银行业黑客攻击事件
2023年7月7日,过去一年中最大的银行业黑客攻击事件之一被报道。网络犯罪分子通过一名C&M软件公司的员工的凭证,从六家巴西金融机构盗取了约1.4亿美元。这起事件发生在6月30日,攻击者贿赂了名为若昂·纳扎雷诺·罗克(João Nazareno Roque)的人,利用他的凭证获得了系统的访问权限。
警方表示,他还传达了执行某些操作的指示,确保了攻击的成功。罗克最初因参与此事件获得了920美元的报酬。随后,按照攻击者的建议,他在C&M的基础设施中运行了命令,额外赚取了1850美元。为了掩盖自己的活动,罗克每15天更换一次手机。然而,在7月3日,他在圣保罗被捕。
资金转换与加密资产
估计被盗资金中至少有3000万至4000万美元被转换为加密资产。根据链上侦探ZachXBT的调查,攻击者通过拉丁美洲的场外交易和加密交易所将资金转换为比特币(BTC)、以太坊(ETH)和泰达币(USDT)。
运动员被拘留
7月9日,媒体报道了俄罗斯职业篮球运动员达尼尔·卡萨金(Daniil Kasatkin)被拘留的消息。根据媒体报道,他于6月21日在法国戴高乐机场被美国当局要求逮捕。该运动员被指控在一个使用勒索软件的黑客网络中担任谈判者。卡萨金仍在拘留中,美国当局正在寻求将他引渡以面对指控。他的律师已声明该运动员无罪。
黑客组织与攻击历史
黑客组织的名称尚未披露。根据报道,攻击者在2020年至2022年期间对多个组织进行了超过900次攻击,包括两个联邦机构。
麦当劳招聘系统漏洞
根据《连线》杂志的报道,研究人员伊恩·卡罗尔(Ian Carroll)和萨姆·库里(Sam Curry)在6月9日发现了McHire系统中的关键漏洞。该平台为麦当劳招聘员工,使用名为Olivia的人工智能机器人。研究人员通过简单的密码如“123456”获得了平台开发者Paradox.ai的管理面板的访问权限。
“与正常的招聘过程相比,这似乎特别反乌托邦。这促使我深入挖掘。”
该面板包含6400万条记录的数据库,包括求职者的姓名、电子邮件和电话号码。自2019年以来,该平台一直可以在没有双重身份验证的情况下访问。Paradox.ai承认了数据泄露,并表示该账户未被第三方使用,只有研究人员自己使用。该公司承诺实施漏洞奖励计划,以防止未来发生类似事件。
比特币存款处数据泄露
比特币存款处(Bitcoin Depot),一个在美国、加拿大和澳大利亚拥有超过17,000台设备的比特币ATM网络运营商,已通知客户有关个人数据泄露的情况。该网络的可疑活动首次在2023年6月23日被发现,公司内部调查于2024年7月结束。
美国执法部门要求推迟公开披露,直到他们自己的调查完成。根据发送给受害者的信件,攻击者获得了大约27,000名完成KYC程序的客户的文件。泄露的数据类型因人而异,但可能包括:全名、电话号码、驾照号码、居住地址、出生日期、电子邮件地址。
由于与加密资产相关的风险,未提供财务赔偿或身份盗窃保护。受害者被建议保持警惕,监控他们的银行对账单。
