Infosys McCamish Systems（IMS）透露，LockBit勒索软件攻击后的2023年数据泄露影响了600万人。 IMS专门提供专门为保险和金融服务行业量身定制的业务流程外包（BPO）和信息技术（IT）服务。Infosys McCamish Systems（IMS）于2023年11月3日披露了这一安全漏洞，该公司在向美国证券交易委员会提交的一份文件中报告称，它是导致某些应用程序和系统不可用的网络攻击的受害者。 麦卡米什立即对该事件展开调查，并在网络安全顾问的帮助下进行补救。 当时，该公司没有透露其遭受的攻击类型，但在11月4日，LockBit勒索软件团伙声称对此次攻击负责。 该公司在12月31日前恢复了受影响的系统，并估计该事件造成的损失至少为3000万美元。 “根据网络安全公司进行的分析，McCamish认为，某些数据在事件中被未经授权的第三方泄露，这些泄露的数据包括某些客户数据。McCamish已聘请第三方电子发现供应商评估这些数据的范围和性质。这一审查过程正在进行中。McCamih可能会产生额外费用，包括赔偿或损害/索赔，这些费用目前尚不确定。”发送给美国证券交易委员会的声明中写道。“Infosys此前已于2023年11月3日向BSE Limited、印度国家证券交易所Limited、纽约证券交易所和美国证券交易委员会传达了这一网络安全事件的发生。” 2月，美国银行开始在IMS数据泄露后通知一些客户。该银行向57000名客户发送了通知信，告知他们的个人信息已被泄露 现在，该公司透露，LockBit勒索软件攻击后的2023年数据泄露影响了600万人。 调查确定，威胁行为者在2023年10月29日至2023年11月2日期间访问了公司系统。 该公司向受影响的个人发送的数据泄露通知中写道：“深入的网络取证调查确定，未经授权的活动发生在2023年10月29日至2023年11月2日之间。”。“通过调查，还确定了数据受到未经授权的访问和获取。在通过外部律师聘请的第三方eDiscovery专家的协助下，IMS开始对有争议的数据进行彻底和耗时的审查，以确定受到未经授权访问和获取的个人信息，并确定个人信息与谁有关。IMS已将事件及其相关个人信息的泄露通知其受影响的组织。” 该公司发布的一份新闻稿中写道：“6078263人的敏感个人数据已被泄露。现在，受害者的姓名、社会保障号码、财务信息和医疗信息可能掌握在犯罪分子手中，使受害者面临更大的身份盗窃和其他欺诈风险。”。 “2024年6月27日，Infosys McCamish向缅因州总检察长提交了一份通知，描述了一次影响全国消费者的数据泄露。在这份通知中，Infosys麦卡米什解释说，Oceanview Life&Annuity Company的客户也受到了影响。然而，在之前的文件中，Infossys McCamish表示，其他公司的客户也受了影响，包括Union Labor Life Insurance、Newport Group、股份有限公司等。” IMS确定暴露的数据包括： 姓名， 社会保障号码， 医疗信息， 生物特征数据， 金融账户信息， 护照号码。 该公司不知道有任何滥用暴露数据的行为，但它为现有客户提供了24个月的免费信用监控，以供与这些客户相关的个人使用 “尽管我们不知道自事件发生以来有任何个人信息被欺诈使用的情况，但IMS仍为受影响的个人提供二十四（24）个月的免费信用监控和专门的呼叫中心服务，并就如何防范身份盗窃和欺诈提供指导，包括建议个人向其金融机构报告任何可疑的身份盗窃或欺诈。”通知总结道。 “IMS还向个人提供有关如何对其信用档案进行欺诈警报和安全冻结的信息，关于防止税务欺诈的信息，国家信用报告机构的联系方式，关于如何获得免费信用报告的信息，通过审查账户对账单和监测信用报告提醒他们对欺诈和身份盗窃保持警惕，并鼓励他们联系联邦贸易委员会、司法部长和执法部门，报告试图或实际的身份盗窃和欺诈。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pHDnOrd-_OY_JSCXV7pIRQ 封面来源于网络，如有侵权请联系删除

