HackerNews 编译，转载请注明出处： 数据分析巨头LexisNexis旗下部门遭遇数据泄露，逾36万人信息遭窃。公司周三声明称，其风险管理子公司LexisNexis Risk Solutions（LNRS）于4月1日接获匿名第三方通报，对方宣称已获取公司数据。 作为美国顶级数据经纪商之一，LNRS主要为商业客户提供风控服务。公司发言人表示：“安全团队立即联合鉴证公司展开调查，确认存储在GitHub开发平台的软件制品及个人信息被非法获取。涉及信息包括姓名、联系方式（电话/地址/邮箱）、社会安全号、驾照号及出生日期。”发言人强调核心系统及产品未受影响，监管文件显示超36.4万人受波及。 此次泄露事件引发连锁反应——过去三年LNRS因向美国海关边境保护局及汽车厂商提供数据服务频遭质疑，更因收集兜售驾驶行为、生殖健康乃至儿童敏感信息在多州面临诉讼。缅因州、南卡罗来纳州及佛蒙特州的泄露通知文件显示，实际泄密发生于去年圣诞节期间，公司直至今年4月1日才获知。尽管通知未提及GitHub，但明确数据源自“第三方软件开发平台”。 目前尚无黑客组织宣称负责。LNRS在通知中称“无证据表明数据遭进一步滥用”，已向执法部门报案并启动网络安全调查，将为受影响用户提供两年身份保护服务。这家总部位于佐治亚州的企业在亚欧多国设有分支机构，其英国母公司RELX去年营收超120亿美元（约合870亿人民币）。 此次事件加剧了LNRS的信任危机。去年新泽西州超1.8万名执法人员集体诉讼指控：当他们要求LexisNexis风险管理公司保护隐私数据后，竟遭该数据经纪商恶意冻结信用并虚假标注为身份盗用受害者。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大医疗合作社Unimed因暴露的Kafka实例导致数百万条医患对话泄露，内含患者上传的图片、文档等敏感信息。医疗数据作为个人最私密的资产之一，却始终难以幸免于数据泄露风险。 网络安全研究团队发现，巴西医疗巨头Unimed一处未受保护的Kafka实例暴露在公网。这家服务约1500万用户的行业领军企业，其聊天机器人“Sara”及真实医患间的对话通过该开源实时数据传输平台持续外泄。研究人员成功拦截逾14万条聊天记录，而实例日志显示至少1400万条信息曾以不安全方式传输。 “此次泄露的医疗机密信息极其敏感，”研究人员警告，“攻击者可能利用这些数据实施歧视及针对性仇恨犯罪，更常见的手段包括身份盗用、医保诈骗、金融欺诈和钓鱼攻击。”泄露详情涵盖： 患者上传的图片及文档 文字聊天内容 患者姓名、电话号码及邮箱 Unimed医疗卡号 医疗数据在黑市备受追捧，因其可被用于多重犯罪：除身份盗用和保险欺诈外，健康记录还能成为敲诈勒索或冒充患者的工具。更严峻的是，研究人员指出攻击者理论上可拦截、篡改甚至删除特定用户的通信内容，其潜在危害难以估量。 Unimed在接到通报后已关闭暴露实例。为防范类似事件，研究团队建议： 严格限制Kafka实例访问权限，仅允许授权消费者与生产者连接 启用IP白名单机制 激活平台内置的认证授权功能       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究机构Oasis Security披露，微软OneDrive文件选择器存在严重权限设计漏洞，导致用户授权第三方应用时可能意外开放整个云盘访问权限。该漏洞影响数百万用户，涉及ChatGPT、Slack、Trello等数百款主流应用的集成功能。 技术分析显示，当用户通过文件选择器上传或下载特定文件时，关联的OAuth权限请求未采用细粒度控制机制，默认授予第三方应用对OneDrive全盘数据的读写权限。以7.0版本为例，即使执行上传操作仍需申请写入权限，且旧版选择器（6.0至7.2）存在OAuth令牌处理缺陷，包括使用URL片段和本地存储方式，容易导致敏感凭证泄露。尽管8.0版本将认证流程外部化，但权限范围仍未得到根本性约束。 Black Duck首席安全顾问Vijay Dilwale分析称，该问题本质是过度授权与误导性权限提示的结合产物。Sectigo资深研究员Jason Soroko指出，现有授权对话框未明确告知用户“允许访问所选文件”的实际含义是开放整个云盘访问入口。实际风险场景中，求职者通过招聘平台Phenome上传简历时，若文件存储在企业版OneDrive，可能连带暴露雇主机密文档。 Oasis Security列出四大核心风险点： 默认授权范围覆盖用户所有文件 访问令牌有效期长达1小时以上，若配合刷新令牌可实现持久控制 历史版本存在浏览器内存令牌存储安全隐患 权限提示界面未清晰传达风险等级 对比其他云存储方案，Google Drive采用drive.file等细粒度权限模型，仅允许访问应用创建或用户显式选择的文件；Dropbox自定义文件选择器则完全规避OAuth机制，仅传输用户指定文件。微软虽已确认报告内容，但尚未公布修复方案。 