HackerNews 编译，转载请注明出处： Cybernews发现一起Elasticsearch数据泄露事件，其中包含超过2.23亿条巴西人的敏感信息。 Elasticsearch 是一个常用的工具，用于搜索、分析和可视化大量数据。这次泄露的数据并没有明确与某个特定公司或组织关联，因此目前暂时无法追溯具体数据来源。   数据泄露总数 这个数据集存放在云服务器上，包含了完整姓名、出生日期、性别以及个人税务登记号码（CPF）。泄露的数据超过 2.23 亿条记录，这意味着巴西全民可能都受到了此次数据泄露的影响。 泄露的私人数据 尽管数据不再公开可用，但黑客可能利用这些信息进行身份盗窃、欺诈和网络犯罪，给相关人员带来财务损害和非授权账户访问等严重风险。 此前，Cybernews曾报道涉及大量据称来自政府实体的泄露数据集在网络上出售的情况，而这次规模更大的泄露加剧了潜在影响。 今年年初，黑客还曝光了10 亿台电脑中的 23TB 数据，其中包括中国公民及上海警方的数十亿份案件记录。此外，还有 1.05 亿印度公民的个人数据（包括身份证号码、全名、出生日期和其他个人身份信息），也被非法披露并在网上售卖。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处：   知名律师事务所 Orrick，Herrington&Sutcliffe 近期披露了一起数据泄露事件，超过 60 万人受该事件影响。 据了解，此次数据泄露事件发生在 2023 年 2 月 28 日至 3  月 13 日，攻击者在入侵该公司网络后，获得了一个数据存储区，其中包括该律所的相关客户文件。在该事件发生后，Orrick 采取了对应措施来阻止未经授权的访问，并启动了对安全事件的调查。 Orrick 补充到：自该事件发生以来，暂未发现进一步的未经授权行为。 在这次安全事件中，可能受到影响的信息包括：姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照或其他政府发行的身份证明号码、护照号码、金融账户信息、纳税人识别号码、医疗治疗和/或诊断信息、索赔信息（日期、服务费用和索赔标识符）、健康保险信息等。 据路透社报道，去年12月，该律师事务所宣布已初步与数据泄露相关的四起集体诉讼达成和解。 Orrick 于 1863 年在旧金山成立，主要为金融、政府、基础设施、技术和其他类型的组织提供交易、诉讼和监管事务咨询。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：dengdeng

HackerNews 编译，转载请注明出处： 迪拜出租车公司（DTC）提供出租车、豪华轿车和其他交通服务，控制着迪拜44%的市场份额。 DTC运营着7,000多辆汽车，并拥有14,000名司机合作伙伴，是阿拉伯联合酋长国人口最多的城市中最大的服务提供商。DTC应用在Google Play商店的下载量超过100,000次。 由于数据库对公众开放，DTC应用程序泄露了大量敏感信息。Cybernews研究团队发现，超过197,000名应用用户和近23,000名司机的信息被曝光。 根据CyberNews团队的说法，泄露的数据存储在一个开放的MongoDB数据库中，该数据库现已关闭。企业使用MongoDB来组织和存储大量的面向文档的信息。 研究人员认为，泄露的数据库可能是用于开发目的的生产数据库，因为它包括客户数据、日志、司机的个人可识别信息（PII）、注册和银行详细信息，以及乘客订单详细信息。数据覆盖了2018年至2021年的时间段。 暴露的DTC应用用户数据包括电子邮件地址、电话号码、电话型号以及用于电子邮件、登录、会话和注册的应用令牌。令牌通常用作用户帐户的数字钥匙，理论上，暴露令牌可能导致未经授权的账户访问。 除了近20万名客户的信息外，DTC应用的开放数据库还泄露了22,952名司机的信息，包括：驾驶执照号码、工作许可证号码、国籍、用户名、加密密码、电话号码。 在线司机应用程序日志包含了高达1TB的数据，包括位置详情、IP地址、司机是否使用VPN服务，甚至包括设备电池状态。 “这个全面的数据集可以使威胁行为者从事各种恶意活动，从有针对性的网络钓鱼攻击和身份盗窃到利用个人的旅行模式进行犯罪目的，”Cybernews研究团队说。“这次信息泄露只是强调了采取迅速有效措施来减轻潜在危害并保护受损信息的迫切需要。