微软警告称，与俄罗斯有关的网络间谍组织Midnight Blizzard(午夜暴雪)继续以微软用户为目标窃取其他电子邮件。 继微软公司基础设施遭到入侵后，该公司正在确定更多遭午夜暴雪黑客攻击的客户。 今年 1 月，微软警告称，其部分公司电子邮件账户遭到与俄罗斯有关的网络间谍组织“午夜暴雪”的攻击。该公司已通知执法部门和相关监管机构。 微软还宣布，2023 年 11 月下旬袭击该公司的与俄罗斯有关的 APT组织“午夜暴雪”已将目标对准全球组织，作为大规模网络间谍活动的一部分。 现在，微软的事件响应团队正在联系客户管理员，提供一个安全门户，让他们可以查看被与俄罗斯有关的 Midnight Blizzard APT 组织窃取的电子邮件。 以下是“需要采取行动 – Microsoft 电子邮件数据共享请求”消息的文本： “此通知与APT组织 Midnight Blizzard 之前对 Microsoft 的攻击有关，正如我们在 8-K 文件和 Microsoft 博客中所披露的那样。” “您之所以收到此通知，是因为 Microsoft 和贵组织中的帐户之间交换了电子邮件，而攻击者 Midnight Blizzard 在对 Microsoft 进行网络攻击时访问了这些电子邮件。” “作为我们对透明度的承诺的一部分，我们正在积极分享这些电子邮件。我们定制了一个安全系统，使贵组织中获准的成员能够查看 Microsoft 和贵公司之间泄露的电子邮件。” “为了授予对上述电子邮件的访问权限，您需要确定贵组织内可以提名审阅者的授权个人。如有需要，请联系贵组织中有权提名审阅者查看这些电子邮件的适当方。” 此电子邮件底部有一个链接，它将带您进入一个安全表单，将被要求提供以下信息： 贵组织的 TenantID，如果您不知道或不确定您的 TenantID，请按照此处概述的步骤 位于此电子邮件底部的访问代码 贵组织内可以提名审阅者的个人的电子邮件地址，这些审阅者将被授予访问一组泄露电子邮件的权限。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/del5d-jI4kEfUxQ_rM6OmQ 封面来源于网络，如有侵权请联系删除

据彭博新闻社首次报道，微软于周四表示，一个由 Kremlin 支持的黑客组织对今年 1 月发生的公司内部系统入侵事件负责，该组织获取的客户电子邮件数量超过了最初披露的数量。 微软发言人告诉彭博新闻社，公司目前正在向更多的客户发送通知，提醒客户的电子邮件已被俄罗斯民族国家黑客组织 Midnight Blizzard 读取，同时此前已被通知的客户将获取泄露信件类型的详细信息。 微软在 1 月 19 日提交给美国证券交易委员会的文件中首次披露了Midnight Blizzard的漏洞。该公司发现黑客从高层领导团队及网络安全和法律部门员工处获取被盗邮件，并试图使用被盗凭证联系微软客户。在发现美国政府的 Azure 客户也是被攻击的目标后，美国网络安全和安全基础设施局于4月向联邦机构发出了紧急指令。 CISA 此前没有透露该美国政府机构的名称及政府机构电子邮件被泄露的情况。但微软曾表示，黑客早在几个月前就利用一种名为 password spraying 的技术入侵了其公司系统。 Midnight Blizzard 在安全领域又被称为 “俄罗斯国家支持的黑客 “Nobelium” 、“APT29” 或 “Cozy Bear”，该组织还对2020年肆虐美国政府设施的SolarWinds黑客事件负有责任。 去年2月，根据黑莓公司的研究，这一国家支持的黑客组织是针对援助乌克兰的欧盟政府机构进行网络钓鱼活动的幕后黑手。 微软目前没有透露究竟是哪些企业客户受到了这一漏洞的影响。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

