HackerNews 编译，转载请注明出处： 企业使用海量联系人数据库虽能大幅节省时间，却存在重大安全隐患。若数据库未加防护，单一数据集的泄露就可能危及数百万用户隐私，而这正是 Cybernews 研究团队近期发现的一起重大数据泄露事件的真实写照。 研究团队发现了一个未设防护的 MongoDB 数据库实例，其中存储的职业与企业情报数据高达 16.14 太字节，总计近 43 亿份文档，堪称迄今泄露规模最大的销售线索数据集之一。 这一重大发现由 Cybernews 撰稿人、网络安全研究员、SecurityDiscovery.com网站所有者鲍勃・迪亚琴科（Bob Diachenko）完成。他于 2025 年 11 月 23 日发现该 43 亿条量级的数据库，两天后数据库所有者才对其完成安全加固。 目前研究人员尚不清楚该数据库在被发现前已暴露多久，但既然团队能找到，不法分子也极有可能早已察觉。这类信息详实、分类规整的大型数据集是攻击者的 “宝藏”，可被用于发动大规模自动化攻击。 海量数据集包含哪些内容？ 43 亿条泄露记录均存储于 MongoDB 数据库中，该数据库常被企业用于存储和处理大规模数据。此次泄露大概率源于人为失误 —— 数据库因未配置适当身份验证而处于暴露状态。 据研究团队介绍，这个超 16 太字节的数据库结构完整，数据应为爬取所得的职业及企业情报，其中包含大量来自领英的详细个人资料、联系方式、企业关联关系及职业经历等信息。 数据集内共发现 9 个数据集合，其命名基本可体现所含信息类型，且各数据集的体量与记录内容差异显著： intent：20.54410607 亿条文档（604.76GB） profiles：11.35462992 亿条文档（5.85TB） unique_profiles：7.32412172 亿条文档（5.63TB） people：1.69061357 亿条文档（3.95TB） sitemap：1.63765524 亿条文档（20.22GB） companies：1730.2088 万条文档（72.9GB） company_sitemap：1730.1617 万条文档（3.76GB） address_cache：812.6667 万条文档（26.78GB） intent_archive：207.3723 万条文档（620MB） 研究人员确认，单个数据集合内的记录均为唯一，但不同数据集合间可能存在重复数据。其中至少 profiles、unique_profiles 和 people 三个集合包含个人身份信息（PII），这三个集合合计近 20 亿条记录，泄露的具体信息包括： 全名 邮箱与电话号码 领英网址及个人主页账号 职位名称、雇主及职业经历 教育背景、学位与证书 地理位置数据 掌握语言、技能及职能 社交媒体账号 图片网址（unique_profiles 集合） 邮箱可信度评分（people 集合） “阿波罗 ID（Apollo ID）” 如此庞大的数据库给所有相关方带来严重隐私隐患。从数据库结构来看，其数据应为领英风格的爬取所得，这意味着邮箱、手机号、岗位及社交关系等大部分数据都具备较高时效性与准确性。此外，unique_profiles 集合含 7.32 亿多条记录，且包含个人照片；people 集合则存有邮箱验证信息、信息完善度评分及社交账号，这类评分常被营销、销售及招聘人员用于评估销售线索或候选人的匹配度。 这批领英相关数据的采集时间难以精准判定，数据库 “更新时间” 戳显示信息于 2025 年完成采集或更新，但 2021 年曾有威胁攻击者宣称爬取了数亿条领英记录，因此该 MongoDB 数据库或包含历史爬取数据。 研究人员还发现，数据库中个人资料、联系人及职业经历的字段格式统一，sitemap 和 company_sitemap 集合含 1.8 亿条记录，可实现网址与个人资料 ID 的关联。团队认为，如此庞大的泄露规模，足以证明数据来源于自动化爬取和信息完善流程。 尽管 “阿波罗 ID” 的具体含义尚不明确，但数据集特征强烈指向其信息源自销售情报工具 Apollo.io。