Bleeping Computer 网站披露，超过百万 WordPress 网站使用的 All-In-One Security（AIOS）WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中，此举可能危及账户安全。 AIOS 是 Updraft 开发的一体式解决方案，主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具，以阻止机器人并防止暴力攻击。 大约在三周前，一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中，用于跟踪登录、注销和失败的登录事件，还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准， 漏洞的初步报告（wordpress.org） 接到反馈后，Updraft 方面回应称该问题是一个 “已知错误”，并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后，Updraft 支持人员两周前向相关用户提供了即将发布的开发版，但是试图安装开发版的用户仍指出密码日志没有被删除。 修复程序现已发布 7 月 11 日，AIOS 供应商发布了 5.2.0 版本，其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误，该错误导致用户密码以明文形式添加到 WordPress 数据库中。 一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码，此举会带来一些安全问题。此外，一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护，“恶意”管理员就可以轻易接管用户的账户。 除了“恶意”管理员带来的安全风险外，使用 AIOS 的网站还将面临黑客入侵的风险，这些黑客一旦获得网站数据库访问权限，便有可能会以明文形式泄露用户密码。 截止到文章发布，WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本，因此推算大概仍有超过 75 万个网站处于易受攻击状态。 更不幸的是，WordPress 一直以来都是网络攻击者的攻击目标，一些使用 AIOS 的网站可能已经被泄露，再加上该安全问题已经在网上传播了三周多，且 Updraft 没有警告用户暴露风险的增加，因此，可能已经发生了一些安全威胁事件。 最后，使用 AIOS 的网站应该尽快更新到最新版本，并要求用户重置密码。     转自Freebuf，原文链接:https://www.freebuf.com/news/372245.html 封面来源于网络，如有侵权请联系删除

德国亚琛工业大学的研究人员发表的一项研究表明，Docker Hub 上托管的数以万计的容器镜像包含机密信息，使软件、在线平台和用户面临巨大的攻击面。 Docker Hub 是一个基于云的存储库，供 Docker 社区存储、共享和分发 Docker 镜像，这些容器创建模板包括所有必要的软件代码、运行时刻、库、环境变量和配置文件，以便在Docker中轻松部署应用程序。 研究人员分析了来自 Docker Hub 和数千私人注册表的 337171 个镜像，发现大约 8.5% 包含私钥和 API 密钥等敏感数据，并且许多暴露的密钥都被积极利用，破坏了依赖它们的元素的安全性。 该研究从 337171 个 Docker 镜像中收集了包含 1647300 个层面的海量数据集，并尽可能从每个存储库中获取最新的镜像版本。使用正则表达式搜索特定数据分析显示，28621 个 Docker 镜像中暴露了 52107 个有效私钥和 3158 个不同的 API密钥。经过研究人员验证，这些不包括测试密钥、API密钥示例和无效匹配。大多数暴露的数据（95% 为私钥，90% 为 API密钥）都驻留在单用户映像中，这表明它们很可能是无意泄露的。 调查结果 影响最大的是 Docker Hub，其暴露比例为 9.0%，而来自私有注册表的镜像暴露比例为 6.3%。这种差异可能表明 Docker Hub 用户通常比设置私有存储库的用户对容器安全性的了解较差。 使用暴露的密钥 接下来，研究人员确定了所暴露秘密的实际用途，以了解攻击面的大小。