俄罗斯电商巨头e.way泄露了客户的个人信息【信息安全三分钟】2023.02.10

信息安全三分钟

盘点24小时内最新信息安全事件，旨在帮助安全工作者能够快速、高效抵御安全威胁。

1月24日，Cybernews研究团队发现了一个包含1.1TB数据的开放数据集，并将其归因于e.way，e.way是俄罗斯领先的电气工程公司Elevel旗下的在线商店。这个包含700万条数据的数据集泄露了两年的敏感数据，包括客户的姓名、姓氏、电话号码、电子邮件地址和送货地址。此外，研究人员还发现，e.way在URL编码中包含登录数据和密码。Cybernews的研究人员指出:“由于大量用户名和密码被曝光，这可能会使具有有效凭据的威胁行为者获得更多敏感数据，并冒充用户进行欺诈性购买。”据称，该数据集现在已关闭。

亚裔和西班牙裔送餐服务商Weee！遭遇数据泄露，暴露了 110 万客户的个人信息。Weee！自称是北美最大的亚裔和西班牙裔杂货店，通过遍布全国的仓库向美国 48 个州运送食品。

据外媒报道，法国当局新近抓获了一名黑客（其因敲诈勒索而获罪）。据悉，该黑客名为Julius Kivimäki（化名“Zeekill”），曾犯下50000多起网络犯罪事件。Kivimäki曾是一个名为Lizard Squad的网络犯罪组织的成员，该团伙在2014年末最为活跃，曾DDoS攻击PlayStation和Xbox在线游戏服务，还与针对载有索尼在线娱乐总裁John Smedley的飞机的炸弹威胁有关。而Kivimäki在他的少年时代就参与了一系列高调的网络攻击（攻击目标包括麻省理工学院和哈佛大学）。2015年，他因涉嫌犯下超过50000起计算机入侵事件而被定罪。然而，当时17岁的他并没有被判入狱，只被判处了两年有期徒刑缓刑。这一宽容判决受到了网络犯罪领域专家的批评。欧洲刑警组织顾问Alan Woodward亦对这一判决所能带给黑客的威慑表示担忧。

据报道，韩国个人信息保护委员会2月8日决定，对违反韩国《个人信息保护法》的Meta下达纠正命令、罚款660万韩元并要求其采取公开消息等整改措施。此前，Meta用户若拒绝授权公司使用本人在其他网站浏览的情况等“轨迹信息”，那就无法继续使用Facebook和Instagram。正因如此，Meta接受了韩国个人信息委员会的调查。此次处置明确表明，Meta在用户加入Facebook和Instagram服务及收集第三方行为信息前，未给予他们拒绝提供第三方行为信息的选择权，这一行为违反了法律。

据称，与俄罗斯有关的威胁行为者在针对乌克兰的网络攻击中部署了一种新的信息窃取恶意软，该恶意软件被赛门铁克称为Graphiron，是一个名为Nodaria的间谍组织的作品，乌克兰计算机应急响应小组将其追踪为UAC-0056。研究人员表示，该恶意软件是用Go语言编写的，旨在从受感染的计算机中获取广泛的信息，包括系统信息、凭据、截图和文件。Nodaria组织至少从2021年4月开始活跃，在俄罗斯军事入侵乌克兰之后的各种行动中，多次部署了GraphSteel和GrimPlant等定制后门。根据研究人员的调查结果，Nodaria加入了另一个名为Gamaredon的组织，广泛针对乌克兰。

点击下方公众号即可快速关注