文/周峻佑 | 2024-07-17發表

繼大型售票業者TicketMaster、電信業者AT&T、娛樂業者迪士尼驚傳大規模資料外洩,本週又有駭客宣稱握有超過1,500萬筆專案管理工具Trello用戶資料。

值得留意的是,外洩這批巨量資料的人表示,取得管道居然是Trello公開的API端點,他能在未通過身分驗證的情況下將電子郵件信箱對應到Trello帳號。

 

【攻擊與威脅】

駭客公開1,500萬名Trello用戶個資

綽號為Emo的駭客本周二(7月16日)於駭客論壇BreachForums上,免費公開專案管理工具Trello的21.1 GB內部資料,內含逾1,500萬名使用者的個資,包括電子郵件帳戶、姓名、使用者名稱、個人檔案網址、狀態資訊及設定等。

其實早在今年1月就傳出Trello遭駭、用戶資料外洩的消息,只是當時Emo是在駭客論壇上兜售此一資料庫,現在則是直接免費釋出。Have I Been Pwned也於今年1月便收錄該資料庫,供使用者查詢是否處於被駭名單中。

這名駭客也解釋如何取得Trello的用戶個資,他表示,來源是Trello開放的API端點,可允許任何未經身分驗證的使用者比對既有電子郵件帳戶及Trello帳戶,他認為,這個管道非常適合用來進行肉搜。

半年前APT駭客組織Void Banshee利用MSHTML零時差漏洞散布竊資軟體Atlantida

微軟在本月的例行更新(Patch Tuesday)當中修補MSHTML平臺欺騙漏洞CVE-2024-38112,並表示這項漏洞已被用於攻擊行動,在通報此事的資安業者Check Point透露駭客如何利用這項漏洞後,一個多禮拜之後的現在,有其他資安業者公布新的調查結果。

資安業者趨勢科技指出,他們旗下的漏洞懸賞專案Zero Day Initiative(ZDI)也在今年5月向微軟通報CVE-2024-38112遭到利用的情況,鎖定北美、歐洲、東南亞的APT駭客組織Void Banshee,從今年1月開始發動零時差漏洞攻擊,並在受害電腦植入竊資軟體Atlantida。

電池正極材料業者泓辰驚傳LMFP電池機密外洩,有員工在離職前擅自攜出價值近20億元的產品營業秘密

位於桃園市平鎮區的電池正極材料業者泓辰材料(HCM)傳出54歲的鄒姓專案經理在離職前夕,帶走大量內部機密資料,價值19.44億的產品營業秘密恐遭到外洩。

鄒姓男子看中泓辰相關技術,於去年9月4日任職生技部專案經理,卻在12月1日提出離職,勞資協議工作到12月底。但在這段期間,他卻在12月8日及26日,利用接觸LMFP電池正極材料的生產技術、配方、設備研發機密的機會,擅自將相關營業秘密資料檔案5,861個複製到自己的隨身碟、行動硬碟並帶離公司。

7月15日桃園地方檢察署宣布偵辦完結,認為該名經理犯下營業秘密法第13條之1第1項第2款、3款逾越授權重製,以及刑法第359條無正當理由取得他人電磁紀錄等罪嫌,提起公訴,並考量鄒嫌造成的損害極為嚴重,為維護我國高科技產業健全發展,建議法院從重量刑。

其他攻擊與威脅

美國證實Geoserver元件GeoTools重大漏洞已被用於攻擊行動

駭客組織Scattered Spider利用勒索軟體Qilin從事攻擊行動

駭客組織CloudSorcerer鎖定俄羅斯企業組織而來

拉丁美洲遭金融木馬Coyote鎖定,駭客的主要標的是巴西金融機構用戶

研究人員揭露廣告詐欺攻擊行動Konfety,駭客透過逾250個Google Play市集的App偷渡惡意程式

 

【資安產業動態】

準備撤出美國市場的卡巴斯基,將提供當地用戶半年份免費防毒

上個月美國商務部公布調查最終決定,以美國國家安全為由,要求卡巴斯基在7月20日終止在美國銷售產品。隔天美國財政部又宣布制裁這家俄國防毒軟體業者十多名高層。卡巴斯基證實,考量在美國已不再有業務機會,該公司將逐步關閉在美國的營運,結束在美國20年的營運。如今該公司祭出最新的措施,宣布將提供當地民眾半年免費防毒。

該公司在美國網站上宣布,由於他們將撤出美國,將提供6個月該廠牌的資安解決方案作為禮物,當地使用者將能透過My Kaspersky網站取得。但為何是6個月?資安新聞網站Bleeping Computer推測,很有可能與美國商務部的禁令有關。

Alphabet傳出將以230億美元買下雲端資安業者Wiz,創下歷來最大併購案

根據華爾街日報報導,Google母公司Alphabet即將以230億美元天價買下雲端平臺資安業者Wiz,為該公司有史以來規模最大的併購案。報導指出,收購談判的細節還未底定,但可能即將完成。Alphabet希望藉此併購案,強化Google的雲端安全業務。不過,併購後Wiz將如何整合進Google產品或是Alphabet組織體系,目前尚不清楚。

這家資安新創公司二個月前才宣布在E輪募資中投10億美元資金,目前公司市值達120億美元。假若Alphabet真以上述金額買下Wiz,將是繼2012年以125億美元買下Motorola,另一宗大型併購案。該公司2022年併購資安業者Mandiant的價碼為54億美元。

 

近期資安日報

【7月16日】駭客組織NullBulge聲稱入侵迪士尼,從近萬個Slack頻道竊得超過1 TB內部檔案,但真實性有待進一步確認

【7月15日】美國電信業者AT&T針對今年4月的資安事故通報調查結果,客戶通話及簡訊記錄遭到外流

【7月12日】研究人員揭露鎖定巴黎奧運購票民眾的詐欺駭客組織Ticket Heist,並警告接下來的歐洲盃足球賽也被鎖定

iThome Security

熱門新聞

Advertisement