联邦检察官透露，在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月，美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击，1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统，并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson（33），她将要对此次数据泄露事件负责。 根据 DoJ 报道，美国司法部长 Brian T. Moran 宣布，“一名前 Seattle 科技公司的软件工程师今天被捕，此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON，网名 erratic，33 岁，她今天在西雅图地方法院出庭，并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实，在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据，但他们尚不清楚这些受影响组织的名字。 检察官称，绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源：SecurityAffairs，译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

这是一个精心设计的诈骗。玩家看似进入的是一个免费游戏网站，实际上黑客将会盗取他们的 Steam 帐户，然后利用此帐号再去攻击新的玩家。 黑客向受害者的朋友发送消息，告诉他们在给出的网站输入优惠码就能获得免费的 Steam 游戏。 用户点击消息中的链接后会进入 http://steamsafe.fun/?ref=freegame，他们随后将被重定向到黑客建立的诈骗网站。 当用户点击“抽奖”按钮时，该网站将假装从热门游戏列表中随机选出一个游戏，如 PUBG，CSGO，Tropico 4，ARK：Survival Evolved，Assassin’s Creed 等等。 然后它将显示一个 Steam 优惠码，并提醒用户需要登录 Steam 才能获取该游戏。 当用户点击登录按钮时，它将显示一个伪造的 Steam 单点登录（SSO）登录页面，它看起来和 Steam 登录网站一模一样，但实际上是一个诈骗网站。 如果用户输入他们的帐号和密码，该网站将自动在后台登录他们的帐户，更改密码，更改关联的电子邮件地址，以及更改相关的电话号码。 如下图所示，在我们登录 Steam 网站时，您必须检查当前网页是否是https://steamcommunity.com 。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，五年前勒索软件可能还只是网络犯罪领域的一个小角色，但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州，该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击，并导致了数千万美元的损失。 本周，德克萨斯州已加入目标清单。据德克萨斯州信息资源部（DIR）称，20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示，“德克萨斯军事部和德克萨斯A＆M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解，但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是，预算紧张和昂贵的升级程序会阻止许多组织更新旧软件，从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   （稿源：cnBeta，封面源自网络。）

外媒报道称，近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站，并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动，或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称：Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。 除了电子邮件地址，Raidforums 还泄露了 Cracked.to 论坛用户的 IP 地址、私信、bcrypt 转储的哈希密码等数据，由网站论坛应用程序 myBB 所生成。 外媒指出，Cracked.to 自诩为一个提供破解教程、工具、组合、市场和更多恭喜的综合性论坛，而 Raidforums 旗下也存在许多类似主题的论坛。 外媒 ArsTechnica 概览了一遍 Raidforums 公布的 2.11 GB 文件，发现其中包含了近 39.7 万条私信，且大量涉及诸多黑客极力避免的细节内容。 详细内容包括用户名、电子邮件地址、求购记录、销售或支持的软件服务、以及针对人们视频游戏《堡垒之夜》账户的破解等。 除了一些笼统的信息，还有部分论坛用户提到了如何利用 CVE-2019-20250 这个在今年早些时候被发现的严重漏洞。其与 WinRAR 文件压缩程序有关，可在易受攻击的计算机上安装大量讨人厌的恶意软件。 外界猜测，Cracked.to 的大量访客，可能是通过暗网或其它隐匿 IP 地址的方式来访问该网站的。所以公布出来的用户名和邮件地址，也极有可能是匿名或伪造的。 即便如此，执法部门或竞争对手仍可借此来实施一定程度的打压。对于网站管理员来说，这起事件也算是向他们发出了一个警示，毕竟 Raidforums 声称是通过某漏洞利用来实现的“脱裤”。 几个月前，Cracked.to 管理员称其已将默认脆弱的 myBB 哈希密码转储，切换到了更加强大的解决方案。但在此事发生后，该网站已强烈要求用户变更密码。 此外，我们不排除 Raidforums 已经获得 Cracked.to 管理员密码、或向其它网站发起了类似攻击的可能性。   （稿源：cnBeta，封面源自网络。）

