分类: 数据泄露

美国外卖服务 DoorDash 数据泄露:影响 490 万人

北京时间9月27日早间消息,美国外卖服务DoorDash周四宣布,一项安全漏洞暴露了该公司大约490万客户、商家和送货员的个人数据。 这家总部位于旧金山的公司在一份声明中说,此次泄露的信息可能包括大约10万名送货工人的驾驶执照号码,其他数据可能包括“姓名、电子邮件地址、交货地址、订单历史记录、电话号码”等。 该公司还在声明说,一些消费者支付卡的最后四位数字也可能被暴露出来,但其中没有包含足够的数据来进行欺诈性收费。送货员和商家的银行帐号最后四位数可能已被他人访问。但该公司表示,该信息不足以进行欺诈性提款。 DoorDash表示已采取其他措施来保护存储在其系统中的数据。该公司称,此次泄露的数据仅限于在2018年4月5日或之前加入公司平台的客户、商家和送货员。 DoorDash表示,他们本月初已意识到该漏洞,并于5月4日确定“未经授权的第三方访问了DoorDash的某些用户数据”。 DoorDash的一位发言人表示,该数据泄露行为涉及第三方服务提供商,目前正在进行调查。   (稿源:cnBeta,封面源自网络。)

诺基亚员工意外泄露了俄罗斯电信运营商 SORM 监控设备的秘密

外媒刚刚揭示了俄罗斯电信运营商机房中神秘的 SORM 监控设备,据说它们被安插在各个城市的带锁房间,并且直连该国某些大型电信运营商的电话和互联网络。这些设备的大小与一台洗衣机相当,可容纳来自俄罗斯安全部门的特殊设备,收集来自数以百万计的用户的电话和信息。尽管有着相应的强制性法律要求,但这套系统的主要功能还是处于严格的保密状态。 (SORM 设备谍照) 由目前已曝光的一些文件可知,这套系统和监控客户的电话、消息、数据和移动电话系统。据说这些文件是在诺基亚员工使用的无保护备份驱动器网络上找到的 这些文件是在 Nokia Networks(前身为诺基亚-西门子通信公司)员工拥有的无保护备份驱动器上找到的,双方有着长达十年的合作关系,对 MTS 网络实施维护和升级,以确保其符合 SORM 标准。 在发现了相关文件流出后,安全企业 UpGuard 网络风险研究主管 Chris Vickery 向诺基亚汇报了这一安全失误。在周三发布的一份报告中,UpGuard 称诺基亚在四天后找到了泄露来源。 (MTS 示意图)   诺基亚发言人 Katja Antila 在一份声明中称:“我司现任员工将包含旧工作文件的 USB 驱动器连接到了家用 PC 上,但由于错误的配置,导致其 PC 与 USB 驱动器无需身份验证,即可被互联网上的其他人所访问”。 在注意到此事后,诺基亚已经与该名员工取得了联系、断开了机器的连接、并将其带回了公司,目前相关调查正在进行之中。据说本次暴露的数据接近 2TB,其中主要包含了来自诺基亚公司内部的文件。 从外媒获悉的部分内容可知,Nokia Networks 参与了电信 / 互联网服务提供商提供的“合法拦截”项目。根据俄罗斯法律要求,大型电信运营商必须安装所谓的 SORM 设备。 (一份神秘的 SORM 设备部署楼层平面图) 据悉,SORM 全称为“可操作活动调查系统”的首字母缩写,最初于 1995 年作为合法的拦截系统进行开发,允许俄罗斯联邦安全局(FSB)依法访问电信运营商的数据,涵盖通话记录等内容。 过去十年,调整后的法规允许政府建立扩展到互联网服务提供商和网络公司,后者被迫安装了可以拦截网络流量和电子邮件的 SORM 设备,甚至有几家科技企业因未安装而遭到了俄罗斯互联网监管机构的处罚。 事实上,大多数国家(包括英美)都有相关的法律要求电信运营商安装合法的拦截设备。不过 Nokia Networks 宣称其仅参与了其中的一部分,并且会在将设备售往有潜在风险地区时作出充分的合规性评估。     (稿源:cnBeta,封面源自网络。)  

