Substack数据泄露:69万用户信息遭窃
发布时间 2026-02-061. Substack数据泄露:69万用户信息遭窃
2月5日,新闻通讯平台Substack披露,其系统在2025年10月遭遇数据泄露,攻击者非法访问了包含电子邮件地址、电话号码及内部元数据在内的有限用户数据,但未获取信用卡号、密码等敏感财务信息。尽管事件发生四个月后才被发现,首席执行官克里斯·贝斯特在通知中强调已修复系统漏洞,并警告用户警惕潜在网络钓鱼攻击。据威胁行为者在BreachForums黑客论坛公开的信息,此次泄露涉及697,313条数据记录,攻击者称“抓取方法存在噪声且已快速修复”。Substack虽未公布受影响用户总数,但承认存在数据泄露风险,并呼吁用户对可疑邮件或短信保持高度警惕。公司表示无证据显示被盗信息已被滥用,但已采取措施加强系统安全。这并非Substack首次出现数据安全问题。2020年7月,该平台在发送隐私政策更新邮件时,因错误使用“收件人”字段而非“密送”,导致部分用户邮箱地址被公开泄露。
https://www.bleepingcomputer.com/news/security/newsletter-platform-substack-notifies-users-of-data-breach/
2. 西班牙科学部因网络攻击部分关闭IT系统
2月5日,西班牙科学、创新和大学部近日宣布部分关闭其IT系统,此举将影响多个面向公民和企业的服务。作为负责科学政策、研究、创新及高等教育的政府机构,该部门还维护着处理研究人员、大学和学生敏感信息的行政系统。此次关闭是对一起“技术事件”的回应,但官方未透露更多细节。据网络攻击者“戈登·弗里曼”声称,其利用严重的“不安全直接对象引用(IDOR)”漏洞入侵了该部门系统,并获得了“完全管理员级别访问权限”。该攻击者在地下论坛兜售据称从西班牙科学部窃取的数据,包括个人记录、电子邮件地址、入学申请及官方文件截图。为证明入侵事实,攻击者还公布了数据样本。然而,相关论坛目前已下线,且数据尚未出现在其他平台。西班牙科学部网站主页公告显示,由于“技术事故”,其电子总部已部分关闭,所有行政程序暂停,但会保障受影响者的权利和合法权益。西班牙媒体报道称,该部门发言人已证实此次IT系统中断与网络攻击有关。
https://www.bleepingcomputer.com/news/security/spains-ministry-of-science-shuts-down-systems-after-breach-claims/
3. 勒索软件滥用合法虚拟平台托管恶意载荷
2月5日,网络安全公司Sophos在调查"WantToCry"勒索软件攻击时发现,勒索软件运营者正大规模滥用合法虚拟基础设施管理提供商ISPsystem的虚拟机(VM)托管和投放恶意载荷。研究人员注意到,攻击者使用的Windows虚拟机主机名高度一致,指向ISPsystem旗下VMmanager平台的默认模板,该平台为主机托管服务商提供虚拟服务器管理功能,支持快速部署Windows或Linux虚拟机。进一步调查显示,LockBit、Qilin、Conti、BlackCat/ALPHV等知名勒索软件组织,以及RedLine、Lummar信息窃取程序活动,均在其基础设施中使用了相同的VMmanager默认主机名。Sophos指出,VMmanager的默认Windows模板在每次部署时会重复使用相同主机名和系统标识符,这一设计漏洞被部分托管服务商恶意利用,他们明知客户从事网络犯罪活动,仍提供服务并忽视下架请求,将恶意系统隐藏在大量无害虚拟机中,使溯源和清除变得困难。
https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-ispsystem-vms-for-stealthy-payload-delivery/
4. 罗马La Sapienza大学遭勒索软件攻击致系统瘫痪
2月5日,罗马La Sapienza大学近日遭遇网络攻击,其IT系统遭受严重破坏,导致教育机构运营大范围中断。作为欧洲在校学生人数最多的大学,该校拥有超过112,500名注册学生,此次事件对其教学、行政及科研活动造成重大影响。该校本周早些时候在社交媒体首次披露事件,称其IT基础设施“已成为网络攻击的目标”,并作为预防措施立即关闭网络系统以保障数据完整性和安全性。截至发稿时,大学网站仍无法访问,Instagram最新状态显示学校正全力从攻击中恢复,并设立临时“信息点”为学生提供无法通过数字系统访问的信息。据意大利《晚邮报》报道,此次攻击由亲俄威胁行为者Femwar02实施,系勒索软件攻击导致数据加密。该勒索软件特征与Bablock/Rorschach类似,最早出现于2023年,以加密速度快、自定义选项丰富著称,由泄露的Babuk、LockBit v2.0和DarkSide部分源代码构建而成。目前,该校技术人员正与意大利网络安全事件响应小组(CSIRT)、国家网络安全局(ACN)及邮政警察专家合作,从未受影响的备份中恢复系统。
https://www.bleepingcomputer.com/news/security/italian-university-la-sapienza-goes-offline-after-cyberattack/
5. 罗马尼亚Conpet石油管道遭麒麟勒索软件攻击
2月5日,罗马尼亚国家石油管道运营商Conpet近日披露,周二发生的网络攻击导致其企业IT基础设施受损、网站瘫痪,但核心业务系统如SCADA和电信系统未受影响,原油及汽油运输等核心运营仍正常运作。该公司运营近4000公里管道网络,向全国炼油厂供应原油及其衍生物,事件未中断其合同履行能力。Conpet在周三新闻稿中表示,正与国家网络安全机构合作调查事件并恢复系统,同时已向有组织犯罪和恐怖主义调查局(DIICOT)提起刑事诉讼。尽管运营技术系统安全,但公司网站www.conpet.ro仍无法访问,恢复时间未定。麒麟勒索软件团伙已声称对此次攻击负责,并在暗网泄露网站中将Conpet列为受害者。威胁行为者宣称窃取近1TB文件,包括财务信息、护照扫描件等内部文件照片作为证据。若数据被进一步传播或出售,可能引发二次安全风险。
https://www.bleepingcomputer.com/news/security/romanian-oil-pipeline-operator-conpet-discloses-cyberattack-qilin-ransomware/
6. SystemBC恶意软件僵尸网络卷土重来
2月5日,网络安全公司Silent Push近日发出警告,SystemBC恶意软件加载程序在执法部门“终局行动”打击后仍存续,并已将超10,000台计算机纳入僵尸网络。该恶意软件自2019年起活跃,别名Coroxy和DroxiDat,以充当后门、滥用受感染机器进行流量代理及传播勒索软件等恶意载荷闻名,曾于2024年5月成为国际执法部门重点打击目标。尽管执法部门协调行动,但SystemBC开发者仍在俄语地下论坛发布更新信息,僵尸网络活动未停止。当前超1万个IP地址关联SystemBC流量,其中美国占比最高(4300个),德国(829个)、法国(448个)、新加坡(419个)和印度(294个)亦发现大量受害者。该恶意软件主要针对托管服务提供商,布基纳法索和越南官方域名托管的IP地址中,SystemBC感染密度显著。技术层面,SystemBC采用轮换架构,客户端连接暴露于互联网的C&C服务器,通过受感染主机代理流量,将机器转化为SOCKS5代理以隐藏恶意基础设施并获取经济利益。
https://www.securityweek.com/systembc-infects-10000-devices-after-defying-law-enforcement-takedown/
京公网安备11010802024551号