HackerNews 编译，转载请注明出处： 费城最大的特许学校网络Mastery Schools证实遭遇勒索软件攻击，导致37,031人的个人数据泄露。Mastery Schools在费城及卡姆登运营23所校园，服务约14,000名学生，涵盖小学至高中全学段。该事件发生于2024年9月，泄露的敏感信息包括社会保障号、医疗记录和学生档案等广泛内容。 Mastery于上周末开始向受影响人员发送正式通知。校方表示在2024年9月15日发现攻击事件，当时发现未经授权者加密了系统。该事件导致电话、邮件等核心业务中断。勒索组织DragonForce宣称对事件负责，称窃取了该校系统171GB数据，并将其列入泄密网站名单。但Mastery未证实该说法，也未披露攻击者入侵方式或是否支付赎金。 “我们确定未经授权者下载了部分数据。”校方在通知中声明，并强调目前尚无证据表明泄露数据被用于身份盗用或欺诈。 据披露，泄露数据包含： 姓名、出生日期 社会保障号、纳税人识别号 政府签发的身份证件、护照号 银行及财务信息、信用卡/借记卡详情 生物识别数据、账户密码 医疗及健康保险信息 学籍号、学生档案 防护措施与响应 为协助受影响人员，Mastery通过Experian的IdentityWorks服务提供免费身份保护，受影响者需在2025年8月31日前注册。首席执行官Joel Boyd博士表示，机构正在加强多因素认证应用并提升终端监控能力以强化安全防护。同时已引入外部网络安全专家团队，并联合联邦执法部门深入调查事件，降低未来风险。 美国教育系统网络威胁升级 Comparitech数据显示，2024年美国学校及大学共遭遇79起勒索攻击，波及近290万条记录。近期德克萨斯州、佐治亚州等地学区均成受害者。此类攻击常导致考试延期、薪资系统瘫痪等重大运营中断。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特朗普政府于6月6日发布升级版网络安全行政令，包含近十二项指令以强化国家安全，涵盖人工智能应用、后量子密码技术、物联网设备认证及应对国家级别网络威胁等领域。该行政令是对奥巴马政府2015年签署的13694号行政令及特朗普今年1月25日签署的《促进国家网络安全创新》14144号行政令的补充。 特朗普在行政令序言中强调：“我下令采取新行动提升国家网络安全防御能力，重点包括：保护数字基础设施、确保关键数字服务安全、增强应对核心威胁的能力”。 核心指令要点： 人工智能整合 要求2025年11月1日前将AI技术整合至联邦网络用于漏洞管理，并在8月1日前推进安全软件开发。身份安全企业CyberArk创新高级副总裁凯文·博切克指出：“全球AI竞争加速催生了新型攻击面，AI防御技术能快速识别漏洞、扩大威胁检测规模并实现自动化防护”。该指令同时要求11月前向学术研究界开放网络安全研究数据集。 后量子密码技术 针对量子计算机未来可能破解现有公钥密码体系的威胁，行政令要求联邦政府过渡至抗量子破解的加密算法，并在2025年12月前建立支持后量子密码(PQC)的产品动态清单。博切克特别警示“机器身份泛滥”风险：“当前企业机器身份数量已达人类身份的82倍，但68%机构缺乏AI身份管控能力”。 物联网与系统加固 指令要求2027年1月起所有联邦采购的物联网设备必须携带“美国网络信任标记”认证标签；美国国家标准与技术研究院(NIST)需在2025年9月更新安全补丁部署指南；联邦预算管理局(OMB)则获三年期限制定政府IT系统现代化改造及风险应对框架。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究团队在TLS证书中发现异常痕迹后，揭露了令人不安的事实：美国数百家水务公司的控制室操作面板暴露在公共互联网上，其中数十套系统无需密码即可完全控制水泵、阀门和化学药剂投加设备。 事件始于2024年10月，网络安全公司Censys例行扫描工业控制系统时，发现多台主机部署的证书中嵌有“SCADA”（监控与数据采集系统）字样。进一步调查显示，这些设备均运行同一款冷门浏览器端人机交互平台。研究人员获取实时操作界面截图时，目睹了水处理厂的动态流程画面：水箱液位波动、氯气泵启停状态切换、警报信号实时闪烁。 通过解析网页标题标签，团队确认所有暴露系统均属于市政水务设施，并依据访问权限划分为三类：需凭证认证（Authenticated）、仅可查看（Read-only）以及最危险的完全开放（Unauthenticated）。Censys在报告中指出：“40套系统处于完全开放状态，任何拥有浏览器的攻击者都能实施操控。” 由于涉及公共基础设施，该公司打破常规逐项披露流程，直接将包含IP地址、端口及地理位置信息的完整清单批量提交给美国环保署（EPA）和涉事软件商。九天内，24%的暴露系统完成防火墙加固或安全升级；一个月后，随着厂商发布多因素认证指南，防护率提升至58%。截至2025年5月的最新扫描，暴露系统已从最初的300余套降至不足20套。 此事件促使美国政府于去年末紧急发布警报，要求水务机构加强防护面向互联网的人机交互界面（HMI）。美国环保署和网络安全局（CISA）联合技术文件明确警告：“黑客已多次利用暴露的HMI漏洞——例如2024年亲俄黑客曾篡改水务设备参数，导致水泵和鼓风设备超负荷运行。”这些控制界面通常作为监控系统的延伸组件，使操作人员能远程管理工业设备，但配置缺陷可能引发灾难性后果。       