在美国司法部查封这个臭名昭著的网络犯罪论坛一年后,包含近50万RaidForums用户详细信息的数据库在网上泄露。
泄露的数据库发布在Exposed论坛上,安全研究人员将其描述为一个新兴的论坛,“希望填补最近BreachForums关闭留下的空白”。
“暗网下/AWX”访问了这个最新的数据泄露论坛,也是使用MyBB程序搭建,与RaidForums以及BreachForums看上去很相像。该论坛的公告称,Exposed论坛的暗网镜像网站将很快推出。
从RaidForums到BreachForums,最后到Exposed Forums RaidForums于2015年推出,曾经是一个广受欢迎的平台,发展成为世界上最大的黑客论坛之一。网络犯罪分子主要使用它来买卖被盗的数据库。其中包括加密货币钱包服务Gatehub的超过一百万个密码,以及数百万个被盗的T-Mobile客户帐户。据报道,Lapsus$黑客组织也使用了该黑客论坛。
美国司法部宣布,作为国际执法行动的一部分,它已于2022年4月没收了RaidForums的网站和基础设施。RaidForums的管理员,被称为“Omnipotent”,和他的两个同伙也被逮捕。检察官说,在该论坛被查封之前,有数百个包含超过100亿条个人记录的被盗数据的数据库被出售。
RaidForums被摧毁后,黑客社区聚集在一个名为BreachForums的新论坛中继续他们的非法活动,BreachForums服务于相同的目的和受众。然而,FBI在2023年3月逮捕了BreachForums的创始人“pompompurin”。“Pompompurin”被捕几天后,该论坛的共同管理员“Baphomet”担心执法部门可能会访问BreachForums的服务器,因此宣布他们永久关闭该论坛。
为了填补BreachForums留下的市场空白,最近推出了一个名为Exposed的新黑客论坛,并迅速受到欢迎。
Exposed论坛的管理员“Impotent”泄漏RaidForums用户的数据库 2023年5月29日,Exposed论坛的管理员“Impotent”公开了RaidForums成员数据库,其中包括47.8万名用户的详细信息,包括他们的用户名、电子邮件地址、哈希密码和注册日期。这些数据现在可供其他威胁参与者、研究人员和执法部门使用。
此外,他们已将此信息作为公告发布在其网站上。
泄露的数据已经可以下载,包括一个包含RaidForums 成员注册信息的SQL文件。这些数据源自RaidForums论坛使用的软件程序(MyBB)中的“mybb_users”表,该表用于存储用户名、电子邮件地址、哈希密码、注册日期和其他相关论坛相关信息等详细信息。
在泄露的数据表中,有478870名在2015年3月20日至2020年9月24日期间注册的RaidForums会员的信息,这表明该数据库在此期间被转储。
Exposed论坛的管理员在帖子中说:“所有在raidforums上的用户可能都被泄露了。”RaidForums在去年关闭时拥有大约55万名用户。
管理员补充说,部分RaidForums用户的详细信息已从数据库中删除,但尚不清楚有多少或背后的原因。
数据库中的大量账户包含已知的注册信息这一事实支持了泄露表的真实性。Exposed论坛的一些成员也确认了他们的信息存在于该MySQL数据表中。
在RaidForums被美国当局查封后,暴露的数据可能已经掌握在执法部门手中,但这些数据对安全研究人员来说仍然很有价值。他们经常利用此类信息来构建威胁参与者的档案,并可能发现与其他恶意活动的联系。
黑客群里在热议,认为Exposed论坛可能是FBI的蜜罐 Telegram中的多个黑客群组中,针对RaidForums数据泄露进行了激烈讨论。
从RaidForums到BreachForums,都是基于PHP论坛程序MyBB搭建,有黑客怀疑,是否MyBB或者其插件存在未公开的0day漏洞,并表示,如果存在,Exposed论坛可能就是下一个被查封的论坛。
还有多名黑客怀疑,Exposed论坛极可能是FBI的蜜罐,因为联邦调查局有该数据库。
国会议员和工作人员的健康数据和其他个人信息在DC Health Care Link运行的服务器遭到网络攻击时被盗,现在正在暗网上出售。
美国联邦调查局正在调查这起黑客入侵事件,众议院首席行政官凯瑟琳斯平多(Catherine Szpindor)致信众议院议员,告知他们该网络攻击事件,该事件于周三曝光。Szpindor写道,她收到了联邦调查局和美国国会大厦警察局的黑客警报。
DC Health Link是平价医疗法案的在线市场,该法案负责管理国会议员及其家人和工作人员的医疗保健计划。
