【安全頭條】Neopets虛擬寵物網站出現千萬級數據泄露

1、Neopets虛擬寵物網站出現千萬級數據泄露

虛擬寵物網站Neopets最近推出自家NFT完善他們的元宇宙架構，沒成想吸引了黑客注意力，成為炙手可熱的目標，不久便被攻破出現數據泄露。

周二，黑客“TarTarX”在黑客市場以四個比特幣的售價出售Neopets網站源代碼和數據庫，當前價值近十萬美元。有安全研究員嘗試接觸黑客，獲知他們竊取了網站460MB的源代碼壓縮包及6900萬用戶的賬號信息，包括姓名、郵箱、郵政編碼、生日、性別、國家等。不過黑客沒有詳細說明是如何攻破網站的，只說并沒有讓Neopets交贖金的計劃，且已找到對此心儀的買家。目前還無法確認數據的真實性，但黑客市場的管理員出來站臺表示進行了驗證無誤。

隨后，Neopets團隊在非官方渠道確認了此攻擊，表示確實是安全事件，也在抓緊調查修復，黑客的訪問可能仍未被阻斷。有匿名人士趁機爆料，他們的系統早已千瘡百孔，泄露數據無數，這次只是第一次被擺上臺面，真實性未知。

2、LinkedIn喜提當前黑客最愛李逵獎 成釣魚攻擊中被冒充最多的公司

安全研究員對二季度網絡釣魚攻擊進行數據分析，發現LinkedIn是被冒充次數最多的公司。

雖然穩居第一，但這已經是對比第一季度下降后的數據。它的“占有率”從一季度的52%降到了如今的45%，還是與第二名微軟有著13%的差距。或許是經濟下行原因，LinkedIn靠著經濟相關的人脈聯系，這幾個月力壓微軟Outlook釣魚主題，是黑客手中的香餑餑。拿到受害者賬號密碼后，黑客通常會選擇利用通訊錄進行更有針對性的釣魚攻擊，不斷擴散謀求更大利益。

3、黑客的“救贖”：熱心黑客免費推廣自產工具救贖者（Redeemer）

一名熱心黑客最近在黑客論壇大打廣告，推廣其免費勒索軟件構建工具“救贖者”，希望此舉讓更多技術不足的黑客進軍勒索軟件行業。

其自述工具由C++編寫，適用于Windows Vista、7、8、10和11，多線程性能優秀，抗檢測能力不錯。與相對傳統的勒索軟件即服務模式不同，救贖者使用完全免費，只有在受害者支付贖金時會收取20%的手續費。為了推廣這名黑客算是煞費苦心，做了圖形界面，寫了操作說明，等以后還會開源來“服務大眾”。

4、巨逼真Youtube廣告讓用戶真假難辨最終導向技術支持詐騙

某安全公司發布報告，他們抓到一個濫用谷歌廣告推廣的釣魚攻擊，通過Youtube廣告引誘受害者點擊，隨后偽裝成Windows Defender安全警告，誘使受害者以技術支持之名聯系黑客進行詐騙。

這個廣告目前已經排在了谷歌搜索“youtube”后的第一位，且包含真實的Youtube地址，讓人沒有任何辦法分辨真假。只有當點開后，粗糙的域名才會暴露真相，但撲面而來的WIndows Defender警告讓用戶無暇顧及，趕緊照著警告中的號碼撥過去。奇怪的是，當黑客檢測到用戶使用VPN時，就會最終跳轉到真正的Youtube頁面，不知道是出于什么考慮。目前安全研究員已就此咨詢谷歌，但未得到回復。

5、美國司法部扣押50萬美元比特幣 作為醫療機構遭勒索軟件攻擊的補償

早先美國醫療保健供應商遭Maui勒索軟件攻擊，后來FBI發布報告稱Maui是朝鮮政府支持的黑客組織，司法部隨后扣押50萬美元比特幣，用于彌補勒索軟件攻擊造成的損失。

此前堪薩斯州醫院因勒索軟件攻擊向Maui勒索組織支付了10萬美元贖金，如今這筆錢將如數奉還。多余的40萬贖金，副總檢察長表示肯定是其他還未報告的受害者支付的贖金，將繼續扣押以便未來還給受害者。