美国国家客运铁路公司（Amtrak）近日披露了一起数据泄露事件，旅客的Guest Rewards常旅客积分账户的个人信息被大量窃取。 根据Amtrak向马萨诸塞州提交的泄露通知，5月15日至18日期间，Amtrak的用户账户信息遭到第三方未经授权的访问。 Amtrak表示，此次事件并非其系统遭到黑客攻击，而是由于之前数据泄露事件中泄露的用户名和密码被用来非法访问用户账户。 Amtrak所指的“之前的泄漏事件”发生在2020年，当时Guest Rewards常旅客积分用户计划的个人信息被泄漏，但Amtrak宣称“黑客活动数小时之内就发现并踢出系统。” 根据黑客发布的帖子，Amtrak此次泄漏的信息包含大量个人数据，包括“姓名、联系方式、Amtrak Guest Rewards账户号码、出生日期、支付详情（如部分信用卡号码和有效期）、礼品卡信息（如卡号和PIN码）以及用户的交易和旅行信息。” 在一些案例中，黑客甚至接管了账户，更改了电子邮件和密码，使合法用户无法登录。不过，Amtrak及时采取了措施，在发送给受影响用户的通知中，Amtrak表示：“我们已经将用户的Amtrak Guest Rewards账户的电子邮件地址更改回用户档案中的电子邮件地址，并启动了账户密码重置。” Amtrak并未详细说明受影响的乘客人数，但敦促用户更换密码并启用多因素认证（MFA），以防止账户被非法访问和接管。 Jumio公司的首席技术官Stuart Wells在一份发给媒体的电子邮件声明中表示：“黑客已经意识到从旅行忠诚度计划中窃取数据的高回报，这些数据可以轻松地在暗网出售或转换为门票。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/c3MccbO9OUBWrC539HV6jg 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，半导体公司 AMD（Advanced Micro Devices）产品信息及源代码疑似发生泄露。 据称，黑客 IntelBroker 正在黑客论坛上出售 AMD 被盗的数据，而该公司正在调查此次泄露事件是否属实。AMD表示：”我们正与执法人员和第三方合作调查这一说法的真实性和数据的重要程度。” 涉嫌泄露的内容包括AMD 未来产品的信息、详细技术规格、员工和客户数据库、财产相关文件、ROM、源代码、固件和财务记录。黑客 IntelBroker 声称员工数据库包括个人和专业信息，例如用户 ID、名字和姓氏、工作职能、公司电话号码、电子邮件地址和员工状态。 知道创宇暗网雷达截图 出售AMD数据的黑客论坛截图 与此同时，IntelBroker 还分享了一些 AMD 数据的截图，但尚未透露该数据的售价或获取方式。 AMD 数据截图 据了解，IntelBroker 因入侵 DC Health Link 而闻名，该入侵事件导致美国众议院议员和工作人员的个人数据发生泄露，并引发了一场国会听证会。 近期，该黑客还破坏了欧洲刑警组织专家平台（EPE），即一个国际执法机构之间共享信息的门户网站。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer

洛杉矶县公共卫生部（DPH）宣布，在2024年2月19日至2月20日发生数据泄露后，超过20万人的个人信息被泄露。 黑客通过网络钓鱼活动获得了53名公共卫生员工的登录凭证。 “在2024年2月19日至2024年2月20日期间，洛杉矶县公共卫生部经历了一次网络钓鱼攻击，黑客能够通过网络钓鱼电子邮件获得53名公共卫生员工的登录凭证，泄露了20多万人的个人信息。”DPH发布的数据泄露通知写道。 发现网络钓鱼攻击后，公共卫生部门禁用了受影响的电子邮件帐户，并重置和重新映像用户的设备。该组织还封锁了攻击来源的网站，并隔离了所有可疑的传入电子邮件。 可能被盗的电子邮件帐户可能包括DPH客户/员工/其他个人的名字和姓氏、出生日期、诊断、处方、医疗记录号码/患者ID、Medicare/Med-Cal号码、健康保险信息、社会保险号码和其他财务信息。该公司正在通知美国卫生与公众服务部民权办公室和其他相关机构。