“阿波罗 ID” 的存在打通了领英与 Apollo 两大销售线索生态，形成了一套可用于监控级别的整合数据集。 谁是泄露数据集的所有者？ 截至发稿，数据集归属尚未得到确认，但已有部分线索指向潜在所有者。研究团队发现，数据库中的站点地图集合将 “/people” 和 “/company” 链接指向某销售线索生成公司官网。 该公司主营企业获客服务，可提供大规模 B2B 销售线索数据库，其数据类型与泄露数据库高度吻合。官网宣称服务超 7 亿职场人士，这一数字与 unique_profiles 集合的记录量相近；且在研究人员就潜在数据泄露问题通知该公司后，暴露的数据库次日便被关闭。 研究人员解释：“此类大型数据集是恶意攻击者的首要目标，可作为结合其他数据泄露事件开展信息补全的核心基础，助力攻击者构建可检索的大规模个人信息库，补全后的数据还可能包含密码、设备标识、其他社交账号等信息。” 不过团队暂不直接将泄露归咎于该公司，也存在该公司数据库被数据集实际所有者爬取的可能性。目前 Cybernews 已联系该公司寻求置评，如有回复将更新报道。 此次泄露的危害何在？ 网络犯罪分子可利用这类未防护大型数据库谋取巨额利益。例如，攻击者可借助数据发起定向钓鱼攻击，筛选出企业 CEO 实施 “冒充老板诈骗”，即伪造高管身份诱骗员工转账；也可用于企业情报侦察，就像安全人员会利用员工信息测试企业社会工程学防御一样，攻击者也能借此寻找漏洞、渗透企业系统。 大型企业数据在暗网极具价值，而该数据集中必然包含财富 500 强企业员工信息，攻击者可据此锁定特定目标企业。即便没有这类专属数据库，攻击者也能发起此类攻击，但现成数据集能大幅提升成功率、缩短筹备时间。 此外，攻击者还可利用数据集开展自动化攻击。如今网络犯罪团伙同样热衷 AI 辅助攻击，43 亿条量级的数据集恰好适配这类操作 —— 大语言模型（LLM）可基于用户资料生成个性化恶意邮件，只需稍加操作就能群发数千万封，而只要命中一个高价值目标，整个攻击行动便可获利。 研究人员补充道：“此类大型数据集是恶意攻击者的重点目标，可作为信息补全的核心基础，结合其他泄露数据构建可检索的个人信息库，补全后还可能包含密码、设备标识等信息，大幅降低社会工程学攻击和凭证填充攻击的实施门槛。” 数十亿条记录泄露已成常态 近年来，数十亿条记录级别的重大数据泄露事件已屡见不鲜： 2025 年 6 月，Cybernews 曾报道一起疑似中国地区史上最大规模数据泄露事件，涉及数十亿份文档，含金融数据、微信及支付宝信息等敏感个人信息 2024 年夏，名为 RockYou2024 的迄今最大密码集合（含近 100 亿个唯一密码）在知名黑客论坛泄露；2021 年也曾出现过超 80 亿条记录的同类密码集合泄露 2024 年初，Cybernews 研究团队发现了迄今仍保持规模之最的 “终极数据泄露（MOAB）” 事件，涉及 260 亿条记录 职业及企业信息类大规模泄露也早有先例： 2018 年，Apollo.io 曾因数据库未防护导致数十亿条记录泄露，含 1.25 亿个唯一邮箱 2019 年，美国数据经纪商 People Data Labs 发生数据泄露，波及 6.22 亿人；2024 年 Cybernews 研究人员又发现其一个未防护数据库泄露 1.7 亿多条敏感记录 与此同时，领英一直在严厉打击平台个人资料爬取行为。2025 年 10 月初，领英对软件公司 ProAPIs 及其 CEO 提起诉讼，指控该公司通过创建数十万个虚假账号非法爬取数百万条领英用户资料 领英表示，其用户协议禁止通过自动化机器人爬取数据，也严禁伪造身份或创建虚假账号，强调爬取行为会对用户安全构成威胁。领英在诉状中指出：“一旦数据被爬取，领英及用户均无法阻止被告及其客户将数据用于群发垃圾邮件、出售给诈骗分子，或与其他数据整合形成大型私密数据库等行为。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据据称正被公开售卖。 