分类: 数据泄露

交友网站 Bumble 暴露用户信息

交友网站Bumble暴露了用户的政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 在仔细查看了Bumble(通常由女性发起对话)的代码后,安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款,而且还能够访问近1亿用户个人信息。 该公司回应,Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示,此类服务与黑客颇有渊源。 漏洞详情 Sarda通过电子邮件告诉Threatpost:“我花了大约两天的时间找到了最初的漏洞,又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知,但这些问题可能会造成重大破坏。” 她对Bumble漏洞进行了反向工程,并发现了多个端点,这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。 Bumble Boost的另一项高级服务被称为The Beeline,它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说,她使用开发者控制台来找到一个端点,该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。 但是,除了高级服务之外,该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据,从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段,其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 黑客还可以判断用户是否安装了移动应用程序,以及他们的定位。 漏洞报告 Sarda说,ISE团队向Bumble报告了该发现,试图在公开进行研究之前缓解漏洞。 “在公司沉默了225天之后,我们着手进行了发表研究的计划,”萨达通过电子邮件告诉Threatpost,“只有当我们开始谈论公布时,我们才会在20/11/11收到HackerOne的电子邮件,内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。 Sarda解释说,她在11月1日进行了重新测试,所有问题仍然存在。截至11月11日,“某些问题已得到部分缓解。” 她补充说,这表明Bumble对他们的漏洞披露程序(VDP)的反应不够。 根据HackerOne的说法,并非如此。 “漏洞披露是任何组织安全状况的重要组成部分,” HackerOne在一封电子邮件中告诉Threatpost,“确保漏洞可以由人们自己解决,这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题,但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作,以确保迅速解决所有与安全相关的问题,并确认没有用户数据受 漏洞管理 Cequence Security常驻黑客Jason Kent认为,API是一种被忽视的攻击媒介,并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。           消息及封面来源:threatpost,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Zoom 新功能:发现 Zoombombing 攻击后警告会议组织者

视频会议软件厂商 Zoom 今天推出了一项新的功能,如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险,那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”,在 Zoom 的后端服务器上运行,通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接,那么就会自动向会议组织者发送电子邮件,并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid,是指在没有收到邀请的情况下,擅自进入到某个 Zoom 会议中,并通过侮辱,播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体,Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接(有时是其密码),要求其他人中断会议后发生的。       (消息来源:cnBeta;封面来自网络)  

儿童游戏 Animal Jam 制作公司 WildWorks 确认发生数据泄漏事件

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据,Animal Jam 是美国最受欢迎的儿童游戏之一,在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息,但是 WildWorks 采取了比大多数公司更积极的措施,从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说,黑客在 10 月初偷走了 4600 万条 Animal Jam 记录,但直到 11 月才获悉该漏洞。 该公司表示,有人闯入了公司用于员工之间进行通信的系统之一,并访问了一个秘密密钥,该密钥使黑客能够侵入公司的用户数据库。坏消息是,已知被盗数据至少在一个网络犯罪论坛上流传,这意味着恶意黑客可能会使用(或正在使用)被盗信息。 该公司表示,被盗的数据可以追溯到过去 10 年,因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感,但该公司警告说,这些失窃记录中有3200万具有玩家的用户名,2390万记录具有玩家的性别,1480万条记录包含了玩家的出生年份,而 570 万条记录了玩家的完整的出生日期。 该公司表示,黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说,有12653个父母帐户具有父母的全名和帐单地址,有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示,除了帐单地址外,没有其他帐单数据(例如财务信息)被盗。 WildWorks还表示,黑客窃取了玩家的密码,促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密,这使得密码可能无法解密并有可能被破解,或者使用和 Animal Jam 相同密码的其他账户。       (消息及封面来源:cnBeta)

印度杂货电商 BigBasket 遭黑客攻击 2000万 用户信息被泄

援引多家印媒报道,印度最大杂货电商 BigBasket 近期遭受黑客网络攻击,导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式(移动和手机)、地址、生日、住址和登录 IP 地址等等,这些信息在暗网上以 300 万卢比(约 26.8 万人民币)的价格出售。 安全公司 Cybel 在10月30日发现安全泄露事件之后已经告知了 BigBasket。并且该电子商务平台已向位于班加罗尔(Bangaluru)的网络犯罪小组(Cyber Crime Cell)投诉。该公司正在评估“索赔的违反程度和真实性”。 Cyble 表示:“在我们常规的暗网监控过程中,我们的研究团队发现 BigBasket 的数据库以超过 40000 美元的价格在暗网上出售。这些泄漏的信息包括数据库部分;表名称为‘member_member’。该 SQL 文件的大小约为 15GB,其中包含近 2000 万用户数据”。 虽然该公司在 BigBasket 的客户泄露的详细信息中提到了“密码”,但应注意,该公司使用 OTP 或通过 SMS 发送的一次性密码,每次用户登录其帐户时,该密码都会不断更改。 BigBasket 在一份声明中表示:“BigBasket获悉了潜在的数据泄露事件,并正在与网络安全专家协商并评估解决方案,以评估破坏行为的范围和真实性。我们还向班加罗尔的网络犯罪小组备案,并打算大力追究其罪魁祸首”。     (消息来源:cnBeta;封面来自于网络)

FBI 发出一个会窃取美政府机构及私人企业源代码的安全警告

据外媒报道,日前,FBI发出了一个安全警报,其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出,这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用,各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示,一些公司没有保护这些系统,它们使用的是默认的管理凭证(admin/admin)并在默认配置(端口9000)上运行。 FBI官员称,威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库,然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告,但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时,数据泄露猎人Bob Diachenko警告称,那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年,瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉,Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露,FBI的警告列出了公司可以采取的一系列保护措施,首先是改变应用的默认配置和凭证,然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     (消息来源:cnBeta;封面来自于网络)

