Dymocks警告客户账户信息在暗网上泄露 图书零售商Dymocks警告其客户,在本周早些时候发生网络安全攻击事件后,部分客户信息可能已被泄露并发布到暗网上。
周五下午,客户收到了一封电子邮件,详细说明了该问题,并要求他们“保持警惕”,更改密码并监控其银行账户是否有“任何未经授权的活动”。
Dymocks表示,客户的邮寄地址、出生日期、电子邮件地址、手机号码、性别和会员详细信息可能已被泄露。
该公司在一份声明中表示:“2023年9月6日,Dymocks意识到未经授权的一方可能有权限访问我们的一些客户记录。”
“我们一意识到这一事件后,立即与我们的网络安全顾问一起展开了调查,以评估发生了什么。“
“虽然我们的调查仍在进行中,而且还处于早期阶段,但我们的网络安全专家已经发现了有关我们的客户记录在暗网上进行讨论的证据。”
Dymocks表示,不知道哪些客户或有多少客户受到影响,也不知道泄露是如何发生的。
鉴于密码可能发布于暗网上,Dymocks表示,客户应更改其在线帐户(包括Dymocks帐户和社交媒体帐户)的密码,并监控其银行帐户。
该公司还敦促客户警惕任何可能通过电话、信件或电子邮件进行的网络钓鱼诈骗。
Dymocks表示:“我们将继续根据适用法律对这一事件进行彻底调查。”
“我们将继续向您通报情况,因为我们非常重视您的个人信息安全,并承诺做到公开透明。”
Dymocks表示,如果客户对此次事件有任何疑问,请在澳大利亚东部时间上午9点至下午5点之间致电1800 849 096,或发送电子邮件至[email protected]。
如何保护自己及其数据免受黑客攻击 根据澳大利亚信息专员办公室(Office of the Australian Information Commissioner)的最新报告,从2022年7月到12月,澳大利亚共发生了5起大规模的数据泄露事件,受影响人数在100万到1000万之间。
在此期间,全球总共发生了40多起数据泄露事件,与前六个月相比增加了67%。除了个人信息外,黑客还可以获取密码等凭证。
根据安全运营平台ReliaQuest的2022年研究报告,自2016年以来,全球已有240亿个用户名和密码被泄露。
在数据泄露事件中,密码与被盗个人信息混在一起的情况并不少见。对于网络犯罪分子来说,密码是有价值的商品,他们在暗网上买卖和交易这些信息,密码泄露导致用户的各种帐户遭到泄露的情况并不少见。
数字权利观察组织的萨曼莎·弗洛雷尼(Samantha Floreani)表示,如果同一个密码被用于多个平台,那么密码泄露就会成为一个问题。
她说:“那个人可以使用该密码并尝试访问不同的帐户,因此,如果您重复使用相同的密码,他们突然就能够访问各种内容。”
值得庆幸的是,有一些方法可以检查用户名或密码是否已被泄露,那就是使用haveibeenpwned.com等网站。
用户只需在搜索栏中输入自己的电子邮件地址,“我被泄露了吗”(have I been pwned)就将告知他们该电子邮件是否已被泄露数据。
Floreani说:“它可以告诉你被泄露的数据(例如)电子邮件、地址、密码、密码提示和用户名。”
iPhone还具有一项隐藏在设置中的功能,可以提醒用户密码可能被泄露。该信息可以在设置-密码-安全建议中找到。
现在仅仅拥有密码还不足以提供足够的保护,它不是一把足够坚固的门锁。人们还必须对每个帐户使用双因素身份验证,双因素认证是指一个人只有在提供了两种不同的信息(如密码和特殊代码)后才能访问一个账户或网站。
还有其他双因素身份验证,也可能涉及生物识别信息,例如指纹或面部ID。如果您的密码被泄露,那么您的帐户也会被泄露,但这就是第二层保护。
黑客攻击的目标是一家公司的数据库,该公司负责英国一些最机密场所的安全,其中包括一个核潜艇基地和一个化学武器实验室。
与俄罗斯有关联的黑客在暗网上泄露了英国军事和情报机构的绝密安全信息。
他们发布了数千页数据,这些数据可以帮助犯罪分子进入英国皇家海军克莱德核潜艇基地、波顿唐化学武器实验室和英国政府通信总部的一个监听站。
在暗网勒索软件团伙LockBit的网络攻击中,有关高安全级别监狱和对英国网络防御至关重要的军事网站的信息也被窃取。黑客瞄准了Zaun公司的数据库,Zaun公司是一家为最高安全级别网站制造围栏的公司。然后,这些信息被发布到暗网上,可以使用特殊软件Tor浏览器进行访问。
英国下议院国防特别委员会成员、工党议员凯文·琼斯(Kevan Jones)警告说:“这可能对我们一些最敏感网站的安全造成严重破坏。”
“政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都是令人极为担忧的。”
上个月,总部位于西米德兰兹的Zaun公司在一次重大攻击中被攻破,该公司为高风险场所制造围栏和周边安全措施,并为2012年伦敦奥运会提供安全屏障。
勒索软件团伙LockBit被描述为世界上最危险的黑客团伙,主要嫌疑人米哈伊尔·马特维耶夫(Mikhail Matveev)在攻击了1400个全球目标后而被联邦调查局列入通缉名单。其中包括企图勒索英国皇家邮政(RoyalMail)6600万英镑,但该公司拒绝支付。
在美国和加拿大,有几名俄罗斯人被指控参与了网络攻击。据说勒索软件团伙LockBit与俄罗斯黑帮有财务联系。