攻击者声称在今年入侵了该公司，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。 数据来源与具体内容 这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含以下类型： 姓名 家庭住址 邮政编码 电话号码 电子邮箱 截至目前，涉事公司尚未就此次网络安全事件发布公开确认声明。 Cybernews 已尝试联系该公司，但暂未收到回复。由于数据样本仅包含 8 条信息，目前无法核实攻击者的相关指控是否属实。 该威胁行为者于今年 4 月加入上述网络犯罪论坛，此前也曾多次挂牌出售多家企业的数据，且每次均会附带包含数条信息的数据样本。 Cybernews研究团队表示：“若此次数据泄露被证实属实，那么被盗数据可能会被用于身份画像，为后续攻击铺路。受影响人群遭遇社会工程学攻击的风险也将大幅上升。” 大众并非首次成为黑客目标 大众汽车及其经销商已多次成为网络犯罪分子的攻击目标。今年 10 月，大众集团法国分公司（大众汽车集团旗下子公司）被麒麟勒索软件团伙列入其泄密网站。 麒麟团伙声称窃取了约2000份文件、总计150GB的数据，其中包含敏感的客户、员工信息及商业数据。 今年6月，大众汽车集团也曾出现在Stormous勒索软件卡塔尔的暗网泄密网站上。尽管攻击者宣称已窃取该公司数据，但大众汽车集团发言人向Cybernews表示，暂无证据表明存在数据失窃情况。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于得克萨斯州的金融科技服务商Marquis软件解决方案公司已确认发生数据泄露事件，此次事件波及超 78 万名用户。该公司为全美 700 余家银行及信用社提供服务。 此次泄露事件始于 8 月 14 日，攻击者通过利用 SonicWall 防火墙漏洞侵入了公司网络。据悉，Marquis公司发现入侵行为后，立即关停了受影响系统，并聘请外部网络安全专家介入调查。 10 月下旬完成的内部审查显示，未授权攻击者获取并复制了部分商业客户的文件，这些文件包含个人及金融相关信息。 Xcape 公司安全工程师诺艾尔・村田表示：“Marquis事件是第三方供应商集中化给金融服务行业带来系统性风险的最新例证。” “一家处于众多银行数据流中的中型供应商，一旦发生安全事件，其影响范围会瞬间扩大至全国层面。” 尽管该公司尚未发现与此次事件相关的身份盗用或欺诈迹象，但备案文件显示，至少有 74 家银行和信用社受到波及。 缅因州、得克萨斯州和艾奥瓦州最新提交的通知文件，详细披露了此次泄露事件的发生过程及影响范围。 社区第一信用社一份现已被移除的备案文件指出，Marquis公司在攻击发生后不久曾支付赎金以阻止数据外泄，但该公司并未对此说法予以回应。 上述备案文件证实，多州用户均受到此次事件影响，且泄露的个人数据类型相近，包括姓名、住址、出生日期、社会保险号、纳税人识别号以及银行或银行卡账户详情。 Marquis公司将为受影响用户提供 1 至 2 年的免费信用监测及身份保护服务。 此外，该公司表示在事件发生后已推出一系列安全强化措施，具体如下： 确保所有防火墙设备均完成补丁更新 更换本地账户密码 注销未使用的账户 为所有防火墙及 VPN 账户启用多因素认证（MFA） 延长防火墙日志留存时长 增设 VPN 多次登录失败锁定规则 对已授权国家启用地理 IP 过滤 阻断与已知僵尸网络控制服务器的连接 Suzu Labs首席执行官迈克尔・贝尔评论称：“这份整改清单道出了问题本质。” “这些安全管控措施本应在零日漏洞出现前就全部落实到位。零日漏洞只是为攻击者打开了大门，而基础的安全防护水平才决定了他们闯入后的破坏程度。” 安全研究人员还指出，近期多起与 SonicWall 相关的泄露事件均与 Akira 勒索软件团伙有关，但本次事件目前尚无任何组织宣称负责。 Marquis公司表示相关调查仍在进行中，截至发稿时，尚未发现被盗数据在网络上流传的证据。