Szpindor称该事件是“重大数据泄露”,暴露了数千名DC Health Link员工的个人身份信息(PII),并警告代表们,他们的数据可能已被泄露。
“目前,我不知道本次数据泄露的规模和范围,”她补充说,联邦调查局通知她,“数百名”众议院和工作人员的账户信息和PII被盗。一旦Szpindor有了一份被盗数据的清单,她将直接联系那些受影响的人。
DC Health Link发言人证实了这一数据泄露行为,并表示该公司正在进行自己的调查,同时与执法部门和电子取证调查人员合作。
众议院领袖寻求答案 美国众议院议长凯文·麦卡锡(R-CA)和众议院民主党领袖哈基姆·杰弗里斯(D-NY)在致哥伦比亚特区健康福利交易局执行董事米拉·科夫曼(Mila Kofman)的一封信中要求提供有关此次攻击的更多信息,包括何时通知受影响的众议员及其工作人员和家人,以及将提供哪些服务——例如信用监控。
他们还想具体了解哪些数据被盗,正在采取哪些措施来防止未来仍然可能存在的数据泄露行为,以及正在采取哪些措施来减轻损害。
“自2014年以来,来自美国各地的数千名众议院议员和雇员通过DC Health Link为自己和家人注册了健康保险,”麦卡锡和杰弗里斯写道。“受影响的众议院客户的规模和范围可能非同寻常的。”
Szpindor在她的信中建议众议院成员考虑冻结他们在Equifax、Experian和TransUnion的信用,直到掌握数据泄露的范围,特别是哪些议员和工作人员的数据遭到泄露。
据CNBC报道,参议院也可能受到了该泄露行为的影响,一封电子邮件被发送到国会那一边的办公室,称参议院被执法部门告知了数据泄露行为,“数据包括全名、日期注册、关系(自己、配偶、孩子)和电子邮件地址,但没有其他个人身份信息(PII)。”
联邦调查局在向媒体发表的一份简短声明中表示,它“知道这一事件并正在提供协助。这是一项正在进行的调查。”国会警察说他们正在与联邦调查局合作。
正在出售的数据 至少有一些在数据泄露期间获取的PII进入了暗网市场。在他们的信中,麦卡锡和杰弗里斯指出,联邦调查局能够购买被窃取的PII和其他参保人信息。这些信息包括配偶和受抚养子女的姓名、社会安全号码和家庭住址。
CNBC称,一个暗网的帖子出售了17万名Health Link成员的数据,并公布了11名用户的数据作为样本。
两位众议院领导人写道:“这一数据泄露行为显着增加了议员、工作人员和他们的家人遭遇身份盗窃、金融犯罪和人身威胁的风险——这已经是一个持续存在的问题。”
他们补充说,“幸运的是,出售信息的黑客似乎并没有意识到他们所拥有的机密信息的高度敏感性,以及它与国会议员的关系。随着媒体报道更广泛地宣传这一数据泄露行为,这种情况肯定会改变。”
现在怎么办? 这些知识可能不会有太大的不同。安全软件制造商Delinea的首席安全科学家和顾问CISO约瑟夫·卡森(Joseph Carson)表示,网络罪犯并不关心他们窃取了谁的数据,只要这些数据足够敏感,可以让人们为它们付钱。
卡森称,这可能不是针对特定人群的有针对性的攻击,否则网络犯罪分子就不会如此公开,也不会出售这些记录。
“除了增加对攻击者的关注和重视,我不相信这会有什么不同。”他说。“最终,攻击者希望从这种数据盗窃中赚钱,他们并不真正关心谁是它所影响的受害者。”
尽管如此,“由于受害者的知名度很高,随着联邦调查局的介入以及该事件现在得到的关注,攻击者可能希望在一段时间内保持低调。”
Channelnomics首席研究官克里斯·贡萨尔维斯(Chris Gonsalves)表示,根据通常在这种攻击之前进行的侦察,骗子可能对目标了解很多。他们只是不关心。
Gonsalves说:“这些数据已经在暗网上出售,据我们所知,至少已经出售过一次,并且将一直如此,直到它不再有利可图。”他警告说,虽然联邦调查局很擅长调查这类案件,但这不是他们的唯一案件。他们的成功率大约是抛硬币。他们可能会在这个案子上投入更多的精力,这取决于国会的呼声有多高,但这并不是我们面前的前所未有的案例。
“这里的好消息是,这次有大嗓门和大麦克风的人受到侵害,而不仅仅是我们这些可怜的傻瓜,所以这很有可能会引起人们对问题的关注,这绝不是一件坏事。”他说,“让我们看看这能持续多久。”
近年来,医疗保健领域的组织受到越来越多的攻击,鉴于他们掌握着医生、员工和患者的大量PII和健康数据(从医疗记录到社会安全号码),这并不令人感到意外。
网络安全公司CheckPoint在一份报告中表示,2022年全球网络攻击数量同比增长38%,医疗保健、教育研究以及政府部门是前三大目标行业。
有一天,我接到一家大型金融机构的内部法律顾问莎拉*的电话。她告诉我:“我们的[信息安全]团队在做例行搜索时发现了一份在暗网上出售的员工密码的列表。业务人员想把它买回来。我们应该做什么?我们应该自己买吗?有什么坏处吗?”
