HackerNews 编译，转载请注明出处： 一个未受保护的MongoDB数据库暴露了数百万条记录，涵盖双重认证码、哈希密码及钱包地址等敏感信息。更严重的是，这些数据已公开访问长达数月。 网络安全研究团队Cybernews发现，属于加密货币交易平台NCX的一个未设防数据库正在泄露大量敏感信息。该数据集包含多个数据集合，总计超过500万条记录。 研究团队指出：”NCX声称提供安全、快速、透明的加密货币交易服务，但此次泄露事件严重质疑了这些承诺，特别是在用户隐私和运营安全方面。” 泄露数据详情 暴露的1GB多数据包含全球用户的： 全名、用户名及出生日期 电子邮箱地址 用户上传的身份证明文件链接（KYC验证） 双重认证码及相关URL 内部API密钥 IP地址 哈希密码 头像URL 加密密钥 钱包地址及相关区块链交易信息 存取款记录、货币类型及冻结状态 客服日志及帮助中心通讯记录 研究人员发现数据存储于八个不同集合中，最大的集合包含超过200万条记录。所有数据均为最新，表明系统正处于活跃使用状态。 影响与建议 此次泄露使用户面临身份盗用、账户接管和加密货币钱包被盗等多重威胁。研究团队已向该公司进行负披露，但未获回应。 专家建议NCX立即采取以下措施： 立即下线MongoDB实例或通过防火墙限制访问 启用凭证访问和传输加密 更换暴露的2FA密钥并使秘密URL失效 通知受影响用户和监管机构 进行全面的取证审计 对于用户，研究人员建议： 考虑将资金转移至其他平台 警惕关于加密货币或投资的任何通讯 可注册信用监控服务以防身份盗用   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为 “圣诞盗贼”（Jingle Thief）的网络犯罪团伙，该团伙针对零售和消费服务行业组织的云环境发起攻击，实施礼品卡诈骗。 “‘圣诞盗贼’攻击者通过钓鱼和短信钓鱼窃取凭证，入侵发行礼品卡的机构。” 帕洛阿尔托网络公司 Unit 42 的研究员斯塔夫・塞蒂和沙查尔・罗伊特曼在周三的分析报告中表示，“一旦进入组织内部，他们就会设法获取发行未授权礼品卡所需的权限类型和级别。” 这些行动的最终目标是通过在灰色市场转售非法获取的礼品卡牟利。礼品卡之所以成为热门目标，是因为其兑换流程简单、所需个人信息极少，且难以追踪，这使得防御方难以调查欺诈行为。 “圣诞盗贼” 这一名称源于该威胁行为者的作案模式 —— 其礼品卡诈骗活动往往与节假日和庆典季同步。这家网络安全公司将该活动标记为 CL-CRI-1032，其中 “CL” 代表攻击集群，“CRI” 表示犯罪动机。 研究人员中度确信，该威胁集群与 “阿特拉斯雄狮”（Atlas Lion）和 “风暴 – 0539”（Storm-0539）犯罪团伙有关联。微软称这是一个源自摩洛哥的以经济利益为驱动的团伙，至少自 2021 年末起开始活跃。 “圣诞盗贼” 能够在被入侵组织中长期潜伏（部分案例长达一年以上），这使其成为极具危险性的团伙。在潜伏期间，该威胁行为者会进行全面侦察以绘制云环境地图，在云端横向移动，并采取措施规避检测。 Unit 42 表示，该黑客团伙于 2025 年 4 月至 5 月发起了一波协同攻击，目标是多家全球企业，通过钓鱼攻击获取入侵受害者云基础设施所需的凭证。在某次活动中，攻击者维持了约 10 个月的访问权限，并侵入了单个组织的 60 个用户账户。 研究人员指出：“他们利用云基础设施冒充合法用户，非法访问敏感数据，并大规模实施礼品卡诈骗。” 攻击过程中，攻击者常常试图入侵礼品卡发行系统，在不同项目中发行高价值卡，同时竭力减少操作日志和取证痕迹。 他们的攻击极具针对性，会根据每个受害者的情况定制方案：先进行侦察，再通过邮件或短信发送极具迷惑性的钓鱼登录页面，诱骗受害者输入微软 365 凭证。 一旦获取凭证，攻击者会立即登录目标环境并展开第二轮侦察，此次重点是受害者的 SharePoint 和 OneDrive，搜寻与业务运营、财务流程和 IT 工作流相关的信息。 