HackerNews 编译，转载请注明出处： 勒索组织 ShinyHunters 公布了据称从美国数字汽车平台 CarGurus 窃取的超过 1200 万条记录中的个人信息。 CarGurus 是一家上市的汽车资讯与购车服务公司，业务覆盖美国、加拿大和英国。 其网站每月约有 4000 万访问者，帮助用户查找、对比新车和二手车，并与卖家联系。 2 月 21 日，该威胁组织发布了一个 6.1GB 的压缩包，内含 1240 万条记录，声称数据来自 CarGurus。 一天后，数据泄露监测与提醒平台 HaveIBeenPwned（HIBP）收录了该数据集，并列出以下泄露数据类型： ·     电子邮箱地址 ·    IP 地址 ·    姓名 ·    电话号码 ·    居住地址 ·    用户账户 ID ·    金融预审批申请数据 ·    金融申请结果 ·    经销商账户详情 ·    订阅信息 尽管 CarGurus 尚未发布官方声明披露数据泄露事件，也未回应 BleepingComputer 的置评请求，但需要注意的是，HIBP 在收录前会尝试核实泄露记录的真实性与有效性。 HIBP 报告称，70% 的泄露数据已在之前的事件中存入其数据库，因此约有 370 万条记录为新增数据。 由于这些信息可免费下载，网络犯罪分子可能会利用其实施钓鱼攻击。 ShinyHunters 将 CarGurus 列为其受害者（来源：BleepingComputer） 建议 CarGurus 用户警惕利用泄露信息发起的潜在恶意通信与诈骗行为。 数据勒索组织 ShinyHunters 近期十分活跃，宣称对多家大型企业发起攻击，并在谈判破裂后泄露其数据。 最近的案例包括荷兰电信运营商 Odido、广告技术公司 Optimizely、金融科技公司 Figure、服装品牌 Canada Goose、连锁餐厅 Panera Bread、在线交友公司 Match Group 以及音乐流媒体平台 SoundCloud。 该威胁组织通常使用社会工程学（最常见的是语音钓鱼）入侵机构，引导受害者访问凭证窃取页面，从而获取对 Salesforce、Okta、Microsoft 365 等 SaaS 平台的访问权限。 ShinyHunters 此前的攻击活动还包括诱骗员工安装恶意 OAuth 应用，从而获得对 Salesforce 内部客户数据表的 API 级读取权限。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403″禁止访问”错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。 “我们获悉某自称威胁行为者的组织访问了公司持有的部分有限数据，”SoundCloud声明称，”已完成受影响数据的调查，确认未涉及财务数据或密码等敏感信息。泄露数据仅包含电子邮件地址及SoundCloud公开个人资料中已显示的信息。” 尽管SoundCloud未披露事件具体细节，BleepingComputer获悉此次泄露影响平台20%用户（约2800万账户，基于公开用户数据计算）。SoundCloud随后发布的安全公告证实了该媒体信源的信息准确性。 调查发现，勒索组织ShinyHunters是本次攻击的幕后黑手，该组织曾试图勒索SoundCloud。公司1月15日更新确认了该情况，称威胁行为者”提出勒索要求，并通过邮件洪水攻击骚扰用户、员工及合作伙伴”。 虽然SoundCloud尚未公布具体受影响用户数量，但数据泄露通知服务”Have I Been Pwned”周一披露了事件全貌：约2980万账户的电子邮箱、地理位置、姓名、用户名及个人资料统计数据在此次事件中被窃取。 该通知服务说明称：”2025年12月，SoundCloud宣布发现平台存在未授权活动。攻击者借此将约20%用户的公开资料数据与电子邮箱地址进行匹配。受影响数据包含3000万个独立邮箱地址、姓名、用户名、头像、关注者统计信息，部分案例还涉及用户所在国家。攻击者随后试图勒索SoundCloud，并于次月公开泄露数据。” BleepingComputer今日再次就12月事件联系SoundCloud询问细节，尚未获得即时回复。值得关注的是，ShinyHunters上周还宣称对Okta、微软及谷歌单点登录账户的语音钓鱼攻击浪潮负责，此类攻击可能导致企业SaaS平台被入侵进而窃取数据用于勒索。