6月23日，LockBit宣称入侵了美联储，窃取了惊人的33TB内部数据，并要求在UTC时间6月25日晚上8点27分之前落实赎金方案，否则将公开这些数据，如今，答案已经揭晓，LockBit造谣了！ BleepingComputer称，事实证明美联储并未受到攻击，虽然LockBit已在数据泄露页面发布了数据下载链接，但这些数据并非来自美联储。网络威胁监控公司HackManac在社交媒体上称，LockBit攻击的是一家名为Evolve Bank&Trust的美国银行。 LockBit在美联储数据泄露页面发布的数据下载链接 BleepingComputer已与该银行取得了联系，对方承认有攻击者从系统中窃取了数据，且这些数据可能已经泄露到了暗网，目前正在与执法机构合作持续进行调查。 BleepingComputer还试图询问是否确切知道攻击者何时窃取了这些数据，以及银行的系统是如何被破坏的，被对方以“在调查期间不会发表进一步的评论”为由回绝。 有趣的是，此次“躺枪”的美联储近期才以该银行在风险管理、反洗钱（AML）和合规实践方面存在多个问题为由，对其进行了处罚。 由于LockBit在今年2月的“克罗诺斯”联合执法行动中遭受重挫，该组织的攻击活动目前仍处在“恢复期”。有专家指出，LockBit可能会通过一些虚张声势的方式来扩大影响力。即便如此，LockBit对全球企业的威胁仍会继续存在，值得各方持续保持高度警惕。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404624.html 封面来源于网络，如有侵权请联系删除

 奢侈品零售商 Neiman Marcus 证实，该公司遭遇了数据泄露。在最近的 Snowflake 数据盗窃攻击中，黑客窃取了其数据库并试图将其出售。 在向缅因州总检察长办公室提交的一份数据泄露通知中，该公司称此次数据泄露影响了 64472 人。 “2024 年 5 月，我们得知，一未经授权的第三方于 2024 年 4 月至 5 月期间访问了 Neiman Marcus 集团使用的数据库平台。据调查，该第三方获得了数据库平台中存储的某些个人信息，” Neiman Marcus 在一份数据泄露通知中警告说。“受影响的个人信息类型因人而异，包括姓名、联系方式、出生日期、Neiman Marcus 或 Bergdorf Goodman 礼品卡号（不含礼品卡密码）等。” Neiman Marcus 表示，在发现漏洞后，他们立即关闭了对数据库平台的访问，同时与网络安全专家一起展开调查，并通知了执法部门。 虽然 Neiman Marcus 和 Bergdorf Goodman 的礼品卡号在漏洞中暴露，但数据中不包括 PIN 码，因此礼品卡应该仍然有效。 Neiman Marcus 在给 BleepingComputer 的一份声明中证实，暴露的数据是从公司的 Snowflake 账户窃取的。该集团表示，有未经授权方获得了公司使用的云数据库平台的访问权限，且该平台由第三方 Snowflake 提供。 与 Snowflake 数据盗窃攻击相关 HackManac 最早披露道，数据泄露通知是在一名为 “Sp1d3r “的黑客于黑客论坛上以 15 万美元的价格出售 Neiman Marcus 的数据之后发布的。 在近期发生的 Snowflake 数据窃取攻击事件中，许多公司的数据也因此被窃取，而 Sp1d3r 正是这些数据的出售者。 尽管黑客在帖子中没有提到 Snowflake，但他们提到了 “Raped Flake”，即黑客为从数据库平台窃取数据而创建的同名自定义工具。 Neiman Marcus 的数据在黑客论坛上出售的截图 据黑客称，被盗内容包括 Neiman Marcus 共享的数据，以及社会保障号的后四位数字、客户交易信息、客户电子邮件、购物记录、员工数据和数百万张礼品卡号。黑客在论坛发帖之前曾试图勒索该公司，但 Neiman Marcus 拒绝了支付勒索金。 然而，在论坛发帖后不久，该帖子和数据样本随即被删除，这表明该公司可能已开始与黑客进行谈判。 