Allianz Life数据泄露事件暴露140万客户信息
发布时间 2025-07-281. Allianz Life数据泄露事件暴露140万客户信息
7月27日,安联人寿(Allianz Life)确认7月16日发生了一起严重的数据泄露事件,导致其140万客户中的大多数个人信息遭到暴露。根据公司发言人的声明,此次事件是由于威胁行为者通过社会工程攻击入侵了第三方基于云的客户关系管理(CRM)系统。攻击者成功获取了与安联人寿客户、金融专业人士以及部分员工相关的个人身份信息(PII)。安联人寿迅速采取措施遏制并缓解了这一事件,并向美国联邦调查局(FBI)报告了该事件。公司强调,目前没有证据表明其内部网络或关键系统(例如保单管理系统)遭到访问。然而,相关调查仍在进行中,受影响的个人已开始收到通知,同时公司提供了专门的支持服务。安联人寿还向缅因州总检察长办公室提交了有关此次数据泄露的文件。尽管公司未明确指出背后的威胁行为者,但据报道称,此次攻击可能与臭名昭著的黑客组织ShinyHunters有关。ShinyHunters是一个活跃的黑客团伙,曾多次在暗网上出售从多家知名企业窃取的数据。
https://securityaffairs.com/180445/data-breach/allianz-life-data-breach-exposed-the-data-of-most-of-its-1-4m-customers.html
2. Scattered Spider正在大肆攻击VMware ESXi
7月27日,以经济利益为导向的黑客组织Scattered Spider(别名UNC3944、Octo Tempest)近日针对美国及英国零售、航空、运输、保险等行业企业发起大规模攻击,其创新手法引发安全界关注。该组织摒弃传统漏洞利用模式,转而通过精密社会工程学策略,直接突破企业虚拟化环境防护。攻击链呈现五个清晰阶段:首先通过冒充员工致电IT服务台,诱使技术支持人员重置高权限账户密码,获取初始访问权限;随后扫描Active Directory及特权访问管理(PAM)系统,精准定位域管理员、vSphere管理员等核心账户信息;继而通过多次伪装特权用户致电,最终控制关键账号并渗透VMware vCenter Server Appliance(vCSA),该组件负责管理包含ESXi虚拟机管理程序的vSphere环境。获得vCSA控制权后,攻击者实施两项关键操作:其一通过启用SSH连接并重置ESXi主机root密码,建立持久化访问通道;其二执行创新的"磁盘交换"攻击,关闭域控制器虚拟机后分离其虚拟磁盘,将其挂载至攻击者控制的虚拟机以窃取包含用户哈希值的NTDS.dit数据库。最终阶段,攻击者通过SSH通道部署勒索软件,加密数据存储区所有虚拟机文件。
https://www.bleepingcomputer.com/news/security/scattered-spider-is-running-a-vmware-esxi-hacking-spree/
3. 超20万WordPress网站面临Post SMTP插件漏洞风险
7月26日,一项影响超过20万个WordPress网站的严重安全漏洞近日被曝光。该漏洞存在于活跃安装量超40万的热门插件Post SMTP的3.2.0及以下版本中,被追踪为CVE-2025-24000,CVSS评分达8.8。漏洞核心源于插件REST API端点的访问控制机制缺陷,仅验证用户是否登录,而未检查其权限级别,导致低权限用户(如订阅者)可访问包含完整邮件内容的日志,并触发管理员账户密码重置流程。攻击者可通过拦截重置邮件完成账户接管,最终控制整个网站。该漏洞由安全研究人员于5月23日报告至WordPress安全厂商PatchStack,插件开发者Saad Iqbal迅速响应,5月26日提交修复方案并通过在"get_logs_permission"函数中增加权限校验,确保仅管理员可访问敏感API。修复版本3.3.0于6月11日发布,但WordPress.org统计数据显示,截至当前仅48.5%用户完成升级,意味着仍有超20万个网站暴露在风险中。更严峻的是,24.2%(约9.68万个)站点仍运行存在其他历史漏洞的2.x旧版本,安全形势不容乐观。
