分类: 数据泄露

12 万人数据被泄露?雪球回应:已进行核实

8月21日消息,今日网上流传称雪球网数据泄露,涉及12万人的数据只卖75美元,包含姓名,身份证,手机,账号/邮箱,密码,持股前3支,持股数,交易风格。对此雪球回应称,不会以任何方式将个人信息泄露给第三方,对此问题已进行核实。 雪球网还称,会持续提升对用户信息的保护能力。 近年有部分企业发生数据泄露事件,2018年8月,有人在暗网出售华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,9月犯罪嫌疑人被抓。同年12月,有人在网上宣称12306平台旅客信息泄露,低价出售60万账户信息、410万联系人数据,还免费公开部分账号供买家验证。   (稿源:网易科技,封面源自网络。)

入侵 Capital One 的黑客还涉嫌入侵其他 30 多家公司

联邦检察官透露,在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月,美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击,1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统,并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson(33),她将要对此次数据泄露事件负责。 根据 DoJ 报道,美国司法部长 Brian T. Moran 宣布,“一名前 Seattle 科技公司的软件工程师今天被捕,此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON,网名 erratic,33 岁,她今天在西雅图地方法院出庭,并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实,在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据,但他们尚不清楚这些受影响组织的名字。 检察官称,绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

文件:去年数据泄露前 FB 未能提醒用户已知账户风险

北京时间8月16日上午消息,据路透社报道,周四提交的一份法庭文件显示,Facebook用户针对2018年发生的一起数据泄露事件,正对这家全球最大的社交媒体网络发起诉讼。这些用户称,公司未能向他们提醒单一登录工具的风险,但却有能力保护公司的员工。 单一登录可以让用户使用Facebook凭据登录第三方社交应用和服务。 该诉讼涉及多项法律行动,源于去年9月发生的公司历史上最严重的一起安全漏洞事故。当时,黑客窃取了登录代码——或“访问令牌”——从而使得近2900万个Facebook账户被非法访问。 “Facebook清楚这些访问令牌的漏洞,但多年来尽管公司有能力却始终未修复该漏洞,”原告在提交给位于加州旧金山的美国北部地区法院的诉状中写道,“更令人震惊的是,Facebook已经采取措施保护自己的员工免受安全风险的影响,却无视大多数用户面临的安全隐患。” 法官威廉阿尔苏普(William Alsup)在1月的时候,告诉Facebook,其愿意允许在本案中采取“bone-crushing discovery”方式,来调查用户数据被窃取的程度。 自最初披露数据泄露事故以来,Facebook几乎没有公开任何细节,仅仅表示“广泛”用户受到影响,但未根据国家分类给出具体数据。 对于另外的1500万名用户而言,受影响程度仅限于姓名和联系方式。此外,黑客可以看到大约40万名用户的帖子和朋友与群组列表。Facebook称,黑客未窃取用户的个人信息或财务数据,也没有访问用户的其他网站账户。 Facebook尚未立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

Facebook 聘请评估员收听语音信息,用户毫不知情

北京时间8月16日早间消息,Facebook本周证实,该公司开展了一项计划,允许承包商收听和转录一些用户的音频剪辑。这家社交网络表示,只有同意将其音频信息转录的人才会受此影响。 这似乎表明用户同意让第三方阅读聊天记录。但从Messenger权限的弹出对话框来看,这种说法并不属实。 在Messenger移动应用中,只要有人发送语音消息,就会立即看到一个提问对话框:“在此聊天中启用语音识别成文本功能?”用户可以选择“否”和“是”两个。Facebook的描述信息是:“显示您发送和接收的语音剪辑的文本。您可以控制每次聊天时文本是否可见。“ 其中并未提到人类参与。即使在专用于理解语音识别成文本的应用的单独信息页面中,Facebook也解释说用户可以在每次聊天中关闭它,并提示人们更多地使用这项功能。“语音识别成文本使用机器学习技术。”该公司说,“你使用这个功能的次数越多,对语音识别成文本就越有帮助。”其中并未阐述机器学习不仅限于软件代码。 包括苹果、亚马逊和谷歌在内的公司一直依赖人类来检查和改进他们的人工智能系统,但却并未告知用户。当科技企业面临的监管形势日益加剧的当下,这一错误可谓十分严重。负责执行欧盟隐私法的爱尔兰数据保护委员会表示,他们正在了解Facebook的转录做法。 斯坦福大学法学院互联网与社会中心的消费者隐私主任詹妮弗·金(Jennifer King)说:“人工智能只是处于可以解释人类对话的水平,”这意味着公司需要依靠监控来为系统训练提供帮助。“但从我的角度来看,最重要的问题是不披露。用户显然不知道这种事情。“ 有关Facebook人类转录计划的报道引起了美国立法者的愤怒,其中一些人已经呼吁加强隐私保护。弗吉尼亚州民主党参议员马克·华纳(Mark Warner)表示,关于Facebook音频收集行为的最新消息,“进一步证明了消费者对他们的数据收集和使用方式的期望与Facebook公司实际所做的完全不同。” 一些隐私律师表示,信息披露不足与公司跟FTC的50亿美元和解协议相冲突。 Fox Rothschild律师事务所首席隐私官马克·麦克雷利(Mark McCreary)表示,“如果没有其他人向用户披露关于人类收听行为的信息,我相信这可能就存在违规。”   (稿源:cnBeta ,文章标题《Facebook 聘请评估员收听语音信息用户知道吗?不知道》,封面源自网络。)

