9月15日，一名黑客侵入了一名优步员工的办公通讯应用 Slack，发布了如上信息。次日，根据多家外国媒体报道，这家国际网约车巨头证实其系统遭到了黑客攻击，但尚不清楚黑客访问了哪些内部数据。 因为此次攻击，优步下线了部分系统功能，给业务带来一定影响。据《华盛顿邮报》当日看到的一份内部故障报告称，部分地区从优步客户一度无法打车或下单外卖，受影响地区包括美国乔治亚州的亚特兰大以及澳大利亚的布里斯班。 在发布的信息中，这名黑客还列举了几个已经泄露的内部数据库信息，并在随后访问了其他内部系统，当员工在Slack上访问其他内部信息时，会被跳转至一张色情图片。 优步随后紧急关闭了 Slack及部分工程系统，但在9月16日的调查进展中表示，公司所有服务已正常运行，此次攻击也没有证据表明涉及到用户的出行记录等敏感信息。优步已在事发后第一时间报警。 但有分析表明，实际情况可能并非如此。独立安全研究员Bill Demirkapi认为，“没有证据”可能意味着黑客确实拥有访问权限，优步只是没有找到证据进行核实。 攻击细节 据悉，包括《纽约时报》、《华盛顿邮报》、Bleeping Computer在内的媒体均与声称为此事负责的黑客取得了联系。《纽约时报》表示，黑客对一名优步员工进行社会工程攻击并窃取了其账户密码后实施了入侵。根据黑客分享给Bleeping Computer的截图显示，黑客似乎访问了优步多项关键的IT系统，包括安全软件和 Windows 域，以及 Amazon Web Services 控制台、VMware vSphere/ESXi 虚拟机、用于管理 Uber 电子邮件帐户的 Google Workspace 管理后台。 优步攻击事件路径图 此外，黑客还一并侵入了优步用于悬赏安全漏洞的HackerOne账户，并在HackerOne封禁该账户前下载了所有漏洞报告，这其中可能包括一些尚未修复的漏洞，如果这些漏洞被恶意利用，将会给优步带来巨大的安全威胁。 虽然目前尚不清楚黑客的具体动机，但据悉，这名黑客是一名年仅18岁的少年，利用社会工程学及MFA疲劳攻击成功打破了这家巨头的安全防线。 黑客声称使用了MFA疲劳攻击 根据安全研究员与这名少年的交谈中得知，他试图以优步员工的身份登录，但由于优步帐户受到多因素身份验证的保护，因此使用了 MFA 疲劳攻击并伪装成优步 IT 支持人员来说服员工接受 MFA 请求。MFA 疲劳攻击是指向目标发出重复的验证请求，直到受害者厌倦并接受。随后，他继续通过公司 VPN 登录到内部网络，并开始扫描公司的内部网以获取敏感信息。期间，他发现了一个 PowerShell 脚本，其中包含公司 Thycotic 特权访问管理 (PAM) 平台的管理员凭证，该平台用于访问公司其他内部服务的登录密码。 这起攻击事件很容易让人联想起这家巨头企业在2016年发生的另一起大规模数据泄露事件，涉及约5700万名乘客和司机的姓名、电话号码及电子邮件地址以及约 60 万名美国司机的驾照信息。事发后，公司向黑客支付了价值10万美元比特币，使得该事件在随后一年内并未被曝光。 安全管理疏忽让社工趁虚而入 在此次针对优步的攻击事件中，我们再次领略到了社会工程学的长久不衰、无孔不入，近年来，包括Twitter、Cloudflare、LastPass等巨头企业都深受其害。在2020年7月发生的堪称Twitter史上最大规模安全事件中，黑客买通至少一位内部员工，获得了大量大V账号权限，导致包括多位政要、知名公司及个人账号被黑。 由于社会工程学门槛较低，易于掌握，以至于这位18岁的少年黑客也能熟练运用，他在与《纽约时报》的交流中表示，自己学习网络安全技能已经好几年，之所以入侵优步的系统，是因为该公司的安全措施薄弱，这也从侧面反映了企业在网络安全管理上存在巨大疏漏。 BlackBerry 威胁研究和情报副总裁 Ismael Valenzuela Espejo 表示，目前人们在防范APT攻击上投入了大量精力，从而忽视了其他威胁因素，比如内部人员。企业在建立威胁模型时，应该评估当这些内部人员有意或无意参与到对企业的攻击行为中时，其自身能力和技能水平会对企业产生多大的危害。 这也同时表明，基于密码的身份验证是账户安全中的一块薄弱环节，有验证时效的一次性验证码 (TOTP) 已不足以维持2FA的安全性。目前的一种解决方法是使用符合FIDO2标准的防钓鱼物理安全密钥，它不再使用密码，而由一个外部硬件设备来处理验证信息。此外，专家也建议MFA服务商出台一种机制，当短时间内收到大量验证请求时能够默认自动暂时锁定账户，以此来限制非法登录。 