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肯塔基州和印第安纳州的非营利性医疗企业Norton Healthcare，由数十家诊所和医院组成，在大路易斯维尔和印第安纳南部的140多个地点拥有20,000多名员工与1,750多名受雇医疗提供者。 12月18日，该企业通知客户发生了一起“网络安全事件”，影响了企业的内部系统。 根据发送给受影响客户的通知，此事件被“确定为勒索软件攻击”。 Norton声称已经通知了联邦调查局，从安全备份中恢复了其系统，并未支付任何形式的赎金。缅因州总检察长办公室表示，这起勒索软件攻击影响了2,500,000人。 根据公司调查，一些网络存储设备在2023年5月7日至5月9日期间遭到不明黑客的访问。虽然这次侵入未涉及Norton Healthcare的医疗记录系统或其在线医疗记录平台Norton MyChart，但黑客仍然获取了包括所有病人、员工及其家属和受益人在内的部分个人数据。 这些数据包括姓名、联系信息、出生日期、社会安全号码、健康信息、保险信息和医疗识别号码以及驾驶执照号码或其他政府身份证号码、金融账户号码和数字签名。 Norton为受影响个人提供了两年的免费信用监控和身份盗窃保护服务。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Security Affairs 网站消息，Cyber news 研究小组近期发现由于系统配置错误，IT 公司 Appscook 泄露了大量敏感数据，其中包括未成年人的照片、家庭住址和出生证明。（Appscook 公司开发的应用程序主要被印度和斯里兰卡的 600 多所学校用于教育管理） 据悉，安全研究人员在例行检查时发现，在互联网上有近百万敏感文件的 DigitalOcean 存储桶向任何人开放，且无需安全验证。这种情况下泄露的私人数据会带来严重的安全风险，再加上大多数泄露的文件求实未成年人的，潜在的安全风险更是不可估量。泄露信息详情如下： 学生姓名； 家长姓名； 学前班、小学和中学学生的照片； 儿童就读的学校名称； 出生证明； 学费收据； 学生成绩单/考试成绩； 家庭住址； 电话号码。 Appscook 公司有 96 个学校专用应用程序支持在线课程，使家长和学校能够就孩子的学习成绩和日常活动进行直接交流。据该公司网站称，有 50 多万名学生和 100 多万名家长使用该平台。数据泄漏事件发生后，Cybernews 立刻联系了 Appscook，但尚未收到任何回复。 数据泄漏事件对未成年构成巨大威胁 此次数据泄密事件引发了民众对网络犯罪分子可能滥用未成年个人信息的担忧，尤其是家庭住址和个人照片都会成为潜在犯罪分子能够利用的”凭证“，并借此敲诈未成年人的父母。 Cyber news 信息安全研究员 Vincentas Baubonis 指出，泄露的未成年人数据可能会带来某种可怕的后果，鉴于这些信息会泄露未成年的日常行踪，从而使其面临安全风险。 目前来看，虽然未成年可能不像成年人那样容易受到”数字欺诈“的影响，但威胁攻击者还是可能会利用泄露的个人数据对这些儿童的父母进行身份盗窃、欺诈和有针对性的网络钓鱼活动。不仅如此，最坏的情况下，数据泄露可能会增加虐待儿童的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/384913.html 封面来源于网络，如有侵权请联系删除

近日，五家加拿大医院透露遭受勒索软件的攻击，并被泄露了北岛数据。受影响的医院包括Bluewater Health、查塔姆-肯特健康联盟、伊利海岸医疗保健、迪厄格雷斯酒店和温莎地区医院。 据悉在10月，当地服务提供商TransForm共享服务组织遭到勒索软件攻击，医院受到影响。TransForm是一家非营利组织，为上述医院提供IT服务。该组织发现，威胁行为者破坏了一个托管员工数据的文件服务器，并与受影响的医院共享了一个驱动器。 TransForm宣布不打算支付赎金 该公司的声明中写道：“我们没有支付赎金，我们知道与网络事件有关的数据已经公布。” 该公司通知了执法部门，包括当地警察局、安大略省警察局、国际刑警组织和联邦调查局，以及包括安大略省信息和隐私专员在内的所有相关监管组织。 该事件的调查仍在进行中，尚未确定安全漏洞的范围。蓝水健康医院证实，威胁行为者窃取了一个包含560万患者就诊信息的数据库，而受影响的患者人数约为26.7万。 目前第二批第三批数据也已被公布，包括新冠疫苗记录。