分类: 数据泄露

成人交友网站 Ashley Madison 因数据泄露被罚 160 万美元

上周三,美国联邦贸易委员会(FTC)已要求成人“交友”网站 Ashley Madison 支付 160 万美元罚款,因其未能保护好数据致使 3600 万用户资料泄露。 2015 年夏天,黑客盗取了 Ashley Madison 网站数据库,数据包括 3600 万用户用户名、密码和其他个人信息。黑客将数据公布在网上,多个 Ashley Madison 网站用户因忍受不了偷情行为被曝光为自杀、其他成员也遭到敲诈勒索。 2016 年 7 月联邦贸易委员会展开调查,以确定该网站是否存在安全保障不足、隐私保护不到位问题,以及调查网站是否遵守了约定:付 19 美元即刻永久删除用户资料。调查结果显示:网站未采取有效措施保护用户数据,且未遵守约定:付 19 美元删除个人资料,而是继续保存 12 个月。网站本将面临括 1760 万美元罚款,但最后考虑到网站无力支付,改成 160 万美元罚款。 稿源:本站翻译整理,封面来源:百度搜索

澳洲国民银行“意外”发错邮件, 60000 客户敏感资料泄露

据 ABC 新闻报道,澳洲国民银行(NAB)意外将包含 60000 名海外客户个人详细信息的邮件发送到错误的收件地址,相关信息已经泄露。上周五,澳洲国民银行(NAB)承认工作失误致使客户信息泄露并对此向公众道歉。NAB 已经写信通知了受影响的客户,告知数据泄露的具体情况。电子邮件中包含的信息有姓名、地址、电子邮件、BSB 号码和账户号码,但邮件中不包含任何密码信息。 澳洲国民银行称,这是一起人为事故并非黑客入侵,受影响的客户都来自海外,澳大利亚本地用户不受影响。银行表示目前尚未看到受影响的帐户存在异常活动,银行将继续进行监测。在这批泄露的账户信息中,大约 40% 的账户已经被注销或者超过 1 年没有使用。约 19000 个账户存款少于 2 美元。 澳洲国民银行已将事件详情通知澳大利亚信息专员办公室以及澳大利亚证券和投资委员会,并表示会深刻反省错误、改进和加强相关的流程处理。 稿源:本站翻译整理,封面来源:百度搜索

LinkedIn 向用户发送教育网站 Lynda.com 数据泄露通知邮件

据外媒报道,日前,LinkedIn 开始向 55000 位用户发出一封通知邮件,告知他们旗下在线教育网站 Lynda.com 发生数据外泄,曝光的数据包括用户的联系人、课程等在线学习数据。不过这家公司表示,未经授权的第三方入侵了数据库,目前还没有证据表明用户的密码也在泄露数据范围之内,它仅提醒用户近期要多加小心,并且也没有在邮件中要求他们更改密码。 Lynda.com 在 2015 年 4 月被 LinkedIn 收购。而在一周半前,微软刚刚以 262 亿美元完成了对 LinkedIn 的收购,这也意味着 Lydia.com 已经为微软持有。 除了通知邮件之外,LinkedIn 和微软都没有就这一数据泄露事件发表正式声明。 不过相对于最近火热的雅虎 10 亿账户数据泄露事件,和之前 LinkedIn 的上亿用户数据泄露来说,这还不算太严重。 稿源:cnbeta.com有删改,封面来源:百度搜索