令人震惊的是，研究人员发现了 22082 个依赖于暴露私钥的受损证书，其中包括 7546 个私有 CA 签名证书和 1060 个公共 CA 签名证书。 这上千个 CA 签名证书尤其值得关注，因为这些证书通常被大量用户使用。在研究时，141 个 CA 签名的证书仍然有效，这在一定程度上降低了风险。 为了进一步确定暴露的秘密在野外的用途，研究人员使用了 Censys 数据库提供的全互联网测量结果，发现275269 台主机与泄露的密钥存在关联，其中包括了8674 个 MQTT和19 个 AMQP 主机可能传输隐私敏感的物联网 (IoT) 数据。 这种程度的暴露凸显了容器安全方面的巨大问题，以及在创建镜像时未首先清除镜像中的机密信息这类过失性错误。 关于API暴露，分析发现大多数容器（2920个）属于亚马逊AWS等云提供商，但也有一些涉及Stripe等金融服务。目前，研究人员还不清楚这些API在野外的具体利用情况。     转自Freebuf，原文链接:https://www.freebuf.com/news/372226.html 封面来源于网络，如有侵权请联系删除

安全内参7月12日消息，孟加拉国出生与死亡登记主管办公室网站泄露了大量公民个人信息，包括全名、电话号码、电子邮箱地址和国民身份证号码。 6月27日，Bitcrack网络安全公司研究员Viktor Markopoulos意外发现了此次数据泄露，随后联系了孟加拉国电子政务计算机事件响应小组（CIRT）。 Markopoulos表示，估计该网站泄露了约5000万孟加拉国公民的数据。据悉该国总人口约1.63亿。 他评价称，发现这些数据“太过容易”“我都没有特意去查找，这些数据就出现在谷歌搜索结果里。当时，我正在谷歌搜索一个SQL错误，这些数据就作为第二条搜索结果显示了出来。”SQL是一种用于管理数据库数据的计算机语言。 电子邮箱地址、电话号码和国民身份证号码被曝光本就很糟糕，然而后续影响会更严重。Markopoulos认为，获得此类信息后，还可以“在网络应用中访问、修改和/或删除申请，查看出生登记记录的核实情况”。 外媒TechCrunch检索了部分泄露数据进行验证，利用孟加拉国出生与死亡登记主管办公室网站提供的公共搜索工具进行反查，发现泄漏的的确是合法数据。经过反查，网站返回了泄露数据库包含的其他数据，例如申请注册的人的姓名，甚至他们父母的姓名。工作人员用10组不同的数据进行反查，结果都返回了正确的数据。 孟加拉国向年满18岁的每个公民颁发国民身份证，分配一个唯一的身份识别号码。身份证为强制持有，保证公民能获取多种服务，如获得驾照、申领护照、买卖土地、开设银行账户。 上周日（7月9日），孟加拉国政府移除了一直线上暴露的公民敏感数据电子政务计算机事件CIRT确认，这类数据现已下线。 CIRT在上周六的新闻稿中表示，已“迅速”应对了数据泄露事件，并“迅速启动全面调查，不遗余力地核实数据泄露的范围和影响，展示了其专业能力和专业知识。” 当地报纸《商业标准报》报道，孟加拉国信息和通信技术国务部长Zunaid Ahmed Palak表示：“没有任何政府网站被黑客攻击。公民信息是由于网站的漏洞而暴露的。”孟加拉国内政部长Asaduzzaman Khan Kamal透露，执法机构正在调查此事。     转自安全内参，原文链接:https://www.secrss.com/articles/56572 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，HCA 医疗公司近期披露了一起网络攻击事件，约 1100 万患者的个人信息遭到泄露。 7 月 5 日，HCA 医疗发现一个安全事件，当时某个威胁攻击者在一个地下论坛上嚣张地宣传其入侵了HCA 。为了证明”战绩”的真实性，该名威胁攻击者还发布了包括患者姓名、城市、州和邮政编码、电子邮件、电话号码、出生日期、性别以及服务日期、地点和下次预约日期等部分患者敏感个人信息。 值得一提的是，网络威胁攻击者并未暴露患者治疗、诊断或病情、支付信息，信用卡或账户号码、密码、驾驶执照或社会安全号等患者敏感临床信息。据悉，泄露的患者信息是从一个外部存储位置流出，该存储位置专门用于自动格式化电子邮件信息。 HCA Healthcare 披露数据泄露事件或影响 1100 万患者 在意识到可能遭遇网络攻击后，HCA Healthcare 立即通知了执法部门，并在第三方取证和威胁情报顾问帮助下对安全漏洞展开了严格调查。