Elevate Security 的联合创始人兼总裁 Masha Sedova 在一份声明中也表示，一家公司的安全水平与取决于其中安全意识最差的员工，认为安全培训需要让安全风险最高的员工与更具体的保护控制措施相结合。 旧戏还会重演？ 在2016年的重大数据泄露中，优步前首席安全官Joe Sullivan因涉嫌企图对事件进行掩盖，妨碍司法公正，于2020年8月被联邦法院提起刑事诉讼，并在2021年底被附加三项电汇欺诈罪指控，指责其为了掩盖事件策划了向两位黑客支付巨额“封口费”。 根据美国联邦法院网站提供的详情，Sullivan在事发后试图利用漏洞赏金计划向黑客支付报酬，该计划通过第三方中介向所谓的“白帽”黑客付款，称这些黑客在并未有泄露数据的情况下指出了安全问题。优步最终在 2016 年 12 月向黑客支付了价值 10 万美元比特币。此外，Sullivan还试图让黑客签署保密协议，其中包含黑客没有获取或存储任何数据的虚假陈述。2017年11月，优步的新管理层最终向美国联邦贸易委员会(FTC)披露了事情真相。 巧合的是，在9月15日攻击事件后的第二天，优步首席执行官Dara Khosrowshahi参加了美国检方对于Sullivan相关指控的审判，可谓是一波未平一波又起。这一次，优步是否会及时公开、透明地进行处理目前还不得而知，这很大程度上取决于接下来的排查评估工作。但Acronis首席信息安全官 Kevin Reed说道：”与2016年的事件相比，这次妥协的可能性更大，黑客很可能已经获得了数据，无论优步对外宣称数据是否安全。“ 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344869.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 2022年6月27日，网络安全公司Imperva成功拦截了253亿次请求的DDoS攻击。据专家称，此次攻击创下了Imperva应用程序DDoS缓解解决方案的新纪录。 此次攻击的目标是一家不知名的中国电信公司，持续时间超过了四个小时，最高达到390万RPS。 公告中写道：“2022年6月27日，Imperva拦截了一次超过253亿次请求的攻击，创下了Imperva应用程序DDoS缓解解决方案的新纪录。虽然每秒请求数（RPS）超过100万次的攻击并不常见，但我们之前只看到它们持续几秒到几分钟。6月27日，Imperva成功拦截了一次持续四个多小时的强攻击，峰值为390万RPS。” 过去，这家中国电信公司已经成为大型攻击的目标，专家补充称，两天后，它的网站遭受了新的DDoS攻击，尽管攻击持续时间较短。 这次破纪录攻击的平均速率为180万RPS。黑客使用HTTP/2多路复用，或将多个数据包合并成一个，通过单个连接一次性发送多个请求。 攻击者使用的技术很难检测到，并且可以使用有限数量的资源击倒目标。 Imperva继续说道：“由于我们的自动化缓解解决方案可以保证在三秒内阻止DDoS，因此我们估计，攻击的速度可能比我们跟踪的390万RPS峰值要高出很多。” 这一特定攻击是由170000个不同IP组成的僵尸网络发起的，包括路由器、安全摄像头和受损服务器。受损设备分布在180多个国家，其中大多数位于美国、印度尼西亚和巴西。 2022年9月12日，星期一，Akamai阻止了针对其欧洲客户史上最大的DDoS攻击。恶意流量的峰值达到704.8 Mpps，似乎与Akamai在7月记录的黑客是同一人，并且攻击了同一客户。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国联邦通信委员会 (FCC) 周二表示，将中国太平网络公司、其全资子公司 ComNet (USA) 和中国联通 (Americas) 列为对美国国家安全的威胁。这些指定是根据旨在保护美国通信网络的 2019 年法律。 据悉，2021年3月FCC最初将五家中国公司列入其所谓的“名单”，其中包括华为、中兴、海能达、海康威视和大华股份，今年3月中国电信和中国移动也被列入其中。 今年早些时候，美国监管机构以国家安全问题为由，投票撤销了中国联通在美国的子公司、太平洋网络和 ComNet 在美国运营的授权。FCC 主席 Jessica Rosenworcel 表示，此举对于保护美国通信网络免受外国国家安全威胁至关重要。 “我们正在采取额外的行动来关闭这些公司的大门。” 3 月，FCC将俄罗斯的AO卡巴斯基实验室、中国电信（美洲）和中国移动国际美国公司加入了涵盖名单。 