在一份泄露的文件中,Zaun公司描述了为保护威尔茨的波顿唐(Porton Down)而购买的特定设备,并称其在那里的工作“非常隐秘”,波顿唐是英国的化学武器实验室。同时公布的还有一份销售订单,详细说明了为英国皇家海军克莱德海军基地(HMNB Clyde)购买的货物,该基地被称为法斯兰(Faslane),是三叉戟核潜艇的所在地。
泄露的文件还包括康沃尔郡布德政府通讯总部通信中心设备的销售订单报告。英国政府通信总部(GCHQ)形容布德在我们的安全中发挥着“关键作用”。此次泄露的信息还包括“死神”无人机攻击中队所在的林茨瓦丁顿皇家空军基地和第14信号团从事电子战的考德军营的安全设备。
彭布罗克郡考多尔周边围栏的详细图纸附在公司电子邮件中。还有一张地图重点标明了该地点的安装情况。与一连串监狱有关的文件也被泄露,其中包括A级监狱–沃尔克斯的朗拉廷监狱(Long Lartin)和卡姆布斯的怀特穆尔监狱(Whitemoor)。
Zaun公司不愿讨论赎金要求,一名安全专家将此事件称为“对我们国家安全基础设施的毁灭性打击”。
国防委员会主席、保守党议员托比亚斯·埃尔伍德(Tobias Ellwood)表示:“这将如何影响我们的国防机构在不受攻击威胁的情况下继续运作?“
“我们如何更好地保护自己防御俄罗斯的干扰,这无疑与我们支持乌克兰的立场有关?最后,这是冲突不再局限于传统战场的另一个例子,它现在包括数字领域,并对安全机构提出了越来越高的要求。”
据称,LockBit已向全球发出8000万英镑的赎金要求。自2020年以来,它一直受到FBI的关注。俄罗斯国民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫(Ruslan Magomedovich Astamirov)在美国被指控“参与在美国、亚洲、欧洲和非洲部署大量LockBit勒索软件和其他攻击”。
美国司法部表示:“LockBit勒索软件变种于2020年1月左右首次出现。LockBit参与者已执行了1400多次攻击,发出了超过1亿美元的要求,并收到了数千万美元的比特币。”
2022年,美国宣布对拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)提出指控。他目前被关押在加拿大,等待被引渡到美国。第二位俄罗斯人米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev)因“涉嫌参与”不同的LockBit阴谋而被通缉。
Zaun公司已向警方报警,其最新账目中的税前利润接近70万英镑。该公司表示:“LockBit有可能获得一些历史电子邮件、订单、图纸和项目文件。我们不认为系统中存储了机密文件,也不认为机密文件已被泄露。”
“我们已经联系了国家网络安全中心,并正在接受建议。Zaun是复杂网络攻击的受害者,并已采取一切合理措施来减轻对我们系统的任何攻击。”
“每一个细节都有助于敌人突破我们的防御”
安全与情报专家AnthonyGlees教授写道,这家公司的名字在德语中可能是“栅栏”的疑似,但英国公司Zaun的安全屏障似乎已经轰然倒塌。
包括英国核威慑力量所在地在内的敏感地点的安全设备的详细信息在暗网上泄露,这对英国的国家安全基础设施是毁灭性的打击。它显示了与俄罗斯有关的黑客可以轻松地随意破坏高强度计算机系统。
这批文件涉及高度安全的围栏专家 Zaun 公司为许多场所提供的设备。其中包括英国核潜艇基地法斯兰(Faslane)、最高机密的政府实验室波顿唐(Porton Down)和 GCHQ 的布德前哨基地。
任何敌对的情报机构都会不惜一切代价获取这些细节。
一位退休的英国情报官员曾经表示,情报就像腌鱼的骨头。就其本身而言,骨头似乎无关紧要——但是,将它们组合在一起,就构成了腌鱼。
换句话说,如果能接触到敏感地点的特定安全设备,敌对分子就能对那里的实际情况了如指掌。
敌人对英国国防资产的每一个细节都非常感兴趣。此前,苏格兰场和北爱尔兰警察局还发生过其他严重数据泄露事件。
国家安全是政府的核心职责。必须在黑客入侵之前将其阻止。草率的协议,尤其是供应商的协议,似乎是盔甲上的一个大的弱点。
讽刺的是,这家公司制造安全围栏以防止人们进入,却无意中让敌人进来了。
法国Pole Emploi公司披露的数据泄露事件有了更多进展。据专家称,此次攻击的提供商受害者(Majorel)的名称和数据实际上已被泄露并在暗网上出售。
几名网络专家周五向法新社证实,由一家名为Pôle Emploi公司提供的有关约一千万求职者的个人数据已经泄露并正在暗网上被非法出售。用于文件共享的MOVEit传输应用程序中的安全漏洞被认为是造成此次盗窃的原因。
Pôle emploi于8月23日在一份新闻稿中呼吁求职者保持警惕,此前该公司的一家服务提供商Majorel成为了“网络恶意行为”的受害者。
涉事“服务提供商”现已被点名 本周末,该服务提供商的名字被确定为:Majorel公司。该公司是数据管理、客户管理和呼叫中心方面的专家,由Arvato(贝塔斯曼集团)与摩洛哥Saham公司于2019年合并而成。在法国,该公司与EEDF、住房部、Orange等机构合作。
Majorel在2021年实现了17亿营业额,被认为是该领域严谨且有品质的企业。但它也被BPO和外包客户体验领域的全球领导者Teleperformance收购(以 30 亿欧元)。
