分类: 数据泄露

Equifax 发生大规模数据泄露后,两名负责信息与安全的高管宣布离职

据外媒报道,在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布,Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示:“Equifax 对这一事件的内部调查仍在进行当中,公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息,引起消费者利益维护者和立法者的愤慨,他们要求该公司对这一事件作出解释。此外,美国参议员 Elizabeth Warren 在同一天提出一项法案,防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示,该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的,而 Equifax 则表示其在五月份遭遇黑客攻击,引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源:cnBeta,封面源自网络;

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

美国 FTC 开始着手调查 Equifax 机构信息泄露案件

震惊全美的数据泄密事件过后,信用报告机构 Equifax 遭到美国联邦贸易委员会(FTC)和众议院的调查,未来更可能受到 SEC 等监管机构的调查。Equifax 于本周四证实,当前正接受 FTC 现场调查。 FTC 公共事务代理负责人 Peter Kaplan 表示,FTC 通常不会针对正在进行的调查作出评论,但因为这件事关乎公众利益,其潜在影响也较为重要。因此现在证实FTC 正在就 Equifax 数据泄露一事进行调查。Equifax 上周公开承认,公司在 7 月底发现数据库遭黑客入侵,数据泄露涉及 1.43亿 美国消费者,其黑客访问信息主要包括姓名、社保号码、出生日期、地址,有时还包括驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。 这是去年雅虎宣布两起网络漏洞以来,最备受瞩目的网络安全漏洞。不仅如此,公司三位高管在 8 月初共计出售近 200 万美元的股票,这难免引发有关内幕交易的猜测。此外,Equifax 开通一个名为的 Trust ID Premie 网站,令消费者得以确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护。然而,公司的用户服务条款隐含了一个陷阱——如果资料被泄露,并注册了这个网站,用户将同意放弃向 Equifax 发起集体诉讼的权利。这无疑再度引燃民众不满。 近四十名参议员在本周二要求司法部、SEC 和 FTC 联手调查这家公司高管在泄密发生后抛售股票的操作。据悉,Equifax CEO 将会就公司客户大规模信息泄漏事件于 10 月 3 日参加众议院的一个委员会听证。英国《金融时报》报道称,这家公司也可能面临美国 SEC 以及多个州检察长的调查。 除了 Equifax 之外,美国还有 TransUnion 和 Experian 两大征信巨头。Equifax 泄密事件过后,整个行业受到的监管可能升级。本周四,这家公司股票开盘后暴跌超 9%,随后跌幅收窄,当日收跌 2.44%,盘后下跌 1.21%。上周五信息泄露事件曝光以来,Equifax 股价累计跌幅达 30% 以上,市值蒸发近 50 亿美元。 稿源:cnBeta、华尔街见闻,封面源自网络;

美国信用巨头 Equifax 数据泄露后发布查询服务网站遭用户质疑

美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过,公司随后上线了一个服务网站,允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询,用户需要放弃自己起诉获得赔偿的合法权利。除此之外,Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示:“允许用户起诉公司并不是为大众利益或公益事业服务,企业在当前的法律下将面临严厉的民事责任条款 ”。 不过,研究人员对其网站进行验证时发现,当输入一些看似随机的姓氏与社保号码时,并不能确保返回信息是否准确。例如:任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时,系统验证输出该公民 “ 可能已受到影响 ”。另外,有趣的是,两名不同用户验证同一账号时,却得到两种不同结果。目前,Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

MoneyBack 数据泄漏:400GB 墨西哥游客个人资料暴露于不安全数据库中

据外媒 9 月 8 日报道,网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现国际知名退税公司 MoneyBack 运行了一台不安全数据库,导致逾 400GB 墨西哥游客敏感信息在线泄露,其中包括用户姓名、地址、电话号码、信用卡数据等。 MoneyBack 是一家向国际游客办理退税手续的公司,其全球各零售商店均与该公司合作,并鼓励游客通过境外购物以获得减税优惠。 Bob Diachenko 近期在一篇博客中表示: “ 我们于今年 8 月首次发现该数据库因无密码保护,允许任意黑客轻易访问并通过 MoneyBack.mx 告知用户虚假增值税率以骗取钱财。随后,我们于 9 月 4 日对其进行审查与分析,以便确定影响范围 ”。 研究人员通过扫描 455038 份文件发现,该数据库还包含来自美国、加拿大、阿根廷、哥伦比亚、意大利等多国公民护照信息。此外,他们检测到上传该数据库的第一份文件可追溯至 2015 年,而最近的上传日期为 2017 年 5 月。 据悉,MoneyBack 在该事件曝光后立即修改访问权限以确保用户数据安全。不过,研究人员尚不清楚数据信息是否已被黑客利用。目前,MoneyBack 并未作出任何置评。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国信用机构 Equifax 遭黑客入侵,1.43 亿用户记录在线泄露

