标签: 数据泄露

一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

卡巴斯基的研究人员发现了一种以前不为人知的恶意软件,称为CryWiper,用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件,但实际上是一种数据擦除恶意软件,可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。 卡巴斯基的报告声称,他们在仔细分析了恶意软件样本后发现,尽管这种木马伪装成勒索软件,向受害者勒索钱财以“解密”数据,但实际上并不加密数据,而是有意破坏受影响系统中的数据。此外,分析该木马的程序代码后发现,这不是开发人员的错误,而是其初衷。 数据擦除恶意软件在过去十年中已变得越来越常见。2012年,一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司(RasGas)造成了严重破坏。四年后,Shamoon的一个新变种卷土重来,攻击了沙特阿拉伯的多家组织。2017年,一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球,造成的损失估计高达100亿美元。 专家认为,该恶意软件是专门针对 Windows 系统设计的,因为它使用了对 WinAPI 函数的多次调用。在执行后,CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务,每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器,并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令,以确定恶意软件是否必须启动。 在某些情况下,研究人员观察到执行延迟 4 天(345,600 秒)以隐藏感染背后的逻辑。收到运行响应后,CryWiper 使用 taskkill 命令停止与 MySQL 和 MS SQL 数据库服务器、MS Exchange 邮件服务器和 MS Active Directory Web 服务相关的进程。此操作会在加密之前解锁上述合法应用程序使用的文件。CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程,以释放锁定的数据以供销毁。 擦除器还会删除受感染机器上的卷影副本,以防止受害者恢复已擦除的文件。为了破坏用户文件,擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中,并投放赎金票据(’README.txt’),要求 0.5 比特币用于解密。 报告总结到,CryWiper 会将自己定位为勒索软件程序,即声称受害者的文件已加密,如果支付赎金,则可以恢复。然而,这是一个骗局:事实上,数据已被销毁,无法归还。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/abN5HPJKYcnbkmqjDtS4Wg 封面来源于网络,如有侵权请联系删除

黑客在暗网上泄露 Medibank 客户数据

Hackernews 编译,转载请注明出处: Medibank周四证实,在拒绝支付赎金后,这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。 澳大利亚健康保险公司表示:“我们正在分析数据,但公布的数据似乎是我们认为罪犯窃取的数据。” “虽然我们的调查仍在继续,但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止,我们分析的原始数据是不完整的,难以理解。” 该公司承认,在2022年10月发生勒索软件事件后,其现有和前任客户中约970万人的个人数据被访问。 其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。 最新的数据集以六个ZIP存档文件的形式上传,其中包括健康索赔信息,尽管Medibank注意到大部分数据都是碎片化的,并且没有与客户姓名和联系方式相结合。 攻击者被怀疑位于俄罗斯,与今年5月早些时候卷土重来的REvil勒索软件组织有关。 与此同时,澳大利亚信息委员会(OAIC)办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。 电信巨头Optus已经在进行类似的调查,该公司在2022年9月下旬遭遇黑客入侵,以确定该公司是否“采取了合理措施,保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。 这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法,如果公司多次或严重的数据泄露,可能会面临高达5000万澳元的罚款。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

大事件!密码神器 LastPass 承认黑客窃取了客户数据

11月30日,密码管理工具 LastPass首席执行官 Karim Toubba公开承认,通过一个新的漏洞,黑客访问了 LastPass 的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。 在Last Pass公开承认这一数据泄露事件后,该公司进一步强调“由于LastPass采取了先进的零信任架构体系,因此客户的密码仍然被安全加密。” 但是这个保证似乎并没有让客户满意。毕竟在2022年8月,LastPass 还曾公开承认,有黑客曾进入过 LastPass 的内部系统,并窃取了部分源代码和敏感数据。仅仅三个月后,LastPass 就在一次出现如此严重的数据泄露事件。 公开信息显示,LastPass是一个在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用,是全球最大的在线密码管理软件。 值得一提的是,11月发生的数据泄露事件和8月发生的源代码泄露存在关联,根据LastPass 首席执行官 Karim Toubba的说法,黑客利用了“8月事件中获得的信息” ,从而获得了对用户数据的访问。 LastPass 表示,目前公司已经聘请专业网络安全公司Mandiant调查此事件,并将此次攻击的情况和执法部门进行了汇报。 近几年,LastPass 频频传出数据、密码泄露丑闻。2021年年底,许多LastPass用户在收到LastPass登录电子邮件警告,邮件告知他们的主密码已被泄露,有人试图从未知位置登录他们的帐户。事后,LastPass 回应异常登录称,暂无证据表明数据泄露,但用户并不买账,并对LastPass的安全性提出了质疑。 Lastpass母公司GoTo也遭受影响 由于第三方云存储服务由LastPass及其母公司GoTo(原名LogMeIn)共享,因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务,并泄露了相应的数据。 GoTo表示,该攻击事件并未影响他们的产品和服务,并且它们仍然可以正常运行。为了更好地确保安全,GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。 有国外媒体向 GoTo 询问事件发生的具体信息及相关后果,例如攻击发生的时间或源代码是否被盗,但尚未得到回复。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351313.html 封面来源于网络,如有侵权请联系删除