数据库泄露了厄瓜多尔大多数公民的数据 其中包括 670 万儿童

ZDNet了解到,由于数据库配置错误,厄瓜多尔大部分人口(包括儿童)的个人记录已在网上曝光。两周前,vpnMentor安全研究人员Noam Rotem和Ran Locar发现了这个数据库泄露。这应该是厄瓜多尔历史上最大的数据泄露事件之一,厄瓜多尔是一个拥有1660万公民的南美小国。 这次泄露的数据库总共包含大约2080万个用户记录,这个数据库记录的数量大于该国家的总人口数,其中原因可能来自重复记录或较旧的条目,包含死者的数据。这项数据分布在不同的索引中。这些索引包含不同的信息,其中存储了用户详细信息,如姓名,家庭成员,民事登记数据,财务和工作信息,以及汽车所有权数据。 根据这些索引的名称,整个数据库可以根据数据的假定来源分为两大类。有一些数据似乎是从政府来源收集的,还有一些数据似乎是从私人数据库收集的。这些数据包含公民全名、出生日期、出生地、家庭住址、婚姻状况、塞杜拉细节(国家身份证号码)、工作/工作信息、电话号码和教育程度等条目。 然而,事情并没有就此停止。安全研究人员发现整个数据库当中也包含大量儿童信息,有些儿童甚至是今年春季才出生。具体来说,其中包含大约677万个18岁以下儿童条目。这些条目包含姓名、出生地、家庭住址和性别等信息。   (稿源:cnBeta,封面源自网络。)

黑客利用“Simjacker”漏洞窃取手机数据 或影响 10 亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。 据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。 AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。 研究人员透露,攻击每天都在发生,在 7 天的时间里,有几个电话号码被追踪了数百次。 虽然检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围已经扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动等等。   (稿源:cnBeta,封面源自网络。)

拥有上百万名用户的月经追踪应用被指将敏感数据分享给 Facebook

据外媒报道,一项新的研究发现,经期追踪应用正在向Facebook发送有关女性健康和性行为的敏感个人信息。总部位于英国的倡导组织Privacy International跟外媒BuzzFeed News分享了这一调查结果。 该组织发现,包括MIA Fem、Maya在内的数款月经跟踪应用会将女性避孕措施的使用情况、月经周期、腹部绞痛等症状等信息直接发送到Facebook上。 女性使用这类应用的目的多种多样,从跟踪月经周期到最大化怀上孩子的几率等等。在Google Play应用商城中,由印度Plackal Tech公司持有的Maya拥有超500万的下载量。塞浦路斯的Mobapp开发有限公司旗下的月经追踪软件MIA Fem: Ovulation Calculator表示,该公司在全球拥有200多万名用户。 据了解,这些应用跟Facebook的数据共享则是通过Facebook的软件开发工具包(SDK)实现。该SDK可以帮助应用开发人员整合特定功能并收集用户数据,这样Facebook就可以向他们展示有针对性的广告和其他功能。当用户将个人信息放入到应用时,这些信息就有可能由SDK发送给Facebook。 当被问及该报道时,Facebook告诉BuzzFeed News,它已经跟Privacy International指明的应用取得了联系并就可能违反其服务条款的行为展开讨论。 Privacy International发现,只要Maya用户打开应用,该应用就会通知Facebook甚至在用户同意应用隐私政策之前就开始将数据分享给Facebook。 分析发现,该应用还会分享用户输入的关于避孕使用情况的数据以及她们的情绪。另外,应用还会要求用户输入有关他们何时发生过性行为以及使用了何种避孕措施的信息。同样的,这些信息也被分享给了Facebook。 通常情况下,广告商对人们的情绪非常感兴趣,因为这有助于他们在更有可能购买的时候有策略地针对他们投放广告。怀孕或想要怀孕的女性可能就会改变她们的购物习惯。   (稿源:cnBeta,封面源自网络。)

4 亿个账户信息泄露!Facebook 再曝安全丑闻

据外媒报道,一个拥有超4.19亿条来自Facebook用户记录的公开服务器在网上被发现。该服务器没有采取任何密码保护措施,这意味着任何人都能访问。据了解,这个服务器拥有1.33条来自美国Facebook用户、1800万条来自英国用户、5000万条来自越南用户的记录。 记录包含了每位用户在Facebook上的唯一ID以及账号中列出的手机号码。Facebook ID是跟可以发现一个人用户名相关账号的独特数字。 由于Facebook在一年多钱限制了对手机号码的访问,所以现在曝光的这些数据比较老。Facebook一位发言人表示,这些数据是在Facebook切断手机号码访问之前被窃取的并称这些数据集“老旧”。 外媒TechCrunch可以通过将一个已知Facebook用户的手机号码跟一个列出的Facebook ID相匹配以此来验证数据库中的多条记录。其他记录则可通过将手机号码跟Facebook的密码重置功能相匹配来验证。虽然这些记录主要包含的是手机号码,但在某些情况下它还包含了用户名、性别和国家位置。 据悉,这个数据库最初由安全研究员Sanyam Jain发现,他表示他能找到几个名人的电话号码。目前还不清楚谁拥有这个数据库,也不清楚它来自哪里,但在TechCrunch联系了这个网站host后其被下线。目前还不清楚这些数据为何会从Facebook上被盗走,也不清楚这些数据的用途。   (稿源:cnBeta,封面源自网络。)

