分类: 数据泄露

俄罗斯黑客疑似本月盗取了上百个 Ins 账号

据外媒报道,近日,俄罗斯黑客似乎对 Instagram 发起了一次网络攻击,导致其中一部分用户无法再访问自己的账号。即便拥有双重身份(2FA)验证的一些用户也发现他们的账号被攻破。获悉,受影响用户的电话号码、邮箱地址等联系信息也遭到篡改,另外个人资料图片甚至 Facebook 个人资料链接也被改掉。 现在,已经有 Instagram 户在 Twitter 和 Reddit 上抱怨此事,据统计,在过去7天时间里 899 名用户在 Twitter 上发帖超过 5000 条。 虽然 Instagram 方面表示黑客攻击活动并没有加剧,但根据 Twitter 上的活动以及 Google Trends 的记录来看却在加剧。 另外看起来恢复对不再为自己拥有的电话号码和邮箱地址的访问也成为了一件麻烦的事情,Instagram 提供的账号恢复自动操作设置阻碍了这一过程。而令人担忧的是,2FA 认证也被破解,这似乎表明黑客可以盗取他们想要的任何账户。 目前尚不清楚黑客最初是如何登录这些账户的,也不知道俄罗斯黑客为何要盗取这些账号,或许他们又在为下一次的社交媒体干涉政坛行动做准备。不过也有可能这次的网络攻击并未俄罗斯黑客所为,而是有人想要嫁祸给它。       稿源:cnBeta.COM,封面源自网络;

美联社:谷歌在偷偷记录你的位置数据 即使你拒绝

(原标题:AP Exclusive: Google tracks your movements, like it or not) 网易科技讯 8 月 14 日消息,据美联社报道,谷歌非常想知道你要去哪里,以至于它会记录你的活动,即使你明确告诉它不要那样做。美联社的调查发现,Android 设备和 iPhone 上的许多谷歌服务都会存储用户的位置数据,即使你使用了隐私设置,也无法阻止谷歌这样做。(many Google services on Android devices and iPhones store your location data even if you’ve used a privacy setting that says it will prevent Google from doing so.) 消息一出,众多美国媒体跟进报道,毕竟在美国,个人隐私是一件“天大”的事。 在美联社的要求下,美国普林斯顿大学的计算机科学研究人员证实了这些发现。在大多数情况下,谷歌会请求许可使用你的位置信息。像谷歌地图这样的应用会提醒你,如果你用它导航,它就会访问位置信息。如果你同意让它记录你的位置,谷歌地图会在一个“时间轴”中为你显示历史,它会记录你的日常活动。而其他应用也会如此记录,最终你会在你的谷歌账号中查询到。 美联社称,存储你每分钟的旅行记录会带来隐私风险,并且已经被警方用来确定嫌疑人的位置。比如去年北卡罗来纳州罗利市的警方使用的搜查令,利用谷歌记录位置功能在谋杀现场附近寻找设备。 不过,谷歌称其推出了名为“位置历史”的设置,声称能停止记录你去过哪里。谷歌在支持页面上发表声明:“你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。”然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。 例如,谷歌只需要打开地图应用程序,就能显示你的位置。Android 手机每天自动更新天气信息,也可以准确定位你的位置。还有些与位置无关的搜索,比如“巧克力饼干”或“儿童科学工具包”,可以确认你所在位置的精确纬度和经度,并保存到你的谷歌账户中。 美联社做了实验,用一部关闭了位置记录的安卓手机正常活动,最后导出Google帐户。几天内去过的地点清晰可见。 隐私问题影响了约 20 亿使用谷歌 Android 操作系统的设备用户,以及全球数亿依赖谷歌进行地图导航或搜索的 iPhone 用户。普林斯顿大学计算机科学家、美国联邦通信委员会(FCC)执法局前首席技术专家乔纳森·迈耶(Jonathan Mayer)说,存储违反用户喜好的位置数据是错误的。 谷歌发言人承认:“有许多不同的方式,谷歌可能使用位置信息来提高人们的体验,包括位置历史、Web 和应用活动,并通过设备级的位置服务。我们为这些工具提供了清晰的描述和强大的控制权,这样人们就能在任何时候打开或关闭它们,并删除相关记录。”       稿源:网易科技,封面源自网络;

外媒:移动 POS 存在漏洞 个人信息有暴露风险

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动 POS 机)存在着极大的安全隐患。 有消息显示,目前,该领域的设备主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。 来自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。 我们面临的一个非常简单的问题是,一个成本不到 50 美元的设备到底拥有多少安全性?” Galloway 说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。” 所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以 Square 和 PayPal 为例,漏洞是在一家名为 Miura 的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。 研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。 此外,流氓商家可以让 mPOS 设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为 5 万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。 研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。 研究人员发现,在 Miura M010 读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。 Galloway 指出,第三方攻击者可能特别希望使用此控件将 PIN 码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户 PIN 码。 研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。 “Miura M010 读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个 Square 卖家使用。当我们察觉到存在一个影响 Miura 读卡器的漏洞时,我们加快了现有计划,放弃了对 M010 读卡器的支持,”一位 Square 发言人表示。“今天,在 Square 生态系统中不再可能使用 Miura 读卡器了。” “SumUp 可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位 SumUp 发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。” “我们认识到研究人员和我们的用户社区在帮助保持 PayPal 安全方面发挥的重要作用,”一位发言人在一份声明中表示。“ PayPal的系统没有受到影响,我们的团队已经解决了这些问题。” iZettle 没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。 Galloway 和 Yunusov 对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。 “我们在这个市场基础上看到的问题可以更广泛地应用于物联网,” Galloway 说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”   稿源:环球网,封面源自网络;

