分类: 数据泄露

美国一创业公司将用户数据误传中国服务器引恐慌

美国洛杉矶一家做智能门铃的创业公司最近摊上了点事儿。据美国《福布斯》 3 月 22 日报道,这家公司生产的门铃不小心把用户的一些数据误传到了中国的服务器上,这可把他们的用户给吓坏了。 报道说,这家“叮牌”创业公司本来是应该把用户的视频和音频数据上传到亚马逊的服务器上,但他们自己也不知道的是,有极小一部分音频数据被上传到了中国互联网巨头百度运营的服务器上。 发现这事儿的“细心哥”是美国“红迪网(社交新闻网站)”的一名网友,他说,发现这些门铃的数据传输有些异常。而后来引爆舆论的则是另一篇一周后发布的名为“叮牌门铃发现巨大隐患”帖子。 帖子说,Mirai 僵尸网络攻击殷鉴不远,现在“叮牌”门铃又把数据传往中国,要解决 IoT 安全问题任重道远。关于帖子的内容,有通信和信息安全方面的专家对环球网记者说,这次门铃误传数据的问题实际和 Mirai 攻击事件关系不大。 另外关于门铃音频数据包被误传到中国服务器的问题,他们说,该公司在自己不知情的情况下把用户门铃音频数据包误传至其他服务器,这他们的问题,但会不会对用户造成安全隐患,那就要看泄露了多少数据了。 《福布斯》说,该公司很快就对此事作出了回应,公司技术部门负责人洛斯在红迪网网友指出问题 5 天后就解释说,这次被误传到中国服务器的数据只有 20 毫秒的音频数据,并不会造成安全问题。他还承诺将更新所有该公司产品的程序,堵住这一漏洞,停止向中国服务器误传数据。 上周,“叮牌”门铃还专门请测评公司 Tevora 为自己做了报告,报告说,“无证据显示,这会给用户造成任何风险”。《福布斯》还援引一些美国信息安全问题研究人员的话说,这个问题并不会对其用户造成较大风险。 那么,刺激“叮牌”门铃用户神经的到底是什么?报道说,这一事件一方面凸显了人们对于物联网设备的被迫害妄想症,去年 10 月的 Mirai 攻击就是一个例子。另一方面,美国企业可能会发现,他们的用户承受不起一点关于“来自外部的恶意攻击”的暗示。一旦他们听说数据被传输至了中国或哪里就会被吓坏,即使并没有受到真正的威胁。 美国信息安全公司“闪点”的专家威克霍尔姆说,“问题因消费者的心态而定…这次的情况是,消费者缺乏安全感,‘叮牌’正好撞上了”。 报道还说,面对外界指责,“叮牌”否认了其设备的系统是从中国旧系统抄袭而来。关于数据到底为何会误传到中国服务器的问题,威克霍尔姆说,这有可能是因为该门铃采用了中国生产的芯片,而其中残留有测试代码。“有一种论调就是任何事物流向中国都是糟糕的”,他说,“但实际上其中很多都是由中国制造并保有的”。 稿源:cnBeta, 封面源自网络

美国企业数据库超过 3300 万用户信息遭泄露

据外媒报道,近日商业服务巨头 Dun&Bradstreet 的 52GB 数据库遭到泄露, 美国数千家公司员工的大约 3380 万个电子邮件地址和其他联系信息被公开。据 ZDNet 报道,Dun&Bradstreet 承认这一数据库为他们所有,其作为 2015 年该公司以 1.25 亿美元收购 NetProspex 公司交易的一部分。 泄漏的数据库包括了用户的姓名、职称,职能、工作邮箱和电话号码等个人信息,以及估计营业收入、员工人数等有关工作场所的详细信息等。 这是营销人员用来向新旧客户发送电子邮件广告系列和其他类型广告系列的数据库。 尽管 Dun&Bradstreet 已经为整个数据库花费了不少费用,但该公司确实获得了相当多的回报。大约两年前的一本小册子表明,买家如果希望访问 50 万条记录,将需要支付 20 万美元。 此外,数据库中还包括了 10 多万军事人员的记录,如士兵、弹药专家或化学工程师等。 另外还有美国邮政局 88000 多名员工的记录,美国陆军、空军和退伍军人的记录总计达到 76000 多条。 第三方风险管理和安全评级公司联合创始人兼首席技术官 Stephen Boyer 表示:“Dun&Bradstreet 认为他们或 NetProspex 都没有遭到攻击或造成泄漏。如果泄漏真的源于他们的客户之一,这代表了第三方风险的新维度。虽然他们和客户不具有类似零售商和供应商这样的持续关系,但他们仍然可能在许可和批量购买数据时带来风险。 ” 稿源:cnBeta,封面源自网络

