美国电信运营商（AT&T）警告道，该公司发生了大规模数据泄露事件，黑客从公司 Snowflake 账户的在线数据库中窃取了约 1.09 亿用户（几乎是其所有移动用户）的通话记录。 在周五上午向美国证券交易委员会（SEC）提交的8-K表格中，AT&T报告称其被盗数据包括几乎所有AT&T移动客户和移动虚拟网络运营商（MVNO）客户在2022年5月1日至2022年10月31日以及2023年1月2日期间的通话和短信记录。AT&T进一步表示，AT&T 表示这些数据是在 2024 年 4 月 14 日至 4 月 25 日期间从 Snowflake 账户中窃取的。 被盗数据包括： AT&T 有线客户和其他运营商客户的电话号码 与 AT&T 或 MVNO 无线号码交互的电话号码 交互次数（如通话或短信数量） 一天或一个月的总通话时长 对于部分记录，一个或多个基站识别码 虽然暴露的记录不包含通话或短信内容、客户姓名或任何其他个人信息（如社会安全号或出生日期）等敏感信息，但一些不法分子可以将通信元数据与公开信息进行关联，并在许多情况下轻松推导出客户身份。 AT&T 表示，在得知发生数据泄露后，该公司与网络安全专家积极合作，并及时通知了执法部门。美国司法部于 2024 年 5 月 9 日和 2024 年 6 月 5 日两次批准 AT&T 延迟向公众通报，原因是公开信息可能会危及国家安全和公共安全。 联邦调查局表示：“FBI 优先向遭受网络攻击的受害者提供援助，并鼓励各组织在攻击事件发生前与当地 FBI 外地办事处建立关系，并在发生数据泄露时尽早与 FBI 联系。” AT&T 正与执法部门合作逮捕涉案人员，据称至少已有一人被捕。与此同时，该公司已采取额外的网络安全措施，用于防止以后出现任何未经授权的访问，并承诺将迅速通知受此次事件影响的现有客户和老客户。 AT&T 用户可以通过常见问题页面上提供的链接，查看自己的电话号码数据是否被泄露，并下载与被盗号码相关的数据。 ESET 首席安全布道师 Tony Anscombe 建议道：“如果你突然收到一条声称是你经常打电话或发短信的联系人发来的信息，并且信息上附有’这是我的新号码’的说明时，强烈建议在与对方互动之前，先拨打对方的电话或发送电子邮件，以此确认新号码是否属实。目前此次泄露数据可能已与其他泄露数据相联，这种组合数据集让网络犯罪分子能够对个人进行剖析，从而进行鱼叉式网络钓鱼和潜在的身份盗窃。” 截至目前，没有任何证据表明 AT&T 被访问的数据已被公开，公司称该事件与其今年早些时候影响 5100 万用户的 2021 数据泄露事件无关。 AT&T 是如何被入侵的？ AT&T 称，客户数据是 “从第三方云平台上的工作区非法下载的”。虽然该公司没有具体指出该平台的名称，但多个消息来源将该事件与最近发生的一系列 Snowflake 平台数据窃取事件联系起来，攻击者入侵了数百个 Snowflake实例。 今年6月，Mandiant报告称，一个被追踪为UNC5537的经济动机黑客，利用通过感染非Snowflake所有系统的信息窃取恶意软件窃取的客户凭据，成功入侵了数百个Snowflake实例。 此后，Snowflake 为工作区管理员推出了强制性多因素身份验证（MFA）执行选项，用以保护账户不被轻易接管，从而防止数据泄露事件影响至数百万人。   消息来源：bleepingcomputer、securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

