记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

室内设计网站Havenly曝130万个帐户数据泄露事件

美国一家室内设计网站Havenly被曝数据泄露事件,一名黑客在黑客论坛上免费发布了一个包含其130万条用户记录的数据库。Havenly是一个在线室内设计和家庭装饰网站,用户可以从上面认证的设计师那里获得设计房间的帮助。上周,BleepingComputer报告称,ShinyHunters黑客组织已在一个黑客论坛上免费泄漏18家公司的数据库。这些数据库总共包含3.86亿个用户记录。泄露的数据库其中就包含Havenly.com的130万用户记录。 Havenly数据库在黑客论坛上泄漏从BleepingComputer看到的该数据库的样本中,泄漏的数据包括用户的登录名,名字,MD5哈希密码,电子邮件地址,电话号码,邮政编码以及与该站点的使用有关
发布时间:2020-08-04 10:16 | 阅读:1339 | 评论:0 | 标签:泄露

实战渗透-从敏感文件泄露到Getshell

日常挖EDUSRC的思路,欢迎各位大佬指点或补充~目标站点如下:是一个大型仪器预约平台,先简单通过信息收集得到以下信息中间件:IIS 开发语言: .NET (MVC)个人比较偏向于渗透NET开发平台的站点,因为其不区分大小写,在生成字典的时候不需要花费太多时间。该系统提供两个功能,注册以及登录。由于这套系统比较常见,基本每个知名高校都有这么一个仪器平台。所以注册后的功能点就没必要再去花功夫探测了(有的话也被大佬交完了)。这里我直切主题:先FOFA搜索相同站点。由于是NET平台,可以先搜集以下所有相同系统的站点。然后扫一扫备份之类的。常见的字典如: web.rar 备份.rar等等。.具体看运维的习惯(部分运维喜欢用bak)。使用某大佬的
发布时间:2020-07-31 10:02 | 阅读:2066 | 评论:0 | 标签:渗透 泄露

50多家科技公司源代码被泄露,微软、华为海思、高通均在列,网友:怕是又来针对华为吧?!

可以说,这是有史以来最大范围的一次源代码泄露。 源代码就是指编写的最原始程序的代码,主要对象是面向开发者,我们平常使用的应用程序都是经过源码编译打包以后发布呈现的。 公司专有程序代码对于网络创意公司来说是其生命的化身,掌握了其编写方式,就可以复制出一个相同的程序,或通过阅读源代码找到程序的漏洞进行任意攻击。所以在互联网兴起后世界各国都立法对其进行保护。 微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司都中招了。 据外媒报道,遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。 根据安全研究人
发布时间:2020-07-30 15:00 | 阅读:1819 | 评论:0 | 标签:泄露

7月30日每日安全热点 - 加密钱包账本泄露100万封电子邮件

安全研究 Security Research22岁的黑客利用您的数据寻求LTR;在约会程序OkCupid上发现的漏洞https://research.checkpoint.com/2020/hacker-22-seeks-ltr-with-your-data-vulnerabilities-found-on-popular-okcupid-dating-app/在IBM WEBSPHERE中滥用JAVA远程协议https://www.thezdi.com/blog/2020/7/20/abusing-java-remote-protocols-in-ibm-websphereCVE-2020-1362 漏洞分析https://paper.seebug.org/12
发布时间:2020-07-30 11:12 | 阅读:2434 | 评论:0 | 标签:加密 泄露

Dave数据遭泄露,影响750万用户

 Dave数据遭泄露,影响750万用户Dave是为客户提供透支保护和预借款服务的一家公司,近期该公司遭受数据泄露攻击,一份包含Dave 750万用户记录的数据库被攻击者在网上拍卖,随后被免费发布在黑客论坛上。作为一家金融科技公司,Dave允许用户关联个人银行账户,可以根据用户账单金额提前借款给客户,从而避免出现透支。用户只需要额外支付一定费用,便可获取最高100美元的贷款额度,但在还款前不能继续贷款。上周五,一位攻击者在某黑客论坛上免费发布了包含7,516,691个Dave用户记录的数据库。在我们就泄露事件与Dave取得联系后,Dave在第二天发表公告,表示公司出现数据库泄露事件。Dave在昨晚回复BleepingComputer的一份声明中表示,数据库泄露的原因
发布时间:2020-07-29 12:21 | 阅读:1221 | 评论:0 | 标签:泄露

错误配置致数十家公司源代码泄露

由于基础设施的错误配置导致数十家公司源代码泄露,涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等,而且泄露列表仍在更新中。代码泄露是由逆向工程师Tillie Kottmann 从不同渠道以及错误配置的devop工具中获取的。Bank Security称,一位关注银行威胁和欺诈的研究人员发现该gitlab库中有超过50家企业的代码。虽然并不是所有的文件夹都进行计数了,但研究人员称其中含有凭证信息。Kottmann的服务器上还有来自金融科技公司、银行、身份和访问管理、游戏企业的源代码。Kottmann称在代码库中发现了硬
发布时间:2020-07-28 13:46 | 阅读:3507 | 评论:0 | 标签:泄露

