01
Capita因数据泄露被罚1400万英镑,
影响660万人
英国信息专员办公室(ICO)对Capita处以1400万英镑(约合1870万美元)的罚款,原因是2023年的一起数据泄露事件暴露了660万人的个人信息。
Capita是一家总部位于英国的大型外包和专业服务公司,拥有约3.4万名员工,年收入为30亿英镑,主要为英国和欧洲的客户提供咨询、数字和软件服务,客户包括地方政府、英国国家医疗服务体系(NHS)、国防部以及银行、公用事业和电信行业的组织。
数百家退休计划提供商受影响
ICO最初曾计划对Capita处以4500万英镑的罚款,但鉴于该公司承认责任、实施了重要的安全改进,并为受影响的个人提供数据保护服务,罚款金额被降低。其中,Capita plc被罚款800万英镑,Capita Pension Solutions Limited被罚款600万英镑。
ICO的调查现已确认,此次被盗数据影响了660万人,以及数百家Capita客户,包括英国的325家退休金计划提供商。
2023年4月,该公司宣布遭到黑客攻击,黑客试图入侵其内部的Microsoft 365环境,作为应对措施,部分系统被迫下线。三周后的更新确认,黑客访问了Capita内部IT基础设施的4%,并窃取了存储在被入侵系统上的私人文件。Black Basta勒索软件团伙声称对此次攻击负责,并威胁如果不支付赎金,将泄露所有被盗文件。
黑客入侵时长58小时
2023年3月22日,一名Capita员工下载了一个恶意文件,使黑客得以进入公司内部网络。尽管入侵行为在10分钟内被检测到,但Capita未能在接下来的58小时内隔离受感染的设备,这使得攻击者有足够的时间横向移动、在网络中传播并访问敏感数据库。
“该文件使得恶意软件得以部署到Capita网络中,使黑客能够留在系统中,获取管理员权限并访问网络的其他区域。”英国信息专员办公室表示。
“在2023年3月29日至30日期间,近一太字节的数据被窃取。2023年3月31日,勒索软件被部署到Capita系统中,黑客重置了所有用户密码,阻止Capita员工访问其系统和网络。”英国数据保护机构表示。
Capita因访问控制不力(缺乏分层管理员账户模型)、对安全警报的响应延迟、安全运营中心人员不足以及未能定期进行渗透测试和风险管理练习而被罚款。
Capita首席执行官阿道夫·埃尔南德斯宣布了与ICO达成的和解协议,强调自事件发生以来,公司为加强网络安全态势所做的努力和投资。他还指出,支付罚款预计不会对之前公布的投资者指导产生影响。
(文章内容来源于“HackerNews.cc”)
02
复杂国家级行为者入侵F5系统,
窃取BIG-IP源代码及未公开漏洞数据
网络安全公司F5披露,2025年8月,一个高度复杂的国家级行为者入侵其系统,窃取了BIG-IP的源代码及与未公开漏洞相关的信息。
攻击者访问了该公司的BIG-IP开发和工程系统,但F5指出,遏制工作成功,未发现进一步的未授权活动。
该公司已向执法部门报告了这一事件,并在领先网络安全公司的帮助下调查安全漏洞。
“2025年8月,我们发现一个高度复杂的国家级威胁行为者长期、持续地访问某些F5系统并下载文件。这些系统包括我们的BIG-IP产品开发环境和工程知识管理平台。我们已采取广泛措施遏制威胁行为者。自开始这些活动以来,我们未发现任何新的未授权活动,我们相信我们的遏制工作是成功的。”该公司发布的安全事件通知中写道。
“针对此次事件,我们正在采取主动措施保护客户,加强企业及产品环境的安全态势。我们已聘请CrowdStrike、Mandiant及其他领先网络安全专家支持这项工作,我们正积极与执法部门和政府合作伙伴合作。”
F5在其客户关系管理、财务或云系统中未发现被入侵迹象,也未发现源代码或供应链被篡改。该公司表示,一些被盗文件包含有限的客户配置数据。网络安全公司正在通知受影响的客户。
“我们没有证据表明我们的软件供应链被修改,包括我们的源代码以及我们的构建和发布管道。这一评估已通过领先网络安全研究公司NCC集团和IOActive的独立审查得到验证。”通知中继续写道。“我们没有证据表明威胁行为者访问或修改了NGINX源代码或产品开发环境,也没有证据表明他们访问或修改了我们的F5分布式云服务或Silverline系统。”
该公司还向美国证券交易委员会(SEC)提交了8-K表格报告。
“2025年8月9日,F5公司(‘公司’、‘F5’、‘我们’或‘我们的’)发现一个高度复杂的国家级威胁行为者获得了对某些公司系统的未授权访问。公司迅速启动了事件响应流程,并已采取广泛措施遏制威胁行为者。为支持这些活动,公司聘请了领先的外部网络安全专家。”报告中写道。
F5通过广泛的遏制和加固措施应对漏洞,以保护其系统和客户。该公司轮换了凭据,收紧了访问控制,实现了补丁管理自动化,并加强了监控和网络安全。
网络安全公司还在其产品开发环境中增强了保护措施,并继续与NCC集团和IOActive进行深入代码审查和渗透测试。此外,F5与CrowdStrike合作,为BIG-IP部署Falcon EDR和威胁狩猎,并为客户提供免费的EDR订阅以增强防御。
