分类: 数据泄露

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道,圣地亚哥市律师 Mara Elliott 已向益百利信用机构( Experian )提起诉讼,称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计,约有 3000 名消费者可能遭受影响,其中包括圣地亚哥估计的 25 万人。 根据 Elliott 的说法,一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探,获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司,2012 年被益百利收购)的消费者信息数据库。 该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息,然后通过暗网将其转卖给其他犯罪分子。据估计,全球约有 1300 名恶意人士购买了这些数据,这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表,骗取了 6500 万美元的欺诈性退税。 截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。 加利福尼亚州法律对违规行会处以高达2,500美元的罚金,这意味着该公司可能面临数百万美元的罚款。 参考链接: 《圣地亚哥联合论坛报》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Facebook 被指多年来一直收集 Android 设备的呼叫与短信元数据

上周,一名新西兰男子从 Facebook 上拖回了自己的数据档案,结果惊讶地发现该社交网络一直在收集 Android 设备上的许多信息。Dylan McKay 查看了其中有关已存储的联系人部分,才知道 Facebook 在大约两年的时间里,一直在收集它手机上与呼叫有关的数据,包括姓名、电话号码、以及接打通话的时长。 如上图所示,为了方便地追踪用户的电话和消息,Facebook 在 2017 年 10 月份之前就偷偷摸摸地这么做了,其利用了旧 Android API 的权限处理方式。 此外,许多人遇到了与 Dylan McKay 一样的问题,并与其展开了讨论。 外媒 ArsTechnica 编辑 Sean Gallagher 在查看了自己的档案后发现,其中包含的通话记录(以及短彩信等)数据,甚至包含了自己在 2015 – 2016 年间用过的一部分 Android 设备。 在回应 ArsTechnica 有关该数据收集的邮件提问时,一名 Facebook 发言人答复到,这是为了方便 app 与服务用户,使其轻松找到想要联系的人。 “所以当设备首次注册时,一款消息或社交 app 是会这么做的(上传手机通讯录),这是一种在业内被广泛采用的做法”。 不过该发言人指出,联系人的上传是可选的,并且在 app 安装期间明确列出了这一权限。如果想要在个人资料里删除联系人数据,可以借助 Web 浏览器端的一款工具。 据悉,手机通讯录是 Facebook 好友推荐算法的一部分。在最近面向 Android 与 Facebook Lite 设备的 Messenger 应用程序中,其已经向用户发出更明确的请求,以访问呼叫和短信日志。 即便用户未授予许可,Facebook 的移动应用多年来无意中都这么做了,因为旧版本的 Android(尤其是 4.1 Jelly Bean 之前)的默认权限处理方式存在缺陷。 直到 16 版本,Android API 的权限结构才发生了改变。遗憾的是,如果 Android 应用程序被写入了 API 的早期版本,就可以绕过这一限制,而 Facebook 就故意这么做了。 Google 在 2017 年 10 月份弃用了 Android API 4.0,这也是 Facebook 用户数据中发现的通话元数据的截止时间点。相比之下,苹果 iOS 从未允许对用户数据进行静默访问。 稿源:cnBeta,封面源自网络;