酒店预订平台泄露 Booking.com 等在线预订网站的用户数据

据外媒报道,西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现,Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库,并得出结论称,它包含了价值24.4GB的数据,总计超过1000万个文件。 值得一提的是,Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台,用于处理顶级预订网站上的房间供应并实现自动化。在此案中,该软件公司在没有任何安全措施的情况下,存储了旅行社和酒店客户的信用卡数据。结果,客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告,被曝光的数据属于酒店客人,包含以下内容: 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码,包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件,所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责,Holden在报告中表示。 由于Prestige软件公司总部位于欧洲,而暴露的数据属于全球各地的人,包括欧洲公民的公民;该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户,目前还不清楚你的数据是否被第三方恶意访问。然而,正如最近所见,网络犯罪分子一直在扫描暴露的数据库,窃取数据并在暗网市场上出售,或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件,4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上,并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中,Hackread.com报道称,2019年12月,一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月,同样的数据库在一个黑客论坛上以600美元的价格出售。       (消息来源:cnBeta;封面来自于网络)

瑞典最大保险公司泄露用户数据 近百万客户个人信息流入社交媒体

当地时间11月3日,瑞典最大的保险公司Folksam在新闻稿中证实,近100万客户的个人信息已泄露给Facebook和Google等社交媒体。Folksam表示歉意,并已要求公司删除该信息。 在一次内部审计中,Folksam发现与数字合作伙伴共享了大约100万人的个人数据,其中一些被认为是敏感的。Folksam已要求合作伙伴公司删除该信息。 “我们知道这会引起客户的关注,我们认真对待发生的事情。我们已立即停止共享个人信息,并要求将其删除。”Folksam营销和销售主管表示,“我们这样做的目的是分析并为客户提供定制的报价,但是不幸的是,我们没有以正确的方式做到这一点。” Folksam分享了可能被视为敏感的个人数据,例如,某人购买了工会保险或怀孕保险,以及特别值得保护的个人数据——个人社会保险号。Folksam已要求已收到个人信息的合作伙伴将其删除。当前,没有信息表明该信息已被第三方以任何不当方式使用。 从Folksam接收个人数据的公司有Facebook,Google,Microsoft,Linkedin和Adobe。     (消息来源:cnBeta;封面来自网络)

承诺会保护隐私的社交应用 True 却意外曝光用户私人数据

据外媒TechCrunch报道,True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞,该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出,Hello Mobile是一家虚拟手机运营商,依附于T-Mobile的网络。 True官方网站介绍称,公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上,其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示,该曝光早在9月初就已经发生。 在TechCrunch联系True之后,这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在,但并没有回答他们提出的具体问题,包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解,控制面板包含了从今年2月开始的每日服务器日志,像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外,控制面板还会暴露用户上传的电子邮件和电话联系方式,True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出,控制面板还对外泄露了账号访问令牌,这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字,但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌,并使用它访问其帐号并在上面发布消息。 此外,控制面板还显示了一次性登录代码,True会将这些代码发送到与账号关联的电子邮件地址或电话号码,而不是存储密码。 True表示,在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此,他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前,TechCrunch无法联系到Hello Mobile的发言人。     (消息及封面来源:cnbeta)

安全专家发现链接预览会泄漏敏感数据

链接预览几乎是主流聊天和即时信息应用中标配的功能,它能预览链接中关联的图像和文本,从而让在线对话更加轻松。但遗憾的是,它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池,甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究,目前 Facebook,Instagram,LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息,应用可能会显示该链接随附的文本(通常是标题)和图像,通常看起来会是下面这样的: 为此,应用程序本身(或由应用程序指定的代理)必须要先访问该链接,打开文件,并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件,以至于导致应用崩溃,耗尽电池或消耗有限的带宽。而且,如果链接指向私人材料(例如,将报税表发布到私人OneDrive或DropBox帐户),则应用服务器可以无限期查看和存储它。 本周一,安全研究人员塔拉尔·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现,Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示,两个应用程序都会下载并复制整个链接文件,即使文件大小为千兆字节也是如此。同样,如果文件是用户希望保密的文件,则可能会引起关注。 即使链接的文件容量高达 2.6 GB,在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现,该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说,其服务器仅下载图像的缩小版本,而不下载原始文件,并且该公司不存储该数据。 但是 Mysk 表示,该视频演示了 Instagram 全部下载了 2.6GB 文件(Ubuntu ISO,文件重命名为ubuntu.png )。他还指出,大多数其他 Messenger 会剥离 JavaScript,而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是,它没有复制任何大小的文件,而是仅复制了前50兆字节。 同时,当 Line 应用程序打开加密消息并找到链接时,它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道:“我们认为这违反了端到端加密的目的,因为LINE服务器知道通过应用程序发送的所有链接,以及谁与谁共享链接。” Discord,Google Hangouts,Slack,Twitter和Zoom也会复制文件,但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     (消息来源:cnBeta;封面来自网络)  

谷歌聘请的律师事务所 Fragomen 确认一起数据泄露事件

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务,以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案,以确保他们拥有合法的工作许可,并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息,包括护照、身份证和驾照等政府文件,以及其他个人身份数据,这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示,上个月发现,未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中,Fragomen没有说明被访问的数据是什么样的,也没有说明有多少谷歌员工受到影响。根据州法律规定,受违规事件影响的加州居民超过500人的公司,必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     (消息来源:cnbeta;封面来自网络)