澳大利亚 iiNet 用户数据泄露,波及 28 万账户
HackerNews 编译,转载请注明出处: 澳大利亚第二大互联网服务提供商(ISP)披露了一起重大数据泄露事件,波及数十万客户。 母公司TPG Telecom今日向澳大利亚证券交易所提交公告称,其子公司iiNet的订单管理系统遭到“不明第三方”非法入侵,该事件于上周六(8月16日)被发现。公告声明:“8月16日周六确认事件后,我们立即启动应急预案,切断了未经授权的系统访问途径,并已聘请外部IT及网络安全专家协助事件处置”。 TPG Telecom声称该订单管理系统仅存储“有限”的客户个人信息,未涉及身份证件、信用卡或其他财务资料。但公司承认非法第三方获取了以下数据: 28万个活跃iiNet邮箱地址 2万个活跃iiNet固定电话号码 1万个iiNet用户名、住址及电话号码 1700个调制解调器设置密码 数量不明的“休眠”邮箱地址及固话号码 目前尚不明确黑客如何获取iiNet员工的账户凭证,但近年来信息窃取程序威胁日益加剧。据近期研究显示,2021至2025年间已有超3万澳大利亚人的银行登录凭证通过此类恶意软件外泄。 该电信集团表示已联络澳大利亚网络安全中心(ACSC)、国家网络安全办公室(NOCS)、澳大利亚信号局(ASD)及澳大利亚信息专员办公室(OAIC)等相关部门。 自2022年起频发的数据泄露事件促使澳大利亚政府持续加强网络安全建设。此前该国已推出《2023-2030年网络安全战略》,旨在2030年前将澳大利亚打造为“全球网络安全领导者”;2024年更通过首部专项立法《网络安全法案》。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
中美超过4,000个ISP IP地址遭暴力破解攻击,黑客植入恶意软件
HackerNews 编译,转载请注明出处: 中国及美国西海岸的互联网服务提供商(ISP)近期遭遇大规模网络攻击,黑客通过入侵受害系统,植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告,此次攻击还涉及多个二进制程序,这些程序不仅可用于窃取数据,还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示,攻击者在操作过程中尽量减少入侵痕迹,以规避检测,除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透,并使用API(如Telegram)执行远程控制(C2)操作。” 此次攻击活动主要利用暴力破解手段,针对弱密码账户进行入侵。攻击源IP地址主要来自东欧,受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程:入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后,会通过PowerShell执行一系列恶意程序,包括网络扫描、信息窃取以及XMRig加密货币挖矿,以滥用受害设备的计算资源。 在执行恶意程序之前,攻击者通常会先关闭安全软件功能,并终止与挖矿检测相关的服务,以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能,该恶意软件还具备类似“剪贴板劫持”程序的特性,可监控受害者的剪贴板内容,专门窃取比特币(BTC)、以太坊(ETH)、币安链BEP2(ETHBEP2)、莱特币(LTC)和波场(TRX)等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外,受感染设备还会被植入一个二进制文件,用于执行额外的恶意负载,其中包括: Auto.exe:从C2服务器下载密码列表(pass.txt)和IP地址列表(ip.txt),用于后续暴力破解攻击 Masscan.exe:多功能端口扫描工具 大规模IP扫描,精准锁定目标 Splunk研究团队指出,攻击者专门针对美国西海岸及中国的ISP基础设施IP地址,并利用Masscan扫描工具批量扫描大量IP地址,以发现开放端口,并进一步实施凭证暴力破解攻击。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
谷歌关闭了两家俄罗斯 ISP 的缓存服务器
两家俄罗斯互联网服务提供商(ISP)收到Google的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点,用于更快地向互联网用户提供谷歌内容,并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的,isp可以将这些内容存储在服务器上,并更快地加载,给他们的订阅者更好的连接体验。 俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响,并证实Radiosvyaz(Focus Life)和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化,而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。 确认受影响的两家ISP已5月 19日关闭其缓存服务器,随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知,该通知确认了报告的有效性和所提供的理由。