HackerNews 编译，转载请注明出处： 今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。 Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。 尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。 遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。 Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。 Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。” 1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。 本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。 该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。” 截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软警示，信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境，攻击者借助 Python 等跨平台语言开发恶意程序，并滥用可信平台实现大规模分发。 微软 Defender 防御安全研究团队表示，自 2025 年末起，观测到针对 macOS 的信息窃取攻击活动，攻击者采用 ClickFix 等社会工程学手法，分发磁盘镜像（DMG）安装包，投放 Atomic macOS Stealer（AMOS）、MacSync、DigitStealer 等多个信息窃取恶意软件家族。 研究发现，此类攻击活动采用无文件执行、macOS 原生工具调用、 AppleScript 自动化等技术，助力数据窃取行为实施，窃取的数据包括浏览器登录凭证与会话数据、iCloud 钥匙串信息及开发者密钥等敏感内容。 此类攻击的起点通常是恶意广告（多通过谷歌广告投放），搜索 DynamicLake 工具、人工智能工具的用户会被重定向至搭载 ClickFix 诱导手段的虚假网站，进而被骗安装恶意软件，导致设备感染。 微软表示：“攻击者借助 Python 编写的信息窃取软件，可快速适配攻击场景、复用代码，以极低成本针对异构环境发起攻击，这类恶意软件通常通过钓鱼邮件分发，窃取目标包括登录凭证、会话 Cookie、认证令牌、信用卡信息及加密货币钱包数据。” PXA 窃取器就是典型代表，该软件与越南语区威胁行为者相关联，可窃取登录凭证、金融信息及浏览器数据。微软指出，其已识别出两起 PXA 窃取器攻击活动，分别发生在 2025 年 10 月和 12 月，均以钓鱼邮件作为初始入侵途径。 攻击链条涉及使用注册表启动项或计划任务实现持久化，并利用 Telegram 进行命令与控制通信及数据外传。 此外，观测显示，恶意行为者还将 WhatsApp 等主流即时通讯应用武器化，用于分发 Eternidade Stealer 等恶意软件，进而非法访问受害者金融及加密货币账户。该攻击活动的相关细节已于 2025 年 11 月由 LevelBlue / Trustwave 团队公开披露。 其他窃取程序相关攻击则围绕 Crystal PDF 等虚假 PDF 编辑器展开，通过恶意广告及谷歌广告的搜索引擎优化（SEO）投毒进行分发，进而部署针对 Windows 的窃取程序，可隐蔽收集 Mozilla Firefox 与 Chrome 浏览器的 Cookie、会话数据及凭证缓存。 为应对信息窃取软件带来的威胁，微软建议企业开展用户安全教育，普及恶意广告重定向链路、虚假安装包、ClickFix 式复制粘贴诱导等社会工程学攻击的识别方法。同时建议监测可疑终端活动及 iCloud 钥匙串访问行为，核查网络出站流量中发往新注册或可疑域名的 POST 请求。 微软强调：“设备遭信息窃取软件攻陷后，可能引发数据泄露、内网非法访问、企业邮箱入侵、供应链攻击及勒索软件攻击等一系列严重后果。