分类: 数据泄露

PayPal 旗下的 TIO Networks 运营系统存在安全漏洞,逾 160 万客户敏感信息在线泄露

据外媒报道,全球贸易支付公司 PayPal 于 12 月 1 日证实,公司旗下的 TIO Networks 运营系统存在安全漏洞,黑客已经访问了存储在其服务器中逾 160 万客户的敏感数据,包括用户可识别信息(PII)和部分财务细节。 TIO Networks 是一家基于云支付处理和收账款管理的加拿大提供商,于 2017 年 2 月被 PayPal 以 2.33 亿美元收购,其公司在北美地区经营着超过 60,000 个公共事业的票据支付系统。 TIO Networks 负责人表示:“我们对于此次事件的发生深表歉意,目前 PayPal 已暂停 TIO Networks 运营系统并与其相关部门合作,以便保障用户信息安全。另外,因为 TIO 系统完全独立于 PayPal 网络,所以 PayPal 平台并未受到任何影响。现我们正积极展开调查,一旦发现更多细节后我们将直接联系 TIO 客户并在官网 www.tio.com 发布最新进程。 知情人士透露,PayPal 正通知受影响客户并与一家消费者信用机构合作,从而为受害客户提供免费的信用监控会员资格,以便保障用户信息安全。此外,TIO Networks 客户还可以通过官网获取更多关于数据泄露的相关细节。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预警 | 逾六千台装备 Lantronix 串口的以太网设备暴露 Telnet 密码,可连接关键工控系统

HackerNews.cc 12 月 2日消息,NewSky Security 的首席安全研究员 Ankit Anubhav 于近期发现数千台装备 Lantronix 串口的以太网设备泄漏了 Telnet 密码。知情人士透露,攻击者可以借此针对连接设备发动网络攻击。 据悉,该设备服务器由美国供应商 Lantronix 制造,并被广泛应用于连接工控系统,其中大部分是老旧设备(只具备串行端口)。调查显示,此次暴露的以太网服务器串口是转用于连接远程设备的接口,例如:产品 UDS 和 xDirect 可以轻松通过 LAN 或 WAN 连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。 Anubhav 表示,当前逾有 6,464 台可连接到关键工控系统的 Lantronix 设备服务器在线泄露了 Telnet 密码,这些设备在 Shodan 上的曝光占了 48% 。据称,此次泄露事件不仅允许攻击者接管设备后使用特权访问将串行命令发送至连接设备,还能够允许攻击者可以通过在端口 30718 上发送一个格式错误的请求检索 Lantronix 设备配置。 另外,研究人员发现在 Metaploit 黑客平台包括一个 Lantronix  “ Telnet 密码恢复 ” 模块,该模块可用于通过配置端口(旧版本的 Lantronix 设备默认启用 30718 / udp)从 Lantronix 串口到以太网设备检索安装设置记录,并以明文方式提取 Telnet 密码。目前,补丁管理再次成为问题根源,而且易受攻击的设备并未(难以)通过更新来解决此类问题。 消息来源:Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国家信用联盟因亚马逊 AWS S3 配置不当,逾 100GB 用户敏感信息在线暴露

HackerNews.cc 12 月 1 日消息,网络安全公司 UpGuard 研究人员 Chris Vickery 于近期发现美国国家信用联盟(NCF)托管的亚马逊 AWS S3 存储器因配置不当,导致逾 100G 用户敏感数据在线暴露,其中包括用户姓名、地址、社保号码、银行账号以及信用报告等具体信息。据称,由美国三大知名信用机构 Equifax、Experian 与 TransUnion 整理的数千份客户信用报告也位于其中。 UpGuard 网络分析师 Dan O’ sullivan 在博客中写道:“经调查发现 NCF 创建的存储库中包含个性化信贷蓝图,即以一种特定形式收集用户大量敏感信息,包括客户所抵押的贷款细节以及信用卡账单支付时间。此外,该存储库中还包含了 NCF 员工访问客户记录,以及屏幕监控程序记录的所有计算机桌面视频。然而不管怎样,所有在线泄露的数据都极有可能遭黑客恶意利用,从而导致客户个人财产被窃。” 知情人士透露,该存储库一直都在持续更新并提供最新数据,直至研究人员告知公司 AWS S3 配置错误导致信息泄露后,NCF 才当即修改访问权限。这就意味着,如果黑客访问了该数据库,那么他们所要做的只是静静等待数据更新即可。据 UpGuard 研究人员估计,约有 4 万名 NCF 客户受数据泄露影响。另外,目前尚不清楚该存储器在线暴露时间,也不确定其是否已被非法访问。不过,该公司正开展深入调查并采取积极措施,以便确保客户财产安全。 相关阅读: ○ 美政府再因亚马逊 AWS S3 配置错误:超 100GB NSA 陆军机密文件曝光 ○ 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 ○ 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源:ibtimes.co.uk,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌被诉出售逾 500 万 iPhone 用户信息,或赔偿 27 亿英磅