这包括查找礼品卡发行流程、VPN 配置及访问指南、用于发行或追踪礼品卡的电子表格或内部系统，以及与虚拟机和 Citrix 环境相关的关键细节。 在后续阶段，攻击者会利用已 compromised 的账户在组织内部发送钓鱼邮件，以扩大立足点。这些邮件通常模仿 IT 服务通知或工单更新，内容基于从内部文档或过往通信中窃取的信息。 此外，“圣诞盗贼” 还会创建收件箱规则，将被黑账户的邮件自动转发至其控制的地址，随后立即将发送记录移至 “已删除邮件” 以掩盖痕迹。 在部分案例中，观察到该威胁行为者注册恶意验证器应用以绕过多因素认证（MFA）保护，甚至将其设备注册到 Entra ID 中，以便在受害者重置密码或吊销会话令牌后仍能维持访问。 除了专注于云服务而非端点入侵外，“圣诞盗贼” 的另一显著特点是倾向于滥用身份而非部署定制恶意软件，从而最大限度降低被检测的概率。 Unit 42 表示：“礼品卡诈骗结合了隐蔽性、速度和规模性，尤其是当攻击者能够访问存放发行流程的云环境时。这种谨慎的方式有助于规避检测，同时为后续欺诈行为奠定基础。” “要入侵这些系统，威胁行为者需要获取内部文档和通信记录。他们通过窃取凭证，并在提供礼品卡服务的目标组织的微软 365 环境中保持低调且持久的存在，来实现这一目的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）对Capita处以1400万英镑（约合1870万美元）的罚款，原因是2023年的一起数据泄露事件暴露了660万人的个人信息。 Capita是一家总部位于英国的大型外包和专业服务公司，拥有约3.4万名员工，年收入为30亿英镑，主要为英国和欧洲的客户提供咨询、数字和软件服务，客户包括地方政府、英国国家医疗服务体系（NHS）、国防部以及银行、公用事业和电信行业的组织。 数百家退休计划提供商受影响 ICO最初曾计划对Capita处以4500万英镑的罚款，但鉴于该公司承认责任、实施了重要的安全改进，并为受影响的个人提供数据保护服务，罚款金额被降低。其中，Capita plc被罚款800万英镑，Capita Pension Solutions Limited被罚款600万英镑。 ICO的调查现已确认，此次被盗数据影响了660万人，以及数百家Capita客户，包括英国的325家退休金计划提供商。 2023年4月，该公司宣布遭到黑客攻击，黑客试图入侵其内部的Microsoft 365环境，作为应对措施，部分系统被迫下线。三周后的更新确认，黑客访问了Capita内部IT基础设施的4%，并窃取了存储在被入侵系统上的私人文件。Black Basta勒索软件团伙声称对此次攻击负责，并威胁如果不支付赎金，将泄露所有被盗文件。 黑客入侵时长58小时 2023年3月22日，一名Capita员工下载了一个恶意文件，使黑客得以进入公司内部网络。尽管入侵行为在10分钟内被检测到，但Capita未能在接下来的58小时内隔离受感染的设备，这使得攻击者有足够的时间横向移动、在网络中传播并访问敏感数据库。 “该文件使得恶意软件得以部署到Capita网络中，使黑客能够留在系统中，获取管理员权限并访问网络的其他区域。”英国信息专员办公室表示。 “在2023年3月29日至30日期间，近一太字节的数据被窃取。2023年3月31日，勒索软件被部署到Capita系统中，黑客重置了所有用户密码，阻止Capita员工访问其系统和网络。”英国数据保护机构表示。 Capita因访问控制不力（缺乏分层管理员账户模型）、对安全警报的响应延迟、安全运营中心人员不足以及未能定期进行渗透测试和风险管理练习而被罚款。 Capita首席执行官阿道夫·埃尔南德斯宣布了与ICO达成的和解协议，强调自事件发生以来，公司为加强网络安全态势所做的努力和投资。他还指出，支付罚款预计不会对之前公布的投资者指导产生影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙时尚零售商MANGO正在向客户发送数据泄露通知，警告称其营销供应商遭到入侵，导致个人数据泄露。 