雅虎 10 亿账户泄露数据已被 30 万美元出售给多个买家

前几日,雅虎官方证实 2013 年 8 月遭到另外一起入侵事件,导致超过 10 亿账号的登录凭证等铭感数据泄露。 据纽约时报最新报道,10 亿账户泄露数据自今年 8 月起已经开始以 30 万美元标价在暗网上出售,最可怕的是泄露数据已经被卖出去三份。安全公司 InfoArmor 的首席信息官 Andrew Komarov 表示其中两个是“垃圾邮件分发商”,另外一个买家被认为是网络间谍组织并很可能已经利用泄露数据发动了攻击。 安全公司 InfoArmor 猜测该黑客组织来自东欧地区,并确定被盗信息包括姓名、密码、电话号码、安全问题及相应答案。此外,泄露的数据中含 15 万美国政府和军方雇员账户,这也加大了网络间谍组织购买数据的可能性。 由于最近媒体的不断曝光以及雅虎重置密码的策略,泄露数据的价格也大幅下降,现在只需支付 2 万美元就可以获得完整的数据。 稿源:本站翻译整理,封面来源:百度搜索

“说俄语”的黑客试图大量出售美国选举援助委员会登陆凭证

根据安全公司 Record Future 本周四公布的最新博文,一名“说俄语”的黑客正试图销售从美国选举援助委员会(EAC)窃取的 100 多个登陆凭证,其中部分帐号还具备最高级别的管理权限。对此Record Future表示,通过这些登陆凭证入侵者能够非常轻松从委员会窃取敏感信息。 根据Record Future获得的截图,黑客能够访问关于选举系统和软件测试的诸多细节。EAC 表示已经禁止访问受影响的应用,并通过和联邦执法部门的合作,确定犯罪活动的来源。EAC于2002年成立,出了验证选举投票系统之外,还是行政选举开发最佳策略。 稿源:cnbeta.com,封面来源:百度搜索

雅虎披露数据泄露新事件,涉及 10 亿用户帐户信息

雅虎官方证实超过 10 亿用户帐户在 2013 年的 cookies 伪造攻击中失窃。这起事件与之前披露的 5 亿用户帐户失窃不相关。 雅虎官方表示,内部安全人员发现了一些新的证据,表明公司还遭受过另外一次网络攻击。目前,10 亿数据尚无公开下载的渠道,泄漏事件是由雅虎官方自查发现并主动告知用户。 雅虎称,未经授权的第三方在 2013 年 8 月窃取了超过 10 亿账号的数据,失窃信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5 未加盐哈希密码,部分加密或未加密的安全问题和答案。雅虎解释密码并非明文,但 MD5 哈希密码早就被认为不再安全。 雅虎表示,银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称,调查显示攻击者通过学习雅虎的专有代码学会如何伪造 cookies,然后利用伪造的 cookies 不用密码就能访问用户帐户。 雅虎已让伪造的 cookies 失效。它表示在 2013 年夏天开始使用 bcrypt 哈希加盐保护用户密码,但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件,目前还不知是否会影响到 Verizon 的收购。 稿源:solidot奇客有删改,封面来源:百度搜索

黑产盯上国家电网,掌上电力千万级用户数据流出?

国家电网面向 4 亿用户推出的掌上电力 App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向 21 世纪经济报道爆料:“掌上电力、电 e 宝 App 正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入黑产,危害持续扩大。” 掌上电力系国内首批电力便民服务类 App,注册用户可以通过该 App 进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。2016 年 11 月开始,国家电网在全国 27 个省(市、区)开始全面推广掌上电力,目前已拥有接近 9000 万用户。 知情人士透露,“掌上电力开始面向消费者推广时,淘宝上就开始出现了大量提供 ‘掌上电力绑定’ 服务的店铺,他们给各省电力公司提供关注、注册、绑定等服务,为各省的掌上电力迅速增加‘用户量’。” 记者以关键词“掌上电力”在淘宝搜索,共发现 180 多个店铺,其中销量较高的 72 个店铺历史销量总计 831807 笔,产品中包括关注、注册、绑定三类。 国家电网已向淘宝举报 12 月 9 日,国家电网已经向淘宝官方提起投诉、举报,但至 12 月 12 日下午 14 时,掌上电力绑定服务仍未下架。 12 月 12 日 15:40 之后,21 世纪经济报道记者搜索“掌上电力”,大量宝贝已被下架,此前记者统计过的销量较高的宝贝均显示“商品过期不存在”。但仍然有 70 多个宝贝出现在搜索结果中,而且,记者统计过的 72 家店铺均未被关闭,已经有店铺通过更改宝贝图片、夹带关键词等方式逃避审批,上述使用淘宝直通车服务的商户,仍然排在广告栏的首位。 官方否认大量信息泄露 近日国家电网对外联络部回应称:“经查证,根据目前掌握的实际情况和公司现有的技术管控手段,在推广掌上电力、电 e 宝 App 过程中不存在泄露大量户号、查询密码、详细地址的情况。” 稿源: 21 世纪经济报道 节选,有改动与更新,封面:百度搜索

