标签: 数据泄露

苹果委托进行数据泄露研究,以强调端到端加密的必要性

Apple 委托进行的一项研究显示,过去两年中估计有 26 亿条个人记录因数据泄露而遭到泄露,这家科技巨头表示,这凸显了端到端加密的必要性。 这项名为“个人数据的持续威胁:2023 年增长背后的关键因素”的研究由麻省理工学院教授 Stuart Madnick 博士进行。它总结了过去一年中发现的主要数据泄露事件,并强调了一些趋势。 值得注意的是,报告中没有原始数据,被泄露的个人记录数量是通过结合 Verizon 2021 年的数据和 2022 年的预测得出的——2021 年将有 11 亿条记录,2022 年将有 15 亿条记录。 该研究着眼于导致重大数据泄露的勒索软件攻击、反复成为黑客攻击目标的公司、云配置错误导致的事件、针对政府组织及其承包商的攻击,以及影响存储特别敏感个人信息的实体的泄露。 该报告还提供了有关区域数据泄露以及第三方供应商利用造成的大规模事件的信息。 它还强调了过去十年中多家公司的端到端加密举措,包括苹果、谷歌、Meta、Proton、Signal 和 Skiff。 与其他科技巨头类似,苹果长期以来一直反对政府实施加密后门的要求,因为加密后门将使当局更容易调查潜在的犯罪活动。 事实上,该公司一直在越来越多地实施端到端加密,并利用这项新研究来推广其针对 iCloud 的高级数据保护,旨在提高云数据的安全性。 该公司声称,激活该功能后,23个敏感数据类别将受到端到端加密的保护,包括备份、笔记和照片。这提供了保护,包括防止云环境本身受到损害的攻击。   转自安全客,原文链接https://www.anquanke.com/post/id/291754 封面来源于网络,如有侵权请联系删除