两家在线 PDF 制造商泄露了数以万计的用户文件，其中包括用户护照、驾驶执照、证书和上传的其他个人信息。 随着我们对快速制作 PDF 和提交表格的需求越来越大，市面上出现了很多在线 PDF 制作商，但被这些服务商获取的用户数据真的安全吗？Cybernews 研究小组发现，PDF Pro 和 Help PDF 这两家在线 PDF 制作商泄露了共 89000 多份文件。 目前为止，暴露的 Amazon S3 存储桶呈开放状态，任何人都能够获取其中的数据。此外，用户仍在持续上传文档，对其个人数据正在发生泄露并不知情。 严重的安全风险 PDF Pro（pdf-pro.io）和 Help PDF（help-pdf.com）似乎是由同一个英国法律实体运营的，且采用了相同的设计。它们向用户提供 PDF 转换工具、压缩工具、编辑工具及签署文档的选项。 据该团队称，暴露的内容包含用户上传的文档。截至目前，暴露的文件总数为 89062 个，其中 87818 个通过 PDF Pro 上传，1244 个通过 Help PDF 上传。 文件中包含大量敏感信息，其中包括： 护照 驾照 证书 合同 其他文件和信息 研究人员说道：“犯罪分子在获得个人文件后，可以利用受害者的身份从事各种欺诈活动，如申请贷款、租赁房产或购买昂贵物品。” 此外，黑客还可以篡改或伪造合同或执照等文件，从而创建虚假身份、捏造资质或操纵法律协议，以此为自己谋利，并可能给受害者带来法律问题。 对此，该团队提供了几条防范此类事件再次发生的建议： 立即限制公众对信息桶的访问 更改数据桶策略和访问控制列表 (ACL)，限制授权用户或应用程序的访问权限 确保数据桶中的所有对象都设置为私有或配置了适当的访问控制 在数据桶上启用服务器端加密，以保护静态数据。管理员可根据需求选择 SSE-S3、SSE-KMS 或 SSE-C   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

WordPress、Magento 和 OpenCart 等多个内容管理系统 (CMS) 平台已成为一种名为 Caesar Cipher Skimmer 的新型信用卡网络盗刷软件的攻击目标。 网络盗刷是指为了窃取财务和支付信息而将恶意软件注入电子商务网站的行为。 据 Sucuri 称，最新的攻击活动恶意修改了与 WordPress 的 WooCommerce 插件相关的结账流程 PHP 文件（”form-checkout.php”），从而窃取了信用卡信息。 安全研究员 Ben Martin 说：”在过去的几个月里，这些注入文件被修改得不再像可疑的长混淆脚本。”他指出，该恶意软件试图伪装成谷歌分析和谷歌标签管理器。 具体来说，恶意软件利用凯撒密码中使用的相同替换机制，将恶意代码编码成乱码字符串，并隐藏用于托管有效载荷的外部域。 据推测，所有网站都曾通过其他手段被入侵过，最终安装了名为 “style.css “和 “css.php “的 PHP 脚本，目的显然是为了模仿 HTML 样式表并逃避检测。 这些脚本反过来被设计用来加载另一个混淆的JavaScript代码，该代码会创建一个WebSocket并连接到另一台服务器，以便获取实际的恶意负载。 Martin 指出：“脚本会发送当前网页的 URL，这样攻击者就可以为每个受感染的网站发送定制的响应。有些版本的第二层脚本甚至会检查是否由登录的 WordPress 用户加载，并为他们修改响应。” 有些版本的脚本还用俄语写了程序员可读的注释，这表明幕后的黑客是讲俄语的。 WooCommerce中的form-checkout.php文件并不是用来部署窃取程序的唯一方法，攻击者还会滥用合法的WPCode插件并将其注入网站数据库。 在使用 Magento 的网站上，JavaScript 注入是在 core_config_data 等数据库表上执行的。目前还不知道 OpenCart 网站是如何做到这一点的。 由于WordPress及其庞大的插件生态系统被广泛用作网站的基础，它们已成为黑客有利可图的攻击目标，让黑客能够轻松访问广阔的攻击面。 网站所有者必须持续更新内容管理系统软件和插件，同时确保密码安全，并定期审查是否存在可疑的管理员账户。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一次未受保护的安全事件暴露了自 1989 年以来提交的 1350 万起犯罪举报背后的举报人信息，严重威胁使用巴尔的摩市 311 服务的个人的安全。 虽然举报犯罪是每个公民的义务，但大多数人都希望至少在一定程度上保持匿名，以免受到报复。