我经常接到这样的电话,简短的回答是,在大多数情况下,法律和声誉风险远远超过购买数据的好处。网络罪犯经常使用暗网——犯罪和非法活动的中心——出售他们通过撞库攻击、网络钓鱼攻击、黑客攻击甚至公司内部人员泄露的未经授权访问的公司数据。
法律和声誉风险包括:
它推高了您公司数据的价格,并使您成为了目标。 如果您购买了您公司的数据,这不仅会使数据本身变得更加昂贵——您还可能获得愿意支付费用的公司的声誉,从而使您成为未来网络勒索和赎金攻击的更理想的目标。
即使网络犯罪分子不知道您的公司是购买者,他们仍会注意到数据正在出售。如果他们确实知道您的公司是买家,他们可能会在自己的圈子中宣传这一点,使您的公司处于进一步的声誉风险之中。
您不知道您从这些数据中得到了什么。 从暗网购买数据本质上是有风险的,因为您总是从不值得信任的人那里购买数据——威胁行为者或从黑客那里非法购买数据的人。数据中可能包含恶意代码和/或包含可能为网络犯罪分子提供未经授权访问公司系统的特洛伊木马程序。
这些数据可能包含来自其他公司的机密或内部信息。 卖家可能将您公司的数据与其他来源的数据结合起来提供,包括您的竞争对手或商业伙伴。您不会知道这一点,直到它太晚了。然后,这些数据的所有者可能会声称您的公司违反了保密协议或其他法律(盗用商业秘密或更糟的是,收到被盗财产)。
您的购买可能会触发通知义务并增加监管风险。 购买数据可以为您提供数据已被泄露的证据,这将触发向消费者和监管机构报告的要求,使您面临诉讼和执法行动的风险。在最好的情况下,您会被置于一个困难的境地,即确定是否触发了监管通知,或者冒着监管机构后来会声称它应该被通知的风险。
您的购买甚至可能违反美国的制裁。 由于很难确定卖家的身份,如果威胁行为者与受制裁国家有关联,购买数据可能会使您的公司承担违反美国财政部规定的责任。美国财政部外国资产控制办公室 (“OFAC”) 对向威胁行为者付款的企业采取执法行动,因为这些付款构成了违反美国制裁的行为。
即使您使用第三方采购商,您的公司仍然可能有风险。 然后,第三方服务将可以访问您公司的客户、供应商和员工数据,从而使这些数据面临额外的风险。而且,您可能仍要承担指导付款的责任。
您可能会被数据泄露的个人起诉。 您可能有法律义务通知个人您在暗网上发现了他们的数据。这些人可能会指责您的公司没有妥善保护他们的数据,也许会不公平地认为入侵的是公司的系统或公司的错误。这可能导致业务损失和可能的诉讼。
这些信息可能仍然存在于暗网上并被出售。 鉴于您正在与网络犯罪分子或其同伙打交道,因此无法保证购买会导致数据得到完全保护。卖方可能没有掌握或控制您被盗数据的所有副本,因此无法阻止进一步的销售或传播。或者他们自己可能继续将您的数据卖给别人。
出于上述许多相同的原因,从暗网购买与您公司业务无关的数据是不可取的。您的公司将面临接收被盗信息甚至竞争对手的商业秘密的风险,从而造成法律和声誉上的双重风险。在任何情况下,这都是不可取的。
我们认识到,在某些情况下,贵公司可能仍会考虑从暗网上购买信息。这些购买应该是非常罕见的,并且要格外小心。在这些情况下,还应进行OFAC分析,以降低您从受制裁国家或个人购买数据的风险。
2022年由于网络攻击严重以及大量泄密,暗网上不包含财务和其他敏感信息的普通数据库价格几乎减半;与此同时,包含相对难以访问和财务敏感信息的数据库的价格变得更加昂贵。
据Positive Technologies统计,如果2021年在暗网购买一批“简单”的数据可能需要200-250美元,到了2022年购买类似的数据仅需花费100-150美元,价格几乎减半。但是,据DLBI的数据,包含欺诈者所需信息(例如客户与银行的关系以及有关其账户或官方记录的信息)的数据库的价值却增加了近100%,并且此类数据被出售的情况有所减少。
最昂贵的数据 根据InfoWatch Group公司的分析,2022年最昂贵的数据是银行数据库,包括公司员工泄露的数据库。并且,它们在暗网上的价格会随着易手而上涨。InfoWatch Group分析主管兼特别项目经理Andrey Arsentiev表示:“通常情况下,卖方(例如银行经理)收取的费用不超过所售卖的数据价格的30%,而中介机构可以赚取更多。”
据威胁情报公司IB称,仅在夏季就在暗网发布了140个数据库。在这样的事件中,75家俄罗斯公司的数据库立即在互联网上发布。受害者包括互联网交付服务、运输、建筑和医疗公司、在线影院、电信运营商等。在这些事件中,总共公开了3.04亿行数据。
