微软的签名密钥泄露为云安全乃至“纵深防御”敲响了警钟，因为黑客在获取微软签名密钥的过程中，微软纵深防御的每一层似乎都出现了（不应该出现的）错误。 微软今年7月份发布的安全公告声称，一名中国黑客（Storm-0558）早在2021年就获取了微软帐户(MSA)加密密钥，用来伪造身份验证令牌，监视美国国务院、商务部以及其他美国政府机构的电子邮件账户。但微软在该公告中并未透露加密密钥泄露的原因和过程。 本周三，微软研究中心在官方博客发布取证调查报告，披露了黑客如何获取微软加密密钥并成功入侵了微软工程师的企业账号。 微软在博客中指出，中国黑客（微软代号为Storm-0558）获得了对25个美国政府机构的Exchange Online和Azure Active Directory（现称为Microsoft Entra ID）帐户的“合法”访问权限。 一连串错误导致签名密钥泄露 根据微软本周三发布的博客，2021年4月，微软消费者签名系统崩溃产生了崩溃进程快照（故障转储），通常来说，故障转储会去除敏感信息，不应包含签名密钥，但是由于微软设定了一个竞争条件（race condition）允许密钥在某些情况下出现在故障转储中（该问题已经得到纠正），而微软的系统未检测到故障转储中存在机密信息（此问题已纠正），导致MSA密钥无意中泄漏到微软保护区之外的（实施严格访问控制的）生产环境。 这个当时被微软认为不包含敏感信息的故障转储随后从隔离的生产网络转移到微软与互联网连接的企业网络的调试环境中。 屋漏偏逢连夜雨，在崩溃转储被转移到调试环境之前和之后，本应在故障转储中检测此类敏感数据的凭证扫描系统也未能检测到签名密钥。（此问题已纠正） 在9月6日发布的取证分析中，微软透露，遭入侵的微软工程师帐户可能有权访问存储MSA密钥的调试环境（从而提取了密钥）。但令人遗憾的是，这最关键的取证分析结论仅仅是微软的“猜测”。 微软表示：“由于日志保留政策，我们没有包含（保留）该攻击者进行窃取密钥的具体证据的日志，但这是攻击者获取密钥的最可能的机制。” 微软的“万能钥匙” 获取合法加密密钥后，黑客Storm-0558利用Get Access Token For Resource API中的零日漏洞，伪造签名的访问令牌并冒充25个组织的目标帐户。 该API由Microsoft于2018年提供，旨在帮助使用消费者和企业应用程序的客户系统都能以加密方式验证签名。微软在7月份的公告中确认，该缺陷“已被修复，目前仅接受分别从Azure AD或MSA发行的令牌”。 虽然被盗的加密密钥是针对消费者帐户的，但“微软代码中的验证错误”使黑客还可以为政府机构和其他组织的微软托管帐户创建虚假令牌，从而访问这些帐户。 俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)在7月27日的一封公开信中表示，微软应该“为其疏忽的网络安全做法负责”。 他认为，微软不应该拥有“单一万能钥匙”，一旦被盗，攻击者就可以访问客户的私人通信。怀登还提出了有关加密密钥如何存储的问题。 此外，还有安全专家对微软报告的事件影响范围和严重性提出质疑。 微软声称，此次攻击活动中，黑客Storm-0558“仅能”访问Exchange Online和Out look。 然而，Wiz研究主管Shir Tamari在7月21日的帖子中指出，黑客或许能够访问各种Microsoft服务，包括“Outlook、SharePoint、OneDrive和Teams，以及客户的应用程序支持微软账户认证。” 给纵深防御敲响警钟 作为缓解措施的一部分，微软已经撤销了所有有效的MSA签名密钥，以防止黑客访问其他受损密钥，并确保没有其他证据表明有其他攻击者使用相同的令牌伪造技术未经授权访问客户帐户。 微软还将云日志记录的访问权限扩展至所有用户，该功能以前是为其高级客户保留的。这可以帮助网络防御者检测未来类似的攻击尝试。 很多网络安全业界人士认为，微软签名密钥泄露事件为云安全乃至“纵深防御”敲响了警钟，因为黑客在获取微软签名密钥的过程中，微软纵深防御的每一层似乎都出现了（不应该出现的）错误。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/ZtMei3fz3BlrcyEJmrAJgg 封面来源于网络，如有侵权请联系删除