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了黑客组织 ShinyHunters所使用的 BreachForums 论坛域名。该域名此前被用作数据泄露勒索平台，与针对 Salesforce 的大规模攻击相关；而该黑客组织声称，执法部门还窃取了这个臭名昭著的黑客论坛的数据库备份。 此次被查封的域名为 Breachforums.hn。今年夏天，该域名曾被用于重新上线 BreachForums 黑客论坛，但不久后，因多名涉嫌运营该论坛的人员被捕，网站再次下线。 2025 年 10 月，一个名为 “Scattered Lapsus$ Hunters”的黑客团伙将该域名改造为 Salesforce 数据泄露平台，以勒索那些受 Salesforce 数据窃取攻击影响的企业。该团伙声称其成员与 ShinyHunters、Scattered Spider及 Lapsus$这三个勒索组织存在关联。 上周二，该平台的明网域名 breachforums.hn 及其 Tor 暗网版本均已下线。其中，Tor 暗网站点很快恢复访问，但 BreachForums 明网域名始终无法打开 —— 其域名已切换至美国政府此前查封其他域名时所用的 Cloudflare 域名服务器。  10 月 9 日晚，FBI 完成了查封行动：在该网站添加了查封公告横幅，并将域名的域名服务器切换为 ns1.fbi.seized.gov 与 ns2.fbi.seized.gov。 根据查封公告内容，在美国与法国执法部门的协作下，双方在 Scattered Lapsus$ Hunters团伙开始泄露 Salesforce 攻击所获数据之前，就已控制了 BreachForums 论坛的网络基础设施。 然而，由于该团伙的 Tor 暗网站点仍可访问，其声称将在美国东部时间10月10日晚 11 点 59 分开始泄露 Salesforce 相关数据，目标直指未支付赎金的企业。 2023 年以来的数据库备份已被 FBI 掌控 除捣毁上述数据泄露平台外，ShinyHunters 组织证实，执法部门还获取了 BreachForums 黑客论坛此前多个版本的存档数据库。 “BleepingComputer”媒体核实，ShinyHunters通过 Telegram 发布了一条用其 PGP 密钥签名的信息。该黑客组织在信息中称，此次查封 “早已不可避免”，并表示 “论坛时代已经结束”。 通过对执法部门行动后的情况分析，ShinyHunters得出结论：2023 年以来 BreachForums 论坛的所有数据库备份，以及该论坛最新一次重启后所有的第三方托管（escrow）数据库，均已被泄露。 该团伙还表示，其后台服务器已被查封，但该组织在暗网上的数据泄露站点仍在运行。 ShinyHunters称，其核心管理团队无人被捕，但不会再重新上线 BreachForums 论坛，并指出从今往后，此类论坛都应被视为 “蜜罐”。 根据该黑客组织的消息，在RaidForum平台被捣毁后，同一核心团队曾计划多次重启论坛，并利用 pompompurin等管理员作为幌子。 ShinyHunters 团伙在 FBI 查封 BreachForums 后的声明 该网络犯罪团伙强调，此次查封并未影响其针对 Salesforce 的攻击行动，数据泄露仍按原计划于美东时间当日晚 11 点 59 分进行。 该团伙的暗网数据泄露站点显示，受 Salesforce 攻击影响的企业名单冗长，其中包括联邦快递（FedEx）、迪士尼 / 葫芦视频（Disney/Hulu）、家得宝（Home Depot）、万豪（Marriott）、谷歌（Google）、思科（Cisco）、丰田（Toyota）、盖璞（Gap）、麦当劳（McDonald’s）、沃尔格林（Walgreens）、因斯塔卡特（Instacart）、卡地亚（Cartier）、阿迪达斯（Adidas）、萨克斯第五大道精品百货（Saks Fifth Avenue）、法航 – 荷航集团（Air France & KLM）、环联（TransUnion）、HBO MAX、联合包裹速递服务公司（UPS）、香奈儿（Chanel）及宜家（IKEA）等。 黑客声称，他们窃取了超 10 亿条包含用户信息的记录。 