/
Pitney Bowes遭遇数据泄露,820万邮件地址外泄
数据泄露追踪平台Have I Been Pwned于4月27日确认,物流科技公司Pitney Bowes遭遇数据泄露,820万个唯一邮箱地址连同姓名、电话及实体地址一同外泄,部分数据还涉及职位等员工信息。此次攻击由黑客组织ShinyHunters实施,系通过钓鱼攻击入侵员工邮箱账户,进而访问其Salesforce CRM系统所致。Pitney Bowes表示已第一时间封锁入侵通道,并启动调查,暂未发现敏感个人数据遭访问的证据。
医疗与公用事业科技公司相继披露数据遭入侵事件
智能电表及能源管理技术供应商Itron与医疗设备巨头美敦力(Medtronic)近期相继向美国证券交易委员会披露遭遇网络入侵事件。Itron于4月13日发现未经授权的第三方入侵,公司已联系执法机构并启动调查,目前未发现后续异常活动,预计相关损失将由保险公司报销。美敦力方面则遭黑客组织ShinyHunters声称窃取逾900万条个人信息记录,并提出勒索要求。两家公司均表示核心业务运营未受影响。
法国"安全"证件机构遭遇数据泄露,黑客声称窃取1900万条记录
法国国家安全证件机构(ANTS)确认其门户网站于4月15日遭遇安全事件,可能泄露用户姓名、邮箱、出生日期、手机号及邮政地址等个人信息。与此同时,一名黑客在犯罪论坛声称已窃取1800万至1900万条记录,约占法国总人口的三分之一。目前政府尚未证实该数据规模,调查仍在进行中。这是法国近期继教育部和国家银行账户注册系统遭入侵后的又一起公共部门安全事件。
Adaptavist集团遭遇安全入侵,勒索软件团伙声称窃取大量数据
英国企业软件咨询公司Adaptavist集团正在调查一起安全事件:攻击者利用被盗凭据入侵部分系统。与此同时,一个自称"The Gentlemen"的勒索软件团伙宣称实施了"完整基础设施入侵",并声称窃取了大量数据,包括数十万客户记录、源代码及内部文件。Adaptavist CEO表示,目前无证据显示客户数据遭外泄,但已警告有第三方冒充该公司向客户发送误导性邮件,疑似借机实施网络钓鱼攻击。
教科书巨头麦格劳-希尔遭勒索软件团伙攻击,1350万条记录泄露
教科书出版巨头麦格劳-希尔因Salesforce配置错误,导致1350万条记录外泄,随后被勒索软件团伙ShinyHunters列入暗网泄露名单。泄露数据超过100GB,涵盖姓名、电话、电子邮件及部分实际地址。该团伙声称持有超4000万条Salesforce相关个人信息,并指控麦格劳-希尔未在4月14日截止前支付赎金。麦格劳-希尔否认其核心系统遭到未授权访问,但此次事件再次警示企业需重视第三方平台的权限配置安全。
数据泄露风波持续发酵,估值百亿美元的Mercor深陷困境
AI数据训练独角兽Mercor在完成35亿美元C轮融资、估值达100亿美元六个月后,于3月31日承认遭遇数据泄露。黑客组织声称窃取了4TB数据,涵盖候选人信息、雇主数据及源代码等。此次泄露源于开源工具LiteLLM被植入凭证窃取恶意软件。Meta已无限期暂停与Mercor的合作,五名承包商提起诉讼。OpenAI表示正调查其涉及程度,其他大型模型厂商也在重新评估与Mercor的合作关系。
AI招聘公司Mercor确认遭受LiteLLM供应链攻击
AI招聘初创公司Mercor确认其为LiteLLM供应链攻击中"数千家受影响公司之一"。该攻击源于TeamPCP组织对开源漏洞扫描工具Trivy的入侵,随后扩散至多个开源项目。勒索组织Lapsus$声称从Mercor窃取4TB数据,包括939GB源代码。安全专家估计攻击者已从50万台设备窃取数据,超过1000个SaaS环境受到影响,受害者数量可能进一步扩大至数万家。
AI招聘公司Mercor遭受网络攻击,攻击源于开源项目LiteLLM遭黑客入侵
AI招聘创业公司Mercor确认遭遇与开源项目LiteLLM供应链攻击相关的安全事件。该公司表示是受TeamPCP黑客组织攻击影响的数千家公司之一。勒索组织Lapsus$声称已攻击Mercor并获取其数据,包括Slack数据和票务信息。Mercor成立于2023年,与OpenAI等公司合作,通过聘请专业领域专家训练AI模型。公司已迅速采取措施遏制事件并进行调查。
欧盟委员会承认公共网络系统遭入侵但披露细节有限
欧盟委员会承认攻击者成功入侵其面向公众的网络基础设施并窃取数据,但披露信息极其有限。此次入侵于3月24日被发现,影响了托管Europa网站的云系统。官方表示已迅速控制事件,网站保持正常运行。委员会称可能有数据被窃取,但未透露具体数据类型、数量或受影响人员。报告显示攻击者可能访问了AWS云环境,窃取超过350GB数据。
网络上惊现数千个有效API密钥泄露