MANGO于1984年在巴塞罗那成立，是一家服装和时尚配饰的设计商与制造商，在全球120个国家和地区拥有2800家实体店和电子商务店铺。 该公司拥有16300名员工，年收入为33亿欧元，其中约30%来自在线购买。 2025年10月14日，该公司向客户发送了数据泄露通知，告知他们用于营销活动的个人数据已被泄露。 通知中写道：“MANGO特此通知您，一家外部营销服务提供商遭受了未经授权的访问，部分客户的个人数据遭到泄露。” 此次事件中泄露的数据类型包括客户的名、国家、邮政编码、电子邮件地址和电话号码。 MANGO明确表示，此次事件中并未泄露姓氏、银行信息、信用卡数据、身份证、护照或账户凭据。 尽管泄露数据中缺少姓氏降低了风险，但攻击者仍可利用其他泄露的数据发动网络钓鱼攻击。 该公司还指出，其企业基础设施和IT系统未受影响，因此业务运营正常。 公司声明：“我们通知您，一切照常运行，MANGO的企业基础设施和系统未遭入侵。” 在得知营销服务提供商（尚未公开其名称）的数据泄露事件后，MANGO立即启动了所有安全协议。 公司还表示，已向西班牙数据保护局（AEPD）及相关部门通报了此次数据泄露事件。 MANGO设立了专门的电子邮箱（personaldata@mango.com）和电话热线（900 150 543），为可能因此次事件而受影响的客户提供支持。 BleepingComputer已联系MANGO，以了解更多关于此次网络攻击及其影响范围的信息，但在本文发布时尚未收到回复。 截至目前，尚未有勒索软件组织在其勒索网站上公布MANGO，因此攻击者的身份仍然不明。       消息来源： bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Discord（知名社交平台）表示，不会向声称窃取了该公司 Zendesk 客服系统数据的威胁行为者支付赎金。黑客称此次泄露涉及 550 万独立用户的信息，其中包括部分用户的政府身份证件（如身份证、护照等）及不全的支付信息。 对于黑客 “泄露 210 万张政府身份证件照片” 的说法，Discord 同样予以驳斥，称实际仅有约 7 万名用户的政府身份证件照片可能被曝光。 尽管黑客声称泄露是通过 Discord 的 Zendesk 客服系统发生的，但 Discord 并未证实这一说法，仅表示事件与一款用于客户支持的第三方服务有关。 Discord 官方回应：未自身遭入侵，数据量说法不实 Discord 在给 BleepingComputer（科技媒体）的声明中表示：“首先，正如我们在博客文章中所提及的，此次事件并非 Discord 自身系统遭入侵，而是我们用于辅助客户服务的第三方服务出现问题。 其次，目前流传的数据规模说法均不准确，这些说法是黑客试图向 Discord 勒索赎金的手段之一。在全球范围内受影响的账户中，我们已确认约 7 万名用户的政府身份证件照片可能被曝光 —— 这些照片是我们的服务商此前用于审核年龄相关申诉时留存的。 第三，我们不会为这些人的非法行为提供任何‘奖励’（即支付赎金）。” 黑客自述：通过外包客服账户入侵，窃取 1.6TB 数据 BleepingComputer 与黑客沟通后了解到，对方认为 Discord 未如实披露此次泄露的严重性，并声称从 Discord 的 Zendesk 系统中窃取了 1.6 太字节（TB）的数据。 据威胁行为者称，他们自 2025 年 9 月 20 日起，持续访问 Discord 的 Zendesk 系统长达 58 小时。但黑客表示，此次入侵并非源于 Zendesk 自身的漏洞或安全 breach，而是通过一个 “外包客服账户” 实现的 —— 该账户归属 Discord 合作的业务流程外包（BPO）服务商旗下的一名客服人员，且该账户已被黑客控制。 如今，许多企业会将客服及 IT 帮助台业务外包给 BPO 服务商，这类外包账户已成为黑客的热门攻击目标，攻击者可通过其获取下游客户环境的访问权限。 