分类: 数据泄露

美国最大连锁生育诊所宣称遭遇黑客勒索攻击 数据被盗

美国最大连锁生育诊所之一的U.S. Fertility已经确认遭到勒索软件攻击并且数据被盗。该公司成立于5月,由Shady Grove Fertility和主要投资于医疗领域的私募股权公司Amulet Capital Partners合作成立,前者在美国东海岸拥有数十家生育诊所。作为一家合资企业,U.S. Fertility目前宣称在美国各地拥有55家诊所。 U.S. Fertility在一份声明中表示,黑客在9月14日发动勒索攻击之前,在其系统中活动了一个月时间,获得了数量有限的文件。这是一种常见的数据窃取勒索技术,它在加密受害者的网络之前窃取数据以获取赎金。如果不支付赎金要求,一些勒索组织就会在其网站上公布被盗文件。 U.S. Fertility表示黑客在攻击中盗取了一些个人信息,如姓名和地址。一些患者的社会安全号码也被黑客盗走。U.S. Fertility表示,这次攻击可能涉及受保护的健康信息。根据美国法律,这些信息可能包括一个人的健康或医疗状况信息,如测试结果和医疗记录等。U.S. Fertility没有说明为何要花两个多月的时间才公开披露这起黑客袭击事件,但表示,其披露时间并非应执法部门的要求而延迟。 这是最新一起针对医疗行业的攻击事件。9月,美国最大医院系统之一环球医疗服务公司(Universal Health Services)遭到Ryuk勒索软件袭击,迫使一些受影响急诊室关闭,并将病人拒之门外。最近几个月,其他几家生育诊所也遭到了勒索软件的攻击。       (消息来源:cnBeta;封面来自网络)

恶意软件 WAPDropper 滥用 Android 设备进行 WAP 欺诈

安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ,目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。 最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”,在2000年代末和2010年代初非常流行,随着智能手机的兴起而逐渐消失,但 在2010年代后期卷土重来, 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示,基于此计划中使用的高级电话号码,黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说:“在这种计划和类似的计划中,黑客和溢价率数字的所有者正在合作,甚至可能是同一群人 。”“这简直是一场数字游戏:使用优质服务拨打的电话越多,为那些服务背后的人带来的收入就越多。每个人都赢了,除了不幸的骗局受害者。” 至于恶意软件本身,Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper,第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块,主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上,此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示: “目前,该恶意软件丢弃了高级拨号程序,但将来,有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上,然后再下载其他恶意软件,这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击,全球感染总数达数亿。Hazum补充说:“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet,他们暂时在名为“ af ”,“ dolok ”,名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源:zdnet ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

因第三方数据库泄漏 Spotify 要求将近 35 万个账号重置密码

得益于丰富的曲库、简洁的用户界面,Spotify 已经成为全球最受欢迎的音乐流媒体服务之一。不过伴随着用户规模的极速扩张,也暴露了一些安全风险隐患。近日受第三方数据库泄漏的影响,Spotify 公司不得不发出重置密码电子邮件,据悉有将近 35 万个账号受到影响。 值得注意是,本次数据泄漏并非来自 Spotify 本身,它并没有受到任何形式的攻击和破坏。当网络上泄漏大型密码数据库的时候,黑客会试图尽可能的在其他服务上登录这些凭证,然后不可避免的能够访问一些站点和服务。 如果您采取适当的密码保护措施,并确保不会在多个网站或服务中重复使用相同的登录凭据,那么被这些违规事件之一捕获的机会将降为几乎零。不幸的是,似乎有超过 30 万的用户出现了这个问题。 对于收到 Spotify 密码重置通知的用户,外媒编辑推荐除了重置 Spotify 密码之外,最好重置其他使用该泄漏相同密码的所有其他平台账号。所有这些数据都在“72GB数据库”中公开,其中包含“超过3.8亿条记录”。该数据库已找到,其存在已由vpnMentor的研究人员公开披露,vpnMentor是网络安全和关注互联网隐私的博客。       (消息来源:cnBeta;封面来自网络)