“Pôle Emplo数据在暗网上出售已被证实。一个专门出售自己黑进或买进的数据库的知名黑客于8月8日出售了一个2022年的Pôle emploi数据库,该数据库有1020万用户,他以900 美元的价格出售。” Zataz.com网站的Damien Bancal告诉法新社。
网络安全专家Clément Domingo(X(以前称为 Twitter)上的化名 @SaxX)也报告称,该数据在暗网黑客论坛上以900美元的价格出售。据Domingo先生称,该文件包含1020 万个名字,最初是在这个网络犯罪论坛上传播的。8月8日,我们发现最初的数据库,后来又更新了很多信息。
巴黎检察院已介入调查 巴黎检察官办公室的网络犯罪部门已经开始调查以欺诈手段进入并维护自动数据处理系统中的数据。
Pôle Emploi公司在其最初的新闻稿中表示,此次数据泄露涉及“2022年2月注册的人员和停止注册的人员,即注册时间少于 12 个月的人员,即可能有1000万人”。
电话号码和邮箱地址也被黑客窃取? 该公共机构警告称,不要将“求职者的名字和姓氏、当前或以前的求职状态、社会安全号码“放在网上,但不包括邮箱地址、电话号码、密码和银行详细信息。
“泄露的数据量比Pôle Emploi在8月23日最初的新闻稿中所说的要多得多”,Domingo先生强调了
电话号码或邮箱地址的分布情况。
SNCF、施耐德电气、Synlab、Les Hospices Civils de Lyon和Cegedim也被攻击 据德国专业研究机构KonBriefing Research称,这不仅影响到Majorel导致1000万求职者的个人数据被盗,法国5家大型企业也受到关注,全球共有1006家。Cegedim、Les Hospices Civils de Lyon(里昂临终关怀医院)、施耐德电气、SNCF和Synlab(医学分析实验室)均受到影响。
MOVEit的漏洞被Clop勒索软件团伙大肆使用 MOVEit Transfer是一款软件,也是一款专门的应用程序,从逻辑上讲,它允许以安全的方式传输和共享文件。它由Progress Software销售。但MOVEit存在严重漏洞,允许黑客窃取通过MOVEit传输和交换的文件。该案件被认为足够严重,由联邦调查局(FBI)和美国网络安全局(CISA:网络安全和基础设施安全局)进行调查,由Jen Easterly领导。该漏洞被俄罗斯勒索软件团伙Clop大规模利用。
今年6月份,因为安全漏洞,新启动的BreachForums网站的数据库的数据惨遭泄露,导致4202多名注册会员的个人信息暴露。
今天,“暗网下/AWX”获悉,数据泄露查询网站”Have I Been Pwned“(HIBP,@haveibeenpwned)在推特发布消息称其已经获得了老的原始的暗网数据泄露论坛”BreachForums“网站的数据库。
2022年11月,在Pompompurin还担任BreachForums管理员的时候,一名使用别名“breached_db”的黑客入侵了该网站,拖取了21.2万用户注册信息,数据包括注册用户的用户名、电子邮箱地址、IP地址以及密码的argon2哈希值,此外,网站内部的全量私人消息数据也被窃取。
New breach: The original BreachForums site was itself breached in Nov exposing 212k users. Data included email and IP, usernames, private messages and argon2 hashes. It was provided to HIBP by @BreachedD90964. 29% were already in @haveibeenpwned. More: https://t.co/WDAnC1r7Px
— Have I Been Pwned (@haveibeenpwned) July 26, 2023 据@haveibeenpwned称,提供此数据库给他们的是Twitter用户@BreachedD90964。
访问@BreachedD90964的推特主页,发现他只发布了一条推文,留下了一个邮箱与一个Telegram账户,邮箱为[email protected],Telegram账户为@breached_db_person。
但是奇怪的是,该Telegram账号一开始的签名信息为:“Not selling Breached DB”,翻译为不出售(任何)泄露数据,也可以理解为不出售BreachForums的数据。27日,签名信息又改为:“selling Breached DB”,看来@haveibeenpwned为他带来了许多顾客,也说明意思应该就是:出售BreachForums的数据。
在该推文的回复里,网络安全研究者@Translogiced称数据是真实的,因为他搜索了自己掌握的一个邮箱,发现确实存在泄露;另外一个推特用户@crysal0则表示,以后注册(此类论坛)要用一次性邮箱,随机生成的密码以及假的用户名。
老的BreachForums论坛系Pompompurin在RaidForums被FBI查封后创建的替代品,并且成功吸引了大批量从事网络犯罪(数据倒卖、黑客攻击)的用户。在其创始人Pompompurin被FBI逮捕后,由于怀疑FBI已经渗入,接管BreachForums的管理员Baphomet决定关闭该论坛。后来又重新启动了新的BreachForums网站,一切重新开始。