黑客还声称，通过 Discord 内部的 Zendesk 系统，他们得以访问一款名为 “Zenbar” 的客服应用。借助该应用，黑客可执行多种客服相关操作，例如关闭用户的双重认证（MFA）、查询用户的手机号及邮箱地址等。 攻击者表示，通过入侵 Discord 的客服平台，他们窃取了 1.6TB 的数据，其中包括约 1.5TB 的工单附件（如用户提交的申诉材料）和超过 100GB 的工单对话记录（客服与用户的沟通内容）。 黑客称，这些数据涉及约 840 万条客服工单，覆盖 550 万独立用户，其中约 58 万名用户的信息中包含某种形式的支付数据。 不过，威胁行为者也向 BleepingComputer 承认，他们无法确定政府身份证件的具体泄露数量，但认为远不止 Discord 所说的 7 万份 —— 因为仅涉及 “年龄验证” 的工单就有约 52.1 万条（这类工单通常需用户提交身份证件）。 泄露数据样本含多类敏感信息，支付数据或通过系统集成获取 黑客还分享了部分窃取的用户数据样本，内容涵盖多种敏感信息，包括：用户邮箱地址、Discord 用户名及 ID、手机号、不全的支付信息（如部分银行卡号）、出生日期、双重认证相关配置信息、账户可疑活动等级，以及其他 Discord 内部标注的用户信息。 黑客称，部分用户的支付信息可通过 Zendesk 与 Discord 内部系统的集成功能获取。据其描述，这些集成功能使得攻击者能通过 Zendesk 平台，向 Discord 内部数据库发起数百万次 API 查询，进而获取更多用户数据。 目前，BleepingComputer 尚未能独立核实黑客的说法，也无法确认所提供数据样本的真实性。 勒索谈判破裂，黑客威胁公开泄露数据 黑客透露，该团伙最初向 Discord 索要 500 万美元赎金，后降至 350 万美元，并在 9 月 25 日至 10 月 2 日期间与 Discord 进行了私下谈判。 在 Discord 终止沟通并就此事发布公开声明后，黑客表示 “极度愤怒”，并威胁称若赎金要求得不到满足，将公开泄露所有窃取的数据。 BleepingComputer 就黑客的说法向 Discord 提出了进一步疑问（例如 “为何在完成年龄验证后仍留存用户的政府身份证件”），但除上述声明外，未获得更多回应。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国连锁零售商 Co-op（合作社集团）表示，今年 4 月遭遇的网络攻击不仅导致门店货架空置，还造成客户数据被盗，最终使其营收减少 2.06 亿英镑（约合 2.74 亿美元）。 此次攻击是今年春季影响英国企业的多起重大网络安全事件之一，零售巨头玛莎百货（Marks & Spencer，简称 M&S）也在受影响之列。7 月，警方逮捕了 4 名与 Co-op、玛莎百货及哈罗德百货（Harrods）黑客攻击事件相关的人员，其中包括 1 名未成年青少年。据悉，这些黑客被认为与 “分散蜘蛛”（Scattered Spider）团伙有关 —— 该团伙是由一群年轻网络犯罪分子组成的松散组织。 在周四提交的财报中，Co-op 指出其食品业务受此次事件冲击最为严重，“由于（公司）主动将系统下线，商品库存可用性大幅下降”。事件被发现后的数周内，门店供货情况明显受影响，Co-op 首席执行官希琳・胡里 – 哈克（Shirine Khoury-Haq）曾向消费者表示，员工正 “夜以继日地工作，以保护我们的系统并推动运营恢复正常”。 该公司在财报中称：“门店虽持续营业，但受到多重因素影响：商品库存不足、竞争对手趁机抢占市场份额，以及核心交易系统与促销活动暂时无法正常运行。” 据悉，Co-op 通过断开网络连接，避免了其系统被勒索软件锁定的风险。尽管如此，该公司 650 万会员的全部数据仍在此次事件中被盗。 Co-op 表示，今年上半年，这起网络攻击造成的总利润损失达 8000 万英镑（约合 1.067 亿美元）。