Scattered Lapsus$ Hunters利用 BreachForums 开展 Salesforce 攻击行动 BreachForums 论坛最近一次以经典形式重启，是由ShinyHunters于 2025 年 7 月宣布的 —— 此前几天，法国执法部门逮捕了该论坛前几次重启版本的 4 名管理员，其中包括用户名分别为 ShinyHunters、Hollow、Noct 和 Depressed 的人员。 与此同时，美国当局宣布对凯・韦斯特（Kai West）提起指控。凯・韦斯特又名 “IntelBroker”，是 BreachForums 网络犯罪生态系统中的知名成员。 2025 年 8 月中旬，BreachForums 论坛下线。ShinyHunters发布了一条经 PGP 签名的消息，称该论坛的基础设施已被法国 BL2C 部门（注：法国警方专门打击网络犯罪的单位）和 FBI 查封，并警告不会再有后续重启计划。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据“我被挂了吗”（Have I Been Pwned）平台的最新数据，安联人寿（Allianz Life）7月遭遇的网络攻击导致约110万客户的个人信息泄露。此次攻击针对云端客户关系管理（CRM）系统，是广泛针对Salesforce托管数据库企业的大规模攻击活动的一部分。 安联人寿（德国安联集团美国子公司）表示，黑客获取了其140万客户中“大部分” 人员的数据，包括客户、金融专业人士及员工的信息。该公司确认攻击者窃取了个人详细资料，但当时未提供具体数字。 “我被挂了吗”平台披露的泄露数据类型包括： 姓名 出生日期 性别 电子邮箱地址 电话号码 家庭住址 安联人寿在向州政府提交的文件中还证实，社会安全号码（SSN） 同样被窃取。 “此次110万客户的敏感信息泄露影响重大，”ThreatAware首席执行官乔恩·阿博特（Jon Abbott）表示，“CRM工具存储的高价值信息正是攻击者的目标，这些数据可被其他犯罪分子用于身份盗窃和钓鱼攻击。” 攻击关联ShinyHunters组织 安全研究人员将事件归因于黑客组织ShinyHunters。该组织近期还入侵了谷歌、澳洲航空（Qantas）、Workday及多个零售品牌的Salesforce系统，以通过社会工程手段诱骗员工提供未授权访问而闻名。 “ShinyHunters等组织依赖快速推进的社会工程策略——通常通过致电或邮件威胁受害企业员工，若勒索未果则建立泄露网站施压支付赎金，”阿博特补充道。 调查显示，攻击者通过恶意OAuth应用渗透Salesforce实例后下载企业数据库。安联案例中，泄露文件据称包含数百万条记录，涉及投保人、顾问及合作机构。 企业响应与行业影响 安联人寿以调查仍在进行为由未回应最新发现，但承诺为受影响个人提供两年免费身份监控服务。 阿博特强调：“ShinyHunters的攻击模式凸显了基础安全措施的重要性，包括准确的资产清单、防篡改的身份验证和强化的服务台流程。” 安联人寿数据泄露是今年系列重大事件中的最新一起，加剧了金融和科技行业对广泛使用的云端系统安全性的担忧。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近期遭遇勒索组织ShinyHunters入侵其Salesforce数据库，该公司报告称此次网络安全事件未影响其自有系统，且谷歌产品内数据保持安全。但黑客已获取“潜在广告客户”的数据。 谷歌承认ShinyHunters勒索组织访问了其用于存储中小企业联系信息和相关备注的Salesforce数据库。2025年8月8日，谷歌表示已完成向受影响方发送事件通知邮件。谷歌发言人向媒体说明：“该事件影响了谷歌企业内部用于与潜在广告客户沟通的一个Salesforce实例中的部分数据。受影响系统包含基本商业联系信息，如企业名称、电话号码及相关备注。”谷歌同时保证其系统未被入侵：“谷歌产品或谷歌云内的数据未受影响。我们将持续更新博客内容以提供更多信息。谷歌安全团队已评估该实例并部署了缓解措施。” 此次事件涉及Salesforce——一个基于云的软件即服务（SaaS）客户关系管理（CRM）平台。谷歌曾于2025年6月5日警告存在针对Salesforce实例的持续钓鱼活动。