客户关系管理系统成为攻击目标 据Positive Technologies威胁分析小组的分析师Nikolay Chursin称,最近出现了访问公司CRM系统(客户关系管理系统)的需求,犯罪分子自己可以从这些系统中获取有关公司员工和客户的信息,客户关系管理系统的访问权限是非常重要的一个数据来源。
他说:“这意味着一小部分犯罪分子可以访问真实用户的最新数据。这些数据可以以极高的价格出售,并可以用来通过社会工程学对有钱人、企业和重要政府雇员进行有针对性的攻击。”
大量的数据泄露事件 今年年初,不知名的犯罪分子窃取了超过540万个Twitter帐户的数据,并将其发布在一个开放的黑客论坛上。泄露数据包括公众无法访问的信息,包括个人电话号码和电子邮件地址。
最近Twitter又爆出新的一次更大的数据泄露事件。一名黑客在一个臭名昭著的暗网论坛上发布了4亿Twitter用户的数据,并勒索该社交网络的CEO、所有者埃隆马斯克,建议他独家购买这批数据,从而避免GDPR诉讼和罚款,否则会卖给其他人。多位独立的信息安全专家证实了最新泄露数据的真实性。
在过去的一年里,Meta公司已经解雇或惩罚了20多名员工和承包商,这些员工和承包商被指控让犯罪分子未经授权访问其旗下社交媒体Facebook和Instagram的某些用户帐户的权限,在某些情况下可以换取数千美元的贿赂。
根据Thales公司的一项研究,三分之一的互联网用户(33%)曾是个人数据泄露的受害者,其中82%的人的生活因此受到了负面影响。
Cybernews调查发现近5亿WhatsApp用户的最新手机号码正在暗网出售 据称有人正在出售近5亿WhatsApp用户的最新手机号码。Cybernews调查的数据样本可能证实了这一点。
11月16日,一名黑客在暗网知名黑客社区BreachForums论坛上发布了一则广告,声称他们正在出售一个包含4.87亿WhatsApp用户手机号码的2022年的数据库。
据称该数据集包含来自84个国家/地区的WhatsApp用户数据,黑客声称其中包含超过3200万条美国用户记录,另一大批电话号码属于埃及(4500万)、意大利(3500万)、沙特阿拉伯(2900万)、法国(2000万)和土耳其(2000万)等国家的公民。据称,待售数据集还包含近1000万俄罗斯公民、超过1100万英国公民以及约610万印度公民的电话号码。
泄露的电话号码可用于营销目的、网络钓鱼、冒充和欺诈。该威胁行为者还告诉Cybernews,他们以7000美元的价格出售美国(3200万)数据集,英国(1100万用户)数据集的售价为2500美元,德国(600万用户)数据集的售价为2000美元。
据报道,WhatsApp在全球拥有超过20亿的月活跃用户。
Cybernews通过样本分析出售的数据集可能是通过数据爬取获得的 #WhatsApp #dataleak: 500 million user records for sale. The #threat actor told @CyberNews they were selling the #US #dataset for $7,000, the #UK – $2,500, and #Germany – $2,000. Check if your country has been affected. Read more: https://t.co/YT8CwV2cLo#cybersecurity #infosec pic.twitter.com/ZsfakpLC3A
— CyberNews (@CyberNews) November 26, 2022 根据要求,WhatsApp数据集的卖家给Cybernews研究人员共享了一份数据样本,共享样本中有1097个英国和817个美国用户号码。Cybernews调查了样本中包括的所有号码,并设法确认了所有这些手机号码确实都是WhatsApp用户。
卖家没有具体说明他们是如何获得数据集的,暗示他们“使用他们的策略”来收集数据,并向Cybernews保证实例中的所有号码都属于活跃的WhatsApp用户。
WhatsApp用户的信息可能是通过大规模采集信息(也称为爬取)获取的,这违反了WhatsApp的服务条款。这种说法纯粹是推测性的。然而,很多时候,在线发布的大量数据集是通过爬取获得的。