外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕

据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。 外媒认为,如果仔细阅读所泄露的数据,与过去的其他大规模数据泄露事件相比,Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法,这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。 但这里有一些关键的因素。首先,这是几个旧数据泄露的集合。事实上,在这个系列中的7.73亿个唯一的电子邮件地址中,只有1.41亿(约18%)未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中,有一半不在数据库中。 这意味着很可能,用户旧的简单密码之前已经被窃取,并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样,“我的希望是,对于许多人来说,这将是他们需要对他们的在线安全态势做出重大改变的提示。” 外媒认为,用户需要做的重要改变是确保使用唯一的密码,并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时,网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户,这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击,黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的账户。 而如果用户使用唯一的密码和双因素身份认证,这些攻击将无法正常工作。   (稿源:cnBeta,封面源自网络。)

安全漏洞导致 Suprema Biostar 2 百万人指纹数据曝光

近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。 (图自:vpnMentor,via BGR) 英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。 除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。 此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。 更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到: Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。   (稿源:cnBeta,封面源自网络。)

微软:暂不会停止对 Skype 和 Cortana 对话的人工审查

据外媒报道,上周,Vice Motherboard网站上的一份报告显示,微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司,但问题是这家公司没有在其隐私文件中明确指明这点。 而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。 其中在Skype翻译隐私FAQ中,微软解释了什么样的音频内容会被收集以及如何被使用。“这可能包括微软职工和供应商的转录录音,但会受制于为保护用户隐私设计的程序,包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。“ 看起来即便苹果和谷歌最近因隐私问题暂停了Siri和Google Assistant对语音记录的人工审查,微软眼下也不会这么做。不过微软发言人告诉媒体,公司显然正在考虑做出进一步的改变。“我们已经更新了我们的隐私声明和产品常见问题,以此来增加更大的清晰度并将继续研究我们可能采取的进一步措施。”   (稿源:cnBeta,封面源自网络。)

Messenger 发音频安全吗?FB 承认曾转录用户音频

北京时间8月14日早间消息,知情人士透露称,Facebook付费聘请几百名外部承包商,让他们转录音频片段,这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称,这份工作让承包商感到不安,他们不知道音频是在哪里录制的,Facebook又是如何获取的,他们只负责转录。知情者还说,承包商会倾听Facebook用户的对话,有时里面包含低俗内容,至于为何要转录这些音频,他们不知道原因。 其它科技企业也曾有过同样的行为,后来因为遭受批评而终止,Facebook证实曾经转录过用户音频,但是项目已经终止。Facebook在声明中表示:“就像苹果谷歌一样,在一周多以前我们已经终止人工音频审核工作。”Facebook还说,受到影响的用户在Facebook Messenger App中自愿选择,允许Facebook转录音频。承包商负责检查,看看Facebook AI是否能正确解读信息内容,这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段,这些音频来自消费者使用的计算设备,收集音频之后,科技公司再请人核查,这种行为因为涉嫌侵犯隐私招来批评。 4月份,彭博社报道称亚马逊组建一个团队,里面有几千名员工,他们遍及全球,负责倾听Alexa音频,亚马逊这样做主要是想改进软件;苹果Siri、谷歌助手也组建相似的人力团队,核查音频。 事件曝光之后,苹果、谷歌终止项目,亚马逊则说用户拥有选择权,可以允许亚马逊核查音频,也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频,正因如此,一些承包商觉得自己的工作不道德。 知情人士透露说,加州圣塔莫尼卡(Santa Monica)的TaskUs公司是Facebook的承包商,Facebook是TaskUs最大最重要的客户之一,TaskUs禁止员工公开谈论自己为谁工作,他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作,但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过,会自动处理用户提交的内容和通信信息,分析语境,看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息,但它没有提到过转录团队的存在,它只是说会有一些承包商、服务提供商支持Facebook工作,为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音,说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强,但有时还是会碰到麻烦。从2015年开始,Messenger用户就可以将音频交给Facebook,让它转录。当时负责Messenger业务的高管大卫·马库斯(David Marcus)曾说:“我们想尽千方百计,力求让Messenger变得更实用。”   (稿源:新浪科技,封面源自网络。)

