iHeartMedia旗下电台遇网络入侵,敏感数据外泄
发布时间 2025-05-081. iHeartMedia旗下电台遇网络入侵,敏感数据外泄
5月6日,美国最大音频传媒集团iHeartMedia披露,其旗下多家广播电台于去年12月遭遇网络入侵,造成员工敏感数据外泄。这些数据涵盖员工社会安全号码、财务账户信息、税号、驾照/护照号码、健康保险资料及支付卡号等。尽管iHeartMedia已向缅因州、马萨诸塞州与加利福尼亚州提交数据泄露报告,但拒绝透露受影响人数及遭攻击电台数量。iHeartMedia发言人表示,在发现少数地方电台部分系统存在异常活动后,公司立即采取措施阻断入侵,启动事件响应流程,并聘请第三方网络安全公司协助调查,同时已向执法部门通报。泄露通知文件显示,攻击者在12月24日至27日期间侵入公司系统,访问并窃取了存储于地方电台的敏感文件。经过持续至今年4月11日的调查,外泄数据得到确认。为保护受影响员工权益,iHeartMedia将为其提供一年期身份保护服务,并开通专设电话热线供员工咨询。不过,在提交给缅因州的报告中,iHeartMedia刻意隐去了受害者总数统计项。目前,尚无黑客组织宣称对此事件负责。
https://therecord.media/iheart-radio-stations-breached-december
2. LockBit勒索软件团伙遭黑客攻击,受害者谈判记录曝光
5月7日,LockBit勒索软件团伙遭遇数据泄露事件,其暗网附属面板被破坏,并被替换为指向MySQL数据库转储的链接消息。目前,该团伙所有管理面板均显示“不要犯罪,犯罪是坏事,来自布拉格的xoxo”字样,并附有下载“paneldb_dump.zip”的链接。该档案包含从网站附属面板MySQL数据库转储的SQL文件,据BleepingComputer分析,数据库含20个表,部分表信息颇具价值。如“btc_addresses”表含59975个唯一比特币地址;“builds”表包含关联方为攻击创建的构建及部分目标公司名称;“builds_configurations”表含各构建使用的配置;“聊天”表记录了勒索软件操作与受害者间4442条谈判消息;“用户”表列出了75位有权访问联盟面板的管理员和联盟会员,且密码以明文形式存储,示例包括“Weekendlover69”等。LockBit运营商“LockBitSupp”证实了此次泄密事件,但称无私钥泄露或数据丢失。根据MySQL转储生成时间和谈判聊天表最后日期记录,数据库似在2025年4月29日被转储。目前攻击者身份及攻击方式尚不明确,但被破坏信息与Everest勒索软件暗网网站被攻击时所用信息相符,或存在联系。此外,phpMyAdmin SQL转储显示该服务器运行存在严重漏洞CVE-2024-4577的PHP 8.1.2版本,该漏洞可用于远程代码执行。
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/
3. PowerSchool遭数据泄露后黑客借旧数据勒索学区
5月7日,PowerSchool警告称,去年12月发动网络攻击的黑客正对学校进行单独勒索,以公布之前被盗学生和教师数据为要挟。PowerSchool确认威胁行为者已联系多个学区客户,利用去年12月事件数据进行勒索,因数据样本与被盗数据相符,判断并非新事件。今年1月,PowerSchool披露其PowerSource客户支持门户网站因凭证泄露遭入侵,攻击者利用权限下载学区数据库,包含学生和教师多方面敏感信息。该漏洞最初于去年12月28日被发现,但早在2024年8月和9月就已遭入侵。黑客曾声称窃取多国大量学区学生和教师数据,PowerSchool当时确认支付赎金以阻止数据泄露,但威胁者未兑现承诺。该公司已向美、加执法部门报告,正与客户密切合作提供支持,对此深感遗憾。PowerSchool对违规行为造成的持续威胁表示歉意,称将继续与客户和执法部门合作应对勒索行为。同时,建议学生和教职员工利用两年免费信用监控和身份保护服务防范欺诈和身份盗窃。此外,PowerSchool反思了支付赎金的选择,表示虽是艰难决定,但为保护客户利益,在去年12月事件发生几天后便决定支付赎金以防止数据公开,不过仍存在不法分子不愿删除窃取数据的风险。
https://www.bleepingcomputer.com/news/security/powerschool-hacker-now-extorting-individual-school-districts/
4. 黑客利用OttoKit WordPress插件漏洞添加管理员帐户
