据SecurityWeek消息，著名安全厂商Avast 被美国联邦贸易委员会 (FTC) 指控通过其浏览器扩展和防病毒软件收集消费者网络浏览数据，并在没有充分通知和未经消费者同意的情况下出售这些数据。 FTC计划对 Avast 处以 1650 万美元的罚款，并责令停止销售或许可任何用于广告目的的网络浏览数据。 FTC还指控这家捷克公司欺骗用户，声称该软件将通过阻止第三方跟踪来保护消费者的隐私，但未能充分告知消费者它将出售其详细的、可重新识别的浏览数据。 据称，Avast 通过其子公司 Jumpshot 将这些数据出售给 100 多个第三方。 FTC 表示，至少从 2014 年开始，Avast收集和转售的浏览数据包括有关用户网络搜索和访问网页的信息，其中可揭示消费者的宗教信仰、健康问题、政治倾向、位置、财务状况等较为敏感的内容。 2015年，Avast专门设立了用于数据营销的子公司 Jumpshot，该公司被指通过测量来自 150 多个网站（包括亚马逊、谷歌、Netflix 和沃尔玛）的数千个类别的搜索、点击和购买模式来分析消费者的在线习惯，并在用户不知情的情况下出售给第三方。2020年， Jumpshot因深陷数据隐私丑闻被Avast关闭。 Avast 声称在将数据传输给客户之前使用特殊工具删除了识别信息，但该监管机构表示，该公司未能充分匿名化通过各种产品以非汇总形式出售的消费者浏览信息。 目前，Avast 已就 FTC 拟议命令发表以下声明： Avast 已与 FTC 达成和解，以解决对 Avast 过去向其 Jumpshot 子公司提供客户数据的调查，该子公司已于 2020 年 1 月自愿关闭。我们致力于保护和增强人们的数字生活的使命。虽然我们不同意联邦贸易委员会的指控和对事实的描述，但我们很高兴解决此事，并期待继续为全球数百万客户提供服务。”   转自Freebuf，原文链接：https://www.freebuf.com/news/392370.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国医疗保健技术巨头 Change Healthcare 遭网络攻击，导致大范围的网络中断。 该事件最初于美国东部时间 2 月 21 日被披露，该公司宣布其部分应用程序不可用。在后续的更新中提出，公司正在遭遇企业范围内的连接问题，影响了牙科、药房、病历、临床、注册、收入和支付服务领域的100多个应用程序。公司表示正在解决与网络安全相关的中断，预计至少持续一整天。并透露，此次中断主要是由外部威胁造成，目前已断开系统连接以控制事件。 虽然 Change Healthcare 没有说明它是哪种类型的网络攻击的受害者，但鉴于对此类攻击的典型响应是断开受影响的系统与网络的连接，因此可能涉及勒索软件。 2022年，Change Healthcare与UnitedHealth Group旗下子公司Optum合并，创建了美国最大的医疗保健技术公司之一。该组织为全国各地的医疗保健提供者和付款人处理付款流程。 该公司可以访问大约三分之一的美国患者的医疗记录，每年处理数十亿笔医疗保健交易，中断对医疗保健系统产生了重大影响，一些药房无法处理处方。 “由于北美最大的处方处理机在全国范围内停电，目前无法在四个地点处理处方。尽管仍能接受处方，但无法通过保险处理。”Scheurer Health宣布。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

有研究指出，美国数据泄露通知制度未对网络安全产生显著影响，数据泄露事件依旧频发；研究提出了多种改进方案，如对规模以上公司进行网络安全评分、实施强制网络安全基线、改进法律问责制度等。 有消息称，随着科技的不断发展，网络攻击也在持续增加，导致4亿用户的个人数据存在被窃取的潜在风险。作为应对，美国50个州政府相继推出了数据泄露通知法（BNLs），要求公司在数据泄露时通知消费者。 近日，美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M. Vaaler在《法律与经济评论》期刊上发表论文指出，数据泄露通知法对整体安全保护几乎没有产生任何显著影响。 研究人员使用了隐私权利清理中心（简称PRC）统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计，也称为“双重差分”估计法。 研究旨在评估从2005年到2019年间，美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会（FTC）消费者哨兵网络数据手册的数据作为替代数据，剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。 研究结果显示，没有证据表明数据泄露事件有所减少，或者泄露后数据的长期滥用有所减少。 Greenwood指出：“统计结果非常不显著，我们基本可以推定，因变量的影响是随机的。”这表明，数据泄露通知法可能并未实现预期目标，未能减少数据泄露数量。 Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资，避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”，这种激励的效果被严重削弱。 他说，为了激励公司采取切实行动，“必须提供经济回报，或对未采取行动者施加经济处罚。” 改进建议 Greenwood和Vaaler提出了几种可能方案，以替代或补充数据泄露通知法。其中一项方案是，由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分，以便人们比较它们的网络安全状况。 Greenwood补充道：“还可以通过联邦立法规定最低安全协议，例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。” 另一种可能的方案是改变当前的法律责任制度。目前，索赔人实质性损害的定损标准过高，这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到，个人因网络安全漏洞而花费的时间可以被视为损害，他们可以寻求赔偿。但是，证明实质性损害的标准仍然相当严苛。” Greenwood总结道：“就消费者保护而言，未来显然是不确定的。但我们唯一确定的是，目前的保护制度只对网络犯罪分子有利。”   转自安全内参，原文链接：https://www.secrss.com/articles/63805 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Cactus勒索软件团伙声称他们在上个月成功入侵了施耐德电气的网络，并窃取了约1.5TB的数据。 据称，他们于1月17日获取了施耐德电气可持续发展业务部门的访问权限。 近期，暗网上公布了25MB 的被盗数据，其中包括几名美国公民护照和保密协议文件的扫描件，作为黑客所声称的证据。该团伙目前正在勒索该公司，并威胁称，如果不支付赎金，就会泄露所有被盗的数据。 鉴于此，推测从其受损系统中窃取的数据可能涵盖了客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。 目前尚不清楚具体被盗的数据内容，但施耐德电气服务众多知名公司，包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等，在全球拥有超过 150,000 名员工。2013年收入为285亿美元。此前曾遭受Clop勒索软件MOVEit数据盗窃攻击，影响了2700多个组织。 Cactus 泄露网站信息截图 Cactus勒索软件是于2023年3月出现，具有双重勒索攻击特征。其运营商利用购买的凭据、与各种恶意软件分发者的合作、网络钓鱼攻击或利用安全漏洞来渗透企业网络。 一旦获得对目标网络的访问权限，他们会在受感染的网络中横向移动，同时窃取敏感数据以用作赎金谈判的筹码。 自出现以来，Cactus勒索软件已将100多家公司添加到其数据泄露站点。威胁行为者称将要在网上泄露部分数据，同时仍在谈判赎金。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，乌克兰警方逮捕了一名 31 岁的黑客，罪名是其非法获取美国和加拿大用户的银行账户信息并在暗网上出售。 警方公告中指出，该嫌疑人利用其管理的网站以“免费资源”的形式，向用户提供可免费下载软件的服务（带有各种木马软件），分发的软件既适用于台式机，也适用于手机（安卓）操作系统。值得一提的是，该嫌疑人甚至互联网上打起了广告，以最大程度上”推广 “所控制的网络资源”。 一旦有受害者“中招”，下载了带有木马的软件，有效载荷就会立刻感染受害者的网络设备，并将敏感数据窃取给嫌疑人。随后，该嫌疑人会立刻利用数据信息入侵了受害者的谷歌账户和网上银行。不仅如此，该嫌疑人还通过暗网将被入侵账户的访问权出售给其他网络犯罪分子。 乌克兰当局表示，该嫌疑人自 2017 年开始活跃于互联网，并于 2021 年“转向”网络钓鱼，初步细节证实，该名网络罪犯从其非法活动中至少获得了 9.2 万美元。此外，嫌疑人疑似有同伙帮助其开展窃密活动，这些犯罪分子也都开设了暗网账户。 2024 年 2 月 14 日，警方在嫌疑人家中将其逮捕，并搜查除了各种设备，其中包括一辆价值约 6.5 万美元的豪华奔驰 SUV。 从警方披露的信息来看，该名嫌疑人的罪名涉及违反《乌克兰刑法典》第 209 条第 2 部分（对通过犯罪手段获得的财产进行洗钱）、第 361 条第 2 部分（未经授权干扰信息系统、电子通信网络的运行）和第 361-1 条第 1 部分（为非法使用、分发或销售有害软件或技术手段以及分发或销售这些软件或技术手段而制作）。鉴于其非法活动带来的影响，该嫌疑人可能面临长达 8 年的监禁并被没收所有财产。 最后，网络安全专家强调，为降低搜索特定软件工具时感染恶意软件的风险，用户应谨慎对待谷歌搜索的推广结果，并核实加载的网站是否为官方供应商的官方网站。此外，用户尽量使用广告拦截器，以保护在线活动免受恶意广告威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/391984.html 封面来源于网络，如有侵权请联系删除

