7月29日，安全企业Zimperium研究人员发布报告，他们发现一起针对全球Android设备的恶意活动，涉及113个国家的不同行业安卓用户。 研究者称自2022年2月以来，发现事件超过10.7万个恶意软件样本。 Telegram诱捕 攻击者利用数千个Telegram机器人，这些机器人感染并植入了能够窃取短信的恶意软件，目的是窃取一次性双因素认证密码OTP，成功绕过这一安全措施。短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。1、通过恶意广告：这种方式中，受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量，以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段，目的是让用户相信这些页面是可信的，从而下载恶意软件。 2、通过Telegram机器人：在这种方式中，Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前，机器人会要求用户提供他们的电话号码。然后，Telegram机器人使用这个电话号码生成一个新的APK文件，这使得对特定用户进行个性化跟踪或未来攻击成为可能。 Telegram bot将SMS窃取工具发送给受害者 来源：Zimperium Zimperium表示，该行动使用2600个Telegram机器人来推广各种Android APK，这些机器人由13个命令和控制（C2）服务器控制。 此次行动的大多数受害者位于印度和俄罗斯，巴西、墨西哥和美国也有大量的受害者。 谋取经济利益 媒体称，网络犯罪分子的动机主要是经济利益，他们很可能利用被感染的设备来实现身份验证和匿名化中继。Zimperium发现，该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。该网站允许访问者购买外国“虚拟”电话号码的访问权，他们可以使用这些号码进行匿名化，并对在线平台和服务进行身份验证。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1mkWb9ZgKudhSEfKoGpE3A 封面来源于网络，如有侵权请联系删除

美国医疗保健公司HealthEquity 430 万人的个人信息及健康信息遭到泄露。 该公司在提交给美国缅因州总检察长办公室的监管文件中表示，泄露事件于3月25日被发现，需要进行“广泛的技术调查”。 在技术调查中，HealthEquity表示：“我们发现针对存储在我们核心系统之外的非结构化数据存储库中，一些受保护的健康信息和个人身份信息存在未经授权的访问和潜在泄露的风险。” 据该公司称，攻击者入侵了有权访问在线存储库的供应商用户帐户并获取了存储在那里的信息，随后数据遭到泄露。泄露的数据主要包括其管理的账户和福利的注册信息，以及用户的个人信息，包括姓名、地址、电话号码、员工 ID、雇主、受抚养人信息和支付卡信息等。 在发现数据泄露事件后，该公司立即采取了行动，包括禁用所有可能受到损害的供应商账户并终止所有活动会话、阻止与威胁行为者活动相关的所有 IP 地址、为受影响的供应商实施全局密码重置。 对于此次数据泄露事件，虽然该公司没有透露受影响供应商的名称，但表示将从8月9日起向大约430万人邮寄通知信。 对于在此次数据泄露事件中受到影响的个人，HealthEquity表示将为他们提供两年的免费信用身份监控、保险和恢复服务，并鼓励他们监控他们的账户是否有可疑活动。 该公司表示：“迄今为止，我们尚未发现因该事件而导致的任何信息被实际滥用或试图被滥用的情况。” HealthEquity是一家美国医疗保健公司，专注于管理健康储蓄账户（HSA）及相关的消费导向型健康福利解决方案。公司主要业务是与雇主、保险公司和个人合作，提供管理健康福利和储蓄计划的工具和资源。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