Cybernews 研究团队的最新发现给公民的隐私问题蒙上一层阴影。 5 月 8 日，该团队发现一个属于巴尔的摩市可公开访问的 Kibana 实例。暴露的数据库没有身份验证或授权系统来防止未经授权的访问。 在几乎任何人都可以接触到的大量敏感数据中，这个实例包含通过该市 311 电话服务提交的报告。311 最初是巴尔的摩的非紧急电话热线，现在可以通过网站或应用程序进行互动。 据研究人员称，暴露的数据库泄露了几十年来提交请求的人的姓名、电子邮件地址和电话号码。 研究人员表示：“尽管 311 并非紧急服务电话，但一些居民仍用它来举报犯罪。泄露此类数据可能会危及举报犯罪的人，尤其是在美国凶杀率最高的城市。” 截至 5 月 20 日，暴露的实例已不再向公众开放。Cybernews 已联系巴尔的摩市征求意见，但在发布之前尚未收到回复。 哪些数据被泄露了？ 虽然该实例仍可公开访问，但该团队总结称，该数据库包含巴尔的摩居民提交的报告和投诉。此外，该实例还包含： 已报告的交通事故 住房消毒请求和投诉 道路质量报告 测速摄像头的位置和状态 动物控制投诉 非法活动指控 由于大部分数据都是通过 311 服务提交的，因此随着市政府向公众发布部分报告，部分报告已经公开。但是，本例中的数据数量和容量明显高于公开的数据。 据该团队介绍，此次泄露的数据包含了几十年来提交的超过 1350 万份报告，其中一些报告可以追溯到 1989 年。由于 311 服务于 1996 年才推出，调查结果表明，此次数据泄露暴露了几份较早的数字化报告。 研究人员表示：“此次泄密事件损害了那些在该平台上举报犯罪行为等问题的个人的隐私，甚至可能损害了他们的安全。泄露此类报告可能会对使用该平台的巴尔的摩市民造成危险，因为巴尔的摩市在美国暴力犯罪排行榜上名列前茅。” 去年巴尔的摩每十万居民发生 45 起凶杀案，是美国平均水平的八倍多。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uWVQetufimVhVbDQVtpwwA 封面来源于网络，如有侵权请联系删除

美国国家客运铁路公司（Amtrak）近日披露了一起数据泄露事件，旅客的Guest Rewards常旅客积分账户的个人信息被大量窃取。 根据Amtrak向马萨诸塞州提交的泄露通知，5月15日至18日期间，Amtrak的用户账户信息遭到第三方未经授权的访问。 Amtrak表示，此次事件并非其系统遭到黑客攻击，而是由于之前数据泄露事件中泄露的用户名和密码被用来非法访问用户账户。 Amtrak所指的“之前的泄漏事件”发生在2020年，当时Guest Rewards常旅客积分用户计划的个人信息被泄漏，但Amtrak宣称“黑客活动数小时之内就发现并踢出系统。” 根据黑客发布的帖子，Amtrak此次泄漏的信息包含大量个人数据，包括“姓名、联系方式、Amtrak Guest Rewards账户号码、出生日期、支付详情（如部分信用卡号码和有效期）、礼品卡信息（如卡号和PIN码）以及用户的交易和旅行信息。” 在一些案例中，黑客甚至接管了账户，更改了电子邮件和密码，使合法用户无法登录。不过，Amtrak及时采取了措施，在发送给受影响用户的通知中，Amtrak表示：“我们已经将用户的Amtrak Guest Rewards账户的电子邮件地址更改回用户档案中的电子邮件地址，并启动了账户密码重置。” Amtrak并未详细说明受影响的乘客人数，但敦促用户更换密码并启用多因素认证（MFA），以防止账户被非法访问和接管。 Jumio公司的首席技术官Stuart Wells在一份发给媒体的电子邮件声明中表示：“黑客已经意识到从旅行忠诚度计划中窃取数据的高回报，这些数据可以轻松地在暗网出售或转换为门票。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/c3MccbO9OUBWrC539HV6jg 封面来源于网络，如有侵权请联系删除

