”暗网下/AWX“在上个月中旬报道了美国哥伦布市遭受勒索软件团伙Rhysida的网络攻击,近日,该事件愈演愈烈。据透露,哥伦布市数据库泄露到暗网上的最新敏感信息包括卧底警察和被强奸儿童受害者的姓名和个人信息。
网络安全专家康纳·古德沃尔夫(Connor Goodwolf)表示,他从暗网上下载了一个数据库,该数据库被称为市检察官办公室的“矩阵犯罪数据库”,其中包括自2010年代中期以来警察撰写的每一份事件报告和逮捕记录。
其中包括警官和受害者的姓名、地址和社会保险号码等个人信息、卧底警察的姓名以及事件摘要和证人与受害者陈述等证据。
古德沃尔夫说,其中甚至还包括被强奸儿童受害者和家庭暴力幸存者的姓名。
“我们谈论的也是信息。关于受害者、嫌疑人、证人的信息。这包括(个人身份信息)。这可以包括姓名、地址、电话号码、社会保险号、职业、雇主。所有这些都在这里,”古德沃尔夫说。
古德沃尔夫声称,所有这些敏感数据都没有得到加密或他所说的基本网络安全技术的妥善保护。他声称,到目前为止,他在网上找到的唯一受到此类保护的数据是城市工资单数据和健康记录。
“光是这个数据库,我就能花上几个小时来描述。这些信息本来就应该受到保护。应该遵循常见的安全措施和标准的安全措施,”古德沃尔夫说。
周三晚上,市长安德鲁·金瑟(Andrew J. Ginther)对最新发现的一批记录发表了评论。
“正如我之前所说,我们可以预见到,越来越多的个人身份信息被确认发布在暗网上,”金瑟说。“暗网是罪犯分子的天堂。窃取哥伦布市数据的人是罪犯,任何使用或泄露被盗机密信息的人也都是罪犯。
他说:“联邦调查局、市检察官扎克·克莱因、我们的技术部门和网络安全专家正在不分昼夜地开展这项刑事调查。”
克莱因周四上午也发表了一份声明。
“在市检察官办公室,我们尽一切努力保护证人和受害者免受这些网络罪犯的进一步侵害。这就是为什么我的办公室与CHOICES和法律援助机构合作,以确保我们的社区合作伙伴团结一致,共同确保受害者的安全,”克莱因说。
“我的办公室将继续配合正在进行的刑事调查。此外,获取和共享某些类型的证据、极其敏感的调查信息或执法人员数据,或以其他方式干扰正在进行的刑事调查或起诉都是违法的,我们会毫不犹豫地对任何获取或披露此类信息的个人采取适当的法律行动,”克莱因在声明中继续说道。
调查称,网上泄露的数据可以追溯到网络犯罪团伙Rhysida,该市称市政府一名员工下载了受感染的文件后,该团伙试图部署勒索软件。
尽管该市称其阻止了勒索软件加密其文件,但该团伙仍将未知数量的城市数据泄露到了暗网上。
目前,州、市和联邦执法部门仍在处理此事。
据透露,数十万城市居民的个人数据可能已被泄露到暗网网上。
哥伦布市政府正在为所有居民提供免费的信用监控服务。
古德沃尔夫表示,这些数据库中似乎有很多案件特别敏感。不仅仅有被强奸的儿童受害者和家庭暴力案件,还有保护令之类的案件。
“这真是太令人揪心了,我感觉胃在翻腾,”古德沃尔夫说。
古德沃尔夫表示,人们应该利用免费的信用监控,但也要考虑其他选择。他提到的想法包括更改所有密码、开设新的银行账户,甚至在特别敏感的犯罪数据被泄露的情况下搬离哥伦布市。
哥伦布市已经面临来自多名原告的集体诉讼,指控哥伦布市没有采取足够措施保护他们的在线个人信息。这些原告包括哥伦布市警察局和消防局的前任和现任成员。
警察兄弟会首都第9号分会主席布莱恩·斯蒂尔(Brian Steel)表示,他尤其担心卧底警察的安全。
“这些人已经冒了很大的风险。你要记住,这些卧底警察是秘密潜入贩毒集团、街头帮派等组织,以便打击有组织犯罪。所以,这非常令人担忧,”斯蒂尔说。
斯蒂尔表示,被强奸的儿童受害者的个人信息被曝光在暗网上流传这一事实让他更加担忧。
“这些东西本来就不应该公之于众,因为它们太令人发指了。其中的一些犯罪细节令人作呕,”斯蒂尔说。
斯蒂尔表示,如果这些数据确实没有加密,他希望市政府能够承担责任。
“如果情况确实如此,而市政府忽视了保护公众、保护犯罪受害者和保护员工的基本职责,那么FOP希望他们承担责任。同样,就像我希望我的成员也能承担责任一样,如果他们完全忽视了自己的职责,就像现在看来市政府所做的那样。”斯蒂尔说。
古德沃尔夫表示,暗网上的任何人都可以获得这些数据,只要他有能力,下载并弄清楚如何打开Rhysida丢弃的这些文件。
古德沃尔夫表示,他认为这次黑客事件之后,人们对这座城市的信任已经“彻底消失”。
哥伦布市长安德鲁·金瑟(Andrew Ginther)和市检察官扎克·克莱恩(Zach Klein)讨论了勒索软件攻击,该攻击已泄露数千名哥伦布居民的私人信息。
哥伦布市市长安德鲁·金瑟(Andrew J. Ginther)证实,在一次导致该市陷入瘫痪的网络攻击后,居民和其他人的个人信息被发布在暗网上。
金瑟在关于7月18日网络攻击的新闻发布会上表示:“个人身份信息被发布到了暗网上。”
金瑟尔说:“我可以遗憾地说,我们将发现更多的个人信息将被访问或公布。”
