分类: 数据泄露

西部数据(WD)的 My Cloud EX2 存储设备默认配置泄露文件信息

据外媒 4 月 26 日报道,安全公司 Trustwave 的研究人员发现 ,西部数据(Western Digital:简称 WD)的 My Cloud EX2 存储设备默认情况下会在本地网络上泄漏文件,无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机,则情况会变得更糟。因为在这种情况下,My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。 根据 Trustwave 发布的安全公告,My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地网络用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用,也可以访问存储上的文件。也就是说,任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作,例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。 Trustwave 研究人员表示,泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下,未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制,从设备上获取任何文件。 Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题,并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC, 并建议用户关闭 DLNA 以保护数据。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

MongoDB 服务器漏洞泄露加密货币 Bezop 用户信息

据外媒 4 月 26 日报道,网络安全公司 Kromtech 偶然发现了一个 MongoDB 数据库,其中包含了超过 25,000 名投资或得到 Bezop(加密货币)的用户的个人信息,涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照或身份证等数据。 Bezop 是去年年底推出的一个新的加密货币,最近它的团队举办了一次首次发行代币(ICO),以筹集资金来创建一个由区块链驱动的电子商务网络。让该加密货币声名大噪的是, 网络安全专家约翰迈克菲将 Bezop 列入其“每周 ICO ”推荐信中加入了 Bezop ,不过后来 Bezop 团队承认向 McAfee 支付了费用来进行促销。 目前,该货币在 CoinMarketCap 网站上排名第 728 位,其交易价格为每股 0.06 美元。 据悉,该数据库存储了的数据与 Bezop 团队年初开始运行的“ 赏金计划 ” 有关,在项目期间,该团队将 Bezop 代币分发给在其社交媒体帐户上宣传货币的用户。 Bezop 发言人表示,该数据库包含约 6,500 名 ICO 投资者的详细信息,其余部分则是针对参与公众赏金计划并收到 Bezop 代币的用户。 直到 3 月 30 日,Kromtech 的研究人员在谷歌云服务器上发现了 MongoDB 数据库之后,数据似乎一直保持在线,并且该数据库没有适当的身份验证系统,允许任何连接到它的人访问存储的信息。 Bezop 发言人承认了这一违规行为,声称数据库是无意中在网上曝光的,但并没有用户资金因此遭受损失。另外投资者身份卡也没有存储在数据库上,而是直接链接到他们的 URL ,目前这也是处于脱机状态的。 Bezop 团队本周表示该数据库已经安全关闭了,并且也及时通知了其用户这一泄露事件。其实这并不是唯一 影响 Bezop 用户的安全相关事件。今年早些时候,Steemit 博客指责该公司通过电子邮件以明文发送 ICO 注册密码,以至于不必要地在线暴露用户。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

iPhone 解锁设备制造商 Grayshift 遭遇短暂的数据泄露

因生产 iPhone 解锁设备 GrayKey、并向美国多个执法机构销售,制造商 Grayshift 早已陷入舆论的风口浪尖。然而近日,该公司又遭遇了一起数据泄露,据说攻击者访问到了一小部分的 GrayKey 代码。外媒 Motherboard 报道称,上周,有不知名的黑客泄露了 GrayKey 的部分代码,并且向 Grayshift 勒索 2 枚比特币,不然就威胁进一步泄露其数据。 外媒称泄露的这部分数据“并不是特别敏感”,而 Grayshift 方面也证实发生了“短暂”的数据泄露: 本月早些时候,由于在客户站点上的一项网络配置错误,一款 GrayKey 装置的 UI 被短暂曝光到了互联网上。 在这段时间里,有人访问了构成 UI 的 HTML/Javascript 代码,但没有敏感的 IP 或数据被暴露,当时 GrayKey 进行了验证测试。 这项配置已完成变更,以帮助我们的客户阻止未经授权的访问。 尽管黑客以此为要挟,向 Grayshift 索取 2 比特币的封口费,但其提供的钱包地址到现在还没有得到任何资金。 不过 Motherboard 指出,在使用计算机搜索引擎 Shodan 的时候,还是能看到一款疑似暴露于互联网上的 GrayKey 设备和类似的代码: 要暴力破解复杂的字母数字密码,请上传自定义密码字典。如果字典没有上传,GrayKey将不会尝试暴力破解自定义的字母数字密码。 尽管基于 GrayKey 的技术可能会在未来某个时候被 iOS 系统更新给堵上,但据目前所知,其对最新款的 iOS 设备(包括 iPhone X)仍然有效。 稿源:cnBeta,封面源自网络;

