安全简讯（2025.10.09）

1. 雷诺及达契亚客户数据因第三方泄露遭窃

10月3日，英国雷诺与达契亚近日向客户发出通知，称因第三方供应商遭受网络攻击，导致部分客户敏感信息泄露。雷诺作为年营收超550亿美元、拥有17万名员工、年产量220万辆的法国汽车巨头，其子公司达契亚以实惠可靠的车型闻名。此次事件源于未具名的第三方供应商系统被入侵，泄露数据包括客户姓名、性别、电话号码、电子邮件、邮政地址、车辆识别号码及登记号码等，但银行或财务信息未受波及。攻击者可能利用这些信息进行钓鱼攻击、诈骗或社会工程攻击。雷诺强调，目标公司已隔离事件并清除威胁，英国信息专员办公室（ICO）等当局已获知情况。雷诺表示因合同限制无法透露供应商信息，且受影响客户数量暂不明确。雷诺建议受影响客户警惕未请求的电话和邮件，切勿透露密码。

https://www.bleepingcomputer.com/news/security/renault-and-dacia-uk-warn-of-data-breach-impacting-customers/

2. 佛罗里达医生影像集团超17万人数据泄露

10月6日，美国佛罗里达州医生影像集团（Doctors Imaging Group）近日披露一起大规模数据泄露事件。该集团在帕拉特卡和盖恩斯维尔设有办事处的放射科诊所，于2024年11月5日至11日期间遭黑客入侵网络系统，攻击者成功复制部分文件。经过近一年的调查，该机构于2025年8月下旬完成调查并通报美国卫生与公众服务部（HHS），确认此次事件影响超过17.1万人。泄露数据涵盖患者敏感信息，包括姓名、地址、出生日期、社会安全号码、金融账号、病历号、健康保险信息及医疗索赔记录等。尽管目前尚无证据表明银行或财务信息被窃，但社会安全号码等核心身份信息的泄露，已使受影响者面临身份盗窃、金融诈骗及精准医疗诈骗的重大风险。值得注意的是，该事件未明确是否涉及勒索软件攻击，亦无已知网络犯罪团伙宣称对此负责。医生影像集团在通知中强调，已采取措施隔离受影响系统并清除威胁，但受限于合同条款及调查进展，暂无法披露具体受影响客户数量及涉事第三方供应商身份。集团建议受影响客户密切监控个人账户异常，警惕钓鱼邮件及未授权通信，并定期更新密码。

https://www.securityweek.com/data-breach-at-doctors-imaging-group-impacts-171000-people/

3. Rainwalk宠物保险泄露158 GB美国客户和宠物数据

10月6日，南卡罗来纳州宠物服务公司Rainwalk Pet因数据库配置错误导致大规模数据泄露，网络安全研究员Jeremiah Fowler发现该未设密码保护或加密的158GB数据库后，通过Website Planet证实事件真实性。此次泄露涉及约8.5万份文件，包含宠物保险索赔、兽医账单等敏感记录，具体暴露客户姓名、电话、地址、邮箱及部分信用卡号，以及宠物姓名、品种、病史、芯片号码等深度信息。值得注意的是，数据库在被安全加固前曾持续可访问近一个月，实际暴露时长及是否遭恶意访问仍待查证。此次事件凸显宠物数据与个人身份信息（PII）关联后的高风险性，宠物信息缺乏直接法律保护，但当与PII结合时，却成为网络犯罪分子眼中的“高价值目标”。例如，犯罪分子可利用泄露的微芯片号码发送“续费”诈骗邮件，或通过伪造兽医账单实施精准欺诈；保险公司亦面临虚假索赔导致的财务损失风险。更严峻的是，Rainwalk Pet曾建议客户通过发送二维码至Venmo获取退款，这一流程存在被犯罪分子截留付款的风险。

https://hackread.com/rainwalk-pet-insurance-158-gb-customer-pet-data/

4. 麒麟勒索软件攻击梅克伦堡县公立学校

10月7日，近日，俄罗斯网络犯罪组织麒麟宣称对弗吉尼亚州梅克伦堡县公立学校（MCPS）的勒索软件攻击负责。该事件导致学校运营严重受阻，教师被迫使用纸笔和白板教学，互联网系统中断一周后恢复。麒麟声称窃取了305GB敏感数据，涵盖财务记录、拨款文件、预算及儿童医疗档案，并发布样本图片佐证。学区负责人斯科特·沃纳证实攻击者身份，但明确表示“不打算支付赎金”，最终决策将取决于调查结果及文件加密/泄露程度。麒麟组织自2022年底以“勒索软件即服务（RaaS）”模式运营，通过钓鱼邮件传播恶意软件，附属成员瓜分赎金。2025年，该组织已宣称对103起确认事件和470起未经证实事件负责，教育机构成为主要目标。除MCPS外，西新墨西哥大学、博特托特县公立学校等也遭攻击。

https://www.infosecurity-magazine.com/news/qilin-ransomware-mecklenburg/

5. 电子巨头安富利确认数据泄露，被盗数据无法读取

10月7日，电子元件分销商安富利近日证实遭遇数据泄露，但强调其专有销售工具未受影响，且未经该工具无法读取大部分被盗数据。事件源于外部托管云存储遭未授权访问，该存储支持EMEA（欧洲、中东、非洲）地区内部销售工具。威胁行为者宣称窃取1.3TB压缩数据（相当于7-12TB原始数据），涵盖EMEA及其他地区运营细节，包括历史销售点记录、潜在销售机会、客户联系方式（如员工邮箱）及部分个人身份信息（PII）。安富利指出，若数据属GDPR定义的敏感信息则未泄露，纯文本样本已证实存在PII，但整体影响有限。安富利于9月26日发现漏洞后，迅速在Azure/Databricks环境中轮换所有机密，当晚完成操作且未发现后续未授权活动。事件仅限EMEA地区单个系统，未扰乱全球运营。黑客在暗网建立泄密网站，发布样本施压赎金支付，安富利明确拒绝并强调“经济利益驱动”的攻击性质。公司已向监管部门通报，并将直接联系受影响客户和供应商，但受影响人数尚不明确。

https://www.bleepingcomputer.com/news/security/electronics-giant-avnet-confirms-breach-says-stolen-data-unreadable/

6. Clop团伙利用Oracle EBS零日漏洞发起数据盗窃攻击

10月7日，据网络安全公司CrowdStrike披露，Clop勒索软件团伙自2025年8月初起，持续利用Oracle电子商务套件（EBS）的关键零日漏洞CVE-2025-61882实施数据盗窃攻击。该漏洞位于EBS并发处理组件的BI Publisher Integration模块，允许未经身份验证的攻击者通过单个HTTP请求实现远程代码执行，无需用户交互且攻击复杂度低。Oracle已于周末发布补丁修复此漏洞，但漏洞链特性使其仍具高危性。CrowdStrike评估认为，除Clop外，威胁组织Graceful Spider可能也参与了攻击，且不排除其他熟悉Oracle EBS的威胁行为者加入。首次已知攻击发生于8月9日，但调查仍在进行中。10月3日漏洞概念验证（PoC）披露后，威胁行为者可能加速开发武器化PoC，针对暴露在互联网的EBS应用发起攻击。Oracle已紧急敦促客户优先修补漏洞，强调持续使用受支持版本并立即应用安全更新。

https://www.bleepingcomputer.com/news/security/oracle-zero-day-exploited-in-clop-data-theft-attacks-since-early-august/