作为回应，公共卫生部门实施了许多增强措施，以减少未来遭受类似电子邮件攻击的风险。 4月，洛杉矶县卫生服务部披露了一起影响数千名患者的数据泄露事件。在网络钓鱼攻击影响了二十多名员工后，患者的个人和健康信息被曝光。洛杉矶县卫生服务部在洛杉矶县经营公立医院和诊所，是美国第二大市政卫生系统，仅次于纽约卫生+医院。 “网络钓鱼电子邮件试图诱骗收件人放弃重要信息。在这种情况下，国土安全部员工点击了电子邮件正文中的链接，认为他们正在访问来自值得信赖的发件人的合法消息。”阅读发送给受影响个人的数据泄露通知。“由于执法部门正在进行的调查，我们被建议将此事件通知推迟到现在，因为公开通知可能阻碍了他们的调查。” 泄露的信息因人而异，可能暴露的信息包括患者的名字和姓氏、出生日期、家庭住址、电话号码、电子邮件地址、医疗记录号码、客户识别号、服务日期和/或医疗信息（例如诊断/条件、治疗、测试结果、药物）和/或健康计划信息。   转自e安全，原文链接：https://mp.weixin.qq.com/s/ywuuGFU5_Fvl6r0gHBTMXQ 封面来源于网络，如有侵权请联系删除

在最近的一次数据泄露事件中，领先的蓝牙定位跟踪设备供应商之一 Tile 的数百万用户的个人信息可能被暴露，并引发了赎金要求。 据 404 Media 报道，黑客利用窃取的一名前 Tile 公司员工的凭证进入了公司内部工具，并访问了多个 Tile 系统，以窃取敏感数据。 这些数据包括用于转移 Tile 追踪器所有权、创建管理员账户和发送用户通知的工具，如黑客提供的截图所示。 黑客在数据泄露事件中可以访问的内容 2024 年 6 月 11 日，Tile 的母公司、专注于定位数据的 Life360 表示，检测到有人未经授权访问其客户支持平台。根据该公司的新闻稿，Tile 成为了 “犯罪勒索企图 “的目标，一名身份不明的行为者告知他们拥有 Tile 的客户信息。 公司立即展开调查，发现有人未经授权访问了 Tile 客户支持平台，但没有访问 Tile 服务平台。该公司向用户保证，没有财务数据、密码或位置信息被泄露，因为该平台从未存储过这些数据。但用户的敏感数据可能会被暴露，包括姓名、实际地址、电子邮件地址、电话号码和 Tile 设备识别码。 Life360 首席执行官 Chris Hulls 表示：”我们认为，此次事件仅限于上述特定的 Tile 客户支持数据，并不具有更大的普遍性。”他重申了该公司保护客户信息的承诺，并采取措施保护其系统免受恶意行为者的侵害。 值得注意的是，该新闻稿不适用于美国以外的用户，截图如下： 该公司已经向执法部门报告了这一事件和勒索企图。然而，此次事件凸显了用户位置追踪公司的脆弱性，以及它们是如何成为黑客攻击目标的。 由于电子邮件地址被曝光，Tile 用户应谨防网络钓鱼，对要求提供个人信息或登录凭据的电子邮件保持警惕，并监控与 Tile 帐户相关的电子邮件和银行帐户上的可疑活动。 专家评论 总部位于新泽西州弗莱明顿的身份和访问安全提供商 Pathlock 首席执行官 Piyush Pandey 就数据泄露事件发表了评论，指出其中涉及多种因素，包括前员工或心怀不满的员工实施的潜在威胁以及缺乏安全认证。 “在这种情况下，访问权限似乎是使用 Tile 前员工的管理凭证授予的，这表明身份安全的一个关键要素——在身份生命周期的加入、移动和离开整个过程中，能够主动了解用户的访问和权限。” 此外，多因素身份验证也可能导致仅凭用户名和密码就能访问的情况不复存在。Piyush 补充说：这一漏洞还表明，除了保护主要业务线应用程序外，确保服务账户访问的安全性也至关重要。 Critical Start 网络威胁研究高级经理 Callie Guenther 强调了数据泄露事件后的重大威胁情报影响，包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie 建议采取以下措施保护管理员账户： 多因素身份验证（MFA）： 要求所有管理员账户使用多因素身份验证（MFA），以增加额外的安全层。 强密码策略： 强制使用强大、唯一的密码，并定期更改密码。 最小特权原则： 只向需要的用户授予管理权限，尽量减少拥有高级访问权限的用户数量。 定期审计和监控： 持续监控和审计管理员账户活动，及时发现和应对可疑行为。 安全意识培训： 教育员工识别网络钓鱼企图，以及保护凭证的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/403699.html 封面来源于网络，如有侵权请联系删除

