HackerNews 编译，转载请注明出处： 美亚保险（Aflac）发布的最新声明显示，该公司今年 6 月发生的一起数据泄露事件，已导致超 2200 万客户的个人信息遭泄露。 这家总部位于美国佐治亚州的保险巨头于上周五发布声明，公布了针对今年年初披露的一起网络安全事件展开的、历时数月的调查结果。 美亚保险此前曾向美国证券交易委员会预警称，尽管公司在 “数小时内” 就成功阻止了黑客入侵，但部分文件仍已被网络犯罪分子窃取。 该公司重申，此次事件未受到勒索软件的影响。目前，美亚保险已着手向各州监管机构通报这起攻击事件，并向受害者发送数据泄露通知函。 得克萨斯州相关部门表示，该州超 200 万居民受此次事件波及；经统计，本次信息泄露事件的受害者总数约达2270 万人。 此次网络攻击未对美亚保险的日常运营造成影响，但被盗文件中包含其美国业务涉及的客户、受益人、员工、代理人及其他相关人员的保险索赔信息、健康数据、社保号码以及其他个人详细信息。 事发后，美亚保险已向联邦执法部门报案，并聘请网络安全专家处理此次事件。 通知函指出，相关调查已于 12 月 4 日结束，受害者可免费享受为期两年的身份信息保护服务，而该服务的注册截止日期为 2026 年 4 月 18 日。 此次数据泄露事件，发生于黑客组织 Scattered Spider针对保险业发起的一系列攻击行动期间。该组织由一群松散结盟的英语系网络犯罪分子组成，其惯用手法是伪装成信息技术人员，以此侵入大型企业网络。同期，伊利保险、费城保险公司以及斯堪尼亚金融服务公司均曾报告遭受网络攻击。 自这些攻击事件发生以来，执法部门已关停该黑客组织用于泄露数据的网站，且两名组织成员在英国被逮捕并提起诉讼。美国司法部于今年 9 月公开的一份起诉书显示，过去三年内，“分散蜘蛛” 这一网络犯罪团伙通过勒索，已从数十名受害者处榨取至少 1.15 亿美元的赎金。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两款名称相同、开发者一致的恶意谷歌浏览器扩展程序，这两款程序具备拦截网络流量和窃取用户凭据的功能。 这两款扩展程序对外宣传为面向开发者与外贸从业者的 “多地区网络测速插件”。截至本文撰写时，它们仍可被下载获取。两款扩展程序的具体信息如下： 幻影穿梭（ID：fbfldogmkadejddihifklefknmikncaj）：用户量 2000 人，于 2017 年 11 月 26 日发布 幻影穿梭（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd）：用户量 180 人，于 2023 年 4 月 27 日发布 “用户需支付 9.9 元至 95.9 元人民币（折合 1.40 至 13.50 美元）的订阅费用，以为自己购买的是合法 VPN 服务，但这两款变体程序执行的恶意操作完全相同。”Socket 安全研究员库什・潘迪亚表示。 “在订阅服务的伪装之下，这两款扩展程序通过注入身份验证凭据实现流量的全面拦截，充当中间人代理，并持续将用户数据窃取至威胁发起者的命令与控制服务器。” 毫无防备的用户完成付款后，会获得 VIP 权限，扩展程序随即自动开启 “智能” 代理模式，将来自超 170 个目标域名的流量路由至 C2 基础设施。 技术原理与窃取手段 这两款扩展程序会按宣传内容执行基础功能，以此营造出 “产品可用” 的假象。它们会对代理服务器进行真实的延迟测试，并展示连接状态，但对其核心目的 —— 拦截网络流量、窃取用户凭据 —— 则对用户完全隐瞒。 其恶意功能的实现，是通过对扩展程序内置的两个 JavaScript 库（即 jquery-1.12.2.min.js 和 scripts.js）进行前置恶意修改。相关代码被设计为：通过监听chrome.webRequest.onAuthRequired事件，在所有网站的每次 HTTP 身份验证请求中，自动注入硬编码的代理凭据（用户名：topfany / 密码：963852wei）。 “当任意网站或服务发起 HTTP 身份验证请求（包括基本身份验证、摘要式身份验证或代理身份验证）时，该监听器会在浏览器弹出凭据输入提示框之前触发，” 潘迪亚解释道，“它会立即返回硬编码的代理凭据，整个过程对用户完全透明。