该市之前宣布,将向所有城市居民以及勒索软件攻击后受到影响的其他人员提供信用监控服务。
Experian提供的服务包括两年的免费监控,保护的最高金额达100万美元,用于防范欺诈和身份盗窃。
他说,Experian的保护措施可能会花费该市数百万美元。
该市最初只向现任和前任员工提供这项服务。后来发现,这次攻击影响了普通居民的日常公民身份信息。
金瑟表示,市政府官员并不清楚有多少人(包括员工、退休人员、居民和其他人)受到影响。
暗网上发布的信息包括市检察官的数据库,其中包含有关被告、受害者和证人的信息。
哥伦布市检察官扎克·克莱因(Zach Klein)表示,他已经联系哥伦布法律援助协会(Legal Aid Society of Columbus),为有需要的人申请民事保护令。
金瑟表示,该市将继续恢复受到黑客攻击影响的服务。
金瑟说:“这是一个非常复杂且迅速变化的局面。”
网络犯罪集团Rhysida声称对此次攻击负责。该集团以出价近200万美元的比特币向潜在买家出售这些数据。
周二,金瑟告诉记者,该犯罪集团获取并在暗网上发布的所有个人数据均无法使用。
周六,金瑟尔表示,这是他当时掌握的最佳信息,但现在他表示,这是不准确的。
他说:“我承担全部责任。”
居住在该市的网络安全专家康纳·古德沃尔夫(Connor Goodwolf)一直在暗网上监控发布的城市数据。他周六称,他看到了可追溯到2006年的信息。
古德沃尔夫(他的名字是化名,不是他的法定姓名)表示,他听说有人担心他们的信用和银行账户评级会被重新评级。
古德沃尔夫表示,约有45%被盗城市数据可以在暗网上找到,这意味着55%的数据已被出售。
他说:“他们如何处理数据由他们自己决定。”
他说:“我相信,这些被出售的信息正被积极利用来伤害个人。”
他说他也看到了居住在哥伦布以外的公民的个人信息。
他说,部分数据是加密的。
古德沃尔夫表示他自己可能会注册Experian信用监控。
该市已经面临警方的诉讼,警方称该市在阻止勒索软件攻击方面做得不够,在攻击发生后也没有向员工发出警报。
金瑟表示,该市五年来花费了超过1200万美元来加强网络安全系统。
该市居民可以点击此处注册Experian信用监控,或在11月29日前拨打1-833-918-5161并输入代码B129833。
本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。
第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。
emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。
据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。
在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。
虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。
第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。
emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。
据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现:
在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。
多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。
第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。
BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。
然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。
不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。
由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。
emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。
emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是:
ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题!
emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?
