HackerNews 编译，转载请注明出处： 勒索软件组织Stormous宣称窃取了亚利桑那州北部医疗提供商North Country HealthCare的60万名患者数据。 非营利机构North Country HealthCare是联邦认证的医疗中心（FQHC），在亚利桑那州北部11个社区运营14个站点，提供全年龄段基础医疗服务，包括家庭医学、儿科、产前护理、行为健康、牙科、远程医疗及物理治疗等。该机构接受多数保险计划，并为无保险患者提供基于收入的浮动折扣。 2025年7月13日，Stormous在其数据泄露网站列出North Country HealthCare，宣称窃取了60万名患者的敏感信息，包括： 完整的个人身份信息（PII）与医疗健康数据（PHI） 诊断代码（ICD）、诊所数据及医疗服务商详情 具体涵盖姓名、出生日期、性别、电话号码、诊所名称、就诊日期/地点、保险公司、ICD诊断代码及病情描述。该组织声称将出售其中10万患者的数据，并免费公开剩余50万条记录。 HIPAA Journal报道称：“Stormous宣称已获得患者数据，并于7月15日公开了文件。” Stormous是亲俄勒索团伙，自2022年初活跃，采用双重勒索模式（窃取数据+加密文件）。该组织至少攻击过150家机构，重点针对医疗、酒店、科技、商业服务及政府领域，受害者主要分布在西班牙、美国、阿联酋、法国和巴西。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商Co-op已确认，在4月的大规模网络攻击中，其650万会员的个人数据被盗。此次攻击导致系统关闭，并造成其杂货店出现食品短缺。 Co-op（Co-operative Group的简称）是英国最大的消费者合作社之一，经营食品商店、殡葬服务、保险和法律服务。它由数百万会员共同拥有，会员可享受服务折扣并参与公司治理。 Co-op首席执行官Shirine Khoury-Haq今日在BBC《早餐》节目中致歉，证实攻击者成功窃取了其全部650万会员的数据。 “他们的数据被复制了，犯罪分子确实能够访问这些数据，就像他们入侵其他组织时一样。这无疑是事件中最恶劣的部分。”Khoury-Haq表示。 尽管攻击中未泄露财务或交易信息，但会员的联系信息已被盗取。首席执行官称，此次泄露对她个人而言更像是一场针对Co-op会员和受影响员工的攻击。“这与我个人无关，而是关乎我的同事们。之所以对我而言是个人打击，是因为它伤害了他们——伤害了我的会员。他们窃取了会员数据，也伤害了我们的顾客，这点我确实感同身受。”她在采访中解释道。 此次网络攻击发生于4月，迫使Co-op关闭了多个IT系统，以防止威胁行为者进一步扩散到其他设备并最终部署DragonForce勒索软件加密器。该公司最初将此事件轻描淡写为对其网络的未遂入侵，但后来承认攻击期间“大量”数据被访问和窃取。 消息人士当时向BleepingComputer透露，入侵最初发生在4月22日，攻击者通过社会工程攻击重置了某员工的密码。获得网络访问权限后，他们扩散到其他设备，最终窃取了Windows域的Windows NTDS.dit文件。该文件是Windows Active Directory服务的数据库，包含Windows账户的密码哈希值。攻击者通常通过窃取此文件脱机破解密码，以便进一步渗透网络。 BleepingComputer获悉，此次攻击与Scattered Spider相关威胁行为者有关联，该组织亦被指涉及玛莎百货（M&S）网络攻击事件（该事件中部署了DragonForce勒索软件）。BBC报道称，他们曾与DragonForce勒索软件运营者就Co-op事件对话，对方确认其一名附属成员策划了此次攻击。他们还向BBC分享了数据样本，声称攻击中窃取了Co-op的企业和客户数据。 上周，英国国家犯罪调查局（NCA）逮捕了四名涉嫌参与针对Co-op、玛莎百货的攻击及未遂哈罗德百货（Harrods）攻击的人员。被捕者为两名19岁男性、一名17岁男性和一名20岁女性，他们已在伦敦和西米德兰兹郡被拘留。据报道，其中一名嫌疑人被指与2023年美高梅度假村（MGM Resorts）遭袭事件有关，该事件导致逾100台VMware ESXi虚拟机被加密。美高梅攻击事件同样归因于Scattered Spider，当时该组织正与BlackCat勒索软件团伙合作。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fitify公开可访问的谷歌云存储桶暴露了数十万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。在Cybernews联系该公司后，未受保护的实例被关闭。 5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。 该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。 然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。 “值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”研究团队表示。 Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。 Fitify数据泄露的范围有多大？ 现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。 