2021年10月，FCC 还撤销了美国对中国电信（美洲）的授权，并于 2019 年以国家安全风险为由，拒绝了中国移动提供美国电信服务的投标。 列入名单意味着来自FCC的80亿美元（120 亿澳元）普遍服务基金的资金不得用于购买或维护这些公司的产品。该基金支持农村地区、低收入消费者和学校、图书馆和医院等设施。 今年早些时候，中国驻华盛顿大使馆表示，美国联邦通信委员会“在没有事实根据的情况下，再次滥用国家权力，恶意攻击中国电信运营商，美方应立即停止对中国企业的无理打压”。 中国商务部也早就指出，美方此举泛化国家安全概念，滥用国家力量，在缺乏事实依据的情况下恶意打压中国企业，违背市场原则，破坏双方合作氛围，中方对此表示严重关切。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/BuOze0I0v61JDJnFvmVJ9Q 封面来源于网络，如有侵权请联系删除

黑客本周再次将目光瞄准了游戏行业，尤其是像 Take-Two Interactive 这样大型游戏开发商。本周二，该开发商旗下 2K Games 发布公告，表示一个“未经授权的第三方”入侵了其支持社区，并利用该平台向客户发送恶意链接。 就在 1 天前，该开发商旗下的 Rockstar 确认遭到黑客入侵，导致《GTA VI》的大量开发数据被窃取并在网络上曝光。虽然目前并没有证据表明本次 2K 入侵事件和此前的 Rockstar 事件存在关联，但是这两者均隶属于 Take-Two Interactive。对于母公司的安全记录来说，这是一个特别具有破坏性的一周。 2K Games 是众多热门系列游戏的发行商，涵盖体育、射击和动作类型，包括《无主之地》、《生化奇兵》、《文明》以及 NBA 2K 和 WWE 2K 系列。总的来说，这些游戏已售出数亿套：截至 2021 年，仅《NBA 2K》系列就已售出 1.12 亿份。 根据 Bleeping Computer 的报道，周二，许多 2K 客户收到了电子邮件，其中提到了他们尚未创建的 Zendesk 支持票证。电子邮件中附有 zip 文件，其中包含标记为 2K 游戏新启动器的可执行程序，但实际上包含被称为 RedLine 的信息窃取恶意软件。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1319209.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，数字资产交易公司 Wintermute 首席执行官 Evgeny Gaevoy 宣布 DeFi 相关业务遭到黑客攻击，损失了约 1.622 亿美元。 Wintermute 表示，接下来几天服务可能会中断，但 CeFi 及 OTC 业务不会受影响。此外，与 Wintermute签订 MM 协议的用户资产依旧安全，担心资金安全的用户可以直接提取自己的资金，公司当前还握有损失数额两倍的股权，依旧据有偿付能力。 值得一提的是，Gaevoy 表示愿意将这一安全事件视为 “白帽子 ”事件，这意味着他们愿意向成功利用该漏洞的攻击者支付赏金，而不会产生任何法律后果。 但是尚不清楚威胁攻击者是否有兴趣将被盗资金返还给 Wintermute。 据悉，黑客的钱包目前持有大约价值 4770 万美元的数字资产，其余的钱已经被转移到 Curve Finance 的 “3CRV ”流动资金池中。 黑客攻击是如何发生的？ Gaevoy 没有透露关于黑客如何设法窃取资金的具体细节，一些加密货币专家认为，攻击者可能利用了 Profanity 中的一个漏洞，Profanity 是以太坊的虚拟钱包地址生成器。 Profanity工具允许用户生成的地址不是完全随机的，而是包含一个以太坊虚拟地址生成工具，允许用户创建一个个性化的地址，包含一串预定义的数字和字母（A到F）。几年前，Profanity 项目作者因其存在的一些安全漏洞可以破解私钥，放弃了这个项目。更具体地说，据估计，有人可以用大约 1000 个 GPU 在 50 天内破解 7 个字符的虚荣地址私钥。 虽然如此多的 GPU 需要大量的投资，但是在最近的以太坊合并后，强大的挖矿场已经变得毫无作用，其中一些农场经营者可能会发现，破解 Profanity 地址将是恢复盈利的绝佳方式。 最近，安全分析师披露了 Profanity 漏洞，并声称攻击者可能已经利用其盗取了 330 万美元。因此呼吁在使用 Profanity 创建的钱包上持有资金的用户，应立即将资产转移到其它地方。 