费尔蒙特信用合作社遭大规模数据泄露
发布时间 2025-09-161. 费尔蒙特信用合作社遭大规模数据泄露
9月13日,费尔蒙特联邦信用合作社(FFCU)近日通报一起严重数据泄露事件,涉及超18.7万名客户,泄露信息涵盖从基础身份信息到医疗健康数据的全维度敏感内容。调查显示,攻击者早在2023年9月30日至10月18日期间便入侵其系统,但FFCU直至2024年1月才发现泄露事件,更在2025年8月才确认具体泄露数据类型,暴露出安全响应机制的严重滞后。此次泄露的数据范围惊人,包括全名、出生日期、地址、社会安全号码、护照号码、驾驶执照/州身份证号码、金融账户及路由号码、信用卡/借记卡完整信息(含安全码/PIN码/到期日)、税务PIN码、医疗诊断/处方/提供者信息、保险单号、治疗费用详情,以及数字签名等。FFCU强调,并非所有个人数据均被泄露,但庞大信息列表显示攻击者已获取关键客户文件的广泛访问权限。攻击者可利用这些信息实施金融欺诈、精准网络钓鱼,甚至远程验证身份进行更深度的渗透。尽管FFCU称未发现身份盗窃或金融欺诈事件,但已为受害者提供免费身份盗窃预防服务。暗网监控显示,已解散的勒索软件集团BlackBasta可能与此案相关,其攻击日期与FFCU通报的泄露时段高度吻合。
https://cybernews.com/security/fairmont-federal-credit-union-data/
2. FinWise银行内部人员信息泄露事件影响68.9万名客户
9月15日,FinWise银行于2024年5月31日发生一起由前雇员离职后访问敏感文件引发的数据泄露事件,涉及合作方美国第一金融(AFF)的68.9万名客户数据。AFF作为消费金融服务商,提供分期贷款、先租后买等产品,其客户贷款发放与资助均依赖FinWise银行。根据缅因州总检察长办公室披露的文件,此次事件源于FinWise一名前员工在离职后非法访问银行数据,导致包含客户全名及其他个人数据的文件被泄露。尽管FinWise未公开该员工如何突破离职后访问限制,也未披露总受影响人数,但事件已引发多起集体诉讼。泄露数据涉及AFF客户申请、账户管理、还款流程等关键信息。FinWise在发现后立即启动外部网络安全专家调查,评估风险范围,并加强内部控制以预防类似事件。为弥补客户损失,银行为受影响用户提供12个月免费信用监控与身份盗窃保护服务。目前,FinWise以“涉及正在进行的诉讼”为由拒绝进一步回应细节,但事件已暴露金融机构在员工离职后数据访问权限管理、敏感数据保护机制等方面的漏洞。
https://www.bleepingcomputer.com/news/security/finwise-insider-breach-impacts-689k-american-first-finance-customers/
3. 谷歌LERS系统遭欺诈账户渗透,威胁组织关联跨国数据盗窃链
9月15日,谷歌证实其执法请求系统(LERS)遭黑客创建欺诈账户,该账户虽未实际提交请求或访问数据,但暴露了执法数据系统的安全漏洞。此前,威胁组织“Scattered Lapsus$ Hunters”在Telegram宣称已入侵LERS及FBI的eCheck背景调查系统,并发布系统访问截图,引发全球执法机构对敏感数据安全的担忧——此类系统本用于提交传票、法院命令和紧急披露请求,未经授权的访问可能允许攻击者冒充执法人员获取受保护的用户数据。该组织自称为ShinyHunters、ScatteredSpider、Lapsus等勒索组织的关联团体,今年曾通过社会工程诱骗员工将Salesforce数据加载器连接企业实例,窃取谷歌、阿迪达斯、澳洲航空、思科等数十家跨国企业及政府机构数据并实施勒索。攻击路径显示,其先攻破Salesloft的GitHub代码库,利用Trufflehog工具扫描私有源码中的暴露机密,获取身份验证令牌后进一步实施Salesforce数据窃取。谷歌威胁情报部门Mandiant曾率先披露此类攻击,警告企业加强防御。尽管“Scattered Lapsus$ Hunters”于9月14日宣布“退休”并发布长文称“沉默将成为力量”,但网络安全研究人员认为其仍在暗中活动,未来可能通过未披露的数据泄露事件继续攻击。