异步阻塞模式可确保凭据注入的同步执行，从而避免用户进行任何手动操作。” 用户完成代理服务器身份验证后，扩展程序会利用代理自动配置（PAC）脚本修改谷歌浏览器的代理设置，实现三种运行模式： 关闭模式：禁用代理功能 全局模式：将所有网络流量路由至代理服务器 智能模式：仅将硬编码列表中 170 余个高价值域名的流量路由至代理服务器 该目标域名列表涵盖开发者平台（GitHub、Stack Overflow、Docker）、云服务提供商（亚马逊云科技、DigitalOcean、微软 Azure）、企业级解决方案供应商（思科、IBM、威睿）、社交媒体平台（脸书、照片墙、推特），以及成人内容网站。Socket 推测，将成人网站纳入目标，可能是为了对受害者实施敲诈勒索。 这一系列操作带来的最终后果是：用户的网络流量会被路由至威胁发起者控制的代理服务器，同时扩展程序会以 60 秒为间隔，向其位于phantomshuttle[.]space的 C2 服务器发送心跳包，目前该域名仍处于运行状态。这一机制让攻击者获得中间人（MitM）攻击位置，进而实现流量捕获、响应篡改和任意有效载荷注入。 更值得警惕的是，心跳数据包会通过 HTTP GET 请求，每五分钟向外部服务器传输一次 VIP 用户的电子邮箱、明文密码及程序版本号，以此实现用户凭据的持续窃取和会话监控。 Socket 指出：“心跳机制的数据窃取（涵盖凭据与元数据），再加上代理中间人攻击（实时流量捕获），让这款扩展程序在运行期间具备持续、全面的数据窃取能力。” 简言之，当用户开启 VIP 模式访问目标域名时，该扩展程序可窃取其密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、应用程序编程接口（API）密钥和访问令牌。此外，开发者相关机密信息的泄露，还可能为供应链攻击埋下隐患。 攻击团伙溯源线索 目前，这一已持续八年的恶意操作的幕后黑手身份仍不明确，但多项线索指向其为中国境内的操作团伙：扩展程序的描述文本使用中文；支付环节集成了支付宝与微信支付渠道；其 C2 服务器搭建于阿里云平台。 Socket 评价称：“订阅模式既实现了受害者留存，又能产生收益；再加上整合支付功能的专业化基础设施，共同构建起‘合法产品’的虚假外衣。用户以为自己购买的是 VPN 服务，却在毫不知情的情况下，任由自身网络流量被完全操控。” 安全建议 该研究发现凸显出，浏览器扩展程序正成为企业网络中一个缺乏管控的风险点。安全研究人员建议，已安装这两款扩展程序的用户应立即卸载；企业安全团队则需采取以下防护措施：部署扩展程序白名单机制、密切监控带有订阅付费功能且具备代理权限的扩展程序、对可疑的代理身份验证尝试开展网络监测。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 悉尼大学披露一起数据泄露事件：黑客入侵该校一个内部代码库后，导致数万名教职工、学生及校友的个人信息泄露。 该校表示，上周在其 IT 团队使用的在线代码仓库中发现了这一事件，并迅速采取了系统安全加固措施。该平台主要用于软件开发，但同时存储了一个已停用系统的历史数据，包含截至 2018 年 9 月该校员工的姓名、出生日期、电话号码、家庭住址及工作相关详细信息。 副校长妮可・高尔（Nicole Gower）称，目前尚无证据表明泄露数据已被滥用或公开。 “我们正积极监测数据是否存在被使用或公开的迹象，一旦发生此类情况，将立即通知相关人员，” 她表示。 该校内部调查正在进行中，预计将持续至明年。学校已向相关政府部门通报了此事。官方称，此次泄露仅限于单个平台，未影响其他校园系统，黑客身份目前仍不明朗。 初步调查结果显示，泄露数据包括约 2.05 万名现任及前任教职工、关联人员的个人信息，以及 2010 年至 2019 年的历史数据集 —— 涉及约 5000 名学生、校友及 6 名学校支持者的相关信息。 悉尼大学是澳大利亚历史最悠久的公立研究型高校之一，现有学生超 7 万人，教职工约 8000 人。