据外媒 9 月 8 日报道,美国征信企业 Equifax 披露称,公司网站遭黑客攻击,1.43 亿美国公民记录在线泄露。 美国共有 3 家大型老牌征信企业,Equifax 正是其中之一,它掌管 8 亿公民的信用、保险记录,如果黑客想窃取数据,Equifax 往往会成为攻击目标。Equifax 表示,泄露从 5 月中旬开始,直至 7 月 29 日公司才察觉。 目前,犯罪分子已获取公民个人信息,其中包括姓名、住址、出生日期、社会保障号,有时还会包含驾照信息。据悉,黑客可以通过访问公民信息,为受害用户创建帐户或接管帐户。此外,在美国泄露的信息还包括 20.9 万人的信用卡卡号、18.2 万人的特定争议文件。 为了应对危机,Equifax 开通一个向所有美国公民提供 1 年免费保护的服务网站,可以对公民信贷进行监控,以防止身份被窃,只是暂时还不知道是否实用。由于受害者众多,泄露的信息也很多,这可能是近年来最大的泄露事故。之前雅虎虽然泄露了 10 亿帐户的信息,不过里面没有包含社会保障号和驾照号码。 稿源:cnBeta、新浪科技,封面源自网络;

时代华纳逾 400 万客户信息在线泄露,又是亚马逊 AWS S3 配置错误惹的祸?

据外媒 9 月 6 日报道,继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后,安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据,导致逾 400 万客户信息在线泄露,其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。 BroadSoft 是一家知名云服务企业,其上市公司在 80 多个国家拥有逾 600 家服务供应商。BroadSoft 合作伙伴通常与通信、电信、媒体或其他领域的知名企业有关,其中包括时代华纳、AT&T、Sprint、沃达丰等大型公司。此外,在全球排名前 30 的服务提供商中,有 25 家都使用 BroadSoft 基础设施。 调查显示,研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现,管理人员因配置错误未关闭服务器公共访问权限,导致任意用户均可匿名访问。因此,攻击者只需使用匿名登录就可从该数据库中窃取想要信息。目前,BroadSoft 并未作出任何置评,而时代华纳在事件发生后当即通知受害用户并告知供应商删除所有数据记录。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印度 Aadhaar 收集十亿国民指纹虹膜,好意初衷却惹隐私争议

据《大西洋月刊》发布文章称,印度最大的生物识别数据库 Aadhaar 近期引发隐私战。作为该国的生物识别身份项目,Aadhaar 的初衷是帮助政府解决诸多的社会问题,简化政府服务提供流程,但它的实际效果并不理想,非但没有帮助政府本想帮助的众多群体,还爆发了多起信息泄露事件,让本已弱势的人受到更大的伤害。 2009 年,印度政府启动一个后来成为全球第一大生物识别数据库的新身份项目,当时该举在国外并未引起关注。该项目名为 Aadhaar,收集超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片和虹膜扫描。在这一过程中,Aadhaar 渗透到印度人们日常生活的每一个方面,从学校上学到医院看病,再到银行获得金融服务。它可谓打开了规模前所未见的数据收集的路径。 印度政府认为 Aadhaar 是解决诸多社会问题的重要解决方案,但在评论家眼里,它则是向国家实施监控迈出的一步。如今,Aadhaar 实验面临着来自印度最高法院的严重威胁——一个可能关乎其存亡的威胁。8 月末,印度最高法院作出一项一致性判定,首次在印度宪法中认定隐私的基本权利。该判定备受 Aadhaar 反对者的拥护,他们认为该项目与该新授予的权利背道而驰。不久以后,最高法院将会聚焦该问题,如果他们发现 Aadhaar 违反隐私权,那么立法委员将需要重新考虑整个项目。但如果最高法院裁定该项目符合宪法,那本已经受困于眼界和野心的 Aadhaar 将会继续发展下去。 Aadhaar 项目向所有的印度居民开放,一开始是自愿参与,仅提供少数的一些政府补助,其中包括食物补助和用于做饭做菜的液化石油气补助。它瞄准的是那些最需要这些资源的人群,尤其是那些因为没有官方身份证而无法开银行账户或者参与原来的福利项目的农村居民。 不过,该项目渐渐偏离了使命。在外包公司 Infosys 联合创始人南丹·尼勒卡尼(Nandan Nilekani)的领导下,Aadhaar 被用来将由数据驱动的改进应用于各类公共和私营行业服务。印度议会成员杰伦·兰密施(Jairam Ramesh)讽刺该项目是“强制性自愿参加”。目前,该项目已经出现大量个人隐私信息遭滥用的证据。过去几个月备受关注的案例常常见诸报端: 210 家政府机构公开福利受益人的全名、地址和 Aadhaar 号码;1.1 亿用户的 Aadhaar 信息从电信公司 Reliance Jio 外泄(该公司声称那些外泄数据是不真实的);超过 1 亿人的银行账户和 Aadhaar 细节信息通过特定的公开政府门户被泄露;政府的电子医院数据库被入侵,Aadhaar 机密信息遭访问。 对此,自由软件法律中心法务总监米什·乔杜里(Mishi Choudhary)不感到意外。他指出,“我们正处在一个科技以几乎一模一样的方式席卷整个地球的阶段。很多国家都在相互参考,以获得如何调整它们的法律体系适应现代世界的指引 ”。 稿源:cnBeta、网易科技,内容有删减;封面源自网络。