在通知中,谷歌表示关闭缓存服务器的原因是法律实践的变化,并指出公司和关键人物被列入制裁名单。 虽然此项制裁会对这两家俄罗斯ISP产生较大的影响,但好在这两家公司在俄罗斯国内的市场份额相对较小,所以也就不会对俄罗斯网民产生多大的影响。但是,如果谷歌将禁令扩大到所有俄罗斯互联网提供商,那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量,这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本,这可能会渗入订阅用户的每月账单里。 除此之外,关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器,例如 Google CAPTCHA。如果isp被禁用了这项服务,区分人类和机器人的系统可能无法在俄罗斯的网站上运行。 值得注意的是,俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。 由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔,且该公司被处以1亿美元巨额,所以该公司表示无法继续在俄罗斯开展业务。此外,莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产,以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而,谷歌的当地子公司并没有参与在俄罗斯提供缓存服务,因为这是谷歌全球业务的一部分,所以这两个问题没有联系,至少在技术层面上是这样。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334464.html 封面来源于网络,如有侵权请联系删除
Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息
Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。 (稿源:cnBeta,封面源自网络。)
澳大利亚讨论新法案:ISP 虚假宣传网速最高可罚 100 万澳元
澳大利亚政府正在讨论一项新法案,一旦成功签署将会认定互联网服务提供商(ISP)虚假宣传高速连接属于违法行为,最高可判处 100 万澳元的罚款。提出该法案的国会议员 Andrew Wilkie 在接受外媒 Motherboard 采访中表示:“比拨号上网低速更可恶的是,ISP 许诺为人们提供超快速的网络连接。” 他表示一名澳大利亚居民抱怨称他支付了下行速度 25 Mbps 上行速度为 5Mbps 的上网费用,但实际网速不足十分之一。这项法案还要求 ISP 提升在互联网速度的透明度,并罗列出可能会影响用户上网体验的所有因素。 稿源:cnBeta.com,封面源自网络
废除网络中立规则后,全美超 750 个社区用区域自建方案替代 ISP 服务
距离美国联邦通信委员会( FCC )废除网络中立规则已经过去一个多月时间,FCC 最终将互联网的未来交给了互联网服务供应商( ISP )手中,这将扼杀网络的开放性。据 Motherboard 网站报道,美国许多社区为了掌握自己的宽带服务质量,自建 ISP 宽带网络方案已经如雨后春笋般席卷美国。美国非营利性组织地方自立协会( Institute for Local Self-Reliance,ILSR )最新调查研究表明全美境内已经有超 750 个社区通过自建宽带网络、市营宽带、电力公司网络取代网络供应商。 2017 年 12 月 14 日,美国网络中立法案正式废除。所谓 “ 网络中立 ”,是指为确保用户自由访问网络,互联网服务提供商不得控制网络数据传输的优先级。比如 14 年奥巴马政府建议的网络中立五大原则:禁止运营商封锁网站、禁止减慢加载速度、禁止为加速额外付费、必须增强服务数据透明度和监管无宽带的无线网络。 该法案的废除,意味着互联网服务提供商从此可以阻止或减速互联网内容提供商。 ILSR提供了全美社区自建 IS P的互动地图,超过 750 个社区通过互助和自建的方式建立了区域性宽带访问网络。创建自己的 ISP 大概需要花费 2.5 万美元(折合人民币约为 16 万元),费用包括了成本、硬件平台等,规避了 ISP 的宽带访问限制,尽管大型 ISP 极力阻挠,并游说 20 个州立法禁止社区宽带网络的出现,但糟糕的宽带服务质量和对内容商的访问速度限制,都让这一自建方案不断地如雨后春笋般在全美盛行。 相关阅读: 继蒙大拿州后 纽约州州长也签署了 “ 网络中立 ” 行政命令 稿源:cnBeta,封面源自网络;
ISP 用限制恒温器访问威胁盗版嫌疑人
美国 ISP Armstrong 用限制恒温器访问来威胁盗版嫌疑人。Armstrong 致函客户,称它收到了多个侵权通知,督促用户停止盗版行为,否则它可能会降低用户的网速。这还不是最糟糕的,网络服务水平的降低还可能限制到用户对恒温器的远程访问。 这在冬天可能是很糟糕的事情。想想看你回到家中发现温度降到零下,而提高室温是需要很长一段时间的。Armstrong 称,受到指控的盗版嫌疑人如果要完全恢复服务需要回答版权相关的问题和观看相关的教育视频。 稿源:cnBeta、solidot,封面源自网络;
美多家 ISP 经历大范围网络故障:又是“乌龙指”的错?
