日本游戏开发商 Ateam 称，自 2017 年 3 月以来，公司错误地将Google Drive 云存储账户设置为“任何有链接的人都可以查看”，这个简单的配置错误或已导致近 100 万人在6年多的时间里面临敏感信息泄露的风险。 这家日本公司是一家手机游戏公司，旗下拥有 Ateam Entertainment，该公司在 Google Play 上拥有多款游戏，如 War of Legions、Dark Summoner、Hatsune Miku – Tap Wonder，以及 Memory Clear |Game Boost Master 和 Good Night’s Sleep Alarm。 2023年12月初，Ateam 通知其客户、员工和业务合作伙伴，它错误地将 Google Drive 云存储账户设置为“任何有链接的人都可以查看”，而这个错误早在2017 年 3 月就发生了。 这个配置不安全的 Google Drive账户中包含了 1369 个文件，包括 Ateam 客户、Ateam 业务合作伙伴、前任和现任员工，甚至实习生和申请公司职位的人员的个人信息。 Ateam 已确认 935779 人的数据被泄露，其中 98.9% 是客户。具体到Ateam Entertainment，已经有735710人被曝光。 曝露个体分析（Ateam） 此错误配置曝露的数据因每个人与公司的关系类型而异，可能包括以下内容： 全名 电子邮件地址 电话号码 客户管理号码 终端（设备）标识号 该公司表示，目前没有找到黑客窃取曝露信息的具体证据，但人们还是应该对未经请求的可疑通信保持警惕。 将 Google 云盘设置为“任何知道链接的人都可以查看”，则只有具有确切网址的人才能查看该云盘，该网址通常保留给处理非敏感数据的工作人员。如果员工或其他拥有该链接的人失误公开了它，它可能会被搜索引擎索引并被广泛访问。 虽然任何人都不太可能自行发现曝露的 Google 云端硬盘网址，但此通知表明，公司需要妥善保护其云服务，以防止数据被错误地曝露。 对于黑客和研究人员来说，查找暴露的云服务（例如数据库和存储桶）并下载其中包含的数据是很常见的。 虽然研究人员通常会负责任地披露暴露的数据，但如果黑客发现它，可能会导致更大的问题，因为他们使用它来勒索公司或将其出售给其他黑客以用于他们自己的攻击。 2017 年，安全研究员 Chris Vickery 发现配置错误的 Amazon S3 存储桶暴露了包含全球用户发布的 18 亿条社交和论坛帖子的数据库。 十天后，同一位研究人员发现了另一个配置错误的 S3 存储桶，该存储桶暴露了似乎是来自 INSCOM 的机密信息。 虽然这些违规行为被负责任地披露，但其他云服务错误配置导致数据被泄露或在黑客论坛上出售。 配置错误的 Amazon S3 存储桶已成为一个很大的问题，以至于研究人员已经发布了扫描暴露存储桶的工具。 美国网络安全和基础设施安全局 （CISA） 还为公司发布了关于如何正确保护云服务的指南。 转自E安全，原文链接：https://mp.weixin.qq.com/s/shEDU1po89hlceIT4zWcCw 封面来源于网络，如有侵权请联系删除

仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市 Coop ，并威胁要公开超过2万个条目的个人信息。 据了解，Coop 在瑞典大约有800家商店，这些商店分属于29个消费者协会，拥有350万个会员，Coop 所有在业务中创造的盈余都会给会员分成，或者再投资于业务中，循环往复，以此获得更多收益。 在2021年7月，Coop 首次披露因受到针对Kaseya的供应链勒索软件攻击影响，关闭了大约500家商店。尽管Coop并没有使用Kaseya软件，但由于Coop支付系统的供应商 Visma 受到影响， Coop 也受到了牵连。 自2023年3月以来，仙人掌勒索软件团伙一直保持活跃状态，但由于黑客使用的是双重敲诈模式，该组织的数据泄露网站暂时还没有被发现。 攻击手段 Kroll的研究人员报告称，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”。 