领先的金融和保险公司之一保德信金融集团（Prudential Financial）成为网络攻击的受害者，在此期间该公司员工和承包商的数据被泄露。 有关安全漏洞的信息 已在向美国证券交易委员会 ( SEC ) 提交的8-K 表格中公开，其中指出黑客攻击发生于 2 月 4 日，该公司于 2 月 5 日阻止了黑客访问受感染的系统。 Prudential 表示，网络犯罪分子能够访问某些 IT 系统的管理和用户数据，以及一小部分员工和承包商的帐户。 该公司已向执法机构报告了这一事件，并通知了所有相关监管机构。调查正在进行中，以评估该事件的全面范围和影响。目前，保德信没有证据表明犯罪分子已访问客户或客户信息。保德信金融表示，该事件并未对公司运营产生重大影响，也不会对其财务状况或经营业绩产生影响。 保德信金融集团管理着约 1.4 万亿美元的资产，为美国、亚洲、欧洲和拉丁美洲超过 5000 万客户提供保险、退休计划以及金融和投资管理服务。该公司报告 2023 年收入超过 500 亿美元，在全球拥有 40,000 名员工。   转自安全客，原文链接：https://www.anquanke.com/post/id/293237 封面来源于网络，如有侵权请联系删除

德国电池制造商 VARTA AG 面临 网络攻击，迫使该公司五个工厂暂时停止生产。 由于部分IT基础设施遭到攻击，该公司不得不停止运行IT系统并断开与互联网的连接，以确保安全。目前尚不清楚该事件造成的总体损失有多大。尽管该事件具有勒索软件攻击的所有特征，但目前尚不清楚这是否是发生的攻击类型，也没有主要组织声称对此事件负责。 为了应对此次攻击，该公司启动了应急计划，成立了一个由网络安全专家和计算机取证专家组成的工作组，以帮助恢复系统。 VARTA 的首要任务是确保数据完整性，并决定主动关闭系统。 网络攻击消息公布后，五家工厂的生产业务关闭，且没有明确的恢复正常运营的时间表，导致 VARTA 股价下跌 4.75%。 VARTA 为汽车、消费和工业市场生产电池，由 Energizer Holdings 部分拥有，拥有超过 136 年的研发历史，其产品在全球销售。公司年收入超过8.75亿美元。   转自安全客，原文链接：https://www.anquanke.com/post/id/293242 封面来源于网络，如有侵权请联系删除

近日，Fortinet旗下FortiGuard实验室的威胁研究小组发现了一种新型安卓恶意软件投放器，负责传递最终有效载荷。由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk”，英语译为TicTacToe，因此被命名为TicTacToe Dropper。目前研究人员发现TicTacToe Dropper在Windows设备上投放各种恶意软件，其中包括著名的包括AgentTesla和LokiBot。 这些投放器在加载和初始执行期间对最终有效载荷进行了混淆，包括Leonem、AgentTesla、SnakeLogger、LokiBot、Remcos、RemLoader、Sabsik、Taskun、Androm和Upatre。 根据FortiGuard的说法，井字棋投放器在过去12个月中分发了多个最终阶段的远程访问工具（RATs），而且最终有效载荷具有几个共同特征，包括多阶段分层有效载荷、.NET 可执行文件/库、使用SmartAssembly软件的有效载荷混淆、DLL文件嵌套以及反射加载。 在这次活动中，恶意软件执行文件通常通过.iso文件传递，这是一种经常被用来避免被杀毒软件检测的技术，也是一种绕过网络标记的技术。可执行文件包含多个DLL文件层，这些文件层在运行时被提取并直接加载到内存中。 TicTacToe Dropper针对Windows系统 2024年2月，Amey Gat和Mark Robson在FortiGuard博客中指出，这种中等严重性级别的加载器主要影响Microsoft Windows平台，可能导致凭证泄露并使进一步的恶意活动成为可能。 2023年初的样本包含了“TicTacToe ”字符串，而后来的活动使用了不同的字符串和不同的最终阶段有效载荷。这表明该工具在不断发展，开发者试图避开基于字符串的分析。 第一个样本是一个名为‘ALco.exe’的32位可执行文件，它提取并加载了一个名为‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。该文件使用了DeepSea版本4.1进行了混淆，导致函数名称和代码流难以阅读。 使用de4dot工具 de4dot工具是一个开源（GPLv3）的.NET反混淆和解包器，在攻击中使用，成功绕过了某些DeepSea混淆技术，导致Hadval.dll文件的大部分被反混淆。 这个文件负责提取一个gzip blob，在解压后，显示出另一个32位PE DLL文件和另一个.NET库。第三阶段的有效载荷，内部命名为‘cruiser.dll’，受到SmartAssembly软件的保护。 cruiser.dll文件包含一个名为‘Munoz’的类，它在临时文件夹中创建了可执行文件的副本。