Cybernews 网站消息，比荷卢经济联盟（Benelux）最大的汽车经销商 Van Mossel 和多家公司使用了一家不知名的数据分析公司的服务来训练人工智能模型，结果将客户数据泄露到了互联网上。 2 月 1 日，Cybernews 研究团队在数据收集和分析公司 Rawdamental 的系统中发现了一个令人担忧的错误配置，导致个人数据泄露。 尽管 Rawdamental 没有在荷兰公司登记册中找到，但其服务已被众多荷兰公司使用。此次发现的安全事件影响了可能使用数据收集服务的 10 家公司的用户，其中包括拥有近 7000 名员工的跨国汽车经销商 Van Mossel。 受泄露影响的公司 汽车经销商 – Van Mossel 软件公司 – Simpul.nl 和 Divtag.nl 摩托车零部件市场 – Motorparts-online.com 营销机构 – InovaMedia 烟花零售商 – Vuurwerkbestel.nl 室内装饰零售商 – Oletti.nl 圣诞礼物服务 – Kerstpakkettenexpress.nl 和 kerstcomplimenten.nl 荷兰赛车迷俱乐部 – Ttassen-fanbase.com 收集用户数据的目的是为 Rawdamental 的客户提供一个起始数据集，用于训练人工智能模型来预测用户行为。暂不论使用企业人工智能模型是否符合道德规范，但目前的数据泄露事件表明，此类服务的安全性仍然非常模糊。 Cybernews 联系了使用 Rawdamental 服务的公司，但尚未得到回应。据调查，泄漏是由于 Rawdamental 公司的 Kibana 面板（一种用于搜索、可视化和分析存储数据的流行在线工具）上的身份验证缺失造成的。认证缺失未被察觉，导致数据自 2021 年 12 月起被公开访问。 Cybernews 和荷兰计算机应急响应小组（CERT）试图与 Rawdamental 公司取得联系，但该公司均未回应。此后，研究人员注意到该公司已经关闭了这一实例。 受影响域的仪表板 泄露的电子商务仪表板 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 无法匿名化用户数据 除了明显的网络安全漏洞导致数据泄露，并为威胁行为者提供了一个数据库外，另一个主要问题是公司对用户数据的匿名化处理不力。 对于像 Rawdamental 这样的服务公司来说，匿名化用户数据至关重要。Cybernews 的安全研究员 Nazarovas 表示，尽管 Rawdamental 有意对用户数据进行匿名处理，但调查显示，他们未能预见到所有可能出现的情况。 要求披露个人信息和项目信息 其中一个例子涉及该公司的客户平台，这些平台很可能专门用于会计工作。一些平台在网站的标题标签中显示个人身份信息，如姓名和项目，这些标签会出现在浏览器的标签名称中。 Rawdamental 没有针对这种情况实施保护措施，因此收集到了敏感的用户数据。此外，用户 IP 地址也出现在收集到的数据中，这表明数据集也没有完全匿名化。 除 Van Mossel 外，大多数受影响的公司都没有披露用于跟踪和指纹识别目的的第三方 cookies。公司隐私政策的模糊性让用户不清楚自己的个人信息是否会被 Rawdamental 等第三方服务共享。   转自Freebuf，原文链接：https://www.freebuf.com/news/403553.html 封面来源于网络，如有侵权请联系删除