新加坡:穆斯林应用程序开发商出售用户数据给美国军方

据报道,Muslim Pro应用程序在全球范围内下载量超过9850万,据称已向美国军方出售了“粒度位置数据”,但这一指控被否认,目前正由新加坡个人数据保护委员会进行调查。 数据保护委员会(PDPC)确认正在对指控进行投入,并向Pros开发商Bitsmedia寻求更多信息。监管机构告诉当地媒体:“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问,用户不应下载或使用任何应用程序。” 成立于2009年,总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处,并已通过在200个国家的用户下载审核。 据报道,该应用程序已将位置数据出售给X-Mode,这是美国第三方数据聚合商,向其客户出售服务,其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说,穆斯林Pro是向美国军方出售数据的移动应用程序之一,包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。 Bitsmedia否认了这些指控,并在星期二和星期四发表了两份声明,认为该报告“不正确且不真实”。 Bitsmedia注意到它符合诸如欧盟的GDPR(通用数据保护法规)和加利福尼亚消费者隐私法案(CCPA)之类的全球数据隐私法律和法规,称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”(R&D)工作时访问开发者。 这可能包括分析数据以更好地了解用户行为,从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算,并有助于规划和设计功能,以及改善整体用户体验。应用程序开发人员还坚持认为,它不会共享任何敏感的个人信息,例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的,这意味着我们的数据不会归因于任何特定的个人。”“我们采用行业标准的安全措施和保护措施,并选择领先的技术合作伙伴,以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。” 虽然它驳斥了Vice Media的主张,但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode的所有关系,该关系“立即生效”。 它与“选定的技术合作伙伴”合作,以改善其应用程序的质量,并与合作伙伴共享数据,以实现“广告等常见目的”,这是它的主要收入来源。这样做是“完全遵守”所有相关法律的,并实施了“严格的数据治理政策”以保护其用户数据。 根据应用程序开发商的说法,它与社交媒体网络和数据分析公司等第三方合作,并在其用户同意下共享数据。它还指出,除了“社区”部分外,穆斯林Pro中提供的功能都可以使用,而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。” 如果它被发现违反了新加坡的个人数据保护法(PDPA),Bitsmedia可能面临 严重的经济处罚。 新加坡本月刚刚更新了数据保护法规,以允许本地企业未经事先同意就出于某些目的(例如业务改进和研究)使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款,超过先前100万新加坡元上限。 新加坡通信和信息部长伊斯瓦兰(S. Iswaran)在 讨论修正案的讲话中说,数据是数字经济中的关键经济资产,因为它提供了有价值的见识,可为企业提供信息并提高效率。 Iswaran说,它还将增强创新能力并增强产品,并成为具有变革潜力的新兴技术(如人工智能(AI))的重要资源 。 PDPA的主要变化之一是“同意的例外”要求,该要求现在允许企业出于“合法目的”,业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外,还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。 此外,PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据,以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。 企业还可以在未经同意的情况下使用数据来促进可能尚未标记为产品化的研发。除“视为”和“例外”之外,所有其他目的(例如直接营销信息)仍然需要获得消费者的事先同意。 PDPC去年调查了185起涉及数据泄露的案件,并发布了58项决定。它命令39个组织支付170万新加坡元的罚款,其中最高罚款分别为75万新加坡元和25万 新加坡元,分别由综合健康信息系统和新加坡卫生服务处处置。       消息及封面来源:zdnet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

交友网站 Bumble 暴露用户信息

交友网站Bumble暴露了用户的政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 在仔细查看了Bumble(通常由女性发起对话)的代码后,安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款,而且还能够访问近1亿用户个人信息。 该公司回应,Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示,此类服务与黑客颇有渊源。 漏洞详情 Sarda通过电子邮件告诉Threatpost:“我花了大约两天的时间找到了最初的漏洞,又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知,但这些问题可能会造成重大破坏。” 她对Bumble漏洞进行了反向工程,并发现了多个端点,这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。 Bumble Boost的另一项高级服务被称为The Beeline,它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说,她使用开发者控制台来找到一个端点,该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。 但是,除了高级服务之外,该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据,从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段,其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 黑客还可以判断用户是否安装了移动应用程序,以及他们的定位。 漏洞报告 Sarda说,ISE团队向Bumble报告了该发现,试图在公开进行研究之前缓解漏洞。 “在公司沉默了225天之后,我们着手进行了发表研究的计划,”萨达通过电子邮件告诉Threatpost,“只有当我们开始谈论公布时,我们才会在20/11/11收到HackerOne的电子邮件,内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。 Sarda解释说,她在11月1日进行了重新测试,所有问题仍然存在。截至11月11日,“某些问题已得到部分缓解。” 她补充说,这表明Bumble对他们的漏洞披露程序(VDP)的反应不够。 根据HackerOne的说法,并非如此。 “漏洞披露是任何组织安全状况的重要组成部分,” HackerOne在一封电子邮件中告诉Threatpost,“确保漏洞可以由人们自己解决,这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题,但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作,以确保迅速解决所有与安全相关的问题,并确认没有用户数据受 漏洞管理 Cequence Security常驻黑客Jason Kent认为,API是一种被忽视的攻击媒介,并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。           消息及封面来源:threatpost,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Zoom 新功能:发现 Zoombombing 攻击后警告会议组织者