长期以来,Meta因允许第三方抓取或收集用户数据而受到批评,曾经在一个暗网论坛上泄露了超过5.33亿条Facebook用户记录,威胁行为者选择免费共享数据集;在Facebook大规模数据泄露成为头条新闻几天后,一个包含据称从5亿份LinkedIn个人资料中爬取的数据的档案又一个流行的黑客论坛上出售。
这些信息大多被攻击者用来进行网络钓鱼和网络欺诈攻击,因此Cyber建议用户对任何来自未知号码的电话、未经请求的电话和信息保持警惕。
WhatsApp否认数据泄露,称用户数据是安全的 WhatsApp断然否认了CyberNews的报道。Meta旗下的消息应用表示,CyberNews没有实质性的证据来证明它所显示的用户数据是从WhatsApp中获取的。
WhatsApp发言人称:“Cybernews上的报道是基于未经证实的屏幕截图。没有证据表明WhatsApp存在‘数据泄露’。”
没有关于任何威胁行为者滥用泄露的用户数据的官方报告。通过电子邮件ID和电话号码,威胁行为者使用网络钓鱼技术来诈骗天真的用户。
可能涉及国家利益的问题,根据黑客在Breached.to论坛发布贴子的最新状态,目前黑客并未如期发布“被窃听”的总理府的秘密对话,多个网友正在回帖咨询其何时发布。同时根据Twitter的用户状态显示,该黑客@Indishellgp的Twitter账户已经被停用。
暗网黑客宣布周五发布“被窃听”的总理府的秘密对话 由于音频泄露丑闻在社交网站上持续了一周的时间,专家称所有政府和私人网站的数据,包括高级军民领导人的数据都被黑客入侵,并且可以在暗网上获得。
据称,这一可能令人尴尬的音频泄露事件成为头条新闻,同时也暴露了一个安全漏洞,由于包括总理谢赫巴兹·谢里夫、玛丽亚姆·纳瓦兹、伊姆兰汗和其他人在内的政府高层人物之间的对话音频片段被浮出水面,从而演变成了一场全面的国家安全事件。
早些时候,黑客在社交媒体帖子中透露,与现任政府为改善国家而进行的谈判已经结束,并表示所有音频将在周五发布。
根据互联网上流传的一张图片,这些音频包括与记者、政府官员、军事人员、总理军事首脑的互动、个人和政府交往、第一家庭和大家庭之间的互动、与司法任命人员有关的对话、与外国政要的接触以及有关人员的命令。
自第一次发布以来,黑客发布了许多推文,警告几位军民领袖,而群众正在等待下一次泄密。
早前音频泄露事件背后的黑客做出了令人震惊的披露 在一系列推文中,这位名为@Indishellgp的“黑客”声称,“在两个不承认以色列的伊斯兰国家中,较小的一个帮助较大的一个从犹太国家获得受控软件提供了便利。较小的国家由一位女性领导。”
Pegasus是一家以色列公司开发的间谍软件,几个月来一直是头条新闻,因为这家“雇佣黑客”公司为世界各地的情报机构和政府提供服务,用于监视竞争对手、记者、活动家和持不同政见者。
根据“黑客”的推文,“来自战略计划司、信号部队、ISSRA、ISI和PS-COAS的官员,率领一个秘密代表团前往较小的国家,正式确定采购。设备和培训都是协议的一部分。“
“这里的要点是,军方最高指挥部不相信三军情报局是这一项目中的唯一操作机构。这可能表明军方长期以来一直担心情报部门过于强大。”
“在受害者的设备中注入了后门,可以随意用于监视。“
“总理办公室从来没有被窃听过。但是,在接下来的几年里;在巴基斯坦感兴趣的每一部电话都被Pegasus锁定了。政治领袖、行政人员、省/联邦立法者、参议员、司法成员、记者、秘书,甚至是高层/中层被监视了。”
这位“黑客”进一步声称,“由于军队中的政治忠诚度不同,一场拉锯战开始了,不同派系发布了对他们有利的不同的音频片段。”
“当某位担任非常重要职务的将军开始进行某种积极的宣传,以支持现任政府时,他被撤职并重新安置。这造成了一个直到今天都无法填补的空白。”其中一条推文写道。
最后,这位“黑客”强调,”军方总是比平民拥有一个优势:信息”。
“但现在风向变了。我拥有军方多年来一直收集的同一批音频和材料数据。我拥有一切。让游戏开始吧。”
在之前的一条推文中,“黑客”曾警告“13先生”(暗指某个陆军将军):“你的时间到了,将军……”。
史无前例的泄露行为,包括私人谈话记录、政府业务在互联网上出售,对话中透露出关于财政部长的尴尬交流,要求为玛丽亚姆女婿提供便利
巴基斯坦历史上最大的数据泄露事件 有关敏感的政府事务和总理与其政府成员之间的私人对话的信息显然已被泄露并在暗网上出售,这将是巴基斯坦历史上最大的数据泄露事件之一。
数据泄露的帖子发布在Breached.to论坛上,这是个泄露数据发布论坛,在明网与暗网均可以访问,深受热衷于泄露并出卖数据的黑客们的欢迎。