攻击者利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客组织ShinyHunters最近表示，它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示，他们在1-2个月前利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客发布的样本包含订单信息，包括姓名、地址、电话号码和客户的加密银行卡数据。专家核实了被盗数据的真实性。 ShinyHunters黑客要求30万美元删除被盗信息。该组织已经在公共领域发布了拒绝支付赎金的公司的数据。到目前为止，澳大利亚的Pizza Hut还没有公开评论这一事件，也没有回应攻击者的要求。该公司的官方网站和社交媒体上也没有任何关于黑客攻击的信息或通知客户。当地媒体向Pizza Hut管理层提出的数据盗窃问题也没有得到答复。 被盗的数据可能被用于从银行卡上窃取资金、钓鱼攻击和其他犯罪目的。这一事件威胁到澳大利亚数百万披萨连锁店客户的安全。 尽管这一事件规模巨大，但并未超越今年澳大利亚发生的另一个重大事件。黑客3月对澳大利亚Latitude集团的袭击实际上使该公司破产，但奇迹般地没有完全摧毁其业务，这在很大程度上归功于良好的管理和许多缓解措施。 这些事件暴露了大公司易受黑客攻击的脆弱性，并强调了确保公司内部数据以及客户、合作伙伴和员工的机密信息得到可靠保护的重要性。窃取数百万人的个人数据是一种严重的犯罪行为，会给企业带来重大的声誉和财务风险。     转自安全内参，原文链接:https://www.secrss.com/articles/58568 封面来源于网络，如有侵权请联系删除

英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露，攻击者发布了数千页的数据，这些数据可以帮助犯罪分子进入HMNB克莱德核潜艇基地、波顿当化学武器实验室和GCHQ监听站。其潜在后果简直是灾难性的。此外，该漏洞暴露了与高安全性监狱和对国家网络防御至关重要的军事设施有关的关键数据。 所有这一切都随着黑客瞄准Zaun的数据库而展开，Zaun是一家以为高风险站点制造安全围栏而闻名的公司。被盗数据随后被存放在暗网上，只能通过专用软件访问。 令人不安的军火库 也许从这次违规中出现的最令人不安的启示是被盗数据的数量和严重性。有关位于苏格兰西海岸的HMNB Clyde核潜艇基地的信息现已暴露给潜在的对手。这些数据落入坏人之手的后果简直是噩梦。波顿唐化学武器实验室是一个致力于研究化学和生物威胁的设施，泄露的数据如果被利用，可能会成为难以想象的破坏事件。 此外，该漏洞暴露了GCHQ监听站的内部运作，这是负责监控通信和收集重要情报的情报机构中的重要齿轮。任何对其安全的攻击都会影响到国家抵御外部威胁的能力。 除了这些备受瞩目的目标外，黑客还获得了有关高安全性监狱的信息，放大了此违规行为带来的风险。掌握监狱安全措施的知识可以用来策划越狱或策划对这些设施的攻击。此外，该国网络防御不可或缺的军事站点也遭到破坏。这对国家抵御网络攻击的能力构成了直接威胁，可能为关键基础设施的灾难性破坏打开大门。 紧急警钟 此次泄露事件引发了人们对英国最敏感网站的脆弱性以及网络犯罪分子所构成的迫在眉睫的威胁的严重质疑，这些犯罪分子甚至有能力渗透到最坚固的安全系统。下议院国防特别委员会成员、工党议员凯文·琼斯发出严厉警告：“这可能对我们一些最敏感站点的安全造成非常大的损害。政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都值得高度关注。” 这一违规行为的影响是深远的，动摇了英国国家安全基础设施的基础。这场灾难的中心是Zaun，尽管它负责保护美国一些最关键的网站，但该公司的计算机系统被黑客利用，暴露了英国国家安全盔甲上的一个缺口。     转自E安全，原文链接:https://mp.weixin.qq.com/s/LFBZo6U4xtVTqo-Y-0fhFw 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta上周五（9月1日）警告称，有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。 