目前没有看到公开下载或者出售BreachForums数据的网址或者链接,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
据报道,在另一场震惊世界的网络攻击中,臭名昭著的黑客比约卡(Bjorka)突破了安全系统,泄露了数百万印度尼西亚公民的个人数据。
比约卡此前曾因泄露印度尼西亚各个平台个人用户信息(包括PeduliLindung、MyPertamina以及最近BPJS Ketenagakerjaan的1900万条记录)而成为头条新闻,现在涉嫌黑客攻击并在暗网中低价出售3400万份印度尼西亚护照数据。
比约卡表示,被泄露的护照数据包括姓名、护照号码、护照有效期、性别和护照签发日期。来自暗网的屏幕截图显示,用户名为Bjorka的比约卡,以1.5亿印尼盾(约合1万美元)的价格提供了3400万印尼护照数据的整个数据集。该文件的压缩版本和未压缩版本据称各约为4GB,总共有34,900,867个文件。
2023年7月5日星期三,印尼Ethical Hacker公司创始人、网络安全分析师Teguh Aprianto在其Twitter账户@secgron上分享了这一消息。
“3400万印尼护照数据被泄露并在暗网上出售,价格仅为1万美元,这些数据包括护照号码、全名、出生日期、性别、地址、电话号码、电子邮件、面部照片和签名。”Teguh写道。
截至2023年7月6日星期四,该推文获得了广泛关注,浏览量达260万次,评论达1974条,转发次数超过13000次。
推特用户@Mikae说:“这很可怕,不是吗?数据泄露已经发生了一段时间,但今天仍然在发生。我真的不知道如何解决这个问题。我们应该怎么办?”
推特用户@ngup*写道:“显然,Bjorka已经意识到印度尼西亚的数据是开放的,因此很便宜。”
用户@euri**问道:“一旦他们获得了数据,他们会用它来做什么?网贷?”
Teguh还将矛头指向了通信和信息部(Kemkominfo)和国家网络与加密局(BSSN RI)的官方推特账户,质疑他们对当前问题的回应。
他写了道:“@kemkominfo和@BSSN_RI一直在做什么?”
比约卡的博客Bjork.ai进一步展示了泄露的护照数据,黑客提供了100万份护照记录样本,供潜在买家验证数据的真实性。然而,Kemkominfo随后于2023年7月6日星期四封锁了样本数据的链接。
对此,网络安全专家、网络安全保护服务公司Vaksincom创始人Alfons Tanujaya对泄露数据的有效性和有限性发表了评论。
Alfons在2023年7月5日星期三接受Liputan6.com的Tekno采访时表示,由于存在由移民总局独家掌握的国民身份证识别码(NIKIM),泄露的数据可能是有效的。
“泄露的范围仍然有限,而且与之前泄露的数据相比,数据质量对犯罪分子的吸引力较小。”
泄露的数据与NIKIM号码、护照和护照持有人姓名的准确性和对应关系尚未得到移民总局的确认。Alfons强调移民当局需要进一步核实,他补充说:“移民局必须确认泄露的数据是否与NIKIM号码、护照和护照持有人姓名相符。”
尽管泄露的数据类型有限,但Alfons警告说,这些信息仍可用于识别个人身份。他承认,此次事件中最重要的数据泄露是NIKIM数据的泄露,而其他泄露的信息并不那么重要,并且之前已经被泄露过。
Alfons进一步解释说:“其他受影响的数据所有者,例如人口数据、全名和身份证号码(NIK; Nomor Induk Kependudukan)以及其他与人口相关的数据,其NIKIM数据和护照号码也被加入到泄漏的数据中。”
当被要求做出回应时,印度尼西亚法律和人权部(Kemenkumham)移民局局长西尔米·卡里姆(Silmy Karim)证实,正在对所谓的数据泄露事件进行调查。
Silmy Karim通过短信给Liputan6.com表示:“我们目前正在调查数据泄露事件的真实性。”
Silmy进一步透露,移民数据中心目前使用通信和信息部(Kominfo)的国家数据中心(PDN; Pusat Data Nasional)。他们正在与国家网络和加密机构(BSSN; Badan Siber dan Sandi Negara)和Kominfo合作调查此事。
Silmy在接受Kompas.com采访时说:“是的,我们正在与BSSN和Kominfo合作。”
据Kominfo官网介绍,PDN的发展是政府政策的一部分,包括《电子政府系统总统条例》第27条。
PDN为中央和地区政府机构提供各种服务,包括政府云计算、数据整合和合并。
至于正在进行的调查,Kominfo信息和公共传播总监乌斯曼·坎松(Usman Kansong)透露,PDN中的数据结构与流传的泄露数据存在差异。
乌斯曼上周三(7月5日)在给Kompas.com的一份声明中表示:“根据初步调查,国家数据中心的数据结构与流传的数据结构存在差异。”
乌斯曼表示,Kominfo目前正在制定法规,以防止未来的数据泄露。他说:“作为长期预防的一部分,我们正在根据2022年关于个人数据保护的第27号法律制定相关规定。”
