分类: 数据泄露

Firefox 新增预警功能,自动提醒用户网站有过数据泄露

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能,在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题,并建议他们检查自己的电子邮件,看看是否有遭到泄露。 当出现警报时,用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点,或单击 Dismiss 按钮关闭警报,也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法,该预警功能并非侵入性的,每个站点最多只出现一次,而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它,只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对,在发现问题时及时提醒用户。   稿源:开源中国,封面源自网络;

美女童军加州奥兰治县分部网络遭攻击 或涉及 2800 名成员信息泄露

据 Threat Post报道,美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击,最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露,该组织已经向所有填写申请的成员邮箱发送了一份通知信,承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉,并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号,破解进入了GSOC的计算机网络,获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名,出生信息,电邮地址,家庭地址,驾驶执照,健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号,通过传统邮箱寻求GSOC分部的确认。   稿源:cnBeta,封面源自网络;

英国航空承认最近发生的网络攻击比想象中还要糟糕

据外媒报道,日前,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。在与网络法医专家和英国国家犯罪署合作之后,这家公司宣布,该攻击所带来的影响比此前预测的可能还要严重。 英国航空表示,他们现在正在提醒另外一拨可能也受到影响的客户,他们的个人和支付信息可能受到损害。受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。 需要注意的是这部分受影响的客户则是在4月21日-7月28日在英国航空操作过交易的人。针对这一新发现,航空公司敦促客户尽快联系他们的借记卡或信用卡供应商,另外他们还承诺为客户提供为期12个月的信用评级监控服务并赔偿与攻击相关的任何财产损失。不过眼下,英国航空明确表示,没有迹象显示其客户的交易存在欺诈行为。 虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。   稿源:cnBeta,封面源自网络;

国泰航空 940 万名乘客个人数据在 3 月被盗 包含出行地点数据

据外媒报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。 另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。 这家航空公司在周三发布的声明中指出,公司目前没有任何证据显示任何一名乘客的信息遭到滥用,而受影响的IT系统则完全跟其飞行操作系统独立开来,所以该次网络攻击事件对其飞行安全不会带来影响。此外,国泰航空表示,没有密码遭到泄露。 国泰航空总部位于中国香港,但它的服务遍布全球包括北美、欧洲、中国内地、中国台湾地区、日本、东南亚和中东。 这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。 此外,国泰航空表示,他们现在正在与中国香港警方以及相关部门沟通。而认为自己可能受到影响的客户可以访问infosecurity.cathaypacific.com 或直接拨打公司电话或发电子邮件来获取进一步的信息。   稿源:cnBeta,封面源自网络;

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

新浪科技讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:新浪科技,封面源自网络;

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;