该公司表示：最近几周，多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员，然后要求重置高权限用户注册的所有多因素身份验证（MFA）因子，从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示，这些活动发生在2023年7月29日至8月19日之间。 虽然Okta没有透露威胁参与者的身份，但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征，据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。 这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。 Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 “将其添加到自己的武器库中”，而且 “仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 “Muddled Libra”。 该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。 Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。 在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 “能够通过活动目录（AD）操纵委托身份验证流”，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。 超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。 Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为’冒充的应用程序’，代表其他用户访问被入侵组织内的应用程序。”这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为’Org2Org’）中充当’源’IdP”。 通过这个’源’IdP，威胁者操纵了第二个’源’身份提供商中目标用户的用户名参数，使其与被攻击的’目标’身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。 该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376952.html 封面来源于网络，如有侵权请联系删除

一些世界领先的天文台报告称，它们受到了网络攻击，导致观测工作暂时停止。美国国家科学基金会的国家光学-红外天文研究实验室（NOIRLab）报告说，8月1日发生的网络安全事件促使该实验室暂时停止了夏威夷双子座北望远镜和智利双子座南望远镜的运行。位于智利Cerro Tololo的其他小型望远镜也受到了影响。双子座北站位于夏威夷的茂纳凯亚岛上。双子座北站是国际双子座天文台的一部分，是美国国家科学基金会 NOIRLab 计划的一部分。(图片来源：国际双子座天文台/NOIRLab/NSF/AURA/P. Horálek (奥帕瓦物理研究所)) 8月24日，NOIRLab在其网站上发表的一份声明中写道：”我们的员工正在与网络安全专家合作，以尽快恢复所有受影响的望远镜和我们的网站。” 目前尚不清楚这些网络攻击的确切性质或来源。NOIRLab指出，由于调查仍在进行中，该组织将谨慎对待有关入侵的信息共享。 更新补充说：”我们计划在我们能够提供更多信息时，向社会提供更多信息，这与我们对透明度的承诺以及我们对基础设施安全的承诺是一致的。” 就在NOIRLab设施遭受网络攻击的前几天，美国国家反间谍与安全中心（NCSC）发布了一份公告，提醒美国太空公司和研究机构注意网络攻击和间谍活动的威胁。 公告称，外国间谍和黑客”认识到商业航天产业对美国经济和国家安全的重要性，包括关键基础设施对天基资产日益增长的依赖性”。”他们将美国与太空相关的创新和资产视为潜在威胁，同时也是获取重要技术和专业知识的宝贵机会。” 