该校曾在 2023 年报告过一起网络安全事件，当时因第三方服务提供商出现安全问题，导致近期入学的国际申请者数据泄露。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。此前ChatGPT披露了此次事件，近日该事件已波及到了Pornhub。黑客表示，他们掌握了Pornhub付费会员的浏览记录。 Mixpanel数据分析公司此前遭遇重大网络攻击，目前受害方名单持续扩大。 12月12日，Pornhub发布数据泄露通知称，其第三方数据分析服务商Mixpane遭遇攻击，导致部分付费会员信息受到影响。 尽管Pornhub声称自2021年起便已终止与Mixpanel的合作，但此次泄露的数据中仍包含“部分用户的少量分析事件记录”。 但Pornhub强调，此次泄露并未波及Pornhub付费会员系统。通知称：“用户的密码、账户凭证、支付信息以及身份证件信息均未遭到泄露或窃取。” Pornhub称，在收到Mixpanel的网络攻击通报后，它们已立即启动内部调查，以确定数据泄露的波及范围。 ShinyHunters黑客组织认领此次攻击 ShinyHunters已宣称对这起重大数据泄露事件负责。发给多家媒体的邮件显示，该网络犯罪团伙自上周起，已开始对Mixpanel的客户实施敲诈勒索。 随后，ShinyHunters向BleepingComputer证实，他们是这次勒索活动的幕后黑手，并坚称被盗数据集包含超过2亿条Pornhub用户记录，这些记录是通过发送给Mixpanel的分析事件收集的。 据报道，这些记录包括Pornhub付费会员的电子邮件地址、活动类型、位置、视频URL、视频标题、相关关键词以及显示活动发生时间的精确时间戳。ShinyHunters还声称该数据集包含用户的搜索历史。 受影响用户或面临花样勒索 网络安全公司ImmuniWeb首席执行官、欧洲刑警组织欧洲网络犯罪防御联盟成员伊利亚・科洛琴科在接受Cybernews采访时表示：“如果有关Pornhub 2.01亿条付费会员记录遭泄露的指控属实，那么这起数据泄露事件的恶劣程度或将超越2016年轰动一时的Adult Friend Finder数据泄露事件。” 科洛琴科指出，Adult Friend Finder数据泄露事件发生时，现代三重勒索策略尚未普及，但即便如此，该事件仍造成了毁灭性的现实后果。 这起事件“导致多人自杀、失业、家庭破裂，并引发多起政治丑闻，更不用说对受害者造成的长期心理创伤与精神损害”。 科洛琴科警告：“倘若此次Pornhub数据泄露事件的规模与发生时间果真如ShinyHunters所言，其后果可能比Adult Friend Finder事件更为严重，会对包括政客与名人在内的受害者造成难以挽回的伤害。” 网络敲诈手段正出现一种令人不安的全新升级趋势 “我们已经发现多起案例：网络犯罪团伙威胁受害者，若不支付赎金，就将窃取的受害者数据‘投喂’给主流大型大语言模型，对其进行数据污染。” 一旦此类数据进入人工智能训练数据库，造成的损害将极难消除。“当用户在AI聊天对话框中输入受害者姓名时，这些高度敏感的个人数据就可能出现在机器人的回复内容中。” 他补充道：“这种破坏性后果几乎无法彻底清除。即便聘请顶尖律师团队处理，受技术条件限制，完成全面清理工作也可能需要数周甚至数月时间。” 科洛琴科认为，这标志着数字敲诈进入了一个危险的新阶段。“2025 年，这类‘花样翻新’的敲诈手段愈演愈烈，一旦用户敏感数据遭窃取，受害者往往束手无策。” 他给出的结论一针见血：“总而言之，除非你能接受自己的数据登上低俗小报，再被AI聊天工具反复传播，否则切勿将个人信息托付给任何公司或第三方机构。” 黑客组织 ShinyHunters 是什么来头？ 该组织疑似成立于2020 年，是一个以英语为交流语言的黑客团伙，其成员据信主要藏身于美国和英国境内。ShinyHunters运营着臭名昭著的网络犯罪论坛Breached。今年9月，该团伙曾宣称入侵奢侈品牌开云集团，旗下拥有古驰、巴黎世家、亚历山大・麦昆等知名品牌，并盗取740万份客户数据文件。近期，该组织与另一黑客团伙Scattered Spider及LAPSUS$合并，组建名为Scattered LAPSUS$ Hunters的黑客联盟。 