CISA、联邦调查局和卫生与公众服务部（HHS）警告称，戴信团队的网络犯罪集团正通过勒索软件行动积极瞄准美国企业，主要是医疗保健和公共卫生部门。 戴信团队是一个勒索软件和数据勒索集团，至少自2022年6月以来一直活跃。该组织专注于HPH部门的勒索软件业务，旨在部署勒索软件并过滤个人身份信息（PII）和患者健康信息（PHI），威胁称如果不支付赎金，将公布被盗数据。 戴信团队通过虚拟专用网络（VPN）服务器初步接触受害者。在一次成功的攻击中，攻击者很可能利用了该组织VPN服务器中未修补的漏洞。 在另一个方案中，在访问目标的VPN服务器后，Daixin参与者通过安全外壳（SSH）和远程桌面协议（RDP）进行横向移动。 联邦机构发布的警报包括妥协指标（IOC）和MITRE ATT&CK战术和技术。   转自E安全，原文链接：https://mp.weixin.qq.com/s/L7GZ3fRmSsZfvjIfw-uvtw 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，BlackCat （黑猫）勒索软件团伙声称其成功侵入医疗保健巨头 Henry Schein 内部网络，并窃取了包括员工工资信息和股东信息在内的数十 TB 数据。 Henry Schein 作为一家全球著名的医疗保健解决方案提供商和财富 500 强公司，在 32 个国家和地区开展业务，2022 年收入超过 120 亿美元。 遭到袭击后，Henry Schein 立即采取应急措施 发现遭遇网络袭击后，Henry Schein 迅速采取预防措施。公司信息小组人员暂时离线下架某些系统，以及采取其他旨在控制事件蔓延的措施，虽然此举很好限制了网络事件带来的恶劣影响持续升级，但也导致 Henry Schen 的一些业务运营暂时中断。（该公司强调 Henry Schein One 实践管理软件没有受到影响） 随后，Henry Schein 将网络安全事件通知了相关执法部门，并聘请了外部网络安全和取证专家，调查此次攻击是否会导致数据泄露等问题。网络安全事件披露一周后，医疗服务提供商 Henry Schein 敦促其客户通过 Henry Schein 代表或使用专用的电话销售号码下单。 黑猫声称盗取了大量 Henry Schein 的数据信息 大约两周后，黑猫勒索软件团伙将 Henry Schein 添加到了其暗网泄露网站，并声称其破坏了该公司的网络，窃取了 35 TB的敏感文件。值得一提的是， 黑猫团伙表示由于赎金谈判失败，在 Henry Schein 几乎完成恢复所有系统之际，他们再次加密了该公司的网络设备。 黑猫团伙一成员表示，在与 Henry Schein 团队讨论赎金问题时，没有任何迹象表明该公司愿意优先考虑客户、合作伙伴以及员工的数据安全问题。如果赎金谈判没有进展，会把部分 Henry Schein 内部工资数据和股东文件夹发布到泄密网站上，后续也会每天发布一些信息。 目前， Henry Schein 在黑猫数据泄露网站上的条目已被删除，暗示该公司将重启谈判或支付赎金。为此，BleepingComputer 联系了 Henry Schein 发言人，他没有立即对此做出回应。 黑猫勒索软件猖狂至极 2021 年 11 月，黑猫勒索软件“浮出水面”，一度被怀疑是臭名昭著的 DarkSide/BlackMatter 勒索软件团伙的品牌重塑，在成功渗透 Colonial Pipeline 后引起了全球关注，促使全球执法部门对其展开调查。 近期，一个被追踪为 Scattered Spider 的黑猫子团伙声称对米高梅度假村的入侵负责，在米高梅度假酒店拒绝赎金谈判并关闭其内部基础设施后，该团伙加密了其 100 多个 ESXi 管理程序。   转自Freebuf，原文链接：https://www.freebuf.com/news/382719.html 封面来源于网络，如有侵权请联系删除

