3000 万美国人受到 Astoria 公司数据泄露的影响

sugar 2021-03-26
专栏 - 资讯 发布于 2021-03-26 10:56:25 阅读 649 评论 0

研究人员发现在暗网中有3000万记录了受Astoria公司数据泄露影响的美国人的记录。

Astoria Company LLC是一家领先的公司,它利用网站网络来收集有关可能正在寻找折扣汽车贷款,其他医疗保险甚至发薪日贷款的人的信息。

收集的数据与许多合作伙伴网站(如保险或贷款机构)共享,这些网站按潜在客户推荐付费。

DARKWEB市场上的数据库销售

2021年1月26日,Nightlion Security的威胁情报小组意识到流行的黑客组织 Shiny Hunter 在Dark0de市场上出售了几个新的受到破坏的数据库 。

列出的待售数据包括4亿个Facebook用户,一个据称包含Instagram用户的数据库以及一个据称包含来自Astoria Company的3亿用户数据库的转储。Astoria公司数据销售的详细信息包括,最著名的是4000万个美国社会保险号(这些数字后来被证明是虚假的)。

公开的记录包括以下字段:

  • 姓名
  • 电子邮件地址
  • 出生日期
  • 移动电话
  • 实际地址
  • IP地址

泄漏中暴露的其他潜在客户类型包括其他信息,例如社会保险号,完整的银行帐户信息,甚至病史。泄露的Astoria数据还包含电子邮件交易日志,显示通过电子邮件传输未加密的敏感用户信息。

Night Lion对数据进行的分析揭示了以下各项的存在:

  • 1000万人拥有社会安全号码,银行帐户和驾照号码。
  • 超过一千万的人拥有其他暴露领域,例如信用记录,医疗数据,房屋和车辆信息。

一周后,这些数据库由用户ShinyHunters在Dark0de论坛上出售。

Astoria公司违规列表-650x429

Astoria的数据后来在网上其他卖家以“ Seller13 ”的名义在其他Darkweb论坛上出售。

Nightlion研究人员报道了最近的一篇博客文章,该文章声称Seller13是ShinyHunters的成员。专家认为,卖方13是“ Yousef”,即近4亿个被盗Facebook帐户的原始经纪人 。

“目前,尚不清楚Seller13是使用ShinyHunters名称作为一种误导类型,还是两个参与者实际上正在共同努力。我们与Seller13的对话似乎表明他和ShinyHunters正在共同努力。” 报道了《Night Lion》。

调查涉嫌违规专家后,发现了向Astoria Company,LLC注册的400多个域的列表。

研究人员在Astoria的MortgageLeads.loans域中发现了多个Web外壳和恶意脚本,包括Corex.php和Adminer.php。

攻击者部署了Corex Web Shell URL,并使用了系统上剩下的许多其他利用工具,包括adminer.php脚本。Adminer是用PHP编写的功能齐全的数据库管理工具。轻松管理任何在线数据库类型,包括MySQL,SQLite,MS SQL和PostgreSQL。

“鉴于ShinyHunters倾向于使用泄露的凭证来黑客入侵网站,我们的下一步是使用HiddenWWW搜索引擎来查找具有潜在泄露的凭证或AWS密钥的可公开访问的代码。HiddenWWW搜索引擎返回了多个不同Astoria域中潜在易受攻击的URL的列表。然后,我们利用OSINT电报漫游器对每个URL进行ping操作,并返回所有有效URL的列表。” 专家们继续说道。

Night Lion的反情报小组联系了Seller13,后者向他们解释了如何访问Astoria的数据库。

“在访问http://mortgageleads.loans/adminer.php URL时,我们立即注意到预先存储了用户” adminastoria ”的管理员凭据,从而使任何人都可以从公共URL完全访问数据库-无需身份验证。” 专家们继续说道。

Night Lion Security的首席执行官Vinny Troia于2021年1月29日向Astoria Company报告了其数据库中的漏洞以及Dark Web上数据的可用性。

该公司对该问题进行了调查,发现“印度的前开发人员”最有可能负责将凭证保存到该站点。

Astoria公司识别并确认了其网站上存在恶意脚本,并将其脱机。

专家发现,共有19个Astoria所有的域名使用相同的Adminer脚本,在Night Lion向Astoria报告后被下线。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!