事件也提醒了广大用户，没有任何平台或组织可以免受网络攻击。因此，用户必须更喜欢强密码，最好是2FA，并避免对不同的帐户使用相同的密码。   转自E安全，原文链接：https://mp.weixin.qq.com/s/yEsIAnPRtHE907WB3DKf0g 封面来源于网络，如有侵权请联系删除

近日，亚马逊网络服务公司（AWS）表示，到2024年年中起，将要求所有特权账户使用多因素身份验证（MFA），以提高默认安全性并降低账户被劫持的风险。 首席安全官Steve Schmidt表示，任何以 AWS 组织管理账户根用户登录 AWS 管理控制台的客户届时都必须使用 MFA 才能继续。 同时，他还补充到，必须启用 MFA 的客户将通过多种渠道获知即将发生的变更，包括登录控制台时的提示。他们将在2024年把这一计划扩展到更多场景，如独立账户（AWS 组织中的组织外账户）。这个新功能将使MFA大规模采用和管理变得更加便捷。 此举是继 AWS 此前努力提高 MFA 使用率之后的又一举措。该公司早在2021年秋季就开始向美国的账户所有者提供免费的安全密钥，一年后，企业可以在AWS中为每个账户根用户或每个IAM用户注册最多8个MFA设备。 Schmidt表示，他们建议每个人都采用MFA，同时他们还鼓励客户考虑选择防网络钓鱼的 MFA 形式，如安全密钥。 虽然全面启用 MFA 要求的计划安排是在2024年，但AWS方面强烈建议广大客户从现在开始，就为环境中的所有用户类型启用 MFA。 网络钓鱼攻击可能给员工带来一定的安全风险，而MFA就是降低风险的关键一步。IBM X-Force 上个月的一项研究显示，在 2022 年 6 月至 2023 年 6 月期间，云入侵的首要初始访问载体是威胁行为者使用有效凭证。 而在安全厂商调查的真实云事件中，近36%的事件都发生了这种情况，这些凭证要么是在攻击过程中被发现的，要么是在攻击账户之前被盗取的。   转自Freebuf，原文链接：https://www.freebuf.com/news/379937.html 封面来源于网络，如有侵权请联系删除

伊朗黑客组织“Cyber Avengers”，也被称为“CyberAv3ngers”，声称是困扰以色列城市的一系列电力故障的幕后黑手。局势已升级到包括市长在内的地方当局要求采取紧急行动的程度。该事件发生在该地区可能发生网络战的传言之后不久，这使得它与网络安全事件尤其相关。 “CyberAv3ngers”组织发布了一段视频，展示了他们如何入侵电网管理系统的过程。以色列当局尚未证实停电是由黑客攻击造成的。以色列电力公司IEC的发言人表示，停电是由技术故障造成的。他还补充说，该公司正在与执法机构合作调查这一事件。 网络安全专家呼吁对关键基础设施进行更彻底的审查和加固，以避免将来发生类似事件。特别注意改善对网络攻击的保护，以及培训人员及时发现和预防可能的威胁。 据雅夫讷市长称，频繁的停电造成了数百万谢克尔的物质损失。鉴于经济损失和生命威胁，必须找出这些事件的真正原因。 中东局势恶化到极点，以色列和巴勒斯坦正在进行一场全面战争，有可能升级为区域冲突。伊朗表达了对巴勒斯坦的支持，伊朗表达了对巴勒斯坦的支持，巴勒斯坦从加沙地带炮击了以色列城市。以色列以对加沙的大规模空袭作为回应，摧毁了三层楼的建筑并杀死了哈马斯高级官员。 巴以局势的重大恶化，使得这一传说中的黑客攻击电力系统的事件受到更多的关注。 亚夫内居民近两个月内多次断电。市长的这封信详细列出了仅在过去两个月记录的一长串停电事件，在此之前，过去几年曾发生过数十次停电事件，没有任何警告，也没有明确的原因。 市长指出，由于电器和设备损坏，该市居民和市政机构遭受了极其严重的经济损失。 虽然电力公司将问题归咎于基础设施问题，但“CyberAv3ngers”的说法却为正在上演的戏剧增添了另一层色彩。2023年3月，该组织对位于海法的以色列最大炼油厂的网站发动了攻击。该工厂的网站在几个小时内无法访问，但生产没有受到影响。 这一事件也提醒人们，在当今世界关注网络安全是多么重要，特别是考虑到网络战争的威胁。加强关键基础设施安全措施的必要性日益明显。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sCWu1T9VxnslkjwIwUU2Tw 封面来源于网络，如有侵权请联系删除