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上月，马里兰州交通管理局（MTA）披露，多个州政府部门正遭遇网络攻击，相关系统受到影响，其中包括用于组织残障人士交通出行的系统。本周，MTA对这一事件的情况进行了更新。 MTA确认在这次网络攻击中存在数据被盗。 MTA工作人员维罗妮卡·巴蒂斯蒂（Veronica Battisti）表示，由于调查仍在进行且相关议题十分敏感，机构“无法透露具体或额外的细节，包括到底有哪些数据丢失、多少人受到影响”。 官员们称，州信息技术部正与网络安全专家及执法机构合作，调查此次事件。 勒索团伙开口要价：30枚比特币 据网络安全公司VenariX报告，本周三，名为Rhysida的勒索软件团伙宣称对此次攻击负责，并要求MTA在七天内交付赎金30枚比特币（约合340万美元）。 该团伙分享了部分被盗数据样本，其中包括护照、驾驶执照、合同及其他文件。 核心服务正常，其他服务待恢复 MTA称，其核心交通服务如公交线路、地铁和轻轨系统未受到影响，但此次攻击破坏了部分实时信息系统，以及Mobility等特殊交通服务的相关工具。 Mobility是一种定制化出行服务。专为无法直接到达，或在公交站点等待的居民提供的共享出行服务。用户可通过网站预约车辆，从家门口接送至目的地。 据悉，攻击发生后，Mobility服务于8月29日通过临时电话系统恢复，但MTA未说明全面恢复需要多久。目前仍有部分公交车无法提供实时位置追踪。 在事件调查过程中，MTA也提醒居民采取预防措施，如警惕钓鱼邮件、及时修改密码、使用多重身份验证，并保持设备软件更新。 恶贯满盈，Rhysida攻击已非首次 这起针对MTA的攻击，是本周第二起涉及州政府的勒索软件事件。在此之前，INC勒索团伙声称攻击了宾夕法尼亚州检察长办公室。 自2023年冒头以来，Rhysida已在美国多地制造混乱，对西雅图和俄亥俄州哥伦布市政府的攻击一度导致关键服务中断。 该团伙的攻击目标遍及全球，科威特、葡萄牙和多米尼加共和国的政府部门都曾遭殃。他们甚至毫不避讳地对儿童医院、医疗网络、慈善机构和公共图书馆下手。 就在去年，Rhysida还攻击了马里兰州的 普林斯乔治县公立学校系统，导致近10万名学生和教职工的信息被曝光。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个网络犯罪集团声称已成功攻击德国的包机运营商 FAI Aviation Group。攻击者表示，他们获取了大量敏感数据，从公司文件到医疗信息不等。 该航空公司被列在 J Group 勒索软件团伙的暗网博客上。该博客用于展示其最新的受害者，有时也会公布被窃取的数据。网络犯罪分子称，他们掌握了近 3TB 的数据。 FAI 是一家总部位于纽伦堡的包机运营商，提供固定翼救护机服务、豪华公务机包机以及任务关键型航空服务。该公司在迪拜和巴林设有子公司，员工总数约 300 人。 FAI 数据泄露了什么？ J Group 在其帖子中声称，此次数据泄露涉及多类敏感和个人信息。例如，黑客称他们获取了私密的患者数据，这可能与 FAI 的空中救护服务相关。数据集中据称包含患者的临床信息。 攻击者还表示，泄露的信息包括商业文件、项目资料、涉及员工投诉的公司内部文件，以及其他原本不应公开的内容。 Cybernews 研究团队调查了攻击者在暗网帖子中附带的文件。不过，该附件仅是一个文本文件，显示了所谓被盗文件和文件夹的目录树。据团队称，目录中提及了：各类员工培训文件、审计文件、飞机规格文件、个人简历（CV）、护照复印件等。 研究团队认为，恶意行为者可能利用这些泄露的信息进行身份盗窃和欺诈。相关文件可能被用于开设虚假账户，从而对被泄露人员造成经济损失。 另一个潜在风险是 社会工程攻击。例如，攻击者可能冒充 FAI 或其他包机服务公司行骗，因为他们知道受害者群体使用此类服务，而且很可能具备一定的资金实力。 更糟的是，医疗和生物识别数据 不可更改。