Lockbit勒索软件团伙声称对航空航天制造商和国防承包商波音公司进行了黑客攻击，并威胁要泄露被盗的数据。波音公司是世界上最大的航空航天制造商和国防承包商之一。2022年，波音公司的销售额为666.1亿美元，Lockbit勒索软件组织27日将波音公司添加到其Tor泄露网站的受害者名单中。 该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期（2023 年11月2日13:25:39 UTC）内联系他们，他们将公布这些数据。目前，该组织尚未发布任何样本。Lockbit声称，“如果波音公司不在最后期限内联系，大量敏感数据将被泄露并准备公布！目前我们不会发送清单或样品，但在截止日期之后我们不会这样保留。”有资料显示，Lockbit是全球最臭名昭著的黑客组织之一，他们经常部署难以破解的勒索软件来锁定受害者的一些重要文件，然后要求支付一定金额的赎金才能进行解锁操作。在近期，许多黑客团伙的手段简单化：他们只是简单地窃取一些文件，并要求支付不公开发布文件所需的费用。 该组织在其泄漏网站上发布的消息中写道：“波音公司，这家600亿美元的公司，及其子公司，在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、人类太空飞行以及发射系统和服务。” 波音近日公布了不及市场预期的第三季度业绩，Q3营收为181亿美元，同比增长13.4%，但是较市场预期低2亿美元。波音自去年以来一直在努力加快交付速度，以加速从安全和疫情引发的双重危机中复苏，但尽管市场对喷气式飞机的需求旺盛，但由于整个行业的供应和劳动力短缺，该公司已连续两年面临交付中断。数据显示，该公司积压订单总额为4690亿美元，其中包括5100多架商用飞机。 目前，波音的赎金要求尚未披露，但网络安全分析师Dominic Alvieri认为赎金可能非常高。如果LockBit为波音公司使用他的新收入模式，这将是创纪录的约18亿美元赎金请求。10月中旬，Lockbit勒索软件团伙声称入侵了技术服务巨头 CDW。LockBit勒索软件团伙索要8000万美元的赎金，但该组织声称该公司只提供了100万美元。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bieaXA0gzsrKHFW_zQCPgw 封面来源于网络，如有侵权请联系删除

IBM 的一项新研究表明，当前的生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件，并且可以为攻击者节省大量时间。 在IBM针对一家未透明名称的全球医疗保健公司1600 名员工进行的测试中，各有一半的员工分别收到了来自由真人和AI编写的钓鱼邮件，结果显示，14% 的员工误入了真人编写的钓鱼电子邮件并点击了恶意链接，11% 的员工则陷入了由ChatGPT 编写的钓鱼邮件。  ChatGPT 制作的钓鱼电子邮件（由 IBM 提供） 虽然由真人编写的钓鱼邮件在欺骗度上高于AI，但差距已经不大，更重要的是，研究人员只用了五分钟就让 ChatGPT 写出了一封钓鱼邮件。 领导这项实验的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 说道：““我的团队通常需要大约 16 个小时来构建网络钓鱼电子邮件，而且这还不考虑基础设施设置。因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作时间。” 虽然ChatGPT 开发商 OpenAI 已经采取了保护措施，防止聊天机器人响应网络钓鱼电子邮件、恶意软件或其他恶意网络工具的直接请求。但卡拉瑟斯和她的团队已经找到了解决方法。 团队首先要求 ChatGPT 列出医疗保健行业员工关注的主要领域，然后提示 ChatGPT在电子邮件中列出最重要的社交工程和营销技术，以提高更多员工点击电子邮件中恶意链接的可能性。接着，提示询问 ChatGPT 发件人应该是谁——公司内部人员、供应商或外部组织。最后，要求ChatGPT根据刚刚提供的信息制作一封电子邮件。 “我拥有近十年的社会工程经验，制作了数百封网络钓鱼电子邮件，我甚至发现人工智能生成的网络钓鱼电子邮件相当有说服力，”卡拉瑟斯说。 她解释说，在创建网络钓鱼电子邮件方面，人仍然比机器更好，因为生成式人工智能模型仍然缺乏欺骗更多人所需的情商。 然而，IBM X-Force 已经观察到，诸如 WormGPT 之类的工具在各种宣传网络钓鱼功能的论坛上出售，表明攻击者正在测试人工智能在网络钓鱼活动中的使用，而且该技术正在不断改进。   转自Freebuf，原文链接：https://www.freebuf.com/news/381833.html 封面来源于网络，如有侵权请联系删除

