据暗网行动者报告，马来西亚铁路资产公司（RAC）遭到黑客攻击，该公司是马来西亚交通部下属的重要部门。黑客 “billy100” 入侵该公司后在 BreachForums 平台上发布了相关指控。 RAC 数据泄露事件被公开到黑客论坛上，据称泄露数据包含公司 RAC 有关人事记录。 据 billy100 称，被入侵的数据库中有 481 行文件。黑客提供了 CSV 文件 “users_id ”和 “detail ”的样本作为数据真实的证据，样本包括散列密码、电子邮件地址和用户名。 RAC 数据泄露事件涉嫌暴露敏感信息 来源：暗网 RAC 是一家根据 1991 年《铁路法》成立的联邦法定实体，其任务是支持马来西亚的铁路基础设施建设。自 1992 年成立以来，铁路资产公司在推动马来西亚铁路行业与其他领先国家接轨方面发挥了重要作用。该公司负责管理和发展铁路资产，因此非常重要。 据称，敏感员工数据隐藏在 RAC 数据泄露库中，披露细节包含人事多方面的信息。两个构成被盗数据的主要文件是 users_id.csv（包含 ID、姓名、电子邮件、密码等重要用户信息）和 detail.csv（提供更多深入的员工信息，如个人身份信息、部门信息、工资和出生日期）。 对铁路部门的调查和网络攻击 The Cyber Express 向该组织提出关于 RAC 数据丢失和涉及勒索软件团伙的相关问题。然而，截至本文撰写之时，该组织尚未做出正式回应或声明，因此有关 RAC 数据泄漏的指控仍未得到证实。 铁路作为数字时代的重要基础设施，受到网络威胁的可能性越来越大，一旦受到攻击就会危及日常运营和公共安全。近来针对国际铁路网络的攻击让人们开始关注加强网络安全保护的必要性。过时的系统、不安全的网络和物联网设备的漏洞都会增加被入侵的风险。 铁路运营商需要优先考虑资产可视性，采用强大的身份验证和加密通信网络；同时，为加强安全性，还需储备最新的补丁和升级程序。员工接受全面的网络安全培训也至关重要。要使交通运输在未来继续保持可靠和安全，就必须将网络安全全面纳入铁路运营考虑范围内。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，因大规模销售假货案而登上新闻热搜的中国跨境电商平台Pandabuy遭遇黑客二次勒索，黑客在数据泄露论坛以4万美元的价格出售包含1700万条用户数据的“Pandabuy的完整数据库”。 二次勒索遭遇“资金冻结” 据BleepingComputer报道，Pandabuy声称此前曾为阻止被盗数据泄露支付过一次赎金，但同一黑客本周再次对其进行勒索。Pandabuy是一个帮助全球用户从中国主要电商平台（如天猫、淘宝、京东）购买商品并进行国际配送的一站式跨境电商服务平台。公司仅仅成立2年后就拿到国内绝大部分卖家都羡慕的爆单量和营收，相关数据显示去年Pandabuy营业额就突破了40亿元。 Pandabuy的数据泄露在2024年3月31日首次曝光，当时黑客“Sanggiero”在BreachForums上公布了从Pandabuy窃取的300万条数据，曝光了客户姓名、电话、邮箱、登录IP、住址及订单详情。黑客声称利用Pandabuy API的多个漏洞，成功窃取了这些数据。 这些数据也被提交给了数据泄露通知服务Have I Been Pwned(HIBP)，其中包含135万条邮箱地址。 当时，Pandabuy选择不对外公开声明，仅在Discord频道上含混其词地表示因系统漏洞发生数据泄露。 2024年6月3日，同一黑客（Sanggiero）再次在数据论坛销售Pandabuy的泄露数据，这一次，该黑客表示愿意以4万美元出售Pandabuy的全部数据库。该数据库据称包含1700万条数据，规模远超先前泄露的数据。 尽管黑客未提供额外客户数据的样本，但上传了显示敏感员工信息（如邮箱和密码）的截图（下图）。 黑客二次勒索截图 Pandabuy发言人向BleepingComputer承认，曾向黑客支付了一笔未公开金额的赎金，试图阻止数据泄露，但黑客可能已将数据共享给其他人，公司决定不再与其合作。 “目前，由于资金被冻结，我们无法继续向黑客支付费用，且他泄露的数据与上次一致。我们已确认所有漏洞在第一次泄露事件发生时就已修复。