超过三分之二的英国国会议员的数据已被泄露到暗网。这相当于目前在下议院任职的政客的70%左右,包括那些应该负责英国网络安全的政客。
这一令人震惊的数据来自领先的数字风险公司Constella Intelligence和端对端加密邮件服务ProtonMail背后的厂商——隐私提供商Proton的联合调查。根据他们的记录,在650名议员中,共有443名的个人信息在黑客攻击或入侵中被泄露,这些信息是从议员使用议会电子邮件地址注册的第三方服务中收集的。
事实证明,在账户安全方面,英国议员的表现也远不如欧洲和法国政客。不到一半的欧洲议会议员(44%)受到影响,据报道,只有18%的法国国民议会和参议院议员的个人信息被泄露。Proton是一家总部位于瑞士的安全软件供应商,也是市场上最好的VPN服务提供商之一,现在它呼吁下一届英国政府最终“认真对待网络安全问题”。
“在当今的数字环境中,强大的网络安全实践至关重要,尤其是对于那些身居要职的人而言。考虑到国会议员拥有的访问权限,一个泄露的密码可能会导致严重的国家安全漏洞,”Proton账户安全主管Eamonn Maguire表示。
研究人员发现,暗网中曝光了216个与被泄露的国会议员账户相关的纯文本密码,令人震惊的是,仅一名国会议员就泄露了多达10个密码。政客的议会电子邮件是涉及泄露的最大数据,在暗网上被曝光了2110次。虽然被泄露的议员信息平均被曝光4.7次,但最常被攻击的议员遭受了多达30次泄露。
这些数字令人担忧,因为泄露的电子邮件和密码可以成为人们在线账户的万能钥匙。犯罪分子利用人们在不同账户中使用相同密码的习惯,采用“凭证填充”的手段,在各种不同平台上尝试输入数千个被盗密码和电子邮件地址。
社交媒体资料也受到影响。Instagram个人资料被泄露16次,LinkedIn个人资料被泄露117次,X账户被泄露21次,Facebook账户被泄露21次。这尤其危险,因为社交媒体平台包含大量个人信息。
不过,如此惊人的数字并不令人惊讶。越来越多的组织和个人成为网络攻击和数据泄露的目标。2024年1月,“所有数据泄露之母”泄露了12TB的数据,约260亿条记录。现在几乎每天都有新的数据泄露报告,最新一次涉及25000名BBC员工的个人信息。
对许多正常人来说,风险都很高,但对政治家等位高权重的人来说,风险就更高了,因为一旦泄密,就可能关系到国家安全问题,尤其是在网络战日益猖獗的今天。
关于这一点,Maguire表示:“对于任何公众人物来说,保持警惕都是必不可少的,以保护个人和国家安全,我们呼吁大选后的新政府认真对待网络安全,并呼吁所有议员采取更好的账户安全措施。”
每个人都可能成为攻击目标 这不仅仅是国会议员、记者或其他有影响力的人物所担心的问题——每个人都可能成为目标。目标可能不同,但参与黑客攻击的手段不会改变。
“许多人低估了自己的脆弱性,但现实是,每个人都是网络犯罪分子潜在的目标,”Maguire说。
这就是为什么Proton呼吁国会议员——但这可以扩展到我们所有人——采取一些措施确保在线账户尽可能安全。
作为一条经验法则,Proton建议国会议员避免使用自己的议会电子邮件地址注册第三方服务。
使用可靠的密码管理工具也很有好处,它可以帮助您找到强密码并记住它们——Proton有自己的免费Proton Pass。电子邮件别名也很方便,可以在注册时掩盖真实的电子邮件账户,注册数据警报软件可以在您的信息泄露时及时通知您。
Frotcom International是全球领先的智能车队管理和GPS跟踪解决方案提供商。
暗网论坛BreachForums上一位名叫DuckyMummy的黑客声称对Frotcom International涉嫌数据泄露事件负责,该公司是一家总部位于葡萄牙卡纳西德的车辆跟踪和车队管理领域的知名企业。
BreachForums上披露的Frotcom数据泄露事件暴露了Frotcom内部系统的漏洞,可能会泄露敏感信息,包括GPS IMEI号码、实时车辆跟踪数据、账单详细信息和客户帐户信息。
暗网上正在出售Frotcom数据 DuckyMummy在BreachForums论坛上的帖子详细描述了Frotcom数据泄露的严重程度,表明可以访问40多个国家和5000多家公司的内部系统。
被泄露的数据包含对Frotcom运营至关重要的大量信息,从GPS跟踪数据到客户账单信息。
为了证明他们的说法,威胁行为者分享了显示按国家/地区排序的实时GPS车辆信息的样本记录,并以5000美元起售的惊人价格出售被入侵的数据库。
黑客表示:“这些天来,我已经突破了Frotcom公司的安全防御系统,我已经转储了所有信息并访问了公司的所有内部系统,40多个国家,5000多家公司!”