洛杉矶县公共卫生部（DPH）宣布，在2024年2月19日至2月20日发生数据泄露后，超过20万人的个人信息被泄露。 黑客通过网络钓鱼活动获得了53名公共卫生员工的登录凭证。 “在2024年2月19日至2024年2月20日期间，洛杉矶县公共卫生部经历了一次网络钓鱼攻击，黑客能够通过网络钓鱼电子邮件获得53名公共卫生员工的登录凭证，泄露了20多万人的个人信息。”DPH发布的数据泄露通知写道。 发现网络钓鱼攻击后，公共卫生部门禁用了受影响的电子邮件帐户，并重置和重新映像用户的设备。该组织还封锁了攻击来源的网站，并隔离了所有可疑的传入电子邮件。 可能被盗的电子邮件帐户可能包括DPH客户/员工/其他个人的名字和姓氏、出生日期、诊断、处方、医疗记录号码/患者ID、Medicare/Med-Cal号码、健康保险信息、社会保险号码和其他财务信息。该公司正在通知美国卫生与公众服务部民权办公室和其他相关机构。作为回应，公共卫生部门实施了许多增强措施，以减少未来遭受类似电子邮件攻击的风险。 4月，洛杉矶县卫生服务部披露了一起影响数千名患者的数据泄露事件。在网络钓鱼攻击影响了二十多名员工后，患者的个人和健康信息被曝光。洛杉矶县卫生服务部在洛杉矶县经营公立医院和诊所，是美国第二大市政卫生系统，仅次于纽约卫生+医院。 “网络钓鱼电子邮件试图诱骗收件人放弃重要信息。在这种情况下，国土安全部员工点击了电子邮件正文中的链接，认为他们正在访问来自值得信赖的发件人的合法消息。”阅读发送给受影响个人的数据泄露通知。“由于执法部门正在进行的调查，我们被建议将此事件通知推迟到现在，因为公开通知可能阻碍了他们的调查。” 泄露的信息因人而异，可能暴露的信息包括患者的名字和姓氏、出生日期、家庭住址、电话号码、电子邮件地址、医疗记录号码、客户识别号、服务日期和/或医疗信息（例如诊断/条件、治疗、测试结果、药物）和/或健康计划信息。   转自e安全，原文链接：https://mp.weixin.qq.com/s/ywuuGFU5_Fvl6r0gHBTMXQ 封面来源于网络，如有侵权请联系删除

据 BleepingComputer 了解，企鹅俱乐部的粉丝入侵迪士尼 Confluence 服务器试图窃取该游戏信息，最终却获取了 2.5 GB 的公司内部数据。 企鹅俱乐部是一款于 2005 年至 2018 年间推出的多人在线游戏（MMO），玩家可以在虚拟世界中与其他玩家一起玩游戏、开展活动和聊天。该游戏最初由新地平线互动公司（New Horizon Interactive）制作，后来被迪士尼公司收购。 虽然《企鹅俱乐部》和后续版本《企鹅俱乐部岛》接连于 2017 年、2018 年正式下架，但这款游戏仍存在于粉丝和独立开发者运营的私人服务器中。尽管迪斯尼对较为知名的的 “企鹅俱乐部重写版 ”进行法律打击，导致其运营者被捕，但私人服务器中至今仍有成千上万的玩家。 企鹅俱乐部粉丝入侵迪士尼 本周，一位匿名者在 4Chan 留言板上上传了 “企鹅俱乐部内部 PDF ”的链接，并表示“他不再需要需要这些文件”。 该链接指向 415 MB 的归档文件，其中包含 137 个 PDF 文件，内有企鹅俱乐部的旧内部信息，包括电子邮件、设计原理图、文档和角色表。 所有这些数据都是七年前或者更早的，只有游戏迷才会对这些数据感兴趣。 泄露文件中的 SENSEI 角色表 BleepingComputer 后来了解到，企鹅俱乐部的数据只是从迪士尼 Confluence 服务器窃取的数据集中的一小部分，该服务器存储了迪士尼内部使用的各种业务、软件和 IT 项目的文档。 据一位匿名消息人士称，攻击者使用此前暴露的凭据来入侵迪士尼的 Confluence 服务器。这些黑客最初只是在查找企鹅俱乐部的数据，最终却下载了 2.5 GB 公司内部数据，内容涉及迪士尼的企业战略、广告计划、Disney+、内部开发工具、业务项目和内部基础设施。 泄露文件中还包括内部 api 端点和 S3 存储桶等的凭据。窃取数据包括各种计划和项目的文档，以及名为 Helios 和 Communicore 的内部开发人员工具的信息，该信息此前从未公开披露过。 