HackerNews 编译，转载请注明出处： 某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据据称正被公开售卖。 攻击者声称在今年入侵了该公司，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。 数据来源与具体内容 这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含以下类型： 姓名 家庭住址 邮政编码 电话号码 电子邮箱 截至目前，涉事公司尚未就此次网络安全事件发布公开确认声明。 Cybernews 已尝试联系该公司，但暂未收到回复。由于数据样本仅包含 8 条信息，目前无法核实攻击者的相关指控是否属实。 该威胁行为者于今年 4 月加入上述网络犯罪论坛，此前也曾多次挂牌出售多家企业的数据，且每次均会附带包含数条信息的数据样本。 Cybernews研究团队表示：“若此次数据泄露被证实属实，那么被盗数据可能会被用于身份画像，为后续攻击铺路。受影响人群遭遇社会工程学攻击的风险也将大幅上升。” 大众并非首次成为黑客目标 大众汽车及其经销商已多次成为网络犯罪分子的攻击目标。今年 10 月，大众集团法国分公司（大众汽车集团旗下子公司）被麒麟勒索软件团伙列入其泄密网站。 麒麟团伙声称窃取了约2000份文件、总计150GB的数据，其中包含敏感的客户、员工信息及商业数据。 今年6月，大众汽车集团也曾出现在Stormous勒索软件卡塔尔的暗网泄密网站上。尽管攻击者宣称已窃取该公司数据，但大众汽车集团发言人向Cybernews表示，暂无证据表明存在数据失窃情况。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

根据GitHub的一份报告，大众汽车Discover Media信息娱乐系统的漏洞是在2023年2月28日发现的。 该漏洞可能会使未打补丁的系统遭到拒绝服务（DoS）攻击。该漏洞起初是由大众汽车的用户发现的，随后大众汽车方面确认了该漏洞，漏洞的标识为CVE-2023-34733。 关于漏洞详情 根据GitHub的报告，发现并报告该漏洞的人所使用的车型是大众捷达2021。根据NIST的报告，该漏洞的评分是6.8，是一个中等严重漏洞。 起初该用户将他的笔记本电脑连接到大众汽车的USB端口，并用模糊器生成媒体文件。随后进行模糊测试，以找出大众汽车媒体系统的漏洞。该实验是在包括MP3、WMA、WAV等媒体文件上进行的。 该用户在GitHub上写道，”由于大众汽车的媒体播放器比预期的更强大，我专门为大众汽车的信息娱乐系统创建了一个单独的媒体文件模糊器。我每天模糊处理2万多个媒体文件，经过一天的模糊测试，发现了OGG文件的漏洞”。 然后通过模糊测试识别了一个媒体文件，导致大众汽车媒体系统中的漏洞被触发。这也导致了大众汽车信息娱乐系统在关闭后无法打开。 当USB插入端口时，媒体文件会自动播放，信息娱乐系统会被强行终止，这个现象可以通过手动重启大众汽车信息娱乐系统来解决。 据观察，该漏洞可能导致远程代码执行等安全问题。 大众汽车对该漏洞的回应 该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后，德国汽车巨头对该漏洞进行了确认。 大众汽车给用户的回复截图（照片：GitHub） 该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞，后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 “zj3t “的用户确认了该漏洞，并表示该漏洞是一个产品质量的问题，会及时改进。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370513.html 封面来源于网络，如有侵权请联系删除