威胁者声称泄露了投保人的姓名、电子邮件、出生日期和详细信息。
据报道，全球投资银行和金融服务公司瑞士信贷遭受了网络攻击。据报道，瑞士信贷的数据泄露是由一名化名为“888”的威胁行为者(TA)在数据黑客网站BreachForums上策划的。
这名黑客声称从该银行获得了高度敏感的数据，并将其发布在暗网市场上。据威胁行为者称，数据泄露涉及该银行约19,000名印度员工的个人信息。
瑞士信贷数据泄露详情
瑞士信贷成立于1856年，年收入约为152.1亿美元。它是私人银行和资产管理领域的领先机构之一，在投资银行业务方面拥有广泛的专业知识。
2024年6月25日，该威胁行为者声称对该银行发动了网络攻击，并泄露了19000名用户的详细信息。
据报道，泄露的数据包括员工姓名、6623唯一电子邮件地址、员工代码、出生日期、性别、保单名称、关系、雇佣日期、生效日期、状态和实体。
为了证实这一说法，威胁行为者888提供了一个数据泄露样本，其中包括瑞士信贷印度公司员工的详细信息。
然而，TA没有提供数据销售的具体价格，并要求潜在买家提供一个数字。黑客们评论说，他们只接受加密货币作为支付方式。更具体地说，黑客愿意使用门罗币(XMR)进行支付，这是一种以隐私和匿名属性而闻名的数字货币。这种支付方式通常用于非法交易，以逃避检测。
尽管攻击者提出了各种要求，但经过仔细检查，发现该银行网站目前运行正常，没有任何安全漏洞的迹象。《网络快报》已联系该银行核实所谓的网络攻击。截至目前，尚未收到官方声明或回应，因此这些说法尚未得到证实。
这不是瑞信第一次遭遇数据泄露
这不是瑞信第一次卷入安全漏洞。据《经济时报》报道，在2023年，该银行警告员工，一名前员工窃取了他们的个人数据，包括工资和奖金。这些信息包括2013年至2015年的工资和“可变薪酬”。
彭博社的另一份报告称，2023年的数据泄露影响了瑞士信贷的许多前客户，总账户价值高达1000亿美元。
瑞士信贷黑客最近瞄准大型跨国公司
在数据泄露事件中发现的敏感信息可能被滥用，包括客户姓名、出生日期和关系，这引起了许多担忧。考虑到威胁行为者的历史，瑞士信贷应该调查数据泄露索赔。
本月初，TA 888声称窃取了埃森哲32000多名现任和前任员工的数据。但该公司否认了这一说法，并表示黑客发布的数据集只包含三名员工的姓名和电子邮件地址。
该黑客还声称对泄露喜力在多个国家的8174名员工的信息负责。
此前，888还声称对跨国石油和天然气公司壳牌发动了攻击。TA发布了澳大利亚客户个人信息共享的样本信息。
声明:本平台收集的部分公开数据来源于互联网。转载的目的是为了传递更多信息并在网上分享，不代表本平台同意其观点并对其真实性负责，也不构成其他建议。如果您发现平台上的作品侵犯了您的知识产权，请与我们联系，我们将及时修改或删除。

据报道，在2024年7月，在一次未公开的第三方入侵事件中，员工姓名、电子邮件和位置数据被泄露
一名威胁行为者(TA)声称策划了微软的数据泄露事件，据报道，该事件泄露了2000多名员工的敏感数据。这个臭名昭著的TA，使用化名888，透露这些数据据报道是在2024年7月在一个未公开的第三方泄露中泄露的，但这些数据的最晚日期是2022年。
微软数据泄露事件的细节
根据TA在暗网市场BreachForums上的帖子，被黑客入侵的数据包括微软员工的2073个个人身份信息(PII)记录，包括名字、姓氏、职位、电子邮件、领英个人资料URL、城市和国家。
为了证实数据泄露的说法，攻击者分享了数据泄露的样本，其中包括大多数新西兰用户和一个希腊用户的敏感PII。然而，TA并没有详细解释是哪个微软的第三方应用程序被黑客攻击并导致了泄密。
对微软员工的潜在影响
如果事实属实，这次数据泄露的潜在后果可能非常严重，因为敏感的PII记录可能会泄露。组织应采取适当措施保护相关利益相关者的隐私和安全。个人信息泄露可能导致身份盗窃、财务欺诈和客户信任的丧失，从而危及公司在行业中的地位。
目前，有关微软数据泄露的程度和网络攻击背后的动机的详细信息尚未公开。
尽管TA“888”声称有这样的问题，但没有公开信息表明微软仍在正常运行的任何资产已被泄露。这种矛盾使人们对恶意行为者所作陈述的真实性产生怀疑。
黑客888此前曾与多起备受瞩目的数据泄露事件有关，其中包括瑞士信贷、埃森哲印度、壳牌、喜力啤酒和联合国儿童基金会。
为了证实这些说法的真实性，网络快报联系了微软官员。截至撰写本文时，尚未收到任何回应，因此数据泄露的说法尚未得到证实。
微软因安全措施不足而受到批评
由于安全漏洞，微软最近受到了严格的审查。
2024年4月，发生重大数据泄露事件，敏感的员工凭证和公司内部文件在互联网上曝光，引发了对组织内部数据安全协议的严重担忧。数据泄露是通过托管在微软Azure云服务上的开放和公共存储服务器发现的。
据TechCrunch报道，微软的内部安全系统没有注意到或检测到数据泄露，这引发了对其监控机制有效性的质疑。
报告进一步强调，在线访问的数据包括大量敏感信息，如代码、脚本和配置文件，其中包含微软员工访问内部数据库和系统时使用的密码、密钥和凭据。
今年2月，微软用于云软件解决方案的Azure组件报告了“三个高风险漏洞”和一个可能导致远程代码执行(RCE)攻击的严重物联网设备漏洞。
上个月，尽管未能解决来自安全和隐私倡导者的担忧，微软继续推进新的Windows Recall屏幕记录功能。在受到批评后，该公司宣布将推迟召回功能以进行进一步测试。
微软总裁布拉德·史密斯(Brad Smith)今年6月在美国众议院国土安全委员会的听证会上表示，该公司本财年增加了1600名安全工程师，并将在下一财年新增800个安全职位，以加强网络安全措施。
声明:本平台收集的部分公开数据来源于互联网。转载的目的是为了传递更多信息并在网上分享，不代表本平台同意其观点并对其真实性负责，也不构成其他建议。如果您发现平台上的作品侵犯了您的知识产权，请与我们联系，我们将及时修改或删除。