根据广告帖子,“暗网下/AWX”发现,DuckyMummy称出售以下信息:
公司 GPS IMEI 编号、实时车辆信息、账单信息、电子邮件、电话号码、车牌、燃料等公司数据库里的所有信息。
目前,尚未收到任何Frotcom官方的声明或回应,因此有关Frotcom数据泄露的指控尚未得到证实。
针对货运公司的网络攻击日益增多 Frotcom数据泄露并不是一个孤立的事件,它提醒人们,在日益数字化的世界中,交通运输行业面临着日益严重的网络安全威胁。 随着交通系统越来越依赖互联的数字技术,这些系统已成为网络威胁者的有利可图的目标,他们试图破坏运营、勒索敏感数据或造成经济损失。
网络攻击对交通基础设施的影响是深远的,从供应链中断到乘客敏感数据的泄露。 最近发生的勒索软件攻击日本名古屋港事件,导致名古屋港停运两天,突显了此类网络攻击行为对全球贸易和商业的现实影响。
此外,网络威胁的性质给交通部门带来了巨大挑战。 攻击媒介变得越来越多样化,入侵通常来自第三方供应链合作伙伴或软件供应商。 此外,出于政治动机的威胁行为者的崛起使该领域进一步复杂化,讲俄语的黑客声称对美国机场发起的DDoS攻击就证明了这一点。
本站(anwangxia.com)回顾历史事件,针对交通基础设施的网络事件已造成广泛的破坏和社会危害。从针对捷克铁路和机场的DDoS攻击到影响意大利国家铁路的勒索软件攻击事件,这些事件凸显了交通系统在恶意网络活动面前的脆弱性。
黑客发布的样本数据 Albania – 235
Angola – 7840
Austria – 26
Bahrain – 50
Belgium – 100
Benelux – 3597
Bosnia – 293
Botswana – 803
Brazil – 515
Bulgaria – 40473
Cameroun – 119
Cape verde – 250
Chile – 1700
Colombia – 2000
戴尔披露客户地址数据泄露事件 本站(anwangxia.com)前期报道,科技巨头戴尔公司(Dell)周四通知客户,该公司发生了一起涉及客户姓名和实际地址的数据泄露事件。多名客户在社交媒体上分享的一封电子邮件中,这家计算机制造商写道,它正在调查“涉及戴尔门户网站的一起事件,该门户网站的数据库中包含与从戴尔购买产品有关的有限类型的客户信息”。
戴尔公司写道,此次漏洞中被访问的信息包括客户姓名、实际地址和 “戴尔硬件和订单信息,包括服务标签、项目描述、订单日期和相关保修信息”。戴尔没有说明此次事件是由黑客恶意入侵还是无心之失造成的。
据该公司称,被泄露的数据不包括电子邮件地址、电话号码、财务或付款信息,也不包括 “任何高度敏感的客户信息”。
该公司在邮件中淡化了数据泄露的影响。邮件中写道:”鉴于涉及的信息类型,我们认为客户不会面临重大风险。”
数据重新在暗网出售 “暗网下/AWX”看到,BreachForums论坛上,在昵称为“Menelik”黑客于4月初发布的Dell数据帖子被删除后,5月9日,就在戴尔公司声明之后,“Menelik”又在BreachForums发布了新的主题帖:“戴尔 4900 万客户/系统信息”,重新售卖这4900万客户数据,并附上了戴尔公司给客户发送的邮件截图。