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

FB 及 Cambridge Analytica 因用户数据泄露事件面临诉讼

据外媒 CNET 报道,一位使用 Facebook 已有八年时间的用户劳伦·普莱斯(Lauren Price)近日因 Cambridge Analytica 公司通过 Facebook 收集 5000 多万人的私人数据而将这两家公司告上法庭。该诉讼周二在圣何塞美国地区法院受理,诉讼称这些公司违反了加州的不正当竞争法。原告要求这些公司支付损害赔偿金,并且作为拟议的集体诉讼,向其他类似受影响的人赔偿。 此前参与涉及 Experian 和 Target 数据泄露事件集体诉讼的 Morgan&Moran 律师事务所的 John Yanchunis 律师提起诉讼。法官需要确定它是否被认证为集体诉讼,这可能意味着许多其他 Facebook 用户可以加入案件。 “此案涉及被告(Facebook和Cambridge Analytica)选择无视原告的个人信息。虽然此信息应被保护,并且仅用于明确披露和有限的目的,但 CA 未经授权…不正当地收集了将近 5000 万 Facebook 用户的个人信息,而 Facebook 则知道这种不正当的数据收集正在发生并且未能阻止它,“这起诉讼称。“Facebook 的’信任模式’充满了安全漏洞,并且几乎完全放弃了对其自己的规则进行审核的责任,限制第三方使用 Facebook 数据。” Facebook 方面则指责 Cambridge Analytica 公司:“我们致力于大力执行我们的政策来保护人们的信息,我们将采取一切必要措施来避免这种情况发生,”Facebook 副总法律顾问 Paul Grewal 在声明中表示。“当我们在 2015 年得知这一违规行为时,我们从 Facebook 上删除了相关应用程序并要求获得来自 Cambridge Analytica 公司和业务合作伙伴 Christopher Wylie 和 Aleksandr Kogan 的证书。Cambridge Analytica、Kogan 和 Wylie 都向我们证明他们销毁了这些数据。” 但是该诉讼是 Facebook 处理隐私丑闻时遇到的另一个问题。目前一些社交媒体上已经出现了# DeleteFacebook (卸载 Facebook)的运动,并出现针对该公司首席执行官马克扎克伯格的批评以及政府对有关事件的调查。 Cambridge Analytica 公司并未立即回应置评请求。 相关阅读: Facebook COO 回应数据泄露丑闻:对监管持开放态度  Facebook 新闻发言人:威胁起诉曝光丑闻媒体是错误的 受隐私事件影响 Mozilla 暂停在 Facebook 上投放广告 稿源:cnBeta,封面源自网络;

Facebook 数据泄露惊动英国首相,扎克伯格破例上 CNN 危机公关

据外媒报道,当地时间周三晚,Facebook CEO 马克·扎克伯格为公司合作商– Cambridge Analytica 用户隐私丑闻一事道歉。他在接受 CNN 采访时说道:“ 这是对信任的严重违背,对此我真的感到非常抱歉。我们现在的责任就是确保这种事情不再发生。” 与此同时,英国首相特蕾莎·梅(Theresa May)也在周三表示自己并不知道英国政府和“ 剑桥分析 ”或是其母公司之间的任何现有合同。她支持对处于 Facebook 数据泄露事件中心的“剑桥分析”(Cambridge Analytica)公司进行调查。 扎克伯格的道歉首次反映了 Facebook 存在允许第三方开发商访问用户数据的情况。这位  CEO、创始人进行了一次罕见的媒体之旅,除了 CNN,他还向 Verge 的姊妹网站–Recode 解释了公司对这次丑闻的看法。 同日早些时候,扎克伯格还在 Facebook 发帖称,公司在处理 CA 数据泄露事件中犯了错误。而实际上公司已经对此展开了一系列减少用户数据被共享给外部开发商的计划,另外他们还在 2014 年的时候就实施了需要对访问大规模数据开发商进行审计的规定。 扎克伯格在 CNN 资深科技记者 Laurie Segall 的访谈中还提及到了: 他已经通知多家媒体愿意在国会面前露脸; 他告诉 CNN 他并没有完全反对监管,“ 我不确定我们不应该受到监管,有一些东西像广告透明度规定我就很乐意看到”; 他对公司没能在 2015 年 CA 首次出现欺诈性行为的时候展开更深入的调查,并表示未来确保不再犯这样的错误; 他表示 Facebook 有信心在中期选举之前免遭有不良意图的人的利用。扎克伯格告诉 CNN:“这不是什么火箭科学。虽然我们需要做大量的工作来让像俄罗斯等国家更难干预选举,但我们可以抢先完成”; 他在接受《纽约时报》采访时表示,Facebook 今年将把安全力度提升一倍,“我们将在今年年底将安全和社区运营方面的工作人员增至 2 万多名,我想现在我们大概有 1.5 万名。” 他告诉《纽约时报》,公司已经在最近的阿拉巴马州参议院选举中部署了全新的人工智能技术以此来对付图谋不轨的人; 他为开发了一个极易为 CA 滥用的 API 平台而感到遗憾。扎克伯格告诉 Recode,自己在数据的迁移上过于理想化,它是带来了更多的良好体验,但与此同时它也带来了隐私问题; 他在接受《纽约时报》采访时表示,Facebook 将大量软件展开调查以此来确定它们是否也存在滥用用户数据访问权的情况; 当被问及内容界定范围时,他告诉 Recode:“这问题就像是‘仇恨言论的界限在哪里?’我的意思是,是谁选我成为去做这件事情的人?我想我不得不去做,因为我们现在所处的位置,但其实我也不愿意”; 然而 Facebook 并没有公布平台的新限制规定。扎克伯格告诉 Wired,未来他们将可能会对平台的数据限制进行 15 项变化,不过他暂不公布详细内容,因为它们当中许多涉及到的都是比较细微且难解释的东西。 在媒体上周末曝光该事件后,Facebook 的股价大幅下跌,同时英国和美国监管机构纷纷表示将发起调查,包括调查“剑桥分析”公司。 “剑桥分析”曾表示媒体的指控没有依据,对于其它报道给出的进一步指控,该公司也予以否认。本周二,“剑桥分析”董事会做出决定,对该公司 CEO 进行了暂时停职。 相关阅读: 扎克伯格破例上 CNN 危机公关:除道歉以外他还说了什么  Facebook COO 桑德伯格就数据泄露发表声明 紧随小扎  祸不单行,Facebook 因“网速缓慢”而被韩国通信委员会罚款 3.69 亿韩元 消息来源:据 cnBeta 报道综合整理,封面源自网络;