一旦被泄露，用户无法“修改”自己的病历，从而带来长期风险。与此同时，内部审计文件可能揭示公司系统的弱点，未来可能被持续攻击者利用。 黑客团伙往往将航空公司与包机运营商作为攻击目标，因为任何业务中断对航空公司来说都代价高昂。过去三个月内，已有多家航空公司中招，包括加拿大第二大航空公司 西捷航空（WestJet Airlines）、美国的 阿拉斯加航空（Alaska Airlines）、澳大利亚的澳洲航空（Qantas）以及美国的 夏威夷航空（Hawaiian Airlines）。 J Group 勒索软件团伙是谁？ J Group 是网络犯罪地下世界的一支新兴力量，最早在 2025 年初被发现。目前关于该团伙的活动信息不多。不过，安全研究人员指出，该团伙的攻击目标跨度极大，从游乐园到马铃薯加工企业都有涉及。 研究者认为，该团伙的行为表明他们仍在尝试确立身份并寻找稳定的运作模式。有趣的是，他们可能会采取一种日益流行的数据经纪手法。 传统勒索软件团伙通常以“公开泄露数据”来威胁受害者，如果对方拒绝支付赎金。而类似 J Group 的团伙则可能尝试直接 公开出售数据，以在谈判失败后套现。 根据 Cybernews 的暗网监控工具 Ransomlooker 的数据显示，J Group 至今已攻击至少 32 家机构，成为近期最活跃的新兴黑客组织之一。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，韩国数据保护监管机构对本国第五大信用卡发行机构 —— 乐天信用卡（Lotte Card）遭遇的网络攻击展开调查。韩国个人信息保护委员会（Personal Information Protection Commission，PIPC）于周一表示，正与金融监管机构合作，以确定此次数据泄露的完整范围（约 300 万客户的个人信息已泄露），并核查乐天信用卡是否违反了韩国的数据保护相关法律。 乐天信用卡上周证实，黑客在 8 月中旬获取了大量用户数据，包括身份证号、内部用户标识及联系方式。此外，数千名用户的敏感财务信息（如卡号、有效期及验证码）也遭到泄露。 据韩国当地媒体报道，不明身份的攻击者利用了一台支付服务器上的未修复漏洞。该漏洞自 2017 年起便存在，尽管 2017 年就已发布相关安全补丁，但乐天信用卡承认，一台用于 “使用频率较低的海外支付服务” 的服务器并未安装该补丁。 另有报道称，在被认为已泄露的 2700 个文件中，仅约 56% 进行了加密处理。黑客入侵近两周后，该公司才在一次服务器例行检查中发现数据泄露事件。 这家总部位于首尔的信用卡机构，服务着约 960 万客户，处理的交易金额约占韩国每日信用卡消费总额的 10%。目前，该公司已开始通知受影响用户暂停使用信用卡或办理换卡手续，并表示尚未发现未经授权的交易记录。 在周四举行的新闻发布会上，乐天信用卡首席执行官赵和珍（Cho Jwa-jin）公开致歉，并承诺对用户遭受的损失进行全额赔偿。他表示：“我们将以此为契机，从根本上改革安全体系，完善公司整体管理架构。” 此次事件引发了公众对乐天信用卡的控股股东MBK Partners的争议，外界质疑其忽视了网络安全方面的投资。韩国当地媒体称，自 MBK Partners 收购乐天信用卡后，后者的安全预算有所缩减。 MBK Partners 否认了上述批评，称过去六年已向乐天信用卡的信息技术（包括网络安全）领域投入约 6000 亿韩元（折合 4.3 亿美元）。该公司一名官员表示：“我们将信息技术、网络安全及公司治理视为维护企业价值和客户信任的核心资产。” 尽管如此，据报道，韩国执政党国民力量党（People Power Party）计划在议会听证会上传唤 MBK Partners 董事长金秉柱（Kim Byung-ju），认为该公司应对此次数据泄露的严重程度承担责任。