7个香港免费VPN被爆泄露用户隐私,1.2TB上千万条用户个人信息在线公开

有时候需要访问一些不存在的网站和下载东西的时候会用到VPN服务,除了收费的以外,还不乏有一些免费的VPN服务,但免费的同样意味着危险,这不,有安全专家就在网上曝出了7个香港免费VPN,将使用用户的个人信息,访问记录、真实IP等暴露在一个公开的服务器上。 发现问题的是一个国外的安全公司「Comparitech」,他们在一款「UFO VPN」中发现,这个VPN服务公司将用户的Log和API访问记录等信息在网络上公开,而且不需要输入密码和任何身份信息验证就能查阅这些内容。 经了解该公司总部在香港,UFO VPN在Play商店安装下载量超过1000万。安全公司表示,每天有超过2000万个条目被添加到Log中,而UFO VPN恰巧在其网站上拥有2000万用户,数据量高达894GB。 这些被暴露公开的用
发布时间:2020-07-26 01:24 | 阅读:4863 | 评论:0 | 标签:业界快讯 VPN信息泄露 泄露

超过两千万名用户的数据被VPN供应商泄露

 7家声称不保留任何用户数据的VPN供应商,在最近爆出1.2 TB用户数据被泄露,任何人都可以在互联网上访问到这些数据。披露这一事件的vpnMentor的研究员说,这些数据是在两家公司共享的服务器上发现的,其中包括可能多达2000万名VPN用户的个人身份信息(PII)。除了个人信息(包括用户的电子邮件地址、家庭住址、明文密码和IP地址),该服务器还被发现存储了多个互联网活动日志,这让人们对VPN供应商声称的严格的无日志政策产生了怀疑。UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN, 和 Rabbit VPN 这7家公司都与这一事件有牵连。报告指出,这些VPN供应商在香港的服务中都有一个共享
发布时间:2020-07-24 18:07 | 阅读:3712 | 评论:0 | 标签:泄露

一次信息泄露引发的越权

概述登录逻辑系统开放3012、12017两个端口,前者为身份认证接口,以json形式返回token与权限参数,后者为业务系统,前端调用js-aes对json加密得到cookie漏洞成因业务系统与接口彼此独立,仅验证token真实性,未检测cookie完整性,攻击者能解密cookie则可修改参数实现越权,而系统采用不安全的前端加密,导致漏洞产生过程js信息泄露settingService.js,泄露aes密钥 1234567812345678 与偏移向量 1234567812345678漏洞验证对cookie解密得到json数据流发现role等关键参数,默认1为真使用全0与全1测试,验证漏洞存在其他登录名受cookie控制写入js弹窗,可行复
发布时间:2020-07-24 13:32 | 阅读:2209 | 评论:0 | 标签:泄露

“无日志”VPN泄露数百万用户数据

随着全球新冠疫情的蔓延,社交隔离和远程娱乐办公成为常态,全球用户对VPN的兴趣激增,自今年年初以来,一些商业VPN提供商的用户和流量翻了一番,与此同时VPN相关的安全性问题也日益凸显,一些知名VPN品牌,例如ProtonVPN、NordVPN甚至包括Microsoft、McAfee、ESET、Kaspersky和Symantec等在内的知名网络安全供应商的品牌也被不法分子用来欺骗用户下载间谍软件、流氓软件、勒索软件和数据窃取软件。与此同时,大量VPN服务存在隐私泄露风险。“不记录用户日志数据”是很多VPN服务商的卖点,但是有很多VPN服务并不能真正做到这一点。近日,网络安全公司Comparitech报告指出,由于安全性差,UFO VPN的用户信息数据库每天都在泄漏数据,包括:账号密码VPN会话机密和令牌用户设备
发布时间:2020-07-23 16:36 | 阅读:3770 | 评论:0 | 标签:牛闻牛评 首页动态 VPN 数据泄露 泄露

伊朗APT 35黑客40GB教学视频泄露

IBM X-Force Incident Response Intelligence Services (IRIS)研究人员在5月发现了伊朗黑客组织APT 35 (Charming Kitten、Phosphorous或ITG18)的一个在线服务器,该服务器是一个虚拟私有云服务器,由于安全设置错误配置导致暴露在互联网上。该服务器上有多个APT 35的域名,上面还保存着超过40GB的数据。数据中包括接近5小时的视频会议信息,这些视频主要是用于培训黑客。从视频来看,其中部分受害者包括美国和希腊海军的个人账号、以及针对美国官员的钓鱼攻击活动。培训视频研究人员发现的视频文件是一个名为Bandicam的桌面录屏软件录制的视频文件,时长在2分钟到2小时之间。文
发布时间:2020-07-21 12:42 | 阅读:2829 | 评论:0 | 标签:apt 泄露