据CyberNews独家研究的消息，无论是Booking、Airbnb、希尔顿还是丽笙，这些市场上Top级别的酒店或旅行类相关应用程序都会不同程度地尝试在未询问的情况下获取用户敏感权限及数据。 CyberNews称，这些应用都会获知用户的位置信息，但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据，某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件，甚至代表用户拨打电话。 CyberNews分析了22款目前被广泛使用的旅行和酒店订阅类软件，这些软件在Google Play 商店上已获得至少百万次的下载量。虽然这些应用Google Play列出了所需权限及相关声明事项，但研究人员对此并不信任，认为这些可通过软件开发人员手动填写。某些应用不仅没有披露收集了用户的敏感数据，而且似乎也没有正当理由收集这些数据。 通过排名发现，Booking、MakeMyTrip 和 HotelTonight 是数据收集方面的终极“冠军”。 旅行类应用涉及数据采集权限数量的排名 研究人员检查了这些应用的内置权限，发现这些权限基本上允许开发人员访问用户设备上的敏感信息，例如位置、联系人、相机、麦克风和短信等。“一个设计良好的应用程序应该只请求对其功能至关重要的权限，因此用户在授予应用程序权限时应始终谨慎行事，并仔细查看它们。不幸的是，我们的调查显示情况并非总是如此，“安全研究员Mantas Kasiliauskis说道。 虽然旅行应用程序主要用于预订酒店和安排接送服务，但有些应用程序显然可以阅读短信，甚至更改设备设置。“请求敏感权限的应用程序，特别是与设备系统文件和配置相关的应用程序是一个危险的信号，可能表明潜在的恶意意图或糟糕的代码设计，”Kasiliauskis表示。 获得用户的确切位置 在用户定位上，所调查的22款的应用都可以访问用户的精确位置，包括纬度和经度坐标，该权限虽然是为了获得用户的精确位置来提供更好的服务，但也会被用来记录用户活动并了解其生活和工作地点。这些数据对于提供个性化广告或进一步销售这些数据的公司来说是一个宝库，如果恶意攻击者访问该数据，用户可能会面临安全威胁。 有权获取位置信息的应用 访问设备相机 在22 款被调查的应用中有14款会访问设备的摄像头进行拍照、录制视频和视频通话，其中有10款未在应用商店中披露与相机相关的数据搜集权限。这些应用可能会在未经用户同意的情况下执行此操作，从而损害用户的隐私和安全。 有权访问相机的应用 获取手机标识符甚至读取短信 一些应用程序具有特别危险的访问权限，能够读取手机状态，使其能够识别用户和设备。 此权限允许提取各种用户标识符，例如国际移动设备标识 （IMEI）、国际移动用户标识 （IMSI）、电话号码、设备序列号和 SIM 卡的唯一标识符。 一个重要的问题是，酒店预订和租赁应用程序没有正当理由向用户请求此类权限，即使不需要这些权限应用也能正常运行。通常，此类权限仅授予系统应用或使用平台密钥签名的应用，因为它们允许访问敏感设备信息。 研究人员还注意到，名为MakeMyTrip的应用可以读取存储在设备上的整条短信，包括有关发送方和接收方以及消息日期的信息。这类应用几乎没有任何理由需要阅读用户的短信，因为其中可能包含用户的敏感信息。 有权读取手机状态的应用 读取设备文件 在研究的22款应用中有14款可以读取和写入外部存储，而 Hopper 只能读取存储在设备中的文件。只有3款应用程序在收集“文件和文档”方面相对透明，其余的应用决定对收集文件相关数据的权利保持沉默。 访问设备存储的权限是敏感的，因为它使应用能够访问、写入、修改或删除外部存储（包括 SD 卡和其他外部媒体）上的数据。对设备存储的访问可能包括用户文件，例如照片、视频、文档和其他机密信息。如果此类数据处理不当或恶意行为者访问它，可能会导致潜在的数据丢失和隐私泄露。 有权读取手机文件的应用 访问麦克风 在经过测试的 22 款应用中，有 3 款（Hotwire、Trip.com 和 MakeMyTrip）有权访问设备的麦克风并录制音频。 Trip.com在应用商店中披露，它收集语音和录音。相比之下，MakeMyTrip 和 Hotwire 没有透露音频相关数据的收集，但访问麦克风的权限内置于这些应用中。