目前，Profanity 项目作者已经删除了所有的二进制文件，并将项目的 GitHub 存储库存档，以期降低未来有人使用不安全工具的风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/345135.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国航空公司披露了一起数据泄露事件，黑客可以访问员工电子邮件账户。 入侵者可以访问帐户中包含的敏感个人信息，但该公司的数据泄露通知指出，它不知道任何滥用公开数据的情况。 安全漏洞于7月5日被发现，该航空公司立即采取措施缓解事件并保护受影响的电子邮件帐户。随后，美国航空公司在一家领先的网络安全取证公司的帮助下展开了调查。 发送给受影响客户的数据泄露通知（来源 Bleeping Computer）指出：“2022年7月，我们发现一名未经授权的黑客入侵了美国航空公司团队成员的电子邮件账户。在发现事件后，我们对相关电子邮件帐户采取了保护措施，并聘请了第三方网络安全取证公司进行取证调查，以确定事件的性质和范围。调查确定，这些电子邮件账户中有某些个人信息。我们进行了全面的eDiscovery练习，并确定您的一些个人信息可能已包含在访问的电子邮件帐户中。我们没有证据表明您的个人信息被滥用。然而，出于谨慎考虑，我们希望向您提供有关事件的信息以及您可以采取的保护措施。” 泄露的数据包括姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾照号码、护照号码和/或受影响个人提供的某些医疗信息。 该公司宣布，正在实施额外的技术保障措施，以防止今后发生类似事件。美国航空公司免费提供Experian IdentityWorksSM两年会员资格，以保护受影响用户的身份。 BleepingComputer报道称，美国航空公司员工的账户在一次网络钓鱼活动中被泄露。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一群恶意行为者加强了他们的网络钓鱼活动，以欺骗大公司（尤其是能源、专业服务和建筑行业的公司）提交他们的 Microsoft Office 365 帐户凭据。根据网络钓鱼检测和响应解决方案公司 Cofense 的一份报告，这些恶意行为者改进了诱饵元素的流程和设计，现在将自己伪装成一些美国政府机构，例如交通部、商务部和劳工部。 Cofense 表示 威胁行为者正在开展一系列活动，以欺骗美国政府的多个部门。这些电子邮件声称要求对政府项目进行投标，但却将受害者引导至凭据网络钓鱼页面。相关证据表明这些活动早在 2019 年年中就已经投入运营，并于 2019 年 7 月首次在我们的 Flash Alert 中进行了报道。 这些活动精心设计的相关文件已出现在受安全电子邮件网关 (SEG) 保护的环境中，并且非常有说服力，也更有针对性。随着时间的推移，它们通过改进电子邮件内容、PDF 内容以及凭据网络钓鱼页面的外观和行为而不断发展。 Cofense 展示了一系列截图，比较了攻击者用于诱骗用户点击的前后材料。其中最先获得改进的是电子邮件和 PDF，现在用于诈骗的版本可谓是非常真实。 Cofense 补充道。 “早期的电子邮件只有简单的正文，没有徽标，语言相对简单。最近的电子邮件使用了徽标、签名块、一致的格式和更详细的说明。最近的电子邮件还包括访问 PDF 的链接，而不是直接附加它们”。 另一方面，为了防止受害者的怀疑，攻击者还对凭证钓鱼页面进行了更改，从登录过程到设计和主题。页面的 URL 也有意更改为更长的 URL（例如，transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com），因此目标只能在较小的浏览器中看到 .gov 部分视窗。此外，该活动现在具有验证码要求和其他说明，以使该过程更加可信。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318403.htm 封面来源于网络，如有侵权请联系删除

