分类: 数据泄露

泰国最大 4G 移动运营商 TrueMove H 遭遇 AWS S3 存储桶数据泄露

据外媒 4 月 15 日报道,泰国最大 4G 移动运营商 TrueMove H 于近期遭遇了数据泄露,一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上,其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示,其子公司 I True Mart 遭受到了此次泄露的影响。 安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers,例如此次事件,Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H,但该操作人员并没有做出回应。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

超 15 亿敏感文件被曝光 快检查你的信息安全

据 digital shadows 报道,在三个月的时间内有超过 15 亿个敏感文件被公开在网上,其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的,而是由配置错误的云存储、文件交换协议和文件共享服务导致的。 此次被曝光数据量高达 12,000 TB,这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储(NAS)驱动器上就可以轻易获得。 其中来源于 Amazon S3 Bucket 的占了 7%,SMB 占了 33%,Rsync 占了 28%,FTP 占 26%。 更加震惊的是,这些数据中有一些高度敏感的信息,例如安全审计报告、网络基础架构详细信息,甚至是渗透测试报告!Digital Shadows 称:“对这些被公开的文件进行分析表明,组织和个人在无意中暴露了大量的信息,这些数据会使具有恶意的攻击者受益,包括间谍和经济罪犯。”不论是个人还是组织,都应该尽快检查自己的信息安全状况。 稿源:cnBeta、开源中国,封面源自网络;

FB 泄露影响 31 万澳洲人 但实际只有 53 人用了测试 App

Cambridge Analytica 曾经利用个性测试 App 收集 Facebook 用户数据,不过只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 31 万,也就是说绝大多数人并没有直接同意 Cambridge Analytica 收集自己的个人数据。周一时,Facebook 开始联系全球受影响的用户,数量高达 8700 万,当中有些人来自澳大利亚。 Facebook 告诉受影响的用户,说他们的个人数据被分享给 Cambridge Analytica。大规模数据泄露的罪魁祸首是一个不知名的个性测试 App,名叫“ thisisyourdigitallife ”,它收集参与者及其朋友的个人信息。 《卫报》澳大利亚版报道称,只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 311127 人,也就是说当中绝大多数只是 App 用户的朋友,他们有的在澳大利亚,有的在国外,根本没有同意 App 收集自己的数据。这一数字让安全专家感到吃惊。 新西兰的情况也一样。在本次泄露事故中,有 6.4 万个新西兰帐户受到影响,但是下载个性测试 App 的新西兰人只有 10 位。 澳大利亚隐私基金会主席大卫·维勒(David Vaile)认为,即使有 53 人使用 App,他们也有可能是在极为可疑的情况下允许 App 收集数据的。维勒认为,用户的许可不健全,开发者给出的条款和条件随时可以改变,一旦同意不能取消,而且这种同意是根据不公平条款制定的,App 开发者先用大量迷惑难解的信息和法律概念淹没用户,然后再让用户签约。维勒还认为,个性测试 App 的用户可以代表其它人同意开发者收集数据,这样的许可根本没有任何意义。 稿源:cnBeta,封面源自网络;

FB 数据丑闻爆料人:泄密用户数据可能存储在俄罗斯

Facebook 数据泄密丑闻爆料人克里斯多夫·威利(Christopher Wylie)上周日表示,受到此次事件影响的用户总数可能超过 8700 万,而这些数据可能存储在俄罗斯。 威利表示,通过心理测试应用收集 Facebook 用户数据的剑桥大学教授亚历山大·科根(Aleksandr Kogan)可能允许把这些数据存储在俄罗斯。科根经营的 Global Science Research 在没有经过用户允许的情况下,将这些数据分享给备受争议的政治数据分析公司剑桥分析(Cambridge Analytica)。 “我认为,真正的风险在于,这些数据可能已经被很多人使用,而且可能存储在世界各地的不同地方,包括俄罗斯。原因在于,收集这些数据的教授当时在英国和俄罗斯之间往来,他当时效力于一个俄罗斯资助的心理学项目。”威利接受 NBC 采访时说。 他补充道:“我不能告诉你有多少人使用过这些数据,这最好由剑桥分析来回答,但我可以说,有很多人都曾接触过这些数据。” Facebook 和剑桥分析均未对此置评。科根也没有作出回应。 威利认为,受到此次事件影响的人数可能超过 Facebook 上周公布的 8700 万人。《观察家》和《纽约时报》最初的报道认为这一数字约为 5000 万人。剑桥分析曾经表示,他们通过 Global Science Research 获得的 Facebook 用户数据不超过 3000 万。 相关阅读: –Facebook 宣布遏制选举舞弊和用户操纵的新举措 –美国参议员:Facebook 丑闻可能“很严重” 难自行解决 –消息人士称扎克伯格将在周一会见美国立法者 稿源:新浪科技,封面源自网络;