据外媒报道,美国昨日遭遇了一场大范围的断网。从西海岸的加利福尼亚、到东边的纽约,多家互联网服务提供商(ISP)均受到了影响。DownDetector.com 给出的最新信息显示,康卡斯特(Comcast)在山景城、丹佛、纽约、波特兰、芝加哥、西雅图、休斯顿、旧金山、以及明尼阿波利斯等地的节点受影响较大。 当前暂不清楚引发本次大规模网络故障的原因,但 Comcast 公司在 Twitter 上表示:“部分使用 XFINITY 互联网服务的客户遇到了些问题,我们对此深表歉意,希望大家能耐心等待修复”。 据 Practical Ecommerce 报道,作为美国地区最佳的一家有限宽带互联网服务提供商,康卡斯特旗下拥有大约 1.1 亿客户。但是除了康卡斯特,Verizon 也面临着同样的问题(如下图所示): 奇怪的是,问题报告同样主要来自纽约、山景城、华盛顿、罗契斯特等地。实际上,多家运营商都收到了本次网络故障的影响,你可以在 DownDetecror.com 上检索当地是否受到波及。据 Wired 报道,本次事件由一次“路由泄露”(route leak)意外引发。当 Autonomous Systems 公司在自家网络上分配了不正确的 IP 地址信息之后,导致 ISP 的路由效率低下和失效。 稿源:cnBeta,封面源自网络;
间谍软件 FinSpy 新变种借助多国互联网服务提供商(ISP)进行 MitM 攻击传播
HackerNews.cc 9 月 21 日消息,网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商(ISP)涉嫌分发间谍软件 FinSpy 新变种。研究人员推测,攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击,以传播恶意软件 FinSpy 新变种,并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。 近期,研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析,怀疑 FinSpy 可能不是通过本地网络,而是利用 ISP 进行 MitM 攻击传播。消息指出,此前维基解密泄露的文件曾透露,销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包,已知的两国受害者恰好都使用着同一个互联网服务提供商(ISP),但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制: 研究人员表示,FinSpy 新变种在很大程度上得到了优化,即利用自定义代码虚拟化保护部分组件,从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外,整个代码均具备反拆卸功能,致使研究人员的分析更加困难。经调查显示,这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而,黑客除通过 ISP 开展 MitM 攻击外,还利用恶意软件此前的机制于其他五个国家进行分发。目前,ESET 在告知开发公司 Gamma 后立即也通知了受害国家,以避免将用户置于危险之中。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
美国 ISP:网页浏览及软件使用历史记录应定性为非敏感数据
据外媒报道,ISP 希望美国联邦政府将网页浏览以及软件使用历史数据列为非敏感数据。CTIA 在提交给 FCC 的文件中提出了这点。获悉,CTIA 为 AT&T、Verizon Wireless、T-Mobile USA 和 Sprint 等移动宽带服务供应商的主要游说集团。 在奥巴马执政时代,FCC 作出了要求 ISP 在向广告商以及其他第三方分享消费者敏感数据之前需获得消费者的选择加入许可的规定。当时,FCC 将网页浏览历史数据和软件使用历史数据都被列为敏感信息,另外还包括了地理位置数据、财务与健康信息、通信内容等。如果这些规定被推翻,那么 ISP 将可以将这些消费者数据卖给广告商。 虽然选择加入规定将要等到今年 12 月 4 日或更晚才会生效,但 ISP 已经开始行动,它们向 FCC 提出废除该规定的请愿。CTIA 表示,在对待这一问题,FTC 则采取了跟 FCC 不同的立场。该机构指出,为了从 FTC 的框架中出来、为证明网页浏览历史记录为敏感数据,FCC 及其支持者专门精挑细选出他们所需的证据,以此来证明 ISP 具备了进入消费者在线信息的能力,然而完整记录显示这种结论不完全正确。即便是大型隐私倡导组织–电子隐私信息中心也表明,对于消费者来说最大的持续性威胁并非是 ISP,而是那些边缘服务供应商。 据了解,这些边缘服务供应商由 FTC 监管,然而该机构却对家庭以及移动互联网服务供应商却没有监管权,因为它们都是常规的通信运营商。即便 FCC 或国会愿意对常规运营商的分类作出调整,但在那个时候,FTC 仍旧没法监管像 AT&T 等这样 ISP 的权力,因为它们的业务包含有移动语音服务。 不过公共知识以及其他一些消费者倡导集团则认为 FCC 的做法是正确的。因为在他们看来,即便这些数据得到了加密,但 ISP 仍旧能够收集带有消费者政治观点、性取向或其他敏感信息的能力,所以所有的电话历史记录、视频观看历史记录、网页浏览记录都是敏感信息,而 ISP 在使用之前则必须要征得消费者同意才行。另外,它们还表示,该规定符合 FTC 的框架。 稿源:cnBeta;封面源自网络