罗技正式确认数据泄露，甲骨文 EBS 漏洞余波再添受害者

HackerNews 编译，转载请注明出处：

上周五，科技制造商罗技向美国证券交易委员会提交文件，证实遭遇一起利涉及零日漏洞的网络安全事件。该公司表示，调查发现黑客“利用某第三方软件平台的漏洞，从内部IT系统复制了特定数据”。

罗技表示，他们已在软件平台供应商发布补丁后立即修复该零日漏洞。“受影响数据可能包含有限的员工与消费者信息，以及客户和供应商相关数据，但未涉及国民身份证号或信用卡信息等敏感个人信息。”

公司同时称此次攻击未影响其产品、业务运营或制造体系，预计不会造成财务影响，相关成本将由网络安全保险承担。

此次文件提交距网络犯罪组织Clop宣称通过甲骨文 E-Business Suite工具中的零日漏洞窃取罗技信息已过去一周。

虽然罗技发言人拒绝证实该事件是否涉及Clop组织或甲骨文漏洞，但谷歌等安全公司的报告显示，黑客确实利用了甲骨文电子商务套件中的多个漏洞，其中至少一个零日漏洞已于9月被列入联邦观察名单。

Clop组织最初于10月宣称通过该应用窃取了敏感信息。

甲骨文方面虽承认黑客利用漏洞发起攻击，但最初称这些漏洞已在7月更新中修复。

FBI助理局长布雷特·莱瑟曼曾强调，其中某个漏洞属于“立即停工修复”级别的重大安全隐患。

随着事件发酵，多家机构相继确认数据遭窃，包括美国地区航空公司GoJet、SkyWest等。《华盛顿邮报》上周向监管机构报告称，近万人在此次事件中信息泄露。自宣称对甲骨文电子商务套件零日漏洞利用负责以来，Clop已在泄密网站列出数十家受害机构。

据悉，Clop近年来通过利用Progress、Accellion和GoAnywhere等知名文件传输工具中的漏洞，已非法获利数亿美元。

消息来源：therecord.media；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文