Website operators who will be impacted by the upcoming change in Chrome for new TLS certificates issued after October 31, 2024 can explore continuity options offered by Entrust. Entrust has expressed its commitment to continuing to support customer needs, and is best positioned to describe the available options for website operators. Learn more at Entrust’s TLS Certificate Information Center.

The Chrome Security Team prioritizes the security and privacy of Chrome’s users, and we are unwilling to compromise on these values.

The Chrome Root Program Policy states that CA certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion. It also describes many of the factors we consider significant when CA Owners disclose and respond to incidents. When things don’t go right, we expect CA Owners to commit to meaningful and demonstrable change resulting in evidenced continuous improvement.

Over the past several years, publicly disclosed incident reports highlighted a pattern of concerning behaviors by Entrust that fall short of the above expectations, and has eroded confidence in their competence, reliability, and integrity as a publicly-trusted CA Owner.

In response to the above concerns and to preserve the integrity of the Web PKI ecosystem, Chrome will take the following actions.

在2024年10月31日之后发布的新TLS证书即将受到Chrome浏览器变化影响的网站运营商可以探索委托提供的连续性选项。托付已经表达了继续支持客户需求的承诺，并且最适合描述网站运营商的可用选项。在委托的TLS证书信息中心了解更多信息。

Chrome安全团队优先考虑Chrome用户的安全和隐私，我们不愿意在这些价值观上妥协。

Chrome根程序政策规定，包含在Chrome根存储中的CA证书必须为Chrome最终用户提供超过其继续包含的风险的价值。它还描述了当CA所有者披露和响应事件时我们认为重要的许多因素。当事情不顺利时，我们期望CA所有者承诺进行有意义的和可证明的更改，从而产生可证明的持续改进。

在过去的几年中，公开披露的事件报告强调了委托的相关行为模式，这些行为没有达到上述期望，并且削弱了对其作为公众信任的CA所有者的能力，可靠性和完整性的信心。

为了回应上述问题并维护Web PKI生态系统的完整性，Chrome将采取以下行动。

今天，我们宣布我们打算尽快终止对在线证书状态协议(OCSP)的支持，转而支持证书撤销列表(crl)。
Today we are announcing our intent to end Online Certificate Status Protocol (OCSP) support in favor of Certificate Revocation Lists (CRLs) as soon as possible.

OCSP和crl都是ca通信证书撤销信息的机制，但是crl比OCSP有明显的优势。
OCSP and CRLs are both mechanisms by which CAs can communicate certificate revocation information, but CRLs have significant advantages over OCSP.

Let 's Encrypt自近十年前推出以来一直提供OCSP响应器。
Let’s Encrypt has been providing an OCSP responder since our launch nearly ten years ago.

我们在2022年增加了对crl的支持。
We added support for CRLs in 2022.

网站和访问它们的人不会受到这一变化的影响，但一些非浏览器软件可能会受到影响。
Websites and people who visit them will not be affected by this change, but some non-browser software might be.

我们计划终止对OCSP的支持，主要是因为它对互联网上的隐私构成了相当大的风险。
We plan to end support for OCSP primarily because it represents a considerable risk to privacy on the Internet.

