标签: 数据泄露

思科证实被勒索攻击,泄露数据 2.8 GB

2022年8月10日,思科证实,Yanluowang勒索软件集团在今年5月下旬入侵了公司网络,攻击者试图以泄露被盗数据威胁索要赎金。 对此,思科发言人表示,攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据,声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日,攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统,并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户(包含从其浏览器同步的凭据)后,使用员工被盗的凭据获得了对思科网络的访问权限。随后,攻击者多因素身份验证 (MFA) 推送说服员工接受该通知,并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终,攻击者者诱骗受害者接受其中一个 MFA 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟,Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,其中就包括后门。 在获得初始访问权限后,攻击者进行了各种活动来维护访问权限,最大限度地减少取证,并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境,但在未来的几周内,Yanluowang依旧尝试重新获得访问权限,均未成功。 黑客声称从思科窃取数据 虽然思科一再强调,Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出,“我们没有在这次攻击中观察到勒索软件的部署,但使用的 TTP 与“勒索软件前活动”一致,这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中,我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据,大约有3100个文件,其中很多文件涉及保密协议、数据转储和工程图纸。此外,攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件,作为攻击的证据,并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341607.html 封面来源于网络,如有侵权请联系删除

员工被钓鱼,云通讯巨头 Twilio 客户数据遭泄露

据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341361.html 封面来源于网络,如有侵权请联系删除

Twitter 证实,零日漏洞致 540 万账户数据泄露

Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除

2.88 亿条印度养老基金持有人的身份数据被暴露在互联网

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分,这显然是指该国国有雇员公积金组织(EPFO)分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知,数据库中的信息可能被用来拼凑出一个印度公民的完整档案,使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息,包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关,包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息(PII)外,这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图,显示了周三暴露个人信息的数据字段,同时提醒了印度计算机应急响应小组(CERT-In)。在发布他的推文后不到一天,这两个有问题的IP地址已经无法访问。 但Diachenko说,目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外,是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次,2018年,印度中央公积金专员通知技术支持部门,黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而,该养老基金机构后来在记录上声称,其方面没有数据泄漏,但没有提供证据。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络,如有侵权请联系删除

研究发现,攻击者能利用 Chromium 浏览器书签同步功能数据泄露

书签同步已经成为浏览器的一个标准功能,能帮助用户在某一设备上对书签进行改动时,也能同步到其他设备上。然而,研究发现,这种操作也给网络犯罪分子提供了一个便捷的攻击途径。 SANS技术研究所的学术研究人员大卫·普雷弗(David Prefer)的这一发现,是对攻击者如何滥用浏览器功能,从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说,书签可以被滥用来从企业环境中吸走大量被盗数据,或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。 在最近的一篇技术论文中,普雷弗将这一过程描述为 “bruggling”——浏览器和偷渡的谐音。这是一个新颖的数据渗出载体,他用一个名为 “Brugglemark “的概念验证(PoC)PowerShell脚本进行了演示。 泄露原理 如果攻击者已经渗透进系统环境中,他们可以从受害用户那里窃取浏览器的同步凭证,或自行创建浏览器配置文件,并在另一设备系统中访问这些书签。攻击者可以使用同样的技术将恶意的有效载荷和攻击工具偷偷带入一个系统环境。 在实操层面,普雷弗举例,即攻击者可能已经破坏了一个企业环境并访问了敏感文件。为了通过书签同步来渗出数据,攻击者首先需要把数据放到可以存储为书签的形式中。要做到这一点,攻击者可以简单地将数据编码为base64格式,然后将文本分成独立的小块,并将每个小块保存为单独的书签。 普雷弗通过反复试验发现,如今的浏览器允许将大量字符存储为单个书签,实际数量因浏览器不同而存在差异,例如,在使用Brave浏览器时,普雷弗发现他只需使用两个书签就可以很快同步整个《勇敢的新世界》(Brave New World )一书,而用Chrome浏览器做同样的事情需要59个书签。普雷弗在测试中还发现,浏览器配置文件可以一次同步多达20万个书签。 将文本保存为书签并同步后,攻击者需要做的就是从另一台设备登录浏览器,访问、重新组合这些书签并将其从 base64 解码回原始文本。 普雷弗表示,在同步过程中没有利用任何漏洞,主要集中在如何通过书签同步这一实用功能进行恶意滥用。 普雷弗的研究主要集中在浏览器市场份额的领导者 Chrome 上,而如 Edge、Brave 和 Opera等其他浏览器,它们和 Chrome 都基于同一个开源 Chromium 项目。但他指出,Bruggling 也可能同样适用于 Firefox 和 Safari 等浏览器。 SANS研究所的研究院长约翰内斯·乌尔里奇(Johannes Ullrich)认为,通过书签同步的数据渗出给了攻击者一种绕过大多数基于主机和网络的检测工具的方法。对大多数检测工具来说,这些流量会显示为谷歌或任何其他浏览器的正常同步流量。 值得注意的是,书签同步可能不是唯一一个能被滥用的功能,普雷弗表示,自动填充、扩展、浏览器历史记录、存储的密码、首选项和主题等都可以同步并进行滥用,但这些还有待进一步的研究。 防范建议 普雷弗建议,企业组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录进行同步的电子邮箱数量,攻击者将无法使用自己的帐户进行同步。此外,浏览器厂商可通过基于帐户年龄或从新地理位置登录等因素动态限制书签同步。类似地,还可以阻止包含 base64 编码的书签以及具有过多名称和 URL 的书签。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340801.html 封面来源于网络,如有侵权请联系删除