我们也了解到，黑客在与我们达成交易后，私下将我们的数据出售给了其他代理。未来我们无法再与他合作。”该发言人说道。 根据Pandabuy发言人自相矛盾的陈述，专家猜测Pandabuy并未一次性支付所有赎金，而Pandabuy发言人所指的“资金被冻结”，可能与中英警方今年4月初的一次联合执法行动有关。 中国警方在该行动中出动了200余警力和50名私营部门调查员以及当地协警，突击搜查了Pandabuy杭州办公室和多处仓库，拘捕了30多人，查获了数百万件包裹，其中包括数十万双假冒名牌运动鞋。在这次联合执法行动中，英国警方表示将对Pandabuy的英国资产采取行动。 数据泄露的后果 根据目前的公开信息，Pandabuy已经承认在数据泄露事件中支付了（部分）黑客赎金，并确认修复了漏洞，但仍可能面临ICO的调查和处罚。根据《通用数据保护条例》（GDPR），如果跨境电商网站Pandabuy泄露了1700万条（包含大量欧盟用户的）个人数据，不排除其英国总部可能面临严重处罚。GDPR对企业数据泄露事件的处罚分为两级： 一级罚款：最高可达870万英镑，或全球年营业额的2%，以较高者为准。这通常适用于较轻微的违规行为，例如记录保存不当或未及时通知信息专员办公室（ICO）等。 二级罚款：最高可达1750万英镑，或全球年营业额的4%，以较高者为准。这适用于更严重的违规行为，包括违反数据处理的核心原则，未能获得适当的用户同意，或未能实施适当的安全措施。 根据Enforcementtracker的不完全统计，GDPR生效以来，处罚案例数量最多的三种违规类型分别是： 数据处理的法律依据不充分 确保信息安全的技术和组织措施不充分 不遵守一般的数据处理原则 除了违规罚款，Pandabuy还将面临用户数据被竞争对手获取的商业风险和用户起诉的法律风险。 值得注意的是，在第一次数据泄露发生时，部分Pandabuy用户似乎并不在意。有用户在Raddit论坛调侃自己唯一担心的是购买假货的事情败露： 还有用户表示将因安全问题考虑选择其他跨境电商平台，例如SugarGoo、Cssbuy、Superbuy和Hagobuy。 截止发稿，Pandabuy并未在官方发布任何数据泄露相关的用户安全通知。安全专家建议Pandabuy用户认真对待数据泄露问题，尤其是警惕来自冒充Pandabuy的钓鱼邮件，并立即重置Pandabuy的账户密码，防止个人数据进一步泄露。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/bC5i57RDFDl96yzEd7xQDw 封面来源于网络，如有侵权请联系删除

洛杉矶联合学区（LAUSD）官员正在调查黑客声称出售被盗数据库的事件，以确认其真实性。据称，该被盗数据库包含数百万学生和数千名教师的个人信息。 洛杉矶联合学区是美国第二大公立校区，拥有超过 25900 名教师、约 48700 名其他员工，2023-2024 学年在校学生超过 563000 人。 黑客称，黑客论坛上以 1000 美元价格出售的 CSV 文件包含超过 11GB 的数据，数据包括 2600 多万条学生信息、24000 多条教师信息和大约 500 条员工信息。 他们还分享了两个数据样本以作为信息真实性的证据，样本中包含约 1000 份学生记录，其中有社会安全号 (SSN)、学生地址、家长地址、电子邮件地址、联系信息和出生日期。 分析样本的研究人员告诉 BleepingComputer，出售的数据似乎是真实的，但可能是旧数据，因为数据集中不包括最近的日期。然而，该黑客只共享了一小部分被盗数据的样本，因此可能还有尚未共享的新信息。 BleepingComputer 今天早些时候联系了洛杉矶联合学区，试图确认该黑客的说法是否属实。 洛杉矶联合学区公共信息官 Britt Vaughan 告诉 BleepingComputer：“我们正在调查此事，如果有进一步的信息，我们会及时与您联系。” 洛杉矶联合学区被盗数据涉嫌在网上出售 Vice Society 勒索软件攻击 2022 年 9 月的劳动节周末，洛杉矶联合学区也遭到了勒索软件攻击。Vice Society 声称对此次攻击负责，并称他们在加密校区系统之前还窃取了 500GB 的文件。 