分类: 数据泄露

印度国有天然气公司再次泄露了数百万客户的敏感信息

外媒报道称,由于网络安全措施不到位,印度国有天然气公司(Indane)又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息。问题出在 Indane 面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。如此一来,所有人都能够绕过登陆页面,直接获得对经销商数据库的自有访问权限。 据悉,这些数据是由一名安全研究人员发现的,但因害怕印度当局的报复,他要求媒体在报道中匿名。 作为 Aadhaar 的监管机构,印度唯一身份识别机构(UIDAI)会立即驳斥有关数据泄露的报道,称相关报道为‘假新闻’,并威胁向警方报案或提起诉讼。 不过,此前经手过 Aadhaar 暴露事件的法国安全研究员巴蒂斯特·罗伯特(Baptiste Robert)—— 其网名为艾略特·奥尔德森(Elliot Alderson)—— 还是将这件事捅到了外媒那边。 其通过定制脚本来挖掘数据,成功找到了 11000 个经销商的客户数据,其中包括客户的姓名、地址、以及隐藏在每条记录链接中的客户机密 —— Aadhaar 号码。 Robert 在博客文章中披露了更多细节,在脚本被封杀之前,他已经收集到了 580 万的 Indane 客户记录。其预计,受影响总人数或超过 670 万。 实际上,这并不是我们首次听说 Aadhaar 数据因为某种安全失误而暴露。比如去年那起泄露事件,就源自一台与 Aadhaar 直连的终端。 不同的是,本次泄露的信息,直接来自它本身。遗憾的是,尽管外媒向 Indane 和 UIDAI 发起询问,但截至发稿时,仍未收到任何答复。 据说 Indane 在印度拥有超过 9000 万客户,其中包括超过 16 万+的政府雇员的个人信息 —— 包括他们的 Aadhaar 号码。 最后,但愿有关部门能够重视问题、提高警惕,为 Aadhaar 等系统部署完善的安全措施,以防此类事件的再次发生。   (稿源:cnBeta,封面源自网络。)

瑞典医疗热线泄露 270 万条通话记录:涉及诸多敏感信息

援引瑞典科技媒体Computer Sweden报道,拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上,并且没有经过任何的加密和身份认证,意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。 外媒Computer Sweden表示曾聆听了部分录音信息,其中包括患者的疾病、目前服用的药物以及相关病史等敏感信息。甚至在部分通话中要求描述孩子的症状并要求提供他们的社会安全号码。 部分文件中还包括这些通话的个人电话号码。中出现了大约57,000个号码,其中许多是呼叫者的个人号码,因此可以轻松地将信息与特定人员匹配。目前还不清楚这些电话可用多长时间,谁应该为违规行为负责,以及是否有任何不良恶意成员已经访问过这些信息。 以上图片均来自于 Computer Sweden 不过似乎这些泄露的通话都发给1177Vårdguiden的分包商Medicall,后者是一家总部位于泰国,由瑞典人创办的公司。当被问及违规行为时,尽管存在压倒性的相互矛盾的证据,但医疗保健首席执行官大卫·尼布洛姆否认了这一情况。芬兰安全技术公司F-Secure的首席风险官Mikko Hypponen在推文中表示:“拨打给MEDICALL服务热线的通话记录以WAV音频格式存储在不安全的服务器上。”     稿源:cnBeta,封面源自网络;  

美国多个赌博网站泄露 1.08 亿条信息 包括支付卡资料

新浪科技讯 北京时间1月22日早间消息,据美国科技媒体ZDNet报道,美国一个网络赌博集团泄露1.08亿条赌博信息,里面包括客户的个人信息、存款及提款详情。 网络安全研究人员贾斯汀·潘恩(Justin Paine)说,这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。 ElasticSearch是一个搜索引擎,企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络,用来处理公司机密信息,信息不会泄露在网上。 上周,潘恩发现一些敏感信息,这些信息来自在线赌博门户网站。虽然开放的服务器只有一台,但是里面的数据相当庞大,来自数个网络域名。 经过一番分析,潘恩认定这些域名全都用来运营网络赌场,用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光,里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。   稿源:新浪科技,封面源自网络;