仙人掌勒索软件使用SoftPerfect网络扫描器（netscan）以及PowerShell命令在网络上查找其他目标并列举端点；结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户；紧接着依靠多个合法工具（例如Splashtop、AnyDesk、SuperOps RMM）来实现远程访问，并在攻击后期使用Cobalt Strike和代理工具Chisel。 一旦恶意软件在某台机器上提升了权限，黑客会使用批处理脚本卸载该机器上安装的流行杀毒软件，以此掩盖他们的“踪迹”。 他们使用的是Rclone工具进行数据窃取，并使用了一个名为 TotalExec 的 PowerShell 脚本，这个脚本过去曾被 BlackBasta 勒索软件操作者用于自动化部署加密过程。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388440.html 封面来源于网络，如有侵权请联系删除

INC RANSOM 勒索软件组织声称对入侵施乐公司的行为负责，并威胁要公布被盗的数据。 INC RANSOM 组织将施乐公司添加到其 Tor 泄露站点的受害者名单中。 施乐公司在全球范围内提供文档管理解决方案。该公司的文档技术部门提供桌面单色和彩色打印机、多功能打印机、复印机、数字印刷机和轻型生产设备；以及用于图形通信市场和大型企业的生产打印和出版系统。   勒索软件组织发布了八份文件的图像，包括电子邮件和发票，作为黑客攻击的证据。 目前尚不清楚INC RANSOM 组织从该公司窃取了多少数据。 INC RANSOM 自 2023 年以来一直很活跃，声称对迄今为止针对40 多个组织的攻击行为负责。 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

俄克拉荷马州 Integris Health 的患者收到勒索电子邮件，称他们的数据在医疗保健网络的网络攻击中被盗，如果他们不支付赎金，这些数据将被出售给其他网络犯罪分子。 Integris Health 是美国俄克拉荷马州最大的非营利医疗保健网络，在全州各地设有医院、诊所和紧急护理中心。 Integris Health 证实，该公司在 11 月份的“某些系统”遭到黑客攻击，导致患者数据被盗。 在得知可疑活动后，INTEGRIS Health 立即采取措施保护系统安全，并开始调查网络攻击的性质和范围。 在 12 月 24 日发送给患者的电子邮件中，黑客声称他们在对 Integris Health 的网络攻击中窃取了超过 200 万患者的个人数据。 据称，被盗数据包括社会安全号码、出生日期、地址、电话号码、保险信息和雇主信息。 Integris Health 患者报告称，这些电子邮件包含有效的个人信息，证实患者数据在攻击中被盗。 “我们已经联系了 Integris Health，但他们拒绝解决这个问题，”发给患者的电子邮件称。“在我们于 2024 年 1 月 5 日将整个数据库出售给数据经纪人之前，您有机会从我们的数据库中删除您的个人数据。” 这些电子邮件包含一个 Tor 网站 的链接，该网站列出了约 4,674,000 人的被盗数据，包括他们的姓名、社会安全号码、出生日期和医院就诊信息。 数据被盗的暗网网站 该网站包含 2023 年 10月 19 日至 12 月 24 日期间添加的数据。该网站要求访问者支付 50 美元才能删除数据记录，或支付 3 美元才能查看数据。 Integris Health 知道发送给患者的电子邮件，并已更新其安全通知 ，警告收件人不要回复、联系发件人或点击电子邮件中的链接。 虽然尚不清楚 Integris Health 攻击的幕后黑手是谁，但在Hunters International 勒索软件组织侵入 Fred Hutchinson 癌症中心的系统后，类似的电子邮件也发送给了该医院的患者。 发送给 Fred Hutch 患者的电子邮件还允许他们访问暗网网站并通过支付 50 美元删除他们的数据。这表明同一勒索软件组织很可能是对 Integris Health 的攻击的幕后黑手。 转自安全客，原文链接：https://www.anquanke.com/post/id/292198 封面来源于网络，如有侵权请联系删除