合并后的黑客组织已宣称入侵了戴尔、威瑞森电信、澳大利亚电信、莱卡移动通讯以及科威特航空等多家企业。 据该组织声称，累计窃取的用户记录已近10亿条，并扬言将公布包括谷歌、联邦快递、联合包裹、丰田、斯特兰蒂斯集团、阿迪达斯、迪士尼、家得宝等在内的 700 余家大型企业的数据。 OpenAI同样遭此毒手 11月底，OpenAI也曾证实，其第三方数据分析服务商 Mixpanel发生一起安全事件，导致其API平台的部分用户数据泄露。 OpenAI表示，该事件源于Mixpanel的系统内部，泄露的内容仅涉及部分API用户的少量分析数据，ChatGPT及其他产品的用户据称未受影响。 OpenAI方面称：“这并非OpenAI系统本身存在漏洞而引发的入侵事件。用户的聊天记录、应用程序编程接口请求内容、接口使用数据、密码、账户凭证、接口密钥、支付信息以及身份证件信息均未泄露或遭到窃取。” 在对该事件展开全面调查后，OpenAI已终止与Mixpanel 的合作，并再次强调，此次数据泄露并非由OpenAI系统存在安全漏洞导致。 OpenAI还补充道：“保障产品的安全性与用户隐私是我们的首要任务。我们将始终致力于保护用户信息，并在安全事件发生时，以公开透明的态度及时与用户沟通。” Mixpanel公开致歉 Mixpanel已就此次事件公开致歉，并在声明中表示，事件已得到有效控制。 这家数据分析公司在一份通知中称，其于2025年11月 8日检测到一起短信钓鱼攻击，随即启动应急响应机制。 Mixpanel表示，公司迅速采取行动“控制并消除非法访问风险”，锁定了受影响的账户，并邀请外部网络安全合作伙伴介入协助调查。 Mixpanel已直接向所有受影响的客户发送了通知。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  英国信息专员办公室（ICO）对LastPass UK处以120万英镑罚款，此前该公司发生的数据泄露事件影响了160万人。 根据英国数据保护监管机构的调查，这家密码管理公司未能实施足够健全的技术和安全措施，导致黑客得以入侵其备份数据库。 由此引发了两起发生在2022年8月的事件。在第一起事件中，黑客获取了一名LastPass员工的公司笔记本电脑，并随后访问了公司的开发环境。 尽管攻击者未能成功窃取个人信息，但他们确实窃取了加密的公司凭证。LastPass当时认为加密密钥仍然安全，因为它们存储在黑客无法访问的公司网络某处。 随后，威胁行为者盯上了一名拥有解密密钥权限的高级员工。他们通过第三方流媒体服务的已知漏洞，成功访问了该员工的个人设备。为获取该员工的公司凭证，攻击者安装了键盘记录程序，并通过使用受信任设备Cookie绕过了多重身份验证。 获得员工的”主密码”后，黑客得以访问该员工的个人和商业LastPass保管库，其中包含亚马逊网络服务访问密钥和解密密钥。结合所收集的所有信息，攻击者最终提取了备份数据库的内容，该库包含160万人的个人信息，涵盖姓名、电子邮件、电话号码及存储的网站URL等。 ICO调查发现，由于LastPass的”零知识”加密系统，没有证据表明加密密码和其他凭证能被黑客解密。这意味着访问密码管理器保管库的主密码仅存储在员工的本地设备中，从未与LastPass共享。 针对这些事件及数据泄露造成的影响，ICO对LastPass处以120万英镑罚款。 英国信息专员约翰·爱德华兹在声明中表示：”LastPass用户有权期待其委托给公司的个人信息得到安全保护。然而，该公司未能达到这一预期，因此今天我们宣布了相应比例的罚款。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发生的两起金融机构数据泄露事件，导致数百万人的敏感个人信息遭到曝光。 在总部位于旧金山的金融科技公司Prosper Marketplace遭遇的安全事件中，超过1300万人的信息被黑客获取。该公司上周就此次网络攻击发布声明，并于本月向多个州监管机构发送通知——该攻击最初于9月1日被发现。 Prosper已通报执法部门，调查显示黑客在2025年6月至8月期间获取了包含个人信息的资料。