165 家可能受到 Snowflake 攻击影响的组织 Snowflake、Mandiant 和 CrowdStrike 的一项联合调查显示，一个被标记为 UNC5537 的黑客使用窃取的客户凭证，攻击了至少 165 个未在其账户上配置多因素身份验证保护的组织。 Mandiant 将 Snowflake 攻击遭遇的网络攻击与 UNC5537 相联。该黑客以入侵组织、窃取数据并试图勒索公司支付赎金以避免数据被泄露而闻名。 虽然 Mandiant 没有公开披露太多关于 UNC5537 的信息，但 BleepingComputer 已经了解到， UNC5537 是黑客社区的成员，这些黑客经常访问相同的网站、Telegram 和 Discord 服务器。 为了入侵 Snowflake 账户，黑客使用了可追溯到 2020 年的信息窃取恶意软件感染所窃取的凭据。 Mandiant 表示：“受影响的账户没有配置多因素身份验证，这意味着成功进行身份验证只需要有效的用户名和密码。” “在某些情况下，信息窃取恶意软件输出中识别出的凭证多年后仍然有效，且没有被轮换或更新。受影响的 Snowflake 客户实例没有网络允许列表，只允许从受信任的位置进行访问。” UNC5537 Flake 攻击时间表 Snowflake 和 Mandiant 已经通知了约 165 家可能受到持续攻击影响的组织。 近期与该网络攻击相关的漏洞包括 Santander、Ticketmaster、QuoteWizard/LendingTree、Advance Auto Parts、Los Angeles Unified 和 Pure Storage。     消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Darkreading 网站消息，与最近的 Ticketmaster 入侵事件直接相似的事件中，澳大利亚一家现场活动票务巨头 Ticketek 表示，它是通过第三方云提供商被入侵的，而 ShinyHunters 则是罪魁祸首。 ShinyHunters 网络犯罪团伙又对一名受害者“下手”了，这次是在澳大利亚。该团伙最近在一个暗网论坛上发布了一些信息，称该信息针对的是澳大利亚现场活动票务组织 Ticketek 的约 3000 万用户。 Ticketek Entertainment Group (TEG) 已于 5 月底披露了这一漏洞。根据其网站上的一份声明，该公司指出，信息是通过一家未具名的第三方云提供商窃取的，攻击者窃取了客户的姓名、出生日期和电子邮件地址。TEG 强调，没有用户账户被泄露，支付信息也没有卷入此次事件。 这次事件与 Ticketmaster 的泄密事件极为相似，6 月初，ShinyHunters 在 BreachForums 地下市场上发布了影响 5.6 亿客户的信息后，该事件才被曝光。该漏洞也是由于第三方云账户泄露造成的，研究人员很快发现该账户就是 Snowflake。 研究人员随后确定，Ticketmaster 事件是针对安全性较差的 Snowflake 账户的更广泛的网络攻击活动的一部分，多达 165 家组织受到了攻击，其中包括 Advanced Auto Parts 和桑坦德银行（很可能）。攻击者的目标：缺乏多因素身份验证（MFA）的云账户，使用的是以前被入侵的凭证。根据 Mandiant 最近的分析，有些密码已经三年没有更换过了。 尽管有研究人员猜测，但 TEG 并未证实与 Snowflake 或 ShinyHunters 有关联，也未证实 ShinyHunters 是此次网络事件的罪魁祸首，不过在 2022 年的一份案例研究（PDF）中，该云提供商是这家票务巨头的技术合作伙伴。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404400.html 封面来源于网络，如有侵权请联系删除