伊朗黑客组织泄露40GB培训视频和数据文件

伊朗威胁组织ITG18以针对制药公司和美国总统竞选活动而著名。IBM称该集团为ITG18,而其他安全公司给该组织分配的代号是APT35。该组织自2013年以来一直处于活动状态,以实施复杂的网络钓鱼攻击而广为人知。IBM X-Force事件响应情报服务(IRIS)近日发现一台与ITG18关联的服务器,该服务器暴露了超过40GB的培训视频和其他数据。IBM透露,ITG18运营商的OPSEC故障暴露了ITG18内部工作内容,这对调查黑客组织运营方式有很大帮助。泄露的培训视频主要内容侧重于如何创建账户、操作员测试访问以及从受攻击的账户中提取数据。根据视频文件时间戳,这些视频的录制时间在上传到ITG18服务器一天前。在视频中,操作员解释如何提取与平台关联的各种数据集,包括联系人、照片和相关云存储。这些视频还包含针对一名伊
发布时间:2020-07-20 15:29 | 阅读:2967 | 评论:0 | 标签:牛闻牛评 首页动态 ITG18 伊朗黑客 数据泄露 泄露

平均损失1.16亿美元,639起上市公司数据泄露背后揭示哪些安全风险?

数据泄露给企业造成的损失越来越严重,调研机构Audit Analytics在回顾了2011年以来的639起上市公司网络安全事件中,发现每起网络数据泄露事件的平均损失高达1.16亿美元。 隐私信息泄露,企业很受伤 Audit Analytics的《网络安全事件披露趋势》报告揭示,用户隐私信息正成为窃贼眼中的香饽饽。2018年,姓名和信用卡信息是最受窃密者欢迎的信息类型,2019年窃密者通常旨在获取客户姓名、住址和电子邮件地址(占比分别为48%、29%和28%)。 信息数据被窃取,企业需要花费大量金钱支付罚款、修复用户信任以及加固网络。报告显示2011年以来,不少企业就因为数据泄露受到影响并付出高额费用,其中最严重的有:2013年的塔吉特(2.92亿美元),2014年的家得宝(2.98亿美元),2017年的Equi
发布时间:2020-07-20 14:01 | 阅读:2582 | 评论:0 | 标签:数据防泄漏 企业数据泄露 数据安全 泄露

执法部门购买泄露数据来追踪犯罪分子

黑客闯入网站,窃取数据,然后放在互联网上销售,其他的一些黑客或诈骗者则将其用于自己的目的。但是,泄露的数据现在有另一个大客户:执法部门。一些公司向政府机构出售这些被窃取数据的访问权限,希望这些数据能产生调查线索,这些数据包括密码、电子邮件地址、IP地址等。(本文第一人称为Motherboard网站)我们获得了一个名为SpyCloud的公司提供给潜在客户的网络研讨会幻灯片。在该网络研讨会中,该公司声称,它将“授权来自全球执法机构和企业的调查人员更迅速、更有效地将恶意行为者绳之以法。”我们的一名线人向我们分享了这些幻灯片,他担心执法机构会购买这些被窃取的数据。我们也向SpyCloud公司确认了ppt的真实性。SpyCloud联合创始人兼首席产品官戴夫•恩德勒(Dave
发布时间:2020-07-14 11:25 | 阅读:3189 | 评论:0 | 标签:泄露

7月13日每日安全热点 - GraphQL自省会导致敏感数据泄露

安全研究 Security Research如何使用CVE来寻找新的漏洞(在其他人找到之前)https://www.youtube.com/watch?v=Nhvm06Cwlqo&feature=youtu.bePurple Fox EK为其武器库增加了CVE-2020-0674和CVE-2019-1458的漏洞利用https://www.proofpoint.com/us/blog/threat-insight/purple-fox-ek-adds-exploits-cve-2020-0674-and-cve-2019-1458-its-arsenalCVE-2020-1300:通过MICROSOFT WINDOWS CAB文件执行远程代码https:/
发布时间:2020-07-13 12:34 | 阅读:4548 | 评论:0 | 标签:敏感数据 泄露

14万条学生个人信息泄露,教育行业信息安全引关注

教育信息化的推进,让大量学生、教师的个人信息以及各类重要数据被聚集,这些信息数据如果没有保护好,很容易发生大规模的数据泄露。这不,在6月就有媒体报导了两起泄露大量学生个人信息的事件。 1、14万条学生个人信息泄露 近日据央视报道,江苏无锡江阴市市场监督管理局在对某教育培训机构进行监督检查时,执法人员发现几十个标注了江阴各个中小学名称的EXCEL表,涵盖了江阴市绝大部分中小学学生和家长的信息资料,包括学生姓名、性别、所在学校、年级、班级、学生家庭地址、家长姓名及电话等个人信息14万余条。 如此多学生信息,仅靠培训机构派出人员到中小学校门口向学生和家长一个一个地收集,实在不太容易,这些中小学生的个人信息,显然另有更“便捷”的收集渠道。那么究竟是什么部门或机构出卖了这么多详尽无遗的中小学生个人信息? 对于大众关心的这
发布时间:2020-07-08 14:13 | 阅读:6094 | 评论:0 | 标签:信息安全 信息泄露 信息防泄漏 泄露

公告

学习黑客技术,传播黑客文化

推广

工具

标签云