欧洲刑警组织意外泄露 54 份反恐调查数据

据荷兰 ZEMBLA 电视节目 11 月 30 日报道,由于欧洲刑警组织工作人员失误,导致反恐调查数据意外泄露。数据包含 54 个文件 700 多页秘密调查档案。文件涉及 2006〜2008 年马德里爆炸案等多起恐怖事件调查结果,也包括从未被公开过的反恐调查事件。 欧洲刑警组织副主任 Wil van Gemert 已经承认了泄露事件,并发表了完整的声明:一位经验丰富的工作人员违反了工作条例,在家中将内部数据下载至个人硬盘之上,但没有对连接网络的硬盘设置密码保护,导致数据泄露。经过调查目前数据泄露并未造成负面影响,文件中的部分人士仍处于“长期”调查活动的监控状态。欧洲刑警组织已向各盟国发出通告并继续追踪事件进展,此外还将进行内部整改,避免此类事件发生。 稿源:本站翻译整理,封面来源:百度搜索

黑客组织 “Amn3s1a” 入侵云盘网站 Mega.nz 泄露源码数据

黑客组织 Amn3s1a 近日窃取了国外高速云盘网站 Mega.nz 服务器的 2GB 源代码数据,并将源码数据公布在网上。 该云盘在国外比较受欢迎,它最显着的功能是所有上传的文件都通过 JavaScript 在本地加密并提供 50GB 存储空间,并支持高达 4TB 的付费空间。在国内由于使用环境问题,反应速度比较慢,用户体验不太好,通过代理访问会改善些。 黑客称获得了文件共享网站 Mega.nz 管理员帐户登录凭证并利用一个特权升级漏洞入侵了公司的服务器获得了内部文件。黑客表示该工具有一个“严重”的缺陷,它竟然没有开源,所以黑客进行了此次入侵行动。 外媒 ZDNet 称已经获得了黑客泄露的部分源代码数据,文件约 800MB 似乎是 Chrome 浏览器扩展插件 Megachat (内置即时通讯服务)的源代码, Mega 官方发表声明表示,用户的数据被单独的存储在系统上并不受数据泄露影响,此外,黑客也无法访问关键源代码。 稿源:本站翻译整理,封面来源:百度搜索

GeekedIn 备份数据库泄露 800 万 GitHub 用户信息

据外媒报道,Troy Hunt 偶然收到一个数据交易中心发送的一份文件,该文件是一个大小约 594MB 名称为 geekedin.net_mirror_20160815.7z 的压缩文件。据称该文件属于 GeekedIn 网站八月份的 MongoDB 数据库备份。 在文件中,作者找到了自己的个人信息,下面是部分文件截图。 作者认为可能是 GitHub 数据泄露,进一步分析,作者发现这些配置信息似乎来自 GitHub 的公开信息,并发现 820 万个不同的电子邮件地址。 作者向 GitHub 反应了该情况并得到回复: 由于种种原因第三方会爬取 GitHub 上的公共数据,比如学术研究,官方允许这种类型的数据采集。但是,绝不容忍将数据用于商业目的。 但很显然 GeekedIn 公司将 GitHub 的用户信息用于商业用途。 稿源:本站翻译整理,封面来源:百度搜索