一年多才解决!索尼、Lexar 的加密设备供应商泄露敏感数据

当用户购买 Sony、Lexar 或 Sandisk USB 密钥或其它任何存储设备时,都会附带一个加密解决方案,以确保数据安全。 据悉,该方案由第三方供应商 ENC Security 开发,然而 近日Cybernews 研究小组披露,该公司在一年多时间里一直在泄露其配置和证书文件。 随着事件发酵,ENC Security 迅速做出回复,声称泄露事件原因是第三方供应商的错误配置,在收到通知后已立刻修复漏洞。 ENC Security 是一家位于荷兰的公司,在全球拥有 1200 万用户,通过其流行 DataVault 加密软件提供“军用级数据保护”解决方案。 Cybernews 发现安全问题 从 Cybernews 披露的内容来看, 泄漏服务器内的数据主要包括销售渠道的简单邮件传输协议(SMTP)凭证、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息验证码以及以 .pem 格式存储的公共和私人密钥。 2021 年 5 月 27 日到 2022 年 11 月 9日 ,一年多的时间里,任何人都可以公开访问这些数据,直到 Cybernews 向 ENC Security 披露该漏洞后,该服务器才被关闭。 安全研究人员 Vareikis 表示,数据暴露长达一年多时间,潜在网络攻击者可利用上述数据进行从网络钓鱼、勒索软件等各种形势的网络攻击。 举个简单的例子,攻击者可能通过销售沟通渠道向客户发送假发票或通过可信的电子邮件地址传播恶意软件来欺骗客户。 此外,由于 Mailchimp API 密钥允许攻击者发送大规模营销活动并查看、收集线索,对攻击者来说无疑具有更大价值。不仅如此,勒索软件运营商也能够利用 .pem 文件里面的密钥开展未经授权的访问,甚至是服务器被接管。Vareikis 一再强调,泄漏一年多的数据对威胁者来说不亚于一个“金矿”。 ENC Security 公司回应 在收到并仔细分析 Cybernews 研究小组报告后,ENC Security 迅速采取措施,解决安全问题。ENC Security 发言人表示,公司始终认真对待数据的安全和保护,每一个安全问题都会被彻底研究并采取适当的措施进行补救,必要时也会通知客户进一步加强安全。 ENC Security 也曾出现其它安全事件 Cybernews 研究小组的发现与 2021 年 12 月研究人员 Sylvain Pelissier 的发现一样令人担忧。 去年,Pelissier 演示了在 ENC Security  DataVault 加密软件中发现的几个漏洞,这些漏洞可能允许攻击者在未经检测的情况下,获取用户密码并修改 vault 中的文件。不止于此,DataVaul 软件还使用了“计算工作量不足的密码哈希”,这可能会让攻击者暴力破解用户密码。 当时,ENC Security 承认 DataVault 软件 6 和 7.1 及其衍生版本易受攻击,不久后通过发布升级解决了漏洞。 Vareikis 告诫用户,一些“超级”安全公司喜欢使用类似“军用级”加密等词汇,过度夸大产品能力,进行虚假宣传,对于这种宣传,用户应当始终持怀疑态度。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351241.html 封面来源于网络,如有侵权请联系删除

因泄露 5.33 亿用户隐私,Facebook 被罚 2.65 亿欧元

据BleepingComputer 11月28日消息,近日,爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件,向其母公司Meta开出 2.65 亿欧元(约20亿人民币)巨额罚单。 2021年4月,黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛,其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。DPC 于 2021 年 4 月 14 日正式启动了对 Meta 可能违反 《通用数据保护条例》(GDPR )的 调查。 Facebook 当时表示,黑客通过利用Contact Importer工具中的一个缺陷将电话号码与 Facebook ID 关联,然后抓取其余信息来为用户建立个人资料来收集数据。Facebook表示该漏洞已在2019年修复,黑客在此之前窃取了数据。 根据DPC 的调查结论,Meta违反了 GDPR 第 25章第1及第2条: 25.1 数据控制者应实施适当的技术和管理措施,比如将数据进行假名化,并在处理过程中纳入必要的保障措施,以满足本规定的要求并保护数据主体的权利。 25.2 数据控制者应该使用适当的技术及管理措施,来保证在默认情况下,仅使用处理目的所必要的个人数据。 特别注意这类措施应应确保在默认情况下,不应允许任何个人干预,同时只向有限数量的自然人提供个人数据。 数据抓取 数据抓取器是一种自动化机器人工具,能利用 Facebook 等保存用户数据平台的开放网络 API 来提取公开信息并创建大量用户资料数据库。 虽然不涉及黑客攻击,但爬虫收集的数据集可以与来自多个点(站点)的数据相结合,创建完整的用户档案,从而使黑客的攻击目标更加精准有效。在 Meta 的案例中,黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一个缺陷将电话号码与这些公开收集的信息相关联,从而允许他们创建包含个人和公共信息的配置文件。 由于许多科技公司在爱尔兰运营,DPC 被认为是欧盟 GDPR 合规的先锋,因此其决定势必会给其他掌控大量数据的企业带来影响,迫使他们重新评估其反抓取机制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351014.html 封面来源于网络,如有侵权请联系删除