他进一步提到,Kominfo正在起草政府条例(Peraturan Pemerintah/PP)和总统条例(Peraturan Presiden/Perpres)。政府条例预计将于2023年底发布,而总统条例则计划于2023年9月发布。
Usman补充说,除了发布法规外,Kominfo还将在印尼多个地点扩建国家数据中心(PDN)。他说:“我们将在4个地点建设国家数据中心,即勿加泗(Bekasi)、巴淡(Batam)、IKN和纳闽巴约(Labuan Bajo)。”
为了加强数据基础设施和网络安全措施,通信和信息部(Kominfo)启动了一项雄心勃勃的项目,在印度尼西亚多个地点建立首个政府所有的国家数据中心(PDN)。
由于印度尼西亚持续存在的数据泄露问题,迫切需要加强数据保护措施。Kominfo信息学应用总监Semuel Abrijani Pangerapan透露,2019年至2023年间,该部共处理了94起数据泄露案件。
值得注意的是,2023年数据泄露数量激增了75%,达到35起。截至2023年6月,Kominfo已处理15起数据泄露事件。
Semuel澄清,在处理的94起案件中,经过评估和取证调查,其中28起案件被确定为网络安全漏洞或系统漏洞,而不是违反个人数据保护的行为。
在美国司法部查封这个臭名昭著的网络犯罪论坛一年后,包含近50万RaidForums用户详细信息的数据库在网上泄露。
泄露的数据库发布在Exposed论坛上,安全研究人员将其描述为一个新兴的论坛,“希望填补最近BreachForums关闭留下的空白”。
“暗网下/AWX”访问了这个最新的数据泄露论坛,也是使用MyBB程序搭建,与RaidForums以及BreachForums看上去很相像。该论坛的公告称,Exposed论坛的暗网镜像网站将很快推出。
从RaidForums到BreachForums,最后到Exposed Forums RaidForums于2015年推出,曾经是一个广受欢迎的平台,发展成为世界上最大的黑客论坛之一。网络犯罪分子主要使用它来买卖被盗的数据库。其中包括加密货币钱包服务Gatehub的超过一百万个密码,以及数百万个被盗的T-Mobile客户帐户。据报道,Lapsus$黑客组织也使用了该黑客论坛。
美国司法部宣布,作为国际执法行动的一部分,它已于2022年4月没收了RaidForums的网站和基础设施。RaidForums的管理员,被称为“Omnipotent”,和他的两个同伙也被逮捕。检察官说,在该论坛被查封之前,有数百个包含超过100亿条个人记录的被盗数据的数据库被出售。
RaidForums被摧毁后,黑客社区聚集在一个名为BreachForums的新论坛中继续他们的非法活动,BreachForums服务于相同的目的和受众。然而,FBI在2023年3月逮捕了BreachForums的创始人“pompompurin”。“Pompompurin”被捕几天后,该论坛的共同管理员“Baphomet”担心执法部门可能会访问BreachForums的服务器,因此宣布他们永久关闭该论坛。
为了填补BreachForums留下的市场空白,最近推出了一个名为Exposed的新黑客论坛,并迅速受到欢迎。
Exposed论坛的管理员“Impotent”泄漏RaidForums用户的数据库 2023年5月29日,Exposed论坛的管理员“Impotent”公开了RaidForums成员数据库,其中包括47.8万名用户的详细信息,包括他们的用户名、电子邮件地址、哈希密码和注册日期。这些数据现在可供其他威胁参与者、研究人员和执法部门使用。
此外,他们已将此信息作为公告发布在其网站上。
泄露的数据已经可以下载,包括一个包含RaidForums 成员注册信息的SQL文件。这些数据源自RaidForums论坛使用的软件程序(MyBB)中的“mybb_users”表,该表用于存储用户名、电子邮件地址、哈希密码、注册日期和其他相关论坛相关信息等详细信息。
在泄露的数据表中,有478870名在2015年3月20日至2020年9月24日期间注册的RaidForums会员的信息,这表明该数据库在此期间被转储。
Exposed论坛的管理员在帖子中说:“所有在raidforums上的用户可能都被泄露了。”RaidForums在去年关闭时拥有大约55万名用户。
管理员补充说,部分RaidForums用户的详细信息已从数据库中删除,但尚不清楚有多少或背后的原因。
数据库中的大量账户包含已知的注册信息这一事实支持了泄露表的真实性。Exposed论坛的一些成员也确认了他们的信息存在于该MySQL数据表中。
在RaidForums被美国当局查封后,暴露的数据可能已经掌握在执法部门手中,但这些数据对安全研究人员来说仍然很有价值。他们经常利用此类信息来构建威胁参与者的档案,并可能发现与其他恶意活动的联系。
黑客群里在热议,认为Exposed论坛可能是FBI的蜜罐 Telegram中的多个黑客群组中,针对RaidForums数据泄露进行了激烈讨论。
从RaidForums到BreachForums,都是基于PHP论坛程序MyBB搭建,有黑客怀疑,是否MyBB或者其插件存在未公开的0day漏洞,并表示,如果存在,Exposed论坛可能就是下一个被查封的论坛。
还有多名黑客怀疑,Exposed论坛极可能是FBI的蜜罐,因为联邦调查局有该数据库。