CommuniCore 是一个 “高性能异步消息库，主要用于分布式应用程序”。而 Helios 是一种节目创作和回放工具，该工具允许迪士尼的制作人和作者利用迪士尼乐园中传感器的真实输入，创作互动式非线性 “体验”。 文件中还包含迪士尼开发人员使用的内部网站链接，对于试图攻击迪士尼的黑客来说这些链接可能很有价值。 虽然企鹅俱乐部的数据相当陈旧，但 Discord 上流传的其他数据尤为新颖，其中包括 2024 年的信息。 BleepingComputer 被告知，4Chan 上共享的原始企鹅俱乐部 PDF 是在几周前被盗的。然而，迪士尼公司的数据似乎早在此之前就被下载了，泄露文档中写道：“文档由 Confluence 于 2024 年 6 月 1 日 21:59 生成”。 BleepingComputer 曾多次联系迪士尼，询问有关信息泄露的问题，但至今仍未收到回复。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据安全研究人员报告，云存储公司 Snowflake 发生数据泄露事件，Ticketmaster 和其他多家机构的大量信息被盗。 在上周末提交给美国证券交易委员会的一份文件中，Ticketmaster 母公司 Live Nation Entertainment 证实，有人未经授权访问了 “第三方云数据库环境”，其中主要包含在线票务销售平台的数据。 “2024年5月27日，一名黑客通过暗网出售所谓公司用户数据。我们正在努力降低用户和公司面临的风险，目前正在与执法部门合作。”文件中写道 虽然 Live Nation Entertainment 并未指明对此次漏洞负责的第三方服务提供商，但威胁情报部门已得知该服务商为 Snowflake，即一个云人工智能数据平台，大量公司使用该平台存储、管理和分析大量数据。 5 月 31 日，Snowflake 披露，在威胁分子瞄准只有单因素身份验证的客户账户后，该公司正在调查一起影响少数客户的网络事件。 Snowflake 在其社区论坛上发表声明说：“作为此次活动的一部分，黑客利用了此前购买的或通过信息窃取恶意软件获得的凭证。” 该公司表示，没有发现任何证据表明此次恶意活动是由于其平台存在漏洞或被入侵，亦或 “ Snowflake 在职或离职人员证书被泄露 ”造成的。 然而，该声明确实透露一名前员工的个人凭证被泄露的情况，该凭证并被用于访问不包含敏感数据的演示账户。 “演示帐户没有被连接到 Snowflake 的生产或企业系统。与 Snowflake 的企业和生产系统不同的是，演示账户背后没有 Okta 或多因素身份验证 (MFA)，因此黑客才能成功访问。”该公司说。 在另一篇知识库文章中，该公司警告道 “针对公司客户账户的网络攻击数量变多”，且再次强调是此次数据泄露是凭证填充造成的，而不是漏洞、配置错误或 Snowflake 系统受损。 该公司表示：“在调查过程中，我们已及时通知公司认为可能受到影响的少数客户。” 知识库文章还为发现账户存在可疑活动的组织提供 IoC 和一些建议。 Snowflake 黑客的背后是青少年 上周，一名声称对 Snowflake 活动负责的黑客在与 Hudson Rock 的对话中表示，他们访问了 Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等组织的数据，此外还有 Ticketmaster 这一彩票公司的数据。 Santander Bank 于 5 月中旬披露，该行由第三方供应商托管的数据库遭到未经授权访问，同时声称智利、西班牙和乌拉圭客户的信息及所有在职和离职员工的数据遭到泄露。 总体而言，大约有 400 家组织可能受到 Snowflake 事件的影响，该黑客声称希望 Snowflake 支付 2000 万美元来换取这些数据。 Hudson Rock 在一篇现已删除的帖子中指出，攻击者还声称入侵了 Snowflake 员工的 ServiceNow 账户，并绕过了 Okta 保护措施，同时获得了生成会话令牌的能力，从而得以窃取大量数据。 