截至发稿调查仍在进行中，HCA 尚未发现其网络或系统中存在与此次事件相关的恶意活动凭据。 HCA Healthcare 公司表示内部不认为此次患者信息泄漏事件涉及到患者的临床信息（如治疗、诊断或病情）、支付信息（如信用卡或账户号码）或其他敏感信息（如密码、驾照或社会保险号）。关于事件详情的调查仍在进行中，暂时无法确认有多少患者受到影响。 但 HCA Healthcare 指出泄露列表包含约 2700 万行数据，其中可能包括约 1100 万 HCA Healthcare 患者的个人信息。为应对此次患者数据泄露事件，HCA Healthcare 禁止用户访问存储位置，但是向患者和社区提供的护理和服务没有中断。 根据目前已知的信息，HCA 公司认为此次患者信息泄露事件不会对其业务或财务业绩造成重大影响，也未对其日常运营造成任何影响。     转自Freebuf，原文链接:https://www.freebuf.com/news/371818.html 封面来源于网络，如有侵权请联系删除

随着ChatGPT风靡全球，其开发商OpenAI就接连不断地面临着越来越多的质疑与批评。近日，OpenAI就陷入了接连“吃官司”的状态之中。 6月29日，有16 名匿名人士向美国加利福尼亚州旧金山联邦法院提起诉讼，称 ChatGPT 在没有充分通知用户或获得同意的情况下收集和泄露了他们的个人信息，据此他们要求微软和 OpenAI 索赔 30 亿美元。 诉讼中指出，尽管制定了购买和使用个人信息的协议，但是OpenAI和微软系统性地从互联网中窃取了3000亿个单词，包括数百万未经同意获取的个人信息。 原告指控两家公司通过其 AI 产品“收集、存储、跟踪、共享和披露”数百万人的个人信息，包括产品详细信息、账户信息、姓名、联系方式、登录凭据、电子邮件、支付信息、交易记录、浏览器数据、社交媒体信息、聊天日志、cookie、搜索记录和其他在线活动。 诉状还称：就个人身份信息而言，被告未能充分地将其从学习模型中过滤掉，使数百万人面临着个人信息立即或以其他方式向世界各地的陌生人披露的风险。 诉讼还指控OpenAI违背了其初心，即以“最有可能造福整个人类的方式推进人工智能”。截至目前，不论是OpenAI官方还是微软官方都还未对该指控进行回复。 不过，该诉讼已经在全球引起了广泛关注，同时引发了广大网友对隐私、人工智能伦理和企业处理个人信息的担忧。 随后，在短短的一周内，OpenAI又接到两位作家Paul Tremblay和Mona Awad提起的诉讼，指控他们的受版权保护的著作被用来训练ChatGPT。 Paul Tremblay和Mona Awad称，ChatGPT 能为他们的书生成“非常准确”的摘要。所以他们坚称，只有在ChatGPT接受了他们著作的训练后，才有可能出现这么准确的摘要，而这个操作显然违反了版权法。 起诉书中预估，OpenAI 的训练数据中至少包含 30 万本书，其中很多来自侵权网站。 比如 OpenAI 在披露 GPT-3 训练数据情况时，就表示其中包含两个互联网图书语料库，大概占比为 15%。起诉作者认为这些数据就是来自影子图书馆网站的，比如 Library Genesis、Sci-Hub 等。 OpenAI已多次陷入数据风波 虽然目前的这些指控仍是原告方的“一面之词”。但这已经不是这家公司第一次陷入数据安全、个人信息泄露相关的指控了。 去年6月下旬，微软发布了一种可以自动生成计算机代码的新型人工智能技术。 该工具名为 Copilot，旨在让专业程序员更快地工作。当他们工作时，Copilot会给出代码建议，程序员可以直接将copilot展示的建议的代码块直接添加到自己的代码中，快速完成工作，这一工具也因此被很多媒体誉为“让程序员早下班的工具”。 然后去年 11 月，这款名为Copilot的代码助手，就被程序员们告上了法庭。 原告们认为Copilot嫌违反开源许可，使用他们贡献的代码训练 GitHub Copilot 和 OpenAI 的 Codex 机器学习模型，侵犯了众多原创代码作者的版权，同时还泄露了用户隐私，因此向法院提起诉讼，索赔达90亿美元。 这些案例无疑为隐私安全敲响了警钟，不仅是OpenAI，全球公司都必须对数据收集和使用持有负责任的态度。 如今，人工智能技术的快速发展让个人隐私问题面临着更加艰深的挑战，特别是在数据收集和使用方面。随着越来越多的个人数据被用于训练AI模型，如何切实做到确保数据的合法和透明使用变得至关重要。 企业在保护个人隐私方面扮演着关键角色。因此各企业在收集和使用个人数据时，都必须遵守隐私法规，并提供透明的数据使用方式，以确保人工智能技术的发展与个人权益的保护相平衡。     转自Freebuf，原文链接:https://www.freebuf.com/news/371689.html 封面来源于网络，如有侵权请联系删除