据 11 月 30 日报道,在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后,谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置,收集用户的浏览历史数据。这一诉讼的目的,是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称,谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德(Richard Lloyd)表示,谷歌的行为“严重失信”于 iPhone  用户,这是“我经历过的最大案件”之一。 洛伊德说,“ 通过这一诉讼,我们将向谷歌和其他硅谷科技巨头发出一个强烈信号,如果我们的法律遭到践踏,我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为,单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC(英国广播公司)的声明中称,“这不是我们遭遇的第一起类似诉讼,以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义,我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中,谷歌以 2250 万美元“破财消灾”。 稿源:cnBeta,封面源自网络;

Uber 数据泄漏事件涉及 270 万英国用户,或将面临巨额罚款

据外媒体报道,继优步(Uber)披露 2016 年曾掩盖影响 5700 万用户的大规模数据泄露事件后,全球多个国家政府对该公司展开了调查。11 月 30 日,Uber 对英国数据保护监督机构称,在此用户数据泄漏事件中,大约有 270 万用户受到影响,其中泄露信息包括用户名、手机号、和电子邮件地址等。据悉,这覆盖了大部分英国 Uber 用户。目前,英国 Information Commissioner’s Office(ICO)要求 Uber 尽早通知那些受影响的英国司机和用户。 这次信息泄漏事件是对 Uber 的又一次打击。早在今年 9 月份,伦敦交通运输局宣布,在本月 30 日到期后,将吊销 Uber 在伦敦的运营资格牌照。该组织称 Uber 违规审查司机的背景,并且以不适当方式获取司机健康状况。Uber 新 CEO 在上周宣称,在 2016 年信息泄漏事件发生后并没有及时披露出来。而在现行英国法律中,未及时向监管机构披露信息泄漏事实的公司将面临最高 50 万英镑的罚款。 本周三,Uber 在其网站上称,经过第三方专家确认,没有迹象表明用户的其他信息,如历史乘车记录、信用卡帐号和生日日期,有被泄漏。并表示:“我们认为司机们对于这次事件无须采取任何补救措施,因为至今为止还没有发现与此次事件相关的信息滥用事件发生,不过我们一直在监控那些受影响的用户账户并提供了额外的保护 ”。目前,Uber 已经被强制要求退出一些国家,比如丹麦和匈牙利。在美国本土也不好过,或将面临来自多个州的监管诉讼。 稿源:新浪科技,封面源自网络;

美政府再因亚马逊 AWS S3 配置错误:超 100GB NSA 陆军机密文件曝光

HackerNews.cc 11 月 28 日消息,继数周前美国陆军中央司令部(CENTCOM)与太平洋司令部(PACOM)的敏感数据暴露于不安全亚马逊 AWS S3 服务器后,网络安全公司 UpGuard 研究人员 Chris Vickery 近期再次发现托管在 AWS S3 服务器的 47 份美国陆军情报与安全司令部(INSCOM)机密文件(逾 100GB )在线曝光,其中竟有 3 份重要文件可任意下载。 不安全 AWS S3 服务器中存有一份可下载的国防机密文件 研究人员表示,在线曝光的可下载文件中包含一份基于 Linux 操作系统和连接虚拟硬盘的 Oracle Virtual Appliance(.ova)镜像文件。不过,但他们无法启动操作系统或访问存储在虚拟硬盘上的任何文件,研究员猜测这可能与操作系统只能通过连接国防部(DOD)内部网络才能启动,这是保护敏感系统的典型做法。 尽管如此,研究人员还是通过分析存储在虚拟硬盘上的元数据(metadata)发现了 SSD 映像中包含的大量高度敏感数据,其中一些还涉及国家最高机密和部分 TOP SECRET(”绝对机密”)和 NOFORN(”不可向境外透露”)的安全标记,例如美国 NSA 远程接收的国防机密信息等。 在线泄露的文件包括此前 Red Disk 项目平台的残余数据 据悉,同一虚拟机中的另一份可下载文件夹中竟还包含了美国陆军此前所开展的 Red Disk 项目残余数据。这是一个由国防部基于云计算平台开发的陆军分布式公共地面系统(DCGS-A),其主要用于搜集战场情报。知情人士透露,美国国防部曾为 Red Disk 项目投入约 9300 万美元,希望能够帮助部署在阿富汗的战队军事。然而早期测试结果显示,该平台运存速度极其缓慢且阻碍了大多数现有行动。而这一项目也从未走出过测试阶段,因此国防部最终于 2014 年停止 Red Disk 计划。 此外,第三份可下载的文件是一个名为 “rtagger” 的压缩文件,其似乎是用来标记与分类机密信息的培训快照,以及将这些数据分配至确切 “区域” 的重要信息。 UpGuard 声称,虽然这并非是他们第一次在线发现美国政府机密文件泄露,但却是首次发现可以被任意访问的敏感数据。令人遗憾的是,这种云泄漏事件完全可以避免,因为它仅仅只是技术人员在 IT 环境中配置错误导致。目前,NSA 真正所需要面临的问题在于,他们尚不清楚有多少黑客已在线访问并下载了这些数据,也无法追踪其数据流动走向。不过,美国政府正展开深入调查并采取积极措施,以便确保国家信息安全。 相关阅读: ○ UpGuard 博客文章《Black Box, Red Disk: How Top Secret NSA and Army Data Leaked Online》 ○ 五角大楼 AWS S3 配置错误:意外发现全球 18 亿用户社交信息竟被秘密搜集 8 年 ○ GhostWriter 漏洞:配置错误的亚马逊 AWS S3 存储器存在 MitM 攻击风险 ○ 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源:Bleepingcomputer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