攻击者可以绕过来自多个供应商的数百万个基于英特尔和 ARM CPU的计算机安全启动过程，因为它们都共享设备启动过程中使用的先前泄露的加密密钥。 美国 Megatrends International (AMI) 公司的平台密钥 (PK) 在PC安全启动过程中充当信任根，并验证设备固件和启动软件的真实性和完整性。 不幸的是，固件安全供应商 Binarly 的研究人员发现，该密钥早在 2018 年的一次数据泄露中就已被公开曝光。Binarly在本周关于该问题的帖子中表示：“该密钥很可能包含在 [AMI] 的参考实现中，预计它会被供应链中的下游实体用另一个安全生成的密钥替换。” PKFail 安全启动问题 事情似乎是这样的，一家原始设备制造商 (OEM) 将 AMI 测试密钥用于其为不同的英特尔和 ARM 设备制造商生产的固件。 Binarly 首席执行官兼创始人 Alex Matrosov 表示，结果就是全球可能有数百万台消费者和企业设备在安全启动过程中使用相同的受感染 AMI PK。受影响的供应商包括联想、惠普、华硕和 SuperMicro。 Matrosov 称：“能够访问 PK 私有部分的攻击者可以通过操纵密钥交换密钥数据库、签名数据库和禁用签名数据库轻松绕过安全启动。”他将此问题称为“PKFail”。 此问题使攻击者能够更轻松地部署统一可扩展固件接口 (UEFI) 启动套件（例如去年的 BlackLotus），这些启动套件可提供持久的内核访问和特权。 Matrosov 说：“修复方法很简单：需要更换被盗用的密钥，设备供应商需要发布固件更新。”他指出，已经有几家公司这样做了。然而，在许多情况下——例如数据中心服务器或关键应用程序中使用的系统——固件更新可能需要一些时间才能部署。 “如果设备受到影响，利用此漏洞很容易。”他指出，Binarly 为 PKFail 开发了一个概念验证漏洞 (PoC)。Matrosov 建议各组织将带有泄露的 AMI PK 的设备从关键网络断开，直到他们能够部署固件升级。 一把万能钥匙 PKfail 问题十分严重，因为它让黑客能够轻松绕过安全启动，这就像是一把万能钥匙，可以打开很多房子，荷兰 Hadrian 公司首席执行官 Rogier Fischer 在一封电子邮件中表示：“由于不同的设备使用相同的密钥，一次入侵就可能影响多个系统，使问题蔓延。” Matrosov 表示，PKFail 只是十多年来一直存在问题的最新表现，即 OEM 和设备制造商倾向于在生产固件和设备中使用非生产和测试加密密钥。例如，AMI PK 显然被视为完全不受信任的，但它最终出现在多家供应商的设备中。 Binarly 的报告指出了 2016 年发生的一起事件，编号为CVE-2016-5247，安全研究人员发现多台联想设备共享同一个 AMI 测试密钥。当时，国家漏洞数据库将该问题描述为允许“本地用户或物理上接近的攻击者利用 AMI 测试密钥绕过安全启动保护机制”。 Binarly 在报告中表示，从根本上来说，PKFail 是设备供应链中加密密钥管理实践不佳的表现。 “这是一个大问题。”Matrosov 说。“想象一下，一个公寓大楼里所有门锁的钥匙都是一样的。如果一把钥匙丢失，就会给所有人带来麻烦。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件，该恶意软件针对 Apple macOS 系统，目的是从少数受害者那里窃取用户的 Google Cloud 凭据。 这个名为“lr-utils-lib”的软件包在被删除之前总共吸引了59 次下载。它于 2024 年 6 月初上传。 Checkmarx 研究员 Yehuda Gelb 在周五的一份报告中表示：“该恶意软件使用预定义哈希列表来针对特定的 macOS 机器，并试图获取 Google Cloud 身份验证数据。获取的凭据会被发送到远程服务器。” 该软件包的一个重要方面是，它首先检查它是否已安装在 macOS 系统上，然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希值的硬编码列表进行比较。 如果受感染的机器属于预定义集合中指定的机器之一，它会尝试访问位于 ~/.config/gcloud 目录中的两个文件，即 application_default_credentials.json 和 credentials.db，其中包含 Google Cloud 身份验证数据。 捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]cloudfunctions[.]net”。 Checkmarx 表示，它还在 LinkedIn 上发现了一个名为“Lucid Zenith”的虚假个人资料，与该包裹的所有者相匹配，并谎称自己是 Apex Companies 的首席执行官，这表明此次攻击可能存在社会工程学因素。 目前尚不清楚此次攻击活动的幕后黑手究竟是谁。两个多月前，网络安全公司 Phylum披露了另一起供应链攻击的细节，该攻击涉及一个名为“requests-darwin-lite”的 Python 包，该包在检查 macOS 主机的 UUID 后也被发现会释放恶意行为。 这些活动表明攻击者事先了解他们想要渗透的 macOS 系统，并竭尽全力确保恶意软件只分发到那些特定的机器上。 它还谈到了恶意攻击者用来分发类似软件包的策略，目的是欺骗开发人员将它们合并到他们的应用程序中。 “虽然尚不清楚这次攻击是针对个人还是企业，但这类攻击可能会对企业造成重大影响。”Gelb 说。“虽然最初的攻击通常发生在个人开发人员的机器上，但对企业的影响可能是巨大的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

