数据泄露

第一版BreachForums论坛数据库泄露背后的故事,包含会员信息与私信在内的大量数据泄露会带来什么

暗网网站, 独家报道
本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。 第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。 emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。 据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。 在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。 虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。 第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。 emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。 据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现: 在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。 多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。 第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。 BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。 然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。 不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。 今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。 由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。 emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。 emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是: ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题! emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?

暗网中充斥着泄露的英国国会议员的个人数据

暗网纵论
超过三分之二的英国国会议员的数据已被泄露到暗网。这相当于目前在下议院任职的政客的70%左右,包括那些应该负责英国网络安全的政客。 这一令人震惊的数据来自领先的数字风险公司Constella Intelligence和端对端加密邮件服务ProtonMail背后的厂商——隐私提供商Proton的联合调查。根据他们的记录,在650名议员中,共有443名的个人信息在黑客攻击或入侵中被泄露,这些信息是从议员使用议会电子邮件地址注册的第三方服务中收集的。 事实证明,在账户安全方面,英国议员的表现也远不如欧洲和法国政客。不到一半的欧洲议会议员(44%)受到影响,据报道,只有18%的法国国民议会和参议院议员的个人信息被泄露。Proton是一家总部位于瑞士的安全软件供应商,也是市场上最好的VPN服务提供商之一,现在它呼吁下一届英国政府最终“认真对待网络安全问题”。 “在当今的数字环境中,强大的网络安全实践至关重要,尤其是对于那些身居要职的人而言。考虑到国会议员拥有的访问权限,一个泄露的密码可能会导致严重的国家安全漏洞,”Proton账户安全主管Eamonn Maguire表示。 研究人员发现,暗网中曝光了216个与被泄露的国会议员账户相关的纯文本密码,令人震惊的是,仅一名国会议员就泄露了多达10个密码。政客的议会电子邮件是涉及泄露的最大数据,在暗网上被曝光了2110次。虽然被泄露的议员信息平均被曝光4.7次,但最常被攻击的议员遭受了多达30次泄露。 这些数字令人担忧,因为泄露的电子邮件和密码可以成为人们在线账户的万能钥匙。犯罪分子利用人们在不同账户中使用相同密码的习惯,采用“凭证填充”的手段,在各种不同平台上尝试输入数千个被盗密码和电子邮件地址。 社交媒体资料也受到影响。Instagram个人资料被泄露16次,LinkedIn个人资料被泄露117次,X账户被泄露21次,Facebook账户被泄露21次。这尤其危险,因为社交媒体平台包含大量个人信息。 不过,如此惊人的数字并不令人惊讶。越来越多的组织和个人成为网络攻击和数据泄露的目标。2024年1月,“所有数据泄露之母”泄露了12TB的数据,约260亿条记录。现在几乎每天都有新的数据泄露报告,最新一次涉及25000名BBC员工的个人信息。 对许多正常人来说,风险都很高,但对政治家等位高权重的人来说,风险就更高了,因为一旦泄密,就可能关系到国家安全问题,尤其是在网络战日益猖獗的今天。 关于这一点,Maguire表示:“对于任何公众人物来说,保持警惕都是必不可少的,以保护个人和国家安全,我们呼吁大选后的新政府认真对待网络安全,并呼吁所有议员采取更好的账户安全措施。” 每个人都可能成为攻击目标 这不仅仅是国会议员、记者或其他有影响力的人物所担心的问题——每个人都可能成为目标。目标可能不同,但参与黑客攻击的手段不会改变。 “许多人低估了自己的脆弱性,但现实是,每个人都是网络犯罪分子潜在的目标,”Maguire说。 这就是为什么Proton呼吁国会议员——但这可以扩展到我们所有人——采取一些措施确保在线账户尽可能安全。 作为一条经验法则,Proton建议国会议员避免使用自己的议会电子邮件地址注册第三方服务。 使用可靠的密码管理工具也很有好处,它可以帮助您找到强密码并记住它们——Proton有自己的免费Proton Pass。电子邮件别名也很方便,可以在注册时掩盖真实的电子邮件账户,注册数据警报软件可以在您的信息泄露时及时通知您。