据报道，多家公司已沦为同类骗局的受害者，包括三家法国奢侈品牌香奈儿、路易威登和迪奥，以及运动品牌阿迪达斯、丹麦珠宝商潘多拉。思科系统也披露其遭遇第三方CRM系统数据泄露。 被追踪为UNC6040的威胁行为体似乎与ShinyHunters有关联，其使用语音钓鱼（vishing）攻击入侵Salesforce实例。黑客冒充IT支持人员致电员工，诱骗受害者授权恶意应用。一旦获得授权，该应用便连接到目标组织的Salesforce门户，使黑客能够窃取数据。黑客滥用Salesforce自带的合法批量数据导入导出工具Data Loader。研究人员此前指出：“UNC6040还会直接索要用户凭证和多因素认证码，以通过Salesforce Data Loader应用认证并实施数据窃取。”遭UNC6040入侵的企业随后会面临ShinyHunters威胁组织的勒索要求。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响澳洲航空、安联人寿、路易威登和阿迪达斯等公司的数据泄露事件已被证实与勒索集团ShinyHunters有关。该组织通过语音钓鱼攻击（vishing）侵入Salesforce CRM实例窃取数据。 2025年6月，谷歌威胁情报小组（GTIG）发出警告，被追踪为UNC6040的威胁行为者正针对Salesforce客户发起社会工程攻击。攻击者冒充IT支持人员致电目标企业员工，诱骗其访问Salesforce的“连接应用程序设置”页面，并要求输入“连接代码”。该操作会将恶意版本的Salesforce Data Loader OAuth应用程序关联至目标的Salesforce环境。为增强欺骗性，攻击者有时将数据加载器组件重命名为“我的票务门户”。 GTIG指出，此类攻击主要通过语音钓鱼实施，但攻击者也会伪造Okta登录页面窃取凭证及多因素认证（MFA）令牌。 同期多家企业报告涉及第三方客服或云端CRM系统的数据泄露： LVMH旗下路易威登、迪奥和蒂芙尼披露客户信息库遭未授权访问，蒂芙尼韩国分公司称攻击者入侵了“用于管理客户数据的供应商平台”。路易威登确认泄露数据包含客户姓名、性别、电话、住址及购买记录，但否认支付信息外泄。 安联人寿发言人向BleepingComputer证实：“2025年7月16日，恶意威胁行为者侵入北美安联人寿使用的第三方云端CRM系统”。 澳航虽未公开确认涉事平台，但当地媒体报道及法庭文件显示，攻击目标“账户”和“联系人”数据库表均为Salesforce特有对象。 BleepingComputer核实上述公司均属谷歌所述同一攻击活动的目标。目前威胁行为者正通过邮件私下勒索企业，自称ShinyHunters。若勒索失败，预计将采取类似Snowflake攻击的手法分批泄露数据。 网络安全社区最初误将攻击归因于Scattered Spider（UNC3944），因二者战术相似且同期瞄准航空、零售和保险业。但关键差异在于： Scattered Spider通常实施全面网络入侵，最终窃取数据或部署勒索软件 ShinyHunters（UNC6040）专注于特定云平台的数据窃取勒索 安全研究人员Allan Liska指出：“已知攻击的重叠战术技术证明二者可能存在成员交叉”。 部分研究人员认为该组织代表其他黑客团伙实施勒索并分成，类似勒索软件即服务（RaaS）模式。同时运营黑客论坛BreachForums，2023年被FBI关闭后于2024年重启，展示强大恢复能力。历史攻击轨迹包括：2021年窃取AT&T的7000万客户信息（起拍价20万美元），2024年5月连续入侵桑坦德银行（3000万记录+2800万信用卡）和Ticketmaster（5.6亿条数据）。 Salesforce向BleepingComputer声明平台本身未受攻击，问题源于客户账户遭社会工程入侵，并建议企业采取以下措施： 访问控制：强制受信IP范围登录，限制连接应用程序权限 认证强化：全域启用多因素认证（MFA） 权限管理：遵循最小特权原则分配应用权限 监控升级：部署Salesforce Shield实现威胁检测与事件监控 应急机制：设立专属安全联系人处理事件响应 攻击者利用OAuth应用授权机制漏洞，通过社会工程诱骗员工授权恶意应用。此攻击不依赖平台漏洞，因此传统补丁更新无法防御。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文