消息来源：  securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。 此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认，但数据库中埋藏的线索指向了 Gargle 公司。 该公司专门为牙科诊所提供营销、搜索引擎优化（SEO）和网站开发服务。虽然 Gargle 本身并非医疗保健提供者，但其业务模式依赖于处理面向患者的基础设施，在此案例中，可能还包括患者数据。 目前尚不清楚该数据库暴露了多长时间，或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后，该数据集已被保护起来。目前尚未收到该公司的评论。 泄露了哪些数据？ 姓名 出生日期 电子邮件地址 住址 电话号码 性别 病历 ID 语言偏好 账单详情 包含患者元数据、时间戳和机构参考信息的预约记录 泄露是如何发生的？ MongoDB 数据库为数以千计的现代网络应用程序提供支持，从电子商务平台到医疗门户网站。在此案例中，泄露很可能源于一个常见且常被忽视的漏洞：由于人为错误，数据库在没有适当身份验证的情况下被暴露。 正如 Cybernews 的研究所示，这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调，其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。 该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点，如果未进行安全配置，就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。 泄露的医疗数据如何被利用？ 泄露的数据集包含属于美国患者的深度敏感信息：已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看，其中任何一个数据点可能危害不大。但捆绑在一起，它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实，攻击者可以冒充受害者以获取经济利益。 有了医疗数据，风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件，引发了关于其不遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法规，处理患者数据的公司有法律义务采取严格的安全措施来保护数据。 应对策略 该公司应通知受影响的个人，并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约，并怀疑您的数据可能受到此次泄露的影响，请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录，留意未经授权的索赔或活动迹象，并考虑注册身份盗窃监控服务。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国威斯康星州电信运营商Cellcom确认，过去一周的语音与短信服务中断系网络攻击所致。该事件影响威斯康星州及密歇根上半岛地区用户，目前部分服务已逐步恢复。公司首席执行官布里吉德·里尔登在致客户信中表示：“尽管遭遇不幸，但我们对此类事件并非毫无准备，现有应急预案正在执行中。” Cellcom已向执法部门通报攻击事件，并与外部网络安全专家合作推进调查与系统修复。公司强调攻击仅影响不存储客户敏感数据的网络分区，暂未发现用户姓名、地址、财务信息等隐私外泄迹象。虽然部分服务已恢复，但全面运营可能需至本周末，具体时间表尚未明确。 里尔登在声明中透露，团队于前夜取得重大修复进展，预计本周内完成剩余服务恢复，但承诺“不会因追求速度而牺牲安全性与可信度”。此次攻击导致用户长达七日无法使用基础通信功能，社交媒体涌现大量投诉——有客户反映错过医疗预约、工作面试等重要事务。尽管公司承诺不涉及数据泄露，但拒绝提供账户迁移所需信息，加剧用户不满情绪。威斯康星州公共服务委员会正评估运营商是否违反紧急服务保障条例。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者利用AI技术伪造美国高级官员身份，通过短信和语音钓鱼（分别称为smishing和vishing）实施诈骗。根据美国联邦调查局（FBI）5月15日发布的警报，自2025年4月以来，这些深度伪造骗局持续针对美国现任或前任联邦/州政府高级官员及其联系人。 攻击者通过发送文本短信和AI生成的语音信息，诱使受害者点击恶意链接（通常伪装成要求切换至其他通讯平台），试图非法访问官员的个人或工作账户。成功入侵后，攻击者会利用获取的可信联系人信息，继续针对其他政府官员及其关联人士实施攻击，同时可能冒充可信联系人套取敏感信息或财务资源。 