过去一年,勒索软件和数据泄露席卷了 OT 和工业领域

由于保持运营的重要性,工业公司和公用事业公司更有可能付费,从而吸引更多的威胁团体并关注 OT 系统。 去年,四分之三的工业企业遭受了勒索软件攻击,影响运营技术 (OT) 的攻击比以往任何时候都多——这表明工业部门的脆弱性和支付赎金以维持生存的倾向导致攻击激增。 根据网络物理防御公司 Claroty 发布的一份报告,在过去12个月中,超过一半的工业企业(54%)遭受了勒索软件攻击,影响了其运营技术,无论是直接影响还是因为链接的 IT 系统受到攻击12月6日。与该公司2021年的上一份报告相比,攻击对 OT 系统的影响显着增加,当时47%的公司受到勒索软件影响其运营。 事实上,针对工业企业和关键基础设施提供商的攻击已经变得非常普遍。位于匹兹堡的阿利基帕市政水务局最近遭受了网站损坏,原因是与伊朗有关的威胁组织 Cyber Av3ngers 迫使其关闭水压监测系统并更改了网站的登陆页面。事实证明,该事件是11月底开始的针对美国各地供水设施的更广泛网络攻击的一部分。但关注的不仅仅是公用事业公司:2022年2月,轮胎制造商普利司通在 LockBit 2.0勒索软件组织成功入侵其网络后,不得不关闭其制造网络数天。 尽管 Claroty 调查显示,在这两个时期内,针对 OT 系统的直接攻击保持一致,超过三分之一(37%)的公司在2023年遭受了影响 IT 和 OT 系统的攻击,但与Claroty 首席产品官 Grant Geyer 表示,2021年,27%的组织将遭受双重影响攻击。 他表示:“这些数字与去年一样令人震惊,它们不仅表明了问题的严重性,而且表明这是一种极其可行的商业模式,并且使运营面临风险,而不仅仅是 IT。” “由于许多 OT 系统都是基于 Windows 的,因此由于分段不佳或没有分段,勒索软件经常从 IT 环境溢出到 OT 环境。” 尽管针对工业企业的勒索软件事件数量有所增加,但它们始终占所有攻击的三分之一。资料来源:NCC 集团。 网络安全服务公司 NCC Group 的数据显示,总体而言,过去一年中,工业部门仍然是每月最大的勒索软件目标。与去年同月相比,10月份的勒索软件攻击增加了81%,而针对工业部门的攻击通常占所有勒索软件事件的三分之一。 NCC 集团工业部主管肖恩·阿罗史密斯 (Sean Arrowsmith) 表示,由于最近的地缘政治冲突,威胁活动总体上有所增加,导致国家支持的行为者和黑客活动分子发起工业攻击。 他说:“禁用和/或削弱能源基础设施的能力可能会导致消费者的使用受到限制甚至无法使用,从而加剧战争和冲突带来的不稳定和混乱。” “这些破坏行为影响了国际安全问题中最重要的权力动态。” 工业界对攻击者:“嘿,我们会付出代价” 攻击工业公司有吸引力的原因之一是:运营中断导致支付赎金的可能性更大。通常情况下,公司支付勒索软件的倾向在很大程度上取决于他们的收入——根据 Sophos 的年度勒索软件状况报告,较小的公司支付勒索软件费用的比例为36%,而不是依赖备份,而较大的公司支付勒索软件费用的比例为55%。 与此同时,根据 Claroty 的《2023年全球工业网络安全状况》报告,工业领域的受害者支付费用的比例高达三分之二(67%)。 Claroty 的 Geyer 表示:“只要看看三分之二的组织正在支付赎金这一事实,就可以了解为什么如此多的组织受到攻击。” “运营中断让 CIO 左右为难,迫使他们做出这些站不住脚的情绪化决定。” 第三方是依赖 OT 的公司(例如工业公司和公用事业公司)需要解决的另一个弱点。 例如,根据安全指标公司 SecurityScorecard 的数据,美国所有排名前10的能源公司都有一家第三方供应商在过去12个月内遭受了入侵,导致其业务遭到破坏。虽然该公司跟踪的近2,000家第三方提供商中只有4%遭受直接泄露,但这导致全球90%的能源公司在一年多的时间里都在应对这些违规行为的后果。 SecurityScorecard 员工威胁研究员 Rob Ames 表示,仅 MOVEit 漏洞就影响了数百家能源公司。 他说:“这种对数据泄露的指控,然后威胁数据泄露,正在成为勒索企图曝光的越来越核心的部分,而不是勒索软件的实际部署。” “我想说,更多依赖于声称的曝光而不是实际加密的勒索企图是一种趋势,当然,仍然是出于经济动机。” OT 安全需要更多政府帮助 许多自来水公司和其他关键基础设施公司都是小型本地公司,或者由城镇和县运营。因此,他们在部署网络安全方面往往落后。Claroty 的 Geyer表示,在殖民管道遭受勒索软件攻击两年后,关键基础设施所有者仍然没有做好防范勒索软件的准备,这通常是因为经济效益不高。 他说:“某些领域的自由市场力量无法从经济上推动社会中受保护程度最低/最脆弱的方面发生变化。” “这是整个政府介入的机会,不仅要推动监管,还要推动资金投入,以帮助确保许多在网络方面投资不足的实体——我们所说的‘目标富裕,网络贫穷’部门得到适当的保护与辩护。” NCC 集团的阿罗史密斯表示,公司内部不需要拥有深厚的专业知识,但应该专注于可见性、规划和事件响应练习。 “为 IT 和 OT 制定强大的事件响应计划,然后排练和演练该计划,以便所有利益相关者都明确角色和职责,”他说。   转自安全客,原文链接:https://www.anquanke.com/post/id/291764 封面来源于网络,如有侵权请联系删除

日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露

日本汽车制造商日产正在调查针对其位于澳大利亚和新西兰的系统的网络攻击。由于此事件,客户的个人数据可能已被访问。 该公司已向日产大洋洲部门的客户发出潜在数据泄露的警告,并指出未来几天存在欺诈活动的风险。日产大洋洲是这家标志性日本汽车制造商的区域部门,负责澳大利亚和新西兰的分销、营销、销售和服务。 Nissan.com.au 和 Nissan.co.nz 网站的主页上 发布了一份公司声明 ,称日产公司和金融服务公司的澳大利亚和新西兰分公司的系统遭受了网络事件。 根据通知,该公司已聘请其全球事件响应团队来评估网络攻击的影响。日产正在与该团队和其他利益相关者合作,调查事件的范围,并确定客户的个人信息是否被访问。 由于客户数据被泄露的风险很大,日产警告称,针对账户持有人的潜在欺诈性攻击以及账户被盗的可能性。 虽然网站功能似乎没有受到影响,但日产确认正在努力恢复受影响的系统。该公司要求客户在此过程中保持耐心。 日产还澄清其经销商网络并未受到此次事件的影响,所有车辆和服务请求都将立即得到处理。 澳大利亚和新西兰的政府机构的使命是提高网络弹性,它们已获悉该事件,但截至发稿时尚未发表正式声明。   转自安全客,原文链接:https://www.anquanke.com/post/id/291709 封面来源于网络,如有侵权请联系删除