暗网黑客“DuckyMummy”宣布出售GPS跟踪解决方案提供商Frotcom的内部敏感数据

其他国家动态, 暗网动态
Frotcom International是全球领先的智能车队管理和GPS跟踪解决方案提供商。 暗网论坛BreachForums上一位名叫DuckyMummy的黑客声称对Frotcom International涉嫌数据泄露事件负责,该公司是一家总部位于葡萄牙卡纳西德的车辆跟踪和车队管理领域的知名企业。 BreachForums上披露的Frotcom数据泄露事件暴露了Frotcom内部系统的漏洞,可能会泄露敏感信息,包括GPS IMEI号码、实时车辆跟踪数据、账单详细信息和客户帐户信息。 暗网上正在出售Frotcom数据 DuckyMummy在BreachForums论坛上的帖子详细描述了Frotcom数据泄露的严重程度,表明可以访问40多个国家和5000多家公司的内部系统。 被泄露的数据包含对Frotcom运营至关重要的大量信息,从GPS跟踪数据到客户账单信息。 为了证明他们的说法,威胁行为者分享了显示按国家/地区排序的实时GPS车辆信息的样本记录,并以5000美元起售的惊人价格出售被入侵的数据库。 黑客表示:“这些天来,我已经突破了Frotcom公司的安全防御系统,我已经转储了所有信息并访问了公司的所有内部系统,40多个国家,5000多家公司!” 根据广告帖子,“暗网下/AWX”发现,DuckyMummy称出售以下信息: 公司 GPS IMEI 编号、实时车辆信息、账单信息、电子邮件、电话号码、车牌、燃料等公司数据库里的所有信息。 目前,尚未收到任何Frotcom官方的声明或回应,因此有关Frotcom数据泄露的指控尚未得到证实。 针对货运公司的网络攻击日益增多 Frotcom数据泄露并不是一个孤立的事件,它提醒人们,在日益数字化的世界中,交通运输行业面临着日益严重的网络安全威胁。 随着交通系统越来越依赖互联的数字技术,这些系统已成为网络威胁者的有利可图的目标,他们试图破坏运营、勒索敏感数据或造成经济损失。 网络攻击对交通基础设施的影响是深远的,从供应链中断到乘客敏感数据的泄露。 最近发生的勒索软件攻击日本名古屋港事件,导致名古屋港停运两天,突显了此类网络攻击行为对全球贸易和商业的现实影响。 此外,网络威胁的性质给交通部门带来了巨大挑战。 攻击媒介变得越来越多样化,入侵通常来自第三方供应链合作伙伴或软件供应商。 此外,出于政治动机的威胁行为者的崛起使该领域进一步复杂化,讲俄语的黑客声称对美国机场发起的DDoS攻击就证明了这一点。 本站(anwangxia.com)回顾历史事件,针对交通基础设施的网络事件已造成广泛的破坏和社会危害。从针对捷克铁路和机场的DDoS攻击到影响意大利国家铁路的勒索软件攻击事件,这些事件凸显了交通系统在恶意网络活动面前的脆弱性。 黑客发布的样本数据 Albania – 235 Angola – 7840 Austria – 26 Bahrain – 50 Belgium – 100 Benelux – 3597 Bosnia – 293 Botswana – 803 Brazil – 515 Bulgaria – 40473 Cameroun – 119 Cape verde – 250 Chile – 1700 Colombia – 2000