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，包括政府、电信和关键基础设施在内的多个敏感行业组织，存在将密码和凭证粘贴到 JSONFormatter、CodeBeautify 等在线代码格式化与验证工具的行为。 网络安全公司 watchTowr Labs 表示，其在这些网站上捕获了超过 8 万份文件的数据集，从中发现数千组用户名、密码、代码库认证密钥、Active Directory 凭证、数据库凭证、FTP 凭证、云环境密钥、LDAP 配置信息、服务台 API 密钥、会议室 API 密钥、SSH 会话记录以及各类个人信息。 该数据集包含 JSONFormatter 五年的历史内容和 CodeBeautify 一年的历史内容，总计超过 5GB 的增强型带注释 JSON 数据。 泄露影响范围 受此次泄露事件影响的组织遍及国家关键基础设施、政府、金融、保险、银行、科技、零售、航空航天、电信、医疗保健、教育、旅游等行业，具有讽刺意味的是，网络安全行业也在其中。 “这些工具极具 popularity，在‘JSON 美化’‘粘贴机密信息的最佳平台’（推测，未经证实）等搜索词条中常位居前列 —— 企业环境和个人项目中的各类组织、机构、开发人员及管理员均有使用，” 安全研究员杰克・诺特在分享给The Hacker News的报告中表示。 这两款工具均支持保存格式化后的 JSON 结构或代码，并生成半永久性的可共享链接 —— 任何获取该 URL 的用户均可访问其中数据。 更严重的是，这些网站不仅设有便捷的 “近期链接”（Recent Links）页面，列出所有近期保存的链接，其可共享链接还采用可预测的 URL 格式，使得攻击者能够通过简单爬虫轻松获取所有链接： https://jsonformatter.org/{此处为 ID} https://jsonformatter.org/{格式化类型}/{此处为 ID} https://codebeautify.org/{格式化类型}/{此处为 ID} 泄露信息包括 Jenkins 密钥、某网络安全公司泄露的敏感配置文件加密凭证、某银行的客户身份验证（KYC）信息、某大型金融交易所与 Splunk 相关联的 AWS 凭证，以及某银行的 Active Directory 凭证等。 安全风险 更糟糕的是，该公司透露，其在其中一款工具中上传了伪造的 AWS 访问密钥，结果发现该密钥保存 48 小时后便遭到攻击者的滥用尝试。这表明通过此类渠道泄露的敏感信息正被第三方爬取并用于攻击测试，构成严重安全风险。 “主要原因是已经有人在利用这些泄露信息了，而这种（粘贴机密到随机网站的）行为实在是太愚蠢了，” 诺特表示，“我们不需要更多人工智能驱动的智能代理平台；我们需要的是减少关键组织将凭证粘贴到随机网站的行为。” The Hacker New核实发现，JSONFormatter 与 CodeBeautify 目前已暂时禁用保存功能，声称正在 “优化该功能” 并实施 “增强型工作环境不适宜（NSFW）内容防护措施”。 watchTowr 指出，这些网站禁用保存功能很可能是对该研究的回应。“我们推测这一变更于 9 月实施，源于我们通知的多家受影响组织的沟通反馈，” 该公司补充道。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子宣称已对汽车电商平台 Revolution Parts 发起攻击，声称窃取了该公司超 500 万用户的个人信息，包括电子邮箱和 IP 地址等核心数据。 Revolution Parts 总部位于美国亚利桑那州坦佩市，通过其经销商网络每年销售价值超 6 亿美元的汽车零部件。 这则攻击声明被发布在一个知名数据泄露论坛上 —— 该平台是网络罪犯交换被盗数据的主要渠道。 与此同时，Cybernews 研究团队对攻击者提供的数据样本进行了核查。