在洛杉矶校区披露此次攻击事件的当天，联邦调查局、CISA 和 MS-ISAC 发布了一份联合公告，警告 Vice Society 过度针对教育组织。 攻击发生后，洛杉矶校区要求所有员工（包括教师、辅助人员和管理人员）和学生亲自到学区现场重置 @LAUSD.net 帐户凭据，并加快推出多因素身份验证。 袭击发生近一个月后，Vice Society 在其暗网泄露网站上公布了洛杉矶联合学区被盗的数据，执法人员表示其中包括 “对学生的机密心理评估、合同和法律文件、商业记录以及大量数据库条目”。 泄露事件发生前，该学区宣布不会支付勒索软件团伙索要的赎金，因为支付赎金无法保证数据的完全恢复，而且 “公共资金最好用在学生身上”。 目前尚不清楚黑客论坛上出售的数据是否与 Vice Society 窃取的数据有关。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。 微软 Recall 功能是一种人工智能驱动的工具，旨在帮助用户搜索电脑上过去的活动，该工具收集的数据在本地存储和处理。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。 随着这一事件的发酵，微软方面一直在试图淡化用户面临的安全风险。该公司指出，黑客需要物理访问权限才能获取 Recall 工具收集的数据。不过，微软的回应就遭到了”打脸“，多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。 著名网络安全专家 Kevin Beaumont 表示，黑客能够使用恶意软件远程访问运行 Recall 的设备。 当用户登录电脑并运行软件时，一切都会自动解密，静态加密只有在有人到用户家中偷走笔记本电脑时才会有用（黑客犯罪可不是这么干）。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦，目前这些木马仍然可以被轻松修改，以”支持“ Recall。 值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。 演示视频地址：此处 网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具，可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。Hagenah 声称，数据库没有被加密的，全是纯文本。 Hagenah 进一步表示，Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中，截图只是保存在 PC 上的一个文件夹中，可以在下面的路径中查看： C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID} 所有图像都存储在以下子文件夹中 .\ImageStore\ 研究人员 Marc-André Moreau 强调，信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码，这些密码都会被 Recall 工具捕获。 演示视频地址：此处 最后， Kevin Beaumont 在其研究报告中指出，微软方面此时应该立刻召回 Recall ，并在后续的更新中解决安全隐患。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402814.html 封面来源于网络，如有侵权请联系删除

据 BleepingComputer 了解，企鹅俱乐部的粉丝入侵迪士尼 Confluence 服务器试图窃取该游戏信息，最终却获取了 2.5 GB 的公司内部数据。 企鹅俱乐部是一款于 2005 年至 2018 年间推出的多人在线游戏（MMO），玩家可以在虚拟世界中与其他玩家一起玩游戏、开展活动和聊天。该游戏最初由新地平线互动公司（New Horizon Interactive）制作，后来被迪士尼公司收购。 虽然《企鹅俱乐部》和后续版本《企鹅俱乐部岛》接连于 2017 年、2018 年正式下架，但这款游戏仍存在于粉丝和独立开发者运营的私人服务器中。尽管迪斯尼对较为知名的的 “企鹅俱乐部重写版 ”进行法律打击，导致其运营者被捕，但私人服务器中至今仍有成千上万的玩家。 