Delta/Sears 被曝出遭网络攻击 数十万名客户信用卡信息可能曝光

据外媒报道,当地时间 4 月 4 日,Delta 和 Sears 表示最新曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。获悉,该数据泄露事件最先由路透社曝出,其发生的地点为一家同时为 Delta 和 Sears 在线聊天平台提供服务的公司–[24]7。 去年 9 月 27 日至 10 月 12 日,这家公司遭遇到恶意软件攻击,但 [24]7 却到了今年 3 月中旬才通知了 Sears 和 Delta。曾于该时间段在 Sears 或 Delta 网上进行过交易的消费者其信用卡信息可能已经泄露。 目前,联邦执法部门、银行以及 IT 安全公司正在对这一安全事件进行调查。而 Sears 和 Delta 都分别开设了针对此事件的客户通道,前者开通了一个客户咨询热线,后者设立了一个专用解答网页 delta.com/response。 [24]7 则发表声明表示:“我们相信平台是安全的,另外我们正在与我们的客户合作来判定其客户的信息是否遭到了(不正当)访问。” 稿源:cnBeta,封面源自网络;

同性交友应用 Grindr 与第三方分析公司共享用户健康数据

挪威研究组织 SINTEF 进行的一项分析显示,流行的 Grindr 同性恋约会应用与另外两家公司分享其用户的艾滋状况。Grindr 同性恋约会应用再次登上头条,几天前 NBC 的一份报告显示该应用存在两个漏洞(现已修复),这些漏洞泄露超过 300 万用户的信息。攻击者可能利用这个漏洞获取其他用户的位置数据,私信以及个人资料,即使用户没有不共享这些信息。 资产管理初创公司 Atlas Lane 的首席执行官 Trever Faden 在运营他的网站 C*ckblocked 时发现了安全问题,这个网站能让用户看到谁在 Grindr 上屏蔽了自己。 Faden 发现,一旦 Grindr 用户登录他的服务,就能访问与 Grindr 帐户相关的大量数据,包括未读消息,电子邮件地址和已删除的照片。 分享健康数据 当媒体大肆传播这一消息时,BuzzFeed 和挪威研究型非营利组织 SINTEF 发现,Grindr 与两家第三方公司共享艾滋病相关的数据。 “SVT 和 SINTEF 在今年 2 月 7 日进行了一项实验,分析约会应用程序 Grindr 中的隐私泄露。这个研究与瑞典电视节目“ Plus granskar ”有关,您可以在线观看。“SINTEF 报道。 “我们发现 Grindr 包含许多追踪器,并直接从应用程序与各种第三方分享个人信息。” 配置文件包括敏感信息,如艾滋病毒状况,用户最近一次接受测试的时间,以及他们是否正在接受艾滋病毒治疗或艾滋病预防药物 PrEP。 “Grindr 不需要对接第三方服务来跟踪用户的 HIV 状态。此外,这些第三方不一定有托管医疗数据的认证,Grindr 的用户丝毫不知道他们正在分享这些数据。“SINTEF 补充说。 令人不安的是,Grindr 一直在与两家帮助优化应用的公司分享用户的艾滋病状态和测试日期,分别是 Apptimize 和 Localytics。 “这两家公司—— Apptimize 和 Localytics 帮助优化应用程序——接收 Grindr 用户的个人资料,其中包括他们的 HIV 状态和“最后测试日期”。BuzzFeed 报告提到。 据挪威非营利组织 SINTEF 的研究员 Antoine Pultier 说,由于这些 HIV 信息与用户的 GPS 数据,电话号码和电子邮件一起发送,因此第三方公司可以识别出特定用户及其艾滋病毒状况。“ 甚至在某些情况下,这些数据不受加密保护。 回应 BuzzFeed 的报告几个小时后,Grindr 告诉 Axios 它已经停止共享用户的艾滋病毒状态。该公司的安全总监 Bryce Case 告诉 Axios,鉴于 Facebook 的 Cambridge Analytica 丑闻,他认为公司“被不公平地……挑出毛病”,并表示该公司的做法没有偏离行业规范。 Grindr 的首席技术官 Scott Chen 指出,“我们在严格的条款下共享数据,提供最高级别的加密,数据安全性和用户隐私。” 无论如何,Grindr 不会将用户数据出售给第三方。 在周一下午发布的声明中,Grindr 证实它将停止分享艾滋病毒数据。 该公司还向 CNNMoney 证实,它已经从 Apptimize 中删除了 HIV 数据,并且正在联系 Localytics 删除。 稿源:freebuf,封面源自网络;