近日，游戏装备公司Razer（雷蛇）在推特官方账号发推承认最近发生大规模数据泄露，并告知用户已开始对此事进行调查。 Razer是一家全球知名的游戏装备公司，专注于高端游戏硬件和PC外设，以及性能强大的笔记本电脑甚至服装。 Razer公司还销售服务，注册用户可通过其Razer Gold支付系统访问广泛的游戏收藏、特殊的游戏内物品优惠、独家奖励等。 上周六，有关Razer发生数据泄露消息开始流传，有人在黑客论坛上发帖称，他们窃取了该公司官网Razer.com的源代码、数据库、加密密钥和后端访问登录信息。 黑客以10万门罗币的价格出售从Razer窃取的数据  来源：Bleepingcomputer 该帖子的发布者没有设置任何限制或排他性，这意味着任何愿意支付请求金额的人都将获得整个数据集。 黑客还发布了屏幕截图证据，包括文件列表、电子邮件地址、用于反作弊和奖励系统的源代码、API详细信息、Razer Gold余额等。 FalconFeedsio的网络安全分析师在黑客论坛上发现了这一公告，并与公众分享。 目前，Razer已重置所有会员帐户，所有活动会话失效，并要求用户重置密码。 这并非Razer首次大规模泄漏数据。研究人员Bob Diachenko在2020年曾发现过一个不受保护的Razer数据库，其中包含10万名客户的全名、电子邮件地址、电话号码、客户ID、订单详细信息以及账单和送货地址。 该数据库在2020年8月18日至2020年9月9日期间被曝光，但目前尚不清楚除了研究人员之外是否有人访问或复制过Razer的数据。 从此次泄露的数据样本来看，信息较新，至少可以追溯到2022年12月，因此这两起数据泄漏事件很可能并无关联。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/_v9a67oT1nqh2vaNRSJ_Rw 封面来源于网络，如有侵权请联系删除

一名研究人员最近发现，孟加拉国政府的一个网站泄露了公民的个人数据。 研究人员Viktor Markopoulos发现孟加拉国政府的一个网站正在泄露数百万孟加拉国公民的个人信息。 据TechCrunch报道，泄露的数据包括姓名、电话号码、电子邮件地址和身份证号码。 Markopoulos在6月27日发现了这一泄漏事件，并将这一发现报告给孟加拉国政府计算机事件响应小组（CERT）。 这位研究人员解释说，找到泄露的数据很容易，他告诉TechCrunch，这些数据出现在与SQL错误有关的谷歌查询结果中。 “TechCrunch通过使用部分查询受影响的政府网站公共搜索工具来验证泄露的数据是否是合法的。通过这样做，该网站返回了泄露的数据库中包含的其他数据，如申请注册的人的名字，以及他们的父母的名字等。随后他使用了10组不同的数据进行了尝试，都返回了正确的数据。” TechCrunch试图联系孟加拉国的几个政府组织，但没有成功。 目前，该政府网站的名称无法公开透露，因为它仍在泄露公民的数据。 上述信息的泄露可能使受影响的公民面临网络钓鱼攻击的威胁。 Markopoulos补充说，攻击者可以利用这类信息代表公民访问网络应用，并 修改和删除应用以及查看生成的验证。     转自Freebuf，原文链接：https://www.freebuf.com/news/371520.html 封面来源于网络，如有侵权请联系删除