戴尔披露客户地址数据泄露事件后,数据重新在暗网出售,新情报显示该公司内部系统也被攻破

暗网动态, 美国暗网动态
戴尔披露客户地址数据泄露事件 本站(anwangxia.com)前期报道,科技巨头戴尔公司(Dell)周四通知客户,该公司发生了一起涉及客户姓名和实际地址的数据泄露事件。多名客户在社交媒体上分享的一封电子邮件中,这家计算机制造商写道,它正在调查“涉及戴尔门户网站的一起事件,该门户网站的数据库中包含与从戴尔购买产品有关的有限类型的客户信息”。 戴尔公司写道,此次漏洞中被访问的信息包括客户姓名、实际地址和 “戴尔硬件和订单信息,包括服务标签、项目描述、订单日期和相关保修信息”。戴尔没有说明此次事件是由黑客恶意入侵还是无心之失造成的。 据该公司称,被泄露的数据不包括电子邮件地址、电话号码、财务或付款信息,也不包括 “任何高度敏感的客户信息”。 该公司在邮件中淡化了数据泄露的影响。邮件中写道:”鉴于涉及的信息类型,我们认为客户不会面临重大风险。” 数据重新在暗网出售 “暗网下/AWX”看到,BreachForums论坛上,在昵称为“Menelik”黑客于4月初发布的Dell数据帖子被删除后,5月9日,就在戴尔公司声明之后,“Menelik”又在BreachForums发布了新的主题帖:“戴尔 4900 万客户/系统信息”,重新售卖这4900万客户数据,并附上了戴尔公司给客户发送的邮件截图。 新帖子称,一些新闻机构也报道了戴尔公司这一数据泄露事件,感兴趣的话可以谷歌搜索。由于旧主题被BreachForums的版主删除了(因为样本链接过期),所以有些人以为这些数据被卖掉了。 “Menelik”表示,但是其实数据并没有卖出,其仍然是这些数据的唯一拥有者,而且只打算卖给一个人。“Menelik”透露,虽然他不掌握这4900万客户的电子邮件/电话号码,但他有其中数千名客户的电子邮件和电话号码,都是最近的。 新帖子公布了泄露数据的字段,包括个人全名/公司名称、地址、城市、省、邮政编码、系统唯一的7位服务标签、系统发货日期(订单日期)、保修计划、戴尔客户编号、戴尔订单号。并透露了数据最多的前5个国家:美国、中国、印度、澳大利亚、加拿大,大约700万行数据是个人购买信息,1100万是消费者细分市场的公司,其余的是企业客户、合作伙伴、教育机构等不易识别的客户。 Full Name of the person / Company Name Address City Province Postal Code Unique 7 digit service tag of the system System shipped date (order date) Warranty plan Dell Customer Number Dell Order Number “Menelik”在帖子最后留了其联系方式,包括Tox、Session以及XMPP,以便客户与其联系。 暗网媒体“Dark Web Informer”也在查看样本后确认称,其能够验证此戴尔漏洞的样本数据。 查看订单详细信息并确认交货地点、订单日期、订单号和产品类型,其中几个样品看起来是真实的。 “R00TK1T ISC CYBER TEAM”声称攻破戴尔内部系统 5月11日,暗网媒体“Dark Web Informer”爆料称,一个名为“R00TK1T ISC CYBER TEAM”黑客组织声称,破坏了“戴尔高度安全的内部系统”。 这与上面发生的戴尔公司门户网站数据泄露事件无关。 一张模糊的截图提供了证据,该模糊的截图显示了不同的文本文件,包括nvram、mf、ovf、zip、ps1、siokit等格式的文件。 顶部屏幕显示可以执行的不同操作,例如重命名、刷新、删除等。 🚨UNVERIFIED BREACH🚨R00TK1T ISC CYBER TEAM has claimed to breach "

戴尔确认遭受黑客攻击,4900万客户数据正在暗网上出售

暗网动态, 美国暗网动态
戴尔科技公司周五宣布,该公司正在调查一起涉及公司门户网站的数据泄露事件,该门户网站包含与购买相关的有限客户信息。这是对暗网上销售的其数据库的确认,本站(anwangxia.com)之前检测到,前期有黑客在暗网数据泄露论坛BreachForums上出售该公司数据库。 戴尔表示,虽然没有财务或高度敏感数据被访问,但姓名、实际地址和订单详细信息在此次泄露中被暴露。 戴尔在给客户的消息中表示,其调查显示,未经授权的一方访问了包含客户姓名、地址、硬件和订单信息(包括服务标签、商品描述、订单日期和保修详细信息)的数据库。 然而,该公司强调,支付信息、电子邮件地址、电话号码和其他高度敏感的数据并不在被泄露的数据库的一部分。 戴尔向客户发送了一封关于数据泄露的电子邮件通知,告知客户的哪些信息被泄露: Dell sent me an email notice of a data breach: What data was accessed? At this time, customer information accessed: •Name •Physical address •Dell hardware and order information, including service tag, item description, date of order and related warranty information pic.twitter.com/uXcOLjdxKC — Angus McLauchlan (not yet Supervised) (@gusmacca) May 9, 2024 “戴尔科技公司认真对待您信息的隐私和机密性,”该公司在消息中表示。 我们目前正在调查涉及戴尔门户网站的事件,该门户网站包含一个数据库,其中包含与从戴尔购买产品相关的有限客户信息。 鉴于所涉及的信息类型,我们认为我们的客户不会面临重大风险。” 戴尔表示,发现这一事件后,该公司立即实施了安全响应程序,开始调查,采取措施控制漏洞,并通知了执法部门。 该公司还聘请了一家第三方取证公司对该事件进行进一步调查。 戴尔公司表示,虽然客户信息被访问,但由于涉及的数据性质有限,因此不存在重大风险。 该公司建议客户对潜在的技术支持诈骗保持警惕,并将与其戴尔帐户或购买相关的任何可疑活动报告给 [email protected]。 暗网上的数据 上个月,一名威胁行为者在暗网数据泄露论坛BreachForums上声称出售一个包含近 4900 万戴尔客户和员工个人记录的大型数据库,这可能会在针对这家计算机技术巨头的重大数据泄露事件中暴露该公司的敏感信息。