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国公共广播档案馆（American Archive of Public Broadcasting，简称 AAPB）官网存在一处漏洞，多年来导致受保护及私密媒体内容可被下载；本月，该漏洞已被悄悄修复。 网络安全研究员（要求匿名）向 BleepingComputer 网站透露了这一漏洞，称至少自 2021 年起，该漏洞就被人利用 —— 即便此前研究员已向 AAPB 通报过该问题。 在就漏洞联系 AAPB 后，该机构发言人确认了问题存在；研究员随后验证，漏洞在 48 小时内便完成修复。 AAPB 传播经理艾米丽・鲍克（Emily Balk）向 BleepingComputer 表示：“我们致力于保护和保存 AAPB 的档案资料，目前已加强了档案馆的安全防护措施。我们期待继续向公众免费开放公共媒体历史内容，让所有人都能便捷获取。” 美国公共广播档案馆由 WGBH 教育基金会（WGBH Educational Foundation，简称 GBH）与美国国会图书馆联合运营，是一家公共非营利性档案馆。其核心使命是收集、数字化并保存美国公共广播电台及电视台制作的具有历史意义的内容。 BleepingComputer 了解到，AAPB 这一漏洞最初是在 “失落媒体维基”（Lost Media Wiki）的 Discord 频道中流传开来的 —— 当时该频道正讨论《芝麻街》（Sesame Street）“西方邪恶女巫”（Wicked Witch of the West）剧集片段的泄露事件。 “失落媒体维基” 已下架了该剧集片段，称其 “很可能是通过非法数据泄露获取”，并敦促频道成员不要在 Discord 上重新分享。 最初，利用该漏洞的方法处于保密状态；但到 2024 年年中，其开始在 Discord 的内容保存社群中传播，导致更多受保护内容在专注于内容保存的 Discord 服务器上泄露。 这类社群被称为 “数据囤积者”（data hoarders），他们致力于存档软件、网站、操作系统及各类媒体内容（包括电视节目、音乐、电影等）。然而，他们的运作往往处于 “灰色地带”—— 所保存和分享的内容涉及版权问题，模糊了与数字盗版之间的界限。 即便 AAPB 采取了下架措施，该漏洞的利用方法仍在多个 Discord 服务器及即时通讯应用中传播。研究员向 BleepingComputer 提供的 “概念验证”（proof-of-concept）显示，滥用这一漏洞的操作极为简单。 研究员分享的漏洞利用工具是一个简单的 Tampermonkey 脚本（浏览器插件脚本），其利用的是 “不安全的直接对象引用”（Insecure Direct Object Reference，简称 IDOR）漏洞。通过该脚本，用户可通过媒体 ID 直接请求媒体文件，从而绕过 AAPB 的访问控制机制。 该漏洞允许用户篡改媒体访问请求中的 “媒体 ID 参数”：即便某些内容处于受保护或私密状态，只要用户通过 ID 发起访问请求，就能获取相应资源。 尽管 AAPB 官网的主要媒体页面（路径为/media/{ID}）设有部分访问控制，但攻击者可通过篡改后台的 “fetch” 或 “XMLHttpRequest”（两种网页数据请求方式）绕过限制。 按照正常逻辑，AAPB 的服务器本应通过 “403 禁止访问”（403 Forbidden）错误拒绝这类非法请求；但实际情况是，只要请求中包含有效的媒体 ID，服务器就会直接返回对应内容。 目前该漏洞虽已修复，但尚不清楚 “数据囤积者” 社群已获取并分享了多少内容。 此次美国公共广播档案馆的内容泄露事件，并非今年首例与公共广播相关的信息安全问题。此前，美国公共广播公司（PBS）员工的联系信息也曾遭泄露，并在 “PBS Kids”（PBS 儿童频道）粉丝的 Discord 服务器中传播。 这两起事件均表明，即便不带有恶意目的，档案社群及粉丝社群仍有可能获取敏感或私密数据。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文