每日安全简讯(20230129)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 BlackCat勒索软件团伙窃取了一家炸药制造商的秘密数据
BlackCat勒索软件团伙将印度太阳能工业公司添加到其Tor泄露网站上公布的受害者名单中。该公司是全球公认的工业炸药制造商,提供完整的爆破解决方案,包括包装、散装炸药和起爆系统,以满足全球客户的需求。BlackCat勒索软件组织声称已经攻破了该公司的基础设施,并窃取了2TB的数据,包括与武器生产有关的秘密军事数据。数据泄露影响到公司的所有产品和机密文件。这些数据包括工程规格、图纸、许多武器的审计等。
https://securityaffairs.com/141409/data-breach/blackcat-ransomware-solar-industries-india.html
2 英国一音乐学院证实网络攻击影响了其电话和IT系统
位于伦敦西南部吉尔福德的一所学校已经证实,网络攻击导致学校的电话线中断,并影响了学校的IT系统。吉尔福德郡学校是一所拥有1000多名学生的专业音乐学院,1月19日首次在推特上宣布了IT问题。当时该校校长Steve Smith表示,这一事件“不会影响学习”。该发言人说:“1月19日,吉尔福德郡学校检测到一次网络入侵,影响了学校的IT系统。学校仍然对所有学生开放,并继续提供课程,利用所有工作人员的重要技能和经验。”
https://therecord.media/guildford-county-school-cyberattack-britain/
3 Meta修补了Facebook中的一个双因素身份验证绕过漏洞
Meta修补了Facebook中的一个漏洞,该漏洞可能允许攻击者绕过基于短信的双因素身份验证(2FA)。该漏洞利用了Instagram的限速问题,使攻击者能够暴力破解确认某人电话号码所需的验证码。Meta让用户可以选择将自己的电子邮件和电话号码添加到Instagram和Facebook的链接账户上,并通过电子邮件或短信发送的六位数字代码进行验证。然而,任何随机的六位数字都可以输入,并使用web代理(如Burp Suite)拦截请求。然后,将上述请求发送给攻击者,并在pin_code值中插入$$占位符,以便暴力破解验证码。
https://portswigger.net/daily-swig/facebook-two-factor-authentication-bypass-issue-patched
4 研究人员发现Ruby on Rails应用容易受到暴力攻击
安全公司Positive security警告称,Ransack库与Ruby on Rails (RoR)应用程序集成不当,可能会让攻击者从后端数据库窃取信息。Ransack允许开发人员向他们的Rails应用程序添加基于对象的搜索。它的便捷性和灵活性使它得到了广泛的应用,但至少从安全的角度来看,它也存在问题。默认情况下,Ransack支持关联对象的查询条件。例如,如果在列出博客文章的页面上运行查询,则可以通过文章与博客对象的关联来包含关于文章作者的条件。Ransack还支持非常有用的命令,这些命令可以附加到字段名,使用' start with '或' contains '等操作符来过滤结果。然而,如果在没有护栏的情况下使用该特性,攻击者可以轻松地遍历域以到达后端数据库系统。
https://portswigger.net/daily-swig/ruby-on-rails-apps-vulnerable-to-data-theft-through-ransack-search
5 涉及心理健康数据的两次黑客攻击影响了近40万人
两次黑客入侵,一次发生在一家非营利性的精神健康和物质治疗服务提供商,另一次发生在一家行为健康服务提供商,影响了近40万人的敏感信息。这些漏洞包括2022年对伊利诺伊州路德会社会服务处的勒索软件攻击,影响了近18.4万人,以及涉及北卡罗来纳州Mindpath Health的电子邮件黑客事件,影响了近19.4万人。心理健康和物质使用障碍数据对黑客来说是特别有吸引力的目标,也是一些州额外监管要求的对象。
https://www.govinfosecurity.com/2-hacks-involving-mental-health-data-affected-nearly-400000-a-21031
6 Yandex否认黑客入侵并将源代码泄露归咎于前员工
俄罗斯最大的IT公司Yandex(俗称俄罗斯谷歌)的源代码被泄露。在一个著名的黑客网站上,据称被俄罗斯科技巨头Yandex的一名前雇员窃取的Yandex源代码库被以种子文件的形式泄露。近日,泄密者分享了一个含有44.7 GB文件的磁体链接,据称来自“Yandex git sources”,是在2022年7月从该公司获取的。据说这些代码存储库包含公司的所有源代码。此外,Yandex强调该公司并未被入侵,因为泄露的文件仅包含来自内部存储库的代码片段,但内容与Yandex服务中使用的存储库的当前版本不同。
https://gbhackers.com/yandex-data-leak/
页:
[1]