企鹅俱乐部粉丝入侵迪士尼 本周，一位匿名者在 4Chan 留言板上上传了 “企鹅俱乐部内部 PDF ”的链接，并表示“他不再需要需要这些文件”。 该链接指向 415 MB 的归档文件，其中包含 137 个 PDF 文件，内有企鹅俱乐部的旧内部信息，包括电子邮件、设计原理图、文档和角色表。 所有这些数据都是七年前或者更早的，只有游戏迷才会对这些数据感兴趣。 泄露文件中的 SENSEI 角色表 BleepingComputer 后来了解到，企鹅俱乐部的数据只是从迪士尼 Confluence 服务器窃取的数据集中的一小部分，该服务器存储了迪士尼内部使用的各种业务、软件和 IT 项目的文档。 据一位匿名消息人士称，攻击者使用此前暴露的凭据来入侵迪士尼的 Confluence 服务器。这些黑客最初只是在查找企鹅俱乐部的数据，最终却下载了 2.5 GB 公司内部数据，内容涉及迪士尼的企业战略、广告计划、Disney+、内部开发工具、业务项目和内部基础设施。 泄露文件中还包括内部 api 端点和 S3 存储桶等的凭据。窃取数据包括各种计划和项目的文档，以及名为 Helios 和 Communicore 的内部开发人员工具的信息，该信息此前从未公开披露过。 CommuniCore 是一个 “高性能异步消息库，主要用于分布式应用程序”。而 Helios 是一种节目创作和回放工具，该工具允许迪士尼的制作人和作者利用迪士尼乐园中传感器的真实输入，创作互动式非线性 “体验”。 文件中还包含迪士尼开发人员使用的内部网站链接，对于试图攻击迪士尼的黑客来说这些链接可能很有价值。 虽然企鹅俱乐部的数据相当陈旧，但 Discord 上流传的其他数据尤为新颖，其中包括 2024 年的信息。 BleepingComputer 被告知，4Chan 上共享的原始企鹅俱乐部 PDF 是在几周前被盗的。然而，迪士尼公司的数据似乎早在此之前就被下载了，泄露文档中写道：“文档由 Confluence 于 2024 年 6 月 1 日 21:59 生成”。 BleepingComputer 曾多次联系迪士尼，询问有关信息泄露的问题，但至今仍未收到回复。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据安全研究人员报告，云存储公司 Snowflake 发生数据泄露事件，Ticketmaster 和其他多家机构的大量信息被盗。 在上周末提交给美国证券交易委员会的一份文件中，Ticketmaster 母公司 Live Nation Entertainment 证实，有人未经授权访问了 “第三方云数据库环境”，其中主要包含在线票务销售平台的数据。 “2024年5月27日，一名黑客通过暗网出售所谓公司用户数据。我们正在努力降低用户和公司面临的风险，目前正在与执法部门合作。”文件中写道 虽然 Live Nation Entertainment 并未指明对此次漏洞负责的第三方服务提供商，但威胁情报部门已得知该服务商为 Snowflake，即一个云人工智能数据平台，大量公司使用该平台存储、管理和分析大量数据。 5 月 31 日，Snowflake 披露，在威胁分子瞄准只有单因素身份验证的客户账户后，该公司正在调查一起影响少数客户的网络事件。 Snowflake 在其社区论坛上发表声明说：“作为此次活动的一部分，黑客利用了此前购买的或通过信息窃取恶意软件获得的凭证。” 该公司表示，没有发现任何证据表明此次恶意活动是由于其平台存在漏洞或被入侵，亦或 “ Snowflake 在职或离职人员证书被泄露 ”造成的。 然而，该声明确实透露一名前员工的个人凭证被泄露的情况，该凭证并被用于访问不包含敏感数据的演示账户。 “演示帐户没有被连接到 Snowflake 的生产或企业系统。与 Snowflake 的企业和生产系统不同的是，演示账户背后没有 Okta 或多因素身份验证 (MFA)，因此黑客才能成功访问。”该公司说。 在另一篇知识库文章中，该公司警告道 “针对公司客户账户的网络攻击数量变多”，且再次强调是此次数据泄露是凭证填充造成的，而不是漏洞、配置错误或 Snowflake 系统受损。 该公司表示：“在调查过程中，我们已及时通知公司认为可能受到影响的少数客户。” 