德国电信流媒体服务数据遭泄露,3.24 亿条日志记录曝光
HackerNews 编译,转载请注明出处: 德国电信(Deutsche Telekom)旗下的电视及流媒体平台MagentaTV,因广告投放平台漏洞导致用户数据泄露。研究人员认为,包含用户IP地址和MAC地址在内的数据在被修复前已暴露数月。 今年6月中旬,Cybernews研究团队发现由服务器端广告插入(SSAI)平台Serverside.ai托管的一个未受保护的Elasticsearch实例,从而揭露了此次泄露。该团队表示,暴露实例上的所有数据均源自德国电信(DT)拥有的视频流聚合平台MagentaTV。 这家德国电信公司是欧洲最大的电信运营商,旗下拥有多家子公司及T-Mobile品牌。而Serverside.ai隶属于法国广告技术公司Equativ。 研究人员认为该实例至少自2025年2月初起即可公开访问,直至6月团队联系后才被撤出公开范围。团队已联系德国电信寻求回应,将在收到回复后更新内容。 泄露涉及哪些具体信息? 虽然暴露实例中的大部分信息可视为非敏感数据,但部分泄露日志包含MagentaTV客户发送请求的HTTP头部信息。用户每次与平台交互时都会生成带有HTTP头部的请求。 尽管第三方来源估计MagentaTV用户基数约为440万人,但暴露实例包含超过3.24亿条日志条目,数据量高达729GB。此外,研究人员称该实例每天新增400万至1800万条日志。 据团队分析,虽然大部分数据不敏感,但泄露内容仍包含部分用户数据: IP地址 MAC地址 会话ID 客户ID 用户代理 数据泄露揭示客户详情 这些暴露信息包括:唯一互联网连接标识符、硬件标识符、唯一用户账号、以及客户设备信息。理论上,攻击者可利用泄露数据追踪用户位置、识别身份并对特定设备发起定向攻击。但研究人员认为恶意利用这些数据需付出额外努力。 “理论上,包含客户ID和会话ID的HTTP头部可用于会话劫持,使攻击者无需账户信息或密码即可登录客户账户。但现实中,很可能存在额外的安全措施防止此类劫持。”研究人员解释道。 另一风险在于潜在的交叉比对。攻击者可将泄露数据与历史泄露库信息进行比对。由于IP地址常见于泄露数据中,这可能帮助恶意行为者识别MagentaTV用户。 调查还显示,MagentaTV服务主要通过德国电信销售的电视盒子访问,这与该流媒体聚合平台的所有权关系一致。这些设备由中国原始设备制造商(OEM)生产,后以德国电信合作品牌转售。团队认为此类OEM设备通常更易存在安全漏洞,加剧了此次泄露的风险。 “泄露信息对攻击者极具价值:暴露的IP地址有助于设备漏洞利用,而客户ID则能辅助网络犯罪分子实施攻击,具体危害取决于实际利用方式。”团队总结道。 消息来源:cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客宣称窃取 6400 万条 T-Mobile 数据记录
HackerNews 编译,转载请注明出处: 黑客组织宣称窃取6400万条T-Mobile用户数据,包含税务ID、设备识别码等新型敏感字段,数据时效截至2025年6月1日。若属实,这将成为T-Mobile近五年内第9次重大数据泄露。 T-Mobile在美国拥有约1.31亿客户,2024年营收超810亿美元。其多数股权由欧洲最大、全球第五大电信运营商德国电信持有。 与此同时,Cybernews研究团队分析了帖子附件中的数据样本。研究人员称,该样本于东部时间凌晨2点左右上传,包含大量敏感细节: 全名 出生日期 税务ID 完整地址 电话号码 电子邮箱地址 设备唯一识别码 网站行为追踪码 IP地址 威胁行为者可利用这些被盗信息实施身份盗窃、金融诈骗和钓鱼攻击。例如,恶意行为者可能使用个人详细信息开设欺诈账户、提交虚假纳税申报或申请贷款。同时,设备识别码、网站行为追踪码与IP地址的组合,可被用于收集用户数据、分析其在线习惯。攻击者利用此类情报对高价值目标实施鱼叉式钓鱼攻击。 