扎克伯格再次就数据泄露事件发声:解决问题需要数年

据《每日邮报》北京时间 4 月 3 日报道,据马克·扎克伯格( Mark Zuckerberg )称,Facebook 需要“数年时间”才能解决这次滥用用户数据暴露出来的问题。在接受新闻网站 Vox 采访时,扎克伯格对公司的商业模式进行了辩护,并还击了苹果 CEO 蒂姆·库克( Tim Cook )上周对 Facebook 的批评。 扎克伯格还表示,Facebook 的问题之一是它过于“理想主义”,专注于把人们联系在一起的积极影响。 扎克伯格说,他没有花足够的时间考虑使用这些工具的一些负面影响,“我认为现在人们在恰当地关注部分风险和不足之处。我认为我们将全面调查、解决存在的问题,但这需要数年时间。我当然希望我能够在 3 到 6 个月内解决所有问题。但我认为,现实情况是,即使只解决部分问题,就需要更长的时间“。 扎克伯格还反驳了库克对 Facebook 商业模式的批评。库克上周称,Facebook 的商业模式就是收集用户资料,然后卖给广告客户获利。 但扎克伯格声称,Facebook 的商业模式是向人们提供免费服务、不像苹果那样卖天价产品的唯一方式,“我们想让全世界的所有人联系在一起,但许多人无力承担所需的费用。与大量媒体一样,通过广告创收的模式是唯一合理的模式”。 自 3 月 16 日—— Facebook 承认用户数据被不恰当地泄露给剑桥分析公司——以来,Facebook 股价累计下跌了 13%,市值蒸发逾 700 亿美元。扎克伯格个人财富蒸发逾 100 亿美元,只剩下约 600 亿美元。 稿源:cnBeta、凤凰网科技,封面源自网络;

快讯 | 数以万计 Django 应用程序因配置错误泄露密码等敏感信息

近日,安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息,其中包括密码,API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架,它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的,出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

1.5 亿用户数据被泄露 Under Armour:不涉及敏感信息

本周四,美国著名运动装备品牌 Under Armour 称有 1.5 亿 MyFitnessPal 用户数据在上个月被泄露了,MyFitnessPal 是一款 Under Armour 旗下的食物和营养主题应用。此次关于用户数据泄露的声明使得该公司的股票价格下跌了 2.4%。 据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。 Under Armour 表示,该数据泄露事件并没有涉及到用户的社会安全号码(Social Security numbers)、驾驶证号、和银行卡号等隐私信息。 该运动装备制造商称,是在 3 月 25 日才发现的此次数据泄露事件,并从那时就开始通知受影响用户。 Under Armour 正在和一家数据安全公司一起协作调查此次事件,有关监管部门也参与到了其中。 MyFitnessPal 是一款在苹果和谷歌应用商店中很受欢迎的应用,允许用户跟踪每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据,还可以分享运动成果到类似 Facebook 这样的社交平台上。 稿源:cnBeta、新浪科技,封面源自网络;