机密文件疑在暗网论坛BreachForums出售,台湾“外交部”称:涉嫌伪造,请勿轻信

中国暗网动态, 暗网动态
贴文截图,文件内容已经模糊处理 当地媒体报道称,台湾“外交部”的机密外交文件疑似在暗网论坛BreachForums上出售。对此,台湾“外交部”敦促公众不要相信“居心叵测的人”散布的信息。 台湾“外交部”回应称,文件来源可疑,涉及境外变造、伪造等不法行为,以及操弄认知作战的恶意,将与相关机关调查,也呼吁外界勿轻信有心人士的刻意操弄。 据《自由时报》报道,外交机密文件于暗网出售,卖家声称这些文件包含“以前从未泄露过的第一手资料”,内容与跟邦交国的动态评估,以及驻美代表处的电报细节有关,公文时间从2022年至今,最近一份为今年3月份。卖家声称拥有4GB的泄露文件,这批文件以泰达币(USDT)交易。 报道表示,据称有些文件样本已经在暗网上展示。 台湾“外交部“晚间回应,已掌握媒体报导内容,报导中所称文件的来源可疑,卖家也存在可疑之处,并涉及境外篡改、变造、伪造及恶意认知战等不法行为,以及操弄认知作战的恶意,外交部将与相关机关协调调查。 台湾“外交部“呼吁,将配合有关部门对此事进行进一步调查。它还敦促公众不要相信“居心不良的个人”制造的虚假信息,称这些人操纵和损害了政府和社会的信任。 经”暗网下/AWX“核实,暗网论坛BreachForums上确有一篇贴文出售台湾”外交部“的泄露文件,帖子标题为”LEAKED FILES FROM MOFA, ROC(Taiwan)“,发表于2024年4月17日,帖子作者为”Tonya“,也注册于当天。 根据该售卖贴,泄露的文件标题有《财团法人合作发展基金会 函》、《外交部 函》、《我与邦交国双边关系灯号评估简表》、《驻美国代表处电报》等等。 主题帖并未公布售卖价格,在该贴文回复中,有网友询问文件的价格,但作者并没有直接答复。 后续将继续跟进。