Android 贷款应用骗取 1200 万用户数据

ESET警告自 2023年初以来不断蔓延的欺诈性 Android借贷应用程序的危险。这些应用程序冒充合法的借贷服务,承诺快速、轻松地获得资金。但实际上,它们的目的是通过提供高息贷款并收集受害者的个人和财务数据来欺骗用户,以勒索和提取资金。ESET 将这套应用程序命名为 SpyLoan,反映了它们的间谍性质与贷款优惠相结合。 SpyLoan 应用程序向用户请求各种机密信息并将其传输到攻击者服务器。然后,这些数据被用来向用户施压和勒索,包括在未提供贷款的情况下。自 2023 年初以来,此类应用程序在非官方应用商店、 Google Play 和网站中显着增加。申请的主要目标是东南亚、非洲和拉丁美洲的潜在借款人。 作为 Google 应用防御联盟合作伙伴,ESET 识别出 18 个 SpyLoan 应用程序并向 Google 报告,之后其中 17 个应用程序已从平台上删除。在被删除之前,这些应用程序已从 Google Play 下载了超过 1200 万次。 安装 SpyLoan 应用程序的用户会受到运营商的威胁和勒索,即使用户没有申请贷款或申请被拒绝。Facebook 和Google Play上对此类应用程序的评论描述了压力和威胁的案例,包括对生命的威胁。除了数据收集和勒索之外,这些应用程序还对贷款收取过高的利率,这在某些宗教文本中尤其令人反感,并受到法律监管,以保护借款人免受此类有害行为的侵害。 为了保护自己免受欺诈性贷款申请的侵害,建议从官方来源下载程序并使用可靠的 Android 安全应用程序,这将有助于识别潜在的恶意应用程序。在安装应用程序之前仔细研究应用程序的用户评论和隐私政策也很重要。   转自安全客,原文链接https://www.anquanke.com/post/id/291713 封面来源于网络,如有侵权请联系删除

巧克力巨头好时遭遇袭击导致 2000 名员工数据被盗

全球最大的巧克力和糖果制造商之一 好时公司(The Hershey Company )最近遭遇网络攻击 。攻击者利用 9 月初直接发送给公司员工的网络钓鱼电子邮件。 由于在员工计算机上安装恶意软件的简单操作,2,214 人的个人数据被盗。被盗信息包括员工的名字和姓氏、出生日期、居住地址、驾驶执照号码和健康保险信息。攻击者还获得了财务信息,包括银行卡号和安全码。 公司发现黑客行为后,立即采取紧急措施阻止黑客访问。第三方网络安全专家被聘请调查该事件并分析后果。 该公司在一份官方声明中表示:“我们没有理由相信被盗数据被以任何方式使用 。 ” “但是,我们理解员工和客户的担忧,并致以诚挚的歉意。” 作为对所有受数据泄露影响的人的补偿,好时公司提供了为期两年的免费信用历史监控服务订阅 。不幸的是,巧克力并不包含在补偿方案中。 好时事件是九月份一系列备受瞩目的黑客事件的一部分,例如拉斯维加斯赌场巨头凯撒娱乐公司和米高梅度假村遭受网络入侵和勒索软件勒索的攻击。 好时管理层向公众保证,事件发生后,已采取一系列措施加强网络保护。特别是,所有员工都被指派更改密码,并对企业电子邮件监控系统进行升级,以更有效地识别威胁。 专家表示,在新年假期前夕,我们预计网络钓鱼攻击将会出现更大幅度的激增。这个时候,很多人(包括大公司的员工)都放松下来,变得更加脆弱,这只会让黑客和骗子受益。   转自安全客,原文链接:https://www.anquanke.com/post/id/291715 封面来源于网络,如有侵权请联系删除