安全建议方面，企业应启用“管理员许可”策略，禁止应用申请超出files.read的基础权限；开发者需避免使用刷新令牌，严格限制权限范围；普通用户可通过微软隐私设置页面审查已授权应用清单，及时撤销可疑访问权限。Salt Security网络安全战略总监Eric Schwake强调，所有SaaS插件在获得授权前都应视为潜在数据泄露入口，必须实施最小权限原则。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国运动服饰巨头阿迪达斯披露，攻击者入侵某客户服务提供商后窃取部分客户数据。该公司于5月24日（周五）声明称：“阿迪达斯近期发现未经授权的外部方通过第三方客户服务提供商获取了部分消费者数据。我们立即采取措施控制事件影响，并联合顶尖信息安全专家启动全面调查。” 阿迪达斯补充称失窃信息不包含受影响客户的支付信息或密码，因攻击者仅获取联系方式。公司已就此事通报相关监管机构，并将按法律要求通知受影响的个人。 “阿迪达斯正依照适用法律向可能受影响的消费者、数据保护机构及执法部门发出通知，”声明强调，“我们始终致力于保护消费者隐私与安全，对此次事件造成的不便深表歉意。” 目前阿迪达斯尚未披露事件细节，包括受影响服务商名称、入侵发现时间、受影响人数以及公司自有网络是否遭渗透。当BleepingComputer联系阿迪达斯询问事件进展时，发言人表示“暂无最新消息，周五声明仍然有效”。 本月早些时候，阿迪达斯曾披露影响土耳其与韩国客户的数据泄露事件，涉及2024年及此前联系过客服中心的消费者。失窃信息包括姓名、电子邮箱、电话号码、出生日期与地址。2018年6月，阿迪达斯美国官网遭入侵，导致数百万购物者的联系信息、用户名及加密密码外泄。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州希博伊根市向约6.7万人发出警告，称2024年10月的勒索软件攻击导致黑客获取其个人信息。市政府于周五向监管机构提交数据泄露通知信，证实黑客在2024年10月31日入侵市政系统时窃取了社保号码、州身份证及车牌号信息。 希博伊根市政府委托网络安全公司展开调查，最终于5月14日确认数据确遭窃取。这座人口约5万的城市此前承认勒索软件团伙Chort宣称对此次攻击负责，但称无证据表明敏感数据遭窃。2024年11月，Chort团伙公开文件档案截图并索要赎金。 市政府已向执法部门报告事件，并在应对过程中“参考其指导意见”。官员表示应急服务仍正常运行，但自11月22日后未再发布进一步更新。市政府在通知信中承诺为受影响居民提供为期一年的身份保护服务。 希博伊根是威斯康星州近两年遭勒索攻击的多个政府实体之一。Chort勒索团伙于2024年11月崭露头角，宣称攻击科威特公共农业与渔业资源局、乔治亚州某公立学校等多家机构。纽约哈特威克学院也出现在该团伙的泄密网站上，校方上月向超4800名受害者发送通知信，证实去年10月遭袭。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大新斯科舍电力公司于5月23日披露，其遭遇的网络安全事件已被确认为“高度复杂的勒索软件攻击”。此次事件始于3月19日的未授权系统访问，攻击者最终窃取了约28万名客户的敏感数据，占该省55万用户总数的51%。被泄露信息包括： 个人身份信息：姓名、出生日期、电话号码、电子邮箱、实际住址与服务地址 财务数据：预授权支付账户的银行账号、信用卡历史记录、账单明细及消费历史 政府证件信息：驾照号码、社会保险号码 能源使用细节：用电量数据、服务请求记录 尽管攻击者成功侵入商业网络系统，但电力公司强调发电、输电等核心基础设施未受影响。该公司在4月28日与母公司Emera联合发布首次安全通告，5月1日确认数据遭窃，5月14日起陆续向受影响客户发送详细通知信。值得关注的是，攻击者已将被盗数据发布于暗网，但截至5月27日，尚未有任何勒索组织公开宣称对此负责。 新斯科舍电力公司总裁彼得·格雷格在最新声明中明确表示：“我们严格遵循国际制裁法规和执法部门建议，决定不支付任何赎金。”目前该公司正与第三方网络安全专家合作，评估数据泄露的具体范围，并为受影响客户提供为期两年的TransUnion信用监控服务。能源监管机构已启动事件审查程序，重点评估攻击对公共事业运营的长期影响及数据保护机制的改进方案。 此次事件暴露出关键基础设施面临的严峻安全挑战——攻击者通过商业网络与核心运营系统的隔离设计漏洞，成功窃取海量用户数据却未触发物理系统警报。网络安全专家指出，此类“双重隔离失效”现象在北美能源行业已非个案，建议公用事业公司加强供应链安全审计，并建立动态威胁情报共享机制。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲私人飞机运营商Elit Avia近日被曝出现在勒索软件团伙Qilin的暗网泄露站点，攻击者声称窃取了该公司数据并公开了机组人员的护照信息等文件。 Elit Avia总部位于欧洲，主营飞机管理、包机服务及高端商务机销售，成立于2006年。