泄露的数据——主要是巴基斯坦总理谢赫巴兹·谢里夫(Shehbaz Sharif)和一位身份未透露的前总理的电话记录集合,总时长约100小时——定价为180比特币,这是一种数字货币,按目前的交易价格计算,相当于超过345万美元。
该数据大小为8GB,还包括总理与“所有知名人士,包括那些有影响力但没有权力的人”之间的对话,这位名叫Indishell的卖家还公布了四段对话样本,包括媒体已经报道的谢里夫与他团队中一位身份不明的成员之间的一次谈话,讨论了前者的亲戚可能进口机械的可能性。
Question : Why were all these conversations recorded in the first place? Did they know that their discussions were on tape? If so, why weren't security protocols followed? pic.twitter.com/TmicPmMkIk
— Shoaib Taimur (@shobz) September 24, 2022 根据开源情报(OSINT)账户的分析,该卖家在Breached论坛上没有任何历史发帖。“看起来他创建这个账户只是为了发布关于这些泄漏的信息。”OSINT Insider在推特上说。
Now that one alleged audio leak is out, here is my OSINT report about its origin and what can be its implications.
据称,基于俄罗斯的勒索组织Snatch在试图敲诈英国最豪华的农场商店未果后,在暗网上发布了英国著名电视节目主持人杰里米·克拉克森(Jeremy Clarkson)和“世界自然纪录片之父”大卫·阿滕伯勒爵士等名人客户的详细信息。
科茨沃尔德公司豪华农场商店戴尔斯福特(Daylesford Organic)据说被一个名为Snatch的勒索团伙盯上了,这个来自俄罗斯的团伙是以2000年杰森·斯坦森主演、盖·里奇导演的电影Snatch命名的,该电影以伦敦的犯罪黑社会为背景,拥有许多狂热的追随者。
位于格洛斯特郡的这家公司被称为英国最豪华的农场商店,很早之前就已成为勒索组织黑客攻击的目标,黑客使用网络攻击渗透了公司内部网络,然后秘密收集用户数据。
美国、加拿大和欧洲已经有许多公司已成为Snatch勒索组织的目标,勒索行为通常是在最初的黑客攻击发生后的一段时间。现在,这家在伦敦也有四家卫星商店和一家在线业务的格洛斯特郡公司据说已成为该团伙的最新发布的受害者。在Daylesford拒绝支付比特币赎金后,约80GB的被盗文件已被上传到暗网。
据说其中包括杰里米·克拉克森等名人,他是Daylesford的常客,这激发了他为他的亚马逊电视剧《克拉克森的农场》设立Diddly Squat农场商店。前女友菲利帕·佩奇(Philippa Page)在她的书中透露,这是他最喜欢的商店,讲述了她与这位前Top Gear主持人相处的时光。
据说其他著名的受害者包括约克公爵夫人莎拉·弗格森(Sarah Ferguson)、网球明星蒂姆·亨曼(Tim Henman)和斯诺克王牌罗尼·奥沙利文(Ronnie O’Sullivan)。据报道,这些文件还包括员工的不满、保密协议和银行信息,以及有关所有者的信息。
该公司的所有者是有影响力的卡罗尔·班福德(Carole Bamford)女士,她是JCB亿万富翁班福德(Bamford)爵士的妻子。这位保守党捐赠者最近在科茨沃尔德的家Daylesford之家举办了前首相鲍里斯·约翰逊(Boris Johnson)与凯莉·西蒙兹(Carrie Symonds)的婚礼。报告称,尽管他在疫情流行期间将Daylesford送到了唐宁街10号,但约翰逊先生的详细信息尚未在暗网上公布。
该公司透露,它在2021年6月被黑客攻击,黑客现在已经发布了个人详细信息和快递单,显示了使用该商店的一些富人和名人客户的家庭地址。
该公司的一位发言人周一表示:“Daylesford Organic在2021年6月成为网络攻击的受害者。当时已向ICO报告,并由ICO进行了彻底调查,此后没有再发生任何事件。Daylesford Organic非常重视客户数据的保护,在2021年的攻击之后,采取了额外的安全措施来保护企业。”