国会议员和工作人员的健康数据和其他个人信息在DC Health Care Link运行的服务器遭到网络攻击时被盗,现在正在暗网上出售。
美国联邦调查局正在调查这起黑客入侵事件,众议院首席行政官凯瑟琳斯平多(Catherine Szpindor)致信众议院议员,告知他们该网络攻击事件,该事件于周三曝光。Szpindor写道,她收到了联邦调查局和美国国会大厦警察局的黑客警报。
DC Health Link是平价医疗法案的在线市场,该法案负责管理国会议员及其家人和工作人员的医疗保健计划。
Szpindor称该事件是“重大数据泄露”,暴露了数千名DC Health Link员工的个人身份信息(PII),并警告代表们,他们的数据可能已被泄露。
“目前,我不知道本次数据泄露的规模和范围,”她补充说,联邦调查局通知她,“数百名”众议院和工作人员的账户信息和PII被盗。一旦Szpindor有了一份被盗数据的清单,她将直接联系那些受影响的人。
DC Health Link发言人证实了这一数据泄露行为,并表示该公司正在进行自己的调查,同时与执法部门和电子取证调查人员合作。
众议院领袖寻求答案 美国众议院议长凯文·麦卡锡(R-CA)和众议院民主党领袖哈基姆·杰弗里斯(D-NY)在致哥伦比亚特区健康福利交易局执行董事米拉·科夫曼(Mila Kofman)的一封信中要求提供有关此次攻击的更多信息,包括何时通知受影响的众议员及其工作人员和家人,以及将提供哪些服务——例如信用监控。
他们还想具体了解哪些数据被盗,正在采取哪些措施来防止未来仍然可能存在的数据泄露行为,以及正在采取哪些措施来减轻损害。
“自2014年以来,来自美国各地的数千名众议院议员和雇员通过DC Health Link为自己和家人注册了健康保险,”麦卡锡和杰弗里斯写道。“受影响的众议院客户的规模和范围可能非同寻常的。”
Szpindor在她的信中建议众议院成员考虑冻结他们在Equifax、Experian和TransUnion的信用,直到掌握数据泄露的范围,特别是哪些议员和工作人员的数据遭到泄露。
据CNBC报道,参议院也可能受到了该泄露行为的影响,一封电子邮件被发送到国会那一边的办公室,称参议院被执法部门告知了数据泄露行为,“数据包括全名、日期注册、关系(自己、配偶、孩子)和电子邮件地址,但没有其他个人身份信息(PII)。”
联邦调查局在向媒体发表的一份简短声明中表示,它“知道这一事件并正在提供协助。这是一项正在进行的调查。”国会警察说他们正在与联邦调查局合作。
正在出售的数据 至少有一些在数据泄露期间获取的PII进入了暗网市场。在他们的信中,麦卡锡和杰弗里斯指出,联邦调查局能够购买被窃取的PII和其他参保人信息。这些信息包括配偶和受抚养子女的姓名、社会安全号码和家庭住址。
CNBC称,一个暗网的帖子出售了17万名Health Link成员的数据,并公布了11名用户的数据作为样本。
两位众议院领导人写道:“这一数据泄露行为显着增加了议员、工作人员和他们的家人遭遇身份盗窃、金融犯罪和人身威胁的风险——这已经是一个持续存在的问题。”
他们补充说,“幸运的是,出售信息的黑客似乎并没有意识到他们所拥有的机密信息的高度敏感性,以及它与国会议员的关系。随着媒体报道更广泛地宣传这一数据泄露行为,这种情况肯定会改变。”
现在怎么办? 这些知识可能不会有太大的不同。安全软件制造商Delinea的首席安全科学家和顾问CISO约瑟夫·卡森(Joseph Carson)表示,网络罪犯并不关心他们窃取了谁的数据,只要这些数据足够敏感,可以让人们为它们付钱。
卡森称,这可能不是针对特定人群的有针对性的攻击,否则网络犯罪分子就不会如此公开,也不会出售这些记录。
“除了增加对攻击者的关注和重视,我不相信这会有什么不同。”他说。“最终,攻击者希望从这种数据盗窃中赚钱,他们并不真正关心谁是它所影响的受害者。”
尽管如此,“由于受害者的知名度很高,随着联邦调查局的介入以及该事件现在得到的关注,攻击者可能希望在一段时间内保持低调。”
Channelnomics首席研究官克里斯·贡萨尔维斯(Chris Gonsalves)表示,根据通常在这种攻击之前进行的侦察,骗子可能对目标了解很多。他们只是不关心。
Gonsalves说:“这些数据已经在暗网上出售,据我们所知,至少已经出售过一次,并且将一直如此,直到它不再有利可图。”他警告说,虽然联邦调查局很擅长调查这类案件,但这不是他们的唯一案件。他们的成功率大约是抛硬币。他们可能会在这个案子上投入更多的精力,这取决于国会的呼声有多高,但这并不是我们面前的前所未有的案例。
“这里的好消息是,这次有大嗓门和大麦克风的人受到侵害,而不仅仅是我们这些可怜的傻瓜,所以这很有可能会引起人们对问题的关注,这绝不是一件坏事。”他说,“让我们看看这能持续多久。”
近年来,医疗保健领域的组织受到越来越多的攻击,鉴于他们掌握着医生、员工和患者的大量PII和健康数据(从医疗记录到社会安全号码),这并不令人感到意外。
网络安全公司CheckPoint在一份报告中表示,2022年全球网络攻击数量同比增长38%,医疗保健、教育研究以及政府部门是前三大目标行业。
有一天,我接到一家大型金融机构的内部法律顾问莎拉*的电话。她告诉我:“我们的[信息安全]团队在做例行搜索时发现了一份在暗网上出售的员工密码的列表。业务人员想把它买回来。我们应该做什么?我们应该自己买吗?有什么坏处吗?”