思科警告称，IOS XE 中存在新的零日漏洞，未知威胁者已积极利用该漏洞在易受影响的设备上部署基于Lua 的恶意植入程序。 该问题被追踪为CVE-2023-20273（CVSS 评分：7.2），与 Web UI 功能中的权限升级缺陷有关，据说与 CVE-2023-20198（CVSS 评分：10.0）一起使用，作为漏洞利用链。 思科在周五发布的更新公告中表示：“攻击者首先利用 CVE-2023-20198 获得初始访问权限，并发出特权 15 命令来创建本地用户和密码组合。” “这允许用户以普通用户访问权限登录。” “攻击者随后利用了 Web UI 功能的另一个组件，利用新的本地用户提升 root 权限并将植入程序写入文件系统，”这一缺陷已被分配了标识符 CVE-2023-20273。 思科发言人告诉 The Hacker News，已经确定了涵盖这两个漏洞的修复程序，并将于 2023 年 10 月 22 日开始向客户提供。在此期间，建议禁用 HTTP 服务器功能。 虽然思科此前曾提到，同一软件中现已修补的安全漏洞 ( CVE-2021-1435 ) 已被利用来安装后门，但根据发现的情况，该公司评估该漏洞不再与该活动相关。新的零日漏洞。 美国网络安全和基础设施安全局 (CISA)表示：“未经身份验证的远程攻击者可能会利用这些漏洞来控制受影响的系统。” “具体来说，这些漏洞允许攻击者创建一个特权帐户，以提供对设备的完全控制。” 成功利用这些漏洞可能使攻击者能够不受限制地远程访问路由器和交换机、监控网络流量、注入和重定向网络流量，并由于缺乏针对这些设备的保护解决方案而将其用作网络的持久滩头阵地。 根据Censys和LeakIX的数据，估计有超过 41,000 台运行易受攻击的 IOS XE 软件的思科设备已被利用这两个安全漏洞的威胁者所破坏。 该攻击面管理公司表示：“截至 10 月 19 日，受感染的思科设备数量已减少至 36,541 台。” “该漏洞的主要目标不是大公司，而是较小的实体和个人。” 检测到的思科植入程序神秘下降 周六，多个网络安全组织报告称，受恶意植入的 Cisco IOS XE 设备数量已神秘地从大约 60,000 台设备下降到仅 100-1,200 台，具体取决于不同的扫描。 Onyphe 创始人兼首席技术官 Patrice Auffret 告诉 BleepingComputer，他相信攻击背后的威胁行为者正在部署更新来隐藏他们的存在，从而导致扫描中不再显示植入程序。 “连续第二天，我们看到植入程序的数量在短时间内急剧下降（请参阅随附的屏幕截图）。基本上，它们似乎几乎全部重新启动（因为已知的植入程序无法在重新启动后幸存）或已更新。” “我们认为，这是最初的威胁行为者的行为，他们试图解决从一开始就不应该存在的问题。事实上，植入物如此容易被远程检测到，这是他们的一个错误。 “他们可能正在部署更新来隐藏他们的存在。” Shadowserver 基金会首席执行官 Piotr Kijewski 也告诉 BleepingComputer，自 10 月 21 日以来，他们发现植入程序急剧下降，扫描仅发现 107 台设备带有恶意植入程序。 “植入物似乎已被移除或以某种方式更新，”Kijewski 通过电子邮件告诉 BleepingComputer。 被恶意植入的 Cisco IOS XE 设备数量 另一种理论认为，灰帽黑客正在自动重启受影响的 Cisco IOS XE 设备以清除植入程序。2018 年也出现过类似的活动，当时一名黑客声称已经修补了 100,000 个 MikroTik 路由器，这样它们就不会被滥用于加密劫持和 DDoS 活动。 然而，Orange Group 的 Orange Cyberdefense CERT 告诉 BleepingComputer，他们不认为灰帽黑客是植入减少的幕后黑手，而认为这可能是一个新的利用阶段。 Orange Cyberdefense CERT 发推文称：“请注意，潜在的痕迹清理步骤正在进行中，以隐藏植入程序（在利用 #CVE-2023-20198 之后）。  ” “即使您禁用了 WebUI，我们也建议您进行调查，以确保没有添加恶意用户并且其配置没有被更改。” 安全研究人员丹尼尔·卡德（Daniel Card）分享的另一种可能性  是，许多被植入物破坏的设备只是一个诱饵，旨在隐藏攻击中的真正目标。 不幸的是，目前我们所拥有的只是理论。在思科或其他研究人员能够检查之前遭到破坏的 Cisco IOS XE 设备以查看它们是否只是重新启动或是否进行了新更改之前，无法知道发生了什么。 BleepingComputer 已联系思科询问有关植入物掉落的问题，但目前尚未收到回复。   转自安全客，原文链接：https://www.anquanke.com/post/id/290858 封面来源于网络，如有侵权请联系删除