身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。 “此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”研究团队解释道。 在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。 Cybernews研究人员下载了15.6万个iOS应用（约占苹果应用商店所有应用的8%），发现开发者经常在应用代码中留下任何人都可访问的明文凭证。 调查结果显示，71%的被分析应用至少泄露一个机密凭证，平均每个应用代码暴露5.2个机密凭证。事实证明，Fitify也不例外。 “在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。”该团队解释道。 “这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。” Fitify应用暴露了哪些硬编码机密凭证？ 开发者硬编码机密凭证有多种原因。虽然有时是应用正常运行所必需的，但某些凭证和密钥不应保持可访问状态，因为它们会让攻击者深入应用内部，并可能访问私人用户数据。 研究团队注意到开发环境和生产环境之间存在不同类型的机密凭证。Fitify的开发环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) 攻击者可以利用ID和密钥访问谷歌和Firebase基础设施组件，收集信息，然后深入挖掘应用，可能获取敏感用户数据。 例如，暴露谷歌客户端ID和安卓客户端ID可能使恶意行为者能够冒充合法的应用实例，从而可能获得用户账户的访问权限。同时，存储桶可能使攻击者能够注入恶意文件或修改现有内容。 与此同时，Fitify的生产环境暴露了以下硬编码凭证： 安卓客户端ID (Android Client ID) 谷歌客户端ID (Google Client ID) 谷歌API密钥 (Google API Key) Firebase URL 谷歌应用ID (Google App ID) 项目ID (Project ID) 存储桶 (Storage Bucket) Facebook应用ID (Facebook App ID) Facebook客户端令牌 (Facebook Client Token) Firebase动态自定义域名 (Firebase Dynamic Custom Domains) Algolia API密钥 (Algolia API Key) 结合先前泄露的信息，硬编码的凭证可能使攻击者能够通过Fitify访问用户的社交媒体数据。与谷歌凭证结合使用，这为影响健身数据和社交媒体档案的多种攻击场景创造了多个攻击途径。 该团队声称，虽然Fitify在解释他们使用的第三方供应商及其用途方面比大多数应用做得更好，但其隐私政策并未提及使用Algolia。 “Algolia仅以软件即服务（SaaS）模式提供，没有自托管选项，这意味着数据库中的数据由Algolia或其第三方供应商托管。”研究人员表示。 如何修复易泄露的应用？ 我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码的凭证。为了解决云存储桶相关问题，团队建议： 配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。 同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施： 泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州债务清偿公司Next Level Finance Partners（以Century Support Services名义运营）披露了一起影响大量用户的数据泄露事件。 该公司已开始向受影响个人发送数据安全事件通知，告知其系统在2024年11月遭到黑客入侵。事件响应调查于5月下旬确认，黑客可能访问或窃取了存储个人信息的文件。 泄露信息包括：姓名、社会安全号码、出生日期、驾照号码、州身份证号码、护照号码、医疗及健康保险信息，以及金融账户信息与数字签名。 Century Support Services本周向缅因州总检察长办公室报告称，此次数据泄露影响逾16万人。根据公司官网信息，其累计服务客户近30万。 受影响个人将获赠12个月的免费身份盗用保护及信用监控服务。截至目前，尚无任何已知勒索组织宣称对本次攻击负责。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国知名百货连锁店 Belk 据称已成为 DragonForce 黑客组织的攻击目标。该组织此前曾对英国零售商玛莎百货发动网络攻击，给该公司造成数亿美元损失。 Belk 被发布在了 DarkForce 的暗网博客上 —— 该博客是其用于展示最新受害者的平台。攻击者声称，他们获取了超过 156 千兆字节的公司数据，范围从备份资料到员工档案不等。 与此同时，Cybernews 研究团队对 DragonForce 的说法展开了调查。研究人员表示，此次数据泄露似乎属实，且包含大量敏感信息。该团队称，若得到证实，这次黑客攻击可能会 “产生重大影响”。 泄露的数据似乎包括所有可用的商店优惠券、员工及注册客户数据（如姓名、出生日期、地址、电话号码、电子邮件地址），以及客户订单（包括所购商品）。