公司声称”没有证据表明客户账户和资金遭到未经授权的访问”。但失窃信息涵盖姓名、社会安全号码、国家身份证号、银行账户号码、财务申请信息、驾照号码、结婚/出生证明、护照号码、税务信息及支付卡号码等核心数据。 据统计，得克萨斯州超110万人、南卡罗来纳州23.6万人、华盛顿州24.9万人受到影响。Prosper发言人确认共有1310万人受此次数据泄露影响。 成立于2005年的Prosper以点对点借贷业务为核心，累计已为超200万人提供280亿美元个人贷款。公司现为事件受害者提供两年身份保护服务，截至本周一尚未有黑客组织宣称负责。 另一起事件中，汽车经销商服务商700Credit于上周五披露，10月25日发生的数据泄露影响了5,836,521人。这家为汽车经销商提供信用报告、合规产品、身份验证和欺诈检测解决方案的密歇根州公司表示，IT团队在事发当日发现黑客复制了其系统内的信息，包括姓名、社会安全号码、出生日期和地址等敏感数据。 该公司在声明中强调：”事件发生后迅速启动调查响应，评估系统安全性并识别潜在受影响人员，已向联邦执法部门和联邦贸易委员会通报情况。”目前正为受害者提供一年身份保护服务。 值得注意的是，此次披露发生在华尔街刚经历房地产贷款服务商SitusAMC网络攻击的三周后。过去24个月内，已发生数十起针对Patelco、Mr. Cooper等金融机构的网络安全事件，凸显金融行业正面临持续严峻的数据安全挑战。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员借助一项已有 20 年历史的攻击方法，成功从一款经济型智能手表中提取了固件，该方法最初是被用于窃取网络设备的数据。 这项名为 “指示灯（Blinkenlights）” 的技术，已被改造适配现代薄膜晶体管屏幕。 Quarkslab的分析师从当地商店以约 12 欧元的价格购入一款智能手表，经检测发现其配备的是虚假健康传感器，无法实现血压测量和睡眠监测功能。 该设备搭载JieLi AC6958C6 系统级芯片，并通过低功耗蓝牙进行通信，这一特性最初被视为提取固件的可行途径。 在对智能手表展开分析后，研究人员发现了一个表盘解析器漏洞 —— 该解析器未能对偏移边界进行有效校验。 这一安全缺陷可被利用来制造越界读取的情形，迫使设备将任意内存内容直接显示在屏幕上。 夸克实验室分析师指出，他们是在对自定义表盘的上传流程进行逆向工程后发现这一漏洞的，同时还发现固件解析器未对超出表盘二进制数据范围的图像偏移量进行验证。 研究团队在最终采用 “指示灯” 技术前，尝试了多种提取方案。 他们先是对杰理芯片的空中升级功能展开探索，却发现该功能仅支持固件上传，不支持固件下载。 设备所采用的认证机制基于蓝牙的 E1 传统功能，且内置硬编码参数，研究人员虽成功复现了这一机制，但这条路径最终未能实现固件提取。 现代版 “指示灯” 技术的实现方案 该团队搭建了一套定制硬件装置，核心为一块超频至 200 兆赫兹的树莓派 Pico 开发板，用于捕获智能手表主芯片向 NV3030B 屏幕控制器传输的数据。 这款屏幕采用 25 兆赫兹时钟，以 RGB565 格式传输像素数据，这就需要通过高速采样来精准获取信息。 研究人员将直径仅 0.1 毫米的导线焊接至屏幕连接器，并利用树莓派 Pico 的可编程输入输出（PIO）功能，在时钟上升沿对数据比特进行采样。 为保障高采样率下的运行效率，这款 PIO 程序仅设计了两条指令。 捕获的数据会先存储在树莓派 Pico 的 145000 字节缓冲区中，再通过 USB 串口传输至主机电脑。 为触发固件提取，研究人员制作了恶意自定义表盘，通过篡改偏移量数值，让智能手表读取并显示超出表盘预设数据区域的内存内容。 整个提取过程需要生成多款自定义表盘，每一款针对不同的内存地址。 研究人员在每个表盘里嵌入了包含同步字（0xa5a5a5a5）和魔术字节（0xdeadbeef）的特殊头文件，以此识别捕获到的数据块并验证数据对齐情况。 同时，团队开发了 Python 脚本，实现表盘生成、数据收集以及从零散内存切片中重建完整固件的自动化流程。 