知识库文章还为发现账户存在可疑活动的组织提供 IoC 和一些建议。 Snowflake 黑客的背后是青少年 上周，一名声称对 Snowflake 活动负责的黑客在与 Hudson Rock 的对话中表示，他们访问了 Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、Santander Bank 和 State Farm 等组织的数据，此外还有 Ticketmaster 这一彩票公司的数据。 Santander Bank 于 5 月中旬披露，该行由第三方供应商托管的数据库遭到未经授权访问，同时声称智利、西班牙和乌拉圭客户的信息及所有在职和离职员工的数据遭到泄露。 总体而言，大约有 400 家组织可能受到 Snowflake 事件的影响，该黑客声称希望 Snowflake 支付 2000 万美元来换取这些数据。 Hudson Rock 在一篇现已删除的帖子中指出，攻击者还声称入侵了 Snowflake 员工的 ServiceNow 账户，并绕过了 Okta 保护措施，同时获得了生成会话令牌的能力，从而得以窃取大量数据。 该黑客向 Hudson Rock 提供了一个 CSV 文件，其中包含在 Snowflake 服务器上运行的 2000 多个客户实例的数据，这些数据包括 2023 年 10 月一名感染信息窃取程序的 Snowflake 员工信息。 “报告显示，在与被入侵的 Snowflake 账户相关的窃取者日志中检测出 500 多个演示环境实例，”SOCRadar 在分析中指出。 与此同时，澳大利亚网络安全中心宣布发现 “一些利用 Snowflake 环境的公司被成功入侵”，并正在跟踪与 Snowflake 客户环境有关威胁活动的增加情况。 尽管 Snowflake 可能声称自己不是数据泄露事件的受害者，但攻击者的说法和该公司声明完全相反，安全研究员 Kevin Beaumont 指出：事实是，该公司一名员工的账户没有得到妥善保护，导致该账户感染了信息窃取程序。 因此，该研究人员表示，虽然 Snowflake 试图将黑客此次攻击的责任归咎于客户，但该公司也要对这一事件负责。 研究人员说：“Snowflake 也落入了陷阱，因为他们既没有在演示环境中使用多因素身份验证，也没有禁用离职者的访问权限。” 据 Beaumont 所说，此次攻击事件背后的黑客是一群 “在 Telegram 上公开活跃了一段时间 ”的青少年，他们依靠信息窃取者而使用客户被盗的凭据访问 Snowflake 数据库。 SOCRadar 指出，该黑客于 5 月 23 日首次出现于暗网论坛上，当时他们使用 “Whitewarlock ”的化名吹嘘 Santander Group 的漏洞，并将窃取的数据标价为200万美元。 “Whitewarlock 在网络安全界的活动和口碑尚不明确，也没有任何已知历史记录。他们的突然出现和具体要求表明，此次攻击大概是一次机会主义攻击，缺乏协调准备。”SOCRadar 指出。 建议 Snowflake 客户禁用不活跃的账户，并确保启用 MFA，同时重置活跃账户的凭据，采用云存储提供商提供的缓解建议。 Ticketmaster 此前已发生数据泄露 据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息，同时还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 相关链接： Ticketmaster 5.6 亿客户数据泄露，疑似被高价出售   消息来源：securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在Have I Been Pwned 数据泄露通知服务中，新增了 3.61 亿个电子邮件地址，这些地址来自密码窃取恶意软件、凭证填充攻击和数据泄露所窃取的凭证，所有用户都可以通过该服务检查自己的账户数据是否被泄露。 网络安全研究人员从大量 Telegram 网络犯罪频道收集该凭证，这些频道通常通过泄露被盗数据来建立声誉，从而吸引更多订阅者。 