网络攻击正在增加,去年12月,俄罗斯黑客被指责攻击格洛斯特市议会的计算机系统。安全公司表示,该团伙会说俄语,而Daylesford正是他们想获得经济赎金和“提供对克里姆林宫有用的信息”的公司。
英国国家网络安全中心表示,俄罗斯入侵乌克兰后,对英国的威胁仍然加剧。Daylesford尚未回复置评请求,但信息专员办公室表示:“戴尔斯福特有机公司让我们知道了一起事件。在审查了信息后,我们提供了数据保护建议并结案。”
Optus是新加坡电信旗下的一家公司,自2001年起由新加坡电信完全拥有。Optus目前是澳大利亚第二大电信供应商,仅次于澳大利亚电信公司。据悉,该电信公司近期发生了数据泄露事件,数据在暗网网站Breached.to上被出售。
被盗的Optus数据可能在暗网上被出售 BreachForums暗网网站上的一篇帖子声称正在出售这些数据,其中包括电子邮件地址、出生日期、名字和姓氏、电话号码、驾驶执照和护照号码。
提到的数据集尚未得到电信运营商Optus公司、警方或情报机构的确认或核实,但一些数字已得到记者的验证。
警方发言人告诉澳大利亚广播公司:“澳大利亚联邦调查局(AFP)知道有报告称,被盗的Optus客户数据和证书可能通过一些论坛出售,包括暗网。”
“AFP正在使用专业能力和其他技术来监控暗网,并将毫不犹豫地对那些违法的人采取行动。”
网络安全公司Internet2.0的联合创始人罗伯特·波特(Robert Potter)曾就网络攻击向美国和澳大利亚政府提供建议,他说这些数据是真实的。
波特先生告诉澳大利亚广播公司:“我可以肯定地说,这些数据是真实的信息,其中包括以前在其他违规事件中没有看到的电子邮件地址。”
“一些数据仍然是加密的。Optus应该确认这是否来自他们的系统。”
在澳大利亚,网上购买被盗凭证是一种犯罪行为,最高可判处10年监禁。
在周五的媒体发布会上,Optus首席执行官Kelly Bayer Rosmarin表示,该公司知道有报道称Optus的数据在网上被出售。
Bayer Rosmarin女士说:“当你将这类信息公开时,其中一个挑战是你可以让很多人声称很多事情。”
“据我们所知,没有任何已被验证和出售的东西,但团队正在研究每一种可能性。”
周六,Optus以警方的建议为由,不愿对该暗网帖子发表评论。
发言人说:“我们正在与澳大利亚联邦调查局协调,因为这现在是一项刑事调查。”
“鉴于调查,Optus不会对声称由第三方持有的客户数据的合法性发表评论,并敦促所有客户在他们的网上交易中保持谨慎。我们再次表示歉意。”
一些网络专家呼吁对网上出售数据的报道持谨慎态度,警告说这可能是试图利用媒体的关注。
Optus正在核实数据泄露事件 Optus的首席执行官Kelly Bayer Rosmarin将数据泄露描述为“老练的犯罪分子”的结果。虽然网络攻击背后的动机尚不清楚,但她说需要“提高警惕” 。Optus首席执行官表示,在最坏的情况下,980万客户可能会受到数据攻击的影响。
Optus正在继续联系所有涉及网络攻击的客户。
发言人说:“我们将从身份证号码可能已被泄露的客户开始,所有这些客户将在今天之前得到通知。”
Optus还建议客户在网上保持警惕,小心诈骗。
“如果客户收到声称来自Optus的链接的电子邮件或短信,请他们注意这不是来自Optus的通信。请不要点击任何链接。”发言人说。
“我们被告知,我们宣布这次袭击可能会引发犯罪分子的一些索赔和诈骗。”
Optus客户现在应该怎么做? Optus仍在鼓励客户“格外警惕”。这家电信运营商警告: 留意您的在线账户的任何可疑或意外活动,并立即向您的供应商报告任何欺诈活动。
留意社交媒体上的可疑电子邮件、短信、电话或信息。
切勿点击任何看起来可疑或要求提供密码、个人或财务信息的链接
Scamwatch建议Optus客户通过更改在线账户密码和启用银行业务的多因素身份验证来保护他们的个人信息。
澳大利亚消费者和竞争委员会(ACCC)表示,任何怀疑自己是欺诈受害者的Optus客户都应该要求禁止其信用记录,并对来自声称代表银行或政府机构的意外电话保持高度怀疑。
谁会受到Optus数据泄露事件的威胁? Optus还不确定。Optus称:这是一次复杂的攻击。
“不说太多,IP地址不断移动,来自欧洲的各个国家。”Bayer Rosmarin女士周五早上说。
在客户数据方面,Bayer Rosmarin女士表示,这次攻击影响的Optus的客户,可以追溯到2017年。
Optus周四证实,客户的姓名、出生日期、电话号码、电子邮件地址、驾驶执照号码、护照号码或地址可能在攻击中被访问。