牛津剑桥俱乐部备份硬盘被盗,涉英国皇室等 5000 名会员数据泄露

据外媒近日报道,11 月 16 日位于伦敦市中心最独特的俱乐部之一的牛津剑桥俱乐部总部发生计算机设备失窃案,包含 5000 多名会员个人详细信息的备用硬盘被盗或导致重大数据泄露,其中包括会员姓名,家庭和电子邮件地址,电话号码,出生日期,照片和一些银行账户详细信息。此外数据库中还包括有大约 100 名工作人员个人信息。 据报道,由于信用卡和借记卡信息没有存储在硬盘上,而且磁盘上的数据受到多层安全措施保护,他人获得用户敏感信息的机会较为渺小。调查显示,菲利普亲王和查尔斯王子都是荣誉俱乐部成员之一,所幸并没有受到盗窃行为的影响。 该俱乐部已经联系了警方,并聘请私人调查人员调查盗窃和违规行为。警方也正在检查俱乐部监控记录,筛查俱乐部人员的进出情况。目前俱乐部已经写信给其 5000 多名会员,提醒他们注意监控各自银行帐户、警惕可能发生的钓鱼欺诈事件。 消息来源:IBT,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美英等多国就 Uber 数据泄露事件展开深入调查

据国外媒体报道,在优步(Uber)披露曾掩盖影响 5700 万用户的大规模数据泄露事件后,全球多个国家政府对该公司展开了调查。11 月 22 日,优步发布声明,承认 2016 年曾遭黑客攻击并导致数据大规模泄露。根据这份声明,两名黑客通过第三方云服务对该公司的服务器实施了攻击,获取了 5700 万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。而当时的优步管理层为隐瞒这一事件竟向黑客支付了 10 万美元封口费,要求黑客保持沉默并删除相关数据。目前,涉及此事的优步首席安全官和他的一位副手已被解雇。 据美国媒体报道,澳大利亚及菲律宾政府周三表示,它们将就优步对数据泄露事件的应对措施展开调查。新加坡个人数据保护委员会也表示,已了解到这一事件,并正与优步接触以获得更多细节。在欧洲,优步面临意大利、荷兰和英国至少三个国家的数据保护机构的调查,以及高达 50 万英镑的罚单。英国信息专员办公室副专员詹姆士·约翰斯通在一份声明中表示:“如果英国公民受到影响,我们应当接到通知,以便我们对事件的影响进行评估 ”。 根据英国法律,不向用户和相关机构通报信息泄露事件的,最高会被处以 50 万英磅罚款。约翰斯通说:“故意向监管机构和公民隐瞒信息泄露事件的企业,会被课以金额更高的罚款。”此外,优步在美国本土也将面临多个州和联邦政府的调查。据路透社报道,目前美国已有 4 个州的总检察长表示,他们已经对这一事件展开调查,分别是康涅狄格州、伊利诺斯州、马萨诸塞州和纽约州。马萨诸塞州总检察长莫拉-海利(Maura Healey)表示:“我们对优步的行为表示严重关切 ”。 联邦政府方面,美国众议员弗兰克-帕洛恩(Frank Pallone)呼吁国会举行听证会,“如果优步确实曾通过向黑客付钱掩盖信息泄露事件,这里边就可能存在其他问题,必须对此展开调查 ”。随后,美国联邦贸易委员会(FTC)也表示,已经在关注此事,但没有披露是否已经启动正式调查程序。美国联邦贸易委员会一位发言人说:“我们通过媒体报道获悉信息泄露事件后优步及其高管的行为,我们正在评估由此引发的严重问题。” 稿源:新浪科技,封面源自网络;