Qilin在暗网发布的帖子包含多张机组人员护照截图及飞行任务文件，但未涉及客户信息。网络安全媒体Cybernews研究团队分析称，现有泄露内容未显示存在重大数据漏洞，但尚无法确认攻击者实际窃取的数据规模。 “机组人员护照信息等敏感数据外泄可能使员工面临钓鱼攻击、身份盗用等风险，”研究团队警告称。目前Elit Avia尚未对此事件作出回应，Qilin团伙则通过公开受害者信息施压企业支付赎金。该团伙自2022年活跃至今，过去12个月累计攻击了至少312家机构，受害者包括美国报业巨头Lee Enterprises、休斯顿交响乐团、底特律公共电视台以及全球能源制造集团SK集团。根据追踪数据，Qilin已成为当前最活跃的勒索组织之一。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名勒索软件团伙Stormous在暗网论坛发布大量据称属于法国政府机构及组织的电子邮件与密码数据。该团伙声称此次泄露涉及“法国政府重要部门全面数据”，但网络安全研究团队Cybernews调查发现，虽然数据集包含部分真实信息，但其质量存疑。 泄露数据中的密码采用已被安全界普遍认为脆弱的MD5哈希算法加密。研究人员指出：“这可能是早期安全标准尚未完善时期的历史数据。”若数据属实，攻击者可利用这些信息实施精准钓鱼攻击，例如冒充政府机构索要敏感信息，甚至通过破解哈希值获取系统访问权限——尤其当相关机构存在密码复用或弱口令问题时。 被曝光的机构名单包括法国开发署、巴黎大区卫生局、家庭津贴基金、审计法院及农业信贷银行区域分行等。不同机构泄露的邮箱数量差异显著，部分仅涉及数个账户，但攻击者宣称某些机构泄露量达数百条。本媒体已联系法国国家网络安全局（ANSSI）置评，目前尚未获得回复。 值得关注的是，去年法国曾发生涉及9500万公民记录的泄露事件，包含电话号码、邮箱及部分支付信息。Stormous勒索团伙自2022年活跃至今，去年曾宣称攻击比利时啤酒厂商杜威摩盖特集团。据暗网追踪平台Ransomlooker统计，该团伙过去12个月至少入侵34家机构。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，全球知名饮料企业可口可乐公司疑似遭遇Everest勒索软件团伙攻击，其暗网泄密网站已列出该公司数据泄露条目。攻击者公布的样本数据显示，近千名软饮制造商员工的个人身份信息与内部机密文件遭泄露，具体包括： 员工身份信息：包含姓名、工号、薪酬等级等人力资源部门管理的核心数据。 企业敏感文件：涉及中东地区分销商的运营策略文档、供应链管理协议等内部资料。 系统访问凭证：疑似包含远程桌面协议（RDP）登录凭据及网络架构拓扑图。 Everest团伙被指与俄罗斯关联的Black-Byte勒索软件即服务（RaaS）组织存在技术关联，主要利用泄露的合法凭证突破企业防御，通过远程桌面协议（RDP）实施横向移动。 根据泄露数据特征，可能衍生多重安全威胁： 精准钓鱼攻击：攻击者可结合员工薪酬信息伪造税务核查邮件，诱导点击恶意链接。 供应链渗透：利用分销商网络拓扑图，对上下游合作伙伴发起协同攻击。 商业间谍活动：竞品企业可能收购泄露的运营策略文档，获取市场竞争优势。 此次事件是Everest团伙过去12个月内发起的第91次企业级网络攻击。该组织曾于2022年10月入侵AT&T公司网络，试图出售其核心网络访问权限。网络安全监测平台Ransomlooker数据显示，食品饮料行业已成为勒索软件攻击的重灾区，2025年第一季度相关事件同比激增67%。 截至发稿时，可口可乐公司尚未对数据泄露事件作出官方回应。安全专家建议受影响员工立即启用多因素认证，并监控银行账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州电信运营商Cellcom确认，过去一周的语音与短信服务中断系网络攻击所致。该事件影响威斯康星州及密歇根上半岛地区用户，目前部分服务已逐步恢复。公司首席执行官布里吉德·里尔登在致客户信中表示：“尽管遭遇不幸，但我们对此类事件并非毫无准备，现有应急预案正在执行中。” Cellcom已向执法部门通报攻击事件，并与外部网络安全专家合作推进调查与系统修复。公司强调攻击仅影响不存储客户敏感数据的网络分区，暂未发现用户姓名、地址、财务信息等隐私外泄迹象。虽然部分服务已恢复，但全面运营可能需至本周末，具体时间表尚未明确。 里尔登在声明中透露，团队于前夜取得重大修复进展，预计本周内完成剩余服务恢复，但承诺“不会因追求速度而牺牲安全性与可信度”。此次攻击导致用户长达七日无法使用基础通信功能，社交媒体涌现大量投诉——有客户反映错过医疗预约、工作面试等重要事务。尽管公司承诺不涉及数据泄露，但拒绝提供账户迁移所需信息，加剧用户不满情绪。威斯康星州公共服务委员会正评估运营商是否违反紧急服务保障条例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文