客户的付款详情和账户密码没有被泄露。
印度尼西亚社会事务部发生重大数据泄露事件 印度尼西亚再次因被认为来自社会事务部(Kemensos)的数据泄露而活跃起来,暗网网站Breached.to上共有1.02亿条公共数据被泄露和出售。
名为sspX的帐户上传的数据名为“来自印度尼西亚社会事务部的印度尼西亚公民数据库”,帖子描述自9月13日开始上传。该文件被认为来自印度尼西亚社会事务部的最新数据,更新至2022年9月,包含85GB的数据,数据量总计102,533,211条。
黑客还提供了上传数据的信息,包括NIK、KK编号、全名、出生日期、年龄和性别。以及一些泄露的数据样本,包括身份证(KTP)的照片和家庭卡(KK)的照片。
DarkTracer披露数据泄露事件 DarkTracer黑客调查平台通过其Twitter帐户@DarkTracker_int也报告了社会事务部的数据泄露,该帐户被称为来自新加坡的暗网威胁调查平台。
他在推特上说:“一个恶意行为者似乎在出售一个数据库,声称是从印度尼西亚共和国社会事务部泄露的1.02亿公民数据库。”
在他的推文中,他还展示了一张来自社会事务部的数据信息形式的照片,该照片泄露了多达16GB的压缩数据、85GB的未压缩数据,总计102,533,221条数据。
“他泄露了数十张带照片的身份证作为样本。这对于确保他的说法属实是必要的,”他补充说。
[ALERT] A bad actor has emerged selling databases that claim to be 102 million INDONESIAN CITIZENSHIP DATABASE leaked from the Indonesian Ministry of Social Affairs. He leaked dozens of national ID card photos as samples. It is necessary to make sure that his claim is true. pic.twitter.com/T7OwyuqYb1
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) September 14, 2022 印度尼西亚社会事务部一直是黑客的目标 在一系列泄露13亿张SIM卡注册、1700万PLN数据和2600万IndiHome-Telkom客户数据之后,社会事务部成为黑客攻击的目标。
目前,社会事务部无法就所谓的泄密提供进一步确认。也不知道是谁闯入数据并在暗网上出售数据的帐户。
北约机密文件被盗并在暗网上出售 数百份发往葡萄牙的北约机密文件被盗并在暗网上出售。葡萄牙最高军事机构EMGFA是“长期和前所未有的网络攻击”的目标,导致北约的秘密信息被泄露。
报道称,在美国情报官员发现机密文件在暗网上出售后,葡萄牙政府在8月才发现网络攻击。
消息人士称,泄漏被认为“极其严重”,对数据泄露的第一次调查发现,机密信息的安全规则已被破坏,因为使用非安全连接来接收和转发文件。
北约要求葡萄牙政府作出解释 报道称,两名葡萄牙官员将于下周前往布鲁塞尔的北约总部举行高级别会议。同时,葡萄牙检察官办公室以及葡萄牙国防部都在对此事展开调查。
葡萄牙检察官办公室正在调查 葡萄牙总检察长办公室周二表示,葡萄牙检察官办公室正在调查针对武装部队总参谋部的网络攻击,其中北约机密文件被提取并在“暗网”上出售。
总检察长办公室告诉欧洲时报(EURACTIV)的媒体合作伙伴Lusa:“调查组的成立得到确认,它由中央调查和起诉部(DCIAP)的检察官办公室领导。”
据葡萄牙报纸《新闻日报》(Diário de Notícias)报道,美国情报部门上周通过驻里斯本大使馆向政府通报了这一情况,据说是在8月份直接与总理安东尼奥·科斯塔进行了沟通。
同一家报纸提到,这起案件被认为“极其严重”,美国网络情报机构已经发现“在‘暗网上’出售的由北约发送给葡萄牙的数百份文件,这些文件被归类为秘密和机密文件。”
葡萄牙国防部正在调查 国防部表示,它已经在调查“所有可能违反计算机安全的迹象”,并声称诉讼程序的“敏感性”意味着进一步发表评论是不合适的。
国防部在一份声明中表示,调查由国家安全办公室进行,“国防部和武装部队与该办公室密切合作”。
国家安全办公室的职能之一是“确保葡萄牙加入的国家框架和国际组织内的机密信息安全”,并行使“授权自然人或法人访问和处理机密信息的权力”。