德国:拼写检查功能可能将数据非法跨境传输给第三方

2022年11月3日,德国黑森州数据保护和信息自由专员(HBDI)发布信息,告知黑森州的数据控制者应当紧急检查其使用的浏览器设置,因为在开启基于云的拼写支持功能时,密码等个人数据可能在没有法律依据的情况下被传输给浏览器提供商,这可能违反对个人数据的保护要求。 本文译自《增强的拼写检查:浏览器功能可能会将个人身份信息传输给第三方》(Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln),原文来自德国黑森州数据保护和信息自由专员官网。 现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。 同时,网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能,例如通过人工智能(AI)实现更好的结果。如果这种基于云的拼写支持是开启的,所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示,如果相关网站的运营者没有通过特别的预防措施来防止这种情况,甚至连密码都可以被传送。 HBDI了解到,在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下,HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置,并在必要时进行调整。 如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商,则需要采取进一步行动。根据GDPR第四条第12项,此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险,控制者必须立即并尽可能在72小时内向主管监督机构报告(GDPR第三十三条第1款)。此外,如果数据主体的权利和自由有可能面临高风险,则必须将数据泄露事件通知这些数据主体,不得有不当延迟(GDPR第三十四条第1款)。无论风险如何,数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件,以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。 如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险,可以联系当地的信息安全联系人和/或当地的信息专家。 转自 安全内参,原文链接:https://www.secrss.com/articles/49393 封面来源于网络,如有侵权请联系删除

Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项(在Twitter的设置中很难找到)”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络,如有侵权请联系删除

他们假装应聘偷偷潜入电商公司,目的竟是窃取物流信息

11月、12月是电商狂欢季,随之而来的是大批快递到货。你可知道,客户的物流信息可是香饽饽,总有坏人盯着!否则怎么客户刚下单不久,就接到了诈骗电话。 今年“双十一”以来,浙江慈溪网警大队接到多家电商公司报警,客户刚在网店下单,随后就接到诈骗电话,引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货,怎么骗子就知道了我们平台的发货信息呢? 慈溪网警对受害网店的电脑进行勘查,发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖,民警最终确定了犯罪嫌疑人。 慈溪警方果断出击,抓获了一个专门入室安装木马软件盗取打印信息的团伙,而背后的利益链条令人咋舌。 经查,犯罪嫌疑人蒙某和吴某拥有一定技术水平,此前通过境外聊天软件进行交流,购买木马软件。随后,他们在慈溪电商聚集地撒网,通过应聘等方式,寻找可以下手的电商公司。 深夜,他们秘密潜入电商公司,他们从不偷盗,只是在电商公司的办公电脑上安装木马软件,在他们眼中,海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器,上家一旦通过木马软件获取打印的客户信息,便会支付高额的佣金。 为了赚取佣金,早在“双十一”购物节前夕,犯罪嫌疑人蒙某和吴某就连续多次作案,在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发,他们非法获取物流信息3000余条,目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质,加强公司内部的网络安全知识培训,办公电脑务必密码锁屏,谨防客户信息在不知不觉中被窃取。 转自 安全内参,原文链接:https://www.secrss.com/articles/49375 封面来源于网络,如有侵权请联系删除

WhatsApp 数据大泄露,近 5 亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。 11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。 公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。 Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。 WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。 除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。 “在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。” 转自 Freebuf,原文链接:https://www.freebuf.com/articles/database/350756.html 封面来源于网络,如有侵权请联系删除

亚洲航空 500 万乘客和员工数据信息被盗,快看看有你没?

The Hacker News 网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击,约 500万名乘客和员工的个人数据信息泄露。 据悉,此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙,该团伙在成功获取亚洲航空大量内部数据资料后,随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示,被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。 值得一提的是,Daixin 勒索软件团伙不仅袭击了亚洲航空,还对包括菲茨吉本医院、Trib Total Media、ista International GmbH 和 OakBend Medical 等在内的组织机构展开了攻击活动。最近美国网络安全和情报机构已经盯上了Daixin 组织,并发布警告表示这伙人攻击对象主要集中在医疗保健部门。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350525.html 封面来源于网络,如有侵权请联系删除