AT&T数据泄露:7300万个账户的个人信息和数据被泄露到暗网上

暗网动态, 美国暗网动态
无论您是当前订阅者还是过去拥有过AT&T帐户,您的个人数据都可能成为大规模数据泄露的一部分,根据AT&T给客户的一份说明,该泄露影响多达7300万帐户持有者。 AT&T发生了什么 AT&T周六证实,约7300万当前和老客户的信息最近因数据泄露而被发布在暗网上。这家美国电信巨头表示,包括地址、社会安全号码和密码在内的信息已在暗网上发布。 “AT&T已确定AT&T数据特定字段包含在大约两周前在暗网上发布的数据集中。”这家总部位于达拉斯的公司在一份声明中表示。 AT&T表示,尚未找到表明数据被盗的证据,但已聘请网络安全专家进行调查。AT&T表示,此次泄露涉及的数据似乎来自2019年或更早时间,影响了约760万当前客户和约6540万前账户持有人。 AT&T表示,泄露的数据集包括社会安全号码等个人信息,目前该公司已重置客户的密码,并敦促其所有客户“通过监控账户活动和信用报告保持警惕”。 AT&T表示,虽然泄露数据还包括全名、电子邮件地址和出生日期等信息,但个人财务信息或通话记录并未出现在泄露数据中。 该公司在一份声明中表示,目前尚不清楚这些数据是来自其自己的系统还是来自第三方供应商。 该公司在给客户的一份说明中表示,“大量AT&T密码已被泄露”,并为所有受影响的当前客户重置了密码。 该公司表示:“此外,我们将与现有和前任账户持有人就敏感个人信息泄露进行沟通。” TechCrunch报道称,周一已通知AT&T,根据其分析,泄露的数据包含易于破译的加密密码。 泄露数据来自哪里 科技新闻网站CNET和TechCrunch报道称,这些数据源自2021年的一次泄露,但AT&T当时否认了这一点。该数据集的一部分当时出现在网上。据网站报道,本周早些时候,该漏洞的数据集再次出现,其中包括社会安全号码、家庭住址和姓名等敏感信息。 网络安全软件公司MalwareBytes Labs也指出了同样的时间表,并建议读者警惕冒充AT&T的诈骗者。该公司表示:“如果您收到自称来自AT&T的人发来的电子邮件、电话或类似内容,请务必谨慎,并直接联系AT&T以核实其真实性。” AT&T补充道:“截至今天,这一事件尚未对AT&T的运营产生重大影响。” AT&T要求客户在数据泄露后“保持警惕” 如果您的数据是泄露的一部分,您可能会收到AT&T发送的电子邮件或信件,其中包含更多详细信息和完整选项。 当您等待该消息到达时,您的第一步应该是重置密码,以避免任何人访问您的帐户以窃取其他信息。现在需要明确的是,这是您的AT&T帐户的数字PIN,而不是您的密码。 不幸的是,由于数据大约两周前被发布到暗网上,因此您无法采取其他措施来主动保护自己免受泄露。 AT&T将为受影响的人提供免费的身份盗窃和信用监控服务(通过Equifax、Experian和TransUnion提供免费信用监控),希望能让您快速发现使用您的信息进行的任何潜在破坏性活动。 AT&T正在调查这一事件 AT&T公司表示:“AT&T已在内部和外部网络安全专家的支持下发起了一项强有力的调查。” AT&T的无线5G网络覆盖全美约2.9亿人口,该电信公司是美国最大的移动和互联网服务提供商之一。 这已经是AT&T今年第二次事故,2月份的一次服务中断导致美国数万名客户的手机服务暂时中断,网络中断是由软件更新造成的。该公司为此道歉,并为受影响的用户提供5美元的信用额度。 纽约检察官当时对该事件展开调查,该事件导致人们在大约12小时内无法使用手机。

AnyDesk遭受黑客攻击,客户凭据泄露并在暗网上出售

其他国家动态, 暗网动态
AnyDesk于2024年2月2日在一份公开声明中证实,它最近遭受了一次网络攻击,黑客可以访问该公司的生产系统。 AnyDesk称:“作为预防措施,我们将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码。”据了解,AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。 AnyDesk 是一种远程访问解决方案,允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎,企业使用它来提供远程支持或访问托管服务器。 该软件在威胁行为者中也很受欢迎,他们使用它来持续访问受破坏的设备和网络。 该公司报告称拥有17万名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。 AnyDesk被黑 AnyDesk表示,他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。 在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。 AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而,BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。 该公司还证实勒索软件并未参与其中,但除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,该报告主要关注他们如何应对这一事件。 作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备受到该事件的影响。 AnyDesk在公开声明中表示:“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。” 虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议在其他网站上使用密码时更改密码。 数据在暗网销售 根据Resecurity的博文,在俄罗斯背景的暗网论坛Exploit.in里,用户名为“Jobaaaaa”的账号,提供大量AnyDesk客户凭证出售,该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件(网络钓鱼)”。 攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关,允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户,以15000美元的加密货币(比特币或者门罗币)支付。作为一项安全措施,攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。 获取此类数据的来源和方法可能会有所不同,并且取决于特定不良行为者的策略、技术和程序 (TTP),这种发展创造了一个新的关注领域。例如,暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下,考虑到最新的事件披露,及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员,他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。 通过访问AnyDesk门户,威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数,及其在线或离线状态和 ID。 熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。 AnyDesk 根据维基解密,AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。 AnyDesk Software GmbH公司于2014年在德国斯图加特成立,目前在美国、中国和香港设有子公司,并在乔治亚州设有创新中心。