被窃取的数据通常以两种形式泄露，第一种是以一组用户名和密码的形式（通常通过凭证填充攻击或数据泄露窃取）泄露，第二种是以一组用户名、密码、与之相关的 URL（通过密码读取软件窃取）和原始 Cookie（通过密码读取软件窃取）的形式泄露。 Telegram 上免费共享被盗证书的截图 研究人员与 Have I Been Pwned 背后运营商 Troy Hunt 共享了从 Telegram 频道收集的共 122 GB 的凭证数据。 据 Hunt 称，该数据非常庞大，包含 3.61 亿个独特的电子邮件地址，其中 1.51 亿个地址此前从未在数据泄露通知服务机构中出现过。 Hunt 发布说：“该数据包含 1.7k 个文件，2B 行数据和 3.61 亿个电子邮件地址，其中 1.51 亿个地址从未在 HIBP 中出现过。” “除电子邮件地址外，泄露数据还包括密码和数据相关的网站信息。” 面对如此庞大的数据集，验证所有泄露的证书是否合法是不可能的。 Hunt 表示，他利用网站的密码重置表确认了许多泄露的电子邮件地址与被盗凭证中所列网站是相关联的。但由于登录账户是非法的，所以无法查看密码。 利用网站密码恢复表确认漏洞的截图 无免受影响的网站 由于数据集十分庞大，任何允许登录的网站都会受到这些泄露凭证的影响，包括 BleepingComputer。 上周，此前同一研究人员与 BleepingComputer 分享了一份与 BleepingComputer 论坛相关的信息窃取恶意软件所窃取的证书列表。 信息窃取恶意软件是一种从受感染设备中窃取密码、cookie、浏览器历史记录、加密货币钱包和其他数据的感染软件。 被窃取的数据会被汇编成一个名为 “日志 ”的档案，然后传送回黑客的服务器。这些档案在网络犯罪市场上出售，或是直接与其他黑客共享，亦或用于入侵受害者的其他账户。 这类恶意软件通常通过社交媒体、破解软件、假冒 VPN 产品传播，亦或仅通过黑客入侵的游戏公司支持网站发送的恶意电子邮件传播。 与 BleepingCompute 共享的数据包括会员登录论坛时使用的用户名、密码和 URL，这些数据会保存在他们的浏览器密码管理器中。 部分 BleepingComputer 账户被恶意软件窃取信息的截图 如上图 URL，很多用户访问 BleepingComputer 是因为怀疑自己的电脑被感染了，现在可以确认这一事件属实。 BleepingComputer 目前正在分析这些数据，同时删除了其中重复的部分，以便主动重置受影响会员的密码，并警告用户或许感染了窃取信息的恶意软件。 感染信息窃取恶意软件的用户必须重新设置浏览器密码管理器中保存的账户密码，包括其他网站中使用相同凭据的密码。 然而，被盗凭据通常不会与时间戳共享，因此无法确定泄露的具体时间。受影响的用户必须假设所有凭据都已泄露。 尽管该过程十分繁杂，但用户至少明确了他们的账户和服务在多年来出现异常行为的原因。 BleepingComputer 频繁被告知，即使用户经常更改密码，他们的账户仍然不断被黑客攻击。这些用户不断报告设备或网络出现异常行为，但却从未发现任何恶意软件感染。 用户目前已明确知晓，这些恶意活动的出现很可能是由于此前凭据被盗，黑客滥用凭据进行娱乐或恶意活动。 窃取信息的恶意软件已成为网络安全的一大祸患，黑客利用它进行勒索软件和数据盗窃攻击等大规模攻击。 一些知名攻击是通过信息窃取恶意软件窃取凭据实现的，包括对哥斯达黎加政府、微软、CircleCi 的攻击事件，以及 Orange Spain RIPE 的一个账户故意导致 BGP 配置错误的攻击事件。 近期，黑客声称利用信息窃取恶意软件窃取的受损凭证，从 Snowflake 数据库中窃取了数据。 遗憾的是，由于信息窃取攻击的复杂性较低，此类攻击可以通过各种方式广泛传播，因此没有能够简单解决信息窃取攻击的方案。 最好的防御方法是养成良好的网络安全习惯，包括不打开不可信来源的附件、只从可信来源下载软件、启用 Windows 中的文件扩展名、使用杀毒软件并保持软件更新。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 这些被盗的数据库最初在俄罗斯黑客论坛 Exploit 上出售，据称该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息。 