如果被恶意利用，“录制音频”权限可能会导致未经授权的监视，捕获敏感对话和个人信息。 读取联系人列表 有3款应用——MakeMyTrip、Hilton Honors 和 Hopper会要求读取用户设备的联系人列表，这对于此类应用而言也是非必要项。 联系信息是敏感的，可能包含有关朋友、家人、同事和熟人的私人数据，包括姓名、电话号码、电子邮件地址和其他联系方式。如果滥用，此权限可能会导致不必要的数据抓取、用户隐私侵犯，甚至数据利用以制定各种欺诈计划。 替代用户进行通话 MakeMyTrip、希尔顿和 Trip.com会在不告知用户的情况下访问用户设备上的消息和通话。具有此权限的应用可以代表用户发送短信和拨打电话，如果被滥用可能会导致隐私泄露和欺诈性垃圾邮件通信。 HotelTonight 可以操作文件系统 Airbnb旗下的住宿预订应用HotelTonight可以请求用户访问设备上的挂载和卸载文件系统。文件系统是操作系统 （OS） 的组成部分。它组织文件和目录，跟踪它们的位置，并维护有关文件的元数据，确保高效的数据检索和存储。该软件的此项权限允许在系统级别操作和修改文件，可能会导致严重的安全风险。 希尔顿可以控制设备上打开的对话框 该应用专为希尔顿酒店和度假村的预订管理和会员计划而设计，有权访问设备的系统级组件。此权限允许应用请求系统关闭任何打开的系统对话框，包括关键用户界面 （UI） 组件，例如通知栏、最近使用的应用屏幕和电源对话框。虽然此权限主要由设备系统使用，但处理不当可能会导致应用强制关闭系统对话框并干扰设备 UI 的正常操作。 目前，被调查的部分应用已给出回应，MakeMyTrip称这些权限是可选的，并且“仅在应用程序的特定流程和功能中”请求；万豪旅享家称位置数据改善了用户在搜索或浏览酒店预订和提供路线时的体验，同时摄像头访问允许用户扫描信用卡并将其添加到他们的应用程序帐户配置文件中，这些权限都非默认设置，需基于用户的许可；Trivago也表示，激活定位功能需经用户同意。 Kayak和Momondo则表示不清楚为何在Google Play上没有充分列出软件的权限信息，并会对此展开调查。 敏感权限滥用可能会对用户造成潜在的有害后果。隐私侵犯是最重要的风险之一，因为具有风险权限的应用程序可以在未经适当同意的情况下访问敏感信息。权限处理不当也会危及数据安全，使用户数据容易受到未经授权的访问、身份盗用或数据泄露。 此外，滥用权限或消耗过多资源的应用可能会对设备性能产生负面影响，从而导致速度变慢、崩溃或电池耗尽。 Cybernews 建用户议在允许访问之前始终查看权限请求，注意那些对于应用的预期功能来说似乎不必要的权限，并可通过导航到“应用程序管理器”或“应用程序”来管理和撤消相应的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/403449.html 封面来源于网络，如有侵权请联系删除

黑莓公司正在调查一起涉及在暗网上出售其网络安全部门 Cylance 数据的事件，但该公司表示，这些数据似乎比较陈旧，并非来自公司系统。 暗网情报员上周报道称，一名威胁分子希望以 75 万美元的价格购买据称属于黑莓公司网络安全部门 Cylance 的客户、合作伙伴和员工的数据。 终端安全公司 Cylance 于2019年被黑莓以14亿美元收购后，成为了黑莓公司旗下一个网安部门。 网络犯罪分子声称掌握了 “34万亿封客户和员工电子邮件”，同时获得了客户电子邮件、个人身份信息、销售前景以及用户和合作伙伴名单。 黑莓公司在与 SecurityWeek 取得联系后表示，公司已经意识到可能发生了数据泄露这一点，并正在对该事件进行调查。目前还没有证据表明黑莓与客户、产品和运营有关的数据和系统遭到了破坏。 黑莓公司表示：“根据对相关数据的初步审查，目前 Cylance 客户没有受到影响，数据也不涉及敏感信息。该数据是从与黑莓无关的第三方平台获取的，似乎是在2015-2018年间，黑莓收购 Cylance 产品组合前被访问的。” “我们将持续密切关注这一情况，并将采取一切必要的预防措施，以维护产品和系统的完整性及客户对我们的信任。” Emsisoft 威胁分析师 Brett Callow 指出，Cylance 的数据可能是在最近针对云数据平台 Snowflake 客户的攻击活动中获得的。 