伊朗黑客窃取以色列士兵 70 万份医疗记录

自巴以冲突爆发以来,齐夫医疗中心已遭受三次袭击。 一个据信与伊朗有关的黑客组织声称从以色列齐夫医疗中心医院窃取了数千份医疗记录。据他们称,被盗数据包括以色列军事人员的记录。 位于叙利亚和黎巴嫩边境附近萨法德市的医院遭到袭击,导致去年的 500 GB 数据遭到未经授权的访问。这些数据包括约 70 万份文档,其中包含患者的个人和医疗信息,例如疾病类型和处方药物。 在他们的Telegram频道中,一个自称 Malek Team 并声称对此次袭击负责的组织开始发布文件,其中包括来自以色列武装部队 ( IDF ) 的据称数据。 医院遭到袭击的日期没有具体说明,但以色列国家网络安全局上周 警告称 ,齐夫医疗中心计算机系统受到影响。 声明称,事件很快被发现并得到遏制,没有影响医疗中心的工作。作为预防措施,医院暂时关闭了电子服务器和部分计算机系统。 安全团队已展开调查,以确定黑客所说的信息泄露事件是否真的发生过。不过,这项调查的结果尚未公布。 据 以色列报纸《耶路撒冷邮报》报道,这是过去四个月内对 Ziv 医疗中心的第三次网络攻击。据当地媒体报道,医院和以色列数据保护机构承认,医院系统存在信息泄露的迹象。 以色列当局禁止使用、转移或传播任何被盗信息,并宣布打算对参与这一事件的所有人提出指控。 Malek Team 黑客还声称对以色列其他目标的网络攻击负责,其中包括小野学院以及一些以色列技术和媒体公司。 黑客公布了大量被盗数据的证据,包括大学课程和候选人采访的视频,以及受害者护照和文件的扫描件。这些数据的真实性尚未得到独立评估。 在以色列和巴勒斯坦军事组织哈马斯之间的冲突中,网络攻击的数量呈指数级增长。在这方面,以色列的医院和其他医疗机构应更好地保护其网络安全,以保护患者的机密信息免受恶意者的侵害。   转自安全客,原文链接:https://www.anquanke.com/post/id/291680 封面来源于网络,如有侵权请联系删除

使用“拥抱脸”人工智能工具的主要组织因 API 代币泄露而面临风险

AI 网络安全初创公司 Lasso 发现了代码存储库中暴露的 1,600 多个有效 Hugging Face API 令牌,可提供对数百个组织帐户的访问。 泄露的秘密(例如代币)长期以来一直是代码托管平台和安全研究人员关注的焦点,因为它们落入坏人之手时会带来很高的风险。 Hugging Face API 令牌也不例外,它允许开发人员和组织集成大型语言模型 (LLM) 并管理 Hugging Face 存储库。 Hugging Face 是构建机器学习 (ML) 应用程序的工具提供商,是法学硕士项目开发人员的热门资源,使他们能够访问其存储库中的数十万个人工智能模型和数据集。 2023 年 11 月,Lasso 的研究人员开始在 Hugging Face 和 GitHub 上寻找暴露的 Hugging Face API 令牌,最终在两个平台上识别出 1,681 个泄露的有效令牌。 研究人员表示,这些代币可以访问 723 个组织的帐户,其中一些属于 Google、Meta、微软、VMware 等大型组织。 “在这些帐户中,我们发现 655 个用户的代币具有写入权限,其中 77 个用户的代币具有不同组织的权限,这使我们能够完全控制几家知名公司的存储库,”Lasso 指出。 该安全公司表示,其中一些代币提供了对拥有数百万下载量模型的组织帐户的完全访问权限。 “通过控制一个拥有数百万下载量的组织,我们现在拥有操纵现有模型的能力,有可能将它们变成恶意实体。这意味着一个可怕的威胁,因为损坏模型的注入可能会影响数百万依赖这些基础模型进行应用程序的用户,”Lasso 指出。 Lasso 表示,泄露的代币还会使存储库面临私有模型盗窃和训练数据中毒的风险,这是一种影响完整性或机器学习模型的攻击技术。 在 Lasso 调查期间,Hugging Face 弃用了其 org_api 令牌并阻止其在其 Python 库中使用。虽然这实质上删除了受影响存储库的写入权限,但它并没有阻止读取权限。 Lasso 表示,它已将调查结果告知受影响的用户和组织,其中许多用户和组织立即采取了行动,撤销了令牌并删除了公共访问令牌代码。Hugging Face 也获悉了调查结果。   转自安全客,原文链接:https://www.anquanke.com/post/id/291690 封面来源于网络,如有侵权请联系删除