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某威胁行为者正针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据库所有者索要小额赎金，承诺支付后恢复数据。 该攻击者专挑易得目标下手，即因配置不当导致无限制访问、安全性缺失的数据库。据估计，已有约1,400台暴露的服务器遭入侵，攻击者留下的勒索信索要约500美元（以比特币支付）的赎金。 2021 年之前，此类攻击曾集中爆发，导致数千个数据库被删除，攻击者索要赎金以恢复数据 [1,2]，部分情况下，攻击者仅删除数据库，并未提出金钱诉求。 网络安全公司Flare的研究人员通过渗透测试发现，此类攻击至今仍在持续，只是规模有所缩小。研究人员共发现超过 20.85 万台公网暴露的 MongoDB 服务器。其中，10万台泄露了运维信息，更有3,100台根本无需身份验证即可直接访问。 Flare 核查时发现，无限制访问的 MongoDB 服务器中，近半数（45.6%）已遭入侵，这些数据库被清空，只留下一封勒索信。 Flare 在报告中指出：“威胁行为者要求向指定钱包地址支付比特币（通常为 0.005 枚，当前价值约 500 至 600 美元），并承诺支付后恢复数据”。然而，Flare在报告中明确指出：“但目前无法保证攻击者确实留存了数据，也无法保证受害者支付赎金后，对方会提供可用的解密密钥。” 所有勒索信中仅出现 5 个不同的钱包地址，其中一个地址占比高达约 98%，可见此类攻击由单一威胁行为者主导。 Flare 还指出，部分暴露且防护薄弱的 MongoDB 实例未遭攻击，推测这些实例的所有者可能已向攻击者支付了赎金。 除身份验证措施薄弱外，研究人员还发现，所有公网暴露的 MongoDB 服务器中，近半数（9.5 万台）运行老旧版本，存在已知漏洞（n-day 漏洞）风险。但这些漏洞大多仅能被利用发起拒绝服务攻击，无法实现远程代码执行。 Flare 建议 MongoDB 管理员，非必要不将实例暴露至公网；启用高强度身份验证；部署防火墙规则及 Kubernetes 网络策略，仅允许可信连接访问；避免直接照搬部署指南中的配置。需将 MongoDB 升级至最新版本，并持续监控实例是否存在暴露风险。若发现实例暴露，需立即轮换凭证，并核查日志排查是否存在未授权操作。   消息来源:bleepingcomputer： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构于周四宣布，对该国负责求职者登记、失业救济发放及就业安置帮扶的核心政府机构处以 500 万欧元（约合 600 万美元）罚款，处罚原因为该机构数据安全防护存在重大漏洞。 CNIL在新闻稿中披露，2024年初，黑客利用社会工程学手段成功入侵了法国劳工局（France Travail）的计算机系统。 此次攻击导致攻击者得以接管负责残疾人就业支持与监测的相关组织账户。黑客窃取了长达20年间在该机构登记的所有人员的个人数据，攻击者未获取求职者的健康数据，但窃取了国民保险号码、电子邮箱地址、通信地址及手机号码等信息。 CNIL指出，罚款金额的确定基于法国劳工局“漠视核心安全原则、受影响人员规模、数据处理量及数据敏感程度”。调查发现的安全漏洞包括：身份验证流程不完善、日志核查机制不足无法识别异常行为、数据访问权限过度授予。 监管机构已责令法国劳工局立即落实有效的安全管控措施。 法国劳工局在回应中表示，“我们完全意识到此次事件的严重性，并承认自身在数据保护方面负有责任。”但同时称：“尽管我们不质疑CNIL的决定，但考虑到事件发生后，我们已全力投入网络安全建设及用户数据保护工作，仍对处罚力度表示遗憾。” 消息来源: therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403″禁止访问”错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。 “我们获悉某自称威胁行为者的组织访问了公司持有的部分有限数据，”SoundCloud声明称，”已完成受影响数据的调查，确认未涉及财务数据或密码等敏感信息。泄露数据仅包含电子邮件地址及SoundCloud公开个人资料中已显示的信息。” 尽管SoundCloud未披露事件具体细节，BleepingComputer获悉此次泄露影响平台20%用户（约2800万账户，基于公开用户数据计算）。SoundCloud随后发布的安全公告证实了该媒体信源的信息准确性。 