英国信息专员办公室 (ICO) 宣布了一项临时决定，对高级计算机软件集团有限公司 (Advanced) 处以 609 万英镑（774 万美元）的罚款，原因是该公司在 2022 年遭受勒索软件攻击时未能保护好数万人的个人信息。 Advanced 是英国国家医疗服务体系 (NHS) 签约的 IT 服务和托管供应商，于 2022 年 8 月 4 日遭到威胁行为者的攻击。 该事件影响了数百家公共和私人实体，包括 NHS 111 以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 等各种医疗保健产品。 此次泄密事件导致近 83,000 人的个人信息被泄露，其中包括 890 名接受居家护理人员的入院指导。 尽管所有受影响的人都已被告知并被警告采取行动降低风险，而且到目前为止，没有任何攻击数据在暗网上发布，但敏感数据泄露的潜在影响是巨大的。 “这一事件表明信息安全是多么重要。”英国信息专员约翰·爱德华兹表示，“失去对敏感个人信息的控制，会让那些别无选择只能信任医疗和护理机构的人感到痛苦。” 爱德华兹在谈到高级安全立场时补充道：“对于一个受信任处理大量敏感和特殊类别数据的组织来说，我们暂时发现其在此次事件之前的信息安全方法存在严重缺陷。” ICO 指出，实施基本措施（例如应用安全更新、启用多因素身份验证以及检查系统是否存在已知漏洞）对于保护敏感数据至关重要，所有组织都应遵循这些最低限度的步骤。 该临时决定的发布旨在提醒所有组织其安全义务以及一旦失败可能产生的后果。 但是770 万美元的罚款尚未实施，ICO 表示将等待 Advanced 的评论后再做出最终决定，因此罚款金额可能会发生变化。 如果Advanced无法提供令人信服的论据，且罚款仍为774万美元，则每位被曝光者的罚款将相当于93.3美元，与过去的类似事件相比，这个数字非常高。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

以National Public Data（国家公共数据）名义运营的 Jerico Pictures Inc. 在 4 月份的一次数据泄露事件中泄露了近 30 亿人的个人信息。近期受害者提起了集体诉讼。 据彭博社报道，“4 月 8 日，某黑客在暗网论坛上宣布出售名为“National Public Data（国家公共数据）”的数据库，涉及29亿个人的个人数据，包括姓名、住址、亲属信息以及其他个人信息等。黑客报价为350万美元。” 专家指出，此次数据泄露可能是有史以来最大的一次。 “National Public Data”（国家公共数据）通过从非公开来源抓取个人身份信息，收集了数十亿个人的数据。然而，原告及集体诉讼成员并未有意向被告提供其个人身份信息。 “本集体诉讼源于一起数据泄露事件，根据信息进行判断，该事件发生于 2024 年 4 月左右，涉及被告 NPD（即“泄露数据”的公司），这是一家背景调查公司，允许其客户搜索数十亿条记录并立即获得结果。”周四在美国佛罗里达州南区地方法院提交的诉状中写道 。 “原告向被告提起诉讼，指控被告未能充分保护和维护其在正常业务操作中收集和管理的个人身份信息。该信息包括但不限于原告及其他成员的全名、居住地址、社会安全号码、其他亲属的信息（包括一些已故近20年的人员），以及其他个人信息。 VX-underground 的研究人员审查了该档案（未压缩，大小为 277.1GB），确认数据真实准确。专家们注意到，该数据库不包含使用数据退出服务的个人的信息。没有使用数据退出服务且居住在美国的人能立即被找到。该档案还包含已故个人的数据。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称阿根廷公民信息遭到泄露。数据泄露量为500万行，售价为350美元。 知道创宇暗网雷达监测截图 黑客声称此次泄露的数据为阿根廷公民的个人信息，主要包含姓名、身份证号码、电话号码、邮箱、出生日期（大约 40%的行有此数据）等。 黑客于暗网发布的帖子截图 据悉，在2021年阿根廷全国人口身份证信息就曾遭黑客盗取对外兜售，对公民个人信息安全和国家安全造成了恶劣影响。 相关资讯链接： 阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