该黑客向 Hudson Rock 提供了一个 CSV 文件，其中包含在 Snowflake 服务器上运行的 2000 多个客户实例的数据，这些数据包括 2023 年 10 月一名感染信息窃取程序的 Snowflake 员工信息。 “报告显示，在与被入侵的 Snowflake 账户相关的窃取者日志中检测出 500 多个演示环境实例，”SOCRadar 在分析中指出。 与此同时，澳大利亚网络安全中心宣布发现 “一些利用 Snowflake 环境的公司被成功入侵”，并正在跟踪与 Snowflake 客户环境有关威胁活动的增加情况。 尽管 Snowflake 可能声称自己不是数据泄露事件的受害者，但攻击者的说法和该公司声明完全相反，安全研究员 Kevin Beaumont 指出：事实是，该公司一名员工的账户没有得到妥善保护，导致该账户感染了信息窃取程序。 因此，该研究人员表示，虽然 Snowflake 试图将黑客此次攻击的责任归咎于客户，但该公司也要对这一事件负责。 研究人员说：“Snowflake 也落入了陷阱，因为他们既没有在演示环境中使用多因素身份验证，也没有禁用离职者的访问权限。” 据 Beaumont 所说，此次攻击事件背后的黑客是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年，他们依靠信息窃取者而使用客户被盗的凭据访问 Snowflake 数据库。 SOCRadar 指出，该黑客于 5 月 23 日首次出现于暗网论坛上，当时他们使用 “Whitewarlock ”的化名吹嘘 Santander Group 的漏洞，并将窃取的数据标价为200万美元。 “Whitewarlock 在网络安全界的活动和口碑尚不明确，也没有任何已知历史记录。他们的突然出现和具体要求表明，此次攻击大概是一次机会主义攻击，缺乏协调准备。”SOCRadar 指出。 建议 Snowflake 客户禁用不活跃的账户，并确保启用 MFA，同时重置活跃账户的凭据，采用云存储提供商提供的缓解建议。 Ticketmaster 此前已发生数据泄露 据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息，同时还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 相关链接： Ticketmaster 5.6 亿客户数据泄露，疑似被高价出售   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Proton和Constella Intelligence的研究，918名英国议员、欧洲议会议员、法国议员和参议员的电子邮箱地址及其他敏感信息出现在暗网市场上，英国、欧洲和法国议会的2280个官方政府电子邮箱地址中有40%被曝光，其中包括密码、出生日期等详细信息。泄露数据的电子邮件地址大部分属于英国议员（68%），其次是欧盟议员（44%）。 研究人员指出，法国议员和参议员的安全措施最好，在网络犯罪论坛和暗市中搜索的电子邮件仅有18%。 这些议员、欧洲议会议员、众议员和参议员中，许多人都担任高级职务，包括委员会负责人、政府部长和高级反对派领导人。这些政客可以接触到高度敏感的信息，尤其令人担忧的是，他们中的一些人目前或曾经是负责监督和执行国家和国际数字战略的委员会成员。 这些电子邮件出现在暗网上表明，政客们使用他们的官方电子邮件在第三方网络服务上创建账户，而该账户遭遇了数据泄露。 “这些电子邮件在政府网站上公开，但却出现在暗网上，这本身并不是安全漏洞。这也不是英国、欧洲或法国议会遭到黑客攻击的证据。”报告写道。“相反，这表明政客们使用他们的官方电子邮件地址在第三方网站上建立账户（后来遭到黑客攻击或遭到入侵），将他们自己和他们受托保管的信息置于不必要的风险之中。” 更令人担忧的是，研究人员能够将这些电子邮件地址与 697 个纯文本密码进行匹配。