新帖子称,一些新闻机构也报道了戴尔公司这一数据泄露事件,感兴趣的话可以谷歌搜索。由于旧主题被BreachForums的版主删除了(因为样本链接过期),所以有些人以为这些数据被卖掉了。
“Menelik”表示,但是其实数据并没有卖出,其仍然是这些数据的唯一拥有者,而且只打算卖给一个人。“Menelik”透露,虽然他不掌握这4900万客户的电子邮件/电话号码,但他有其中数千名客户的电子邮件和电话号码,都是最近的。
新帖子公布了泄露数据的字段,包括个人全名/公司名称、地址、城市、省、邮政编码、系统唯一的7位服务标签、系统发货日期(订单日期)、保修计划、戴尔客户编号、戴尔订单号。并透露了数据最多的前5个国家:美国、中国、印度、澳大利亚、加拿大,大约700万行数据是个人购买信息,1100万是消费者细分市场的公司,其余的是企业客户、合作伙伴、教育机构等不易识别的客户。
Full Name of the person / Company Name
Address
City
Province
Postal Code
Unique 7 digit service tag of the system
System shipped date (order date)
Warranty plan
Dell Customer Number
Dell Order Number
“Menelik”在帖子最后留了其联系方式,包括Tox、Session以及XMPP,以便客户与其联系。
暗网媒体“Dark Web Informer”也在查看样本后确认称,其能够验证此戴尔漏洞的样本数据。 查看订单详细信息并确认交货地点、订单日期、订单号和产品类型,其中几个样品看起来是真实的。
“R00TK1T ISC CYBER TEAM”声称攻破戴尔内部系统 5月11日,暗网媒体“Dark Web Informer”爆料称,一个名为“R00TK1T ISC CYBER TEAM”黑客组织声称,破坏了“戴尔高度安全的内部系统”。 这与上面发生的戴尔公司门户网站数据泄露事件无关。
一张模糊的截图提供了证据,该模糊的截图显示了不同的文本文件,包括nvram、mf、ovf、zip、ps1、siokit等格式的文件。 顶部屏幕显示可以执行的不同操作,例如重命名、刷新、删除等。
🚨UNVERIFIED BREACH🚨R00TK1T ISC CYBER TEAM has claimed to breach "
戴尔科技公司周五宣布,该公司正在调查一起涉及公司门户网站的数据泄露事件,该门户网站包含与购买相关的有限客户信息。这是对暗网上销售的其数据库的确认,本站(anwangxia.com)之前检测到,前期有黑客在暗网数据泄露论坛BreachForums上出售该公司数据库。
戴尔表示,虽然没有财务或高度敏感数据被访问,但姓名、实际地址和订单详细信息在此次泄露中被暴露。
戴尔在给客户的消息中表示,其调查显示,未经授权的一方访问了包含客户姓名、地址、硬件和订单信息(包括服务标签、商品描述、订单日期和保修详细信息)的数据库。
然而,该公司强调,支付信息、电子邮件地址、电话号码和其他高度敏感的数据并不在被泄露的数据库的一部分。
戴尔向客户发送了一封关于数据泄露的电子邮件通知,告知客户的哪些信息被泄露:
Dell sent me an email notice of a data breach:
What data was accessed?