https://www.bleepingcomputer.com/news/security/post-smtp-plugin-flaw-exposes-200k-wordpress-sites-to-hijacking-attacks/
4. 亚马逊AI编码代理遭黑客攻击,注入数据擦除命令
7月25日,亚马逊旗下生成式AI开发助手Amazon Q的Visual Studio Code扩展近日遭遇安全事件,引发业界对开源供应链安全的关注。这款拥有近百万安装量的免费扩展程序,通过生成式AI辅助开发者编码、调试及配置管理,却在GitHub代码托管流程中出现漏洞,被黑客植入数据擦除代码。事件源于7月13日,黑客"lkmanka58"通过拉取请求向Amazon Q的GitHub仓库提交未经审批的代码,注入包含"清除系统至出厂状态并删除文件系统及云资源"指令的恶意提示。由于项目权限管理疏漏或工作流程配置错误,该提交意外获得存储库访问权限,导致包含恶意代码的1.84.0版本于7月17日在VS Code市场发布。尽管亚马逊事后声称代码格式错误未实际执行,且未造成实质危害,但安全研究人员仍指出这暴露了严重的供应链风险,若代码经过有效伪装,可能引发大规模数据破坏。7月23日,亚马逊通过安全报告获悉该问题后,立即启动取证调查。次日即发布修复版本1.85.0,彻底移除恶意代码并更新凭证。
https://www.bleepingcomputer.com/news/security/amazon-ai-coding-agent-hacked-to-inject-data-wiping-commands/
5. 约会安全应用Tea遭黑客入侵,7.2万用户隐私照片泄露
7月26日,主打女性用户安全的约会评论应用Tea近日遭遇重大数据泄露事件,超7.2万张用户照片被黑客获取并传播,引发隐私安全争议。这款允许女性匿名评价约会对象的应用程序于25日发布声明,证实其系统遭入侵,泄露数据包含两类敏感图像:1.3万张用于账户验证的自拍及身份证件照,以及5.9万张来自用户发布内容、评论和私信的图片。尽管公司强调未泄露邮箱地址或电话号码,且事件仅影响2024年2月前注册的用户,但身份证件与私密互动内容的暴露仍构成严重隐私风险。事件曝光源于4chan用户发现并传播了暴露的数据库,黑客通过未明确说明的漏洞获取了存储用户照片的后台资源。Tea公司回应称已紧急聘请第三方网络安全团队,24小时推进系统加固,并宣称"已实施额外安全措施且修复数据问题",但未透露具体技术细节。目前,Tea已发布修复版本并呼吁用户更新。
https://techcrunch.com/2025/07/26/dating-safety-app-tea-breached-exposing-72000-user-images/
6. Operation CargoTalon针对俄罗斯航空航天领域的网络间谍活动
7月25日,网络安全专家披露了一项名为Operation CargoTalon的网络间谍活动,该活动针对俄罗斯的航空航天与国防部门,特别是沃罗涅日飞机制造协会(VASO)。研究人员通过调查发现,攻击者利用伪装成“货物运输单”(TTN)文件的恶意附件进行钓鱼攻击。这些文件表面上为ZIP压缩包,但实际上包含恶意LNK快捷方式和DLL植入程序,最终释放并执行名为EAGLET的恶意软件。EAGLET是一种定制化的PE文件后门程序,具备生成唯一GUID标识受害者、收集系统信息、创建隐藏目录以及通过HTTP连接命令与控制(C2)服务器的功能。其支持远程Shell访问、文件下载和数据窃取,并能够通过合法Windows API执行网络操作以实现隐蔽通信。攻击链从钓鱼邮件开始,经过多阶段的感染过程,最终完成数据窃取任务。研究人员认为,此次活动由一个被追踪为UNG0901的威胁组织发起,且与此前发现的Head Mare威胁集群存在功能重叠和战术相似性。二者均使用类似的诱饵命名规则和后门工具(例如PhantomDL),表明这些攻击行动可能共享部分资源或策略。
https://securityaffairs.com/180378/intelligence/operation-cargotalon-targets-russias-aerospace-with-eaglet-malware.html
京公网安备11010802024551号