当有人使用浏览器或其他通过OCSP检查证书撤销的软件访问网站时，操作OCSP响应器的证书颁发机构(CA)立即意识到访问者的特定IP地址正在访问哪个网站。
When someone visits a website using a browser or other software that checks for certificate revocation via OCSP, the Certificate Authority (CA) operating the OCSP responder immediately becomes aware of which website is being visited from that visitor’s particular IP address.

即使CA有意不保留这些信息(Let’s Encrypt就是这种情况)，CA也可能在法律上被强制收集这些信息。
Even when a CA intentionally does not retain this information, as is the case with Let’s Encrypt, CAs could be legally compelled to collect it.

crl没有这个问题。
CRLs do not have this issue.

我们之所以采取这一步骤，还因为保持CA基础设施尽可能简单对于Let’s Encrypt的一致性、可靠性和效率的连续性至关重要。
We are also taking this step because keeping our CA infrastructure as simple as possible is critical for the continuity of compliance, reliability, and efficiency at Let’s Encrypt.

自我们成立以来的每一年，营运OCSP服务都占用了相当多的资源，而这些资源本可以更好地用于我们其他方面的运作。
For every year that we have existed, operating OCSP services has taken up considerable resources that can soon be better spent on other aspects of our operations.

现在我们支持crl，我们的OCSP服务就没有必要了。
Now that we support CRLs, our OCSP service has become unnecessary.

2023年8月，CA/浏览器论坛通过了一项投票，决定为公开信任的CA(如Let’s Encrypt)提供可选的OCSP服务。
In August of 2023 the CA/Browser Forum passed a ballot to make providing OCSP services optional for publicly trusted CAs like Let’s Encrypt.

除了一个例外，微软，根程序本身不再需要OCSP。
With one exception, Microsoft, the root programs themselves no longer require OCSP.

一旦微软根程序也使OCSP可选，我们乐观地认为这将在未来6到12个月内发生，Let 's Encrypt打算宣布关闭我们的OCSP服务的具体和快速时间表。
As soon as the Microsoft Root Program also makes OCSP optional, which we are optimistic will happen within the next six to twelve months, Let’s Encrypt intends to announce a specific and rapid timeline for shutting down our OCSP services.

我们希望在公告发布后的三到六个月内提供最后一次OCSP响应。
We hope to serve our last OCSP response between three and six months after that announcement.

了解这些计划更新的最佳方式是订阅我们在Discourse上的API announcement类别。
The best way to stay apprised of updates on these plans is to subscribe to our API Announcements category on Discourse.

我们建议现在依赖OCSP服务的任何人尽快开始结束这种依赖的过程。
We recommend that anyone relying on OCSP services today start the process of ending that reliance as soon as possible.

如果您使用Let 's Encrypt证书来保护非浏览器通信(如VPN)，则如果证书不包含OCSP URL，则应确保您的软件正常运行。
If you use Let’s Encrypt certificates to secure non-browser communications such as a VPN, you should ensure that your software operates correctly if certificates contain no OCSP URL.

幸运的是，大多数OCSP实现“打开失败”，这意味着无法获取OCSP响应不会破坏系统。
Fortunately, most OCSP implementations “fail open” which means that an inability to fetch an OCSP response will not break the system.

互联网安全研究小组(ISRG)是Let’s Encrypt、Prossimo和Divvi Up的上级组织。
Internet Security Research Group (ISRG) is the parent organization of Let’s Encrypt, Prossimo, and Divvi Up.

ISRG是一家501(c)(3)非营利组织。
ISRG is a 501(c)(3) nonprofit.

如果你想支持我们的工作，请考虑参与，捐赠，或鼓励你的公司成为赞助商。
If you’d like to support our work, please consider getting involved, donating, or encouraging your company to become a sponsor.

一组研究人员详细介绍了传输层安全(TLS)协议中的一个新的定时漏洞，该漏洞可能允许攻击者在特定条件下破坏加密并读取敏感通信。
这种服务器端攻击被称为“浣熊攻击”，它利用加密协议(1.2及更低版本)中的一个侧通道来提取用于双方之间安全通信的共享密钥。
研究人员在一篇论文中解释了他们的发现:“这个侧信道的根本原因是TLS标准鼓励对DH秘密进行非恒定时间的处理。”如果服务器重用临时密钥，这个侧通道可能允许攻击者通过解决隐藏数字问题的实例来恢复预主密钥。
然而，学者们表示，该漏洞很难被利用，并且依赖于非常精确的时间测量和特定的服务器配置来利用。
泄露密钥的定时攻击#
使用时间度量来破坏密码系统并泄漏敏感信息一直是许多定时攻击的核心，并且浣熊在TLS握手期间对Diffie-Hellman (DH)密钥交换过程采用相同的策略，这对于在公共网络上安全交易数据至关重要。
在交换过程中生成的共享密钥可以确保在互联网上的安全浏览，使用户可以通过保护通信免受窃听和中间人(MitM)攻击来安全访问网站。
为了打破这道安全墙，恶意方记录客户机和服务器之间的握手消息，用它向同一台服务器发起新的握手，然后测量服务器响应派生共享密钥所涉及的操作所需的时间。