Vade Secure 揭开近期“性勒索邮件诈骗”细节 密码或泄露于十年前

上个月的时候,外媒曾报道一种新型电子邮件诈骗。其以收件人的真实密码为证据,让受害者误相信自己的在线数据遭到了黑客的攻击。但是作为骗局的一部分,敲诈者希望从受害者身上榨出更多的油水 —— 其扬言,如果不满足它们提出的要求,就曝光所谓的受害者访问色情网站时的视频内容。 安全公司 Vade Secure 近日发布的一份新报告,就披露了这场仍在肆虐的性勒索骗局的更多细节。在深入了解后,研究人员发现 —— 勒索者发出的密码,很可能是在 10 年前发生的多次入侵中获得的。遗憾的是,许多受害者都没有意识到这一点。 该公司提供了针对此类网络钓鱼欺诈邮件的过滤服务。在过去几个月里,其引擎过滤了大约 60 万封性勒索邮件。在审视了这些电子邮件后,Vade Secure 发现其中 90% 都是用英文输入的,但有一小部分的翻译语法写得很烂。 此外,在大多数情况下,发件人的地址是随机的 Hotmail 或 Outlook,但这可能是自动生成的(如上图所示)。还有人指出,黑客利用了此前入侵物联网产品、网站、路由器等设备的数据,再将其用于本轮性勒索诈骗。这种形式的网络钓鱼,不需要用到 Web 版的邮件客户端,而是通过 IoT 产品上的 Linux 操作系统的命令行,就可以发起类似目的的行动。 Vade Secure 技术专家 Sebastien Gest 警告称,这个骗局正在愈演愈真:我们的启发式过滤器,每天都可以看到这些性勒索骗局的最新版本。但黑客似乎正在分析攻击的效用、并对消息文字进行调整,以避免其被电邮安全产品给检测到。 需要指出的是,在 60 万封已发现的性勒索邮件中,许多都包含了接收赎金的不同比特币钱包地址。但也有一些使用了轻微的变化,比如用几个星号(*)来模糊具体的比特币地址、或者给出了提供进一步付款指令的 E-mail 地址。 最后,在分析了性勒索邮件中存在的一些比特币地址后,安全公司发现 —— 到目前为止,不法分子已经拿到了总计 30100 美元的赎金。我们在此发出提醒,鉴于这种骗局是持续且反复的,网友们应该定期更改密码、并避免在未知网站上注册。     稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;

Avast 回应:收集数据仅为改善 CCleaner 未来会提升透明度

自去年安全软件公司Avast宣布收购 Piriform 公司之后,包括 CCleaner 在内的多款热门应用也一并纳入 Avast 旗下。然而自收购以来问题不断,去年 9 月份 CCleaner 被黑客入侵长达 1 个多月,问题版本下载量突破 227 万次;而更令人尴尬的是,Avast 正不断疏远 CCleaner 忠实的用户群。昨天,外媒 BetaNews 编辑 Wayne Williams 撰文强烈抨击,并呼吁用户跳过最新版 CCleaner 应用。 在该抨击文章被广泛转载之后,Avast 旗下的 Piriform (CCleaner的厂商)和 Williams 进行了联系,并就文章中的某些问题进行了澄清。回应全文如下: 我们始终的目标是改善 CCleaner 并提供更好的客户体验,在 V5.45 版本中我们引入了某些新的功能,旨在为我们提供更准确的数据,帮助我们更快地检测错误,并让我们知道哪些 CCleaner 功能被使用了,哪些被闲置了。 通过这些新功能收集的信息都是汇总的,而且数据都是匿名的,只允许我们用来发现用户的使用习惯。这些数据对于我们改善软件和客户体验有非常大的帮助。在此承诺,并不会收集用户的个人身份信息。 我们非常注重用户的反馈,目前正在研发下一代 CCleaner。新版本将会从分析报告中分离出清理功能,提供更多的用户控制选项,在 CCleaner 关闭之后能够记忆用户的相关设置。 为了提升透明度,我们还将会提供所收集数据的概述,收集的目的以及数据的后续相关处理。借此机会,我们还将会重新设计 CCleaner 中的数据设置,以便于能以更清晰易懂的方式来增强和用户之间的沟通。构建和测试软件有时候需要一点时间才能完成,但是我们正努力地进行开发,以便于尽早让新版本和大家见面。 对此 Williams 认为,该公司解决问题的态度,以及采取措施应对用户投诉是件好事。例如微软在发布 Windows 10 时候遭到了很多诟病,但伴随着数据透明度的增加这方面的抱怨正在逐渐减少。       稿源:cnBeta.COM,封面源自网络;

