土耳其主流金融应用泄露敏感数据,数百万人面临风险
HackerNews 编译,转载请注明出处: 数百万使用热门金融应用的土耳其用户可能遭遇了私人数据泄露。 Cybernews研究团队发现了一个未受保护的MongoDB数据库,内含超过四百万条敏感财务数据记录。 泄露的数据可追溯至FinansCepte和FinansWebde,这是土耳其使用最广泛的两款金融应用。这两款应用为超过一百万用户提供财务追踪、市场分析和个人投资管理服务。 目前尚不清楚是否有恶意行为者访问过这个暴露的数据库,也不清楚该数据库已公开暴露了多长时间。像这样暴露的数据库是攻击者的金矿,他们持续监控互联网以寻找未受保护的数据库。 因此,如果我们的研究人员找到了该数据库,攻击者很可能也已经发现了。 土耳其金融应用数据样本(图片来自Cybernews) Cybernews已联系应用背后的公司Pasyonis Medya ve Bilişim Ticaret,但在本文发布时尚未收到回复。 金融应用泄露了哪些数据? 用户名 电子邮箱地址 电话号码 部分支付信息 哈希加密的密码 金融警报设置 数百万用户面临网络攻击风险 暴露财务数据极其危险,使用户容易遭受一系列网络攻击。掌握财务细节后,攻击者可发起高度复杂的钓鱼活动,针对应用用户进行诱骗,以获取更敏感的数据。例如,攻击者可能冒充金融应用发送通知,敦促用户重置密码或保护账户安全,实则窃取凭证并清空账户。 泄露的数据中也包含登录凭证。虽然密码经过哈希加密处理,安全性更高,但仍可能被用于撞库攻击和暴力破解攻击,从而使黑客有机会访问用户在其他多个平台的账户。 访问警报设置则可能让攻击者操纵金融通知,使用户无法察觉真实的市场波动,或在关键时刻向其传递虚假信号。 (图片来自Cybernews) 金融应用正在泄露用户数据 数据库不设密码是非常常见的漏洞,通常归因于人为失误。Cybernews的内部研究也显示了同样的趋势。然而,若未被及时发现,这些“简单的错误”可能会演变成影响数十万人的安全事件。 类似的配置错误是近年来多起影响金融应用的重大数据泄露事件的根源。 2024年,Cybernews发现尼日利亚金融科技公司BestFin(运营iCredit应用)发生数据泄露,暴露了846,000名客户、其紧急联系人信息,甚至包括该应用秘密收集的私人短信。 另一起数据泄露事件影响了乌拉圭数字银行平台Bankingly,导致七家金融机构的数据泄露,暴露了遍布南美和中美洲的近10万人的信息。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
土耳其黑客组织 MeshSec 攻击以色列最大的电影院
土耳其黑客攻击了以色列一家受欢迎的连锁电影院的系统,以传播威胁信息。 1 月 23 日,土耳其裔黑客控制了特拉维夫 Lev 连锁影院的广告屏幕显示,该连锁影院是该国访问量最大的电影院之一。该消息包含 10 月 7 日哈马斯袭击以色列的希伯来语文本和镜头。在文本中,网络犯罪分子承诺他们将限制以色列访问互联网和银行服务。 电影院广告屏幕上的黑客消息 为了发布该消息,黑客侵入了负责更新广告屏幕保护程序和预告片的外部系统。目前,这些消息已被删除,警方正在调查事件的具体情况, MeshSec 组织宣布参与此次网络攻击。 自加沙冲突爆发以来,巴勒斯坦和以色列支持者的黑客行动主义有所加剧。攻击目标通常包括政府和媒体站点以及关键基础设施系统。因此,以色列最大的移动运营商 Pelephone 的工作最近受到黑客活动分子的干扰,加沙仍然完全缺乏互联网。 该 事件严重限制了大多数居民的沟通能力。 转自安全客,原文链接:https://www.anquanke.com/post/id/292973 封面来源于网络,如有侵权请联系删除
土耳其黑客向全球 MS SQL 服务器发起 RE#TURGENCE 攻击行动