这项研究表明，当老旧的攻击技术与创新的漏洞利用手段相结合时，依然能对现代嵌入式设备构成威胁。 相较于昂贵的逻辑分析仪，此次采用的低成本硬件方案（除树莓派 Pico 外几乎无额外开销），在该场景下具备更高的实用性。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 企业使用海量联系人数据库虽能大幅节省时间，却存在重大安全隐患。若数据库未加防护，单一数据集的泄露就可能危及数百万用户隐私，而这正是 Cybernews 研究团队近期发现的一起重大数据泄露事件的真实写照。 研究团队发现了一个未设防护的 MongoDB 数据库实例，其中存储的职业与企业情报数据高达 16.14 太字节，总计近 43 亿份文档，堪称迄今泄露规模最大的销售线索数据集之一。 这一重大发现由 Cybernews 撰稿人、网络安全研究员、SecurityDiscovery.com网站所有者鲍勃・迪亚琴科（Bob Diachenko）完成。他于 2025 年 11 月 23 日发现该 43 亿条量级的数据库，两天后数据库所有者才对其完成安全加固。 目前研究人员尚不清楚该数据库在被发现前已暴露多久，但既然团队能找到，不法分子也极有可能早已察觉。这类信息详实、分类规整的大型数据集是攻击者的 “宝藏”，可被用于发动大规模自动化攻击。 海量数据集包含哪些内容？ 43 亿条泄露记录均存储于 MongoDB 数据库中，该数据库常被企业用于存储和处理大规模数据。此次泄露大概率源于人为失误 —— 数据库因未配置适当身份验证而处于暴露状态。 据研究团队介绍，这个超 16 太字节的数据库结构完整，数据应为爬取所得的职业及企业情报，其中包含大量来自领英的详细个人资料、联系方式、企业关联关系及职业经历等信息。 数据集内共发现 9 个数据集合，其命名基本可体现所含信息类型，且各数据集的体量与记录内容差异显著： intent：20.54410607 亿条文档（604.76GB） profiles：11.35462992 亿条文档（5.85TB） unique_profiles：7.32412172 亿条文档（5.63TB） people：1.69061357 亿条文档（3.95TB） sitemap：1.63765524 亿条文档（20.22GB） companies：1730.2088 万条文档（72.9GB） company_sitemap：1730.1617 万条文档（3.76GB） address_cache：812.6667 万条文档（26.78GB） intent_archive：207.3723 万条文档（620MB） 研究人员确认，单个数据集合内的记录均为唯一，但不同数据集合间可能存在重复数据。其中至少 profiles、unique_profiles 和 people 三个集合包含个人身份信息（PII），这三个集合合计近 20 亿条记录，泄露的具体信息包括： 全名 邮箱与电话号码 领英网址及个人主页账号 职位名称、雇主及职业经历 教育背景、学位与证书 地理位置数据 掌握语言、技能及职能 社交媒体账号 图片网址（unique_profiles 集合） 邮箱可信度评分（people 集合） “阿波罗 ID（Apollo ID）” 如此庞大的数据库给所有相关方带来严重隐私隐患。从数据库结构来看，其数据应为领英风格的爬取所得，这意味着邮箱、手机号、岗位及社交关系等大部分数据都具备较高时效性与准确性。此外，unique_profiles 集合含 7.32 亿多条记录，且包含个人照片；people 集合则存有邮箱验证信息、信息完善度评分及社交账号，这类评分常被营销、销售及招聘人员用于评估销售线索或候选人的匹配度。 这批领英相关数据的采集时间难以精准判定，数据库 “更新时间” 戳显示信息于 2025 年完成采集或更新，但 2021 年曾有威胁攻击者宣称爬取了数亿条领英记录，因此该 MongoDB 数据库或包含历史爬取数据。 研究人员还发现，数据库中个人资料、联系人及职业经历的字段格式统一，sitemap 和 company_sitemap 集合含 1.8 亿条记录，可实现网址与个人资料 ID 的关联。