此外，部分信息似乎来自 Belk 的移动应用基础设施。 研究人员称：由于受影响人数众多且泄露数据范围广泛，这次泄露的规模相当大。订单详情和所购商品等数据可能会被恶意分子或灰色市场组织（如数据经纪人或医疗保险企业）利用，用于分析个人行为和风险因素。 该团队表示，很难确定此次攻击中暴露的具体人数，但参考过往类似事件，泄露数据中可能涉及百万用户。不过研究人员指出，部分暴露的用户可能是测试账户。 DragonForce 分享了一张截图，其中包含超过 20 个据称被这些网络罪犯访问过的目录。攻击者可能访问的数据范围广泛，从商店数据到 Belk 的在线用户信息都有涉及。 Belk 成立于 1888 年，是美国最古老的百货连锁店之一。该公司在美国 16 个州运营着近 300 家门店，据《福布斯》报道，其去年的收入为 40 亿美元。 Belk 之前是否遭过黑客攻击？ 6 月初，Belk 向新罕布什尔州总检察长办公室提交了一份数据泄露通知，称公司 “遭遇了网络事件，未经授权的第三方访问了某些公司系统和数据”。 截至发稿时，尚不清楚这两起事件是否相关。 与此同时，DragonForce 在其暗网博客上发表了一些大胆言论，称其本意并非 “摧毁你的业务”。但在该公司拒绝支付赎金后，该团伙采取了破坏性行动。 DragonForce 正迅速成为目前最臭名昭著的勒索软件集团之一。该团伙最近因对英国大型零售商玛莎百货发动破坏性攻击而登上新闻头条。 那次攻击导致玛莎百货的在线服装业务下线，部分食品货架空置，并使其股市市值蒸发超过 10 亿英镑。暂停在线购物的决定严重影响了该部门的在线销售额和交易利润。 总体而言，预计这次攻击将使该公司损失约 3 亿英镑（4.03 亿美元）的运营利润。 该团伙于 2023 年首次被发现，此后也一直在给其竞争对手制造麻烦。该集团声称攻击了 BlackLock 和 Mamona（两个相关的勒索软件组织）的数据泄露网站。 DragonForce 还表示，他们入侵了 RansomHub—— 另一个知名的勒索软件集团，也是去年最活跃的团伙之一。DragonForce 以加入其阵营为诱饵吸引竞争对手，并声称已接管了 RansomHub 的基础设施。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据，过去 12 个月里，DragonForce 已攻击了 104 家机构。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 奢侈品巨头LVMH的英国分部成为最新遭遇严重安全事件的英国零售商，该公司已开始通知客户其个人数据可能泄露。根据社交平台X（原推特）上分享的客户通知截图，路易威登英国表示于7月2日发现此次泄露事件。 公司声明，可能泄露的个人身份信息（PII）包括：姓名、性别、国籍、电话号码、电子邮箱与邮政地址、出生日期、购买记录及偏好数据。通知强调：“鉴于涉及数据的敏感性，我们强烈建议您对任何未经请求的可疑通信保持警惕，包括电子邮件、电话或短信。尽管目前尚无证据表明您的数据被滥用，但仍可能发生钓鱼攻击、欺诈或信息盗用。” 公司已向英国信息专员办公室（ICO）报告此事。此次事件发生仅一周前，路易威登刚披露其韩国业务遭黑客攻击导致部分个人信息泄露。今年LVMH集团旗下另两大品牌——克里斯汀·迪奥高级时装（Christian Dior Couture）与蒂芙尼（Tiffany）也发生过客户数据泄露事件，并自五月起接受政府调查。 路易威登是近期遭受网络攻击的英国零售商名单中的最新成员。此前黑客组织“Scattered Spider”被指应对玛莎百货（M&S）、英国合作社集团（Co-op）的攻击负责，哈罗德百货（Harrods）和阿迪达斯（Adidas）同样成为攻击目标。上周，四名涉嫌攻击玛莎百货、合作社集团和哈罗德百货的嫌疑人被逮捕：西米德兰兹郡逮捕一名17岁英国男性和一名19岁拉脱维亚人；斯塔福德郡抓获一名20岁英国女性；伦敦羁押一名19岁英国男性。 黑鸭公司（Black Duck）基础设施安全总监托马斯·理查兹分析称，尽管路易威登事件未涉及财务数据，但风险依然显著：“攻击者可能冒充客户向客服套取更多信息，或发送伪装成路易威登的恶意邮件骗取登录/财务信息。客户需警惕要求立即行动否则面临负面后果的突然通知。LVMH多地机构接连遭类似手段入侵，暗示其可能存在系统性漏洞——泄露可能未被完全控制，或各业务单元使用了存在漏洞的同类技术系统。”他补充建议LVMH应进行全集团安全评估，查明根本原因并实施整改措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现麦当劳AI招聘平台McHire存在漏洞，导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔（Ian Carroll）与萨姆·柯里（Sam Curry）发现，其利用平台测试账户的弱凭证（用户名密码均为“123456”）进入系统。 McHire平台由Paradox.ai开发，约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间，并完成性格测试。 研究人员登录后通过测试餐厅提交申请，观察到HTTP请求发送至/api/lead/cem-xhr接口，其中lead_id参数值为64185742。通过增减该参数值，他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用（IDOR）——当应用程序未验证用户权限即暴露内部对象标识符（如记录编号）时，攻击者可任意访问数据。 