位于约旦安曼现代Al Abdali社区的阿卜杜勒医院（Abdali Hospital） 已成为黑客组织Rhysida的最新受害者。这是一家多学科诊所，提供多个领域的医疗服务。 除外科外，医院还拥有骨科和风湿科、妇科、泌尿科和内分泌科、神经内科、肾内科、肺内科、内科、肿瘤科、感染科和麻醉科等专家。此外还设有美容区——整形外科、皮肤科和妇女健康中心。 黑客在暗网上发布了被盗医疗文件和员工 ID 的屏幕截图，作为攻击的证据。该数据已被拍卖，最低价格为 10 比特币。 黑客发布的数据截图 该网站发布的公告称：“您只有7天的时间购买独家且唯一的数据。我们只向一个人出售信息，禁止转售。您将是唯一的所有者！” Rhysida 声称，7 天后，被盗信息将被公开。 黑客发布的公告 11月底，他们宣布对伦敦爱德华七世国王医院、 大英图书馆和中国能源建设集团公司 （CEEC）进行黑客攻击。 Rhysida 于 2023 年 5 月开始运营。据犯罪分子自己称，在此期间，至少有 62 家教育、医疗、制造、IT 和公共部门的公司成为受害者。 上周，美国联邦调查局和美国网络安全局（CISA）针对该组织构成的威胁发出联合警告。该文件确定了所使用的方法和妥协指标。 值得注意的是，攻击者根据“勒索即服务”模式（勒索软件即服务，RaaS）进行操作，出租他们的工具和基础设施。收到的赎金由该组织和附属机构分配。 为了访问系统，黑客利用外部远程服务（例如 VPN 和 RDP）中的漏洞以及受损的凭据。已有利用 Zerologon 漏洞进行网络钓鱼攻击的案例。另外，Rhysida经常使用操作系统内置的网络工具。 转自安全客，原文链接：https://www.anquanke.com/post/id/292212 封面来源于网络，如有侵权请联系删除

停车应用程序开发商 EasyPark 在其网站上发布一则公告，称其在 2023 年 12 月 10 日遭遇一起数据泄露安全事件。 EasyPark 是一家瑞典公司，其开发的移动网络应用程序可用来定位停车位、预订管理器和查找电动汽车充电点，该公司在 20 个国家和 4000 多个城市运营数字停车服务，覆盖欧洲、美国、澳大利亚、新西兰和英国的大部分地区。 EasyPark 应用程序（欧洲版）在 Google Play 上的下载量已经超过了 1000 万次，其他应用程序 RingGo（英国版）和 ParkMobile（美国版）的安装量也分别为 500 万次。目前，网络攻击事件可能会对其数百万用户造成怎样的影响尚不清楚。 值得一提的是，ParkMobile 2021 年就披露过一起大规模数据泄露事件，2100 万客户的数据信息被盗。随后，一个黑客论坛上免费发布了被盗数据。 此次网络攻击事件发生后，EasyPark 公司发言人拒绝提供有关此次事件的详细信息以及有多少客户受到了影响，但他们承认有一部分欧洲用户可能会受到影响。（表明网络攻击事件主要涉及 EasyPark 应用程序的用户） EasyPark 公司在公告中指出，根据用户向平台提供的信息，部分用户的下列信息遭到泄露： 姓名； 电话号码； 实际地址； 电子邮件地址； 信用卡/借记卡或 IBAN 的某些数字。 安全专家表示，泄露的信息能够帮助网络犯罪分子对被暴露的 EasyPark 用户发起有效的网络钓鱼攻击，该公司也在数据泄露通知中明确警告了这一点。 目前，EasyPark 应用程序的服务系统依然能够正常访问，其安全团队正在实施额外的安全和隐私保护措施，以确保事件的负面影响得到有效控制。瑞典、英国和瑞士的数据保护机构也已收到有关此次事件的通知。对于受影响的用户来说，鉴于网络安全事件的性质仍未披露，最好重置自己的账户密码以保障账号的安全。 目前没有勒索软件组织宣称对 EasyPark 遭到的网络攻击负责。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388309.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，12月27日，曼谷航空(Bangkok Airways) 106.5GB 数据被泄露，包含122000份文件，包括机场、就业和合同信息。数据可全量下载。 在此次攻击中，黑客发布了此次泄露数据的全部文件。 黑客发布的文件截图 曼谷航空公司（Bangkok Airways）成立于1968年，是泰国颇具知名度的航空公司之一。最初作为一家私人航空公司，后来逐渐发展成为一家颇具规模和影响力的航空企业。 这并不是该公司第一次发生如此大规模的数据泄露事件，在2021年9月，曼谷航空公司就曾被 LockBit 勒索软件团队窃取了超过 200 GB 的数据。