视频会议应用Huddle01泄露用户数据
发布时间 2025-10-171. 视频会议应用Huddle01泄露用户数据
10月15日,去中心化视频会议应用Huddle01宣称提供高安全性WebRTC服务,却因未受保护的Kafka Broker实例导致大规模用户数据泄露。研究团队发现,该平台用于传输实时日志的Kafka Broker未启用身份验证、加密或访问控制,暴露了2025年8月13日至26日期间超621,000条实时日志条目,涵盖用户电子邮件、IP地址、加密钱包地址(支持比特币、以太坊等区块链)、通话参与记录、国家、时间、时长等敏感信息。这些数据以明文形式实时传输,任何第三方均可无障碍访问。尽管Huddle01在应用商店声明“不收集或共享用户数据”,且隐私政策强调“去中心化通信中的数据透明与用户控制”,但实际暴露的数据显示其存在严重安全漏洞。平台由美国特拉华州Graphene01 Labs开发,在Google Play下载量超5万次,iOS端平均评分4.7星,深受加密货币爱好者青睐。然而,区块链集成反而加剧了风险,攻击者可利用泄露的钱包地址关联真实身份,绘制用户关系图,进而实施精准钓鱼攻击或社会工程攻击。
https://cybernews.com/security/video-call-app-huddle01-leaks-sensitive-user-data/
2. CISA紧急更新KEV目录:Adobe与SKYSEA漏洞遭主动利用
10月16日,美国网络安全和基础设施安全局(CISA)于近日将两个严重安全漏洞纳入其已知被利用漏洞(KEV)目录,凸显当前网络安全威胁的紧迫性。其中,影响Adobe Experience Manager(AEM)的CVE-2025-54253漏洞被评定为最高严重性等级(CVSS 10.0),该漏洞源于AEM Forms JEE 6.5.23.0及更早版本中存在未经验证的/adminui/debug servlet端点,攻击者可利用此端点提交恶意OGNL表达式,无需身份验证即可执行任意系统命令。Adobe已于2025年8月发布的6.5.0-0108版本中修复此漏洞,同时修复的还有CVSS 8.6分的CVE-2025-54254。尽管Adobe承认存在公开概念验证,但实际攻击细节尚未披露。CISA要求联邦民事行政部门(FCEB)机构必须在2025年11月5日前完成修复。另一则重要更新涉及SKYSEA Client View的CVE-2016-7836漏洞(CVSS 9.8分),该漏洞源于身份验证机制缺陷,攻击者可通过管理控制台的TCP连接远程执行代码。日本漏洞说明(JVN)在2016年底的安全公告中明确指出,野外已检测到针对此漏洞的攻击行为。
https://thehackernews.com/2025/10/cisa-flags-adobe-aem-flaw-with-perfect.html
3. 苏富比遭遇重大数据泄露事件,客户敏感信息遭窃取
10月16日,全球知名艺术品拍卖行苏富比近日通报一起重大数据泄露事件,威胁行为者窃取了客户敏感信息,包括全名、社会安全号码(SSN)及金融账户详情。该事件于2025年7月24日被发现,经过两个月的详细调查,公司方确认被盗数据类型及受影响个人范围。作为全球领先的高价值物品拍卖行与资产支持贷款服务商,苏富比每年处理数十亿美元拍卖交易,2024年总销售额达60亿美元。此次泄露事件影响范围广泛,根据向美国缅因州检察长办公室提交的文件,已确认包括缅因州和罗德岛州在内的部分客户信息遭非法获取,但具体受影响总人数尚未完全披露。苏富比在通知中强调,事件发生后立即启动全面调查,通过数据审查确定信息泄露范围。截至目前,尚无勒索软件组织宣称对此次攻击负责。为应对此次危机,苏富比为受影响客户提供补救措施:通过TransUnion提供为期12个月的免费身份保护与信用监控服务,客户需在90天内完成注册。
https://www.bleepingcomputer.com/news/security/auction-giant-sothebys-says-data-breach-exposed-customer-information/