网络犯罪分子在暗网上大规模泄露被盗的泰国PII数据

其他国家动态, 暗网动态
个人可识别信息(PII)是可以用来识别某人的任何数据。所有直接或间接与个人相关的信息都被视为PII,例如,一个人的姓名、电子邮件地址、电话号码、银行账号和政府颁发的身份证号码等。如今,许多组织收集、存储和处理PII。当这些收集的数据被破坏或泄露时,人们可能成为身份盗窃或其他攻击的受害者。 根据安全研究团队resecurity发布的博文,近日,泰国刑事法院发布命令,宣布封锁9near.org网站。这一行动是在该网站威胁披露据称从疫苗登记记录中获得的5500万泰国公民的个人信息后采取的。法院进一步宣布,任何其他被发现传播“9near.org”数据的网站也将面临封锁。这项措施是根据泰国数字经济和社会(DES)部的要求而采取的,该部正在为逮捕此次黑客攻击的幕后黑手而做准备。 该网站的运营者名为“9Near–Hacktivist”,他在BreachForums网站上发布公告,声称他们已经获取了5500万泰国人的个人详细信息。这些数据包括全名、出生日期、身份证号码和电话号码。近日,乡村医生协会表示,这一信息可能源自卫生部免疫中心的一次数据泄露。 泰国正在迅速成为亚太地区数字领域的重要参与者,特别是信息和通信技术(ICT)领域。值得注意的是,从2022年下半年到2023年初,泰国的数据泄露事件大幅减少。客观来看,2022年第三季度,泰国每千人中约有6.8例数据泄露。令人印象深刻的是,到2023年第一季度,这一数字骤降至每千人仅1例。但是,随着 2024 年的到来,这一趋势可能会发生变化。据报道,网络犯罪分子(在暗网的阴暗角落中被称为”Naraka“)正在传播大量被盗的泰国公民个人身份信息(PII)。据信,这些敏感信息来自各种被入侵的平台。 2024年初,以消费者为中心的平台的数据泄露明显增加,这证实威胁行为者正在积极针对泰国公民的个人数据。 由于存在大量用于KYC(“了解您的客户”)的文本和图形形式的个人文件,威胁行为者将泰国的电子商务、金融科技和政府资源作为目标。 与2023年相比,攻击频率有所增加,暗网上涉及泰国消费者和企业的数据泄露事件数量不断增加就证明了这一点。仅在2024年1月上旬,网络犯罪论坛上就至少发布了14起泄露泰国公民信息的重大数据泄露事件,几乎超过了去年全年的泄露记录数量。 不良行为者利用窃取的PII数据欺骗泰国公民并攻击金融组织,这些组织正在该地区积极开发和培育数字化,为7160万人口提供服务。 2024年1月11日,一位名为”Naraka“的个人在暗网数据泄露论坛breachforums.is上列出了待售的数据转储,其中涉及泰国最大的书店之一Chulabook。此次泄露影响了超过16万名用户。”Naraka“指定以加密货币付款,特别是XMR(门罗币)或BTC(比特币)。 Resecurity向Chulabook和泰国电子交易发展机构(ETDA)发出了警报,ETDA是数字经济和社会部监管下的政府机构,负责监督向泰国客户提供服务的所有数字服务提供商。Resecurity团队从该行为者处获得了更多样本数据及截图,确认其成功访问了包含数千份订单和客户记录的后台。 在与数据泄露事件相关人员的交流过程中,Resecurity发现了泰国另一个被泄露的网络目标。该目标也被发现泄露了泰国公民的个人身份信息(PII)。 就在新年前夕庆祝活动之前,人们发现Telegram上的UFO市场运营商正在积极出售被盗数据。这些泄露的数据包括数量惊人的538418条记录,包含个人身份信息(PII),其中包括公民身份证号码等详细信息。 这些大量被盗数据尤其受到身份盗窃和金融欺诈者的青睐。它们包含的详细个人信息为这些人提供了网上银行欺诈和各种网络诈骗潜在目标的全面信息。 