FBI防范AI钓鱼攻击指南 为帮助公众应对AI驱动的社交工程攻击，FBI建议采取以下防护措施： 通过反向查询号码并通过独立渠道验证身份，确认联系人的真实性 仔细检查通信中使用的邮箱地址、电话号码、URL链接和拼写细节（注意细微差异） 警惕图像/视频中的瑕疵，识别AI生成内容特征 切勿向网络或电话结识者透露敏感信息或联系方式 避免向未经验证身份者转账或转移资产 在确认发送者身份前，不要点击邮件/短信中的链接 谨慎下载附件或应用程序 启用双因素认证（2FA），绝不向他人分享验证码 与家人约定暗语或密语用于身份验证 FBI特别指出，攻击者通过精准模仿官员常用通讯方式（如Signal、Telegram等加密平台），利用“紧急事务”、“政策调整”等话术提升欺骗性。近期案例显示，部分钓鱼链接会诱导受害者输入双因素验证码，直接绕过账户保护机制。安全专家建议政府工作人员定期更新隐私设置，限制社交媒体公开信息，并启用高级账号监控服务。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队首席分析师John Hultquist向BleepingComputer透露，使用“Scattered Spider”攻击手法的黑客组织在针对英国零售业后，已将矛头转向美国零售企业。该组织被追踪为UNC3944，涉嫌实施勒索软件攻击与数据勒索双重威胁。 英国零售巨头玛莎百货（Marks & Spencer）此前遭遇勒索攻击，攻击者使用DragonForce加密器对VMware ESXi主机上的虚拟机进行加密。微软将该攻击归因于Octo Tempest（即Scattered Spider）。连锁超市Co-op确认攻击者窃取了大量现会员及前会员数据，哈罗德百货（Harrods）则于5月1日因网络渗透尝试被迫限制网站访问权限，疑似主动阻断攻击。 DragonForce勒索组织宣称对上述三起事件负责。BleepingComputer获悉，攻击者使用了与Scattered Spider关联的社会工程学策略。该勒索组织于2023年12月首次出现，近期推出“白标服务”供其他犯罪团伙定制化使用。 自Scattered Spider于4月开始攻击英国零售商以来，英国国家网络安全中心（NCSC）已发布防御指南，并警告这些攻击应被视为“警钟”。NCSC表示尚未确认攻击是否由单一组织发起，目前正与受害者及执法部门联合调查。 Scattered Spider（别名0ktapus、UNC3944、Scatter Swine）指代一个流动性威胁团伙，以社会工程学攻击闻名，擅长钓鱼攻击、SIM卡劫持、MFA轰炸（定向疲劳攻击）等手法。2023年9月，该组织入侵美高梅度假村，通过冒充员工致电IT部门获取权限，利用BlackCat勒索软件加密超100台VMware ESXi虚拟机。 该组织还曾作为RansomHub、Qilin及DragonForce等勒索软件的附属团伙活动，受害者包括Twilio、Coinbase、DoorDash、凯撒娱乐、MailChimp、拳头游戏及Reddit。部分成员据信隶属于“Com”社群——该松散团体因实施网络攻击与暴力行为备受关注。 这些网络罪犯年龄最小仅16岁，多为英语使用者，活跃于Telegram频道、Discord服务器及黑客论坛，实时策划攻击行动。尽管媒体与安全研究者常将“Scattered Spider”描述为统一团伙，但其实际是由采用特定战术的松散成员构成，追踪难度较高。 Hultquist指出：“这些攻击者攻击性强、手法创新，尤其擅长突破成熟安全体系。他们在社会工程学及第三方入侵方面屡获成功。”美国零售企业需警惕近期威胁升级。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 5月7日（周三）起，美国正式实施“真实身份证”（REAL ID）新规，这项联邦标准化身份认证系统将生物识别数据与机场面部识别技术深度绑定。尽管官方宣称此举能提升安全等级，但网络安全专家警告其可能成为全球黑客的“巨型靶心”和“监控超级武器”。 Polyguard网络安全公司联合创始人兼CEO约书亚·麦肯蒂（Joshua McKenty）指出，REAL ID通过整合全美50个州机动车管理局数据库，建立了“国家超级数据库”，将持卡人的“生物特征信息与面部数据关联”。这位前NASA首席云架构师强调，即使旅客在机场安检时选择退出面部识别，其生物信息早在申请证件时已被采集，且数据删除政策存在模糊性。随着深度伪造技术泛滥，这类集中化存储的生物特征数据库可能被用于身份欺诈和仿冒攻击。 iProov生物识别安全公司创始人安德鲁·巴德（Andrew Bud）则认为，REAL ID为构建“信任经济”奠定基础，有利于提升政府、金融和医疗机构的身份核验效率，并为移动数字驾照等未来技术铺路。但麦肯蒂揭示出三重悖论：系统在提供便利的同时，也加剧了“监控与隐私”、“集中控制与个人数据主权”之间的矛盾。他呼吁建立“可撤回授权、透明化操作、真正可移植”的验证体系，使个人能自主管理生物数据。 尽管国土安全部长克里斯蒂·诺姆（Kristi Noem）表示未持REAL ID者仍可用护照登机，但需接受额外安检。关键注意事项包括： 国际航班仍需护照，REAL ID仅限美国境内使用 18岁以下未成年人免持REAL ID 各州车管局发放的临时纸质凭证无效，必须使用实体证件 姓名变更者需携带法院文件或结婚证等补充材料 目前全美81%居民已完成证件升级，但仍有数百万人在各地车管局排长队办理。网络安全公司Guardio监测发现，诈骗分子正通过伪造车管局网站、钓鱼邮件等手段窃取申请者个人信息，提醒公众务必通过官方渠道办理。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文