第三阶段的代码从位图对象‘dZAu’中提取、加载并执行第四阶段的有效载荷。另一个DLL文件，‘Farinell2.dll’，使用了自定义混淆器进行混淆。 AgentTesla恶意软件 之前分析了另一个TicTacToe 投放器样本，它投放了众所周知的RAT（远程管理工具）AgentTesla。这个32位的.NET可执行文件使用了相同的技术来加载存储在文件资源元素中的代码。 第二阶段的有效载荷内部名为‘Pendulum.dll’，第三阶段的有效载荷名为‘cruiser.dll’。第三阶段的有效载荷从位图对象‘faLa’中提取了第四阶段的有效载荷，最终的有效载荷是AgentTesla。 为了缓解威胁，研究人员认为基于哈希的检测对已知的活动是有效的。然而，鉴于这种恶意软件的动态本质，对于新的活动需要基于行为的端点安全工具。像FortiEDR这样的EDR技术可以有效检测异常行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/391906.html 封面来源于网络，如有侵权请联系删除

威胁情报公司 Group-IB 报告称，2023 年 11 月至 12 月期间，一名黑客成功从至少 65 个网站窃取了超过 200 万个电子邮件地址和其他个人信息。 该黑客组织主要依靠 SQL 注入攻击，被追踪为ResumeLooters，自 2023 年初以来一直活跃，在中文黑客主题 Telegram 群组中出售窃取的信息。 观察到的攻击类似于GambleForce发起的攻击，GambleForce 是一个依靠 SQL 注入来危害亚太地区赌博和政府网站的黑客。 与 GambleForce 一样，ResumeLooters 在 SQL 注入攻击中也使用了各种开源工具和渗透测试框架。 然而，主要区别在于 ResumeLooters 还使用注入合法求职网站的 XSS 脚本，旨在显示网络钓鱼表单并获取管理凭据。这些脚本在至少四个网站和一些具有管理访问权限的设备上执行。 在一个例子中，该组织在招聘网站上创建了一份虚假的雇主资料，并使用该资料中的一个字段注入了 XSS 脚本。在另一个例子中，XSS 代码被包含在伪造的简历中。 通过注入恶意 SQL 查询，攻击者能够检索包含近 220 万行的数据库，其中超过 50 万行代表来自就业网站的用户数据。 Group-IB 表示：“ResumeLooters 已被证实窃取了多个数据库，其中包含 2,079,027 封独特的电子邮件和其他记录，例如姓名、电话号码、出生日期以及有关求职者的经历和就业历史的信息。” Group-IB 指出，由于安全性差和数据库管理实践不足，这些攻击表明使用公开可用的工具可以造成多大的损害，并指出公司可以轻松避免成为 GambleForce 和 ResumeLooters 等组织的受害者。 该网络安全公司指出：“除了潜在暴露求职者数据（包括电话号码、电子邮件地址和其他个人信息）之外，各种 APT 组织还可以利用这些信息来进一步针对特定个人。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293180 封面来源于网络，如有侵权请联系删除

据The Record网站消息，谷歌将支付 3.5 亿美元来和解一场旷日持久的集体诉讼，该诉讼针对的是其已不复存在的社交平台Google Plus产生的数据泄露事故。 这一诉讼最早可以追溯到 2018 年 10 月，当时《华尔街日报》曾报道称，谷歌发现Google Plus用户的个人数据已被泄露多年，但公司内部官员建议不要向股东或公众通报这一问题，因而对这一事件长期保持沉默。报道发表三天后，针对谷歌的诉讼便开始出现。 《华尔街日报》 称，暴露 Google Plus 用户数据的软件漏洞问题始于 2015 年，但直到 2018 年 3 月才被发现或修复，涉及的用户数据包括姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业信息等。 根据2月5日公布的和解条款，谷歌否认了用户因这一泄露事件所造成的损失，并表示虽然对所指控的索赔有充分的辩护，但为了避免代价高昂且的长期持续的诉讼，最终同意达成和解。和解条款还称，谷歌否认就此事误导投资者。 谷歌称大多数零日漏洞背后都是间谍软件供应商 谷歌威胁分析小组 (TAG) 在 2023 年发现的用于监视全球设备的零日漏洞中，80% 都是商业间谍软件供应商 (CSV) 所为。 谷歌发现，这些间谍软件供应商在寻找零日漏洞方面变得非常积极，在 2019 年至 2023 年间开发了至少 33 个针对未知漏洞的漏洞利用程序，他们会根据客户（包括政府和私人组织）的指示，利用零日漏洞来攻击特定目标。 在谷歌披露的报告附录中，列出了11个CSV使用的74个零日漏洞的列表。其中，大多数是影响谷歌 Chrome (24) 和 Android (20) 的零日漏洞，其次是 Apple iOS (16) 和 Windows (6)。   转自Freebuf，原文链接：https://www.freebuf.com/news/391752.html 封面来源于网络，如有侵权请联系删除