【安全头条】Neopets虚拟宠物网站出现千万级数据泄露

1、Neopets虚拟宠物网站出现千万级数据泄露

虚拟宠物网站Neopets最近推出自家NFT完善他们的元宇宙架构，没成想吸引了黑客注意力，成为炙手可热的目标，不久便被攻破出现数据泄露。

周二，黑客“TarTarX”在黑客市场以四个比特币的售价出售Neopets网站源代码和数据库，当前价值近十万美元。有安全研究员尝试接触黑客，获知他们窃取了网站460MB的源代码压缩包及6900万用户的账号信息，包括姓名、邮箱、邮政编码、生日、性别、国家等。不过黑客没有详细说明是如何攻破网站的，只说并没有让Neopets交赎金的计划，且已找到对此心仪的买家。目前还无法确认数据的真实性，但黑客市场的管理员出来站台表示进行了验证无误。

随后，Neopets团队在非官方渠道确认了此攻击，表示确实是安全事件，也在抓紧调查修复，黑客的访问可能仍未被阻断。有匿名人士趁机爆料，他们的系统早已千疮百孔，泄露数据无数，这次只是第一次被摆上台面，真实性未知。

2、LinkedIn喜提当前黑客最爱李逵奖 成钓鱼攻击中被冒充最多的公司

安全研究员对二季度网络钓鱼攻击进行数据分析，发现LinkedIn是被冒充次数最多的公司。

虽然稳居第一，但这已经是对比第一季度下降后的数据。它的“占有率”从一季度的52%降到了如今的45%，还是与第二名微软有着13%的差距。或许是经济下行原因，LinkedIn靠着经济相关的人脉联系，这几个月力压微软Outlook钓鱼主题，是黑客手中的香饽饽。拿到受害者账号密码后，黑客通常会选择利用通讯录进行更有针对性的钓鱼攻击，不断扩散谋求更大利益。

3、黑客的“救赎”：热心黑客免费推广自产工具救赎者（Redeemer）

一名热心黑客最近在黑客论坛大打广告，推广其免费勒索软件构建工具“救赎者”，希望此举让更多技术不足的黑客进军勒索软件行业。

其自述工具由C++编写，适用于Windows Vista、7、8、10和11，多线程性能优秀，抗检测能力不错。与相对传统的勒索软件即服务模式不同，救赎者使用完全免费，只有在受害者支付赎金时会收取20%的手续费。为了推广这名黑客算是煞费苦心，做了图形界面，写了操作说明，等以后还会开源来“服务大众”。

4、巨逼真Youtube广告让用户真假难辨最终导向技术支持诈骗

某安全公司发布报告，他们抓到一个滥用谷歌广告推广的钓鱼攻击，通过Youtube广告引诱受害者点击，随后伪装成Windows Defender安全警告，诱使受害者以技术支持之名联系黑客进行诈骗。

这个广告目前已经排在了谷歌搜索“youtube”后的第一位，且包含真实的Youtube地址，让人没有任何办法分辨真假。只有当点开后，粗糙的域名才会暴露真相，但扑面而来的WIndows Defender警告让用户无暇顾及，赶紧照着警告中的号码拨过去。奇怪的是，当黑客检测到用户使用VPN时，就会最终跳转到真正的Youtube页面，不知道是出于什么考虑。目前安全研究员已就此咨询谷歌，但未得到回复。

5、美国司法部扣押50万美元比特币 作为医疗机构遭勒索软件攻击的补偿

早先美国医疗保健供应商遭Maui勒索软件攻击，后来FBI发布报告称Maui是朝鲜政府支持的黑客组织，司法部随后扣押50万美元比特币，用于弥补勒索软件攻击造成的损失。

此前堪萨斯州医院因勒索软件攻击向Maui勒索组织支付了10万美元赎金，如今这笔钱将如数奉还。多余的40万赎金，副总检察长表示肯定是其他还未报告的受害者支付的赎金，将继续扣押以便未来还给受害者。