我经常接到这样的电话,简短的回答是,在大多数情况下,法律和声誉风险远远超过购买数据的好处。网络罪犯经常使用暗网——犯罪和非法活动的中心——出售他们通过撞库攻击、网络钓鱼攻击、黑客攻击甚至公司内部人员泄露的未经授权访问的公司数据。
法律和声誉风险包括:
它推高了您公司数据的价格,并使您成为了目标。 如果您购买了您公司的数据,这不仅会使数据本身变得更加昂贵——您还可能获得愿意支付费用的公司的声誉,从而使您成为未来网络勒索和赎金攻击的更理想的目标。
即使网络犯罪分子不知道您的公司是购买者,他们仍会注意到数据正在出售。如果他们确实知道您的公司是买家,他们可能会在自己的圈子中宣传这一点,使您的公司处于进一步的声誉风险之中。
您不知道您从这些数据中得到了什么。 从暗网购买数据本质上是有风险的,因为您总是从不值得信任的人那里购买数据——威胁行为者或从黑客那里非法购买数据的人。数据中可能包含恶意代码和/或包含可能为网络犯罪分子提供未经授权访问公司系统的特洛伊木马程序。
这些数据可能包含来自其他公司的机密或内部信息。 卖家可能将您公司的数据与其他来源的数据结合起来提供,包括您的竞争对手或商业伙伴。您不会知道这一点,直到它太晚了。然后,这些数据的所有者可能会声称您的公司违反了保密协议或其他法律(盗用商业秘密或更糟的是,收到被盗财产)。
您的购买可能会触发通知义务并增加监管风险。 购买数据可以为您提供数据已被泄露的证据,这将触发向消费者和监管机构报告的要求,使您面临诉讼和执法行动的风险。在最好的情况下,您会被置于一个困难的境地,即确定是否触发了监管通知,或者冒着监管机构后来会声称它应该被通知的风险。
您的购买甚至可能违反美国的制裁。 由于很难确定卖家的身份,如果威胁行为者与受制裁国家有关联,购买数据可能会使您的公司承担违反美国财政部规定的责任。美国财政部外国资产控制办公室 (“OFAC”) 对向威胁行为者付款的企业采取执法行动,因为这些付款构成了违反美国制裁的行为。
即使您使用第三方采购商,您的公司仍然可能有风险。 然后,第三方服务将可以访问您公司的客户、供应商和员工数据,从而使这些数据面临额外的风险。而且,您可能仍要承担指导付款的责任。
您可能会被数据泄露的个人起诉。 您可能有法律义务通知个人您在暗网上发现了他们的数据。这些人可能会指责您的公司没有妥善保护他们的数据,也许会不公平地认为入侵的是公司的系统或公司的错误。这可能导致业务损失和可能的诉讼。
这些信息可能仍然存在于暗网上并被出售。 鉴于您正在与网络犯罪分子或其同伙打交道,因此无法保证购买会导致数据得到完全保护。卖方可能没有掌握或控制您被盗数据的所有副本,因此无法阻止进一步的销售或传播。或者他们自己可能继续将您的数据卖给别人。
出于上述许多相同的原因,从暗网购买与您公司业务无关的数据是不可取的。您的公司将面临接收被盗信息甚至竞争对手的商业秘密的风险,从而造成法律和声誉上的双重风险。在任何情况下,这都是不可取的。
我们认识到,在某些情况下,贵公司可能仍会考虑从暗网上购买信息。这些购买应该是非常罕见的,并且要格外小心。在这些情况下,还应进行OFAC分析,以降低您从受制裁国家或个人购买数据的风险。
2022年由于网络攻击严重以及大量泄密,暗网上不包含财务和其他敏感信息的普通数据库价格几乎减半;与此同时,包含相对难以访问和财务敏感信息的数据库的价格变得更加昂贵。
据Positive Technologies统计,如果2021年在暗网购买一批“简单”的数据可能需要200-250美元,到了2022年购买类似的数据仅需花费100-150美元,价格几乎减半。但是,据DLBI的数据,包含欺诈者所需信息(例如客户与银行的关系以及有关其账户或官方记录的信息)的数据库的价值却增加了近100%,并且此类数据被出售的情况有所减少。
最昂贵的数据 根据InfoWatch Group公司的分析,2022年最昂贵的数据是银行数据库,包括公司员工泄露的数据库。并且,它们在暗网上的价格会随着易手而上涨。InfoWatch Group分析主管兼特别项目经理Andrey Arsentiev表示:“通常情况下,卖方(例如银行经理)收取的费用不超过所售卖的数据价格的30%,而中介机构可以赚取更多。”
据威胁情报公司IB称,仅在夏季就在暗网发布了140个数据库。在这样的事件中,75家俄罗斯公司的数据库立即在互联网上发布。受害者包括互联网交付服务、运输、建筑和医疗公司、在线影院、电信运营商等。在这些事件中,总共公开了3.04亿行数据。
客户关系管理系统成为攻击目标 据Positive Technologies威胁分析小组的分析师Nikolay Chursin称,最近出现了访问公司CRM系统(客户关系管理系统)的需求,犯罪分子自己可以从这些系统中获取有关公司员工和客户的信息,客户关系管理系统的访问权限是非常重要的一个数据来源。
他说:“这意味着一小部分犯罪分子可以访问真实用户的最新数据。这些数据可以以极高的价格出售,并可以用来通过社会工程学对有钱人、企业和重要政府雇员进行有针对性的攻击。”