斯坦福大学等机构研究人员对1000万个网站进行安全分析,发现近2000个API凭证散布在1万个网页中。这些高度敏感的API凭证可直接访问云平台、支付服务等关键基础设施。研究发现一家全球重要金融机构和无人机固件开发商等组织的凭证被暴露。AWS凭证占验证暴露总数的16%以上,出现在4693个网站上。84%的凭证存在于JavaScript资源中。研究人员通报后,暴露凭证数量在两周内减少了一半,但历史分析显示这些凭证平均暴露12个月。
俄罗斯逮捕LeakBase犯罪论坛管理员,数亿账户信息被非法交易
俄罗斯执法部门逮捕了LeakBase网络犯罪论坛的涉嫌管理员。该嫌疑人是塔甘罗格市居民,自2021年起创建并管理这一犯罪网站,允许交易被盗个人数据库。该平台托管数亿用户账户、银行详细信息、用户名和密码,超过14.7万注册用户可买卖这些数据并实施欺诈。本月早些时候,LeakBase在执法行动中被关闭,美国司法部称其为全球最大的网络犯罪数据交易中心之一。
Intuitive公司披露员工遭遇钓鱼攻击导致数据泄露事件
机器人辅助手术技术公司Intuitive披露遭受网络攻击,黑客通过钓鱼攻击窃取员工凭据后,未经授权访问了部分内部IT业务应用。被盗数据包括客户商业联系信息以及员工企业数据。公司表示攻击未影响其达芬奇手术系统等机器人平台运营,医院客户网络也未受影响。这起攻击发生在另一家医疗技术公司史赛克遭受网络攻击后不久。
威胁行为者利用修改版AuraInspector工具大规模扫描Salesforce体验云
Salesforce警告称,威胁行为者正在利用修改版开源工具AuraInspector大规模扫描公开的Experience Cloud站点,通过利用客户过于宽松的访客用户配置来获取敏感数据。攻击者开发的定制版本不仅能识别漏洞,还能直接提取数据。Salesforce建议客户检查访客用户设置,确保默认外部访问权限设为私有,禁用访客API访问,并监控异常查询日志。
律商联讯确认法律专业部门数据泄露事件
数据分析巨头LexisNexis确认其法律与专业服务部门遭遇数据泄露,网络犯罪团伙Fulcrumsec声称对此负责。经调查,公司表示事件已得到控制,产品和服务未受影响,但需要第三方数字取证团队协助清理。泄露数据主要为2020年前的遗留数据,包括客户姓名、用户ID、商务联系信息等,不涉及社保号码、银行账户等敏感信息。
俄勒冈州数千名居民健康数据在TriZetto泄露事件中被盗
TriZetto保险验证服务商遭黑客攻击,导致俄勒冈州数千名居民将收到数据泄露通知书。此次攻击发生在2024年11月,入侵者获取了多个美国州医疗服务提供商客户的受保护健康信息和敏感个人信息,影响超过70万人。TriZetto直到近一年后才发现网络入侵。俄勒冈州三家医疗机构约4150名患者受到影响,目前没有证据显示信息被滥用。母公司Cognizant因此面临多起集体诉讼。
耐克遭遇数据窃取 1.4TB内部文件疑似失窃
耐克公司证实正在调查一起潜在的网络安全事件。勒索团伙WorldLeaks声称从耐克系统中窃取了1.4TB内部数据,包含18.8万个文件,并在其泄露网站发布样本。被盗数据主要涉及设计和制造流程文件,包括运动服装设计、工厂培训资源等,暂未涉及客户信息。该团伙被认为是Hunter International勒索软件组织的重新包装。近期Under Armour也遭遇类似攻击,7270万用户账户信息被泄露。
加密钱包公司Ledger确认第三方合作伙伴数据泄露事件
加密钱包公司Ledger确认其第三方合作伙伴Global-e发生数据泄露事件,客户姓名和联系信息被泄露。Global-e是Ledger使用的端到端电商平台,遭到未经授权访问,部分订单数据被复制,包括客户姓名、地址、邮箱、电话和订单详情。Ledger强调这不是其平台或设备的安全漏洞,不影响加密资产安全。该公司此前在2020年曾遭受重大数据泄露,影响约27.2万客户。
Oracle 因两起安全事件处理方式受到质疑
科技巨头 Oracle 正面临对两起独立数据泄露事件处理方式的批评。一起事件似乎仍在持续,尽管 Oracle 据报道否认存在任何泄露。另一起涉及其医疗保健子公司 Oracle Health 的患者数据泄露。Oracle 对这两起事件的处理方式缺乏透明度,引发了行业内的担忧和质疑。
数千个已私有化的 GitHub 代码库仍可通过 Copilot 访问
安全研究人员警告称,即使数据在互联网上暴露的时间很短,仍可能在像 Microsoft Copilot 这样的在线生成 AI 聊天机器人中长期存在。
荷兰跳蚤市场几欧元就能买到数百份医疗记录
一名荷兰技术爱好者在跳蚤市场以每个5欧元的低价购买了5个硬盘,意外发现其中包含大量敏感医疗数据。这些数据包括个人身份信息、出生日期、家庭地址和药物详情等,涉及Utrecht、Houten和Delft地区的居民。这一事件引发了对医疗数据管理和隐私保护的严重担忧。
京公网安备 11010802021500号