ClickBalance一个云数据库暴露在公网，导致7.69亿条记录泄露，其中包括API密钥和电子邮件地址等信息。 安全内参7月25日消息，根据安全研究员Jeremiah Fowler的最新发现，ERP软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，恶意威胁行为者可以轻而易举地访问这些数据。 ClickBalance是墨西哥最大的企业资源规划（ERP）技术提供商之一，提供可以从任何设备访问的ERP工具。ERP工具负责管理和自动化各部门的业务流程，涵盖财务、人力资源、供应链、制造和销售等部门。 Fowler向WebsitePlanet报告了这一问题。该报告指出，该数据库包含了潜在的敏感信息，如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。 泄露记录的截图（来源：Jeremiah Fowler） API和密钥的暴露非常令人担忧，因为网络犯罪分子可能利用这些数据未经授权地访问关键系统和敏感数据，进而引发数据盗窃、账号接管、未经授权的交易和服务中断。 电子邮件地址的暴露也带来了潜在的风险。相关风险不仅限于垃圾邮件，因为91%的网络攻击始于钓鱼邮件。犯罪分子可以创建欺骗性电子邮件以窃取个人信息、财务数据和登录凭证。网络犯罪分子获取业务相关的电子邮件地址之后，可能发动有针对性的钓鱼攻击。 目前尚不清楚数据库暴露了多长时间，也不清楚是否有其他人访问过。不过，Fowler指出，对于管理着大量客户、员工和终端用户数据的科技公司来说，数据保护是一大难题。为此，他们设计了企业资源规划（ERP）、客户关系管理（CRM）和持续诊断与缓解（CDM）系统，方便跟踪和管理这些数据。然而，数据泄露可能暴露敏感信息，带来长期的运营和战略风险。 好消息是，Fowler发送了负责任的披露通知，几小时后该数据库限制了公共访问。尽管如此，为了防范这些风险，组织应更改密码并启用双因素认证（2FA）。 同样重要的是，要警惕未经请求的电子邮件和可疑的信息请求。通过访问控制和安全存储实践保护密钥、令牌和其他管理凭证也至关重要。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/K9_67EAtndaO55v90kA5aA 封面来源于网络，如有侵权请联系删除

近日，Cybernews 研究小组发现有黑客恶意克隆了 Z-Library网站 ，并有近 1000 万用户因访问了该网页而导致数据遭遇泄露。 Z-Library 是一个著名的盗版书籍和学术论文在线平台，这1000 万人都以为自己访问的是该网站。但不知道自己访问的其实是虚假平台，骗子借此收集了他们的个人信息、密码、加密地址，以及付款信息。更糟糕的是，他们泄露了用户的所有信息，病将用户暴露给其他网络犯罪分子和当局。 迄今为止，最大的数字盗版事件发生在 2007 年，当时有黑客攻击了海盗湾，泄露了 150 万用户的电子邮件和密码。 此次泄露的数据均为真实用户填写 据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。 威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。 研究人员验证了数据的有效性，并确认注册用户收到了恶意链接垃圾邮件。 研究人员得出结论，这些数据是真实的，是用户自己填写的。许多人并不MaryIsHereToReadDirtyBooks 那么机智，他们提供了自己的真实姓名和其他敏感的个人信息。 这次泄密事件令人极为不安，因为它使数百万个加密货币钱包失去了匿名性，并将相关交易与试图访问盗版内容的个人联系起来。Cybernews 的研究人员说：这不仅损害了隐私，也损害了财务和人身安全。 以盗版者为目标的骗子 研究人员发现，数据库备份曝光的网站 “Z-lib[.]is ”是一个类似于电子图书数据库 Z-Library 的钓鱼网站。该网站不允许用户免费非法下载书籍，而是收集登录凭证并要求付款。 