印度国家身份识别系统 Aadhaar 数据泄漏:超 210 个中央政府网站暴露公民身份信息

据外媒 IBTimes 报道,印度执法部门 RTI 于近期发现超过 210 家政府网站在线曝光了该国 公民身份识别系统、全球最大的生物识别系统 Aadhaar 详细信息,其中包括公民姓名、地址、Aadhaar 号码、指纹与虹膜扫描及其他敏感数据。目前尚未公布数据泄露严重程度。 Aadhaar 是印度政府于 2009 年启动的一台生物识别数据库,其主要是为了收集印度超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片与虹膜扫描。Aadhaar 在这一过程中已经深入到印度公民生活的方方面面,从学校上学到医院看病,再到银行进行金融服务,可谓是打开了前所未见的数据收集路径。知情人士透露,印度政府在启动 Aadhaar 数据库后不仅强制每位公民在各社会服务项目中使用 Aadhaar 号码验证身份,还希望他们把 Aadhaar ID 连接至银行帐户、手机号码、保险单、PAN(永久帐号)以及其他服务。 Aadhaar 发行机构 UIDAI 回应:“我们对于此次事件的发生深表歉意,目前这些数据已从上述网站删除。此外,我们还将定期对其进行安全审计与更新,以及适当控制与监测内外人员、材料与数据的任何流动,以确保用户数据安全”。 不过,该机构并未具体说明此次数据公布的相关细节,如有多少公民信息遭到威胁、数据在这些网站上暴露了多长时间,以及是否已有违规事件发生等。 消息来源:ibtimes.co.uk ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

五角大楼 AWS S3 配置错误:意外发现全球 18 亿用户社交信息竟被秘密搜集 8 年

据外媒 IBTimes 报道,网络安全公司 UpGuard 研究人员 Chris Vickery 于今年 9 月中旬发现美国五角大楼托管的 3 台亚马逊 AWS S3 服务器 “centcom-backup”、“centcom-archive”与“pacom-archive” 因配置错误,导致任何未经授权的用户均可公开访问。值得注意的是,其中一台服务器竟包含了美国国防部(DoD)从各新闻网站、评论栏、网络论坛以及 Facebook 等社交平台搜集的近 18 亿用户(绝大多数都是全球守法公民)在线发布的切身内容,且此举似乎于 8 年前就已开始(2009-2017)。 Vickery 表示,由于此次泄露的数据是情报人员通过用户公开发布的帖子整理而成,因此它仅仅暗示了美国政府有意监视的内容。尽管在线公开的数据库没有包含任何敏感信息,但美国政府确实搜集了用户社交信息,以及所发布不同内容的用户数据。此外,该数据库中的社交内容包含了多国语言,不过主要是英文、阿拉伯文与波斯文。 目前,尚不了解美国政府为什么搜集用户社交信息,但此举严重影响了公民隐私与自由问题。此外,研究人员也不清楚在线暴露的数据是否已被黑客访问,但他们极其担心黑客会在访问后对境外网民进行暴力攻击。据 CNN 报道,Vickery 在发现问题后当即向国防部报告,但并未及时得到响应。 然而,美国中央司令部发言人 Josh Jacques 近期证实:“此次泄露事件由 AWS S3 配置错误导致,其用户可绕过安全协议访问数据。不过,我们现在已对其进行了保护与监控。一旦发现未授权访问,我们将采取额外措施,以防网络犯罪分子非法访问。此外,我们搜集用户社交信息并无他意,仅仅用于政府公共网站的在线课程策划。 知情人士透露,尽管五角大楼可能会面临一些关于收集用户社交内容的批评,但在线搜集公开信息并不违法。但这一问题也引发了公民对五角大楼能否确保数据安全的担忧,因为这已经不是五角大楼第一次因 AWS S3 配置错误而遭受巨大破坏。今年 6 月,美国承包商 Booz Allen Hamilton 在线曝光了与高度保密的国家地理空间情报机构(NGA)有关的近 28GB 敏感数据。 这已经不是亚马逊 AWS S3 因配置错误引发的第一起数据泄露事件了,近期澳大利亚广播公司(ABC)的两台亚马逊 S3 服务器也被曝因技术问题在线泄露大量敏感信息,包括数千名用户的电子邮件、密码、股票文件以及生产服务数据等。HackerNews.cc 在此提醒国内外使用亚马逊 AWS S3 存储服务的企业及时自查,以免发生数据泄露造成不可挽回的损失。 相关阅读: 因亚马逊 AWS S3 配置错误,逾 54 万汽车跟踪设备登录凭证在线暴露 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。