安永4TB敏感数据因云存储配置错误泄露
发布时间 2025-10-311. 安永4TB敏感数据因云存储配置错误泄露
10月29日,荷兰网络安全公司Neo Security近日披露,其首席研究员发现安永会计师事务所一个超过4TB的SQL Server备份文件因云存储桶配置错误暴露于公共互联网,导致该会计与咨询巨头的机密信息泄露。该备份文件(.BAK格式)包含API密钥、缓存身份验证令牌、会话令牌、服务账户密码及用户凭据等敏感信息,且未加密。研究团队通过下载文件前一千字节验证了泄露事实,并指出此类漏洞源于典型的云存储配置失误,类似案例中,工程师为简化数据库迁移流程,曾将存储桶短暂设为公开(仅五分钟),却因自动化扫描工具的快速检测导致数据被窃取。此次事件暴露了现代云平台的安全隐患:尽管数据库导出与备份流程高度便捷,但工具设计侧重操作便利性而非安全防护,用户若因拼写错误或操作疏忽将存储桶设为公开,极易导致TB级敏感数据泄露。Neo Security强调,此类泄露往往在被发现前已遭恶意方获取,企业应默认文件暴露瞬间即已失窃。
https://www.theregister.com/2025/10/29/ey_exposes_4tb_sql_database/
2. PhantomRaven攻击活动通过恶意npm包窃取开发凭据
10月29日,Koi Security研究人员披露名为“PhantomRaven”的活跃攻击活动,该活动自8月起已部署126个恶意npm包,下载量超过86,000次,目标直指JavaScript开发者的身份验证令牌、CI/CD密钥及GitHub凭据。Node.js默认包管理器NPM作为全球开发者共享代码的核心平台,成为此次攻击的主要载体。攻击者利用“域名抢注”策略,通过AI生成看似合法但实际不存在的软件包名称(如模仿GitLab或Apache工具的包名),诱使开发者在依赖LLM推荐时误用。这些恶意包采用远程动态依赖项(RDD)系统,虽声明无依赖项,但安装时会自动从外部URL获取有效载荷并执行,无需用户交互。该机制使恶意代码在“npm install”过程中悄然运行,对受感染设备进行环境分析,搜索电子邮件地址及环境变量,重点窃取NPM、GitHub Actions、GitLab、Jenkins和CircleCI的令牌,为后续供应链攻击(如向其他项目植入恶意代码)铺路。攻击者采用三种数据泄露方式:URL编码数据的HTTP GET请求、JSON数据的HTTP POST请求及WebSocket连接,确保窃取信息高效外传。
https://www.bleepingcomputer.com/news/security/phantomraven-attack-floods-npm-with-credential-stealing-packages/
3. Reputation.com泄露1.2亿条敏感数据
10月29日,近日,Cybernews研究团队发现知名在线声誉管理公司Reputation.com因服务器未强制执行身份验证和访问控制,导致超过320GB、近1.2亿条包含后端系统数据的记录泄露,涉及会话cookie、唯一标识符(如company_uid、session_id)、时间戳及事件日志等敏感信息。这些数据源自其数据可视化与探索工具的可公开访问实例,记录了创建、读取、更新、删除等常规应用活动,覆盖数百家财富500强企业及主要品牌,包括美国银行、福特、通用汽车、宝马经销商等。泄露的cookie字符串可能被用于盗用客户社交媒体账户(如Facebook、Instagram、LinkedIn等平台集成功能),攻击者可发布有害内容、操纵商家信息、扰乱营销计划,甚至篡改多渠道通信(如客户调查回复、公关活动素材),对品牌声誉和运营造成重大损害。例如,通过滥用社交套件功能,黑客可实施“虚假帖子”、恶意公告或操纵信任信号,直接冲击企业公信力。
https://cybernews.com/security/reputation-com-leak-exposes-sensitive-data/
4. 韩国电信巨头LG Uplus证实数据泄露
10月29日,近日,韩国电信巨头LG Uplus证实疑似发生数据泄露事件,涉及约4.2万名客户及167名员工个人数据,韩国互联网安全振兴院(KISA)已接获通知。该公司虽提交报告,但未公布内部调查结果时间表。事件源于白帽黑客7月首次警告的系统漏洞,而LG Uplus在8月曾向科技部表示未发现确凿攻击证据,后因修改账户管理系统服务器被批可能销毁关键证据,引发监管与公众对证据保存的质疑。此次事件加剧了韩国电信行业网络攻击浪潮。此前,SK Telecom遭“麒麟”勒索软件组织攻击,窃取约1TB文件,导致公司被迫免费更换所有客户SIM卡并暂停新用户注册,首席执行官公开道歉。同期,KT Telecom报告网络攻击造成超2.4亿韩元损失及368名受害者。10月,CoinbaseCartel团伙威胁泄露SK Telecom机密源代码,若不谈判将公开数据,进一步凸显供应链安全风险。
https://cybernews.com/security/lg-uplus-data-breach-south-korea/
5. Conduent数据泄露事件波及超千万人
10月30日,美国业务流程外包巨头Conduent确认,2024年10月21日发生的系统性入侵导致大规模数据泄露,影响人数超1050万,涉及美国多州居民。该公司2017年从施乐分拆,在22国拥有5.6万名员工,年收入34亿美元,为政府及企业提供数字化服务平台。据向司法部提交的通知及各州总检察长披露数据,俄勒冈州受影响最严重,达1050万人;德克萨斯州400万、华盛顿州7.6万、缅因州数百人,实际影响范围因未公开数据的州可能更大。泄露内容包含敏感个人信息:姓名、社会安全号码、完整出生日期、健康保险单号、身份证号及医疗记录。Conduent声明截至2025年10月24日未发现数据滥用证据,但建议受影响者主动获取信用报告、设置欺诈警报及账户冻结,尽管公司未提供官方身份盗窃保护服务。事件追溯显示,2025年1月发现泄露,但系统早在2024年10月已遭入侵。今年年初Conduent曾因网络安全事件引发服务中断,Safepay勒索软件团伙2月下旬承认对此负责。4月SEC文件进一步披露,攻击者窃取了包含客户信息及客户数据的文件。
https://www.bleepingcomputer.com/news/security/bpo-giant-conduent-confirms-data-breach-impacts-105-million-people/
6. Ribbon Communications遭国家级黑客入侵
10月30日,美国电信服务提供商Ribbon Communications近日披露,其IT网络早在2024年12月便遭国家级黑客入侵,但直至2025年9月才检测到异常访问。该公司为全球68个办事处的3100余名员工,服务对象涵盖洛杉矶市、德克萨斯大学奥斯汀分校、美国国防部及Verizon、德国电信等电信运营商。根据10月23日向美国证券交易委员会提交的文件,Ribbon确认攻击者最早于2024年12月获得系统访问权限,虽已终止威胁行为者访问,但调查仍在进行中。初步调查显示,攻击者获取了存储在主网络外的两台笔记本电脑上的客户文件,但尚未发现“实质性信息”被窃取的证据。公司预计2025年第四季度将因调查和网络强化产生额外费用,但规模有限。Ribbon正与第三方网络安全专家及联邦执法部门合作,以确定入侵范围及潜在影响。尽管目前未归咎于特定威胁行为者,但事件再次凸显关键基础设施面临的网络安全风险。公司呼吁用户保持警惕,并强调将持续更新调查进展,以保障客户数据安全。
https://www.bleepingcomputer.com/news/security/major-telecom-services-provider-ribbon-breached-by-state-hackers/
京公网安备11010802024551号