泄露的数据还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 ShinyHunters 表示，的确有买家对这些数据感兴趣，他们认为其中一个买家可能就是 TicketMaster 公司。当被问及数据何时被窃以及如何被窃取时，该黑客表示他们 “对此什么都不能说”。 然而，据称网络安全组织 vx-underground 已与一些入侵 Ticketmaster 的黑客进行了交谈。黑客表示他们可以 “通过托管服务提供商 ”从该公司的 AWS 实例中窃取数据。  Ticketmaster 数据待售的声明截图 诉讼和以往的违规行为 上周，由 30 位总检察长组成的两党联盟和美国司法部决定起诉 Live Nation Entertainment 及其子公司 Ticketmaster，并指控其反垄断行为和垄断现场活动行业的行为违反了《谢尔曼反托拉斯法》。 据 Bloomberg 首次报道，本周已有客户对 Ticketmaster 及其母公司 Live Nation 提出集体诉讼，并指控其涉嫌数据泄露。诉讼对象包括受此次数据泄露事件影响的美国居民。 原告要求获得惩罚性赔偿、实际损失赔偿和律师费，并要求法院下达令 Ticketmaster 支付信用监控服务费用的命令，同时披露事件中暴露的客户数据。 四年前，Ticketmaster 被罚款 1000 万美元，主要原因是该公司利用一名前雇员的凭证非法访问竞争对手 CrowdSurge 的系统，同时收集商业情报，利用这些情报 “扼杀 ”竞争对手的业务。 2018 年，该公司还披露了一起数据泄露事件，攻击者从第三方供应商 Inbenta 的系统中窃取了 Ticketmaster 的登录信息、支付详情以及主要属于英国客户的个人信息（即姓名、地址、电子邮件地址和电话号码），约 5% 的客户群受到了影响。 作为 Live Nation Entertainment 的一部分，Ticketmaster 每年在 30 个国家处理超过 5 亿张门票，控制着美国票务行业近 80% 的份额。 BreachForums 的回归 2024年5月6日，据知道创宇暗网雷达监测显示， 暗网知名黑市论坛BreachForums 再次被 FBI 执法机构控制。该论坛 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 2024年5月28日，数周前被FBI查封的黑客论坛BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 相关资讯链接： 又双叒被控制！著名暗网黑市 BreachForums 再次被美国 FBI 接管 被 FBI 查封仅数周的 BreachForums 重新上线   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

ThreatFabric 的研究人员发现LightSpy间谍软件的 macOS 版本，该版本至少自 2024 年 1 月以来一直在野外活跃。 ThreatFabric 观察到atfm者使用两个公开可用的漏洞（CVE-2018-4233、CVE-2018-4404）来传播 macOS 植入程序。研究人员注意到，CVE-2018-4404 漏洞的一部分可能借用自 Metasploit 框架。 LightSpy 的 macOS 版本支持 10 个插件，可以从MacOS移动设备中窃取私人信息。 LightSpy 是一款模块化间谍软件，在几个月沉寂之后再次出现，新版本支持具有广泛的间谍功能模块化框架。 LightSpy 可以从 Telegram、QQ 和微信等多个流行应用程序中窃取文件，以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据，包括浏览器历史记录、WiFi 连接列表、已安装的应用程序详细信息，甚至是设备摄像头捕获的图像。 该恶意软件还授予攻击者访问设备系统的权限，使他们能够检索用户 KeyChain 数据、设备列表并执行 shell 命令，从而有可以完全控制受害者设备。 研究人员报告称，从 2024 年 1 月 11 日开始，多个包含数字“96382741”的 URL 被上传到 VirusTotal。