Cambridge Analytica 收集的数万 Facebook 用户数据仍未被删除

据外媒报道,尽管 Facebook 此前表示已采取措施确保 Cambridge Analytica 收集的用户数据已被删除,但 Channel 4 News 现在发现科罗拉多州数千人的数据仍在流传。Channel 4 News 称,Cambridge Analytica 来源的活动数据缓存详细描述了美国科罗拉多州的 13.6 万名 Facebook 用户资料以及每个人的个性和心理状况信息。 这些数据可追溯到 2014 年,Cambridge Analytica 使用这些数据来定位那些对他们最敏感的居民的具体信息。由于上周泄露用户资料丑闻持续发酵,Cambridge Analytica 公司坚持所有的 Facebook 数据,以及他们使用 Facebook 数据获得的任何信息“已被删除”。 Facebook 还表示,该公司已采取措施确保与收集的个人资料相关的所有信息都被“销毁”。但科罗拉多数据集以及俄勒冈州的类似数据表明,Facebook 衍生数据的副本仍然存在。这些数据也被认为是在 Cambridge Analytica 的服务器之外的非公司电子邮件系统和相关的 SCL 公司之间传递的。 现在,在披露 Cambridge Analytica 公司泄露数据事件一周多后,Channel 4 News 直接采访了那些隐私遭到破坏的人。 护士 Janice 的数据被包含在缓存中,她表示:“这是那些不是真正关心我们社会的人对社会的操纵。他们只关心他们的业务。他们关心他们的底线,他们不是为了我们所有人,除了他们想要操纵我们所有人。因为我们要么是选民,要么是消费者。这就是他们看待我的方式,他们不看我有多安全,或者我的学校有多好。” 周日,扎克伯格借助整版报纸广告为 Facebook 数据丑闻道歉。但当被问及对道歉的感受时,Janice 告诉 Channel 4 News:“他在人们删除他们的个人资料并开始关闭他们的账户之后才这样做。直到触及底线他才会关心美国,或者他认为这种趋势可能会走错路。所以呢,这让我更加讨厌他。” 当地居民 Debra 表示:“这是个人信息,却被用来让让陌生人来评估我们是谁,我们的观点是什么……是否准确或不准确……我忍不住想某人是否正在跟踪信息。我在质疑我向下滚动某些内容并点击该内容,并更多地了解该内容涉及的内容时,他们是否也在收集数据。” 消息人士告诉 Channel 4 News,科罗拉多州的共和党人使用剑桥分析数据来帮助定位选民。据《纽约时报》报道,Cambridge Analytica 收集的数据也被即将出任美国国家安全顾问的 John Bolton 所使用。在 Cambridge Analytica 成立并开始收集 Facebook 数据的数月之后,Bolton 的政治行动委员会于 2014 年 8 月首次与这家公司合作。 自从这起丑闻于 2018 年 3 月 17 日首次被披露以来,Channel 4 News 数次希望采访扎克伯格。Facebook CEO一再拒绝。 Facebook 副总裁兼副总顾问 Paul Grewal 表示:“ Cambridge Analytica 公司发生的事情代表了一种违反信任的行为,我们对此非常抱歉。现在我们清楚,我们可以做更多的事情,正如扎克伯格所说,我们正在努力解决过去的滥用问题,并致力于让人们知道他们的数据是否被不恰当地访问或滥用。 2015 年,我们了解到剑桥大学的心理学教授 Aleksandr Kogan 博士对我们说谎,并违反了我们的政策,将数据从应用程序传递到 SCL / Cambridge Analytica。当我们获悉这一违规行为时,我们从 Facebook 上删除了他的应用程序,并要求 Kogan 和他提供数据的各方证明信息已被销毁。 Cambridge Analytica 向我们证明,他们在 2015 年销毁了有关数据。 两周前,我们收到包括 Channel 4 News 在内的媒体的报道,与我们获得的认证相反,并非所有数据都被删除。Cambridge Analytica 公司已经公开证实他们不再有这些数据,其他人正在挑战这一点,我们决心找出事实。 ICO 已经启动了对 Cambridge Analytica 的调查,我们正在为此提供协助。” Cambridge Analytica 发言人表示:“我们从未将 GSR 的任何数据传递给外部方。在 Facebook 于 2015 年 12 月联系我们后,我们删除了所有 GSR 数据并采取了适当措施确保删除任何数据副本。这包括我们的律师在 2014 年底采取行动,对付一些从公司窃取数据和知识产权的前雇员。这些前雇员均承诺删除所有这些材料。我们没有采取适当措施确保 GSR 数据被删除,这是不正确的。” 稿源:cnBeta,封面源自网络;