用户应尽快为BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ和APM客户端安装最新更新,以确保全面保护。
英国国家网络安全中心(NCSC)和美国网络安全与基础设施安全局(CISA)建议F5客户定位所有F5产品,确保暴露的管理接口安全,并评估是否被入侵。F5应美国政府要求延迟披露,以保护关键系统。
(文章内容来源于“HackerNews.cc”)
03
西蒙医疗1月数据泄露事件影响120万名患者
美国医疗影像服务提供商西蒙医疗影像公司(SimonMed Imaging)正向超过120万人发出通知,告知其敏感信息在一场数据泄露事件中遭到泄露。
西蒙医疗影像公司是一家门诊医疗影像及放射科服务提供商,提供的服务包括磁共振成像(MRI)、计算机断层扫描(CT)、X 光、超声波、乳房 X 光检查、正电子发射断层扫描(PET)、核医学、骨密度检测以及介入放射学检查等项目。这家放射科公司在美国 11 个州运营着约 170 家医疗中心,年收入超过5亿美元。
三周的未授权访问
根据提交给有关部门的通知显示,黑客在今年年初的1月21日至2月5日期间入侵了西蒙医疗的系统,并非法访问了该公司的网络。1 月27日,西蒙医疗从其一家供应商处得知了此次数据泄露事件,该供应商当时发出警报称 “自身正遭遇安全事件”。在启动调查后,这家医疗公司于次日确认其网络存在可疑活动。
该公司表示:“在发现我们成为恶意攻击的受害者后,我们立即展开调查,并采取措施控制事态发展。”
所采取的措施包括重置密码、启用多因素身份认证、增加终端检测与响应(EDR)监控、取消第三方供应商对西蒙医疗内部系统及其相关工具的直接访问权限,以及将进出流量限制在可信连接范围内。
该公司还已通知执法部门,并寻求数据安全与隐私专业人士的服务支持。
除全名外,西蒙医疗尚未公开黑客窃取的具体信息内容,但考虑到医疗影像公司系统中存储的数据类型,被盗信息可能包含高度敏感内容。
不过,该公司强调,截至10月10日(即通知发布当日),尚无证据表明被访问的信息已被用于欺诈或身份盗窃等非法活动。收到通知函的人员可通过益博睿(Experian)免费订阅身份盗窃防护服务。
美杜莎勒索软件团伙声称实施了此次攻击
2月7日,美杜莎(Medusa)勒索软件团伙在其勒索门户网站上公开了西蒙医疗影像公司的相关信息,声称窃取了212GB的数据。
为证明攻击属实,黑客还泄露了部分数据,其中包括身份证扫描件、包含患者详细信息的电子表格、支付详情、账户余额、医疗报告以及原始影像扫描件等内容。
当时,黑客要求支付100万美元赎金,若需延期一天公布所有被盗文件,则需额外支付1万美元。
目前,西蒙医疗影像公司已不再出现在美杜莎勒索软件的数据泄露网站名单中。这一情况通常表明该公司已与黑客就赎金问题进行谈判并完成了支付。
美杜莎勒索软件即服务(RaaS)运营模式于2023年推出,该团伙因袭击明尼阿波利斯公立学校(MPS)等事件而声名狼藉,还曾将丰田金融服务公司列为攻击目标。
美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)以及多州信息共享与分析中心(MS-ISAC)在2025年3月联合发布的一份预警报告中,对美杜莎勒索软件的活动发出警告,指出该威胁团伙已影响到美国超过300家关键基础设施机构。
(文章内容来源于“HackerNews.cc”)
04
麒麟勒索软件宣布新的受害者
近期,名为“Resecurity的最新报告详细说明了麒麟勒索软件即服务(RaaS)团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity的这份报告将探讨麒麟 RaaS 运营对防弹托管(BPH)基础设施的依赖,重点关注分布在全球不同地区的流氓提供商网络。
麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是,他们最近声称对日本啤酒巨头朝日集团控股公司9月的勒索软件攻击负责,该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流,得知威胁行为者正试图以1,000万美元的价格出售被盗的朝日数据。这些要求是在10月11日收到的,当时朝日集团的运营刚刚中断,这可能是麒麟排除中间人、加快对受害者施压的一种策略。
10月15日,麒麟宣布了新的目标和已确认的受害者,包括但不限于:
西班牙税务管理机构(Agencia Tributaria),西班牙王国的税收机构
美国的Centurion Family Office Services LLC
美国的 Rasi Laboratories,一家生产开发营养保健品的制造商,专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂
位于美国俄克拉荷马州塔尔萨的Victory Christian Center,一个以社区为中心的教堂
美国里士满行为健康管理局(RBHA),一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织
非洲的Turnkey Africa,一家为非洲保险行业提供技术解决方案的领先提供商
