Otelier酒店管理平台遭遇大规模数据泄露
发布时间 2025-01-201. Otelier酒店管理平台遭遇大规模数据泄露
1月17日,2024年7月至10月期间,酒店管理平台Otelier(前身为MyDigitalOffice)遭遇了严重的数据泄露事件。威胁行为者成功入侵其Amazon S3云存储,窃取了数百万客人的个人信息以及万豪、希尔顿、凯悦等知名酒店品牌的预订信息,总量近8TB。Otelier已确认此次入侵,并正与受影响客户沟通,同时聘请了顶尖网络安全专家团队进行全面取证分析和系统验证。为防止类似事件再次发生,Otelier已禁用相关账户并加强网络安全协议。据威胁者透露,他们最初通过信息窃取恶意软件获取了一名员工的登录信息,进而入侵了Atlassian服务器,并利用这些凭证获取了更多数据,包括S3存储桶的访问权限。万豪酒店已证实其受到影响,并暂停了Otelier提供的自动化服务,但强调其系统未在此次攻击中遭到入侵。然而,泄露的数据样本显示,酒店客人的姓名、地址、电话号码和电子邮件地址等个人信息已被盗取,并被添加到“Have I Been Pwned”网站上供人查询。尽管密码和账单信息未被盗,但用户仍需警惕针对此漏洞的可疑电子邮件和网络钓鱼攻击。
https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/
2. PyPI现“pycord-self”恶意包,针对Discord开发人员窃取令牌植入后门
1月17日,Python包索引(PyPI)上出现了一款名为“pycord-self”的恶意软件包,它针对的是Discord开发人员。这款恶意包模仿了广受欢迎的“discord.py-self”包,已被下载约885次。尽管它提供了合法项目的功能,但实则包含执行两项主要恶意操作的代码:一是窃取Discord身份验证令牌并将其发送到外部URL,即使双因素身份验证保护处于活动状态,攻击者也能使用这些令牌劫持开发人员的Discord帐户;二是通过端口6969与远程服务器建立持久连接,建立后门机制,让攻击者能够持续访问受害者的系统。Socket研究人员对此进行了详细分析。因此,建议软件开发人员在安装软件包时,务必验证代码是否来自官方作者,并检查软件包的名称,以降低成为受害者的风险。同时,使用开源库时,建议检查代码中是否存在可疑函数,并利用扫描工具检测和阻止恶意软件包。
https://www.bleepingcomputer.com/news/security/malicious-pypi-package-steals-discord-auth-tokens-from-devs/
3. Lazarus组织针对开发人员发起“99号行动”窃取敏感数据
1月17日,朝鲜政府支持的Lazarus组织正在开展名为“99号行动”的持续攻击活动,针对软件开发人员窃取敏感数据。此次活动标志着Lazarus组织攻击策略的演变,从广泛的网络钓鱼攻击转向针对技术供应链中的开发人员进行有针对性的攻击。攻击者冒充招聘人员在LinkedIn等平台上联系目标,诱导受害者克隆恶意GitHub存储库,执行其中的代码后连接到由攻击者控制的命令和控制服务器。该服务器使用高度混淆的Python脚本来逃避检测,并针对特定目标动态定制恶意软件。该活动部署了具有模块化组件的多阶段恶意软件系统,以窃取开发人员的源代码、机密、配置文件以及加密货币钱包密钥等敏感数据。SecurityScorecard敦促开发人员采取主动的安全措施,如增强代码存储库验证、使用高级端点安全解决方案检测异常活动、在平台上验证招聘人员和工作机会,并掌握识别危险信号的知识。
https://www.infosecurity-magazine.com/news/lazarus-developers-data-theft/
4. 黑客“0mid16B”宣布入侵MedSave,窃取561GB数据并计划出售
1月17日,名为“0mid16B”的黑客周三宣布已成功入侵印度大型第三方管理机构MedSave,窃取了561GB的数据库,包含超过1000万人的敏感信息,其中不乏高管资料,且数据截止至2025年1月8日。0mid16B未透露入侵手段,但声称MedSave长时间未察觉其存在,且在1月12日至15日期间三次进入系统并干扰其运作。尽管未向MedSave提出具体勒索金额,0mid16B批评其安全防护薄弱,指出公司未安装防病毒软件,且在明知漏洞存在的情况下仍重启服务器,使其得以轻易传输大量数据而未触发警报。MedSave网站目前无法访问,DataBreaches已尝试通过多渠道联系MedSave告知其情况,但尚未收到回复。0mid16B表示有意出售部分数据并公开非客户数据,此事有待MedSave进一步回应。
https://databreaches.net/2025/01/17/medsave-health-insurance-tpa-hacked-firm-has-yet-to-comment-or-respond/
5. 模仿Black Basta手法的网络攻击瞄准SlashNext客户
1月15日,SlashNext的一位客户遭遇了模仿臭名昭著的Black Basta勒索软件团伙手法的网络攻击。在短短90分钟内,攻击者向22个用户收件箱发送了1165封恶意邮件,企图诱骗用户点击恶意链接。SlashNext的研究人员揭示了这次攻击迅速且精准,使用了与Black Basta相似的手法,旨在让用户措手不及并绕过传统安全措施。攻击者利用勒索软件骗局,伪装成流行平台发送虚假邮件,使用看似无害的域名和特殊字符的主题行,针对不同用户角色提高关注度。他们通过看似合法的邮件淹没收件箱,制造混乱,诱使用户点击链接。当用户不知所措时,攻击者冒充IT支持介入,诱骗用户安装远程访问软件,从而在系统中站稳脚跟,可能传播恶意软件或窃取敏感数据。幸运的是,SlashNext的集成云邮件安全系统迅速识别出危险信号,及时应对。这一事件凸显了网络安全威胁的日益复杂性,攻击者使用先进技术规避传统安全措施。因此,组织应优先考虑威胁检测和响应,定期进行安全评估,以识别漏洞并提升整体安全性。
https://hackread.com/black-basta-cyberattack-hits-inboxes-with-1165-emails/
6. Star Blizzard新钓鱼活动瞄准WhatsApp账户
1月19日,俄罗斯民族国家行为者Star Blizzard近期开展了一项新的鱼叉式网络钓鱼活动,专门攻击政府、外交、国防政策、国际关系及乌克兰援助组织等目标的WhatsApp账户。该活动于2024年11月中旬被微软威胁情报报告揭示,标志着Star Blizzard为应对策略和技术曝光所做的战术转变。攻击者通过电子邮件冒充美国政府官员,诱骗目标加入支持乌克兰的非政府组织WhatsApp群组,邮件中包含损坏的二维码,若受害者回应,则会被引导至虚假网页,要求扫描新的二维码,实则是将攻击者设备链接至受害者WhatsApp账户。微软指出,一旦受害者操作,攻击者即可访问其WhatsApp消息,并利用插件窃取数据。此次攻击依赖社会工程学,不涉及恶意软件,用户需警惕未经请求的通信,特别是加入群组的邀请,并定期检查与WhatsApp账户关联的设备。此次活动表明,尽管Star Blizzard在2024年10月的活动中断后部分域名被查封,但其仍通过探索新攻击媒介继续行动。
https://www.bleepingcomputer.com/news/security/star-blizzard-hackers-abuse-whatsapp-to-target-high-value-diplomats/
京公网安备11010802024551号