根据团队分析，该样本包含以下信息： 全名 电子邮箱 电话号码 家庭住址 IP 地址 设备数据 由于 Revolution Parts 是一家电商平台，攻击者声称窃取的信息与用户购物时填写的订单详情高度吻合，同时也符合用户注册账号时需提交的信息类型。 从理论上讲，攻击者可利用这些数据实施身份盗窃和钓鱼攻击。借助用户偏好、地理位置、电子邮箱等信息，不法分子能够发起精准定向的钓鱼攻击。 在这类攻击中，恶意攻击者通常会伪装成合法企业，诱骗用户泄露更敏感的信息；另一种常见手段是发送带毒邮件，诱使受害者在设备上下载恶意软件。 “当攻击者获取用户个人信息和设备数据后，他们可以据此设计针对特定设备的精准诈骗。此外，这些信息还可能被用于构建用户身份画像，为后续的欺诈行为做铺垫，” 研究团队解释道。 值得注意的是，Revolution Parts 同时面向企业客户提供服务，因此恶意攻击者也可能将企业列为重点攻击目标。不过截至发稿，尚不清楚泄露信息是否为最新数据 —— 攻击者有时会试图出售过时数据，本质上是在欺骗其他不法分子。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国外卖配送与物流公司 DoorDash 宣布，其遭遇一起社交工程攻击，引发数据泄露事件，用户、配送员（Dashers）及商户的姓名、地址、电子邮件和电话号码等信息被泄露。 该公司在 cybersecurity 事件声明中表示：“我们的团队近期发现并终止了一起网络安全事件，期间有未授权第三方非法获取并窃取了部分用户信息。重要的是，未授权第三方并未获取任何敏感信息，目前也没有迹象表明这些数据被用于欺诈或身份盗用行为。” DoorDash 证实，其一名员工成为社交工程诈骗的受害者，但公司已切断入侵者的访问权限并通知了执法部门。此次泄露的数据包括用户、配送员（Dashers）和商户的姓名、地址、电子邮件及电话号码。 声明进一步指出：“一名 DoorDash 员工近期成为社交工程诈骗的攻击目标。响应团队已确认该事件，切断了未授权方的访问权限，启动了调查，并将此事移交执法部门处理。” 公司强调，攻击者并未获取社会保障号（SSNs）、身份证号、驾照信息或银行 / 支付详情等敏感数据。 DoorDash 表示，目前没有证据表明被盗数据已被滥用，同时确认 Wolt 和 Deliveroo 平台的用户未受到此次事件影响。 这家美国外卖配送与物流公司已向受影响用户发送了通知。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者在网络犯罪论坛上发帖，声称已成功入侵三星，并正在出售据称属于该公司的内部数据。 该黑客在帖子中称，他们入侵了一家为多家大型公司提供服务的三方承包商，这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。 根据攻击者的说法，该承包商的访问权限为其打开了通往三星部分基础设施的大门，特别是MSSQL数据库和AWS S3存储桶。 帖子中列出了据称被窃取的数据，包括： 源代码 私钥 SMTP凭证 配置文件 硬编码凭证 用户个人身份信息 泄露数据 该行为者还发布了数据样本，经Cybernews研究团队查验，其中包含一些内部Java项目结构的文件树。这表明可能存在源代码泄露，且很可能包含硬编码凭证，但未提供相关示例。 Cybernews研究人员解释道：“从员工信息来看，我们可以判断这些数据具体属于三星麦迪逊。这是一家提供医疗设备的公司，是三星电子家族的一部分，但仍以自己的公司结构运营。” 几张据称被窃数据库的截图包含了员工的联系信息，如电子邮件和用户名。从截图中无法确定这些用户名的具体用途。表名暗示其中可能还包含管理员凭证。 我们的研究人员表示：“仅泄露的电子邮件就可能导致员工遭受钓鱼攻击等社会工程攻击。” “如果其他表中存在密码，这些密码可能被用于凭证填充攻击。如果用户在其他地方重复使用了这些密码，则可能导致账户被接管。” 黑客以“一次性买断”为噱头出售窃取的数据集，并要求使用门罗币支付——这是网络黑市偏爱的加密货币。