近日,美国、欧盟和拉美(LATAM)地区的微软 SQL(MS SQL)服务器安全状况不佳,因而被土耳其黑客盯上,成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。 Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到:威胁活动一般会以以下两种方式结束:要么是出售被入侵主机的访问权,要么是最终交付勒索软件有效载荷。 Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 “RE#TURGENCE”。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击,然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令,以便从远程服务器检索 PowerShell 脚本打好基础,然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后,黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序,以访问机器并下载其他工具,如 Mimikatz 以获取凭据,以及高级端口扫描器以进行侦查。 横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的,它可以在远程 Windows 主机上执行程序。 该攻击链最终以部署 Mimic 勒索软件而达到高潮,DB#JAMMER 活动中也使用了该勒索软件的变种。 Kolesnikov告诉《黑客新闻》:”这两个活动中使用的指标和恶意TTP完全不同,因此很有可能是两个不同的活动。也就是说,虽然最初的渗透方法类似,但 DB#JAMMER 更复杂一些,使用了隧道技术。相比之下RE#TURGENCE 更有针对性,倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具,试图混入正常活动中。 Securonix表示,它发现了威胁行为者的操作安全(OPSEC)失误,由于AnyDesk的剪贴板共享功能已启用,因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse,该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。 研究人员提醒说:一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下,攻击者可以直接从主网络外部强行进入服务器。 转自Freebuf,原文链接:https://www.freebuf.com/news/389295.html 封面来源于网络,如有侵权请联系删除
埃及电信公司将用户定向到加密货币的采矿网站当中
3 月 9 日,据多伦多大学公民实验室发布的一份报告显示,在电信埃及分界点发现的设备正秘密地将埃及的互联网用户重定向到广告和加密货币的采矿网站当中。 据该技术研究实验室的报告解释说, 这项计划被称为 Adhose, 是通过 middleboxes、计算机网络设备来操作互联网流量。报告中还指出了埃及公民使用的两种重定向模式:“喷雾模式”和“涓滴模式”。“喷雾模式”指的是一个“中间框”,“当用户向任何网站发出请求时,他们会将埃及的互联网用户群定向到广告或加密货币的挖掘脚本中”,这种模式似乎“很少”使用。 而“涓滴模式”指的是,只要当用户尝试打开某些 url 时,那么就会将用户重定向到这些广告或挖掘脚本,特别是 CopticPope.org(以前是科普特东正教会的教皇的网站)和 babylon-x.com(formely a 色情网站)。 Monero 采矿平台的在线广告替代品 Coinhive,也被列入了多家公司的链接列表中,以便对埃及用户进行重定向。 Coinhive 曾被认为与在 2018 年 1 月底发生的一场大规模的案列联系在了一起。当时黑客们用 Coinhive 脚本运行 YouTube 广告, 这是暗中耗尽用户的 CPU 资源进行挖掘的。而美国有线电视网 Showtime 也被发现在去年 9 月的两个网站上使用 Coinhive 插播广告作为替代广告,而这并没有通知他们的客户。在 Showtime 对挖掘剧本的偷偷使用曝光后,Coinhive 宣布,在使用他们的电脑来挖掘 Monero 之前,它将寻求用户的许可。 据公民实验室的报告显示,同样的 middlebox 也负责在埃及的互联网审查, 阻止人权观察网站和半岛电视台的网站。 该报告还指出,土耳其和叙利亚的“ middleboxs ”将重定向用户,试图将软件下载到同一软件的不同版本,并附带间谍软件。 深包检测(DPI)装置的一个网络注入的指纹被加拿大网络设备公司 Sandvin 生产的二手 PacketLogic 装置修补。 在这份报告中,Sandvine 否认他们的产品可以以这样的方式使用,并向公民实验室强调了他们的人权保护标准,并表示当客户是一个在全球治理指标中排名较低的国家的一部分时,他们就会对销售进行审查。 