7月29日，安全企业Zimperium研究人员发布报告，他们发现一起针对全球Android设备的恶意活动，涉及113个国家的不同行业安卓用户。 研究者称自2022年2月以来，发现事件超过10.7万个恶意软件样本。 Telegram诱捕 攻击者利用数千个Telegram机器人，这些机器人感染并植入了能够窃取短信的恶意软件，目的是窃取一次性双因素认证密码OTP，成功绕过这一安全措施。短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。1、通过恶意广告：这种方式中，受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量，以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段，目的是让用户相信这些页面是可信的，从而下载恶意软件。 2、通过Telegram机器人：在这种方式中，Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前，机器人会要求用户提供他们的电话号码。然后，Telegram机器人使用这个电话号码生成一个新的APK文件，这使得对特定用户进行个性化跟踪或未来攻击成为可能。 Telegram bot将SMS窃取工具发送给受害者 来源：Zimperium Zimperium表示，该行动使用2600个Telegram机器人来推广各种Android APK，这些机器人由13个命令和控制（C2）服务器控制。 此次行动的大多数受害者位于印度和俄罗斯，巴西、墨西哥和美国也有大量的受害者。 谋取经济利益 媒体称，网络犯罪分子的动机主要是经济利益，他们很可能利用被感染的设备来实现身份验证和匿名化中继。Zimperium发现，该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。该网站允许访问者购买外国“虚拟”电话号码的访问权，他们可以使用这些号码进行匿名化，并对在线平台和服务进行身份验证。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1mkWb9ZgKudhSEfKoGpE3A 封面来源于网络，如有侵权请联系删除

关键的 API 安全漏洞（在跟踪和记录网络用户活动的 Hotjar 服务和广受欢迎的 Business Insider 全球新闻网站中发现的）利用现代身份验证标准复活了一个长期存在的漏洞，使数百万用户面临账户被接管的风险。 API 安全公司 Salt Security 的 Salt Labs 发现，通过将 OAuth 标准与这两个网站的跨站脚本 (XSS) 漏洞相结合，攻击者有可能暴露敏感数据，并冒充 100 多万个网站的合法用户开展恶意活动。 Hotjar 是一款通过记录用户活动来分析行为的工具，是对谷歌分析（Google Analytics）的补充，它为 100 多万个网站提供服务，其中包括 Adobe、微软、松下、哥伦比亚、RyanAir、迪卡侬、T-Mobile 和任天堂等知名品牌。 “由于 Hotjar 解决方案的性质，它收集的数据可能包括大量个人敏感数据，如姓名、电子邮件、地址、私人信息、银行详细信息，甚至在某些情况下还包括凭证。”Salt Labs 博客文章中关于这项研究的帖子说。 另外，在 Business Insider 网站上发现的另一个同样危险的漏洞也可被利用来执行跨站脚本 (XSS) 攻击，并接管该网站上的账户，而该网站在全球拥有数百万用户。 研究人员警告说，同样的漏洞组合可能在互联网大范围内潜伏，这使得更多的在线服务可能面临同样的问题。 现代身份验证标准 OAuth 是一个相对较新的标准，越来越多地被用于无缝跨网站认证，因为它是许多网站中“用 Facebook 登录”或“用 Google 登录”功能背后的引擎而被人熟知。该标准驱动着负责网站间身份验证切换的机制，允许网站间共享用户数据。但该标准在实施过程中被错误配置，从而创建了跨越多个站点的严重漏洞，影响众多网站。 XSS 作为最常被利用和最古老的网络漏洞之一，它允许攻击者将恶意代码注入合法的网页或应用程序中，以便在网站访问者的浏览器中执行脚本，用于数据盗窃等。 Salt Security 公司副总裁 Yaniv Balmas 表示，一个成功利用结合了这两种攻击手段的攻击者将获得与受害者相同的权限和功能。换句话说，潜在的风险将等同于普通系统用户实际能够进行的操作。 Salt Labs 于 3 月 20 日发现了 Business Insider 网站上的漏洞，并立即通知了该公司，该公司在 3 月 30 日修复了漏洞。