At this time, customer information accessed: •Name •Physical address •Dell hardware and order information, including service tag, item description, date of order and related warranty information pic.twitter.com/uXcOLjdxKC
— Angus McLauchlan (not yet Supervised) (@gusmacca) May 9, 2024 “戴尔科技公司认真对待您信息的隐私和机密性,”该公司在消息中表示。 我们目前正在调查涉及戴尔门户网站的事件,该门户网站包含一个数据库,其中包含与从戴尔购买产品相关的有限客户信息。 鉴于所涉及的信息类型,我们认为我们的客户不会面临重大风险。”
戴尔表示,发现这一事件后,该公司立即实施了安全响应程序,开始调查,采取措施控制漏洞,并通知了执法部门。
该公司还聘请了一家第三方取证公司对该事件进行进一步调查。
戴尔公司表示,虽然客户信息被访问,但由于涉及的数据性质有限,因此不存在重大风险。
该公司建议客户对潜在的技术支持诈骗保持警惕,并将与其戴尔帐户或购买相关的任何可疑活动报告给 [email protected]。
暗网上的数据 上个月,一名威胁行为者在暗网数据泄露论坛BreachForums上声称出售一个包含近 4900 万戴尔客户和员工个人记录的大型数据库,这可能会在针对这家计算机技术巨头的重大数据泄露事件中暴露该公司的敏感信息。
贴文截图,文件内容已经模糊处理 当地媒体报道称,台湾“外交部”的机密外交文件疑似在暗网论坛BreachForums上出售。对此,台湾“外交部”敦促公众不要相信“居心叵测的人”散布的信息。
台湾“外交部”回应称,文件来源可疑,涉及境外变造、伪造等不法行为,以及操弄认知作战的恶意,将与相关机关调查,也呼吁外界勿轻信有心人士的刻意操弄。
据《自由时报》报道,外交机密文件于暗网出售,卖家声称这些文件包含“以前从未泄露过的第一手资料”,内容与跟邦交国的动态评估,以及驻美代表处的电报细节有关,公文时间从2022年至今,最近一份为今年3月份。卖家声称拥有4GB的泄露文件,这批文件以泰达币(USDT)交易。
报道表示,据称有些文件样本已经在暗网上展示。
台湾“外交部“晚间回应,已掌握媒体报导内容,报导中所称文件的来源可疑,卖家也存在可疑之处,并涉及境外篡改、变造、伪造及恶意认知战等不法行为,以及操弄认知作战的恶意,外交部将与相关机关协调调查。
台湾“外交部“呼吁,将配合有关部门对此事进行进一步调查。它还敦促公众不要相信“居心不良的个人”制造的虚假信息,称这些人操纵和损害了政府和社会的信任。
经”暗网下/AWX“核实,暗网论坛BreachForums上确有一篇贴文出售台湾”外交部“的泄露文件,帖子标题为”LEAKED FILES FROM MOFA, ROC(Taiwan)“,发表于2024年4月17日,帖子作者为”Tonya“,也注册于当天。
根据该售卖贴,泄露的文件标题有《财团法人合作发展基金会 函》、《外交部 函》、《我与邦交国双边关系灯号评估简表》、《驻美国代表处电报》等等。
主题帖并未公布售卖价格,在该贴文回复中,有网友询问文件的价格,但作者并没有直接答复。
后续将继续跟进。
无论您是当前订阅者还是过去拥有过AT&T帐户,您的个人数据都可能成为大规模数据泄露的一部分,根据AT&T给客户的一份说明,该泄露影响多达7300万帐户持有者。
AT&T发生了什么 AT&T周六证实,约7300万当前和老客户的信息最近因数据泄露而被发布在暗网上。这家美国电信巨头表示,包括地址、社会安全号码和密码在内的信息已在暗网上发布。
“AT&T已确定AT&T数据特定字段包含在大约两周前在暗网上发布的数据集中。”这家总部位于达拉斯的公司在一份声明中表示。
AT&T表示,尚未找到表明数据被盗的证据,但已聘请网络安全专家进行调查。AT&T表示,此次泄露涉及的数据似乎来自2019年或更早时间,影响了约760万当前客户和约6540万前账户持有人。
AT&T表示,泄露的数据集包括社会安全号码等个人信息,目前该公司已重置客户的密码,并敦促其所有客户“通过监控账户活动和信用报告保持警惕”。
AT&T表示,虽然泄露数据还包括全名、电子邮件地址和出生日期等信息,但个人财务信息或通话记录并未出现在泄露数据中。
该公司在一份声明中表示,目前尚不清楚这些数据是来自其自己的系统还是来自第三方供应商。
该公司在给客户的一份说明中表示,“大量AT&T密码已被泄露”,并为所有受影响的当前客户重置了密码。
该公司表示:“此外,我们将与现有和前任账户持有人就敏感个人信息泄露进行沟通。”
TechCrunch报道称,周一已通知AT&T,根据其分析,泄露的数据包含易于破译的加密密码。
泄露数据来自哪里 科技新闻网站CNET和TechCrunch报道称,这些数据源自2021年的一次泄露,但AT&T当时否认了这一点。该数据集的一部分当时出现在网上。据网站报道,本周早些时候,该漏洞的数据集再次出现,其中包括社会安全号码、家庭住址和姓名等敏感信息。
网络安全软件公司MalwareBytes Labs也指出了同样的时间表,并建议读者警惕冒充AT&T的诈骗者。该公司表示:“如果您收到自称来自AT&T的人发来的电子邮件、电话或类似内容,请务必谨慎,并直接联系AT&T以核实其真实性。”
AT&T补充道:“截至今天,这一事件尚未对AT&T的运营产生重大影响。”