视频会议软件厂商 Zoom 今天推出了一项新的功能,如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险,那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”,在 Zoom 的后端服务器上运行,通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接,那么就会自动向会议组织者发送电子邮件,并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid,是指在没有收到邀请的情况下,擅自进入到某个 Zoom 会议中,并通过侮辱,播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体,Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接(有时是其密码),要求其他人中断会议后发生的。       (消息来源:cnBeta;封面来自网络)  

儿童游戏 Animal Jam 制作公司 WildWorks 确认发生数据泄漏事件

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据,Animal Jam 是美国最受欢迎的儿童游戏之一,在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息,但是 WildWorks 采取了比大多数公司更积极的措施,从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说,黑客在 10 月初偷走了 4600 万条 Animal Jam 记录,但直到 11 月才获悉该漏洞。 该公司表示,有人闯入了公司用于员工之间进行通信的系统之一,并访问了一个秘密密钥,该密钥使黑客能够侵入公司的用户数据库。坏消息是,已知被盗数据至少在一个网络犯罪论坛上流传,这意味着恶意黑客可能会使用(或正在使用)被盗信息。 该公司表示,被盗的数据可以追溯到过去 10 年,因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感,但该公司警告说,这些失窃记录中有3200万具有玩家的用户名,2390万记录具有玩家的性别,1480万条记录包含了玩家的出生年份,而 570 万条记录了玩家的完整的出生日期。 该公司表示,黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说,有12653个父母帐户具有父母的全名和帐单地址,有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示,除了帐单地址外,没有其他帐单数据(例如财务信息)被盗。 WildWorks还表示,黑客窃取了玩家的密码,促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密,这使得密码可能无法解密并有可能被破解,或者使用和 Animal Jam 相同密码的其他账户。       (消息及封面来源:cnBeta)

印度杂货电商 BigBasket 遭黑客攻击 2000万 用户信息被泄

援引多家印媒报道,印度最大杂货电商 BigBasket 近期遭受黑客网络攻击,导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式(移动和手机)、地址、生日、住址和登录 IP 地址等等,这些信息在暗网上以 300 万卢比(约 26.8 万人民币)的价格出售。 安全公司 Cybel 在10月30日发现安全泄露事件之后已经告知了 BigBasket。并且该电子商务平台已向位于班加罗尔(Bangaluru)的网络犯罪小组(Cyber Crime Cell)投诉。该公司正在评估“索赔的违反程度和真实性”。 Cyble 表示:“在我们常规的暗网监控过程中,我们的研究团队发现 BigBasket 的数据库以超过 40000 美元的价格在暗网上出售。这些泄漏的信息包括数据库部分;表名称为‘member_member’。该 SQL 文件的大小约为 15GB,其中包含近 2000 万用户数据”。 虽然该公司在 BigBasket 的客户泄露的详细信息中提到了“密码”,但应注意,该公司使用 OTP 或通过 SMS 发送的一次性密码,每次用户登录其帐户时,该密码都会不断更改。 BigBasket 在一份声明中表示:“BigBasket获悉了潜在的数据泄露事件,并正在与网络安全专家协商并评估解决方案,以评估破坏行为的范围和真实性。我们还向班加罗尔的网络犯罪小组备案,并打算大力追究其罪魁祸首”。     (消息来源:cnBeta;封面来自于网络)

FBI 发出一个会窃取美政府机构及私人企业源代码的安全警告

据外媒报道,日前,FBI发出了一个安全警报,其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出,这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用,各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示,一些公司没有保护这些系统,它们使用的是默认的管理凭证(admin/admin)并在默认配置(端口9000)上运行。 FBI官员称,威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库,然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告,但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时,数据泄露猎人Bob Diachenko警告称,那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年,瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉,Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露,FBI的警告列出了公司可以采取的一系列保护措施,首先是改变应用的默认配置和凭证,然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     (消息来源:cnBeta;封面来自于网络)

酒店预订平台泄露 Booking.com 等在线预订网站的用户数据

据外媒报道,西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现,Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库,并得出结论称,它包含了价值24.4GB的数据,总计超过1000万个文件。 值得一提的是,Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台,用于处理顶级预订网站上的房间供应并实现自动化。在此案中,该软件公司在没有任何安全措施的情况下,存储了旅行社和酒店客户的信用卡数据。结果,客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告,被曝光的数据属于酒店客人,包含以下内容: 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码,包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件,所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责,Holden在报告中表示。 由于Prestige软件公司总部位于欧洲,而暴露的数据属于全球各地的人,包括欧洲公民的公民;该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户,目前还不清楚你的数据是否被第三方恶意访问。然而,正如最近所见,网络犯罪分子一直在扫描暴露的数据库,窃取数据并在暗网市场上出售,或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件,4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上,并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中,Hackread.com报道称,2019年12月,一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月,同样的数据库在一个黑客论坛上以600美元的价格出售。       (消息来源:cnBeta;封面来自于网络)