Facebook 数据泄露门主角英议会作证:我没有影响美国大选

当地时间星期二,身处近 1 亿 Facebook 用户个人信息被滥用漩涡中心的剑桥大学研究人员亚历山大·科根(Aleksandr Kogan)表示,他的所作所为对微定向广告——影响美国大选所需要的一种广告——没有什么帮助。科根说,他收集的数据对定向广告几乎没有什么帮助,他获得的数据对确定个人身份没有用。 他在向提交给英国议会委员会的书面证词中说,“如果目标是在 Facebook 上发布广告,我认为我们所做的项目没有什么意义。事实上,Facebook 提供了更有效的工具,使企业能根据用户的个性,而非我们提供的用户得分向他们发布广告。” Facebook 曾表示,在科根开发一款心理测试应用后,约 8700 万用户的个人资料可能被不恰当地共享给政治咨询公司剑桥分析。 Facebook 和剑桥分析都把科根列为数据滥用问题的元凶,但科根曾经表示,他成为卷入这一丑闻的公司的替罪羊。剑桥分析将于晚些时候在一次会议上回应科根的评论。 科根说,前剑桥分析 CEO 亚历山大·尼克斯(Alexander Nix)之前曾向议会说谎,称自己没有从他那里获得数据,“我们肯定向他提交了数据,这是无可争辩的。在被问到尼克斯曾说谎时,科根回答说,“,这一问题的答案是绝对肯定的。” 但科根表示,他认为剑桥分析母公司 SCL 不大可能将他提供的数据用于特朗普大选。 科根说,他从未从其创办的研究公司 GSR 领取过薪酬,来自 SCL 的大部分资金用于编写软件、获得数据和支付法务费用。他被允许保存通过这一项目收集到的数据。 科根表示,GSR 与 Facebook 存在密切合作关系,他在这家公司的合伙人之一约瑟夫·钱塞勒(Joseph Chancellor)目前就在 Facebook 任职。 科根表示,Facebook 称他欺骗了用户,这纯粹是谎言,是说谎者的危机公关,“公关就是公关,他们很容易指责其他人”。 稿源:cnBeta、凤凰网科技,封面源自网络;

Health Stream 在网上公开数据库,约 10000 名医务人员联系数据可能泄露

IT 专家发现,美国医疗公司 Health Stream 在网上公开了一个数据库,其中包含约 10000 名医务人员的联系方式、名字、邮箱地址以及 ID 等信息。 该公司接到事件汇报后,已经及时将相关内容下线,但是在其他在线缓存中,还是能查到这些数据。这些数据可被恶意攻击者利用,针对该公司员工进行钓鱼攻击。 IT 专家将此事披露出来,提醒企业组织重视 IT 基础设施安全。而目前,Health Stream 尚未对此事作出回应。 稿源:freebuf,封面源自网络;

Cambridge Analytica 研究员回击 Facebook

据外媒 CNET 报道,与 Facebook 数据隐私丑闻有关的应用程序开发人员 Aleksandr Kogan 表示,他不确定自己是否阅读过该社交网络的开发者政策,该政策禁止类似他开发的应用向 Facebook 营销公司出售或授权 Facebook 数据。 据外媒 CNET 报道,与 Facebook 数据隐私丑闻有关的应用程序开发人员 Aleksandr Kogan 表示,他不确定自己是否阅读过该社交网络的开发者政策,该政策禁止类似他开发的应用向 Facebook 营销公司出售或授权 Facebook 数据。 “对硅谷的信仰以及我们的信念……当然是普通大众必须意识到他们的数据正在被销售和共享,并用于向他们做广告,”科根告诉 CBS 的 Lesley Stahl 。“没人关心。” 为响应 Kogan 的采访,Cambridge Analytica 周日发布了一项回应,称 Kogan 和他的 GSR 公司已作出合同承诺,认为这些数据符合数据保护立法,并且该许可证仅适用于美国的 3000 万参与者。Cambridge Analytica 公司也敲定了 Kogan 数据的质量,并表示他们在2015年开始自愿收集愿意参与者自己的数据。 “Cambridge Analytica 公司的研究表明,与通过人口统计分组人群的传统方式相比,由 GSR / Kogan 许可的人格类型表现不佳,”该公司在声明中表示 Cambridge Analytica 再次强调称他们收到的原始数据以及系统中数据的衍生物在 Facebook 联系他们后被删除。 Cambridge Analytica 公司是引发两个国家政府和全球最大社交网络丑闻的核心。Facebook 在上个月禁止了这家总部位于英国的政治数据分析公司,称数据泄露事件中受影响的用户数多达 8700 万。 Facebook 曾表示,剑桥大学讲师 Kogan 通过个性测验应用程序合法收集数据,但后来通过与 Cambridge Analytica 共享信息违反了 Facebook 的条款,后者在 2016 年美国总统大选期间被特朗普竞选团队聘用。Cambridge Analytica 在周日的声明中表示,特朗普竞选期间使用的数据是由共和党全国委员会提供的。 Facebook 在 2015 年了解到数据泄露情况,但没有通知公众。相反,公司要求所有相关方都销毁这些信息。最近的报道称数据还没有完全删除。 Cambridge Analytica 公司一再表示,它通过合法授权的公司获得了数据。 稿源:cnBeta,封面源自网络;