被盗数据集的售价尚未公布。 第三方漏洞已成痛点 此次关于第三方遭入侵的说法反映了网络犯罪领域的一个更广泛趋势。威胁行为者越来越多地瞄准供应链中的薄弱环节，而不是直接攻击通常防护严密的公司网络。 不幸的是，一家供应商被攻破就可能危及数十家大型企业。近年来已发生多起此类破坏性攻击，包括利用MOVEit文件传输软件零日漏洞的全球性网络窃取事件。通过利用该关键漏洞，与俄罗斯有关联的Cl0p勒索软件组织得以访问并窃取了大量敏感数据。 此前，Fortra的GoAnywhere托管文件传输软件中的一个漏洞，曾导致宝洁、壳牌、日立、Hatch Bank、Rubrik、维珍等众多公司被同一黑客组织入侵。 就在本月，芒果时装连锁店因第三方遭入侵而导致客户数据泄露。 9月，哈罗德百货公司透露，其一家第三方供应商遭遇网络攻击，导致43万名客户信息泄露。 8月，美国三大信用报告机构之一环联披露，黑客入侵其一款第三方应用程序，导致超过400万美国客户数据暴露。 5月，玛莎百货因第三方供应商遭受钓鱼攻击，遭遇了Scattered Spider勒索软件组织长达一个月的攻击，给公司造成了超过4亿美元的损失。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家医疗技术公司近日成为勒索攻击目标，黑客威胁称若不支付赎金将公开超过120万条患者医疗记录。据称失窃数据包含从诊断结果到检查总结在内的全方位敏感医疗信息。 网络犯罪分子在某知名数据泄露论坛上公开宣布此次攻击，声称近期从为医生提供计费服务的Doctor Alliance公司窃取了这些数据。Cybernews研究团队对攻击者公布的200MB数据样本进行分析后确认，其中包含各类高度敏感的医疗记录： 处方笺与治疗方案 检查总结与医院订单 患者姓名、家庭住址、电话号码 医保理赔编号 具体诊断信息 接诊医生姓名 研究团队警告：“此类医疗数据泄露使患者面临严重的身份盗用和医疗欺诈风险，例如冒用受害者名义获取医疗服务或处方药物。医患双方都可能成为社交工程攻击的目标。” 更严重的是，与可重置的密码或信用卡不同，医疗和生物特征数据具有不可再生性，一旦泄露将造成永久性隐私暴露。医疗数据在网络黑市中价值极高，犯罪分子常利用这些信息提交虚假医疗索赔，甚至非法购买处方药物。 总部位于达拉斯的Doctor Alliance公司与多家美国医疗机构保持合作，包括Intrepid、AccentCare、Carter、Interim等知名企业。该公司宣称过去15年间已协助签署数百万份医疗文件。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了两款不同的安卓木马 ——BankBot-YNRK 与 DeliveryRAT，它们能够从受感染设备中窃取敏感数据。 据对 BankBot-YNRK 三个不同样本展开分析的 CYFIRMA（安全公司）介绍，该恶意软件具备规避分析的功能：首先会检测自身是否运行在虚拟化或仿真环境中，随后提取设备制造商、型号名称等信息，确认是否处于真实设备上。 BankBot-YNRK 还会检测设备是否为 OPPO 品牌，或是否运行 ColorOS 系统。 CYFIRMA 表示：“该恶意软件还包含识别特定设备的逻辑，会验证设备是否为谷歌 Pixel 或三星机型，并检查其型号是否在预设的‘已识别 / 支持型号列表’中。这使得恶意软件仅对目标设备启用特定功能或优化，避免在未识别型号上执行。” 传播该恶意软件的 APK 安装包名称如下。三款应用均以 “IdentitasKependudukanDigital.apk” 命名，这一名称疑似试图仿冒印尼官方应用 “数字居民身份”（Identitas Kependudukan Digital）。 com.westpacb4a.payqingynrk1b4a com.westpacf78.payqingynrk1f78 com.westpac91a.payqingynrk191a 恶意应用安装后，设计用途包括窃取设备信息，并将音乐、铃声、通知等各类音频流音量调至零，防止受影响用户收到来电、短信及其他应用内通知的提醒。 