Expedia 旗下在线旅行社 “Orbitz” 88 万用户信用卡数据泄露

外媒 3 月 20 日消息,美国在线旅游巨头 Expedia 旗下的旅游网站 Orbitz 于本周二披露了一项安全漏洞,致使约 88 万 Orbitz 用户受到数据泄露影响,其中包括姓名、出生日期、性别、电话号码、电子邮件地址、账单地址以及支付卡数据等详细信息。 据悉,拥有数百万用户的 Orbitz 曾是 Expedia (艺龙大股东)的竞争对手,不过 Expedia 于 2015 年 2 月 13 日以 13.4 亿美元的价格将其收购。 据调查人员称,受到数据泄露影响的可能是 2016 年 1 月 1 日至 2017 年 12 月 22 日期间在 Orbitz 平台上进行过交易的用户。 不过目前没有证据表明 Orbitz 网站受到此次事件的影响,并且用户的护照和旅行行程信息也被认为未曾遭到泄露。 Orbitz 方面表示已通知受影响的客户和合作伙伴,并免费为其客户以及合作伙伴提供一年的信用监控和身份保护服务。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

FTC 对 Facebook 数据泄露展开调查 最高罚款 2 万亿美元

北京时间 3 月 21 日下午消息,美国联邦贸易委员会(FTC)对 Facebook 展开了调查,此前有消息爆出该公司数千万用户的个人信息遭到泄露,被一家数据分析机构利用,为特朗普在总统大选期间获得胜利提供了帮助。 一位消息人士透露,本次 FTC 的调查是 Facebook 成立以来所遭受的最严重的政治和法律危机。本次调查有可能导致 Facebook 遭到美国政府的巨额罚款。 2011 年 11 月 Facebook 曾与 FTC 在用户隐私问题上达成协议,那时 FTC 也对 Facebook 进行了调查,理由是怀疑 Facebook 在用户隐私保护上对用户进行了欺骗。最终这次调查以双方达成协议而告终。协议要求,如果 Facebook 要在隐私设定范围之外使用用户的数据,他们必须要获得用户的许可。 然而不久前,一位前 FTC 官员表示 Facebook 与 Cambridge Analytica 可能违反了该项协议。近日有告密者表示 Cambridge Analytica 收集了用户以及好友的信息,并且在 Facebook 告之将数据删除之后依然保留了这些数据。 大约有 27 万用户下载了 Cambridge Analytica 的 APP。但是由于可以获取用户 Facebook 好友的信息,为这些Facebook用户对于自己信息被收集一事并不知情。大约有 5000 万人的信息可能遭到了泄露。 如果 FTC 最终裁决 Facebook 违反了协议,Facebook 可能将会面临巨额罚款,每泄露一个用户的信息,就要罚款 4 万美元。按照 5000 万用户的基数算的话,Facebook 可能要面临 2 万亿美元的巨额罚款。 本周二,该公司副首席隐私官罗博·谢尔曼(Rob Sherman)似乎知晓了 FTC 的意图。他在一份声明中表示:“我们依然高度重视保护用户的信息。我们很愿意回应 FTC 的问询。”上周末,该公司断然否认了他们违反了 2011 年与 FTC 签订的协议。 Facebook 的一位发言人在声明中表示:“我们否认任何有关我们违反了协议的言论。我们非常尊重与用户签订的隐私协议。隐私保护和数据保护是我们做出每一个决策时的基础。” 本周二早间,Facebook 的股价下跌 5.5%,而周一该公司股价跌幅达到了接近 7%。 