印度尼西亚议会在这个东南亚国家遇到几起违规事件后的几个月，提出了一项数据隐私法作为其第一项动议。周二，印度尼西亚立法者通过了已经审议了一年多的个人数据保护法案。有了这项法律，数据处理人员可能会因为泄露或滥用私人信息而被判处长达5年的监禁。 根据该法律，为获得利益而伪造个人数据的个人也可能被判处长达6年的监禁。 此外，法律还包括公司罚款，在数据泄漏的情况下，罚款可高达公司年收入的2%。泄露个人数据的公司的资产也可能被没收或拍卖。 这部新法律是在一些数据泄露和涉嫌违规事件发生后制定的，这些事件不仅影响到个人，而且还影响到该国的各种公司和政府。 去年，一个联系人追踪应用程序泄露了印度尼西亚总统Joko Widodo的COVID-19疫苗记录。 随着新举措的实施，印尼已成为东南亚地区继新加坡、马来西亚、泰国和菲律宾之后第五个对个人数据保护进行专门立法的国家。 与印度尼西亚类似，印度也经常面临与个人数据安全有关的事件。然而，该国尚未出台围绕个人数据保护的立法。上个月，它撤回了其预期的个人数据保护法案，该法案引起了科技巨头的关注。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318553.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 9月19日消息，针对美国政府承包商的持续性网络钓鱼攻击呈逐渐扩大之势，攻击者正采用更加难以分辨的“诱饵”制作钓鱼文件。 在这些钓鱼攻击中，攻击者通过伪造利润丰厚的政府项目投标请求，通过电子邮件将承包商骗至仿冒合法联邦机构门户的网络钓鱼页面。 这与 INKY 在 2022 年 1 月报告的钓鱼操作基本相同，攻击者使用随附的 PDF 文件，其中包含有关美国劳工部项目招标流程的说明。但根据Cofense在9月19日发布的情报，这些攻击者已经扩大了他们的目标，如今的冒充对象还涵盖美国交通部和商务部。 更加“精致”的钓鱼文件 根据Cofense的情报，攻击者在之前已经颇有成效的钓鱼文件基础之上采用了更加多样且精细化的设计，并删除了在之前版本中可能露出马脚的细节。 在Cofense例举的样例中，钓鱼文件在首页采用了更大的徽标，并且更倾向于采用包含PDF的链接而不是直接在邮件中置入附加文件。此前，PDF 曾经包含有关如何投标的详细说明，其中包含过多的技术信息，而现在，这些信息已被简化，并在显要位置显示指向网络钓鱼页面的链接。 钓鱼活动中使用的新版PDF 此外，PDF 之前的签名者是edward ambakederemo，而现在，文档中的元数据与冒充的部门更加匹配。例如由威斯康星州交通部发送的“诱饵”将带有WisDOT的签名。 在钓鱼网站域名方面，除了显示.gov冒充政府机构外，攻击者现在还使用长域名，如transportation.gov bidprocure.secure akjackpot.com，以便在无法从URL栏里显示完整链接的移动浏览器中打开时看起来像是合法链接。 在试图诱骗访问者输入其 Microsoft Office 365 帐户凭证的网络钓鱼页面上，攻击者现在还添加了验证码识别步骤，以确保他们没有采用机器人输入。 在窃取凭证之前添加了验证码识别步骤 在这类钓鱼攻击事件中，使用的电子邮件、PDF和网站基本上都是照抄真实的招标文件和国家招标门户网站的实际内容，因此很难看出欺诈的痕迹，唯一的防御措施是除了检查内容本身外，还要包括其他所有细节，如发送地址、登陆网址，并最终通过搜索引擎访问投标门户网站，而不是按照提供的链接。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344938.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国视频游戏发行商Rockstar Games周一透露，它是“网络入侵”的受害者，未经授权的一方可以非法下载侠盗猎车手6的早期片段。 该公司在社交媒体上发布的通知表示：“目前，我们预计不会对我们的直播游戏服务造成任何干扰，也不会对我们正在进行的项目开发产生任何长期影响。” 该公司表示，第三方访问了“我们系统的机密信息”，但目前尚不清楚它是否涉及游戏画面之外的任何其他数据。 这些数据包括约90个游戏视频片段，是由一个化名为“teapotuberhacker”的用户周末在GTAForums上泄露的，暗示该方也是最近Uber违规事件的负责人。 这位名叫Tea Pot的Uber黑客据信是一名18岁的少年。目前尚无其他信息。 teapotuberhacker在论坛中说道：“这些视频是从Slack下载的，这也可能意味着，黑客采用了相同的技术——多因素身份验证（MFA）轰炸，来绕过额外的帐户安全层。 黑客的最终目标似乎是与公司“谈判达成协议”。“如果Rockstar/Take2不付钱给我，我会泄露更多。”泄密者在4chan上发布的消息中说道。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文