这些 URL 指向 GitHub 上发布的 HTML 和 JavaScript 文件，这些文件与 CVE-2018-4233 漏洞有关。 该漏洞位于 WebKit 中，影响 macOS 版本 10.13.3 和 11.4 之前的 iOS 版本。研究人员注意到，数字“96382741”以前曾被用作托管 Android 和 iOS 的 LightSpy 恶意软件文件的路径名。 “初始攻击者使用与 iOS 植入物分发相同的方法：触发 Safari 中的 WebKit 漏洞以执行非特权任意代码执行。对于 macOS，攻击者使用 CVE-2018-4233 漏洞，其源代码于 2018 年 8 月 18 日发布。” ThreatFabric 发布的分析报告写道：“由于该漏洞影响 iOS 和 macOS WebKit，因此 iOS 和 macOS 植入物可能已经以相同的方式传播了一段时间。不同之处在于横向本地特权提升，这是针对特定操作系统。” macOS 版本的插件与其他平台的插件不同，反映了目标系统的架构。与移动版本相比，桌面版本的渗透功能较少。 研究人员检查了所有已知的与 LightSpy 相关的主机，除了 103.27.109[.]217 之外，无法确认任何与 macOS 活动相关的主机。在与 LightSpy 相关的其他几个主机上发现了几乎相同的面板。 2024 年 3 月 21 日，该恶意软件管理面板首次出现在 VirusTotal 上，显示为网页背景。 第二天，面板 URL 也在 VirusTotal 上被发现，它与 Android LightSpy 相关联。初步分析显示，面板代码存在一个严重错误：它仅在加载所有脚本后才检查授权，会向未经授权的用户短暂显示经过身份验证的视图。 在窗口的右上角，有一个标有“远程控制平台”的按钮，指向同一控制服务器上的另一个面板。由于灾难性的配置错误，使得研究人员能够访问此面板，任何人都可以通过访问顶级面板来做同样的事情。这个面板包含有关受害者的全面信息，与本报告技术分析部分提供的所有泄露数据完全相关。 可以看到有三组不同的受害者：“202206”、“支持设备”和“default”。最后一组包含在与 C2 通信期间提供无效配置的受害者，我们可以高度肯定地说这些设备是安全研究人员的设备。 通过分析面板中的受害者列表，研究人员得出结论，其中一些受害者本身可能就是攻击者。例如，其中一台设备的浏览器历史记录中充满了指向 HTML 文件的 URL，该文件具有初始感染媒介的 RCE 漏洞。 研究人员确信 LightSpy for macOS 攻击者团伙专注于拦截受害者的通信，例如 Messenger 对话和语音记录。对于 macOS，设计了一个专门用于网络发现的插件，旨在识别靠近受害者的设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QrlpbtUe770pF3oidYU4uw 封面来源于网络，如有侵权请联系删除

“四大”会计师事务所之一的普华永道（PwC）遭遇数据泄露，18900份内部档案被公开，文件大小共222GB。 据知道创宇暗网雷达监测显示， “四大”会计师事务所之一普华永道的18900份内部档案被公开，文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 知道创宇暗网雷达截图 据了解， 普华永道（PwC）是全球四大会计师事务所之一，提供广泛的专业服务，包括审计、税务、咨询和法律服务。该事务所在全球157个国家设有办事处，雇佣了超295000名员工。 2024年3月，一名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，包括普华永道等知名企业的域名遭到劫持。 2023年8月14日，由于普华永道使用的MOVEit软件存在安全漏洞，导致波多黎各自治区人民银行的82217名储户的个人信息被泄露。 相关资讯链接： 多家知名品牌子域名被劫持发送海量诈骗邮件 普华永道踩坑 MOVEit 漏洞，泄露银行 8 万名储户的信息   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达