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络

暗网出售 64 万疑似索尼 PlayStation (PS)游戏平台账号信息

据外媒报道,一个名叫“ SunTzu583 ”的黑客正在暗网销售 64 万个 PlayStation 索尼游戏平台账号包含电子邮件和明文密码,售价 35.71 美元( 0.0292 BTC )。 目前泄露源尚不得而知,SunTzu583 称数据并非直接从 PlayStation 网络盗取。几个月前,一些游戏机用户报告他们的账户及资金被盗,索尼公司否认其服务器存在问题,黑客可能从第三方那里获得了账户凭证。上周 HackRead 还曾报道,该黑客“ SunTzu583 ”销售了超过 100 万谷歌和雅虎帐户。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究显示:财富 1000 强公司更易发生数据泄露事件

一项新的研究显示,许多公司通过开放的端口运行远程管理工具,很容易导致公司发生数据泄露事件。其中财富 1000 强中的公司遭受数据泄露事件是普通公司数量的两倍。 根据 BitSight 的最新报告显示,安全评级为 500 或更低的公司比安全评级高于 700 的公司遭受数据泄露的可能性高 5 倍,其中 900 是最高分,同时是最安全的。每 20 家财富 1000 强公司中至少有一家公司遭受过数据泄露,严重性大小取决于公司的规模。此外,常通过互联网进行交易的公司更易成为黑客的目标,遭受数据泄露的风险也更高。大多数财富 1000 公司都被发现存在通过开放端口运行远程管理服务的问题,这将导致黑客未经授权的访问服务器,55% 的用户使用 Telnet 端口、14% 使用 VNC 端口,8% 用户使用开源数据库 PostgreSQL 。 原作者:Gabriela Vatu,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

13.7 亿泄露数据曝光神秘垃圾邮件帝国

安全研究员 Vickery 于昨日正式公开了涉及 13.7 亿用户的大规模数据泄露细节,并曝光了国外一个隐藏的垃圾邮件帝国。 Vickery 和他的伙伴们偶然发现了一个可疑的文件暴露在公网上,经过分析发现,这是一个没有设置密码保护的数据资料库。被泄露的数据包含 13.7 亿个 电子邮件地址、真实个人信息、IP 地址和家庭住址等。数据来源于一个虚假营销公司“ River city Media ”,背后其实是两个大型垃圾邮件制造商 Alvin Slocombe 和 Matt Ferris 。该组织只有十几人但每天可以发送十亿多封垃圾邮件,这些不法分子充分利用自动化技术和黑客技术提高工作效率。 Vickery 表示这些用户数据来源于平时的免费注册、抽奖活动、共享资料等,此外他们也可通过爬取网页内容、入侵数据库等非法手段收集用户的数据。此外 Vickery 已将技术细节转发给微软、苹果等相关公司。 原作者:Chris Vickery,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