团队认为，如此庞大的泄露规模，足以证明数据来源于自动化爬取和信息完善流程。 尽管 “阿波罗 ID” 的具体含义尚不明确，但数据集特征强烈指向其信息源自销售情报工具 Apollo.io。“阿波罗 ID” 的存在打通了领英与 Apollo 两大销售线索生态，形成了一套可用于监控级别的整合数据集。 谁是泄露数据集的所有者？ 截至发稿，数据集归属尚未得到确认，但已有部分线索指向潜在所有者。研究团队发现，数据库中的站点地图集合将 “/people” 和 “/company” 链接指向某销售线索生成公司官网。 该公司主营企业获客服务，可提供大规模 B2B 销售线索数据库，其数据类型与泄露数据库高度吻合。官网宣称服务超 7 亿职场人士，这一数字与 unique_profiles 集合的记录量相近；且在研究人员就潜在数据泄露问题通知该公司后，暴露的数据库次日便被关闭。 研究人员解释：“此类大型数据集是恶意攻击者的首要目标，可作为结合其他数据泄露事件开展信息补全的核心基础，助力攻击者构建可检索的大规模个人信息库，补全后的数据还可能包含密码、设备标识、其他社交账号等信息。” 不过团队暂不直接将泄露归咎于该公司，也存在该公司数据库被数据集实际所有者爬取的可能性。目前 Cybernews 已联系该公司寻求置评，如有回复将更新报道。 此次泄露的危害何在？ 网络犯罪分子可利用这类未防护大型数据库谋取巨额利益。例如，攻击者可借助数据发起定向钓鱼攻击，筛选出企业 CEO 实施 “冒充老板诈骗”，即伪造高管身份诱骗员工转账；也可用于企业情报侦察，就像安全人员会利用员工信息测试企业社会工程学防御一样，攻击者也能借此寻找漏洞、渗透企业系统。 大型企业数据在暗网极具价值，而该数据集中必然包含财富 500 强企业员工信息，攻击者可据此锁定特定目标企业。即便没有这类专属数据库，攻击者也能发起此类攻击，但现成数据集能大幅提升成功率、缩短筹备时间。 此外，攻击者还可利用数据集开展自动化攻击。如今网络犯罪团伙同样热衷 AI 辅助攻击，43 亿条量级的数据集恰好适配这类操作 —— 大语言模型（LLM）可基于用户资料生成个性化恶意邮件，只需稍加操作就能群发数千万封，而只要命中一个高价值目标，整个攻击行动便可获利。 研究人员补充道：“此类大型数据集是恶意攻击者的重点目标，可作为信息补全的核心基础，结合其他泄露数据构建可检索的个人信息库，补全后还可能包含密码、设备标识等信息，大幅降低社会工程学攻击和凭证填充攻击的实施门槛。” 数十亿条记录泄露已成常态 近年来，数十亿条记录级别的重大数据泄露事件已屡见不鲜： 2025 年 6 月，Cybernews 曾报道一起疑似中国地区史上最大规模数据泄露事件，涉及数十亿份文档，含金融数据、微信及支付宝信息等敏感个人信息 2024 年夏，名为 RockYou2024 的迄今最大密码集合（含近 100 亿个唯一密码）在知名黑客论坛泄露；2021 年也曾出现过超 80 亿条记录的同类密码集合泄露 2024 年初，Cybernews 研究团队发现了迄今仍保持规模之最的 “终极数据泄露（MOAB）” 事件，涉及 260 亿条记录 职业及企业信息类大规模泄露也早有先例： 2018 年，Apollo.io 曾因数据库未防护导致数十亿条记录泄露，含 1.25 亿个唯一邮箱 2019 年，美国数据经纪商 People Data Labs 发生数据泄露，波及 6.22 亿人；2024 年 Cybernews 研究人员又发现其一个未防护数据库泄露 1.7 亿多条敏感记录 与此同时，领英一直在严厉打击平台个人资料爬取行为。2025 年 10 月初，领英对软件公司 ProAPIs 及其 CEO 提起诉讼，指控该公司通过创建数十万个虚假账号非法爬取数百万条领英用户资料 领英表示，其用户协议禁止通过自动化机器人爬取数据，也严禁伪造身份或创建虚假账号，强调爬取行为会对用户安全构成威胁。领英在诉状中指出：“一旦数据被爬取，领英及用户均无法阻止被告及其客户将数据用于群发垃圾邮件、出售给诈骗分子，或与其他数据整合形成大型私密数据库等行为。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据据称正被公开售卖。 