Snowflake 活动影响了许多组织，包括 Ticketmaster、Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等知名企业。 Mandiant 周一报告称，大约有 165 家组织受到了这一攻击活动的影响，攻击者似乎在利用窃取的 Snowflake 客户凭据来攻击他们的云存储。 据 Mandiant 称，这些攻击是由有经济动机的黑客实施的，黑客通过信息窃取恶意软件从 Snowflake 客户的系统中获取的用户凭证。 目前没有证据表明这些攻击涉及 Snowflake 系统或产品中的漏洞，也没有证据表明供应商的生产或企业系统受到了攻击。 黑莓没有具体证实或否认这些数据来自 Snowflake，但他们强调该公司目前不是 Snowflake 的客户。   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至 4chan论坛，文档大小为270GB。 这名匿名用户发帖称，”大约有 5000 个存储库（我认为其中不到 30 个是额外加密的），总共 360 万个文件，未压缩的 tar。“ 虽然BleepingComputer没有下载存档，但匿名者共享的文本文件包含了从该公司的 GitHub 存储库中窃取的 6223 个文件夹的完整列表。文件夹名称显示，被盗信息种类繁多，包括 IT 文档、基础架构工具和源代码，据称还包括病毒 Wordle 游戏。 匿名用户发布的《纽约时报》数据泄露帖子 《纽约时报》在给 BleepingComputer 的一份声明中表示，这些数据泄露的原因源自2024年1月的一个漏洞，导致基于云的第三方代码平台的凭证被曝光。后续的一封电子邮件确认了这个代码平台是 GitHub。该公司表示，其GitHub帐户的泄露并未影响其内部公司系统，也对其运营没有影响。 存档中的“自述文件”指出，攻击者就是使用了暴露的 GitHub 令牌访问公司的存储库并窃取数据。 就在同一周，在4chan上还发生了另外两起数据泄露事件，分别涉及《泰晤士报》和迪士尼。 消息人士独家告诉 BleepingComputer，《企鹅俱乐部》游戏的狂热玩家入侵了迪士尼的Confluence服务器，窃取了 2.5 GB 的内部数据。 目前尚不清楚是否是同一个人进行了《纽约时报》和迪士尼的违规行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/403176.html 封面来源于网络，如有侵权请联系删除

Mandiant 的一份新报告称，约有 165 个组织受到了一场大规模网络攻击活动的影响，该活动利用被盗的客户凭证来攻击 Snowflake 云存储系统。 据 Mandiant 称，一名被追踪为 UNC5537 的以经济利益为目的的黑客组织通过信息窃取恶意软件感染非 Snowflake 所拥有的系统窃取了客户凭证，从而入侵了数百个 Snowflake 实例。 Mandiant 表示：“Mandiant 的调查没有发现任何证据表明对 Snowflake 客户账户的未经授权访问源于对 Snowflake 企业环境的破坏。” “相反，Mandiant 所响应的与此次活动相关的每起事件都被追溯到受损的客户凭证。” 根据 Mandiant 的报告，攻击始于 4 月 14 日，目标是那些没有实施多因素身份验证 (MFA) 保护的账户。Mandiant 表示，此次攻击活动中使用的部分凭证几年前就被盗用了。 攻击活动时间线 Mandiant 表示：“Mandiant 发现，UNC5537 使用的大部分凭证都来自历史信息窃取程序感染，其中一些可以追溯到 2020 年。” Snowflake 活动中使用的凭证是使用 Lumma、Meta、Racoon Stealer、Redline、Risepro 和 Vidar 等恶意软件窃取的。在某些情况下，用于个人电脑的系统也感染了信息窃取程序。 除了缺乏 MFA 和使用未经轮换的长期暴露凭证外，受感染的 Snowflake 实例还缺乏网络允许列表。