FTC 方面周二表示,他们已经知晓了本次事件,但是对于他们是否会对此事件进行调查,他们现在还无法回应。但是 FTC 的一位女发言人随后重申了该机构的权力。 她表示:“对于每一起违反规定的事件,我们都会严肃对待,就像 2012 年谷歌的那次隐私事件一样。” 2012 年谷歌被指蒙骗苹果 Safari 浏览器用户,让他们认为只要不修改该浏览器的隐私设置,他们在网上的活动就不会被谷歌跟踪。但实际上,谷歌使用的特殊代码却能绕过 Safari 浏览器的隐私设置,从而不断追踪用户的上网习惯。谷歌随后因为这次事件被罚款 2250 万美元。 FTC 消费者保护局局长大卫·弗拉德克(David Vladeck)表示:“FTC 对 Facebook 发起调查是完全可以理解的事情。”他认为 Facebook 很有可能违反了与 FTC 签订的协议,而 Cambridge Analytica 则违反了联邦法律。弗拉德克也参与了 2011 年对 Facebook 发起的调查。 FTC 的调查仅仅是 Facebook 目前所面临的法律危机的一部分。此前已经有多名民主党和共和党议员要求该公司 CEO 马克·扎克伯格(Mark Zuckerberg)出庭针对该公司的隐私行为以及 Cambridge Analytica 时间进行作证。 目前美国法院尚未针对此时间安排听证会。然而美国参议院商务委员已经邀请了 Facebook 的代表对此事件进行简短陈述。 另一个法律制定者民主党参议员理查德·布卢门撒尔(Richard Blumenthal)也呼吁国会应该留意 Cambridge Analytica 这家机构。他甚至在 Twitter上 表示,在需要的时候参议院司法委员会应该向这家机构发送传票。 布卢门撒尔补充道:“国会应该留意 Facebook 以及 Cambridge Analytica ,调查这二者是否滥用了用户的个人数据,使用肮脏的手段以及为俄罗斯人提供服务。” 另外,欧洲的监管机构也表示将会对 Facebook 发起调查。英国议会周二正式要求扎克伯格出席调查。但是 Facebook 方面并未说明扎克伯格是否会出席回答法律部门的问询。 相关阅读: ○ 扎克伯格正在“全天候工作”处理 Cambridge Analytica 丑闻引发的争议  ○  操纵 5000 万人心与美国大选 这家数据分析公司啥来头 ○ *贿赂、雇间谍、毁尸灭迹……坑了 Facebook 的大数据公司,干的脏事太多了  稿源:新浪科技,部分错字有修改;封面源自网络;

攻击者入侵英国 Camelot 彩票玩家账户,1050 万玩家被要求紧急修改密码

据外媒报道,英国国家六合彩管理公司“卡美洛”(Camelot) 建议数百万国家彩票玩家修改其账户密码,因为他们发现了一项涉及彩票账户的可疑活动。目前 Camelot 已约有 150 个玩家帐户(总共 1050 万个注册帐户)遭到未经授权的登录,导致玩家信息被外部查看,其中包括姓名以及国家彩票帐户中的金额。虽然 Camelot 坚持认为其核心系统或数据库没有遭受未经授权的访问,不会影响到彩票抽奖以及奖品,但还是建议其彩票玩家尽早修改密码。 Camelot 发言人称,此次事件可能是由于“ 凭据填充 ”造成的,也就是说彩票玩家之前在其他地方被窃取了详细信息,以至于该信息在网络犯罪分子之间共享。 Camelot 承诺不会在玩家的帐户上显示完整的借记卡或银行帐户的详细信息,并且表示目前受到影响的账户已经被暂停。 消息来源:ZDNet,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Facebook 数据被滥用引起公众质疑:涉及 5000 万用户