攻击者声称在今年入侵了该公司，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。 数据来源与具体内容 这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含以下类型： 姓名 家庭住址 邮政编码 电话号码 电子邮箱 截至目前，涉事公司尚未就此次网络安全事件发布公开确认声明。 Cybernews 已尝试联系该公司，但暂未收到回复。由于数据样本仅包含 8 条信息，目前无法核实攻击者的相关指控是否属实。 该威胁行为者于今年 4 月加入上述网络犯罪论坛，此前也曾多次挂牌出售多家企业的数据，且每次均会附带包含数条信息的数据样本。 Cybernews研究团队表示：“若此次数据泄露被证实属实，那么被盗数据可能会被用于身份画像，为后续攻击铺路。受影响人群遭遇社会工程学攻击的风险也将大幅上升。” 大众并非首次成为黑客目标 大众汽车及其经销商已多次成为网络犯罪分子的攻击目标。今年 10 月，大众集团法国分公司（大众汽车集团旗下子公司）被麒麟勒索软件团伙列入其泄密网站。 麒麟团伙声称窃取了约2000份文件、总计150GB的数据，其中包含敏感的客户、员工信息及商业数据。 今年6月，大众汽车集团也曾出现在Stormous勒索软件卡塔尔的暗网泄密网站上。尽管攻击者宣称已窃取该公司数据，但大众汽车集团发言人向Cybernews表示，暂无证据表明存在数据失窃情况。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于得克萨斯州的金融科技服务商Marquis软件解决方案公司已确认发生数据泄露事件，此次事件波及超 78 万名用户。该公司为全美 700 余家银行及信用社提供服务。 此次泄露事件始于 8 月 14 日，攻击者通过利用 SonicWall 防火墙漏洞侵入了公司网络。据悉，Marquis公司发现入侵行为后，立即关停了受影响系统，并聘请外部网络安全专家介入调查。 10 月下旬完成的内部审查显示，未授权攻击者获取并复制了部分商业客户的文件，这些文件包含个人及金融相关信息。 Xcape 公司安全工程师诺艾尔・村田表示：“Marquis事件是第三方供应商集中化给金融服务行业带来系统性风险的最新例证。” “一家处于众多银行数据流中的中型供应商，一旦发生安全事件，其影响范围会瞬间扩大至全国层面。” 尽管该公司尚未发现与此次事件相关的身份盗用或欺诈迹象，但备案文件显示，至少有 74 家银行和信用社受到波及。 缅因州、得克萨斯州和艾奥瓦州最新提交的通知文件，详细披露了此次泄露事件的发生过程及影响范围。 社区第一信用社一份现已被移除的备案文件指出，Marquis公司在攻击发生后不久曾支付赎金以阻止数据外泄，但该公司并未对此说法予以回应。 上述备案文件证实，多州用户均受到此次事件影响，且泄露的个人数据类型相近，包括姓名、住址、出生日期、社会保险号、纳税人识别号以及银行或银行卡账户详情。 Marquis公司将为受影响用户提供 1 至 2 年的免费信用监测及身份保护服务。 此外，该公司表示在事件发生后已推出一系列安全强化措施，具体如下： 确保所有防火墙设备均完成补丁更新 更换本地账户密码 注销未使用的账户 为所有防火墙及 VPN 账户启用多因素认证（MFA） 延长防火墙日志留存时长 增设 VPN 多次登录失败锁定规则 对已授权国家启用地理 IP 过滤 阻断与已知僵尸网络控制服务器的连接 Suzu Labs首席执行官迈克尔・贝尔评论称：“这份整改清单道出了问题本质。” “这些安全管控措施本应在零日漏洞出现前就全部落实到位。零日漏洞只是为攻击者打开了大门，而基础的安全防护水平才决定了他们闯入后的破坏程度。” 安全研究人员还指出，近期多起与 SonicWall 相关的泄露事件均与 Akira 勒索软件团伙有关，但本次事件目前尚无任何组织宣称负责。 Marquis公司表示相关调查仍在进行中，截至发稿时，尚未发现被盗数据在网络上流传的证据。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文