拉丁美洲流行社交平台 Taringa 逾 2800 万账户在线暴露

数据泄漏平台 LeakBase 近期透露,社交媒体平台 Taringa 逾 2800 万账户信息在线暴露,其包括用户名、电子邮件地址与散列密码。目前,LeakBase 已获得被盗数据库副本。 Taringa 被称为拉丁美洲最大的在线网站,是拉丁美洲网民用于创建与分享日常生活、教程、食谱与艺术等兴趣的社交平台。 调查显示,Taringa 用户所使用的散列密码算法 MD5 极其薄弱,致使黑客能够轻松破解后进行黑客活动。实际上,LeakBase 研究人员已经在短短几天内成功破解 93.79%( 近 2700 万)的散列密码,其中包含超过 1500 万个单一密码。为检测数据是否真实,LeakBase 在 THN 上分享了 450 万名 Taringa 用户的转储数据后通过电子邮件地址随机与部分 Taringa 用户取得联系并利用已破解的纯文本密码进行登录,从而得到证实。 知情人士透露,此次数据泄露事件似乎可以追溯至今年八月,但该公司仅通过邮件通知网站受害用户。不过,作为该事件的回应措施,Taringa 在用户使用旧密码访问账户时通过电子邮件向用户发送密码重置链接。以下是 Taringa 数据泄露的相关统计数据: 不幸的是,多数破解的密码仅由字母或数字组成,其不包含任何特殊字符或符号。下面研究人员列出了 Taringa 用户最常用的密码,如 123456789、123456、1234567890、000000、12345 与 12345678。由此表明,Taringa 平台并未强制用户使用复杂密码进行账号保护。 除破解密码外,LeakBase 还可以查看泄露数据转储中包含的电子邮件地址,其最常见的电子邮件域如下所示: 目前,研究人员不仅建议 Taringa 用户尽快更改密码,还提醒他们不要通过电子邮件点击任何可疑链接或附件并在无需验证下提供个人或财务信息。 附:有关 LeakBase 分析的更多详细信息 原作者: Pierluigi Paganini ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历,或含美驻印尼大使、中情局前员工信息

HackerNews.cc 9 月 2 日消息,安全公司 UpGuard 网络风险研究人员 Chris Vickery 近期发现第三方招聘公司 TalentPen 因安全疏忽,导致逾 9,400 份美国私人安全公司 TigerSwan 的雇佣简历在未受保护的 Amazon Web Services (AWS)存储服务器上泄露,其中包括员工住址、电话号码、电子邮件地址、驾驶执照与护照号码以及社会保险号码等敏感信息。 相关调查显示,这些雇佣简历在线暴露了 TigerSwan 自 2008 年成立来所有员工资料,其中包括许多加入公司且目前仍在伊拉克战争后期、索契奥运会以及北达科他州管道参加抗议活动提供安全支持的员工信息。此外,虽然多数简历申请人以美国退伍军人为主,但其中还是包含几份据称是与美国部队、政府机构合作的伊拉克与阿富汗雇佣简历。然而,UpGuard 还在发表的博客文章中宣称,上述泄露的雇佣简历还包括前美国驻印尼大使的联络资料,以及中情局秘密服务的前任主席敏感信息,其中许多人具备最高机密的安全许可。研究人员表示,此类数据在国外情报机构中会受到“高度关注”。 亚马逊已于 8 月 24 日关闭 TalentPen 服务器,随后 TigerSwan 发表声明宣称:“ 公司已通知受害用户数据泄露的情况以防黑客展开网络钓鱼攻击。我们认真考虑到 TalentPen 未能确保公司信息安全并对员工造成不便表示遗憾。现今我们将与 TalentPen 终止合作并建立一台属于 TigerSwan 的安全站点,以便公司今后将雇佣简历传输至 TigerSwan 服务器。目前,TalentPen 并未发表任何评论。 原作者:Zack Whittaker ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接