https://www.bleepingcomputer.com/news/security/google-confirms-fraudulent-account-created-in-law-enforcement-portal/
4. 开云集团遭Shiny Hunters攻击致数百万客户数据泄露
9月15日,全球奢侈品巨头开云集团(Kering)遭遇严重数据泄露事件,旗下Gucci、Balenciaga、Alexander McQueen等品牌的数百万客户私人数据被黑客组织Shiny Hunters窃取。泄露数据涵盖姓名、电子邮件地址、电话号码、家庭住址及全球奢侈品门店消费记录,部分客户单笔消费金额高达8.6万美元,引发对“高消费人群”可能成为后续诈骗目标的担忧。开云集团已确认安全漏洞并通知数据保护部门,但未披露具体受影响客户数量,仅强调未泄露任何财务信息。据BBC报道,Shiny Hunters向其提供了包含数千名客户详细信息的真实数据样本,并声称掌握740万个独立电子邮件地址对应的数据,暗示受害者总数或接近该数字。该组织自曝于2025年4月通过入侵开云集团系统实施攻击,但谈判破裂后开云集团拒绝支付赎金。集团发言人进一步说明,2025年6月发现未经授权的第三方临时访问系统,仅获取部分品牌的有限客户数据,且未涉及财务信息。
https://securityaffairs.com/182236/cyber-crime/hackers-steal-millions-of-gucci-balenciaga-and-alexander-mcqueen-customer-records.html
5. 德州乌瓦尔迪学区遭勒索软件攻击致关闭
9月16日,德克萨斯州乌瓦尔迪市公立学区因勒索软件攻击被迫关闭四天,影响约5000名学生及多个关键系统。学区通讯主管安妮·玛丽·埃斯皮诺萨表示,攻击导致服务器瘫痪,严重干扰电话、空调控制、摄像头监控、访客管理及教学系统(如Skyward)运行。该学区是2022年罗布小学枪击事件发生地,新校刚启用不久,此次事件再次暴露校园安全系统的脆弱性。事件发生后,学区已向联邦调查局、保险网络安全团队等机构报告,并启动全面调查以追溯恶意软件来源及评估数据泄露风险。为保障安全,学区将停课四天与校历非工作日互换,学校网站关闭,双学分课程暂停。截至周一,尚无勒索软件团伙承认责任,新学年刚启动的学区面临更大挑战。
https://therecord.media/uvalde-texas-school-district-temporarily-closing-ransomware
6. 朝鲜Kimsuky组织借AI伪造韩军方身份证实施精准网络钓鱼
9月15日,网络安全公司Genians近日披露,朝鲜政府背景的威胁行为者Kimsuky组织利用人工智能工具ChatGPT生成伪造的韩国军事机构身份证图像,用于升级鱼叉式网络钓鱼攻击。该组织冒充韩国国防相关机构,以办理军方官员身份证发放任务为由,通过电子邮件发送包含伪造身份证样本的钓鱼链接,诱导目标点击后部署恶意软件,实现数据盗窃和远程控制。此次攻击于2025年7月17日首次被Genians安全中心发现,系Kimsuky组织6月ClickFix钓鱼活动的后续行动。两次攻击均使用相同恶意软件,主要针对朝鲜研究人员、人权活动家及记者。伪造身份证图像经检测为深度伪造的概率达98%,其真实性增强显著提升了钓鱼邮件的可信度,使受害者更易放松警惕。此次事件揭示了国家支持型威胁组织对AI技术的滥用趋势。Kimsuky通过结合社会工程学与AI生成内容,构建了更隐蔽的攻击链:从仿冒官方域名、伪造高仿真证件,到植入恶意脚本,形成完整渗透路径。
https://www.infosecurity-magazine.com/news/ai-military-ids-north-korea/
京公网安备11010802024551号