研究团队无法准确判定黑客宣称窃取的6400万条记录是否对应同等数量的独立个体。Cybernews个人数据泄露检查工具显示,样本中至少部分邮箱地址曾出现在T-Mobile历史泄露事件中。团队还指出,本次泄露似乎包含此前未出现的数据类型(如电话号码),但目前无法100%验证数据真实性。 “若数据属实,暴露6400万条高度敏感信息将引发严重的身份盗窃/欺诈、监控及更精准的客户定向攻击风险,”研究团队表示。若泄露数据确属新增,受影响个人将面临严峻隐私威胁。“T-Mobile屡次发生数据泄露事件,这令人质疑其持续性安全漏洞及防护措施的有效性。” 德国电信旗下的T-Mobile在2020年代屡遭黑客攻击。去年10月,该公司因系列数据泄露事件同意支付超1575万美元罚款。和解协议覆盖四起独立事件,其中两起导致数千万客户数据暴露: 2021年8月事件影响7660万客户 2023年1月事件泄露3700万用户详细信息 和解还涉及2022年攻击者访问T-Mobile管理平台的事件,以及2023年攻击者窃取账户凭证查看特定客户数据的事件。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
英国警方逮捕去年 Mirai 攻击德国电信百万路由器的幕后黑手
据外媒报道,英国警方 22 日在机场逮捕了一名涉嫌大规模攻击德国电信的嫌疑人。 德国电信遭攻击事件发生在去年 11 月,攻击者针对 Speedport 路由器的 7547 端口进行 SOAP 远程代码执行漏洞的扫描,并利用 Mirai 恶意软件感染设备组成僵尸网络,超 90 万德国路由器受影响无法联网。 德国联邦刑事警察部队( BKA )23 日发布公告称,英国国家犯罪局( NCA )星期三在伦敦卢顿机场逮捕一名 29 岁的英国嫌疑人,他被指控参与了去年的德国电信攻击案,目前此案还在审理当中。BKA 补充称:这次能短时间内破案归功于,从一开始德国电信就与欧洲各执法机构展开合作,而且联邦信息安全办公室( BSI )还提供了技术援助,便于分析攻击者所使用的恶意软件。 BKA 称警方将引渡 29 岁的嫌疑人到德国面对计算机破坏的指控。如果被定罪,他可以被判处 10 年有期徒刑。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
德国电信遭黑客攻击:90万路由器下线 大量用户无法访问互联网
德国电信近日遭遇网络攻击,超 90 万路由器无法联网,德国电信方面已经确认了此事。断网事故始于当地时间 11 月 27 日(周日)17:00 左右,持续数个小时。周一上午 08:00 再次出现断网问题。除了联网服务外,德国电信用户还用这些路由器来连接电话和电视服务。 事件影响全国范围内的众多用户,具体影响范围如下图所示: 当地时间周一 12:00,德国电信在 Facebook 上放出通告称,其 2 千万用户已将问题解决,但其用户反映无法联网的问题依旧存在。 实际上德国电信并没有公布这次网络攻击的技术细节,甚至连究竟有哪些路由器受到影响都没提。有专家推测这次的攻击应该是恶意软件阻止了路由器连接到德国电信的网络。 SANS ISC 的安全专家周一早晨发布了一篇报告,其中提到针对 Speedport 路由器的 7547 端口进行 SOAP 远程代码执行漏洞的扫描和利用,近期发生了急剧增长。而 Speedport 路由器正是德国电信用户广泛使用的型号。 通过 Shodan 搜索,可以发现目前约 4100 万个设备开放 7547 端口。代码似乎是来自 Mirai 僵尸网络。目前,从蜜罐服务器的数据来看,针对每个目标IP,每5-10分钟就会收到一个请求。代码中的登录用户名和密码经过了混淆,和 Mirai 所用的算法一致。C&C 服务器也在 timeserver.host 域名下——这也是台 Mirai 服务器。而且连扫描 IP 的伪随机算法,看起来都直接复制了 Mirai 的源码。 稿源:Freebuf 节选,封面来源:百度搜索