问题到底出在哪里？ 当个人信息被用于颜值打分时，信息裸奔时代的人们再一次愤怒了。 近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。 当事件曝光时，中国人民大学在校生小琳的第一反应是惊讶：“他是通过什么方式获取这些数据的？从哪里获得的”，随之而来的是愤怒以及被冒犯的厌恶。 澎湃新闻梳理了近三年 52 份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息，哪些环节出了纰漏，又是谁应当为此负责？ 廉价的个人信息： 1 元能买 200 名学生的信息 这 52 份判决书透露着与学生个人信息泄露相关的“罪与罚”。 有 39 份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。 除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计，有 53% 的学生信息泄露案件涉及家长个人信息泄露。 而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。 不同类型的个人信息在泄露、组合后，成为不法分子进一步实施侵害的“原料”。而这些侵害又往往以电信诈骗的形式出现。 江苏省无锡市惠山区人民法院于 2020 年审理的案件中，被告人王宜恒利用事先在网上购买的学生家长个人信息和 QQ 号码，使用伪造的培训通知书，冒充子女身份，以需缴纳培训费为由，多次骗得被害人钱财共计人民币 76120 元。判决书显示，被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等，数罪并罚被判处有期徒刑四年三个月，罚金 5000 元。其中，犯侵犯公民个人信息罪的部分，判处有期徒刑三个月、罚金 3000 元。 通过梳理多份判决书的量刑标准可以看到，在侵犯公民个人信息罪的刑罚上，会考量信息泄露体量、犯罪手段、犯罪目的等多方面因素。 对比《蔡滔侵犯公民个人信息一审刑事判决书》（下称蔡滔案）及《张晓东侵犯公民个人信息罪一审刑事判决书》（下称张晓东案）两份判决书可以看到，被告人均被判处 4 年 9 个月的有期徒刑，但涉案的个人信息体量却差异显著。 蔡滔案涉及侵犯公民个人信息 1603 万条，非法获利 3.8 万元；张晓东案涉及侵犯公民个人信息 27.9 万条，非法获利 238 美元（约 1723 元）。法院指出，由于张晓东案在非法获取公民个人信息中，使用了侵入、控制他人计算机等手段，情节特别严重，量刑上要重于其他类似公民个人信息泄露体量、获利的案件。 专家：企业等单位应设定 并实施数据合规制度 关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着“职务之便”，获取大量学生个人信息。52 份裁判文书中，至少有 1/3 都是此类情况。 一则曾被多家媒体报道的案例是，成都多所高校学生突然发现他们“被就业”，有企业盗用了他们的身份信息，用于逃税。而信息泄露的源头是，某保险公司员工泄露了其在职时获得的学生信息名单。 上述案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。 而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在 52 份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他 50 例都是由个体来承担责任。 一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了 27 万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以 14 万元的罚金。 在此次人大学生信息泄露事件中，浙江垦丁律师事务所创始合伙人麻策认为，马某某可能构成侵犯公民个人信息罪，而学校和学生间因为没有“犯罪合意”，学校一般不构成侵犯公民个人信息罪。 “一般来说，需要综合考虑犯罪行为是否为单位利益而实施、是否以单位名义实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻，但如果学校违反信息网络安全管理义务，经监管部门责令采取改正措施后拒不改正，致使用户的公民个人信息泄露，则可能以拒不履行信息网络安全管理义务罪来定罪处罚。 不过，数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。 在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，“目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机”。     