卡罗尔在漏洞报告中指出：“初步安全审查仅数小时就发现两处严重缺陷：餐厅业主管理界面接受默认凭证123456:123456，且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。” 该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告，随即禁用默认管理凭证。麦当劳向媒体声明：“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复，问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞，并承诺全面审查系统防止类似问题重现。该公司补充说明，即使申请人未提交个人信息，仅点击聊天按钮的交互行为也会被记录。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 芝加哥古典音乐电台WFMT遭Play勒索软件团伙攻击，黑客声称窃取大量敏感信息并已在暗网公布部分数据样本。据泄露内容显示，5.5GB数据包含薪资记录、医疗保险详情、公司预算、政府资助文件及各类合同报告，可能被用于身份盗用或欺诈性医疗索赔。 攻击手法 Play勒索团伙将WFMT列入暗网受害者名单，采用“数据窃取+加密”的双重勒索模式，通过公布部分数据施压支付赎金。该团伙近期还利用远程工具SimpleHelp的漏洞（CVE-2024-57727）实施攻击，并通过电话恐吓受害者。 泄露数据风险 医疗信息：黑客重点窃取医疗保险细节，此类数据在黑市可被用于处方药欺诈索赔 财务文件：薪资单与政府资助文件可能引发针对性钓鱼攻击 企业机密：预算与合同曝光恐影响商业竞争力 攻击方背景 Play勒索团伙2024年位列全球最活跃网络犯罪组织前三，累计攻击超900家机构。其首创的间歇性加密技术（仅加密系统固定区段）可加速数据窃取，已被ALPHV/BlackCat等组织效仿。 WFMT电台背景 成立于1948年，是美国历史最悠久的古典音乐电台之一，首个通过卫星向全球广播的“超级电台”，也是欧洲广播联盟（EBU）唯一独立电台成员。 事件进展 网络安全研究团队已验证泄露数据真实性，WFMT暂未公开回应。Play团伙近期攻击目标已扩展至Windows与ESXi系统，安全机构建议企业及时修补SimpleHelp漏洞并强化终端防护。 历史关联 该团伙2023年曾攻击美国爱荷华州警局及罗德岛监狱系统，凸显其对公共机构的持续威胁。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本新日铁集团旗下IT服务商NS解决方案公司确认其系统遭黑客入侵，员工、合作伙伴及客户数据可能已泄露。该公司在7月8日发布的日文声明中指出，今年3月7日发现内部网络存在未授权访问行为。 该公司将事件定性为“零日攻击”，由“部分网络设备未知软件漏洞遭利用引发”，可能导致“客户、合作伙伴及员工的个人信息和其他敏感数据泄露”。 泄露信息类别： 客户：姓名、公司名称、部门、职务、公司地址、工作邮箱及电话 合作伙伴（含前合作伙伴）：姓名及工作邮箱（含公司域名邮箱） 员工（含前员工）：姓名、部门、职务及工作邮箱 公司声明表示，截至目前尚无证据表明泄露信息在社交媒体或暗网传播，也未发现数据被二次滥用迹象。但发言人提醒需警惕可疑来电及邮件。 内部系统恢复进展： NS解决方案公司证实，发现入侵后立即阻断了涉事系统的所有外部连接。“我们采取隔离重建受影响系统、强化出口管控及行为监测等多项措施降低残余风险，内部网络现已恢复至安全状态。” 该公司已就事件向警方及日本个人信息保护委员会报备，正协同业务伙伴实施必要安防措施，并将依据日本《个人信息保护法》通知受影响人员。 值得关注的是，新日铁集团今年6月以145亿美元完成对美国钢铁公司的收购。该交易在2024年美国总统大选期间曾遭特朗普及其民主党对手反对，担忧这家美国骨干钢企被外资收购的影响。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比特币ATM上市公司Bitcoin Depot近日向数千名用户发出通知，其敏感数据（含驾照号码）可能已遭窃取。该泄露事件发生于一年前，但受害者直至近期才收到通知函。 自2025年7月8日起，26,732名消费者将陆续收到Bitcoin Depot关于此次数据泄露的函件。根据向缅因州总检察长办公室提交的文件，入侵事件实际发生于2024年6月23日。公司解释称，联邦执法部门要求其等待调查完成后再向受影响用户发送通知。近一年后的2025年6月13日，当局最终批准通知程序。 在致受影响用户的声明中，Bitcoin Depot表示：“公司监测到信息系统异常活动后立即启动调查，并聘请第三方事件响应专家协助评估未授权行为的范围”。入侵者获取了部分客户文件中的个人信息，包括姓名、电话号码、驾照号码，部分案例还涉及物理地址、出生日期及电子邮箱。 Bitcoin Depot对事件表示歉意，并强调高度重视数据安全，已采取“强化安全措施与监控、提升全员数据保护意识”等手段防止事件重演。公司同时建议用户监控金融账户流水与信用报告，警惕可疑交易。 Bitcoin Depot作为市值约3.8亿美元的上市公司，运营着数千台比特币ATM及实体兑换站点。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文