分类: 数据泄露

黑客曝光 50 万 Fortinet VPN 用户的登录凭证

一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光,据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示,虽然被利用的 Fortinet 漏洞后来已经被修补,但他们声称许多 VPN 凭证仍然有效。 这次泄漏是一个严重的事件,因为 VPN 凭证可以让威胁者进入网络进行数据渗透,安装恶意软件,并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的,他是新发起的 RAMP 黑客论坛的管理员,也是 Babuk 勒索软件行动的前操作者。 在 Babuk 团伙成员之间发生纠纷后,Orange 分裂出来创办 RAMP,现在被认为是新的 Groove 勒索软件行动的代表。昨天,该黑客在 RAMP 论坛上创建了一个帖子,其中有一个文件的链接,据称该文件包含成千上万的 Fortinet VPN 账户。同时,Groove 勒索软件的数据泄漏网站上出现了一个帖子,也在宣传 Fortinet VPN 的泄漏。 这两个帖子都指向一个文件,该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上,以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示,它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。 外媒没有测试任何泄露的凭证是否有效,但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示,这些 IP 地址是全球范围内的设备,有 2959 个设备位于美国。 目前还不清楚为什么威胁者发布了这些凭证,而不是为自己所用,但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer:“我们高度相信,VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛,为想做勒索软件的人免费提供”。   (消息及封面来源:cnBeta)

一起钓鱼网络攻击泄露了 Revere Health 12000 名患者的医疗信息

据外媒报道,根据医疗保健公司Revere Health上周五发布的新闻稿称,一名医疗保健员工沦为一个网络钓鱼邮件攻击的对象,由此泄露了约1.2万名患者的一些医疗记录–其中包括圣乔治的心脏病患者。 Revere Health营销和沟通主管Bob Freeze表示,6月21日,这名员工的电子邮件被侵入了约45分钟,并由此泄露了圣乔治迪克西心脏心脏病科患者的一些信息。该公司认为黑客的目的并不是公布病人的医疗信息,而是为了向Revere的其他员工发起更复杂的网络钓鱼邮件攻击。 Revere Health在对该漏洞进行了两个月的调查后得出了这一结论,他们发现患者的医疗信息没有被分享到网上分享,另外还认为该漏洞对受影响患者的影响为“低风险”。Freeze表示,该公司已经联系了受影响的患者并建议他们密切关注他们的任何医疗信息是否被共享。 据该新闻稿称,通过此次泄露获得的信息包括医疗记录号码、出生日期、提供者姓名、程序和保险提供者姓名。据Freeze披露称,此次数据攻击没有泄露信用卡等财务信息。 网络钓鱼邮件攻击是黑客获取敏感记录和信息的常见方式。据美国联邦贸易委员会(FTC)称,这些网络钓鱼攻击通常看起来像是来自可靠公司的合法邮件,它会要求用户打开一个附件–通常是一个网页链接,一旦用户打开附件就可能安装恶意软件窃取某人的信息。 钓鱼邮件诱使用户打开附件的常见原因有:账户有可疑活动、支付信息有问题、支付页面链接、免费商品优惠券和政府退款。钓鱼攻击也可以通过文本发送。 这些攻击相当普遍,在FBI的2020年网络犯罪报告中,有241342名该类型攻击的受害者,这些攻击造成了超过5400万美元的损失。2020年,网络钓鱼攻击比2019年增加了99.8%,2019年报告了114702起网络钓鱼攻击。2018年只有26379起网络钓鱼攻击事件。 Freeze表示,Revere Health进一步加强了技术安全协议并将向员工发送测试钓鱼邮件。如果员工点击了测试钓鱼邮件,他们将必须接受来自Revere HealthIT部门的培训。 据Freeze报道,Revere Health建议员工在阅读电子邮件之前要仔细检查邮件的所有内容,其中包括查看邮件地址。根据FTC的说法,网络钓鱼攻击的一种常见方法是将网络钓鱼的电子邮件地址显示为一个普通的名称,但一旦点击它它通常会有一个更复杂、不匹配的电子邮件地址。 FTC列举了防止成为网络钓鱼攻击受害者的常见方法,包括更新设备软件、安装安全软件、使用多因素识别及定期备份数据。此外,不要打开任何来自未被识别的电子邮件地址或电话号码的链接。 如果有人认为自己遭到了网络钓鱼攻击,他们应该登录IdentityTheft.gov网站,然后根据可能被窃取的信息按照上面列出的步骤进行操作,随后更新设备的安全软件。   (消息及封面来源:cnBeta)