美国的Charles River Properties,一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司
美国的新泽西财产责任保险担保协会
法国南部Pyrénées-Orientales 部门的圣克劳德市(Commune De Saint Claude),一个市政服务机构
法国南部Pyrénées-Orientales 部门的Ville-Elne,一个市镇
此前,在10月14日,麒麟宣布大众汽车集团法国公司(大众汽车股份公司的子公司)、德克萨斯州的San Bernard电力合作社和Karnes 电力合作社已被攻破。
针对汽车行业尤其值得关注,特别是考虑到此前捷豹路虎(JLR)事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发,或者他们与提供此类组织访问权限的初始访问代理(IAB)合作,这些访问权限在暗网上出售。
鉴于公布的受害者数量和新被攻击的组织数量,10月可以说是麒麟最“丰收”的一个月。很明显,该团伙正在增加对美国的攻击,此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的50多个新受害者,包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。
麒麟勒索软件团伙的一个显著特点是其与地下防弹托管(BPH)运营商的密切联系,这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施,使其超出执法部门的管辖范围。例如,自该团伙出现以来,它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。
BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”,并在流行的暗网社区中实施了退出骗局。然而,截至2025年10月15日,与本报告中描述的活动相关的所有法人实体(位于俄罗斯和香港)仍在继续运营。
与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性,这是现代跨国网络犯罪团伙的典型特征,它们以盈利为目的运营,并利用司法管辖区的挑战来掩盖其活动。
Scattered Lapsus$ Hunters”的网络犯罪团伙在 Telegram上宣称,已获取谷歌执法请求系统(LERS )及美国联邦调查局(FBI)电子背景调查系统的访问权限。
LERS是一个安全的在线门户,供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息,另一方面确保整个流程符合法定程序要求。
谷歌证实,威胁行为者通过创建虚假账号,成功获取LERS平台的访问权限,目前已将该账号停用。
谷歌指出,攻击者未通过该欺诈账号发起任何请求,同时强调“未发生数据泄露”。然而,未经授权访问谷歌 LERS 仍存在多重风险:可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机,且会损害公众对该系统的信任。
而若 FBI 电子背景调查系统(eCheck)遭遇入侵,风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改,甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性,必须建立强有力的安全防护措施,以保障用户隐私、数据完整性及机构公信力。
据悉,该威胁团伙最初通过社会工程学手段,诱骗企业员工将 Salesforce 数据加载器(Salesforce Data Loader)关联至公司账号,进而实施数据窃取与勒索。随后,他们入侵了Salesloft 公司的GitHub代码仓库,使用Trufflehog(一款敏感信息扫描工具)扫描代码,发现了Drift(一款客户互动平台)的认证令牌,并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。
此次 Salesforce 数据窃取攻击影响了多家大型企业客户,包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。
9 月 11 日,该团伙在 BreachForums [.] hn(一个数据泄露相关论坛)上发布“告别”信息,宣布将 “隐匿”。团伙在留言中写道:“虚荣不过是转瞬即逝的胜利,操纵舆论也终究只是徒劳的自负。正因如此,我们决定,从今往后,沉默将成为我们的力量。”“未来,你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业,以及部分政府机构(包括安全级别极高的机构)的新数据泄露报告中看到我们的名字,但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”
(文章内容来源于“HackerNews.cc”)
往期推荐