5月7日,黑客正利用OttoKit WordPress插件中的严重权限提升漏洞CVE-2025-27007在目标网站上创建恶意管理员帐户。OttoKit(曾用名SureTriggers)是一款受欢迎的自动化和集成插件,用户量超10万,用于连接网站与第三方服务并自动化工作流程。2025年4月11日,Patchstack收到研究员丹佛·杰克逊提交的漏洞报告,指出攻击者可利用“create_wp_connection”函数中的逻辑错误,通过插件API绕过身份验证,获取管理员访问权限。供应商在收到通知后的第二天获悉此情况,并于4月21日发布补丁(OttiKit 1.0.83版本),增加了对请求中访问密钥的验证检查。截至4月24日,多数用户已更新至修补版本。然而,Patchstack于5月5日发布的报告显示,漏洞利用活动在公开披露后约90分钟即已开始。攻击者通过瞄准REST API端点,发送模仿合法集成尝试的请求,并尝试猜测或暴力破解管理员用户名、密码及虚假访问密钥和电子邮件地址来利用漏洞。一旦攻击成功,攻击者会发出后续API调用,在存在漏洞的安装中创建新的管理员帐户。Patchstack建议使用OttoKit插件的用户尽快更新网站,并检查日志和网站设置中是否存在攻击和泄露指标。
https://www.bleepingcomputer.com/news/security/hackers-exploit-ottokit-wordpress-plugin-flaw-to-add-admin-accounts/
5. Masimo Corporation遭网络攻击影响生产运营
5月7日,医疗器械公司Masimo Corporation发出警告,称其正遭受网络攻击,该攻击已对生产运营造成影响并导致客户订单履行延迟。Masimo Corporation总部位于加州,是一家知名的医疗技术和消费电子产品制造商,以无创患者监测产品闻名,如脉搏血氧仪、脑功能监测仪等。该公司于2025年4月27日遭遇此次网络攻击,并于昨晚向美国证券交易委员会提交的8-K表格文件中披露了该事件。尽管Masimo未透露攻击类型的具体细节,但确认威胁行为者侵入了其内部网络,迫使公司隔离受影响的系统。此次网络安全事件对公司的生产和业务运营产生了显著影响,部分制造设施的运营水平低于正常,客户订单的处理、履行和发送能力也受到暂时影响。公司正努力恢复受影响网络部分的在线运行,以恢复正常业务运营并减轻事件影响。Masimo认为此次网络攻击仅限于内部系统,不会波及其基于云的基础设施。目前,公司正在与外部网络安全专家合作,并已通知执法部门,对事件的具体性质、范围和实际影响的调查仍在进行中,因此尚不清楚是否影响了客户数据,以及是否会对本季度财务数据产生任何影响。截至目前,尚无勒索软件组织对此次攻击负责。
https://www.bleepingcomputer.com/news/security/medical-device-maker-masimo-warns-of-cyberattack-manufacturing-delays/
6. 多国联合行动打击六个DDoS雇佣平台,四名嫌疑人被拘
5月7日,波兰当局近期拘留了四名与六个DDoS雇佣平台有关的嫌疑人,这些平台自2022年起已对全球学校、政府服务、企业和游戏平台发动了数千次攻击。这些平台在暗网和黑客论坛上被伪装成合法测试工具,实则用于发动DDoS攻击,通过向在线服务、服务器和网站注入大量流量,导致其无法正常使用。欧洲刑警组织宣布,波兰当局在协同执法行动中,与德国、荷兰和美国合作,成功关闭了六个DDoS服务平台,包括Cfxapi、Cfxsecurity、neostress、jetstress、quickdown和zapcut。据信,这四名嫌疑人是这些平台的幕后运营者,他们提供的DDoS雇佣服务允许付费客户以低至10欧元的价格发动攻击,使目标网站下线。这些服务通常提供易于使用的界面,客户只需支付费用、输入目标IP地址并选择攻击类型和持续时间,无需任何技术技能。荷兰警方通过共享从这些平台获取的数据,协助波兰逮捕了相关管理员。作为联合行动的一部分,美国查封了9个域名,德国则协助调查并分享情报。荷兰调查人员还创建了虚假引导网站,警告潜在用户此类活动的非法性,并强调监控和起诉风险。
https://www.bleepingcomputer.com/news/security/police-takes-down-six-ddos-for-hire-services-arrests-admins/
京公网安备11010802024551号