据Hackread消息，名为“撒旦云”（The Satanic Cloud）的黑客组织近日泄露了了美国第二大公立学校系统洛杉矶联合学区 （LAUSD）数百万学生及教职工的个人信息数据。目前，这些数据已经现身多个黑客论坛及Telegram频道。 这些泄露的数据显示涉及2416万条名学生及近5.5万条教职工信息，Hackread对数据去重分析后，提炼出195万条有效记录。这些数据类目繁多，包括学生姓名、邮编、生日、身份证号码、电话号码、电子邮件地址、家庭住址、学校名称、是否有移民身份等，教职工信息还涉及供职状况、就业经历、职位等信息。 Hackread分析数据截图 Hackread联系了声称对这次攻击负责的黑客，确认这是一起利用Snowflake云数据库平台漏洞的攻击行为，并警告称对漏洞的利用还有更多。 据彭博社报道，LAUSD 承认数据泄露的发生是因为第三方供应商将被盗数据存储在了Snowflake。目前LAUSD正在与联邦调查局、CISA及其供应商合作，进一步调查这一事件。 值得注意的是，Snowflake漏洞也是之前臭名昭著的Ticketmaster数据泄露的罪魁祸首，该事件导致黑客窃取了1.3TB、涉及5.6 亿用户的个人数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404300.html 封面来源于网络，如有侵权请联系删除

一次未受保护的安全事件暴露了自 1989 年以来提交的 1350 万起犯罪举报背后的举报人信息，严重威胁使用巴尔的摩市 311 服务的个人的安全。 虽然举报犯罪是每个公民的义务，但大多数人都希望至少在一定程度上保持匿名，以免受到报复。Cybernews 研究团队的最新发现给公民的隐私问题蒙上一层阴影。 5 月 8 日，该团队发现一个属于巴尔的摩市可公开访问的 Kibana 实例。暴露的数据库没有身份验证或授权系统来防止未经授权的访问。 在几乎任何人都可以接触到的大量敏感数据中，这个实例包含通过该市 311 电话服务提交的报告。311 最初是巴尔的摩的非紧急电话热线，现在可以通过网站或应用程序进行互动。 据研究人员称，暴露的数据库泄露了几十年来提交请求的人的姓名、电子邮件地址和电话号码。 研究人员表示：“尽管 311 并非紧急服务电话，但一些居民仍用它来举报犯罪。泄露此类数据可能会危及举报犯罪的人，尤其是在美国凶杀率最高的城市。” 截至 5 月 20 日，暴露的实例已不再向公众开放。Cybernews 已联系巴尔的摩市征求意见，但在发布之前尚未收到回复。 哪些数据被泄露了？ 虽然该实例仍可公开访问，但该团队总结称，该数据库包含巴尔的摩居民提交的报告和投诉。此外，该实例还包含： 已报告的交通事故 住房消毒请求和投诉 道路质量报告 测速摄像头的位置和状态 动物控制投诉 非法活动指控 由于大部分数据都是通过 311 服务提交的，因此随着市政府向公众发布部分报告，部分报告已经公开。但是，本例中的数据数量和容量明显高于公开的数据。 据该团队介绍，此次泄露的数据包含了几十年来提交的超过 1350 万份报告，其中一些报告可以追溯到 1989 年。由于 311 服务于 1996 年才推出，调查结果表明，此次数据泄露暴露了几份较早的数字化报告。 研究人员表示：“此次泄密事件损害了那些在该平台上举报犯罪行为等问题的个人的隐私，甚至可能损害了他们的安全。泄露此类报告可能会对使用该平台的巴尔的摩市民造成危险，因为巴尔的摩市在美国暴力犯罪排行榜上名列前茅。” 去年巴尔的摩每十万居民发生 45 起凶杀案，是美国平均水平的八倍多。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uWVQetufimVhVbDQVtpwwA 封面来源于网络，如有侵权请联系删除