大规模数据泄露即将公布?涉 13.7 亿用户泄露源尚且未知

专注于挖掘数据泄露的安全研究员 Vickery 表示即将公布一起新的身份数据泄露事件涉及 14 亿用户。此后他又发布推特并附上截图,将影响范围精确到 13.7 亿。 Vickery 是安全软件公司 MacKeeper 的研究员,善于发现漏洞。他曾发现了一个涉及美国军方特别行动指挥部医疗保健专业人员和总统竞选的 AWS 服务器漏洞。 对于这起数据泄露,最有可能的受害者是印度公民的生物识别数据库 Aadhaar ,但官方表示在过去五年内未发生滥用 Aadhaar 项目导致的身份被盗和财务损失。此外,也有网友猜测,泄露数据来自中国,毕竟中国微信、腾讯的用户规模也达到十亿级别。当然,Facebook、YouTube、雅虎、苹果、微软以及大型数据收集公司也在怀疑之列。 原作者:Simon Sharwood,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

3.6 万名波音公司员工个人信息因雇员操作不当泄露

据调查,去年年底一位波音公司员工向其配偶发送了一份公司电子表格,无意中泄露了 36000 名员工的个人信息。信息包括姓名、出生地点、BEMSID 或员工 ID 号码以及会计部门代码,在表格的隐藏的列中还包括社会保险号和出生日期。 事件发生在 2016 年 11 月 21 日,波音员工遇到格式化问题后,将公司的电子表格电子邮件发送给给他的配偶。今年 1 月 9 日波音公司发现了这起数据泄露,但直到 2 月 8 日才公布。经员工和他的配偶的确认以及计算机法医调查,敏感文件并没有扩散泄露。数据泄露的影响都在控制范围内,公司还未受影响员工提供两年免费的身份窃取保护服务。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

夏威夷旅游公司 Roberts Hawaii 数据泄露,客户信用卡遭盗刷

你去年去过夏威夷吗?夏威夷旅游公司 Roberts Hawaii 正警告并通知客户——其公司发生了数据泄露 事件,从 2015 年 7 月至 2016 年 12 月购买旅行团服务的顾客都受到影响,泄露的数据包括姓名、地址、电子邮件地址、电话号码、支付卡号、到期日期和安全码。 Roberts Hawaii 公司在收到客户信用卡欺诈费用报告后才意识到问题。这些欺诈费用都发生在客户在 Roberts Hawaii 网站消费后。Roberts Hawaii 发现网络犯罪分子在公司的网络服务器上植入了恶意代码,该代码可在客户结帐过程中复制客户数据。 目前,公司采用了更安全的第三方在线预订软件,并采取措施加强网站的安全性,以防止发生类似事件。公司建立了专门的呼叫中心 (877) 235-0796 和在线客户来为受影响客户解决问题。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

纽约机场泄漏超过 750GB 的电子邮件、密码和政府文件

据外媒报道,纽约斯图尔特国际机场将 750GB 备份数据暴露在互联网上,没有密码保护、无须任何身份验证。泄漏的数据包括 107GB 邮件通信内容、员工社会保障号( SSN )、机场系统的密码列表、内部机密文件等。 据安全研究人员 Chris Vickery 称,敏感数据自去年三月据处于公开状态,直到本周二机场收到 Vickery 的报告才意识到。泄露的数据包括来自机场内部的 107GB 个人电子邮件通信内容,以及来自美国国土安全局( DHS )和联邦机构运输安全管理局(TSA)的信件,还包括员工社会保障号( SSN )、工资记录。许多泄露的文件标有“仅供官方使用”“未经授权公布将受到民事处罚”警告字样。此外,泄露的数据海安包括机场系统的密码列表,攻击者可不受限制地访问机场网络。 纽约斯图尔特机场的数字安全全部由私营公司“ AVPorts ”管理,而 IT 技术人员通常每月只到场两到三次,你不能指望一个人来维持整个机场的网络基础设施。此外,公司的 IT 技术人员也没有接受过预防数据泄露的安全培训。 这次数据泄露的诱因归结于两个:第一,几个月前机场开始使用了一个名为“ Shadow Protect ”的测试版备份软件。第二,使用了有问题的备份辅助设备 Buffalo Terastation 。Terastation 设备默认开放端口 873 ,而 ShadowProtect 软件在运行时也将开放 873 端口,攻击者可利用远程同步服务( rsync )访问。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。