10月5日，美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 公布了十大目前最常见的网络安全错误配置，这些错误由红蓝团队在大型组织网络中发现。 根据发布的联合报告，团队评估了国防部 (DoD)、联邦民事行政部门 (FCEB)、州和地方政府以及私营部门的网络安全态势，并详细介绍了攻击者会使用哪些策略、技术和程序 (TTP) 来成功利用错误配置来实现各种目的，包括获取访问权限、横向移动以及瞄准敏感信息或系统。 红蓝团队以及 NSA 和 CISA Hunt 和事件响应团队发现的十大网络安全配置错误包括： 1.软件和应用程序的默认配置 2.用户/管理员权限分离不当 3.内网监控不足 4.缺乏网络分段 5.补丁管理不善 6.绕过系统访问控制 7.多重身份验证 (MFA) 方法薄弱或配置错误 8.网络共享和服务的访问控制列表 (ACL) 不足 9.凭证复杂性弱 10.不受限制的代码执行 对于上述风险，NSA 和 CISA 建议网络安全人员实施以下缓解措施： 消除默认凭证并强化配置； 停用未使用的服务并实施严格的访问控制； 确保定期更新并自动化修补过程，优先修补已被利用的已知漏洞； 减少、限制、审计和密切监控管理帐户和权限。 CISA 网络安全执行助理主任戈德斯坦（Goldstein）表示，软件厂商应采取一系列积极主动的做法，有效解决这些错误配置并减轻网络安全人员面临的挑战，其中包括从开发的初始阶段到整个软件开发生命周期，将安全控制集成到产品架构中。 此外，厂商应停止使用默认密码，并确保在某个单元受到攻击时不会危及整个系统的安全完整性。 最后，戈德斯坦还表示，必须为特权用户强制执行多重身份验证 (MFA)，并将 MFA 设置为默认功能，使其成为标准做法而不是可选选择。   转自Freebuf，原文链接：https://www.freebuf.com/news/379857.html 封面来源于网络，如有侵权请联系删除

 根据Secureworks的《2023年威胁状况报告》，在2023年3月至6月的四个月里，勒索软件泄露网站上公布的受害者人数达到了“前所未有的水平”。 按照目前的水平，2023年将是自2019年有记录以来在所谓的“点名羞辱”网站上点名受害者人数最多的一年。预计第10000名受害者的名字将于2023年夏末发布到网站中。该报告揭示了对特定漏洞的一次性大规模剥削是该时期后四个月被点名受害者人数创纪录的主要因素：  三月 – Fortra GoAnywhere，被Clop利用 五月 – Zimbra邮件服务器，被MalasLocker利用 六月 – MOVEit Transfer，被Clop利用 勒索软件名称和耻辱泄漏站点受害者列表 – 2020 年至 2023 年 一家被称为GOLD MYSTIC的LockBit运营商是12个月内最活跃的勒索软件集团，公布的受害者人数几乎是第二活跃集团ALPPV（黑猫）的三倍，该集团由一个名为GOLD BLAZER的集团运营。除了已知的团体，2023年3月至6月，新的勒索软件计划发布了大量受害者。这包括8BASE在2023年6月期间在其泄漏现场列出了近40名受害者。Secureworks反威胁部门威胁情报副总裁Don Smith指出：“虽然我们仍然认为熟悉的名字是最活跃的威胁参与者，但几个新的、非常活跃的威胁团体的出现正在使受害者和数据泄露的显著增加。尽管他们受到了高调的打击和制裁，但网络犯罪分子是适应的大师，因此威胁继续加速。”研究人员承认，仅靠泄漏网站并不能完全准确地描述勒索软件的状态，因为它们只列出了未支付赎金的受害者。 勒索软件驻留时间的戏剧性下降  2023年的报告发现，勒索软件的平均停留时间不到24小时，比前12个月的4.5天大幅下降。在10%的案例中，勒索软件是在最初访问后的五小时内部署的。史密斯认为，这一趋势是由于网络检测能力的提高，威胁行为者加快了行动速度，以减少在部署勒索软件之前被阻止的机会。因此，威胁行为者正专注于更简单、更快地实施操作，而不是更复杂的大型、多站点企业范围的加密事件。但这些攻击的风险仍然很高。停留时间下降的另一个因素是，现在部署勒索软件的许多威胁行为者的技能低于以前的运营商，方法也不那么复杂。这是由于勒索软件即服务（RaaS）模式的兴起降低了进入门槛。 勒索软件的首选初始访问向量是什么 Secureworks观察到，两种最常见的初始访问向量是扫描和利用（32%）和被盗凭据（32%）。 与前12个月的52%相比，扫描和利用漏洞（即识别被特定漏洞攻击的易受攻击系统）在勒索软件事件中所占的比例大幅下降。从被盗凭据开始的事件比例也比前12个月有所下降，当时占勒索软件入侵的39%。 从2022年7月到2023年6月，通过钓鱼电子邮件发送的商品恶意软件是第三常见的初始访问媒介，占14%。 防止勒索软件的最有效方法 研究人员指出，通过以下措施的组合，可以在早期预防或检测出已识别的前三种初始接触媒介： 及时定期修补。CISA和合作机构列出了威胁行为者扫描的主要漏洞，其中许多包含较旧的缺陷。各组织应优先考虑修补这些漏洞。 多因素身份验证（MFA）。虽然该报告承认，威胁行为者正在采用各种策略绕过MFA，但当薄弱的凭据被利用时，这些控制措施通常会阻止对手前进。 全面实施监控解决方案。研究人员表示，勒索软件事件中数据被盗和使用之间的时间间隔意味着组织在监控网络犯罪论坛中被盗数据方面具有巨大价值。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Sk1Rcg87-KB3GKAjP9xSUA 封面来源于网络，如有侵权请联系删除