Resecurity 研究人员警告道，Smishing Triad 正在开展新活动，该组织已将其行动范围扩展到巴基斯坦。 Smishing Triad 最新的手段是以巴基斯坦邮政的名义通过 iMessage 或 SMS 向移动运营商的客户发送恶意信息，从而窃取客户的个人信息和财务信息。 攻击者在该网络钓鱼工具包中使用的代码和模板与此前 Smishing Triad 攻击事件中的代码和模板一致。Smishing Triad 曾对其他地区（包括美国、欧盟、阿联酋和沙特阿拉伯）网上银行、电子商务和支付系统客户发起多次攻击活动。 分析师估算，黑客的活动规模非常庞大，每天发送的信息量在5万至10万条之间。黑客通过利用从暗网窃取的数据库实现这一目标，这些数据库包括含电话号码在内的敏感个人数据。2024年上半年，巴基斯坦发生了多起数据泄露事件，导致公民的个人身份信息（PII）被泄露。这些泄露的信息随后被自动化工具大规模处理，用于包括发送垃圾短信在内的各种恶意欺诈目的。 Resecurity 观察到，多个主机被攻击者用于操作针对巴基斯坦邮政服务提供商的钓鱼工具包。这些攻击与2023年7月之前观察到的针对西班牙国有邮政服务提供商 Correos 的钓鱼活动有关。分析发现，多个域名映射到同一个IP地址23[.]231[.]48[.]129： ep-gov-pkw[.]cfd ep-gov-ppk[.]cyou ep-gov-ppk[.]icu correosytelegrafos-civ[.]icu correos-es[.]cn Smishing（短信网络钓鱼）攻击可能具有高度欺骗性，其目的是通过短信诱骗个人点击恶意链接泄露个人信息，从而破坏数字身份并窃取支付数据。   消息来源：securityaffairs，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在一名黑客声称出售从电信公司 T-Mobile 窃取的数据后，该公司否认其遭到入侵或源代码被盗。 “T-Mobile 系统并未受到攻击。我们正在积极调查第三方服务提供商提出的问题，”T-Mobile 在给 BleepingComputer 的一份声明中说。”没有迹象表明 T-Mobile 的客户数据或源代码被包括在内，我们确认该黑客声称 T-Mobile 的基础设施被访问的说法是错误的”。 在发表这一声明之前，一知名黑客 IntelBroker 声称已于 2024 年 6 月入侵 T-Mobile 并窃取了源代码。 为了证明这些数据真实可靠且来自近期的网络攻击，IntelBroker 发布了几张截图，图中显示该黑客以管理权限访问了 Confluence 服务器和公司内部的开发人员 Slack 频道。 IntelBroker 表明出售的数据包含源代码、SQL 文件、图像、Terraform 数据、t-mobile.com 认证、Siloprograms。 IntelBroker 声称将出售 T-Mobile 近期数据泄露事件中数据的截图 BleepingComputer 了解到，IntelBroker 分享的实际上是 T-Mobile 基础设施的陈旧数据，这些数据在被上传到第三方供应商的服务器上后遭窃取。 近期，IntelBroker 迅速发布了一系列数据泄露事件，如果所有遭受数据泄露的组织都使用了这家云供应商，那么这些数据的来源就能得到解释。 据 IntelBroker 发布的截图，该黑客在本月就可以访问用于测试应用程序的 Jira 实例。 目前尚不清楚 IntelBroker 是如何入侵该提供商的，但其中一张泄露的图片显示出关键漏洞 CVE-2024-1597 的搜索记录，该漏洞影响了 Confluence 数据中心和服务器，严重程度为 9.8 分（满分 10 分）。 目前尚不清楚第三方供应商是否因该漏洞而被入侵。 此次事件是T-Mobile 在不到两年的时间里遭遇的第三起网络安全事件。2023 年 1 月 19 日，T-Mobile 披露黑客窃取了公司 3700 万用户的个人信息。 2023 年 5 月，该电信公司表示，从同年 2 月开始，数百名客户的数据被未知攻击者曝光长达一个多月。 消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文