分类: 数据泄露

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。 去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。 不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。” 公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。 这些患者数据记录非常详细,大多包括以下个人和医疗细节: 名字和姓氏; 出生日期; 审查日期; 调查范围; 成像程序的类型; 主治医师; 研究所 / 诊所; 生成的图像数量 攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。   (稿源:cnBeta,封面源自网络。)

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。 该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:  ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。 我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。 第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源:cnBeta,封面源自网络。)

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)

安全研究人员称 2.67 亿个 Facebook 用户的数据遭泄露

据外媒CNET报道,近日安全研究人员发现了一个不安全的数据库,其中泄露了超过2.67亿个Facebook用户的电话号码、姓名和用户ID,任何人都可以在线访问该数据库。这可能成为继续困扰着世界上最大的社交网络的又一起隐私和安全事故。 安全研究员Bob Diachenko于12月14日发现了这批Facebook用户数据。该数据库(目前已被关闭)并未受到密码或任何其他保护措施的保护。尽管该数据库现已无法访问,但是在安全研究人员发现时,这些信息已经被公开了将近两个星期。根据  Comparitech的说法,有人已经在一个黑客论坛上获得了可供下载的数据。 Facebook最新的隐私事故引发了有关该公司是否在保护其数十亿用户数据方面所做的足够的质疑。这也再次提醒用户,用户应警惕他们在社交网络上公开的信息。这不是安全研究人员首次发现一个包含大量Facebook用户数据的数据库。此前英国政治咨询公司剑桥分析公司被曝光未经其许可就收集了多达8700万Facebook用户的数据。 Facebook 还面临其他隐私问题,例如以纯文本格式存储数亿个密码。 Comparitech表示,公开的Facebook数据使用户面临垃圾邮件和网络钓鱼活动的风险。Facebook用户ID包含唯一数字,可用于找出某人的Facebook用户名和其他个人资料信息。 Diachenko认为越南的犯罪分子通过两种可能的方式获得了用户记录。他们本可以利用Facebook的应用程序编程接口或API,使开发人员可以访问其朋友列表,照片和群组等数据。由于可能存在安全漏洞,这可能是在Facebook在2018年或之后限制访问用户电话号码之前发生的。犯罪分子还可以使用自动化技术从公开的Facebook个人资料中获得信息。 Diachenko在一封电子邮件中表示,链接到数据库的欢迎页面包括越南语邀请,要求输入登录名和密码。他表示,该数据库似乎被错误地设置为公开数据库,因为“没有充分的理由公开此数据。” 一位Facebook发言人在一份声明中说,该公司正在调查该问题,但认为该数据可能是在进行更改以更好地保护用户信息(例如限制访问电话号码)之前收集的。安全研究人员指出,用户可以更改隐私设置,以使Facebook之外的搜索引擎无法链接到他们的个人资料。用户还可以停用或删除他们的Facebook帐户。 不受保护的公共数据库一直是Facebook的问题。4月,来自UpGuard的安全研究人员在亚马逊云服务器上的公共数据库中发现了超过5.4亿个Facebook用户记录,包括评论和点赞。9月,TechCrunch报告称一个服务器包含多个数据库,其中包括来自美国、英国和越南用户的超过4.19亿个Facebook记录。不过,Facebook表示,该服务器包含大约2.2亿条记录。Diachenko称,最新遭泄露的公开数据库包含相似的Facebook用户数据,但并不相同。 9月,另一位安全研究人员发现了一个类似的数据库,其中包含Facebook用户数据。目前尚不清楚是否是同一个人或团体在网上发布Facebook用户信息。   (稿源:cnBeta,封面源自网络。)

安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。 安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。 但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。 这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。 Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。 Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)

微软研究发现其 4400 万个帐户使用已泄露的密码

微软在2019年对超过30亿个公司账户进行了密码重用分析,以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息,并从执法机构获得额外数据,并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示,约20%的互联网用户重复使用密码,另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示,大部分网民仍然青睐弱密码,而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序,并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中,该浏览器旨在检查弱密码并监视密码是否已经泄漏。 微软一直在推动无密码登录已经有一段时间了,该公司的密码重用研究提供了一个原因。根据微软的说法,4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5%。 现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面,微软将提高用户风险并警告管理员,以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据微软的说法,如果使用多因素身份验证,则99.9%的身份攻击不会成功。   (稿源:cnBeta,封面源自网络。)