而 Hotjar 的漏洞是在 4 月 17 日发现的，披露后两天就得到了缓解。 Salt 研究人员认为，允许攻击者利用 OAuth 和 XSS 组合的漏洞可能在其他网站上潜伏而未被发现，从而使数百万毫无戒心的用户面临潜在的账户被接管风险。 “我们坚信这是一个非常普遍的问题，而且很有可能许多其他在线服务也存在同样的问题。” Balmas 说。 Hotjar 攻击 鉴于 XSS 已经存在了很长时间，大多数网站都有针对利用这种漏洞攻击的内置保护措施。Salt 的研究人员利用 OAuth 在 Hotjar 和 Business Insider 网站的两个独立实例中避开了这些保护。 研究人员操纵了 Hotjar 的社交登录功能，该功能重定向到 Google，通过 OAuth 接收秘密令牌以完成 Hotjar 上的认证。该令牌是一个包含秘密代码的 URL，JavaScript 代码可以读取该 URL，从而创建了一个 XSS 漏洞。 “为了将 XSS 与这个新的社交登录功能结合起来并实现有效的利用，我们使用 JavaScript 代码在新窗口中启动一个新的 OAuth 登录流程，然后从该窗口读取令牌，” 帖子中说。“使用这种方法，JavaScript 代码会在 Google 打开一个新标签页，Google 会自动将用户重定向回 [Hotjar 网站]，并在 URL 中加入 OAuth 代码。” 代码会读取新标签页中的 URL 并从中提取 OAuth 凭证。一旦攻击者获得了受害者的代码，他们就可以在 Hotjar 中启动一个新的登录流程，用受害者的代码替换他们的代码，从而完全接管账户，因此可能暴露 Hotjar 收集的所有个人数据。 利用移动登录 研究人员还设法利用了Business Insider网站代码中集成的社交登录功能，特别是通过移动身份验证，该功能会打开一个新的 Web 浏览器对用户进行身份验证。用户在网络上完成身份验证后，会被重定向到一个端点，而其凭证将作为参数通过网络发送到移动站点。 这个端点仅创建用于支持使用移动应用程序进行身份验证，容易受到 XSS 攻击。因此，如果攻击者能够从 URL 中读取凭证，就可以实现账户接管。 “我们需要做的是编写 JavaScript 代码，启动登录流程，等待令牌在 URL 中可见，然后读取该 URL，”帖子中说。“如果受害者点击了该链接，他们的凭证将被传递给恶意域。” Balmas 强调，虽然在 Hotjar 和 Business Insider 网站上发现的具体漏洞已经得到缓解，但其他网站上也可能存在类似的潜在漏洞，这就意味着网站管理员在实施 OAuth 时需要十分小心，以免被用于类似的攻击场景。 他说：”在实施任何新技术时需要考虑很多问题，当然也包括安全问题。考虑到所有可能选项的可靠实施应该是安全的，不应该让攻击者有机会滥用这种攻击载体”。   转自Freebuf，原文链接：https://www.freebuf.com/news/407325.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

ClickBalance一个云数据库暴露在公网，导致7.69亿条记录泄露，其中包括API密钥和电子邮件地址等信息。 安全内参7月25日消息，根据安全研究员Jeremiah Fowler的最新发现，ERP软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，恶意威胁行为者可以轻而易举地访问这些数据。 ClickBalance是墨西哥最大的企业资源规划（ERP）技术提供商之一，提供可以从任何设备访问的ERP工具。ERP工具负责管理和自动化各部门的业务流程，涵盖财务、人力资源、供应链、制造和销售等部门。 Fowler向WebsitePlanet报告了这一问题。该报告指出，该数据库包含了潜在的敏感信息，如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。 泄露记录的截图（来源：Jeremiah Fowler） API和密钥的暴露非常令人担忧，因为网络犯罪分子可能利用这些数据未经授权地访问关键系统和敏感数据，进而引发数据盗窃、账号接管、未经授权的交易和服务中断。 电子邮件地址的暴露也带来了潜在的风险。相关风险不仅限于垃圾邮件，因为91%的网络攻击始于钓鱼邮件。犯罪分子可以创建欺骗性电子邮件以窃取个人信息、财务数据和登录凭证。