被称为MG的安全研究人员在年度Def Con黑客大会上展示并且演示了他开发的iPhone Lightning数据线，这种恶意数据线内含额外的恶意组件，包括恶意硬件和恶意软件载荷，可以在受害者将数据线插入电脑时发动无线攻击。 MG表示，这条数据线看起来像一个合法产品，可以正常连接电脑和iOS设备，甚至被连接的电脑不会注意到差异。但是攻击者可以通过无线方式控制数据线进而控制受害者的电脑。MG在他自己的手机浏览器上键入恶意数据线的IP地址，并显示了一个选项列表，并且可以在连接的Mac上远程打开一个终端。从这里，黑客可以在受害者的电脑上运行各种工具。 这种恶意Lightning数据线带有各种有效负载，攻击者可以在受害者机器上运行的脚本和命令。黑客还可以远程“杀死”恶意Lightning数据线当中的植入物，以隐藏或者销毁攻击证据。MG目前以200美元的价格出售这些恶意恶意Lightning数据线。 MG表示，无线有效攻击距离达到300英尺，如果必要，黑客可以使用更强的天线进一步延伸攻击距离，如果该无线网络具有互联网连接，则攻击距离基本上变得无限制。现在MG希望批量生产这种数据线作为合法的安全工具。MG表示，这些数据线将从头开始制造，而不是改装苹果Lightning数据线。   （稿源：cnBeta，封面源自网络。）

微软威胁情报中心报道称，俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备，对企业网络展开渗透。外界普遍猜测，该组织拥有俄罗斯官方背景，又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区，感染了超过 50 万台消费级路由器。 （题图 via MSPU） 今年 4 月，黑客试图将企业的物联网设备作为目标，借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件，归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件，其中包含了已知的漏洞。 获得物联网设备的访问权限后，攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描，该组织可在企业内网畅通无阻地移动，寻找获得更高级别账户的访问权限，以窃取高价值的数据。 此外，黑客可执行“tcpdump”，以发现本地子网上的网络流量。幸运的是，袭击事件被迅速扼杀在了萌芽状态。 在调查结束后，我们已于所涉特定设备的制造商分享了这些信息，希望它们能够借此来探索其产品的全新保护措施。   物联网设备制造商需要对安全威胁保持更广泛的关注，了解此类威胁类型的组织和安全团队，以提供更好的企业支持和监控功能，让技术团队更轻松地保障网络安全。 据悉，同一黑客组织还与针对民主党全国委员会（DNC）、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出，该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户，比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然，这些未遂攻击的揭露，是微软对行业需加强物联网设备安全性的最新警告，否则后续攻击事件还会接踵而至。   （稿源：cnBeta，封面源自网络。）

IBM X-Force Red是隶属于IBM Security的一个资深安全团队，主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络，实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”，黑客会在包裹内部署一个名为“战舰”（WarShip）的巴掌大小计算机，并通过快递方式将其运输到指定机构，随后入侵这些机构的WiFi内部网络。 和Wardialing或者Wardriving这样的传统方式不同，Warshipping是一种支持3G网络的设备，因此避免了传统方式必须要在黑客设备范围内的局限性，能够更加灵活的进行远程和现场控制。 一旦到达目标站点，设备就会留意可用于探测网络的潜在数据包。 IBM X-Force Red的全球管理合伙人Charles Henderson记录了该团队进行被动无线攻击的过程： 举个例子我们听到了一次握手，一个信令表明设备建立了网络连接。其中一个WarShip设备将捕获的哈希传送到我们的服务器，然后我们利用后端进行破解，基本上就是用户的无线密码，然后获得WiFi的掌控权。 一旦WarShip成功入侵机构的WiFi，并且随后对所有与其连接的设备进行访问。该WarShip设备还会创建自己的流氓WiFi网络，迫使目标设备连接到该网络。自此该机构的关键信息，例如用户名和密码都会发送给黑客，以便于黑客进行后续的网络攻击。 查尔斯通过总结了该团队的调查结果：在这个warshipping项目中，遗憾的是，我们能够建立持久的网络连接并获得对目标系统的完全访问权限。 需要部署到站点的设备基本上由单板计算机（SBC）组成，该计算机在传统的手机可充电电池上运行。此外，使用现成的组件，制作成本仅约100美元，而且它看起来就像是用于学校展示的DIY项目，而不是用于入侵网络的设备。   （稿源：cnBeta，封面源自网络。）