遭黑客入侵 美社交新闻网站 Reddit 数据再泄露

新浪科技讯 北京时间 8 月 2 日早间消息,美国社交新闻网站 Reddit 周三宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及 2007 年的一份包含旧加密密码的数据库备份。 Reddit 称,黑客获取了旧数据库备份的一个副本,其中包含了早期 Reddit 用户数据,时间跨度从 2005 年该网站成立到 2007 年 5 月。 “虽然这是一次严重的攻击,但攻击者并没有获得 Reddit 系统的写入权限。他们获得的是部分系统的只读权限,其中包含了备份数据、源代码和其他日志。” Reddit 创始工程师克里斯多夫·斯洛维(Christopher Slowe)写道。 斯洛维表示,Reddit 今年 6 月 19 日发现,攻击者在 6 月 14 日至 6 月 18 日期间入侵了该公司几名员工的帐号。 Reddit 表示,此次攻击是通过拦截员工的短信实现的,该短信中包含了一次性登录码。该公司还补充道,他们已经将此事通知受影响的用户。 斯洛维表示,该公司大约在 3 个月前聘请了第一位安全主管,“他目前还没有退出。”     稿源:新浪科技,封面源自网络;

智利 1.4 万信用卡资料被黑客组织盗取

【环球网综合报道】据新加坡《联合早报》 26 日报道,智利政府周三 (25日) 晚透露,黑客盗取了智利约 1.4 万张信用卡的资料,并将这些资料公布在社交媒体上。 报道称,在这起案件中,黑客公布了信用卡卡号、有效期限及安全码,受攻击影响的银行包括桑坦德银行 (Santander)、伊塔乌银行 (Itau)、丰业银行 (Scotiabank) 和智利银行 (Banco de Chile),这些银行已通知客户遭入侵一事。 报道称,智利政府并未透露此次信用卡资料被盗事件可能造成的损失。 智利政府的银行监管机构表示,这起袭击行动是黑客组织“影子经纪人” (Shadow Brokers) 展开的,该组织因入侵美国国家安全局 (NSA) 而闻名。 今年 6 月,智利银行曾透露,黑客盗取了该银行 1000 万美元 (约 1360 万新元)。智利银行当时说,黑客是从东欧或亚洲发动袭击,部分遭盗窃的款项最后被汇到香港。     稿源:环球网,封面源自网络;    

美国自动语音话务公司数以千计的选民信息遭曝光

据外媒ZDNet报道,一家位于弗吉尼亚州的主营政治竞选的自动语音话务公司Robocent的选民信息记录遭到外泄, 约有2600条选民的个人信息遭到曝光,记录包含选民的姓名、住址和政治倾向以及音频通话记录。 Kromtech信息安全公司的安全研究员 Bob Diachenko率先在个人博客中披露了其数据遭到曝光,并向媒体分享了经过隐私处理的数据记录截图,除了上述信息还包括选民的性别、电话、年龄和出生年月,邮编,民族,语言和教育水平。经过“计算”的政治倾向,例如“弱支持民主党”“坚定支持共和党”或“摇摆”。尽管美国大部分州的选民注册信息属于公开记录,但这些数据严格限于特定的目的,有些州严格防止选民数据用于商业用途。 Robocent 的联合创始人Travis Trawick确认公司的数据被安全保管,被曝光的数据记录来自于2013-2016年的公司统计,在过去两年中并未被使用。目前公司正在调查被公开数据,“所有曝光的数据都是公开访问信息,如果’法律需要’他会联系受影响的用户”。   稿源:cnBeta,封面源自网络;

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析,这些数据并不是通过直接入侵 Mega 而获取的,而是被撞库了。他说文件中 98% 的电子邮件地址已经存在于他的数据库中(于先前的漏洞中收集)。ZDNet 也表示,在他们联系的人中,有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表,也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密,但登录时没有使用双因素身份认证方式,因此攻击者只需使用登录凭据便可登录每个帐户,并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色,因为它在被上传到 Mega 之前已在用户的设备上被加密,除了在技术上不可行之外,Mega 和其他主要云存储提供商实际上也做不到,毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年,黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源:开源中国,封面源自网络;

Facebook 漏洞泄露私密群组成员信息:目前已被修复

新浪科技讯 北京时间7月13日早间消息,Facebook日前修复了一个隐私漏洞。此前通过该漏洞,第三方可以获知私密、封闭群组成员的名字。之前Facebook还曾出现一个漏洞,通过Chrome插件,营销人员可以大规模收集信息,这个插件目前也被关闭。 Facebook平台有一个私密群组,里面都是女性,她们因为基因突变存在很高的乳腺癌患病风险。此前群组成员向Facebook投诉说,她们的名字有可能曝光并公开,导致保险商区别对待,还可能侵犯其它隐私。 不过Facebook新闻发言人却说,关闭查看封闭群组成员信息这一功能与该团体的投诉没有关系,决定是基于几个因素做出的。 Facebook代表接受CNET采访时强调说:“虽然我们最近对封闭群组进行调整,但它并不是隐私漏洞。”   稿源:新浪科技,封面源自网络;