日前，哥伦比亚特区选举委员会（DCBOE） 正在调查一起数据泄漏事件。一个名为 RansomedVC 的威胁行为者称通过系统漏洞入侵了选民系统并获取了大量选民信息。 DCBOE 是哥伦比亚特区政府内的一个自治机构，负责监督选举、管理选票访问和处理选民登记流程。 但据调查显示，攻击者是通过入侵华盛顿特区选举机构的托管服务提供商 DataNet 的网络服务器获取到的选民信息，而并非华盛顿特区选举委员会的服务器和内部系统。 10月5日，华盛顿特区选举委员会获悉了此次华盛顿特区选民记录的网络安全事件。该机构表示：虽然事件仍在调查中，但 DCBOE 的内部数据库和服务器并未受到损害。 在与 MS-ISAC 的计算机事件响应小组 (CIRT) 密切合作下，DCBOE 在确定其网站是漏洞源头后，立即关闭了网站，以维护页面控制局势。 DCBOE 网站维护信息 自发现该事件以来，选举委员会与数据安全专家、联邦调查局 (FBI) 和国土安全部 (DHS) 合作，对其内部系统进行了全面的安全评估。 此外，DCBOE 还对其数据库、服务器和 IT 网络进行了漏洞扫描，以确定具体存在哪些潜在安全问题。 被盗数据在暗网上出售 RansomedVC 声称，他们还表示已经成功入侵了哥伦比亚特区选举委员会，并获取了超过 60 万条美国选民信息，其中就包括哥伦比亚特区选民的记录。这些被窃取的信息目前正在威胁者的暗网泄漏网站上出售，但具体价格尚未公布。 为了证明其所盗数据的真实性，RansomedVC 提供了一条记录，其中包含其声称的华盛顿特区选民的个人信息。该数据集包括个人姓名、登记 ID、选民 ID、部分社会安全号码、驾照号码、出生日期、电话号码、电子邮件等。 RansomedVC DCBOE 数据泄露 华盛顿州选举当局在声明中指出，在哥伦比亚特区，一些选民登记数据，如选民姓名、地址、投票记录和党派归属，都是公开信息，除非根据哥伦比亚特区的法规和条例将其保密。 但是，选举当局不提供诸如选民联系信息和 SSN 等机密信息的访问权限。 RansomedVC 曾在上周四（10月5日）透露，被盗的选民记录将出售给一个买家。 RansomedVC 多次深陷争议之中 尽管 RansomedVC 威胁组织目前正在他们的泄漏网站上出售选民数据，但一位匿名人士曾在 10 月 3 日表示，DCBOE 被盗的数据库最初是由一位名为 pwncoder 的用户在 BreachForums 和 Sinister.ly 黑客论坛上出售的，但这些帖子后来被删除了。 据悉，这些数据是从一个被盗的 MSSQL 数据库中倾倒出来的，其中包含超过 60 万名华盛顿特区选民的信息。 pwncoder DCBOE 泄露 不仅如此，RansomedVC 近日还曾声称入侵了索尼系统并窃取了超过 260GB 的文件，其中有 2MB 的泄露档案作为证据。但有另一位自称 MajorNelson 的威胁行为者对此提出了质疑，并在BreachForums 上发布了 2.4GB 的文件档案，也表示是从索尼系统中窃取的。 虽然这些攻击者分享的数据的确看起来与索尼有关，但关于双方说法的真实性，目前仍无从考证。   转自Freebuf，原文链接：https://www.freebuf.com/news/379742.html 封面来源于网络，如有侵权请联系删除