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容： 几个月前，我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章，我能够在这些泄露的数据中找到NASA员工的详细信息，包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件，全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词，是因为如果你的公司也在使用相同的错误配置，那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica等公司，以及世界各地政府的许多部门也遭受同样的影响，如欧洲政府，联合国，美国航天局，巴西政府运输门户网站，加拿大政府财政门户网站之一等。 接下来我将分享我在Jira（Atlassian任务跟踪系统/项目管理软件）中发现的那个关键漏洞，或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题！ 在 JIRA 中创建过滤器或仪表板时，它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时，默认情况下，可见性分别设置为“所有用户”和“所有人”，而不是与组织中的每个人共享，所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能，它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误，以下内部信息容易受到攻击： 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息，由于这些链接可能被所有搜索引擎编入索引，因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据： 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示，由于这些配置错误的JIRA设置，它会公开员工姓名，员工角色，即将到来的里程碑，秘密项目以及各种其他信息。 现在，我来介绍一下如何通过 来自“Google dorks”（搜索查询）找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下： inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了： 此查询列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板，我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL，以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下： inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公开公开的所有JIRA仪表板。 在进一步侦察（信息收集）时，我发现各公司都有“company.atlassian.net”格式的JIRA URL，因此如果您想检查任何配置错误的过滤器，仪表板或用户选择器功能的公司，您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器，仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限，从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单，包括像NASA，谷歌，雅虎等大型巨头和政府网站，以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统，因此暴露了他们的一些项目细节，员工姓名等，这些都是在与他们联系后修复的。 同样，联合国意外地将他们的Jira过滤器和Jira仪表板公开，因此暴露了他们的内部项目细节，秘密里程碑等，在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时，甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后，他们也对其进行了修复，并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息，例如员工角色，员工姓名，邮件ID，即将到来的里程碑，秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息，可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然，它不应该是公开的，这不是安全问题，而是隐私问题。 我向不同的公司报告了这个问题，一些人给了我一些奖励，一些人修复了它，而另一些人仍在使用它。 虽然这是一个错误配置问题，Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义，无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   （稿源：开源中国，封面源自网络。）

据外媒报道，当地时间7月30日，纽约州司法部长Letitia James在Twitter发文宣布，她将和她的团队对Capital One的泄露事件展开“立即”调查。另外她还表示，她对这些黑客攻击的频率感到沮丧，称其变成了家常便饭。 James希望自己在完成调查后拥有足够信息和能力为Capital one的纽约受害者提供“救济”。目前还不清楚她所表达的具体意思，但她可能会为受害者争取某种形式的赔偿。 据悉，最近的Capital One黑客攻击事件曝光了1亿多名美国和加拿大用户的信息，即如果曾在2005年至现在申请过Capital One信用卡就可能存在数据被盗的风险。泄露的信息则有地址、姓名、电子邮件、电话号码甚至社会保障号和信用评分等。   相关阅读：美国银行第一资本遭黑客入侵：逾1亿用户信息泄露   （稿源：cnBeta，封面源自网络。）

美国银行第一资本金融公司在周一披露，一名黑客获取了逾1亿名顾客和潜在顾客的个人信息，包括姓名、地址、电话号码和生日。第一资本称，公司在7月19日确认了这次黑客入侵事件，目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后，第一资本股价在盘后交易中下跌1%。 第一资本表示，大约有1亿美国用户和600万加拿大用户的个人信息受到了此次事件的影响，但是黑客没有获取任何信用卡账号，超过99%的社会安全号码没有泄露。 “我们相信，这些信息不大可能被黑客用于欺诈或者四处传播。”第一资本在声明中称。 根据第一资本披露的信息，包括2005年至2019年初信用卡申请者在内的基本个人信息被黑客访问，包括信用评分、支付历史以及部分交易数据。大约14万个美国顾客的社会安全号码以及8万个关联银行账号被获取。在加拿大，100万个社保账号被黑客访问。 第一资本表示，将向受影响的个人通知这次入侵事件，并提供免费的信用监控和身份保护服务。   （稿源：cnBeta，封面源自网络。）