公民实验室在他们的报告中写道,Sandvine 的保障措施已经“出现短缺”,并建议该公司开始从事“定期咨询民间社会有关人权尽职调查和商业道德计划。” 据报道,埃及首个比特币交易所将于 2017 年 8 月开放,但埃及政府对国内的加密货币采取了强硬立场。今年 1 月,埃及最高宗教领袖根据伊斯兰教法表示,比特币(BTC)是“非法的”。 一年前在 2017 年 2 月,一位伊斯兰教法专家曾对记者表示,由于伊斯兰教历史上只承认“内在价值的商品”作为货币,“比特币很可能会被忽略。”“目前尚不清楚 Monero 或 Coinhive 的挖掘脚本将如何受到伊斯兰教法的管辖。 稿源:区块网,封面源自网络;
知名杀毒巨头迈克菲:朝鲜加密货币黑客攻击范围蔓延到传统金融系统,土耳其首当其冲
近日,杀毒巨头迈克菲(McAfee)发布了一份报告,其中发现土耳其金融行业最近遭受的网络攻击可能和朝鲜黑客有关,不仅如此,迈克菲安全威胁高级研究小组还发现,本次企图破坏土耳其政府支持的金融机构的非法组织,可能是朝鲜加密货币黑客集团 Hidden Cobra (又名 Lazarus)。 虽然迈克菲没有给出明确指出黑客名称,但他们在报告中提到,本次攻击土耳其金融机构的黑客代码与朝鲜加密货币黑客手中的代码非常相似。 据悉,黑客使用的是一个被称为“ Bankshot ”的修改版恶意软件,利用了最近 Adobe Flash 软件中发现的漏洞,攻击者尝试使用一个感染了病毒的 “ Agreement.docx ”微软Word 文件,然后包含在一封钓鱼电子邮件中引诱受害者。 Bankshot 恶意软件代码所来自的域名,和加密货币借贷平台 Falcon Coin 很相似,不过恶意网站域名 falcancoin.io 是在 2017 年 12 月 27 日窗帘的,因此从法律角度上,其实和原平台没有关联。 截至目前,本次攻击还没有被披露有任何资金损失。不过迈克菲安全威胁高级研究小组认为,这次黑客袭击的主要目的是为了远程访问政府控制的金融机构内部系统,但他们也没有对外披露哪些政府机构受到本次攻击的影响。 不仅如此,迈克菲安全威胁高级研究小组在恶意软件中还发现了两份用韩语编写的文件,虽然攻击的目标不一样,但或许能够从中看出是同一黑客所做。 回到 2017 年 12 月,美国政府在那时就已经针对 Bankshot 恶意软件发布了风险经过,而且指出该恶意软件和黑客组织 Hidden Cobra 有关。当时,美国政府表示该黑客组织是为朝鲜政府工作的。韩国曾多次指责朝鲜黑客攻击该国的加密货币交易所,目前针对朝鲜的国际制裁也已经超过了一年时间。 稿源:转载自 36Kr,原文翻译自 coindesk.com,译者:36cup。封面源自网络。
英国向土耳其政府出口监控设备遭人权倡议者强烈反对
英国国际贸易部于近期公开发布了 2017 年 1 月 1 日至 3 月 31 日期间出口的许可证详细报告,指出该国今年早期向土耳其授权一项许可证,旨在出口监控设备。土耳其多数人权倡导者强烈反对并表示,英国向不尊重人权的国家出口监控设备是一种荒谬做法。 英国在监控技术贸易方面是全球最为活跃的国家之一。英国公司不管从互联网大规模设备还是小型捕手(catcher)都将持续出口监控系统设施。国际贸易部表示,英国对土耳其出口监控设备时,恰恰处于土耳其政府针对敌对势力、持不同政见者、记者与人权倡导者进行强制镇压期间。 知名媒体 Motherboard 表示,其中一项许可证涉及土耳其执法机构拦截通讯设备软件。目前,土耳其执法部门可能已经购买该款针对移动通信进行网络监控的 IMSI 捕手以拦截呼叫卫星电话。遗憾的是,英国政府机构目前尚未透露土耳其当局获得的技术类型。 不过,Motherboard 还发现,英国至少向土耳其出售了七项监控技术。虽然英国政府授予土耳其出口许可证,但该国却因地理位置持续遭受恐怖分子威胁。据称,土耳其政府限制所有 VPN 服务的 Tor 匿名网络权限以便监控审查。 国际贸易发言人向 Motherboard 透露,英国政府极其重视国防出口责任,运营全球最大出口管理机制,并对每一个申请监控设备的国家进行严格审查。倘若出口国家的风险水平发生变化,他们会立即暂停或吊销执照而不再提供监控技术。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
土耳其将建立 “ 网军 ” 应对各项网络安全威胁