Microsoft Power 的默认设置导致 3800 万份记录数据对外部暴露

据外媒报道,许多公司都在使用微软的Power App平台,由于默认安全设置较弱,所以这意味着3800万份记录的敏感数据向公众公开了好几个月。Upguard进行的调查显示,Power App用户中有相当多的人没有保护自己的数据库。 进一步的调查显示,这个问题是由薄弱的默认安全设置造成的,如果用户不采取手动操作数据就会暴露在外面。 根据Wired的一份报告,美国航空公司、福特公司、纽约市公立学校和多个州的COVID-19接触者追踪数据库等来源的数据都被暴露。Upguard最初的发现是在2021年5月,但微软的修复程序直到8月才全面推出。 UpGuard负责网络研究的副总裁Greg Pollock表示:“我们发现其中一个被错误配置为暴露数据,我们从没听说过这种情况,我们想,这是一次性问题,还是一个系统性问题?由于Power Apps门户产品的工作方式,所以很容易快速进行调查。我们发现有很多这样的东西暴露在外。这是疯狂的。” Upguard开始调查大量的Power App门户网站,这些网站本应是私有的–甚至是微软开发的应用也存在配置错误的情况。然而,尽管这些数据是向公众开放的,但据知没有任何数据被泄露。 问题的核心在于默认的安全设置。比如在设置Power App和连接API时,平台默认使相应的数据可以公开访问。 由于8月份的更新,Power Apps将默认设置安全设置以保护数据隐私。虽然Upguard努力跟公开敏感数据的平台进行沟通,但安全问题的规模太大、无法涵盖每一家企业。 “安全的默认设置非常重要,”开放加密审计项目(Open Crypto Audit Project)主任Kenn White指出:“当一个模式出现在使用特定技术构建的面向网络的系统中而该系统仍配置错误时就会出现非常严重的问题。如果来自不同行业和技术背景的开发者继续在一个平台上犯同样的错误,那么这个平台的创造者就应该受到关注。” 据悉,暴露的数据包括几个COVID-19接触者追踪平台、疫苗接种注册、工作申请门户和员工数据库。从社会安全号码到姓名和地址的所有信息都留在了开放的数据库中。 Upguard再次表示,目前还没有任何数据被泄露。 Microsoft Power应用的安全设置问题跟该领域的许多其他平台的问题相呼应。像亚马逊和Google这样的公司经常也面临默认设置不佳而导致数据泄露的问题。   (消息及封面来源:cnBeta)

黑客拍卖 7000 万用户数据库后 AT&T 否认数据泄露

在一个知名黑客声称要出售一个包含7000万用户个人信息的数据库后,AT&T表示并没有遭遇数据泄露事件。这个被称为ShinyHunters的黑客昨天开始在一个黑客论坛上拍卖这个数据库,起价20万美元,递增报价3万美元。 该黑客表示,愿意立即以100万美元的价格出售。从该黑客分享的样本来看,该数据库包含客户姓名、地址、电话号码、社会安全号码和出生日期。一位不愿透露姓名的安全研究员表示,样本中的四个人中有两个被证实在AT&T有账户。除了这几个细节之外,关于这个数据库如何获得,以及它是否是真实的,目前所知不多。 然而,ShinyHunters是一个著名的黑客,在破坏网站和开发者资源库以窃取凭证或API密钥方面有很长的历史。这种认证然后被用来窃取数据库,然后他们直接卖给其他黑客或通过中间人进行出售。在许多情况下,当一个数据库最终没有卖出去的情况下,ShinyHunters会在黑客论坛上免费发布。在过去,ShinyHunters已经入侵了许多公司,包括Wattpad、Tokopedia、微软的GitHub账户、BigBasket、Nitro PDF、Pixlr、TeeSpring、Promo.com、Mathway等等。目前媒体联系了AT&T,在多封电子邮件中,AT&T表示,这些数据不是来自自己的系统,最近也没有自己的数据库被攻破。 当被问及这些数据是否可能来自第三方合作伙伴时,AT&T选择不做猜测。ShinyHunters表示,对AT&T否认信息泄露并不感到惊讶。虽然ShinyHunters表示没有联系AT&T,但表示愿意与该公司进行谈判。   (消息及封面来源:cnBeta)

T-Mobile 承认超过 4700 万用户个人信息被窃取

虽然相关的调查仍在进行中,不过美国电信运营商 T-Mobile 确认有超过 4000 万申请过信贷的“前客户或潜在客户”以及 780 万后付费客户(目前有合同的客户)的记录被盗。而此前有黑客在暗网上出售 1 亿条用户信息,虽然目前承认的数字仅为一半,但依然是非常惊人的。 被盗文件中的数据包含重要的个人信息,包括姓名、出生日期、社会保险号码和驾驶执照/身份证号码–你可以用这些信息以他人的名义建立账户或劫持现有账户。显然,它不包括”电话号码、账户号码、个人识别码或密码”。 而且本次泄漏规模并不仅限于此,有超过 85 万名预付费的 T-Mobile 用户也是该漏洞的受害者,对他们来说,暴露的数据包括”姓名、电话号码和账户密码”。 受影响的客户已经重新设置了他们的密码,并将”立即”收到通知。还有一些不活跃的预付费账户的信息也被访问了,具体信息不详。然而,T-Mobile 表示,”在这个非活动文件中没有客户的财务信息、信用卡信息、借记卡或其他支付信息或SSN”。 T-Mobile 回应道:“客户把他们的私人信息信任给我们,我们以最大的关切来保护这些信息。最近的一次网络安全事件使一些数据受到伤害,我们对此表示歉意。我们非常重视这个问题,我们努力使我们的调查状况和我们正在做的事情具有透明度,以帮助保护你”。   (消息及封面来源:cnBeta)

加州一医疗初创公司的网站漏洞使大量 COVID-19 测试结果面临泄露风险

一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,在一位客户发现允许访问其他人的个人信息的漏洞后,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,每周在工作场所、体育场馆和学校处理”数千次”COVID-19测试。 当测试结果准备好后,客户会收到一封电子邮件,其中有一个网站链接,以获得他们的结果。 但一位客户说,他们发现了一个网站漏洞,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户说”不需要很长时间”就可以暴力破解,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已) 虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问,完全绕过了登录提示。 通过有限的测试发现,该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:”我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。”该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。” Total Testing Solution表示将遵守国家法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。   (消息及封面来源:cnBeta)

100 万张被盗信用卡在暗网曝光

据外媒softpedia报道,根据Threat Post的说法,一群网络罪犯建立了一个专门在线销售支付卡数据的网站–AllWorld.Cards。威胁行为者泄露了100万张被盗信用卡(收集于2018年至2019年期间)以帮助宣传他们的犯罪活动。 来自Cyble的网络安全研究人员在对暗网市场和网络犯罪活动进行定期检查时发现了这一漏洞。据研究人员称,该市场在2021年5月左右开始运营,可以通过TOR网络和Clearnet访问。意大利D3实验室的研究人员在一篇帖子中指出:“可以想象,这些数据是免费共享的,目的是从毫无防备的受害者那里购买额外的被盗数据以引诱其他犯罪分子频繁访问他们的网站。” 正如网络犯罪分子所说的那样,在他们的平台上暴露的信用卡信息包括从一个人的姓名到他们居住的地址、邮政编码、电话号码、信用卡号码和到期日等所有信息。信用卡及一些礼品卡在用于付款时很难追溯到交易的来源。 信用卡数据盗窃在黑市上是一项利润丰厚的业务,黑客可以通过各种方法获取信用卡信息,包括社交工程。针对网站的Magecart攻击和从网站窃取信息的木马则是最常用的技术。 根据Cybersixgill的数据,在2020年的最后六个月里,有超4500万张被泄露的信用卡可以在地下信用卡市场上销售。虽然目前尚不清楚有多少卡遭到滥用,但样本中27%的卡是活跃的并且可能被用于非法购买。 Cyble根据被发现的信用卡被盗数量编制了500强金融公司名单。根据最新数据显示,这一名单包括西班牙对外银行(24307张卡)、摩根大通银行(27441张卡)、萨顿银行(30480张卡)、桑坦德银行(拥有38010张卡)、印度国家银行(72937张卡)。   (消息及封面来源:cnBeta)

沙特阿拉伯国家石油公司 1TB 专有数据被盗并被挂到暗网出售

据外媒BleepingComputer报道,网络攻击者窃取了属于沙特阿拉伯国家石油公司(Saudi Aramco)1TB的专有数据并在暗网上出售。据悉,沙特阿拉伯石油公司是全球最大的公共石油和天然气公司之一。这家石油巨头拥有超过66000名员工,年收入近2300亿美元。 黑客500万美元的可议价对外出售来自这家石油公司的数据。 Saudi Aramco将这一数据事件归咎于第三方承包商并告诉BleepingComputer,该事件对沙特阿美的运营没有影响。 “零日漏洞”被用来攻破网络 本月,一个名为ZeroX的威胁组织向外出售1TB属于沙特阿拉伯国家石油公司的专有数据。 ZeroX声称,这些数据是在2020年某个时候通过入侵该公司的网络和服务器盗来的。 据该组织称,就其本身而言,被盗文件最近的来自2020年,其中一些则可以追溯到1993年。 当BleepingComputer问及使用了什么方法进入系统时,该组织没有明确说明漏洞而是称之为“零日漏洞”。 为了吸引潜在买家,今年6月,一小组Aramco蓝图和专有文件与修订的PII的样本首次被发布在数据泄露市场论坛上: 然而,在最初发布消息时,.onion将倒计时时间设置为662小时(约28天),在这之后出售和谈判将开始。 ZeroX告诉BleepingComputer,“662小时”的选择是有意的,是Saudi Aramco要解决的“难题”,但这一选择背后的确切原因尚不清楚: 该组织表示,1TB数据包括Saudi Aramco位于多个沙特城市的炼油厂的相关文件,包括延布、吉赞、吉达、拉斯坦努拉、利雅得和达兰。 这些数据包括: 14254名员工的全部信息:姓名、照片、护照复印件、电子邮件、电话、居留许可号、职称、身份证号、家庭信息等; 涉及/包括电力、建筑、工程、土木、施工管理、环境、机械、船舶、电信等系统的项目规范; 内部分析报告、协议、信件、价目表等; 规划IP地址、Scada点、Wi-Fi接入点、IP摄像头、IoT设备的网络布局; 位置地图和精确坐标; Aramco的客户名单及发票和合同。 ZeroX在泄露网站上发布的样本经过了个人身份信息(PII)的编辑,单是一个1GB的样本就需要花费2000美元,以Monero进行支付。 不过,黑客有向BleepingComputer分享了一些最近未编辑的文件以供确认。 整个1TB的数据价格定在500万美元,不过攻击者表示,最终成交价是可以协商的。 要求一次性独家出售的一方–即获得完整的1TB数据并要求从ZeroX的终端上完全清除–预计将支付高达5000万美元的巨额费用。 ZeroX向BleepingComputer透露,到目前为止,一直有五个买家在跟他们谈判这笔交易。 不是勒索软件或勒索事件 跟互联网上流传的一些说法即将这起事件称为“勒索软件攻击”相反,事实并非如此。威胁行动者和Saudi Aramco都向BleepingComputer确认,这不是一起勒索软件事件。 Saudi Aramco告诉BleepingComputer,数据泄露发生在第三方承包商,而不是Saudi Aramco的直接系统: “Aramco最近意识到,第三方承包商间接泄露了有限的公司数据。” Saudi Aramco发言人告诉BleepingComputer:“我们确认,数据的发布对我们的运营没有影响,公司将继续保持稳健的网络安全态势。” 威胁行动者确实有在试图联系Saudi Aramco以告知他们被侵入的消息,但没有得到回复也没有在进入他们的网络后试图勒索,这进一步让人怀疑上面显示的计时器的目的。 似乎倒数计时器仅仅是为了吸引潜在买家而设置的,为了在销售过程中引起轰动。   (消息及封面来源:cnBeta)

Guess 遭受勒索软件攻击后出现数据泄露事件

据Techtwiddle报道,在2月发生勒索软件攻击后,流行的时尚和零售商Guess让客户了解到网络攻击后发生的数据泄露事件。2021年6月3日,Guess完成了对存储在被黑系统中的文件的全面分析,并能够确定所有受影响者的地址。从6月9日开始,Guess开始向受影响的客户发送通知信,为他们提供免费的身份入侵安全解决方案,并由Experian提供一年的免费信用监控。 据悉,该公司客户的护照号码、金融账户号码、驾驶执照号码,甚至社会安全号码都被盗。据该公司称,大约有200GB的数据受到影响。考虑到Guess在美国、加拿大、欧洲、中东和亚洲经营着超过1250个公司拥有的和独立的零售点,这并不令人惊讶。 据称DarkSide是这次勒索软件攻击的幕后黑手 Guess从未披露过勒索软件攻击背后的威胁行为者的身份。DataBreaches.Net在三个月前的一篇文章中透露,网络犯罪组织DarkSide在其网站上发布了被盗信息。在过去的一年里,DarkSide对商业网络发起了一系列攻击,要求用赎金来换取解密和恢复受害者服务器中被删除的数据。 这个网络犯罪集团在5月入侵了Colonial Pipeline公司的网络,由于这次攻击的影响,他们受到了美国政府不受欢迎的关注。东海岸出现石油短缺的事实,促使美国政府立即采取更严格的措施加强网络防御。他们甚至说,他们将把勒索软件攻击的调查提升到与恐怖主义类似的优先级。 在国家施加大规模压力后,DarkSide说他们没有想到会造成这么大的损失,他们随后宣布解散他们的黑客组织。   (消息及封面来源:cnBeta)

时隔两月 又有黑客在叫卖所谓的 7 亿条 LinkedIn 用户数据

两个月前,领英(LinkedIn)曾被曝出有 5 亿用户的个人资料被黑客挂在论坛上叫卖。近日,又有一位名叫“TomLiner”的卖家在兜售宣称包含了 7 亿条记录的文件。这位“GOD User”还在 RaidForums 论坛上挂出了一份百万级的样本,以证实其确实已于 6 月 22 日持有 7 亿条记录。 而后 Privacy Shark 研究人员证实,其中确实包含了用户全名、性别、电子邮件、电话号码、以及所属行业等信息。 在与 LinkedIn 官方联系求证后,Leonna Spilman 给出了如下声明: 尽管我们仍在调查过程中,但初步分析已表明数据集合中包括了从 LinkedIn 上抓取的信息、以及从其它来源获得的信息。 这不是所谓的 LinkedIn 数据泄露,相关调查并不涉及用户的私人数据。LinkedIn 一直在努力确保会员的隐私得到有效保护,但从平台上扒取数据的行为,还是违反了网站的服务条款。 至于本次事件是否与上次泄露的性质相同,LinkedIn 方面亦在一份声明中指出: 之前的数据泄露,包含了来自多个网站与企业的数据汇总,以及公开可查的会员资料数据。 但从技术层面来看,它并不涉及违例,因为并没有发生私密信息被盗的情况。 基于此,Privacy Shark 认为本次叫卖的所谓 7 亿条记录,似乎又是此前泄露数据的累积,相关来源可能包括了公共与私人资料。有兴趣深入调查的网友,也请不要助长倒卖者的牟利行为。 至于本次事件给 LinkedIn 用户意味着什么,首先是他们的个人资料会被某些买家拿去用于发送垃圾邮件。更糟糕的情况,甚至会让他们成为身份被盗用的受害者。 其次,就算这些记录不包含信用卡等隐私信息,熟练的黑客仍可仅通过电子邮件地址来追踪敏感数据,且 LinkedIn 用户可能成为钓鱼邮件或诈骗电话的受害者。 最后,受信息泄露影响的 LinkedIn 用户需要防范暴力攻击,比如黑客可能尝试各种密码来暴力破解受害者的账户,甚至投送具有针对性的广告。 综上所述,尽管密码和电子邮件地址组合不是近期泄露的一部分,大家最好还是在使用线上服务时注意适当的防护。 除了定期更换和为不同服务设置不同的强密码,还得启用双因素身份验证来防范暴力攻击。 如不确定自己是否已经躺枪,可通过 Have I Being Pwned 等靠谱的网站,来检查你的电子邮件地址或电话号码是否已被卷入任何形式的数据泄露事件。   (消息及封面来源:cnBeta)