4. Prosper遭大规模数据泄露,1760万用户信息被窃
10月16日,美国点对点借贷平台Prosper披露其系统9月2日遭黑客入侵,导致超过1760万人的个人信息被盗。此次事件涉及客户及贷款申请人的敏感数据,包括社会安全号码、姓名、政府颁发的身份证号、就业状况、信用评分、收入水平、出生日期、实际地址、IP地址及浏览器用户代理信息等。尽管Prosper表示尚未发现攻击者获取客户账户或资金访问权限的证据,但确认机密数据已通过未经授权查询公司数据库的方式被窃取。作为成立于2005年的老牌金融平台,Prosper已帮助超200万客户完成超300亿美元贷款交易。本次安全漏洞未影响其面向客户的日常运营,公司已向监管部门和执法机关报案,并启动联合调查。Prosper强调,调查仍处于早期阶段,在确定具体受影响数据范围后,将向受影响用户提供免费信用监控服务。值得注意的是,数据泄露通知服务Have I Been Pwned(HIBP)披露事件影响范围达1760万个唯一电子邮件地址,但Prosper发言人表示“无法验证”该数据的准确性,并重申公司仍在核实具体受影响数据及所有者身份。
https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-prosper-data-breach-impacting-176-million-accounts/
5. 印度NetcoreCloud服务器配置错误致400亿条敏感数据泄露
10月16日,印度全球电子邮件营销与自动化企业NetcoreCloud因服务器配置错误,导致包含400亿条记录、总计13.4TB的敏感数据泄露,涉及全球客户电子邮件、内部详细信息及技术配置等核心数据。网络安全研究员Jeremiah Fowler在公开数据库中发现该漏洞,数据库未加密且未受保护,任何获取IP地址者均可访问海量邮件通信记录,包括医疗保健通知、银行活动警报、就业相关邮件及部分账户技术信息(如IP地址、SMTP配置),部分记录甚至标记为机密。NetcoreCloud总部位于印度孟买,为40个国家/地区的6500余个品牌提供电子邮件及自动化服务,覆盖电商、金融、媒体、旅游等行业。Fowler发现后立即通知该公司,数据库于当日被紧急保护并限制访问。Netcore回应称将开展内部审查,但目前仍存在三大疑点:泄露数据库由Netcore直接管理或第三方托管未明;数据暴露时长及是否被恶意访问未确认;是否有其他主体下载或复制数据需通过法务审计核实。
https://hackread.com/misconfigured-netcorecloud-server-40-billion-records/
6. 朝鲜黑客利用EtherHiding在区块链上隐藏恶意软件
10月16日,朝鲜国家支持的黑客组织UNC5342自2025年2月起,在针对软件及网络开发人员的社会工程攻击中,首次采用名为"EtherHiding"的区块链智能合约恶意软件传播技术。该技术由Guardio Labs于2023年提出,通过将恶意载荷嵌入币安智能链或以太坊的智能合约中,实现低成本、高匿名性的恶意软件托管与动态更新。攻击流程以虚假求职面试为诱饵,由伪造实体(如BlockNovas LLC、Angeloper Agency)发起。受害者在技术评估环节被诱骗执行JavaScript下载程序,该程序通过智能合约与以太坊交互,获取包含InvisibleFerret间谍软件JS版本的第三阶段有效负载。区块链特性使攻击具备三大优势:其一,通过只读调用获取载荷不留交易记录,隐蔽性极强;其二,合约在前四个月更新超20次,每次仅需1.37美元gas费,支持快速灵活调整;其三,多链使用表明朝鲜黑客团队存在操作隔离。恶意软件在内存中运行,可动态加载凭证窃取模块,目标直指Chrome、Edge等浏览器的密码、信用卡及加密钱包数据。其命令控制(C2)通道支持执行任意命令、ZIP压缩文件外泄至Telegram等操作。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-etherhiding-to-hide-malware-on-the-blockchain/
京公网安备11010802024551号