在此事件之前,同一批罪犯参与了大量数据的传播,特别是与学生有关的3149330条记录,这些记录据信是从泰国基础教育委员会(OBEC)非法获取的。考虑到年轻群体的脆弱性以及他们在网络空间中成为恶意实体攻击目标的风险,这些信息特别敏感,可能极具价值。 这些数据的某些部分被发现被免费泄露——不法分子正在暗网上分发这些数据。他们这样做是为了交易这些数据,并将其用于未来的计划中,例如垃圾邮件、在线诈骗和商业电子邮件泄露(BEC)活动。这种自由流通使得数据更容易被各种恶意活动利用。 名为“breachforums.is”的网站上还发现了一个单独的数据集,标记为“Thailand DOP.go.th Leaked”。该特定集合由主要涉及泰国老年人口的个人身份信息(PII)组成。这是一个庞大的集合,大小约为690MB,包含多达19718687行数据。 2024年1月10日,又发生一起数据泄露事件,这次涉及曼谷工业气体有限公司。这次泄漏事件标志着针对关键基础设施和石油天然气领域的又一次重大数据泄露事件。 早些时候,breachforums.is上一个名为Ghostr的实体披露了新的数据泄露事件。此次泄露的数据量巨大,涉及约186GB的数据,其中包括来自股票交易平台的惊人的530万条记录。泄露的信息包含泰国用户的全面详细信息,包括全名、电话号码、电子邮件地址和身份证号码。 在另一起事件中,Milw0rm在breachforums.is上报告了一次泄密事件。该特定数据集于2024年1月1日发布,针对泰国求职者,包含大量的个人信息。该数据集由6.1万行组成,包含详细数据,例如用户名、密码、电子邮件地址、手机和家庭电话号码、邮政编码、出生日期、体重和身高等身体属性、当前就业状况、子女信息、泰语打字熟练程度,以及薪资详细信息。 此前,一个名为R1g的人对泰国皇家志愿者的个人数据库进行了重大数据拖取。此次泄露影响了大量记录,总计460万条。泄露的数据包括敏感的个人信息,如姓名、公民身份证号码、性别、出生日期和地址。 2024年1月11日星期四,同一个人R1g于造成了另一起重大数据泄露事件。此次泄露事件涉及泰国海军军官的敏感信息,标志着又一起重大安全事件的发生。 2024年1月15日,化名Soni的威胁行为者发布了与Phyathai.com相关的泄露数据库。此次数据泄露包含25500条用户信息记录,包括ID、用户URL、加密密码(phpass)、用户电子邮件、登录详细信息、帐户状态、显示名称、注册日期和用户激活密钥。攻击者分享了数据样本作为证明。 网络犯罪分子还将攻击重点放在泰国政府和军事部门,泄露了官员和执法人员的个人身份信息。这种类型的行动是网络间谍组织在网络犯罪领域运作的典型特征。犯罪者泄露了各种机密文件,其中包括内部通信和与柬埔寨执法机构的互动。这些泄密事件可能是由于第三方入侵造成的。这次泄密事件的源头仍未查明,但针对泰国政府官员的恶意网络活动可能表明,该地区针对泰国政府官员的网络活动呈增长趋势。 结论 2024年,泰国将在全球打击网络犯罪的斗争中发挥关键作用。随着泰国在数字化转型的道路上不断前进,在信息和通信技术(ICT)方面的能力不断增强,泰国面临着越来越多的网络威胁,尤其是那些涉及个人数据泄露的威胁。这一不断升级的挑战突出表明,泰国迫切需要采取并加强强有力的网络安全战略。 泰国发生的一系列大规模数据泄露事件和迫在眉睫的敏感信息滥用风险,清楚地提醒人们亟需加强数据保护和采取积极主动的网络防御策略。对于泰国来说,必须加强其网络安全框架,制定严格的数据隐私法规,并在其民众和机构中培养广泛的数字警惕文化。这些措施不仅对于保护公民的隐私和安全至关重要,而且对于巩固泰国作为国际数字领域可靠和安全参与者的地位也至关重要。

