安全简讯（2025.09.11）

1. 圣约瑟夫市遭严重网络攻击致数据泄露及服务瘫痪

9月8日，密苏里州圣约瑟夫市6月初遭遇重大网络攻击，导致网络服务长期瘫痪并可能泄露数千居民个人数据。事件于6月9日凌晨2:30首次被发现，市政府随即关闭所有网络并启动调查，确认攻击涉及数据泄露，影响包括警察局、卫生部门及市民付款系统等关键部门。调查显示，攻击导致手机通信中断、电子邮件无法访问、文件系统瘫痪，员工被迫使用个人设备处理公务，存在严重安全隐患。经电子调查确认，约11,000名居民的个人信息可能被未经授权获取，市政府已启动通知程序，提供信用监控及身份盗窃保护服务，并设立呼叫中心协助受影响居民。为应对事件，市政府投入超100万美元升级网络安全基础设施。尽管事件未导致公共服务中断，但内部运营混乱持续数周，部分流程至今未完全恢复。例如，警察局每日案件报告自6月8日起停止发布，影响公众知情权。此外，员工使用个人设备处理公务引发数据安全担忧，市政府已禁止此类行为。

https://www.newspressnow.com/news/top-stories/2025/09/08/city-of-st-joseph-hit-by-cyberattack-data-potentially-acquired/

2. Tenable遭Salesforce供应链攻击泄露客户数据

9月8日，Tenable公司近日确认发生数据泄露事件，部分客户联系信息及支持案例数据遭未经授权访问。此次事件源于针对Salesforce与Salesloft Drift营销应用集成的广泛数据盗窃活动，该漏洞已影响多家知名企业。泄露数据仅限于Tenable的Salesforce环境，具体包括客户姓名、商业邮箱、电话号码、账户区域位置信息，以及支持案例的主题行和初始描述。Tenable强调其核心产品及数据未受影响，但事件暴露了企业业务平台中第三方应用集成存在的安全隐患。经调查，此次攻击与安全专家追踪的复杂攻击活动相关，攻击者利用Salesforce与Salesloft Drift集成漏洞，窃取多家公司的Salesforce实例数据。事件发生后，Tenable迅速采取应对措施：撤销并轮换可能泄露的凭证，禁用Salesloft Drift及相关集成应用，强化Salesforce环境及其他连接系统的安全防护，应用已知危害指标（IoC）识别恶意活动，并持续监控SaaS解决方案以检测异常。公司呼吁客户保持警惕，遵循安全专家建议保护系统。

https://cybersecuritynews.com/tenable-confirms-data-breach/

3. Dynatrace遭Salesforce供应链攻击致客户数据泄露

9月9日，软件智能巨头Dynatrace近日承认，在2025年最大规模的供应链黑客攻击事件中，其客户数据因第三方工具漏洞遭到泄露。此次事件源于一款广泛使用的人工智能营销聊天机器人Salesloft Drift与Salesforce CRM系统的集成漏洞。黑客通过该漏洞非法访问了Dynatrace的Salesforce实例，导致客户姓名、公司标识符等业务联系数据外泄。Dynatrace强调，其核心产品及服务系统未受影响，仅涉及客户管理和营销用途的CRM平台。作为总部位于美国与奥地利的跨国企业，Dynatrace的客户群体涵盖政府、航空及金融领域，包括加拿大航空、澳大利亚政府、道明银行等知名机构，年收入达15.1亿欧元。此次事件并非孤立案例，而是近期针对Salesforce生态的连锁攻击浪潮的一部分。调查显示，攻击者通过滥用Salesloft Drift与Salesforce及其他平台的集成接口，实现了对多组织敏感数据的横向渗透。黑客组织联盟“Scattered LapSus$ Hunters”宣称对此次攻击负责。事件发生后，Salesloft已暂时下线Drift应用程序，Dynatrace则迅速禁用相关集成并强化系统安全。