这已经不是天文观测台第一次成为网络攻击的目标了。2022年10月，黑客破坏了智利阿塔卡马大毫米波/亚毫米波阵列（ALMA）的运行，而美国国家航空航天局多年来一直是网络攻击的受害者。2021 年，该机构受到了全球 SolarWinds 入侵事件的影响，NASA 领导层称这次事件为网络安全敲响了”警钟”。     转自cnBeta，原文链接:https://www.toutiao.com/article/7273461428563247635/?log_from=67ce899b4d62c_1693548601554 封面来源于网络，如有侵权请联系删除

拥有百年历史的蒙特利尔市电力服务委员会遭到LockBit勒索软件攻击，官方拒绝支付赎金，选择重建IT基础设施。 LockBit勒索软件团伙持续占据头条新闻，他们对关键组织、政府和企业发动了一系列攻击，引发了网络安全专家的担忧。 周三（30日），该团伙声称对加拿大蒙特利尔市电力服务委员会（CSEM）发动了攻击。这是一家拥有百年历史的市政组织，负责管理蒙特利尔市的电力基础设施。 CSEM在周二确认了攻击事件，并在一份声明中写道，他们于8月3日遭受勒索软件攻击，但拒绝支付赎金。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。 CSEM表示：“今天，制造此案件的犯罪团伙公开了一些被窃数据。我们谴责这种非法行为，同时指出被披露的数据对公众安全和CSEM运营带来的安全风险都很低。” “需要指出，CSEM所有项目都有公开文件可查。也就是说，人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。” LockBit在周三威胁要泄露数据，这正是他们宣布对攻击负责的同一天。 LockBit团伙动作频频，内部或发生变化 过去一周，LockBit团伙颇为高调，发起了很多攻击事件，反复登上新闻。CSEM事件为这一周画上了句号。该团伙发动的攻击数量远远超过其他所有勒索软件团伙。 上周五，西班牙国家警察警告称，LockBit攻击团伙正在向建筑公司发送一系列高度复杂的网络钓鱼邮件。 这些电子邮件自称来自一家摄影公司，要求为建筑物拍照制定预算。在邮件往来后，假公司会发送一份照片拍摄计划文档。一经下载，受害者设备将遭到加密。 这只是LockBit对欧洲目标发动的多样化攻击行动的一小部分。其他攻击目标有法国法兰西岛自然区域管理机构以及意大利国立卡波迪蒙特博物馆。 该团伙的攻击速度十分惊人。但是，网络安全厂商Analyst1首席安全专家Jon DiMaggio发布研究报告，对这个网络犯罪团伙的运作能力产生疑问。 Analyst1针对LockBit团伙进行了一系列研究，DiMaggio表示，LockBit领导层在8月的前两周内消失了，一度失联，直到8月13日才重新出现。 DiMaggio表示，由于后端基础设施和可用带宽出现问题，该团伙在发布攻击期间窃取的数据时遇到了困难。他说，LockBit的惯用手段是，利用他们是目前攻击频率最高的勒索软件团伙这一恶名，迫使受害者支付赎金。 DiMaggio报告发布后，卡巴斯基在本周也发布了一份报告，表示LockBit 3.0勒索软件生成器流出后，黑客滥用这一工具生成新变种。卡巴斯基发现了396个基于LockBit代码的不同样本。     转自安全内参，原文链接:https://www.secrss.com/articles/58380 封面来源于网络，如有侵权请联系删除

GhostSec报告了FANAP Behnama软件的成功入侵，他们将其描述为“伊朗政权自己的隐私入侵软件”。此漏洞导致大约 20GB 的受感染软件暴露。该组织声称，伊朗政府使用该软件进行公民监视，这代表了该国监视能力的重大进步。 作为证据，该组织分享了该软件的部分源代码，展示了其独特的面部识别功能，增强了其监控效果。在过去的两个月里，该组织声称已经逐个文件仔细分析了大约20GB的压缩数据。Ghostsec的目标是确保这些信息可以随时访问，帮助隐私受到损害的伊朗公民，并坚持全面隐私保护的必要性。 作为其活动的进一步举措，该组织建立了一个名为“IRAN EXPOSED”的专用Telegram频道。通过该平台，他们打算分享有关此次泄露的信息，并已经分享了部分受损软件数据，并附有有关其发现和结果的解释，以及他们的行为背后的理由。 