调查发现，勒索组织ShinyHunters是本次攻击的幕后黑手，该组织曾试图勒索SoundCloud。公司1月15日更新确认了该情况，称威胁行为者”提出勒索要求，并通过邮件洪水攻击骚扰用户、员工及合作伙伴”。 虽然SoundCloud尚未公布具体受影响用户数量，但数据泄露通知服务”Have I Been Pwned”周一披露了事件全貌：约2980万账户的电子邮箱、地理位置、姓名、用户名及个人资料统计数据在此次事件中被窃取。 该通知服务说明称：”2025年12月，SoundCloud宣布发现平台存在未授权活动。攻击者借此将约20%用户的公开资料数据与电子邮箱地址进行匹配。受影响数据包含3000万个独立邮箱地址、姓名、用户名、头像、关注者统计信息，部分案例还涉及用户所在国家。攻击者随后试图勒索SoundCloud，并于次月公开泄露数据。” BleepingComputer今日再次就12月事件联系SoundCloud询问细节，尚未获得即时回复。值得关注的是，ShinyHunters上周还宣称对Okta、微软及谷歌单点登录账户的语音钓鱼攻击浪潮负责，此类攻击可能导致企业SaaS平台被入侵进而窃取数据用于勒索。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Crunchbase近日确认发生数据泄露事件。此前，名为ShinyHunters的网络犯罪组织声称从其系统中窃取了超过200万条个人记录。 由于勒索失败，ShinyHunters已在相关网站上公开泄露了一个容量为402 MB的压缩数据包。 Crunchbase表示，此次事件未影响公司正常运营，且安全漏洞现已得到遏制。公司已通报美国联邦当局，并正借助外部专家力量调查此事。目前，Crunchbase正在评估被泄露的数据内容，以确定是否需要依法发布通知。 Crunchbase在给SecurityWeek的声明中称：“Crunchbase检测到一起网络安全事件，有威胁行为者从公司内部网络窃取了某些文件。此事件未造成业务运营中断。我们已控制住事态，系统是安全的。” 声明进一步指出：“在发现事件后，我们立即聘请了网络安全专家协助处理，并联系了联邦执法机构。我们已知悉威胁行为者在网上公开了部分信息。根据事件响应流程，我们正在审查受影响的信息，并将依据相关法律要求决定是否需发布通知。” ShinyHunters团伙最近重启了其数据泄露网站，列出的受害者包括SoundCloud、Betterment以及本次的Crunchbase，前两家公司此前也已承认遭遇数据泄露。 ShinyHunters是一个以牟利为目的的网络犯罪组织，自2020年起持续活跃。它从大型企业窃取海量个人及公司数据，若赎金要求未被满足，便在地下论坛出售或公开泄露这些数据。该组织常利用窃取的凭证、云服务漏洞及社交工程手段实施攻击，并曾宣称对Tokopedia等知名平台及其他高价值目标的大规模数据泄露事件负责。 消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WorldLeaks网络犯罪团伙声称已从这家鞋服巨头的系统中窃取了信息。 在网络犯罪团伙声称从其系统窃取数据后，耐克已展开调查。 1月22日，这家运动鞋服巨头被列为WorldLeaks团伙运营的基于Tor的泄露网站的受害者。网站上的倒计时显示，除非支付赎金，否则被盗数据将于1月24日公开。 网络犯罪分子尚未具体说明他们从耐克窃取了多少数据或何种类型的数据。 耐克向SecurityWeek表示：“我们始终高度重视消费者隐私和数据安全。我们正在调查一起潜在的网络安全事件，并积极评估情况。” WorldLeaks组织于2025年出现，其前身是自2023年底开始活跃的勒索软件团伙”Hunters International”。在转型为WorldLeaks后，这些网络犯罪分子停止使用文件加密恶意软件，完全专注于数据窃取和勒索。 截至发稿时，WorldLeaks网站列出了近120名受害者名单。其中之一是戴尔公司，该公司曾在2025年7月表示，黑客仅窃取了合成的或公开可用的信息。 耐克可能遭入侵的消息传出前不久，服装零售商Under Armour刚刚宣布正在调查一起涉及客户电子邮件地址和其他个人信息的数据泄露事件。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国纽约州 公务员工会的系统被恶意攻击者侵入并潜伏近一个月，数万名会员的个人信息或已遭访问。 