分类: 数据泄露

国泰航空因 2018 数据泄露事件被英国 ICO 罚款 50万 英镑

外媒报道称,因 2018 年在欧盟《通用数据保护条例》(GDPR)生效后发生的一次数据意外泄露事件,国泰航空已被英国数据监督机构处以 50 万英镑的罚款。据悉,本次漏洞暴露了全球约 940 万客户的个人详细信息,且其中有 111578 名来自英国。经过数月的调查,信息专员办公室(ICO)于今日正式宣布了这项惩罚。 外媒指出,这可能是根据英国相关法律而指定的最高罚款金额,且与该航空公司在 2018 年秋季发生的数据违例事件有关。 国泰航空当时表示,其在三月份首次发现了针对该公司系统的未经授权访问,但并未解释为何花了那么久的时间才公开。 本次违例导致乘客的详细信息被泄露,包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。 ICO 今日称,针对国泰航空系统的未经授权访问,最早可追溯到 2014 年 10 月 14 日。已知针对个人数据的窥探,最早记录是 2015 年 2 月 7 日。 监管机构在一份新闻稿中写道:“ICO 发现国泰航空公司的系统是通过连接到互联网的服务器进入的,并被安装了恶意软件来收集数据”。 调查期间,监管机构记下了大量的错误和疏漏,包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。 由 ICO 对国泰航空的处罚可知,英国已将欧盟的 GDPR 框架纳入了该国的法律,对涉及个人数据的违例采取了更加严格的惩戒措施。 根据要求,在当地有开展业务的数据控制者在意识到违例行为发生后,必须在 72 小时内通报英国国家监管机构。 此外 GDPR 包含了更加严格的罚款制度,最高可达全球年营业额的 4% 。不过由于事件发生在新规生效之前,ICO 还是按照先前的英国数据保护法规来设定罚款金额,否则国泰航空将面临更猛烈的冲击。 去年夏天,曝出安全漏洞被利用的英国航空因在 GDPR 生效后泄露了 50 万名旅客数据,而被 ICO 处以年收入 1.5% 的罚款(高达 1.839 亿英镑)。   (稿源:cnBeta,封面源自网络。)

英国多个火车站免费 Wi-Fi 暴露用户数据

Security Discovery的一名研究人员发现,与英国多个火车站的免费Wi-Fi热点连接的用户数据已存储在非密码保护的数据库中。该数据库包含1.46亿条记录,其中包括电子邮件地址,年龄范围,旅行原因,设备数据和其他日志。 运营数据库的C3UK在2月14日星期五(即报告的同一天)限制了对数据库的公共访问。据发现这一问题的耶利米·福勒(Jeremiah Fowler)说,这样公开的电子邮件数据库增加了针对性网络钓鱼攻击的风险。 研究人员表示,许多人使用他们的真实姓名作为电子邮件地址的一部分,并进一步暴露他们的个人身份。在这种情况下,任何有互联网连接的人都可以看到用户所在的站点、时间戳、他们可能看到的广告、他们居住的邮政编码等等。每一条信息基本上都是一个拼图块,可以用来描绘用户的真实身份。 随着越来越多的免费Wi-Fi热点开始出现在城镇周围,提供商和消费者都将不得不开始思考如何更好地保护数据。对于最终用户来说,使用Jigsaw的Intra或虚拟专用网络等工具可以更好地保护数据。   (稿源:cnBeta,封面源自网络。)

以色列选举管理应用程序意外泄露了数百万选民的数据

近年来,数据泄露和安全漏洞有着高发的态势,甚至在一些重要的领域都难以幸免。以色列报纸 Haaretz 报道称,由第三方管理的 Elector 选举应用,近日就曝出了严重的问题,导致超过 600 万的选民数据被意外泄露。据悉,该应用由一家名叫 Feed-b 的公司开发和运营。尽管其迅速采取了措施,但已为时过晚。 为方便向支持者传达信息、并引导其至就近的投票站,以色列各政党纷纷推出了选举类应用程序。 然而由于 Feed-b 管理不善,导致外界可在未公开的一段时间内,无限制地访问 645 万 3254 名公民的等数据。 信息中包括了用户的全名、身份 ID、地址、性别、电话号码、以及以色列选民不经意间提供的其它个人数据。 以色列报纸 Haaretz 指出,这并不是他们首次见到类似的安全违例,但可能是规模最大的一次。   (稿源:cnBeta,封面源自网络。)

研究人员通过操纵电脑屏幕亮度来设法盗取数据

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行,与互联网断开连接,并受到严格的监督。虽然这些安全措施使它们更难被破解,但过去已经探索出几个秘密通道,利用计算机的声音、热量,甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度,然后用监控摄像机进行视频流捕获,最后通过图像处理解码。 研究人员已经能够通过简单地更改电脑屏幕亮度级别,来从电脑中提取数据,这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道,以色列本·古里安大学网络安全研究中心负责人Mordechai Guri博士与两名学者一起进行了这项研究。 尽管目标电脑不需要网络连接或物理访问来传递数据,但确实需要先感染恶意软件,该恶意软件将敏感信息编码为“字节流”,然后通过缩小尺寸在屏幕上对其进行调制亮度变化,人眼看不见。然后,被破坏的画面由摄像机记录下来,攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出,这个秘密通道是不可见的,即使用户在电脑上工作,这种攻击也无法察觉。 通过显示-摄像头通信,屏幕被一系列的1和0调制,研究人员能够以0%的错误率重建信息。对于他们的实验,他们使用了安全摄像机、摄像头和智能手机,距离目标PC的距离不同,数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策,研究人员建议实施严格的政策,他们还建议在屏幕上使用偏振光片,这样可以为用户提供清晰的视野,但远处的摄像头只能录到暗屏。   (稿源:cnBeta,封面源自网络。)

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。 去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。 不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。” 公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。 这些患者数据记录非常详细,大多包括以下个人和医疗细节: 名字和姓氏; 出生日期; 审查日期; 调查范围; 成像程序的类型; 主治医师; 研究所 / 诊所; 生成的图像数量 攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。   (稿源:cnBeta,封面源自网络。)

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。 该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:  ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。 我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。 第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源:cnBeta,封面源自网络。)

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)