https://cybernews.com/security/dynatrace-salesloft-drift-breach/

4. KillSec勒索软件引发巴西医疗供应链数据泄露危机

9月10日，KillSec勒索软件组织宣称对巴西医疗保健软件提供商MedicSolution的网络攻击负责，并威胁若不立即谈判将泄露敏感数据。此次事件根源在于医疗机构AWS S3存储桶配置不当，导致数据泄露窗口长达数月，被视为巴西医疗行业首例重大供应链安全事件。该组织此前已多次针对巴西：曾泄露政府部门个人及企业数据（含CNPJ/CPF标识符、银行信息），但未明确全部范围。本次攻击中，被盗数据超34GB，包含94,818个文件，涉及实验室结果、X射线图像、患者未删节照片及未成年人记录等隐私信息。Resecurity确认患者均未察觉泄露，凸显隐蔽性危害。KillSec在袭击巴西前，已入侵哥伦比亚、秘鲁、美国等多个医疗机构，医疗数据因包含身份、病史、保险及支付信息，成为高价值目标。

https://securityaffairs.com/182063/cyber-crime/killsec-ransomware-is-attacking-healthcare-institutions-in-brazil.html

5. 欧洲DDoS缓解服务商遭史上最高数据包速率攻击

9月10日，欧洲一家DDoS缓解服务提供商遭遇大规模分布式拒绝服务攻击，攻击速度达到每秒15亿个数据包（1.5 Gpps），成为公开披露的最大数据包速率洪水攻击之一。此次攻击源自数千台受感染的物联网设备和MikroTik路由器，由网络安全公司FastNetMon成功缓解。FastNetMon在新闻稿中指出，恶意流量主要为UDP洪水攻击，影响全球超过11,000个独特网络。攻击目标虽未公开，但被描述为一家DDoS清洗提供商，其服务通过数据包检查、速率限制、验证码和异常检测等技术过滤恶意流量。此次攻击被实时检测后，通过在边缘路由器部署访问控制列表（ACL）等措施实现缓解。值得注意的是，此次攻击发生前几日，互联网基础设施巨头Cloudflare宣布阻止了史上最大规模DDoS攻击，峰值达每秒11.5太比特（Tbps）和51亿个数据包（Bpps）。两次攻击均旨在耗尽接收端处理能力，导致服务中断。FastNetMon创始人Pavel Odintsov强调，此类大规模攻击趋势已极度危险，需在互联网服务提供商（ISP）层面实施干预，阻止受感染消费级硬件被大规模武器化。

https://www.bleepingcomputer.com/news/security/ddos-defender-targeted-in-15-bpps-denial-of-service-attack/

6. Hello Gym数据库泄露事件：百万会员录音暴露

9月10日，明尼苏达州健身技术服务公司Hello Gym管理的未受密码保护数据库发生严重数据泄露，其中包括2020年至2025年超160万份健身房会员的电话录音和语音邮件。研究员Jeremiah Fowler发现，该数据库存储于无保护区域，无需认证即可获取包含顾客姓名、电话号码及致电原因等个人身份信息（PII）的1,605,345个音频文件，涉及美国、加拿大多地健身房，部分记录提及知名健身品牌。此次泄露源于第三方承包商Hello Gym的安全疏漏，尽管公司自身不直接录音，但独立加盟商使用的第三方服务由其管理，导致敏感数据暴露。事件在研究人员披露后数小时内被修复，但暴露时长及是否被他人访问仍未知。泄露的音频数据具有极高风险价值。诈骗者可利用录音中的具体细节实施鱼叉式网络钓鱼，冒充健身房工作人员诱骗会员泄露支付信息或敏感数据；语音邮件中的个人信息可被用于社会工程攻击，建立信任后骗取更多隐私；更严重的是，人声录音可被用于制作“深度伪造”音频，实施身份冒充或金融诈骗。

https://hackread.com/hello-gym-data-leak-audio-files-of-gym-members/