Z-lib 网站是在 2022 年 11 月 Z-library 原始域名被执法部门查封几天后创建的。创始人 Anton Napolsky 和 Valeriia Ermakova 在阿根廷被捕。 骗子们假装继续网站的活动，Z-lib 所有者的身份不明。假冒网站的运营者冒充 Z-Library 项目，并声称自己是唯一 “合法 ”的 Z-Library 网站。 这次泄漏事件中被入侵账户的数量之多几乎是前所未有的。这种恶意活动运行时间如此之长、如此成功、吸引如此多的受害者，实属罕见。研究人员说：目前已确认的 1000 万个账户很可能超过了 Z-Library 原始网站被关闭前的账户数量。 根据 SimilarWeb 的数据，其中一个Z-Lib 域名的月访问量为 1070 万，另一个域名的月访问量为 760 万。这些域名不应与最初的 Z-library 服务相混淆，尽管有许多法律挑战、域名查封和封锁尝试，Z-lib 仍然在线。 研究人员解释说：我们发现有一台网络服务器启用了目录列表功能。这意味着任何用户都可以看到服务器上存储的所有文件和目录列表。在其他托管文件中，还有一个数据库备份，其中存储了数百万用户的个人信息。 数据库备份生成于 2024 年 6 月 20 日。它包含用户数据和其他用于操作的信息，如收到的《数字千年版权法案》（DMCA）移除请求和访问网站资源的付款。 研究人员解释说：一个简单的错误配置暴露了数百万用户的电子邮件、用户名和密码，以及他们的比特币和门罗币加密钱包地址。 密码是使用中等复杂度的算法散列的，特别是 bcrypt 算法，成本系数为 10，相当于 1024 次迭代。因此，网络犯罪分子需要先破解密码，然后才能尝试访问其他账户。 用户注册后收到带有恶意链接的垃圾邮件 Cybernews 研究团队联系到了一位在泄密事件中被曝光的 Z-lib 用户，并验证了与其账户相关的泄密数据。 Cybernews 的研究人员还发现了其他多个附有加密钱包地址的账户，并确认这些钱包存在于比特币和莫奈罗区块链上。 研究人员表示：这个人在这个虚假页面上创建了一个账户，可以在泄露的数据库中识别出他们的信息。在他们的允许下，我们能够扫描收件箱中的电子邮件，并确认 Z-library 山寨机正在发送带有恶意链接的垃圾邮件。 用户应该怎么做？ Z-Lib 用户应该意识到，暴露的数据可能会被当局、网络安全研究人员、网络犯罪分子以及任何可能从中获益的人使用。这些数据还没有广泛传播，但采取行动保护其他账户至关重要。执法部门和版权持有者可能会利用泄露的数据对网站用户采取法律行动。 Cybernews 研究人员建议采取以下措施： 确保恶意网站上使用的任何密码不被其他账户重复使用 在电子邮件客户端或服务器中阻止任何恶意 Z-lib 电子邮件地址和域。 在电子邮件客户端中阻止任何恶意电子邮件或将其标记为垃圾邮件。 停止使用与 Z-library 账户绑定的加密钱包，并创建新的钱包。请记住，向另一个钱包转账也是可追踪的。 停止使用在您所在辖区被视为非法的服务。 如果用户受到垃圾邮件的影响，请改用有严格安全措施的电子邮件提供商。 大多数比特币和 Monero 用户并不了解这些加密货币的复杂性，也不知道如何正确匿名交易。网络犯罪分子可能会利用这一漏洞来跟踪交易，并发起网络钓鱼活动，目的是窃取加密货币，甚至敲诈你。如果遇到此类情况，请立即保护您的剩余资产，确保您的钱包受到保护。 这次泄露还可能有助于执法部门对加密货币钱包进行去匿名化处理，追踪可疑交易，并对犯罪分子采取法律行动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406949.html 封面来源于网络，如有侵权请联系删除

据彭博社报道，近日知情人士透露黑客泄露了从美国政府最大IT服务提供商之一的Leidos Holdings Inc.公司窃取的内部文件。 该知情人士表示，Leidos正在对此事进行调查，并认为这些文件是在此前披露的第三方供应商数据泄漏事件中被盗的。 Leidos成立于2013年，随后收购了洛克希德·马丁公司的信息技术业务。根据彭博政府的数据，在2022财年，Leidos是最大的联邦IT承包商，合同金额达39.8亿美元。 Leidos 为美国重要政府部门提供服务，包括美国国防部(DOD)、国土安全部(DHS)、NASA及其他美国和外国机构以及商业企业。本月初，Leidos刚从NASA获得了一份价值4.76亿美元的合同，为该航天局的国际空间站 (ISS) 计划和阿尔特弥斯计划提供货运任务工程和集成服务。