Mandiant 表示，大约 80% 的帐户先前曾暴露过凭证。 在观察到的攻击中，UNC5537 访问了被盗客户账户并窃取了大量数据，然后利用这些数据直接勒索许多受害组织。攻击者“正在积极尝试在网络犯罪论坛上出售被盗客户数据”。 UNC5537 使用原生基于 Web 的 UI、命令行工具 SnowSQL、攻击者命名为“rapeflake”的实用程序（追踪为 FrostBite，用于侦察）和数据库管理实用程序 DBeaver Ultimate（用于运行查询）访问了 Snowflake 实例。 研究人员发现攻击者会反复执行 SQL 命令进行侦察以及存储和窃取数据。 UNC5537 已针对全球数百个组织发起攻击，并在 Telegram 频道和网络犯罪论坛上使用各种名称进行犯罪活动，该团伙主要由北美个人组成，有一名成员来自土耳其，一些成员与其他已知威胁组织有关联。 Mandiant 补充道：“UNC5537 针对 Snowflake 客户实例的攻击并非源自任何特别新颖或复杂的工具、技术或程序。此次攻击的广泛影响是信息窃取者市场不断增长以及未采取措施进一步保护账户凭证的结果。” Ticketmaster、桑坦德银行、百威英博、好事达、Advance Auto Parts、三菱、尼曼·马库斯、Progressive 和 State Farm 此前均被列为 Snowflake 黑客攻击活动的潜在受害者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SGA4YHa-MrpwgVzuybQNDg 封面来源于网络，如有侵权请联系删除

据称，“Akira ”勒索软件的目标是位于德国的 E-T-A Elektrotechnische Apparate GmbH 公司。该勒索软件团伙声称窃取了 24 千兆字节的敏感资料，包括客户信息、保密协议（NDA）、财务记录和员工个人信息。 为了证实这些说法，该黑客附上了一张包含以上信息的截图。 E-T-A 拥有六家生产工厂，业务遍及全球 60 个国家。公司的产品范围包括众多行业必不可少的电气保护解决方案，同时以生产断路器、电子电路保护器和其他各种电子元件而闻名。 尽管勒索软件组织声称已成功窃取信息，但该公司官方网站似乎仍在正常运行，也没有任何异常迹象。为进一步核实 Akira 对 E-T-A 的网络攻击是否属实，The Cyber Express 团队联系了 E-T-A ，要求其发表官方声明。 但截至发稿时，The Cyber Express 尚未收到该公司的回复。E-T-A 官方也没有确认或否认这一事件，所以勒索软件的说法无法得到证实。 Akira 勒索软件此前跟踪记录 Akira勒索软件团伙对主要集中在欧洲、北美和澳大利亚的中小型企业（SMB）构成了威胁，他们经常非法访问公司的VPN。 Sophos X-Ops 研究表明，Akira 经常使用泄露的登录凭证或是利用 VPN 技术的弱点，如 Cisco ASA SSL VPN 或 Cisco AnyConnect。 2024 年 5 月，Akira 对一家著名的木工店 Western Dovetail 发起攻击。2024 年 4 月，Akira 确认对北美、欧洲和澳大利亚的企业和关键基础设施发了一系列网络攻击。 据 FBI 称，自 2023 年 3 月以来，Akira 已入侵了 250 多家公司，收取了约 4200 万美元的赎金。Akira 最初的攻击目标是 Windows 系统，后来逐步扩大为 Linux 计算机，这一变化引起了国际网络安全机构的担忧。 这些网络攻击事件表明，Akira 的策略是针对各行各业不同规模的企业，通常会造成重大运营中断和经济损失。 从目前的情况来看，关于 Akira 勒索软件组织对 E-T-A 实施网络攻击的指控缺乏事实依据。由于该公司没有做出官方回应，因此这些说法并不能被证实。尽管该公司的网站仍在运行，但数据泄露可能会造成严重后果，危及客户保密性、财务完整性和员工隐私。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文