该恶意软件还会与远程服务器（“ping.ynrkone [.] top”）建立通信，收到 “OPEN_ACCESSIBILITY”（开启辅助功能）指令后，会诱导用户启用辅助功能以实现自身目的，包括获取更高权限及执行恶意操作。 不过，该恶意软件仅能针对安卓 13 及以下版本设备发起攻击。2023 年底推出的安卓 14 新增了一项安全功能，禁止通过辅助功能自动申请或授予应用额外权限。 CYFIRMA 指出：“在安卓 13 及以前版本中，应用可通过辅助功能绕过权限请求；但在安卓 14 中，这种行为已无法实现，用户必须通过系统界面直接授予权限。” BankBot-YNRK 利用安卓的 JobScheduler 服务在设备上实现持久化，确保设备重启后仍能启动。它还支持多种指令，可获取设备管理员权限、管理应用、与设备交互、通过 MMI 代码转接来电、拍摄照片、执行文件操作，以及窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容。 该恶意软件的其他部分功能如下： 通过程序篡改应用名称与图标仿冒 “谷歌新闻”，并通过 WebView（网页视图）打开 “news.google [.] com”； 捕获屏幕内容，重建银行应用等程序的 “框架 UI”（skeleton UI），为窃取账号密码提供便利； 滥用辅助功能打开预设列表中的加密货币钱包应用，自动执行 UI 操作以收集敏感数据并发起未授权交易； 获取 62 款待攻击金融应用的列表； 显示 “个人信息正在验证” 的悬浮提示，同时执行恶意操作，包括为自身申请额外权限、将自身添加为设备管理员应用。 CYFIRMA 表示：“BankBot-YNRK 具备全面功能，旨在对受感染安卓设备实现长期控制、窃取金融数据并执行欺诈交易。” 与此同时，F6（安全机构）披露，威胁分子正分发 DeliveryRAT 的更新版本，以外卖服务、电商平台、银行服务及包裹追踪应用为伪装，针对俄罗斯安卓用户。据评估，这一移动威胁自 2024 年年中起开始活跃。 这家俄罗斯安全公司称，该恶意软件通过 “恶意软件即服务”（MaaS）模式传播，依托名为 “Bonvi Team” 的 Telegram 机器人，用户可通过该机器人获取 APK 文件或分发恶意软件的钓鱼链接。 随后，威胁分子会通过 Telegram 等即时通讯工具联系受害者，以 “跟踪虚假电商平台订单” 或 “获取远程工作机会” 为由，诱导受害者下载恶意应用。无论采用何种方式，该应用都会请求获取通知权限与电池优化设置权限，以便收集敏感数据并在后台持续运行而不被终止。 此外，这款恶意应用还能访问短信与通话记录，并在手机桌面启动器（home screen launcher）中隐藏自身图标，导致非技术用户难以将其从设备中卸载。 部分版本的 DeliveryRAT 还具备发起分布式拒绝服务（DDoS）攻击的能力，具体方式包括：向外部服务器传输的 URL 链接发送并发请求，或诱导用户扫描二维码以捕获数据。 这两款安卓恶意软件家族的发现，恰逢 Zimperium（移动安全公司）发布一份报告。该报告显示，自 2024 年 4 月以来，已发现超 760 款安卓应用滥用近场通信（NFC）技术，非法获取支付数据并发送给远程攻击者。 这些仿冒金融应用的虚假程序会诱导用户将其设为默认支付方式，同时利用安卓的主机卡模拟（HCE）功能，窃取非接触式信用卡及支付数据。 这些信息会被传输至威胁分子运营的 Telegram 频道或专用监听应用（tapper app）。随后，被盗 NFC 数据会被用于即时从用户账户提现，或在销售点（PoS）终端消费。 这家移动安全公司表示：“已有约 20 家机构被仿冒，主要是俄罗斯的银行与金融服务机构，同时也包括巴西、波兰、捷克共和国及斯洛伐克的机构。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文