同时，该公司还获得了美国空军一份价值7.38亿美元的后续合同，为空军总部、太空部队总部、华盛顿空军区以及美国首都地区的其他空军部活动和任务提供企业 IT 和电信支持，包括网络安全。 鉴于所涉信息的敏感性，Leidos此次泄密事件引发了极大担忧。 事件曝光后，Leidos的股价在盘后交易中一度下跌超过4%，随后基本收复了失地。今年以来，该公司的股价已上涨超过40%。 Leidos发言人表示：“我们已经确认，这是源于之前第三方供应商Diligent的数据泄露事件，所有必要的通知已在2023年发出。此次事件并未影响我们的网络或任何敏感客户数据。” 根据2023年6月在马萨诸塞州提交的文件显示，Leidos使用Diligent系统来托管内部调查中收集的信息。 五角大楼、国土安全部和NASA未立即回应置评请求。彭博新闻社在一个网络犯罪论坛上查看了一些据称来自Leidos的文件，但由于细节被编辑，彭博无法验证其真实性。 Diligent发言人表示，这次泄露的数据似乎源自2022年其子公司Steele Compliance Solutions遭遇的黑客事件。该子公司于2021年被收购。当时包括Leidos在内的客户不到15家。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TqDEbezx0ne4kBY5XCZy1w 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，黑客论坛 BreachForum v1 中 212414 名成员的个人信息遭到泄露。 知道创宇暗网雷达截图 黑客论坛 Breach Forums 的发展历史 Breach Forums是一个主要由网络犯罪分子和黑客使用的在线平台和社区，该平台用于交易和出售被盗数据、黑客工具及其他非法商品和服务，并提供相关讨论区。该论坛的前身是RaidForums，但在 2022 年被 FBI 查封后，一名为 Pompompurin 的黑客为填补市场空缺推出了BreachForums（又称 Breached）。 BreachForums 迅速崛起后，其下成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood 的数据，以及通过暴露的API泄露的X数据。然而，在D.C. Health Link数据泄露后不久，联邦调查局于2023年3月逮捕了该论坛所有者Conor Fitzpatrick（又名Pompompurin）。 在此之后，该论坛创建了多个实例，但都被执法部门查封。最新的版本由ShinyHunters创建，现已移交给新的管理员，至今仍在运行。 20多万论坛成员信息遭泄露 此次泄露的 BreachForum v1 完整数据库包含截至2022年11月29日的所有记录。泄露数据包含论坛会员的用户 ID、登录名、电子邮件地址、注册 IP 地址以及访问网站时最后使用的 IP 地址。 据这名黑客表示，起初为了阻止BreachForum员工秘密出售数据，他仅泄露了用户表。但由于数据库遭到频繁访问，这一信息遭到泄露是无可避免的，相反还能让所有人查看自己的记录并解决操作安全漏洞，这名黑客最终全面发布了完整数据库。 黑客发布的帖子截图 泄露数据截图 据这名黑客称，这些数据库直接来自BreachForum v1 的创建人 Pompompurin，且于 2022 年 11 月最后一次上传到创建人 MEGA 账户中。Pompompurin 曾在2023年6月试图以4000美元的价格出售这些数据，最终这些数据被三个黑客购买。 2023 年 7 月，一个名为 “breached_db_person ”的人试图在黑客论坛上以 10 万至 15 万美元的价格出售论坛数据库。这名卖家还与 Troy Hunt 分享了待售数据，Hunt 表示，这些待售数据包括此次黑客公布的数据库信息及其他数据库记录。这些信息随后被添加到了 Have I Been Pwned 数据泄露通知服务中。 泄露数据库分析 据研究人员分析，这些数据不是 MyBB 论坛数据库格式，而是以制表符分隔值的形式导出的，因此大概率是手动导出的。 尽管该数据库很可能在论坛被查封后已落入执法部门手中，但这些数据对于安全研究人员创建黑客画像仍然有用。与此同时，利用泄露的电子邮件地址和 IP 地址，研究人员和执法部门可以将 BreachForums 成员与其他网站、他们的地理位置以及他们的真实姓名联系起来。 2023 年 5 月，包含 47.8 万名会员数据的 RaidForums 数据库也同样于暗网泄露。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer