分类: 数据泄露

乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据

安全内参11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。 外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。 中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。 泄露数据时间跨度大,涉及未来战略规划 这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。 数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。” 到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。 部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。 由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。 乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。 俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击 自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。 据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。 IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。” 为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。” 俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。 Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。 据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。 随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。 这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。” 转自 安全内参,原文链接:https://www.secrss.com/articles/48803 封面来源于网络,如有侵权请联系删除

970 万用户数据泄露,Medibank 拒绝支付赎金

Hackernews 编译,转载请注明出处: 澳大利亚医疗保险公司Medibank证实,在勒索软件事件发生后,约970万客户的个人数据被盗。 据公司称,该攻击于10月12日在其IT网络中被发现,并称其“与勒索软件事件的前兆一致”,促使该公司隔离其系统,但不是在攻击者泄露数据之前。 “这个数字代表了大约510万Medibank客户,280万ahm客户和180万国际客户。”Medibank指出。 泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址,以及ahm客户的医疗保险号码(但不是有效期),以及国际学生客户的护照号码(但不是有效期)和签证详细信息。 该公司进一步表示,该事件导致约16万名Medibank客户,约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。 这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。 然而,Medibank表示,财务信息和身份证件(如驾照)并没有作为安全漏洞的一部分被窃取,自2022年10月12日以来也没有发现异常活动。 “鉴于这起犯罪的性质,不幸的是,我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。 在一份独立的投资者声明中,该公司还表示不会向黑客支付任何赎金,并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

LockBit 3.0 团伙声称从 Kearney&Company 窃取了数据

Hackernews 编译,转载请注明出处: 勒索软件集团LockBit声称窃取了咨询和IT服务提供商Kearney&Company的数据。 Kearney是首屈一指的注册会计师事务所,为政府实体提供财务管理服务。该公司为美国政府提供审计、咨询和IT服务。它帮助联邦政府提高了其金融业务的整体效率。 11月5日,Kearney公司被列入Lockbit 3.0集团的受害者名单中,该团伙威胁称,如果公司不支付赎金,将在2022年11月26日前公布被盗数据。目前,勒索软件团伙已经公布了被盗数据的样本,其中包括财务文件、合同、审计报告、账单文件等。 勒索软件团伙要求支付200万美元以销毁被盗数据,并要求支付1万美元以将计时器延长 24 小时。 本周,LockBit勒索软件集团声称已经入侵了其他主要组织,包括跨国汽车大陆集团和国防巨头Thales。 6月,LockBit勒索软件运营商发布了LockBit3.0,其中包含重要的创新,包括漏洞赏金计划和Zcash支付。 该团伙至少自2019年以来一直活跃,如今它是最活跃的勒索软件团伙之一。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

LockBit 3.0 团伙声称从 Thales 窃取了数据

Hackernews 编译,转载请注明出处: 勒索软件集团LockBit 3.0声称窃取了法国国防和科技集团Thales的数据。 Thales是全球高科技领导者,在全球拥有81000多名员工。集团投资于数字和深度技术创新——大数据、人工智能、互联互通、网络安全和量子——通过将人置于决策的核心,构建对社会发展至关重要的信任未来。 10月31日,Thales被列入Lockbit 3.0集团的受害者名单中,该团伙威胁称,如果公司不支付赎金,将在2022年11月7日前公布被盗数据。目前,勒索软件团伙尚未公布任何涉嫌被盗数据的样本。 Thales告诉路透社,它尚未收到任何直接的赎金通知。 该公司补充称,已对涉嫌的安全漏洞展开调查,并通知了法国ANSSI国家网络安全局。 该公司发言人表示,公司尚未向警方提出投诉。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

汤森路透 3 个数据库处于公开访问状态,至少包含 3TB 敏感数据

据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。 Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。 汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。 ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。 据了解,该数据库开放了好几天,恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题,并表示它只影响“汤森路透全球一小部分客户”。 汤森路透服务器内ElasticSearch索引的命名表明,这个开放的数据库被用作日志服务器,以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码,但可以看到帐户持有人的电子邮件地址,以及发送密码更改查询的确切时间。 另一个敏感信息包括SQL(结构化查询语言)日志,它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。 汤森路透声称,三个配置错误的数据库中,有两个被设置为可公开访问。第三台服务器是一个非生产性服务器,用于存储“生产前/实施环境的应用日志”。 ElasticSearch是一种非常常见和广泛使用的数据存储,容易出现配置错误,这使得任何人都可以访问它。这种情况下,敏感数据是开放的,并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示,这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。 转自 Freebuf,原文链接:https://www.freebuf.com/news/348202.html 封面来源于网络,如有侵权请联系删除

台湾全岛个人信息被放在网上兜售,经调查至少 20 万条真实

据台媒报道,台湾地区户政系统传出遭黑客入侵,有网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料,并宣称手上有全台2300万民众资料。台湾“调查局”本月25日获报后即展开追查,初步调查确认目前释出的20万笔集中在宜兰地区,且资料都吻合,宜兰县长林姿妙、民进党“立委”陈欧珀等人的个人资料都在其中。 10月21日清晨,海外论坛Breach Forums刊出一篇文章,一名ID为“OKE”的网友,在论坛兜售台湾民众户政资料,称“今天我将出售来自www.ris.gov.tw(“内政部”户政司官网)的数据”,并说明数据资料包括台湾人口纪录等,且可从这些数据中轻松找到任何人及其家庭的资料,还有兵役、教育纪录、居住地址,并宣称有2300余万笔台湾人个资。 “调查局”指出,论坛上目前出现的20万笔个人资料,只是黑客丢出来给买家“测试”的样本。调查人员追查后发现,20万笔台湾人的户籍资料,内容非常详细,包括婚姻状况、居住地址、学历等,不仅林姿妙和陈欧珀,包括宜兰前县长吕国华、林聪贤等政治人物的个资全都可一览无遗;底下留言还有多名网友询问价码,回应“很高兴完成交易”。 据了解,目前在“Breach Forums”论坛公开的20万笔资料均为真实,黑客将2300余万笔资料“包裹”出售,一包售价五千美金,相当于十六万元新台币,算是相当廉价的个资,还强调可用比特币或泰达币替代。有兴趣的买家就可以跟黑客交易,实际上会想要这些资料的人,多属电诈集团。 陈欧珀昨天说,“调查局”25日即掌握黑客在贩售户政资料,前天已要求“法务部”尽速查明。他说,“内政部”网站资料被黑,引起全台湾民众震惊,毕竟掌握个人和家人资料,会造成大家心理上恐惧。 林姿妙也要求民进党当局赶快检讨,强调保护民众个资很重要。林姿妙阵营指出,户政资料外泄不是第一次,掌管户政资料的“内政部”要说清楚,不能每隔几年就外泄。 “内政部”昨天发布新闻稿,指该论坛提供的个资,内容格式与“内政部”户役政资料差异甚大,相关资料并非从“内政部”户政司万维网泄漏,目前检调单位已进行调查。而个资疑似外泄前是何时掌握?“内政部”仅重申“没有资料被窃取”,但指是在网友公开后才知,已由检警调查,“内政部”没有调查权,不清楚资料来源。 据了解,有关单位初步调查显示,这次上网兜售的户政资料,是2018年相关资料介接时,由其他单位流出去。对此,“内政部”仅称,的确有这样的传言,不无可能,但无法证实。 “内政部”初步研判,该论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警调调查,并强调户役政资讯系统采内外网实体隔离架构,资料均妥善保存于内网中,并未流出。 转自 安全内参,原文链接:https://www.secrss.com/articles/48453 封面来源于网络,如有侵权请联系删除

澳大利亚保险巨头遭拖库,390 万用户信息全部泄露

澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。 根据该公司的调查,攻击者获得了 “大量的健康索赔数据”,其中包含了ahm健康保险子公司和国际学生的个人数据。 Medibank是澳大利亚最大的私人健康保险供应商之一,为全国约390万客户提供服务。 “我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,”该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。 该公司还表示将继续调查,以确定具体哪些数据在这次攻击中被盗,并将直接通知受影响的客户。 现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。 这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。 其他唯一可识别的个人信息,如与国际学生保单有关的护照号码也被非法访问,但Medibank表示,现没有发现任何证据能直接表明借记的细节已被破坏。 在一份单独的投资者公告中,Medibank表示,它已经加强了其监测能力,以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。 同时建议客户对任何网络钓鱼或smishing诈骗保持警惕,该公司承诺为那些 “因为此次事件受损的客户 “提供免费的身份监测服务和财务支持。 事实上在Medibank被黑之前,澳大利亚电信巨头Optus的也遭受到网络攻击,导致其近210万名现有和以前的客户数据被盗。 这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法,其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。 澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。 澳总检察长Mark Dreyfus表明:根据最近几周的重大隐私泄露事件表明,现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据,以及更大的惩罚来激励更好的行为。 转自 Freebuf,原文链接:https://www.freebuf.com/news/348159.html 封面来源于网络,如有侵权请联系删除

数据泄露长达两年半!国际票务巨头 See Tickets 已承认

据BleepingComputer 10月25日消息,国际票务服务公司 See Tickets 披露了一起数据泄露事件,时间长达两年半。 据称,See Tickets于2021年4月在一家调查公司的协同下确认了这一泄露事件,但直到2022年1月,恶意代码才从网站上彻底清除。内部调查显示,攻击始于2019 年 6 月 ,因此数据泄露很可能已经持续了长达两年半的时间。而受影响的客户数量未知,See Tickets 尚未澄清是否仅了全球的站点都受到了影响。 调查揭示,攻击者可能通过盗刷器访问了用户的支付卡详细信息,具体是在订单结帐页面上注入恶意JavaScript 代码片段,用于窃取用户输入的支付卡详细信息,包括: 用户姓名 住址 邮政编码 支付卡号 卡有效期 CVV 编号 See Tickets 表示,用户社会安全号码、身份证号码或银行账户信息没有被泄露,因为它们没有存储在其系统中。但介于攻击者已经窃取的数据类型,See Tickets 警告用户应警惕未经授权的信用卡交易和身份盗用。 See Tickets 已经将相关信息告知了受影响的用户,但没有为他们提供免费的身份保护服务,因此被泄露信息的客户只能自己处理安全漏洞带来的后果。   转自 Freebuf,原文链接:https://www.freebuf.com/news/347984.html 封面来源于网络,如有侵权请联系删除

Hive 勒索组织宣称已攻击塔塔电力,数据可能外泄

前不久印度最大的电力集团塔塔电力公布遭遇网络攻击。10月25日,Hive勒索组织宣称对此次网络攻击负责。 Hive成员声称从塔塔电力窃取了数据并对外公布数据截图,Hive声称,其在10月3日加密了塔塔电力的数据,但与塔塔的赎金谈判失败。一般情况下,如果目标公司拒绝支付赎金,谈判失败,威胁行为者通常会选择泄露或出售窃取的数据。 一名研究人员Rakesh Krishnan分享了被盗数据的截屏,截图信息显示,被盗数据包括塔塔电力员工个人身份信息(PII)、国民身份证(Aadhar)卡号、PAN(税务账户)号、工资信息、工程图纸、财务、银行记录和客户信息等。 10月14日,塔塔电力公司在一份股票文件中披露遭到网络攻击,IT基础设施和部分IT系统受影响,但并未透露有关攻击者的信息。 塔塔电力在公告中表示,“公司已经采取措施尽快恢复系统,目前所有关键操作系统运转正常。但为了全面预防,我们对员工和门户和接触点实施了限制访问和预防性检查。”该文件当时由公司秘书H.M. Mistry签署。 关于Hive勒索组织 Hive勒索组织比其网站显示的更加活跃和激进,自2021年6月底面世之后,其附属机构平均每天攻击三家公司。 据了解,该团伙采用一套多样化的战术、技术和程序,这使得被攻击企业难以抵御其攻击。联邦调查局此前也曾警告过这一点。 今年9月,Hive声称是纽约赛马协会、加拿大贝尔公司的子公司以及纽约的应急响应和救护车服务提供商网络攻击活动的幕后黑手。 去年,Hive对Memorial卫生系统的攻击导致了手术和诊断操作取消,病人数据被盗。 转自 Freebuf,原文链接:https://www.freebuf.com/news/347859.html 封面来源于网络,如有侵权请联系删除

伊朗原子能组织遭黑客攻击,大量敏感数据泄露

伊朗原子能机构周日声称,由国家支持的黑客破坏了其子公司网络并自由进入电子邮件系统。目的是在Mahsa Amini死亡的抗议活动中引起 “注意”。伊朗政府尚未将此次攻击归因于某个特定的人。 9月16日,22岁的阿米尼因涉嫌违反该国严格的女性着装规定而被捕,她的死亡引发了长达数周的示威活动,使伊斯兰共和国陷入困境。 这个自称 “黑色奖赏 “的黑客组织在Telegram上宣布了对原子能组织的黑客攻击,并分享了布什尔工厂的合同、施工计划和设备细节的文件,作为入侵的证据。据称,该组织周六在社交媒体上发布的材料包括一个来自据称是伊朗的一个核基地的短片,以及包含协议、地图和工资单的文件。 Black Reward声称已经侵入伊朗政府,并渗出了与他们的核计划有关的敏感数据。10月21日,他们给了伊朗政府24小时的时间来释放在最近的抗议活动中被捕的政治犯,否则他们将公布这些文件。 Black Reward说他们的要求没有得到满足。在接下来的几个小时里,他们将公布伊朗原子能组织的大量数据。该组织宣布泄露了50千兆字节的敏感文件,目前仍不清楚这个巨大的数据库是否还包含机密信息。 “伊朗的民用核部门说,黑客入侵了一家在南部港口城市布什尔运营该国唯一核电站的公司所使用的电子邮件系统,但没有详细说明。美联社报道:”伊朗此前曾指责美国和以色列的网络攻击损害了该国的基础设施。 伊朗原子能组织说:”这些出于无奈的非法努力旨在吸引公众的注意,创造媒体氛围和心理行动。” 此前,伊朗于2015年与世界大国达成了一项具有里程碑意义的协议。该协议正式称为《联合全面行动计划》(JCPOA),给予伊朗制裁豁免,以换取对其核计划的限制。 2018年,当时任总统唐纳德-特朗普单方面退出该协议时,该协议遭到破坏,但自2021年4月以来,一直在进行断断续续的谈判,以努力恢复该协议。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/0MgZSr36-WNuu0WL20Vnmg 封面来源于网络,如有侵权请联系删除