专家通知了受影响的政客，他们指出，如果政客将其中一个暴露的密码重复用于他们的官方电子邮件帐户，也可能面临风险。 英国议员没有因账户被盗而卷入重大丑闻，这真是个奇迹，因为 68% 的搜索电子邮件地址都是在暗网上找到的，包括政府和反对派的高级官员。议员的电子邮件地址在暗网上总共被曝光了 2,110 次，研究人员注意到，最常被攻击的议员遭遇了多达 30 次入侵。平均而言，被入侵的议员的详细信息出现在 4.7 次入侵中。与英国议员相比，欧洲议会议员遭遇的泄密事件较少，但搜索到的近一半电子邮件都是在暗网上找到的。在被曝光的 309 名欧洲议会议员中，有 92 人参与了 10 次或以上的泄密。欧盟政客的电子邮件地址被曝光了 2,311 次，同时还有 161 个明文密码。这引发了人们的担忧，因为欧洲议会越来越成为国家支持的攻击的目标，并承认其缺乏准备。 受影响的政客使用他们的官方电子邮件地址在多个网站上创建账户，包括 LinkedIn、Adobe、Dropbox、Dailymotion、请愿网站、新闻服务，甚至在少数情况下还包括约会网站。 “即使恶意接管其中一个账户不会让攻击者（或外国政府）获得国家机密，但它可能会泄露该政客的私人通信或其他敏感数据。然后攻击者可以利用这些信息对政客进行网络钓鱼或勒索。”报告总结道。 “这是最好的情况。如果被攻破的政客在其官方账户之一上重复使用了在暗网上曝光的密码（并且没有使用 双因素身份验证），攻击者就可能进入政府系统。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/XkXNNuHjFy2OkB-ChYAITQ 封面来源于网络，如有侵权请联系删除

总部位于加利福尼亚的成像传感器制造商OmniVision在去年遭遇Cactus勒索软件攻击后，发布警告称公司存在数据泄露风险。 OmniVision是中国韦尔半导体的子公司，主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。2023年该公司拥有2200名员工，年收入达到14亿美元。 周五，OmniVision向加利福尼亚州当局报告了一起安全漏洞事件，据称该公司系统于2023年9月4日至9月30日期间被勒索软件加密。 “2023年9月30日，OVT发现一起安全事件，该制造商系统被未经授权的第三方加密。针对该事件，我们在第三方网络安全专家的协助下迅速展开全面调查，同时通知了执法部门。经过深入调查确定，未经授权方在2023年9月4日至9月30日期间从公司系统中获取了一些个人信息。”通知中写道。 OmniVision表示，其内部调查于2024年4月3日结束，调查结果显示攻击者窃取了公司的个人信息。 被盗数据在通知样本中已被屏蔽，同时被泄露的人员数量仍不明确。 然而，Cactus勒索软件团伙在2023年10月17日发布了一则公告，声称对OmniVision发动了攻击，并泄露了以下数据样本： 护照扫描件 保密协议 合同 机密文件 黑客最终免费提供此次攻击中持有的所有数据，该数据以ZIP档案的形式下载。 OmniVision被列入Cactus博客的截图 截至目前，OmniVision已从Cactus勒索软件分站（在暗网上）上移除。 Cactus是约一年前出现的勒索软件团伙，其目标是利用VPN设备的漏洞获取对企业网络的访问权限，同时采用特殊的加密方式来规避检测。 该团体曾攻击过一些大型公司，比如冷藏和物流巨头Americold以及能源和自动化制造企业Schneider Electric。 作为对此次数据泄露的回应，OmniVision积极采取措施来加强环境安全，同时能够更加快速地检测到可疑活动。他们还向通知接收者提供了为期24个月的信用监控和身份盗用恢复服务。 我们建议受影响的人注册OmniVision提供的服务，同时保持警惕，拒绝未经任何邀请和可疑的通信，定期审核信用报告和账户对账单，并将异常活动报告给所属金融机构。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文