研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。 因此,拥有这些信息的黑客可以创建一个Twitter机器人军队,该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外,在CloudSEK解释的一个假设场景中,从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中,通过验证帐户运行大规模恶意软件活动,以锁定其追随者。 除此之外,应该注意的是,密钥泄漏不仅仅限于Twitter API。过去,CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击,建议查看代码中是否有直接硬编码的API密钥,同时定期轮换密钥,以降低泄漏可能带来的风险。 研究人员说:“环境中的变量是引用和隐藏密钥的另一种方法,而不是将它们嵌入源文件。变量可以节省时间并提高安全性,应充分注意确保源代码中不包含环境变量的文件。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

IBM 数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。 据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340388.html 封面来源于网络,如有侵权请联系删除

反疫苗约会网站 Unjected 被爆数据泄露

一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。   尽管这款应用在界面上比较接近于 Twitter,但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注,后续也增加了一些新的功能。 该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能,那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的,但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。 网名为 GeopJr 的程序员和安全专家发现,任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面,例如网站的“About Us”页面和各种用户账户。 这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式,允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号,然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。 网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅,回复和删除帮助中心的帖子和相关报道。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1296781.htm 封面来源于网络,如有侵权请联系删除

向维基解密泄露“Vault 7”黑客机密,前中央情报局程序员获罪

Hackernews 编译,转载请注明出处: 美国中央情报局(CIA)前程序员Joshua Schulte因向维基解密泄露大量Vault 7的机密黑客工具和漏洞而获罪。 2018年6月,这名33岁的工程师被指控未经授权泄露机密信息和窃取机密材料。Schulte还因持有儿童色情照片和视频而面临单独审判,他于2017年8月24日被捕。 美国检察官Damian Williams在一份声明中说,Schulte被判犯有“美国历史上最无耻和最具破坏性的间谍行为之一”,他还说,他的行为“向那些想要伤害我们的人提供关键情报,对我们的情报界产生了毁灭性的影响”。 维基解密于2017年3月7日公布这些文件,称这是“有史以来最大的关于该机构的机密文件的公布”。其中包括“恶意软件、病毒、特洛伊木马、武器化的‘零日’漏洞、恶意软件远程控制系统和相关文档”。 这些文件可追溯到2013年至2016年,它详细介绍了该机构入侵汽车、智能电视、网络浏览器以及广泛使用的桌面和移动操作系统(如Windows,macOS,Linux,Android和iOS)的能力,作为其海外间谍行动的一部分,以收集情报。 Williams说:“Joshua Adam Schulte是美国中央情报局的一名程序员,他可以使用美国最有价值的情报收集网络工具,用于打击全球各地的恐怖组织和其他恶意势力。” “当Schulte开始对中央情报局心怀怨恨时,他秘密收集了这些工具并将其提供给维基解密,使我们最关键的情报工具为公众所知,也因此为我们的对手所知。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

连锁酒店巨头万豪证实其发生又一起数据泄露事件

酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 “万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。 万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。 声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。 然而,万豪酒店告诉TechCrunch,其调查确定,被访问的数据主要包含有关酒店运营的非敏感内部业务文件。 该公司表示,它正在准备通知300-400人有关这一事件并已通知相关执法机构。 这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录–这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。 TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生,但这家公司拒绝回答。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1289421.htm 封面来源于网络,如有侵权请联系删除