在一家接受联邦政府调查的政治情报公司被控违规获取多达 5000 万份个人资料后,Facebook 关于透明度和数字道德所作的承诺也遭到批评人士的质疑。此事将对 Facebook 的声誉构成进一步影响,该公司之前就因为被俄罗斯特工利用来干涉美国政治而受到审查。 “ Facebook 过去 12 个月一直在接受公众舆论的审判。” Reputation Institute 是一家专门评估公众观点的机构,其首席研究官史蒂芬·哈恩-格里菲斯(Stephen Hahn-Griffiths)说,“ ‘ 我还能不能信任 Facebook?’ 是公众向自己发出的一个重要问题。” 马萨诸塞州总检察长毛拉·希里(Maura Healey)表示,她会发起调查,因为“居民有权立刻获得答案。” 英国政客达米安·科林斯(Damian Collins)也表示,Facebook 一直在持续调查期间“ 误导 ”和“ 故意回避直接问题 ”。他将要求 Facebook  CEO马克·扎克伯格(Mark Zuckerberg)或其他高管出庭回答问题。 Facebook 上周五证实,Strategic Communication Laboratories 旗下的 Cambridge Analytica 获得了由另外一个开发者得到的资料,后者是在用户注册一个名为“ thisisyourdigitallife ”的个性预测应用时,通过不当方式获得这些资料的。 Facebook 承认,他们早在 2015 年就知道这个开发者违反规定,将资料数据提供给 Cambridge Analytica 。很多批评者表示,Facebook 早就应该将此事通知用户。 令事情更为复杂的是,Cambridge Analytica 与特朗普的著名支持者存在关联。不仅如此,在司法部检察官罗伯特·穆勒(Robert Mueller)调查俄罗斯干涉美国政治的过程中,也曾经特别关注过这家公司。 “ 我越是了解 Cambridge Analytica,就越认为应该注销我的 Facebook 帐号。” 喜剧演员杰夫·卡纳塔(Jeff Cannata)在Twitter上说。 乔治敦大学麦克多诺商学院商业伦理学家彼得·贾沃斯基(Peter Jaworski)认为,Facebook 未能立刻披露此事是一个道德过失。“如果你做错了什么事情,最好是提前说明。”他说,“如果被别人发现你知道,但却没有采取任何措施,那肯定是比较糟糕的做法。” 美国加州民主党众议员谢安达(Adam Schiff)则在声明中表示,Facebook “必须就长期推迟作出解释”,还要阐述他们如何确保用户的个人信息不被恶意获取。 相关阅读: AI 助特朗普当选?Facebook 史上最大数据滥用曝光 Snowden 认为 Facebook 事实上是一家监视公司 美国前监管官员:Facebook 或因泄露数据面临巨额罚款 稿源:cnBeta,封面源自网络;

3 款流行 VPN 会泄露用户真实 ip 等隐私信息

近日,有研究人员发现 HotSpot Shield、PureVPN 和 Zenmate 这三款流行 VPN 存在安全问题,会泄露用户真实 ip 等隐私信息,影响数百万用户。用户真实 ip 泄露后,真实身份、实际地址等信息也会被顺藤摸瓜找到。 据了解,免费的 HotSpot Shield Chrome 插件中存在三个严重漏洞:劫持全部流量(CVE-2018-7879)、DNS泄露(CVE-2018-7878)、真实 ip 地址泄露(CVE-2018-7880)。目前这三个漏洞已经被修复,桌面版和手机端的 HotSpot Shield 不受漏洞影响。不过 PureVPN 和 Zenmate 中的漏洞还尚未修复,且 Zenmate 中的问题最为严重。 稿源:freebuf,封面源自网络;