超过400万个WordPress网站因使用“Really Simple Security”插件而受到影响,该插件被发现存在严重的认证绕过漏洞,允许攻击者远程获取站点的完整管理员权限。漏洞影响所有启用了两步验证功能的站点,可被大规模脚本化用于自动化攻击。Wordfence威胁情报团队于2024年11月6日首次披露了该漏洞,并与插件开发团队合作推送了安全补丁更新。专业版补丁于11月12日发布,免费版于11月14日推送。由于漏洞的严重性(CVSS评分9.8),WordPress官方团队协助强制更新至修复版本9.1.2,保护大部分站点免受攻击。然而,未授权的专业版用户可能无法自动更新,因此建议所有用户尽快验证站点是否已更新到最新版本。此外,托管服务商被建议强制更新客户网站并扫描文件系统,以确保无未修复版本仍在运行。 https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/
3 Microsoft Power Pages配置错误可能导致敏感数据大规模泄露
美国抵押贷款公司AnnieMac Home Mortgage近日披露,其系统在8月21日至23日遭入侵,导致约17.1万名客户的敏感数据被查看或复制。泄露信息包括客户姓名及社会安全号码(SSN)。 目前,公司称尚无证据显示这些数据已被篡改或出现在暗网中。事件发生后,AnnieMac立即展开调查,确认系统安全并评估旅行的数据内容。针对类似事件,公司已加强安全措施,联系相关州和联邦监管机构报告。同时,旅行客户携带12个月由CyEx提供信用监控及身份皮肤保护服务。AnnieMac在全美范围内运营,提供信贷的贷款产品,包括针对低收入或信用评级较低客户的特殊方案,如“一成首付”计划及支持政府的联邦住房管理局公司以帮助客户实现梦想为真理,但此次数据泄露事件传递隐私与安全保障能力敲响警钟。 https://www.theregister.com/2024/11/15/anniemac_data_breach/
5 纽约法院批准针对One Brooklyn的150万美元数据泄露和解方案
纽约州法院初步批准了一项150万美元的和解方案,针对One Brooklyn Health System因2022年11月网络攻击导致超过23.5万人敏感健康数据泄露的集体诉讼案。此次数据泄露事件涉及该系统下的三家医院和多个护理机构。攻击者在2022年7月至11月期间,未经授权获取了患者、员工及其家属的个人信息,包括姓名、社会安全号码、医疗记录和保险信息等。原告指控One Brooklyn未能有效保护个人信息,并违反纽约州消费者保护法,且延迟通知受影响个人。虽然One Brooklyn否认所有指控,但同意采取额外安全措施,以避免类似事件再次发生。根据和解方案,受影响人员可申请高达2500美元的补偿,包括实际经济损失及因应对事件耗费的时间费用。此外,集体成员还可选择两年的信用监控服务。此次和解还包括为8位原告提供每人1000美元的补偿,同时律师将获得50万美元的费用。 https://www.govinfosecurity.com/one-brooklyn-agrees-to-15m-settlement-in-2022-hack-lawsuit-a-26830
6 Helix比特币洗钱服务运营者被判处三年监禁
美国俄亥俄州男子拉里·迪恩·哈蒙(Larry Dean Harmon),因运营暗网搜索引擎Grams及其关联的比特币混币服务Helix,被判处三年监禁。哈蒙自2014年起通过Helix服务洗钱超过354000枚比特币,当时价值约3.11亿美元,现价值约320亿美元。Helix通过混合和交换用户比特币,掩盖其资金来源,为暗网市场的非法交易提供便利。2016年,哈蒙与当时最大的暗网市场Alphabay合作,使其业务更为猖獗。然而,Alphabay于2017年被取缔,哈蒙也在几年后关闭了Grams和Helix。2020年,他因涉嫌洗钱和无证经营货币传输业务被捕,面临20余年的刑期。案件的曲折不仅于此。哈蒙的弟弟利用其登录凭据盗取了712枚被查封的比特币,并挥霍无度,最终被判四年零三个月监禁。作为案件的核心,哈蒙于2021年认罪,承认与暗网供应商合谋洗钱,并同意没收价值超4亿美元的比特币和其他财产。 https://www.theregister.com/2024/11/16/helix_bitcoin_mixer/
发表于 2024-11-18 16:58
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