LockBit 勒索软件团队还在其泄密网站上发布了一条消息，威胁说如果曼谷航空不支付赎金，就会泄露被盗数据，消息还显示他们有更多的数据要泄露。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据知道创宇暗网雷达监测，12 月 27 日，Ultra Intelligence & Communications 公司 30GB 数据遭到泄露，数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织 BlackCat，数据可下载。 据悉，美国联邦调查局（FBI ）在本月攻入了 BlackCat  勒索软件的服务器，以监控该组织的日常活动并获得解密密钥，同时扣押了 BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，BlackCat 勒索软件就“解封”了数据泄露网站。 Ultra Intelligence & Communications（简称ULTRA），是一家全球领先的技术公司，总部位于英国。该公司提供先进的情报、通信和安全技术解决方案，服务于政府、军事和商业客户。是一家与美国政府合作的承包商，由美国政府相关或在美国政府工作的机密人员赞助。 ULTRA 的高层管理人员拒绝支付恢复被盗数据的费用，导致所有与 ULTRA 及其附属公司有关的被盗数据都在这个数据泄露博客中公开。 每个与美国政府合作的承包商都应该被警告这一事件，如果他们不希望美国联邦机密被公开，就应该避免与 ULTRA 有任何进一步的业务往来。这一事件可能促使美国政府重新审视与这些承包商及其分包商的关系。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

HackerNews 编译，转载请注明出处： St Vincent’s Health Australia 是澳大利亚最大的非营利性医疗保健提供商。该医疗系统遭受了一次网络攻击，导致数据泄露。 St Vincent’s Health Australia 已向当地当局报告了此次事件，并正在与澳大利亚政府合作，以减轻这一安全事件的影响。 医疗服务提供商聘请了外部安全专家来调查此次入侵并确定攻击的范围。 “2023 年 12 月 19 日星期二，St Vincent’s Health Australia 开始应对一起网络安全事件。12 月 21 日星期四晚些时候， St Vincent’s 发现了证据，表明网络犯罪分子从我们的网络中取走了一些数据”，该组织发布的声明中写道。 “St Vincent’s 正在努力确定哪些数据被移除，这一事件的调查仍在进行中。” 声明中没有提供关于攻击的详细信息，也没有将此次事件归因于勒索软件攻击。 该组织指出，这一事件迄今为止并未影响 St Vincent’s 向其患者提供服务的能力。 声明进一步指出：“到目前为止，我们向患者、居民、政府及更广泛的社区所提供的关键服务能力并未受到影响。” 目前还没有任何行为者对这一安全漏洞事件承担责任。 在过去几年中，包括 Medibank、Energy One、Crown Resorts、Latitude Financial、 Nissan Australia、DP World Australia、EnergyAustralia 和 Optus 在内的多个著名澳大利亚企业都是网络攻击的受害者。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测，12月27日，有黑客在 Telegram 上发布数据买卖，发布的内容显示该数据来源为中华航空（china-airlines.com），涉及的敏感信息包括中英文姓名、出生日期、电子邮箱、手机号、飞行常旅客计划（Frequent Flyer Program）等。 黑客发布的信息截图 发布者提供的数据样本共 50 条，总数据包含 2400 万条，售价 4000 美元。 中华航空官网 据公开资料显示，中华航空股份有限公司（China Airlines），简称“中华航空”、“华航”，成立于1959年12月16日， 由台湾当局与中国国民党联合出资创办，主运营中心为台湾桃园国际机场。中华航空是台湾的旗舰航空公司，也是全球航空货运领导品牌之一。       转载请注明出处，消息来源：知道创宇暗网雷达