该工会已向数千名会员发送通知，告知 2025 年发生的这起数据泄露事件。据泄露事件通知函显示，攻击者在2025 年 5 月 3 日至 5 月 31 日期间，持续在工会系统内活动。 纽约州公务员工会是代表该州州及地方政府雇员利益的劳工组织，目前拥有约 30 万名会员。而该工会提交给缅因州总检察长办公室的信息显示，此次数据泄露导致超过 4.7 万名人员的个人信息外泄。 通知函指出，纽约州公务员工会于 2025 年 5 月下旬发现系统存在未授权访问行为，并立即启动调查。在调查期间，工会采取了下线相关系统、重置密码、部署高级安全检测软件等一系列措施。 该工会解释称：“经核查，我们确认在此期间，一份包含你个人信息的文件被未授权人员获取。不过，目前的调查尚未发现任何与本次事件相关的、利用这些信息实施欺诈或身份盗用的证据。” 调查结果显示，攻击者可能获取了工会会员的姓名及社会保险号码。这些外泄的信息可能会被恶意攻击者用于身份盗用犯罪。 理论上，攻击者可利用这些信息，以受害者的名义开设虚假信贷账户、提交纳税申报单、申领各类福利补贴。最令人担忧的是，社会保险号码具有终身唯一性，无法更改，这会给相关受害者带来长期的网络安全风险。 工会在通知中表示：“我们已与顶尖的网络安全及隐私保护机构合作，协助开展调查与应急处置工作。在确认系统存在未授权活动后，我们立即着手分析涉事数据，以确定潜在受影响人员的身份，并及时向他们发出通知。” 官方建议受影响人员保持警惕，定期查看信用报告、核对账户账单明细，密切留意任何可疑活动。个人可通过多种方式防范身份盗用风险，Cybernews 团队已在此处列出了多项防护措施。 纽约州公务员工会是美国规模较大的劳工组织之一，同时也是美国州、县、市雇员联合会的最大成员单位。该联合会是美国最大的公共部门雇员工会，而纽约州公务员工会的会员人数约占其总人数的四分之一。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 行车记录仪已成为全球驾驶员的必备设备，在发生交通事故或道路纠纷时，它能充当可靠的证据留存工具。 但新加坡网络安全研究团队在2025年安全分析师峰会上公布的研究结果显示，攻击者可绕过设备的身份验证机制，获取其中存储的高清视频片段、音频记录以及精准的GPS数据。 研究详情 此次研究以热门品牌Thinkware的行车记录仪为切入点，共对来自约15个品牌的24款行车记录仪展开了检测。 研究发现，多数行车记录仪即便未搭载蜂窝网络通信模块，也配置了内置Wi-Fi。用户可通过手机应用实现设备与手机的配对。 但这种联网特性恰好留下了较大的攻击空间，网络不法分子可借此远程下载设备中存储的数据。 卡巴斯基实验室的安全研究人员还指出，多数型号的行车记录仪采用硬编码默认密码，且硬件架构高度相似，这一缺陷使其极易成为黑客大规模攻击的目标。 一旦成功接入行车记录仪，攻击者便能获取其搭载的 ARM处理器的访问权限。该处理器运行着精简版Linux系统。这一突破为攻击者打开了方便之门，使其得以运用多种已验证有效的攻击手段 —— 这类手段此前在物联网设备攻击中极为常见。 身份验证绕过手段 研究人员发现了攻击者绕过厂商身份验证的多种方式，具体如下： 直接文件访问：黑客可直接发起视频下载请求，无需验证密码。因为设备的网络服务器仅在主入口处核验用户身份凭证； 媒体访问控制地址伪造：攻击者可拦截并复制行车记录仪主人的手机设备标识； 重放攻击：先录制设备与手机间正常的无线网络通信数据，待后续时机成熟时再利用这些数据实施攻击。 蠕虫式传播攻击风险 最值得警惕的是，研究人员测试得出这类攻击具备蠕虫式传播能力。 他们编写的恶意代码可在已被入侵的行车记录仪上直接运行，当被劫持设备的车辆与周边车辆以相近车速行驶时，受感染的行车记录仪会自动攻击附近车辆上的行车记录仪。 在城市环境中，一个能尝试多种密码组合与攻击方式的恶意程序，大约可成功入侵四分之一的行车记录仪。 攻击者获取这些设备中的数据后，能实现对车辆行驶轨迹的全程追踪、车内对话监听以及乘车人员身份识别。 通过提取全球定位系统的元数据、识别道路标识上的文字信息，并借助 OpenAI 模型转写音频内容，攻击者可生成详尽的行程报告。 再结合对用户行为模式的分析，就能精准锁定受害者的真实身份，彻底破解其匿名保护状态。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文