人气网络漫画 XKCD 论坛遭网络攻击:大量用户数据被盗

据外媒报道,黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击,此前,负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在,这个论坛已经下线。 论坛方面表示,等到他们能够检查漏洞并确保论坛已经安全之后才会重新上线这个论坛。“如果你是echochamber.me/xkcd用户,那么你应当立即更改你使用了同一个或类似密码的另一个账号的密码。” XKCD是Randall Munroe创作的流行网络漫画,其已经有14年的历史、主要关注科技、科学和互联网文化。Munroe还以其现在的标志性简笔人物画风格出过几本书,包括《How To》、 《Thing Explainer》、《What If》。 Hunt表示,这些数据由白帽子公安全研究员Adam Davies发现。   (稿源:cnBeta,封面源自网络。)

苹果对 Siri 隐私问题道歉:将不再保留 Siri 互动录音

北京时间8月28日晚间消息,苹果公司今日在官网上发表声明称,为打消用户的顾虑,将对Siri进行一些更改。在默认情况下,苹果将不再保留Siri互动的录音。 英国《卫报》(The Guardian)上个月曾报道称,苹果的承包商每人每天要监听约1000条Siri录音,并将其发送回苹果进行研究。报道称,苹果这样做是为了让Siri更好地满足用户的需求。 对于这种行为,苹果8月2日宣布,已暂停使用承包商来监听Siri的录音,苹果不再需要总部位于爱尔兰的承包公司GlobeTech提供的服务。 今日,苹果又发表声明称,隐私是一项基本人权,苹果设计的产品和服务是为了保护用户的个人数据。Siri是一款开创性的智能助手,其目标是为用户提供最佳体验,但前提是要保护好用户隐私。“我们意识到我们并没有完全实现我们的崇高理想,为此我们深表歉意。” 为此,苹果决定对Siri进行一些改进。首先,默认情况下,我们将不再保留Siri互动的录音。我们将继续使用计算机生成的副本(transcripts )帮助Siri改进。 其次,用户将可以选择主动参与来帮助改进Siri,主要是利用用户请求的音频样本进行学习。苹果希望更多的用户会选择帮助Siri变得更好,因为他们知道苹果尊重他们的数据,并且有强大的隐私控制。当然,那些选择参与的用户可以随时选择退出。 第三,当用户选择加入时,只有苹果员工才能收听Siri互动的音频样本。我们的团队将努力删除任何被确定为无意中触发Siri的记录。   (稿源:新浪科技,封面源自网络。)

荷兰称 Windows 10 远程收集用户数据 或违反隐私法

北京时间8月27日晚间消息,据路透社报道,荷兰数据保护局(DPA)今日表示,微软远程收集Windows 10家庭版和专业版用户的数据,这可能违反了荷兰的隐私保护法。 事实上,DPA早在2017年10月就曾表示,Windows 10违反了该国的数据保护法。在使用默认设置时,微软不断收集有关应用程序的使用记录。 DPA今日表示,虽然微软按照要求在去年对相关设置进行了而调整。但在测试这些调整后的隐私保护措施时,又发现了新的问题。 DPA称:“测试发现,微软还远程收集用户的其他信息。因此,微软还是潜在地违反了隐私保护法。” DPA还表示,已将这一发现转交给爱尔兰数据保护机构,因为微软在爱尔兰设有欧洲总部。 微软对此表示,公司始终致力于保护用户隐私。最近几年,微软已针对个人和小企业用户对Windows 10的隐私功能进行了改进。 微软说:“有机会进一步改进我们为用户提供的工具和选择,我们也很高兴。” 早在2017年1月,瑞士数据保护机构“瑞士联邦数据保护与信息委员会”曾表示,经调查发现,Windows 10因自动上传用户隐私信息而违反了瑞士的数据保护法。   (稿源:新浪科技,封面源自网络。)

12 万人数据被泄露?雪球回应:已进行核实

8月21日消息,今日网上流传称雪球网数据泄露,涉及12万人的数据只卖75美元,包含姓名,身份证,手机,账号/邮箱,密码,持股前3支,持股数,交易风格。对此雪球回应称,不会以任何方式将个人信息泄露给第三方,对此问题已进行核实。 雪球网还称,会持续提升对用户信息的保护能力。 近年有部分企业发生数据泄露事件,2018年8月,有人在暗网出售华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,9月犯罪嫌疑人被抓。同年12月,有人在网上宣称12306平台旅客信息泄露,低价出售60万账户信息、410万联系人数据,还免费公开部分账号供买家验证。   (稿源:网易科技,封面源自网络。)