繼英偉達后，三星190GB機密數據遭同一黑客組織泄露

據外媒報道，上周五，距Lapsus$從Nvidia那里竊取1TB機密數據還未過幾日（黑客威脅英偉達解除挖礦鎖，否則泄露源代碼等機密數據），該黑客組織又發布了竊取自韓國電子巨頭三星的190GB機密數據，其中包含生物識別解鎖算法及各類源代碼。

Lapsus$在Telegram上發布了部分盜竊數據截圖：

據Lapsus$所說，泄露的數據包括：

安裝在三星 TrustZone（TEE）上的每個受信任小程序 （TA） 的源代碼，用于敏感操作（例如硬件加密、二進制加密、訪問控制）；

所有生物識別解鎖操作的算法，包括直接與傳感器通信的源代碼；

所有最新三星設備的引導加載程序源代碼；

來自高通的機密源代碼；

三星激活服務器的源代碼；

用于授權和驗證三星帳戶的技術的完整源代碼（包括 API 和服務）。

如果黑客所言為實，此數據泄露事件無疑會對三星造成嚴重影響。

該組織已經上傳了竊取的數據，通過torrent分發。目前Lapsus$尚未言及其目的，因此不清楚該組織是想向三星索要贖金還是有著其他要求，畢竟在前不久發生的英偉達數據泄露事件中黑客表露出了非常鮮明的利益訴求。

三星表示他們目前正在評估情況，尚未對此事做出更多回應。

資訊來源：bleepingcomputer

轉載請注明出處和本文鏈接

每日漲知識

EL表達式注入漏洞

和SpEL、OGNL等表達式注入漏洞是一樣的漏洞原理，即表達式外部可控導致攻擊者注入惡意表達式實現任意代碼執行。一般的，EL表達式注入漏洞的外部可控點入口都是在Java程序代碼中，即Java程序中的EL表達式內容全部或部分是從外部獲取的。