除了分享屏幕截图和提供对软件功能的全面见解之外，GhostSec还主动开始将Behnama代码片段上传到其专用的Telegram频道。此上传包括配置文件和API数据等各种组件。该小组目前正在积极参与这一过程，并承诺在上传程序结束后提供深入的解释。 GhostSec接着揭示了FANAP软件公司内部的各种发展。其中包括基于面部识别的视频监控工具（在Pasargad Bank汽车GPS和跟踪系统中实施），车牌识别系统（可能对头巾警报产生影响）以及用于身份证打印的面部识别系统。这种集成汇编了公民生活的复杂方面，不仅可以确定服务的访问权限，还可以构建用于面部识别的虚拟配置文件。这种评估植根于软件代码，证实了软件功能和部署的无可争辩的证据。 GhostSec声称这些工具被伊朗政府、执法机构和军事人员积极使用。关于此次违规行为和随后曝光的动机的官方声明符合GhostSec在争取隐私权方面促进平等的目标。此次曝光旨在让伊朗民众在对政府监控的认识不断增强后要求获得隐私权。 值得注意的是，作为此次披露活动的一部分，GhostSec积极监控了FANAP对违规行为的响应。最初，GhostSec声称对 fanap-infra.com网站的关闭负责，这是他们对该公司报复活动的一部分。随后，该组织透露，与FANAP软件公司相关的另一个网站只能在伊朗境内访问，并且该公司的主要GitHub存储库已设为私有，可能是由于已经发生的泄露事件。     转自E安全，原文链接:https://mp.weixin.qq.com/s/EMO_RQrEqmN-APHlWn_LyQ 封面来源于网络，如有侵权请联系删除

近日，研究人员在 Rust 编程语言的 crate 注册表中发现了一些恶意软件包，专门针对开发人员。 Phylum 在上周发布的一份报告中称，这些库是由一个名为 “amaperf “的用户在 2023 年 8 月 14 日至 16 日之间上传的。现已删除的软件包名称如下：postgress、if-cfg、xrvrv、serd、oncecell、lazystatic 和 envlogger。 目前还不清楚该活动的最终目的是什么，但发现这些可疑模块都带有捕获操作系统信息（即 Windows、Linux、macOS 或未知）的功能，并通过消息平台的 API 将数据传输到硬编码的 Telegram 频道。 这表明该活动可能处于早期阶段，威胁行为者可能已经撒下一张大网，攻陷尽可能多的开发人员计算机，从而提供具有更强数据渗出能力的流氓更新。 该公司表示：由于可以访问 SSH 密钥、生产基础设施和公司 IP，开发人员现在成了极有价值的目标。 这并不是 crates.io 第一次成为供应链攻击的目标。2022 年 5 月，SentinelOne 揭露了一个名为 CrateDepression 的活动，该活动利用错别字技术窃取敏感信息并下载任意文件。 此次披露的同时，Phylum 还揭露了一个名为 emails-helper 的 npm 软件包，该软件包一旦安装，就会设置一个回调机制，将机器信息外泄到远程服务器，并启动随附的加密二进制文件，作为复杂攻击的一部分。 该模块被宣传为 “根据不同格式验证电子邮件地址的 JavaScript 库”，目前已被 npm 下架，但自 2023 年 8 月 24 日上传到软件仓库以来，已吸引了 707 次下载。 该公司表示：攻击者试图通过 HTTP 进行数据渗透，如果失败，攻击者就会转而通过 DNS 进行数据渗透。二进制文件部署了渗透测试工具，如 dnscat2、mettle 和 Cobalt Strike Beacon。 对于开发人员来说，像运行 npm install 这样的简单操作就能引发这个精心设计的攻击链，因此开发人员在进行软件开发活动时必须谨慎。 Python 软件包索引（PyPI）上也发现了恶意软件包，这些软件包试图从受感染的系统中窃取敏感信息，并从远程服务器下载未知的第二阶段有效载荷。     转自Freebuf，原文链接:https://www.freebuf.com/news/376573.html 封面来源于网络，如有侵权请联系删除

