Otelier酒店管理平台遭遇大规模数据泄露

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Otelier酒店管理平台遭遇大规模数据泄露

宣布时间 2025-01-20

1. Otelier酒店管理平台遭遇大规模数据泄露

1月17日，2024年7月至10月期间，酒店管理平台Otelier（前身为MyDigitalOffice）遭遇了严重的数据泄露事件。威胁行为者乐成入侵其Amazon S3云存储，窃取了数百万客人的个人信息以及万豪、希尔顿、凯悦等知名酒店品牌的预订信息，总量近8TB。Otelier已确认此次入侵，并正与受影响客户相同，同时聘请了顶尖网络宁静专家团队进行全面取证分析和系统验证。为防止类似事件再次发生，Otelier已禁用相关账户并加强网络宁静协议。据威胁者透露，他们最初通过信息窃取恶意软件获取了一名员工的登录信息，进而入侵了Atlassian服务器，并利用这些凭证获取了更多数据，包罗S3存储桶的访问权限。万豪酒店已证实其受到影响，并暂停了Otelier提供的自动化服务，但强调其系统未在此次攻击中遭到入侵。然而，泄露的数据样本显示，酒店客人的姓名、地址、电话号码和电子邮件地址等个人信息已被偷取，并被添加到“Have I Been Pwned”网站上供人查询。尽管密码和账单信息未被盗，但用户仍需警惕针对此漏洞的可疑电子邮件和网络钓鱼攻击。

https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of-millions/

2. PyPI现“pycord-self”恶意包，针对Discord开发人员窃取令牌植入后门

1月17日，Python包索引（PyPI）上泛起了一款名为“pycord-self”的恶意软件包，它针对的是Discord开发人员。这款恶意包模仿了广受欢迎的“discord.py-self”包，已被下载约885次。尽管它提供了合法项目的功效，但实则包罗执行两项主要恶意操作的代码：一是窃取Discord身份验证令牌并将其发送到外部URL，即使双因素身份验证�；ごτ诨疃刺�，攻击者也能使用这些令牌劫持开发人员的Discord帐户；二是通过端口6969与远程服务器建立持久连接，建立后门机制，让攻击者能够连续访问受害者的系统。Socket研究人员对此进行了详细分析。因此，建议软件开发人员在安装软件包时，务必验证代码是否来自官方作者，并检查软件包的名称，以降低成为受害者的风险。同时，使用开源库时，建议检查代码中是否存在可疑函数，并利用扫描工具检测和阻止恶意软件包。

https://www.bleepingcomputer.com/news/security/malicious-pypi-package-steals-discord-auth-tokens-from-devs/

3. Lazarus组织针对开发人员提倡“99号行动”窃取敏感数据

1月17日，朝鲜政府支持的Lazarus组织正在开展名为“99号行动”的连续攻击活动，针对软件开发人员窃取敏感数据。此次活动标志着Lazarus组织攻击计谋的演变，从广泛的网络钓鱼攻击转向针对技术供应链中的开发人员进行有针对性的攻击。攻击者冒充招聘人员在LinkedIn等平台上联系目标，诱导受害者克隆恶意GitHub存储库，执行其中的代码后连接到由攻击者控制的命令和控制服务器。该服务器使用高度混淆的Python脚原来逃避检测，并针对特定目标动态定制恶意软件。该活动部署了具有�？榛榧亩嘟锥味褚馊砑低�，以窃取开发人员的源代码、机密、配置文件以及加密货币钱包密钥等敏感数据。SecurityScorecard敦促开发人员接纳主动的宁静措施，如增强代码存储库验证、使用高级端点宁静解决方案检测异�；疃⒃谄教ㄉ涎橹ふ衅溉嗽焙褪虑榛�，并掌握识别危险信号的知识。

https://www.infosecurity-magazine.com/news/lazarus-developers-data-theft/

4. 黑客“0mid16B”宣布入侵MedSave，窃取561GB数据并计划出售

1月17日，名为“0mid16B”的黑客周三宣布已乐成入侵印度大型第三方管理机构MedSave，窃取了561GB的数据库，包罗凌驾1000万人的敏感信息，其中不乏高管资料，且数据截止至2025年1月8日。0mid16B未透露入侵手段，但声称MedSave长时间未察觉其存在，且在1月12日至15日期间三次进入系统并滋扰其运作。尽管未向MedSave提出具体勒索金额，0mid16B批评其宁静防护单薄，指出公司未安装防病毒软件，且在明知漏洞存在的情况下仍重启服务器，使其得以轻易传输大量数据而未触发警报。MedSave网站目前无法访问，DataBreaches已实验通过多渠道联系MedSave见告其情况，但尚未收到回复。0mid16B体现有意出售部门数据并果然非客户数据，此事有待MedSave进一步回应。

https://databreaches.net/2025/01/17/medsave-health-insurance-tpa-hacked-firm-has-yet-to-comment-or-respond/

5. 模仿Black Basta手法的网络攻击瞄准SlashNext客户

1月15日，SlashNext的一位客户遭遇了模仿污名昭著的Black Basta勒索软件团伙手法的网络攻击。在短短90分钟内，攻击者向22个用户收件箱发送了1165封恶意邮件，企图诱骗用户点击恶意链接。SlashNext的研究人员揭示了这次攻击迅速且精准，使用了与Black Basta相似的手法，旨在让用户措手不及并绕过传统宁静措施。攻击者利用勒索软件骗局，伪装成流行平台发送虚假邮件，使用看似无害的域名和特殊字符的主题行，针对差异用户角色提高关注度。他们通过看似合法的邮件淹没收件箱，制造混乱，诱使用户点击链接。当用户不知所措时，攻击者冒充IT支持介入，诱骗用户安装远程访问软件，从而在系统中站稳脚跟，可能流传恶意软件或窃取敏感数据。幸运的是，SlashNext的集成云邮件宁静系统迅速识别出危险信号，及时应对。这一事件凸显了网络宁静威胁的日益庞大性，攻击者使用先进技术规避传统宁静措施。因此，组织应优先考虑威胁检测和响应，定期进行宁静评估，以识别漏洞并提升整体宁静性。

https://hackread.com/black-basta-cyberattack-hits-inboxes-with-1165-emails/

6. Star Blizzard新钓鱼活动瞄准WhatsApp账户

1月19日，俄罗斯民族国家行为者Star Blizzard近期开展了一项新的鱼叉式网络钓鱼活动，专门攻击政府、外交、国防政策、国际关系及乌克兰援助组织等目标的WhatsApp账户。该活动于2024年11月中旬被微软威胁情报陈诉揭示，标志着Star Blizzard为应对计谋和技术曝光所做的战术转变。攻击者通过电子邮件冒充美国政府官员，诱骗目标加入支持乌克兰的非政府组织WhatsApp群组，邮件中包罗损坏的二维码，若受害者回应，则会被引导至虚假网页，要求扫描新的二维码，实则是将攻击者设备链接至受害者WhatsApp账户。微软指出，一旦受害者操作，攻击者即可访问其WhatsApp消息，并利用插件窃取数据。此次攻击依赖社会工程学，不涉及恶意软件，用户需警惕未经请求的通信，特别是加入群组的邀请，并定期检查与WhatsApp账户关联的设备。此次活动表明，尽管Star Blizzard在2024年10月的活动中断后部门域名被查封，但其仍通过探索新攻击媒介继续行动。

https://www.bleepingcomputer.com/news/security/star-blizzard-hackers-abuse-whatsapp-to-target-high-value-diplomats/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究