知名机构 HTC Global 遭勒索攻击,泄露大量敏感信息

Bleeping Computer 网站消息,IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后,才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商,主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。 ALPPV 勒索软件团伙发布被盗数据截图后,HTC Global Services 没有立刻在公司网站上发布安全声明,但在其 X 上发布了一则简短公告,确认了自身遭到了网络攻击,推文如下: 我们的团队一直在积极调查和处理这一情况,以确保用户数据的安全性和完整性。目前,公司已经邀请了网络安全专家,正在努力解决安全问题,您的信任是公司的首要任务。 从 ALPHV (BlackCat) 勒索软件团伙在其数据泄露网站上列出的截图来看,被盗的数据包括护照、联系人名单、电子邮件和一些机密文件。 ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看,虽然有关 HTC Global Services 遭受网络攻击的详细信息很少,但网络安全专家凯文-博蒙特(Kevin Beaumont)认为,网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出,HTC Global Services 的一个业务部门 CareTech 操作着一个易受攻击的 Citrix Netscaler 设备,该设备可能被网络攻击者利用,以此对公司网络进行初始访问。 数据被盗事件发生后,Bleeping Computer 联系了 HTC Global Services,以期询问有关此次攻击以及他们是否被 Citrix Bleed 入侵的问题,但没有立即得到回复。 ALPHV 勒索软件正在疯狂“收割”受害者 2021 年 11 月,ALPHV/BlackCat 勒索软件开始活跃在互联网空间,据信是 DarkSide 和 BlackMatter 勒索软件的“品牌重塑”。(DarkSide 勒索软件组织在遭到国际执法机构“打压”后,于 2021 年 7 月再次改名为 BlackMatter,但在 2021 年 11 月,执法当局查封了他们的服务器,安全公司 Emsisoft 利用勒索软件漏洞创建了解密程序,至此,这伙网络犯罪分子慢慢销声匿迹了) 最近一次网络攻击事件中,一个被追踪为 Scattered Spider 的“英语联盟”组织声称对美高梅娱乐平台的攻击负责,并称他们在攻击中加密了 100 多个 ESXi 虚拟机管理程序。 本周,一名 ALPHV 附属公司声称从 Tipalti 窃取了数据,并表示已开始对受影响的公司进行单独勒索。不仅如此,该组织最近还攻击了一家公有电力供应商和一家医院的网络,这两家公司在美国都被列为了关键基础设施。   转自Freebuf,原文链接:https://www.freebuf.com/news/385813.html 封面来源于网络,如有侵权请联系删除

黑客访问了基因检测公司 690 万名会员信息

Hackernews 编译,转载请注明出处: 个人基因公司 23andMe 周二证实,黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示,虽然黑客只能进入大约1.4万个账户,占该公司客户的0.1%,但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户,并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示,10月初,他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示:“没有任何迹象表明我们的系统出现了漏洞或数据安全事件,也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称,在被黑的 690 万个账户中,有 550 万个包含基因匹配信息,如果用户提供的话,可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息,作为“家谱”功能的一部分。 23andMe 公司成立于2006年,总部位于加州山景城,谷歌的总部也在这里。     Hackernews 编译,转载请注明出处 消息来源:securityweek,译者:Serene

又一全新黑客组织“浮出水面”,美国航空航天领域被盯上

近日,一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标,陆续发起了两次攻击:第一次是在2022年9月的一次测试浪潮,第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问,并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为,该黑客组织的攻击目标是商业网络间谍活动,旨在收集有价值的信息,可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月,它使用带有文档 (docx) 附件的钓鱼电子邮件,利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏,在目标系统上创建反向shell,并连接到攻击者的命令和控制(C2)服务器。 向受害者展示的诱饵文件 BlackBerry方面表示,一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件,[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的,这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件,它会列出被入侵计算机上的所有目录,以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制,包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护,以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性,添加一个名为“WinUpdate2”的任务,因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制,以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具,以实施更复杂的攻击,而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中,最终有效载荷都是连接到相同 C2 IP 地址的反向shell,黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测,其目的是窃取数据进行出售,将其提供给国际航空航天竞争对手,或利用这些信息对受害者进行敲诈勒索。   转自Freebuf,原文链接:https://www.freebuf.com/news/385667.html 封面来源于网络,如有侵权请联系删除