首页 > 安全研究 > 安全通报 > 安全简讯

HelloFresh 因发送8000万垃圾邮件被罚款14万英镑

发布时间 2024-01-15

1. HelloFresh 因发送8000万垃圾邮件被罚款14万英镑


1月12日,食品配送公司 HelloFresh 收到英国数据隐私监管机构的 14 万英镑(17.8 万美元)罚款,调查发现该公司在短短 7 个月内发送了超过 7,900 万封垃圾邮件和 100 万条短信。这家膳食套件公司每周提供预先称量的配料和食谱,这样顾客就可以自己准备饭菜,而不是在杂货店即兴准备。信息专员办公室表示,该公司声称消息是基于选择加入声明,但该声明并未提及通过文本发送营销消息。有人同意电子邮件营销,但是,这包含在年龄确认声明中,“可能会不公平地激励客户同意”。此外,监管机构补充说,客户在取消 HelloFresh 订阅后的两年内,没有提供足够的信息表明他们的数据将用于营销信息。该公司因违反 PECR 而被处以 14 万英镑的罚款,使自去年 4 月以来向垃圾邮件发送者处以的罚款数量达到 244 万英镑。


2. 研究团体称黑客可以劫持博世恒温器并安装恶意软件


1月12日,Bitdefender 实验室发现流行的博世恒温器型号 BCC100 容易受到网络攻击。此漏洞可能允许远程攻击者操纵设置并在设备上安装恶意软件,关于物联网设备易受攻击状态的最新披露应该不足为奇。从电子滑板到咖啡机,从跑步机到房间里的安全摄像头,所有连接到互联网的东西都容易受到潜在威胁。最新研究揭示了博世 BCC100 恒温器中的漏洞,影响版本 1.7.0 – HD 版本 4.13.22。要了解该缺陷,必须了解 BCC100 恒温器的工作原理。该恒温器使用两个微控制器:用于 Wi-Fi 功能的海飞芯片 (HF-LPT230) 和用于实现主逻辑的意法半导体芯片 (STM32F103)。STM芯片缺乏联网功能,依赖Wi-Fi芯片进行通信。Wi-Fi 芯片侦听 LAN 上的 TCP 端口 8899,并通过 UART 数据总线将直接接收到的任何消息镜像到主微控制器。尽管出现错误代码,设备仍接受伪造的响应,其中包含固件更新详细信息,包括 URL、大小、MD5 校验和和版本。然后,设备请求云服务器下载固件并通过 WebSocket 发送,确保 URL 可访问。一旦设备收到文件,它就会执行升级。


3. 芬兰NCSC-FI称勒索软件Akira会删除NAS和磁带备份


1月11日,芬兰国家网络安全中心 (NCSC-FI) 通报 Akira 勒索软件活动在2023年12月份有所增加,该活动针对该国的公司并删除备份。该机构表示,上个月报告的 7 起勒索软件事件中,有 6 起是由威胁行为者发起的。删除备份会放大攻击的效果,并导致威胁行为者向受害者施加更大的压力,因为他们消除了无需支付赎金即可恢复数据的选项。攻击者还针对磁带备份设备,这些设备通常用作存储数据数字备份的辅助系统。芬兰机构表示,Akira 勒索软件攻击在利用 CVE-2023-20269 后获得了对受害者网络的访问权限,该漏洞影响思科自适应安全设备 (ASA) 和思科 Firepower 威胁防御 (FTD) 产品中的 VPN 功能。


4. FNF的130万客户信息已在2023年勒索软件攻击中暴露


1月11日,Fidelity National Financial (FNF) 透露,大约 130 万客户的数据可能在 2023 年遭受的勒索软件攻击中遭到泄露。该公司为房地产和抵押贷款行业提供产权保险服务,在 2024 年 1 月 9 日更新的文件中向美国证券交易委员会 (SEC) 通报了可能受影响的消费者数量。该事件于 2023 年 11 月首次披露,并迫使 FNF 关闭某些系统,导致其业务运营中断。ALPHV/BlackCat 勒索软件组织随后声称对此次攻击负责,并宣布 FNF 已被纳入其泄露网站。FNF 表示,已通知大约 130 万可能受影响的消费者,并正在为他们提供信用监控、网络监控和身份盗窃恢复服务。它还继续与执法部门、监管机构和其他利益相关者进行协调。该公司表示,没有证据表明任何客户拥有的系统在该事件中受到直接影响,也没有收到任何客户报告表明发生了这种情况。


5. “零点击”蓝牙攻击对主流的操作系统构成严重威胁


1月14日,蓝牙技术为全球数十亿设备使用的无线键盘、鼠标、游戏控制器和其它外围设备提供支持。然而,新的研究揭示了影响 Android、iOS、Linux、macOS 和 Windows 的关键蓝牙漏洞,这些漏洞可能允许远程攻击者将设备作为蓝牙键盘进行配对,并注入击键来执行恶意操作。安全研究员 Marc Newlin ( @marcnewlin ) 在 ShmooCon 2024 的演讲中披露了这些漏洞,并在他的博客上发布了技术细节。这些漏洞(编号为CVE-2023-45866、  CVE-2024-0230和CVE-2024-21306)利用了所有主流操作系统中较弱的蓝牙配对要求。例如锁定模式。这些问题凸显了蓝牙处理身份验证方式的固有风险。除了完全禁用蓝牙之外,个人几乎无法采取措施来防范针对这些缺陷的复杂攻击。如果蓝牙连接的建立方式没有发生根本性的改变,无线外围设备将仍然是寻求无声访问全球手机、笔记本电脑、汽车和智能家居中心的攻击者的主要目标。


6. 研究团队披露针对Linux IoT 设备的蠕虫NoaBot


1月14日,网络安全公司 Akamai 在最近的一份报告中透露,过去一年中,一种前所未有的自我修复恶意软件已经危害了全球的 Linux 设备,秘密安装了加密挖掘程序,巧妙地隐藏了其操作。该蠕虫是 Mirai 僵尸网络的修改版本,Mirai 僵尸网络是一种恶意软件,会感染在 Linux 上运行的服务器、路由器、网络摄像头和其他物联网 (IoT) 设备。Mirai 于 2016 年首次出现,因策划大规模 DDoS 攻击而臭名昭著。与针对 DDoS 攻击的Mirai不同,这种名为 NoaBot 的新蠕虫会安装加密货币挖矿程序,使攻击者能够利用受感染设备的资源进行加密货币挖矿。NoaBot 使用非标准库和字符串混淆来掩盖其活动,从而使其更难被防病毒软件检测到并分析代码。尽管很简单,NoaBot 却展示了隐藏其活动并使分析复杂化的复杂方法。Akamai 监控了该蠕虫一年来的活动,并记录了来自全球 849 个不同 IP 地址的攻击,表明感染范围广泛。Akamai 发布了详细的危害指标 (IoC),可用于检查设备是否受到感染。该蠕虫的传播程度仍不确定,但其非常规的方法引起了研究人员的担忧。

上一篇 下一篇