游戏公司Rockstar Games旗下游戏《GTA 5》源代码泄露,黑客开设暗网网站发布下载链接

暗网动态, 美国暗网动态
据报道,知名游戏开发公司Rockstar Games面临新的安全问题,其开发的游戏《侠盗猎车手 5》(《GTA 5》)的源代码和各种其他敏感材料已经在暗网上遭到泄露。 有报道称,流行视频游戏《侠盗猎车手 5》(《GTA 5》)的全部源代码已被泄露。此外,有迹象表明此次泄露可能包括与《侠盗猎车手 6》(《GTA 6》)相关的材料以及 2006 年游戏《恶霸》的潜在续集的文件。 由于多次安全漏洞扰乱了其业务,Rockstar Games度过了动荡的一年。去年震惊整个公司的网络攻击导致备受期待的《侠盗猎车手 6》的近一个小时的游戏内容未经批准发布。 最近,这个问题变得更加严重,开发商被迫提前发布视频,因为另一次泄密打乱了他们为大型预告片首映的准备工作。随着最近的《GTA 5》源代码泄露,Rockstar Games似乎遇到了更大的障碍。 《GTA 6》泄密事件背后的黑客将被终生限制在“安全的医院” 在此消息发布之前,一名参与《GTA 6》游戏泄露事件的黑客被判处在英国的医院监狱执行无限期监禁。 这名 18 岁黑客被控侵入 Rockstar Games公司并泄露至少 90 个GTA 6开发材料视频,已被英国法院判处在医院监狱中无限期监禁。 据英国广播公司报道,阿里昂·库尔塔杰被描述为患有严重自闭症,“除非医生认为他不再构成危险,否则他将终生留在安全的医院里。” 这与终身监禁明显不同——后者并不总是持续到一个人生命真正结束时——但他的刑期实际上仍然是无限期的。一项心理健康评估指出,他“继续表达了尽快重返网络犯罪的意图。他的积极性很高。” 解密《GTA 5》源代码泄露 根据GTA Focal最近的一条推文,据称《GTA 5》源代码已在暗网上公开。黑客在暗网上假设专门网站,用于发布下载链接。据称,泄露的4GB文件,其中大部分包含源代码。 这个包含3D模型和资产的大型源文件可能使构建和运行游戏成为可能。由于其大小,整个源代码似乎更难发布——估计约为200GB。 此外,《GTA 5》源代码泄露据称还泄露了Rockstar Games约1158名员工的机密员工数据,其中包含电子邮件地址。 暗网上确实可以下载 经”暗网下/AWX“在暗网实地测试,链接确实可以下载。(为了保护版权,隐去暗网链接地址以及下载地址) 黑客在暗网页面上说:欢迎来到激动人心的Rockstar游戏世界!完整的GTA 5源代码,还有其他一些东西。并公布了两个下载地址以及外部下载镜像(gofile.io,mirrorace.org,mediafire.com),此外,还有”GTA 5 Dev build and PDB“。该暗网网站还提供了一个留言的页面contact.php,可以发送消息。 黑客在暗网页面下面还留下了自己的比特币BTC地址(bc1qgsyt6m0nj4t7ayxwvvyl4wq4356ch9lsq97dx4)以及门罗币XMR地址(48r3R1YYZboKaxZqhNcfb9jjyL1sMv6Vv54WyEgVteYGhA2VDNTafjN87GqRusLhrJ3J5Ck5bxmpiJAo1dktPz2g6BAvq7A)供粉丝捐赠,从比特币区块链数据看,并无人转账支持。 问题依然存在 尽管最初的链接已被删除,但源代码已经在暗网与 Telegram 频道上流传。 据称,Take-Two Interactive 正在努力删除导致《侠盗猎车手 5》源代码的在线链接。尽管如此,仍有传言称黑客正在讨论是否公开这个200GB的海量源文件。 显着的区别是这些文件最近才被公开,但除此之外,该事件被认为与一年前发生的同一安全漏洞有关。 随着《GTA 5》源代码一同泄漏的数据还包含《GTA 6》的部分源代码和备受期待的《Bully 2》的文件,问题变得更加严重。《GTA 5》数据泄漏还暴露了几个未发布的 DLC,例如GTA 5 Trevor扩展包,该扩展包也在较早的泄漏文件中。 泄露的后果 《GTA 5》泄露的后果尤其严重,因为它使黑客能够找到并利用源代码中的安全漏洞,还可能使黑客能够在玩家的计算机上远程运行代码。这将玩家的安全置于严重危险之中,因为GTA在线模式可能很快就会变成一个危险的地方。