转自安全内参，原文链接：https://www.secrss.com/articles/56401 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，继奥地利、法国和意大利之后，瑞典数据保护监督机构警告境内公司不要使用 Google Analytics，原因是美国政府的监控可能带来安全风险。 针对 Google Analytics 发布安全警告，是在瑞典隐私保护局（IMY）对四家公司 CDON，Coop，Dagens Industri和Tele2 发起审计后做出的决定。 审计过程中，IMY 认为通过 Google Analytics 传输到美国的数据是瑞典民众的个人数据，这些数据可以与传输的其它“独特”数据关联起来。 谷歌对发送到美国进行处理的欧洲用户数据采取的所谓补充措施不足以将保护水平提高到所需的法律标准。包括谷歌使用IP地址截断（匿名化措施），在 Tele2 案件中，谷歌表示该公司没有澄清截断是在数据传输到美国之前还是之后进行的，因此未能证明“在最后八位字节被截断之前无法访问整个 IP 地址”。 IMY 当局还指出，这几家公司采取的安全技术措施不足以满足与欧盟/欧洲经济区内要求的保护水准。 瑞典勒令相关公司禁止使用 Google Analytics 最终，数据保护机构还对瑞典电信服务提供商 Tele2 处以 110 万美元的罚款，对当地在线市场 CDON 的处以 3 万美元的罚款。值得一提的是，目前瑞典当局已经勒令 CDON、Coop 和 Dagens Industri 停止使用 Google Analytics 。（据说 Tele2 是自愿停止使用该服务） 从案件细节来看，此次针对 Google Analytics 的调查是基于隐私非营利组织（noyb）提出的投诉，指控其违反了《通用数据保护条例》（GDPR）法律。案件处理的进程鉴于潜在的监控担忧，即存储在美国服务器中的数据可能会被该国情报机构访问，这种欧盟和美国的数据传输被发现是非法的。 早在之前，欧盟方便就已经表现出对美国是否侵犯其民众安全隐私的担忧，类似 Meta 被欧盟数据保护机构处以创纪录的 13 亿美元罚款，就是很好的证明。目前，欧盟和美国正在敲定一项新的数据传输安排，称为“欧盟-美国数据隐私框架”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/371152.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 6月初，微软的一些服务遭遇严重中断，包括Outlook、OneDrive和云计算基础设施Azure。 一个名为Anonymous Sudan(又名Storm-1359)的组织宣称对破坏该公司服务的DDoS攻击负责。 该组织自2023年1月起便活跃于人们的视野中，并宣言“针对任何反对苏丹的国家”。然而，一些安全研究人员认为，Anonymous Sudan实际上是亲俄威胁组织Killnet的一个分支。 攻击者依赖于虚拟专用服务器(VPS)以及租用的云基础设施、开放代理和DDoS工具进行攻击。 最初，微软并没有提供攻击的细节，但后来在一份题为“微软对第7层分布式拒绝服务(DDoS)攻击的响应”的报告中证实，他们受到了DDoS攻击。 “从2023年6月初开始，微软就发现了一些服务流量的激增，以及部分服务的可用性暂时受到影响，于是立刻展开了调查。随即，微软便跟踪正在进行的DDoS活动，并将其追踪为Storm-1359。“该公司发布的报告写道。 微软指出，他们没有发现任何证据表明客户数据被访问或泄露。 相反地，Anonymous Sudan声明已经窃取了3000万客户账户的信任证书。 该组织于2023年7月2日在其Telegram频道上发布的消息中写道：”我们宣布，我们已经成功入侵了微软，并进入了一个包含3000多万微软账户、电子邮件和密码的大型数据库。完整数据库交易的价格为50000美元。”   Anonymous Sudan分享了被盗数据的样本，并以5万美元的价格出售该数据库的完整版。 目前，微软尚未对所谓的”数据泄露“发表公开评论。BleepingComputer要求该公司公开否认任何数据泄露。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文