近日，波兰国内安全局（ABW）和国家警察已就针对波兰铁路网络的黑客攻击展开调查。据波兰新闻社报道，此次攻击对当地交通造成了较大影响。 特勤局副协调员Stanisław Zaryn表示：波兰当局正在调查一起未经授权使用铁路交通控制系统的事件。几个月来，俄罗斯联邦与白俄罗斯联合在一起企图破坏波兰国家的稳定。 事实上，自2014年俄乌之间爆发的数次黑客事件中，俄罗斯黑客就经常会使用一些复杂的黑客技术来破坏乌克兰网络，扰乱该国的卫星通信，甚至引发大面积停电。而在北约试图加强乌克兰防御俄罗斯之际，波兰的铁路系统一直是西方武器和其他援助流入乌克兰的主要来源。因此，这次袭击其实也是俄罗斯想要破坏支援行动的一环。 Zaryn说：俄罗斯联邦与白俄罗斯经常合作发起攻击，所以我们从现在起会重视所有向波兰铁路局发出的恶意信号。 黑客向目标列车发出 “无线电停止 “命令 据悉，威胁分子在周六（8月26日）发送了一个信号，触发了紧急状态，导致什切青市附近的列车停运。据媒体报道，这次袭击造成至少 20 辆列车停运，交通瘫痪长达数小时。据《连线》报道，破坏者通过无线电频率向目标列车发出 “无线电停止 “命令。由于波兰铁路系统使用的无线电系统缺乏加密或认证，因此很容易欺骗无线电停止命令。 网络安全专家 Lukasz Olejnik 表示：不管是谁，只要拥有 30 美元的现成无线电设备，就可以向波兰的列车以 150.100 兆赫兹的频率发送一连串三个声波，并触发列车的紧急停车功能。一旦无线电设备接收到连续发送的三个音调信息，机车就会停止。 Olejnik说：多年来，波兰的无线电和火车论坛以及YouTube上一直有人在介绍如何发送该命令。而无线电设备本身价格很低，频率、音调也都是已知的情况下，所以即使是青少年也能轻易做到。 不过致使火车瘫痪的无线电攻击有一个限制条件，就是破坏者必须距离目标火车相对较近——从数百英尺到数英里不等，具体取决于他们所使用的无线电设备的功率。 波兰国家运输机构已表示将在 2025 年之前全面升级波兰的铁路系统，但在此之前，它将继续使用相对不受保护的 VHF 150 MHz 系统。 波兰铁路局表示，这次攻击事件仅导致列车运行受阻，并未造成人员伤亡或财产损失。 黑客对此次波兰铁路系统的攻击并未使用任何勒索软件，甚至不需要渗透数字网络。但Olejnik警告称，这种攻击虽然很简单但绝不能低估，因为其可能会造成更加深远的影响。     转自Freebuf，原文链接:https://www.freebuf.com/news/376324.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 安全咨询巨头Kroll披露了员工因SIM卡调换攻击而导致的数据泄露事件。 安全咨询公司Kroll透露，黑客针对其一名员工的SIM卡进行调换攻击，导致多个加密货币平台的用户信息被盗。Kroll正在为受影响的组织管理正在进行的破产程序，包括BlockFi、FTX和Genesis。 2023年8月19日，这家咨询公司意识到攻击者瞄准了属于其员工的T-Mobile电话号码。该公司将此次攻击定义为“高度复杂的‘SIM卡调换’攻击”。 “我们最近被告知，在2023年8月19日星期六，一名网络攻击者瞄准了一个属于Kroll员工的T-Mobile账户。具体来说，T-Mobile在没有获得Kroll或其员工的授权或与他们联系的情况下，应黑客的要求，将该员工的电话号码转移到了他们的手机上。”Kroll发表的声明中写道，“因此，攻击者获得了包含BlockFi, FTX和Genesis事务中破产索赔人个人信息的某些文件。我们立即采取了行动保护这三个受影响的公司，并已通过电子邮件通知受影响的个人。” 该公司立即对该事件展开调查，并通知了联邦调查局。该公司指出，他们没有证据表明他们的系统或账户受到了影响。 Kroll遭遇的安全漏洞可能暴露了个人数据。媒体暗示，攻击者可能已经在网络钓鱼攻击中滥用被盗数据。 SIM卡调换攻击会影响任何与BlockFi、FTX或Genesis有财务关系的人。 多名读者表示，他们收到了来自Kroll的违规通知，他们也分享了收到的网络钓鱼邮件。这些邮件欺骗了FTX，并声称:“您已被确定为合格客户，可以开始从您的FTX账户中提取数字资产。”krebsonsecurity发布的一篇帖子写道。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文