继苹果谷歌后:微软被曝监听用户 Skype 和 Cortana 录音

北京时间8月8日早间消息,据美国科技媒体The Verge援引Motherboard消息报道,微软合同工正在手动审查从Skype自动翻译功能与Cortana语音助手收集的录音。Motherboard获悉的录音中,内容包括用户的私人对话和关系问题讨论以及其他个人事情如减肥等等。“我同你分享的这些内容无不说明,他们在保护用户数据方面是多么松懈,”向Motherboard分享音频文件的一位合同工解释说。 该匿名合同工还提到,在审查过程中,他们还听到类似于“电话色情”的内容,还说他们听到用户使用Cortana命令输入自己的完整地址,以及使用语音助手搜索色情内容。 尽管合同工指出,他们无法获悉用户的身份识别信息,但微软的消费者大概不会希望看到,他们的私人对话正有可能成为“穿着睡衣坐在客厅里的陌生人之间”的笑话。Motherboard随后发现一份招聘清单,证实合同工可以在家工作。一名微软发言人表示,所有合同工都签署了保密协议,且微软拥有审计权确保合规性。 在微软之前,苹果、亚马逊和谷歌也相继因处理从各自语音助手收集到的语音数据而面临严峻的审查。聘请合同工听取录音是为了改善用户使用的语音服务。在微软这件事上,Motherboard报道称,部分合同工需听取的音频来自Skype的机器翻译服务,该服务推出于2015年。 但微软并未在Skype Translator FAQ和Cortana文档中说明公司正使用语音数据以改善服务,仅仅是提到“语句和自动记录将会被分析,任何更正会进入我们的系统,以构建更高性能的服务。”在其他地方,公司称“(验证)自动翻译并将更正反馈给系统”。但是,Motherboard指出,微软并未明确表示会有任何人将收听这些录音。 问及此事时,微软表示,公司仅在用户选择参与的基础上收集和使用语音数据,并指出在隐私面板的语音部分,用户可以删除公司获得的关于用户本人的语音数据。 微软发言人在声明中强调,公司“对收集和使用的语音数据始终保持透明以确保消费者有能力就他们的语音数据做出明智的选择……微软在收集和使用用户语音数据之前,会先征求用户许可。” “在与供应商共享数据之前,我们还制定了几项旨在优先保护用户隐私的程序,包括隐去身份识别信息、要求供应商及其员工签署保密协议、遵守欧盟更严格的隐私标准等。”   (稿源:新浪科技,封面源自网络。)

错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容: 几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。 接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题! 在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击: 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据: 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种其他信息。 现在,我来介绍一下如何通过 来自“Google dorks”(搜索查询)找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下: inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了: 此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板,我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下: inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。 在进一步侦察(信息收集)时,我发现各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器,仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限,从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统,因此暴露了他们的一些项目细节,员工姓名等,这些都是在与他们联系后修复的。 同样,联合国意外地将他们的Jira过滤器和Jira仪表板公开,因此暴露了他们的内部项目细节,秘密里程碑等,在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后,他们也对其进行了修复,并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息,例如员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息,可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然,它不应该是公开的,这不是安全问题,而是隐私问题。 我向不同的公司报告了这个问题,一些人给了我一些奖励,一些人修复了它,而另一些人仍在使用它。 虽然这是一个错误配置问题,Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   (稿源:开源中国,封面源自网络。)