大量的数据泄露事件 今年年初,不知名的犯罪分子窃取了超过540万个Twitter帐户的数据,并将其发布在一个开放的黑客论坛上。泄露数据包括公众无法访问的信息,包括个人电话号码和电子邮件地址。
最近Twitter又爆出新的一次更大的数据泄露事件。一名黑客在一个臭名昭著的暗网论坛上发布了4亿Twitter用户的数据,并勒索该社交网络的CEO、所有者埃隆马斯克,建议他独家购买这批数据,从而避免GDPR诉讼和罚款,否则会卖给其他人。多位独立的信息安全专家证实了最新泄露数据的真实性。
在过去的一年里,Meta公司已经解雇或惩罚了20多名员工和承包商,这些员工和承包商被指控让犯罪分子未经授权访问其旗下社交媒体Facebook和Instagram的某些用户帐户的权限,在某些情况下可以换取数千美元的贿赂。
根据Thales公司的一项研究,三分之一的互联网用户(33%)曾是个人数据泄露的受害者,其中82%的人的生活因此受到了负面影响。
Cybernews调查发现近5亿WhatsApp用户的最新手机号码正在暗网出售 据称有人正在出售近5亿WhatsApp用户的最新手机号码。Cybernews调查的数据样本可能证实了这一点。
11月16日,一名黑客在暗网知名黑客社区BreachForums论坛上发布了一则广告,声称他们正在出售一个包含4.87亿WhatsApp用户手机号码的2022年的数据库。
据称该数据集包含来自84个国家/地区的WhatsApp用户数据,黑客声称其中包含超过3200万条美国用户记录,另一大批电话号码属于埃及(4500万)、意大利(3500万)、沙特阿拉伯(2900万)、法国(2000万)和土耳其(2000万)等国家的公民。据称,待售数据集还包含近1000万俄罗斯公民、超过1100万英国公民以及约610万印度公民的电话号码。
泄露的电话号码可用于营销目的、网络钓鱼、冒充和欺诈。该威胁行为者还告诉Cybernews,他们以7000美元的价格出售美国(3200万)数据集,英国(1100万用户)数据集的售价为2500美元,德国(600万用户)数据集的售价为2000美元。
据报道,WhatsApp在全球拥有超过20亿的月活跃用户。
Cybernews通过样本分析出售的数据集可能是通过数据爬取获得的 #WhatsApp #dataleak: 500 million user records for sale. The #threat actor told @CyberNews they were selling the #US #dataset for $7,000, the #UK – $2,500, and #Germany – $2,000. Check if your country has been affected. Read more: https://t.co/YT8CwV2cLo#cybersecurity #infosec pic.twitter.com/ZsfakpLC3A
— CyberNews (@CyberNews) November 26, 2022 根据要求,WhatsApp数据集的卖家给Cybernews研究人员共享了一份数据样本,共享样本中有1097个英国和817个美国用户号码。Cybernews调查了样本中包括的所有号码,并设法确认了所有这些手机号码确实都是WhatsApp用户。
卖家没有具体说明他们是如何获得数据集的,暗示他们“使用他们的策略”来收集数据,并向Cybernews保证实例中的所有号码都属于活跃的WhatsApp用户。
WhatsApp用户的信息可能是通过大规模采集信息(也称为爬取)获取的,这违反了WhatsApp的服务条款。这种说法纯粹是推测性的。然而,很多时候,在线发布的大量数据集是通过爬取获得的。
长期以来,Meta因允许第三方抓取或收集用户数据而受到批评,曾经在一个暗网论坛上泄露了超过5.33亿条Facebook用户记录,威胁行为者选择免费共享数据集;在Facebook大规模数据泄露成为头条新闻几天后,一个包含据称从5亿份LinkedIn个人资料中爬取的数据的档案又一个流行的黑客论坛上出售。
这些信息大多被攻击者用来进行网络钓鱼和网络欺诈攻击,因此Cyber建议用户对任何来自未知号码的电话、未经请求的电话和信息保持警惕。
WhatsApp否认数据泄露,称用户数据是安全的 WhatsApp断然否认了CyberNews的报道。Meta旗下的消息应用表示,CyberNews没有实质性的证据来证明它所显示的用户数据是从WhatsApp中获取的。
WhatsApp发言人称:“Cybernews上的报道是基于未经证实的屏幕截图。没有证据表明WhatsApp存在‘数据泄露’。”
没有关于任何威胁行为者滥用泄露的用户数据的官方报告。通过电子邮件ID和电话号码,威胁行为者使用网络钓鱼技术来诈骗天真的用户。