据外媒报道,土耳其交通、海事及通信部长 艾哈迈德·阿尔斯兰 于 18 日表示,土耳其将建立一支强大的 “ 网军 ” ,以应对波及全球的勒索病毒及其他网络安全威胁。 阿尔斯兰在接受当地媒体《 自由报 》采访时说,目前土耳其有 1.3 万名网络安全人员在公共部门就职。政府还将加大网络安全投入,建设一支由五个团队组成的强大 “ 网军 ”。此外,他还表示,勒索病毒在全球蔓延以来,土耳其尚未受到较大程度影响。这得益于监管部门及时发出预警,在勒索病毒寻找目标进行文件加密时,所有机构和组织暂时关闭了主数据库。 阿尔斯兰同时提醒,该病毒可能在未来一段时间里以变种的形式造成新一轮的威胁,计算机用户应及时升级防病毒程序。 稿源:cnBeta,封面源自网络
因禁止土耳其集会,荷兰议会网站遭勒索软件攻击
据荷兰本土刊物《尼德兰时报》(NL Times)报道,黑客组织针对荷兰议会下议院发动勒索软件攻击并在停止前设法加密部分文件。调查表明,此次袭击事件由荷兰政府禁止两名土耳其官员在本地集会期间与外侨谈话而引发。 尽管荷兰议会发言人决定不对本次袭击事件发表任何意见,某位荷兰议员仍在推特上发布了勒索软件攻击政府计算机系统的消息。届时所有议会成员也都收到了一封描述该事件的内部电子邮件。目前,事态已在 IT 专家着手替换加密文件之前得到有效控制。 事实上,荷兰网站并非第一次遭受黑客袭击。几周前,荷兰选民用来确定投票人选的两大网站于选举日当天遭到入侵。随后,当地一家互联网安全公司立即展开调查,结果表明确实由土耳其黑客组织所为。 此外,另一次攻击事件针对荷兰分析公司 Twitter Counter 展开。黑客组织通过恶意链接方式入侵大量 Twitter 帐户,导致大量账户遭劫持并被迫发布支持土耳其总统 Recep Tayyip Erdogan 的言论,部分带有纳粹党的十字标志,因为荷兰政府被指控为“纳粹残余”。据悉,这些推文将被用于 4 月 16 日土耳其全民公投,或为 Erdogan 提供更大的权力以及连任土耳其总统的机会。 原作者:Gabriela Vatu, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
土耳其 VS 荷兰外交危机引发 Twitter 大战,数百个知名帐户遭黑客劫持
近期,在土耳其与荷兰的外交危机事件后,大量的高级 Twitter 帐户被劫持。 黑客通过许多 Twitter 帐户发布了土耳其相关的政治消息。这些消息的主题包括#Nazialmanya(纳粹德国)和#Nazihollanda(纳粹荷兰)。被劫持的知名帐户包括大赦国际、欧洲议会、杜克大学、美国儿童基金会、福布斯、路透社日本和英国广播公司北美等组织。 目前,大多数组织已经恢复了他们的 Twitter 帐户,并且也向拥护者们告知了事件进展。 黑客利用奥斯曼帝国的徽章形象篡改了被劫持帐户的界面。此次大规模活动发生在土耳其公民投票(4月16日)之前一个月,外界猜测这或许会影响到总统选举。随后,土耳其政府当即表示暂停与荷兰的高级外交关系,而荷兰政府也阻止了其部长在外籍土耳其人中的演讲,大大加深了两个北约联盟之间的紧张关系。 据悉,此次黑客是通过应用程序 Twitter Counter 的漏洞,入侵多个 Twitter 帐户。安全专家建议用户撤销对 TwitterCounter 应用程序的权限,以防止 Twitter 帐户再次被黑客入侵。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
土耳其商会网站接连遭两拨黑客入侵,个人信息泄露
土耳其工商业协会(英国办事处)官方网站在过去几天内连续遭到两个不同的黑客组织入侵。 首先,库尔德黑客 Mezopotamia 入侵了官网并篡改主页内容,发布消息抗议土耳其在 2011 年 12 月下旬对库尔德进行空袭导致 34 名平民死亡。虽然他的动机很明确,但不清楚黑客是否“顺带”窃取了网站数据库信息或者篡改了更多的页面。 随后,黑客 Kapustkiy 也赶来“凑热闹”,利用 SQL 注入漏洞入侵了网站数据库。据 Softpedia 收到的泄露信息显示,黑客获得了数百人的个人信息如姓名、地址和电话号码等,还包括管理员帐户及明文密码。黑客 Kapustkiy 表示已经联系了网站管理员,并泄露部分数据给予证明。此前该黑客还曾利用类似手段入侵香港荷兰商会网站。 目前,土耳其工商业协会尚未对此事做出回应。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。