AT&T要求客户在数据泄露后“保持警惕” 如果您的数据是泄露的一部分,您可能会收到AT&T发送的电子邮件或信件,其中包含更多详细信息和完整选项。
当您等待该消息到达时,您的第一步应该是重置密码,以避免任何人访问您的帐户以窃取其他信息。现在需要明确的是,这是您的AT&T帐户的数字PIN,而不是您的密码。
不幸的是,由于数据大约两周前被发布到暗网上,因此您无法采取其他措施来主动保护自己免受泄露。
AT&T将为受影响的人提供免费的身份盗窃和信用监控服务(通过Equifax、Experian和TransUnion提供免费信用监控),希望能让您快速发现使用您的信息进行的任何潜在破坏性活动。
AT&T正在调查这一事件 AT&T公司表示:“AT&T已在内部和外部网络安全专家的支持下发起了一项强有力的调查。”
AT&T的无线5G网络覆盖全美约2.9亿人口,该电信公司是美国最大的移动和互联网服务提供商之一。
这已经是AT&T今年第二次事故,2月份的一次服务中断导致美国数万名客户的手机服务暂时中断,网络中断是由软件更新造成的。该公司为此道歉,并为受影响的用户提供5美元的信用额度。
纽约检察官当时对该事件展开调查,该事件导致人们在大约12小时内无法使用手机。
AnyDesk于2024年2月2日在一份公开声明中证实,它最近遭受了一次网络攻击,黑客可以访问该公司的生产系统。 AnyDesk称:“作为预防措施,我们将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码。”据了解,AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。
AnyDesk 是一种远程访问解决方案,允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎,企业使用它来提供远程支持或访问托管服务器。
该软件在威胁行为者中也很受欢迎,他们使用它来持续访问受破坏的设备和网络。
该公司报告称拥有17万名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。
AnyDesk被黑 AnyDesk表示,他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。
在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。
AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而,BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。
该公司还证实勒索软件并未参与其中,但除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,该报告主要关注他们如何应对这一事件。
作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备受到该事件的影响。
AnyDesk在公开声明中表示:“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。”
虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议在其他网站上使用密码时更改密码。
数据在暗网销售 根据Resecurity的博文,在俄罗斯背景的暗网论坛Exploit.in里,用户名为“Jobaaaaa”的账号,提供大量AnyDesk客户凭证出售,该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件(网络钓鱼)”。
攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关,允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户,以15000美元的加密货币(比特币或者门罗币)支付。作为一项安全措施,攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。
获取此类数据的来源和方法可能会有所不同,并且取决于特定不良行为者的策略、技术和程序 (TTP),这种发展创造了一个新的关注领域。例如,暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下,考虑到最新的事件披露,及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员,他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。
通过访问AnyDesk门户,威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数,及其在线或离线状态和 ID。
熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。
AnyDesk 根据维基解密,AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。
AnyDesk Software GmbH公司于2014年在德国斯图加特成立,目前在美国、中国和香港设有子公司,并在乔治亚州设有创新中心。