泰国最大 4G 移动运营商 TrueMove H 遭遇 AWS S3 存储桶数据泄露

据外媒 4 月 15 日报道,泰国最大 4G 移动运营商 TrueMove H 于近期遭遇了数据泄露,一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上,其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示,其子公司 I True Mart 遭受到了此次泄露的影响。 安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers,例如此次事件,Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H,但该操作人员并没有做出回应。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

超 15 亿敏感文件被曝光 快检查你的信息安全

据 digital shadows 报道,在三个月的时间内有超过 15 亿个敏感文件被公开在网上,其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的,而是由配置错误的云存储、文件交换协议和文件共享服务导致的。 此次被曝光数据量高达 12,000 TB,这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储(NAS)驱动器上就可以轻易获得。 其中来源于 Amazon S3 Bucket 的占了 7%,SMB 占了 33%,Rsync 占了 28%,FTP 占 26%。 更加震惊的是,这些数据中有一些高度敏感的信息,例如安全审计报告、网络基础架构详细信息,甚至是渗透测试报告!Digital Shadows 称:“对这些被公开的文件进行分析表明,组织和个人在无意中暴露了大量的信息,这些数据会使具有恶意的攻击者受益,包括间谍和经济罪犯。”不论是个人还是组织,都应该尽快检查自己的信息安全状况。 稿源:cnBeta、开源中国,封面源自网络;

FB 泄露影响 31 万澳洲人 但实际只有 53 人用了测试 App

Cambridge Analytica 曾经利用个性测试 App 收集 Facebook 用户数据,不过只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 31 万,也就是说绝大多数人并没有直接同意 Cambridge Analytica 收集自己的个人数据。周一时,Facebook 开始联系全球受影响的用户,数量高达 8700 万,当中有些人来自澳大利亚。 Facebook 告诉受影响的用户,说他们的个人数据被分享给 Cambridge Analytica。大规模数据泄露的罪魁祸首是一个不知名的个性测试 App,名叫“ thisisyourdigitallife ”,它收集参与者及其朋友的个人信息。 《卫报》澳大利亚版报道称,只有 53 名澳大利亚人使用该 App,而受影响的澳大利亚人有 311127 人,也就是说当中绝大多数只是 App 用户的朋友,他们有的在澳大利亚,有的在国外,根本没有同意 App 收集自己的数据。这一数字让安全专家感到吃惊。 新西兰的情况也一样。在本次泄露事故中,有 6.4 万个新西兰帐户受到影响,但是下载个性测试 App 的新西兰人只有 10 位。 澳大利亚隐私基金会主席大卫·维勒(David Vaile)认为,即使有 53 人使用 App,他们也有可能是在极为可疑的情况下允许 App 收集数据的。维勒认为,用户的许可不健全,开发者给出的条款和条件随时可以改变,一旦同意不能取消,而且这种同意是根据不公平条款制定的,App 开发者先用大量迷惑难解的信息和法律概念淹没用户,然后再让用户签约。维勒还认为,个性测试 App 的用户可以代表其它人同意开发者收集数据,这样的许可根本没有任何意义。 稿源:cnBeta,封面源自网络;

FB 数据丑闻爆料人:泄密用户数据可能存储在俄罗斯

Facebook 数据泄密丑闻爆料人克里斯多夫·威利(Christopher Wylie)上周日表示,受到此次事件影响的用户总数可能超过 8700 万,而这些数据可能存储在俄罗斯。 威利表示,通过心理测试应用收集 Facebook 用户数据的剑桥大学教授亚历山大·科根(Aleksandr Kogan)可能允许把这些数据存储在俄罗斯。科根经营的 Global Science Research 在没有经过用户允许的情况下,将这些数据分享给备受争议的政治数据分析公司剑桥分析(Cambridge Analytica)。 “我认为,真正的风险在于,这些数据可能已经被很多人使用,而且可能存储在世界各地的不同地方,包括俄罗斯。原因在于,收集这些数据的教授当时在英国和俄罗斯之间往来,他当时效力于一个俄罗斯资助的心理学项目。”威利接受 NBC 采访时说。 他补充道:“我不能告诉你有多少人使用过这些数据,这最好由剑桥分析来回答,但我可以说,有很多人都曾接触过这些数据。” Facebook 和剑桥分析均未对此置评。科根也没有作出回应。 威利认为,受到此次事件影响的人数可能超过 Facebook 上周公布的 8700 万人。《观察家》和《纽约时报》最初的报道认为这一数字约为 5000 万人。剑桥分析曾经表示,他们通过 Global Science Research 获得的 Facebook 用户数据不超过 3000 万。 相关阅读: –Facebook 宣布遏制选举舞弊和用户操纵的新举措 –美国参议员:Facebook 丑闻可能“很严重” 难自行解决 –消息人士称扎克伯格将在周一会见美国立法者 稿源:新浪科技,封面源自网络;