网络犯罪分子获取业务相关的电子邮件地址之后，可能发动有针对性的钓鱼攻击。 目前尚不清楚数据库暴露了多长时间，也不清楚是否有其他人访问过。不过，Fowler指出，对于管理着大量客户、员工和终端用户数据的科技公司来说，数据保护是一大难题。为此，他们设计了企业资源规划（ERP）、客户关系管理（CRM）和持续诊断与缓解（CDM）系统，方便跟踪和管理这些数据。然而，数据泄露可能暴露敏感信息，带来长期的运营和战略风险。 好消息是，Fowler发送了负责任的披露通知，几小时后该数据库限制了公共访问。尽管如此，为了防范这些风险，组织应更改密码并启用双因素认证（2FA）。 同样重要的是，要警惕未经请求的电子邮件和可疑的信息请求。通过访问控制和安全存储实践保护密钥、令牌和其他管理凭证也至关重要。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/K9_67EAtndaO55v90kA5aA 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，黑客论坛 BreachForum v1 中 212414 名成员的个人信息遭到泄露。 知道创宇暗网雷达截图 黑客论坛 Breach Forums 的发展历史 Breach Forums是一个主要由网络犯罪分子和黑客使用的在线平台和社区，该平台用于交易和出售被盗数据、黑客工具及其他非法商品和服务，并提供相关讨论区。该论坛的前身是RaidForums，但在 2022 年被 FBI 查封后，一名为 Pompompurin 的黑客为填补市场空缺推出了BreachForums（又称 Breached）。 BreachForums 迅速崛起后，其下成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood 的数据，以及通过暴露的API泄露的X数据。然而，在D.C. Health Link数据泄露后不久，联邦调查局于2023年3月逮捕了该论坛所有者Conor Fitzpatrick（又名Pompompurin）。 在此之后，该论坛创建了多个实例，但都被执法部门查封。最新的版本由ShinyHunters创建，现已移交给新的管理员，至今仍在运行。 20多万论坛成员信息遭泄露 此次泄露的 BreachForum v1 完整数据库包含截至2022年11月29日的所有记录。泄露数据包含论坛会员的用户 ID、登录名、电子邮件地址、注册 IP 地址以及访问网站时最后使用的 IP 地址。 据这名黑客表示，起初为了阻止BreachForum员工秘密出售数据，他仅泄露了用户表。但由于数据库遭到频繁访问，这一信息遭到泄露是无可避免的，相反还能让所有人查看自己的记录并解决操作安全漏洞，这名黑客最终全面发布了完整数据库。 黑客发布的帖子截图 泄露数据截图 据这名黑客称，这些数据库直接来自BreachForum v1 的创建人 Pompompurin，且于 2022 年 11 月最后一次上传到创建人 MEGA 账户中。Pompompurin 曾在2023年6月试图以4000美元的价格出售这些数据，最终这些数据被三个黑客购买。 2023 年 7 月，一个名为 “breached_db_person ”的人试图在黑客论坛上以 10 万至 15 万美元的价格出售论坛数据库。这名卖家还与 Troy Hunt 分享了待售数据，Hunt 表示，这些待售数据包括此次黑客公布的数据库信息及其他数据库记录。这些信息随后被添加到了 Have I Been Pwned 数据泄露通知服务中。 泄露数据库分析 据研究人员分析，这些数据不是 MyBB 论坛数据库格式，而是以制表符分隔值的形式导出的，因此大概率是手动导出的。 尽管该数据库很可能在论坛被查封后已落入执法部门手中，但这些数据对于安全研究人员创建黑客画像仍然有用。与此同时，利用泄露的电子邮件地址和 IP 地址，研究人员和执法部门可以将 BreachForums 成员与其他网站、他们的地理位置以及他们的真实姓名联系起来。 2023 年 5 月，包含 47.8 万名会员数据的 RaidForums 数据库也同样于暗网泄露。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer

据知道创宇暗网雷达监测显示，在某暗网数据交易平台上，一名黑客宣称泄露了一份包含 14603422 名智利公民信息的综合数据库。据查，智利2022年人口数量约为1960万，本次事件可能导致70%以上的公民数据遭到泄露。 知道创宇暗网雷达监测截图 该数据库以 500 美元的价格出售，数据库中包括 2017 年的 PDF 版本和更新的 CSV 版本。与此同时，卖家还提供了一个包含数据类型的示例格式，泄露数据类型有：RUT（智利身份证号码）、姓名、完整地址、地区等。此次泄密事件引发了人们对智利公民隐私和安全的严重担忧。 黑客于暗网发布的帖子截图 据悉，2022年，一黑客组织利用安全漏洞，公布了智利40多万封参谋长联席会议的电子邮件，其中包括被列为“保密”、“机密”和“最高机密”的文件，智利军方高官因此辞职。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

在网络安全领域，最讽刺的事莫过于一个以数据泄漏和交易为主要“业务”的黑客论坛，其自身用户数据遭到泄露。2022年成立的BreachForums v1黑客论坛的私密会员信息近日在网络上被曝光，为威胁行为者和研究人员提供了深入了解该论坛用户的机会。 规模最大的暗网数据集市 BreachForums是规模最大最知名的数据泄露平台这一，但该论坛并非单一实体，而是多个以数据收集者和威胁行为者社区为依托，进行数据交易、销售和泄露的论坛的统称。这些论坛的鼻祖是RaidForums，但在2022年被FBI查封后，名为Pompompurin的威胁行为者推出了BreachForums（亦称为Breached），以填补市场空缺。BreachForums迅速崛起后，其成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood和通过暴露的API泄露的Twitter数据。然而，在D.C. Health Link数据泄露后不久，论坛所有者Conor Fitzpatrick，即Pompompurin，在2023年3月被FBI逮捕。此后，该论坛的多个版本被创建并被执法部门查封。最新版本由ShinyHunters（现已转交给新管理员）推出，至今仍在运营。 20多万论坛会员信息曝光 我们所称的BreachForums 1.0，即Fitzpatrick在2022年最初创建并最终在2024年被FBI查封的网站，其数据最近遭到泄漏。知名威胁行为者Emo上周泄露了BreachForums 1.0的212,414名成员的个人信息。据Emo称，这些数据直接来自Fitzpatrick，他据称在2023年6月试图以4000美元的价格出售这些数据，当时他正在保释中。Emo表示，这些数据最终被三名威胁行为者购买。Fitzpatrick在2024年1月因违反其审前释放条件（包括使用未受监控的计算机和VPN）再次被捕。目前尚不清楚这是否与他试图出售BreachForums数据有关。 2023年7月，一个名为’breached_db_person’的人士试图在黑客论坛上以10万至15万美元的价格出售论坛数据库。卖家还与Troy Hunt分享了出售的数据，Hunt透露，这些数据包括Emo泄露的数据和其他数据库记录。Hunt随后将这些信息添加到了Have I Been Pwned数据泄露通知服务中。 Emo告诉BleepingComputer，这些数据来自2022年11月的BreachForums数据库备份，是上传到Fitzpatrick的MEGA账户中的最后一个备份。 泄露的数据包含论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及最后一次访问网站的IP地址。BleepingComputer分析了数据库，并确认它包含了许多在原始BreachForums上有账户的研究人员的准确信息。 泄露数据可用于追踪不法分子 这些泄露数据似乎是手动导出的，不是MyBB论坛数据库格式，而是用制表符分隔值导出。尽管数据库很可能在论坛被查封后已经落入执法部门手中，但这些数据对于安全研究人员创建威胁行为者画像仍然有用。利用泄露的电子邮件地址和IP地址，研究人员和执法部门可以将BreachForums成员与其他网站、他们的地理位置以及可能的真实姓名联系起来。同样，2023年5月，RaidForums论坛47.8万名成员数据的数据库也被泄露到网上。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/nrLyxlOxW_XJcjtIu4bk7g 封面来源于网络，如有侵权请联系删除