Voipo 发生严重的数据泄露事件:价值数十亿美元的客户资料被曝光

去年 11 月,一家名为 Voxox 的电信企业不慎泄露了一个包含数百万条短信的数据库,其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前,其安全漏洞已向攻击者敞开数月。由于服务器未受保护,本次事件导致数百万份呼叫日志和文本消息被泄露。令人惊恐的是,时隔两月,另一家名叫 Voipo 通信提供商,又泄露了价值数十亿美元的客户数据。 Voipo 是一家总部位于加利福尼亚州 Lake Forest 的互联网语音服务提供商,提供面向住宅和商用的电话服务,并且支持云端控制。 上周,安全研究员 Justin Paine 找到了暴露的,并与该公司的首席技术官取得了联系。然而在 Paine 通报之前,Voipo 的数据库就已经脱机了。 据悉,该公司的后端路由,可用于为其用户调度和处理文本消息。 但由于其中一个后端的 ElasticSearch 数据库未受到密码保护,因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。 作为 2019 年最大规模的数据泄露事件之一,迄今已有 700 万通话和600 万短信纪录、以及其它包含未加密密码的内部文档被泄露。 若被攻击者拿到这些凭证,将使之获得对企业系统的深度访问权限。外媒在审查了部分数据后发现,某些日志中的网址,竟直接指向客户的登录页面。 Paine 在博客文章中指出,数据库自 2018 年 6 月开始被曝光,并包含了可追溯至 2015 年 5 月的电话和短信日志。 每天更新的日志,已经更新到 1 月 8 号 —— 数据库于当日正式脱机,但许多文件包含了非常详细的呼叫纪录、呼叫方、日期、时间等机密信息。 尽管呼叫日志中的一些号码被打码,但短信日志里的收件人和发件人信息(以及邮件正文),都是完全裸露的。 与去年的 Voxox 漏洞类似,任何截获的包含双因素代码或密码重置链接的短信,都使得攻击者有机会绕过用户账户的双因素认证。 更糟糕的是,日志还包含了允许 Voipo 访问 E911 服务提供商的凭证 —— 这项服务允许急救服务方根据用户预先设置的位置等信息来采取行动。 糟糕的是,Paine 表示,E911 服务或已被禁用,可能导致这些客户无法在紧急情况下获得救助。 在一封电子邮件中,Voipo 首席执行官 Timothy Dick 证实了本次数据泄露,但补充道:“这只是一台服务器,并不是我们生产网络的一部分”。 Dick 声称该公司将所有系统都放在了防火墙之后,因此可以阻绝外部连接。然而该公司并没有遵从该州的规定、及时地向当局通报此事。   稿源:cnBeta,封面源自网络;  

攻击预警 | 国内某婚庆业务相关网站数百万数据遭暴露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上,目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细,包括身份证照片、电话号码、账号、密码、地址等。 安全提示:请相关业务网站管理人员及时检查网站服务配置,防止数据进一步泄露。相关业务消费者请及时修改账户密码,防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务:https://www.yunaq.com/gpt/

安全预警 | 超2亿份国内简历数据遭泄露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,某Twitter账户发布了一条关于超过2亿份简历数据泄露的推文。 这些简历全部来自中国,内容非常详细,包括姓名、电子邮箱、电话、性别、婚姻状况、政治面貌、工作技能、工作经历等。   目前该推主正在寻找数据的所有者,并已有推友建议他向CNCERT提交该事件,当然还有人在咨询他是否能将数据分享给自己。 安全提示:年底是求职的高峰期,请各位求职人员注意个人信息泄漏,并及时修改账户密码,防止个人信息被恶意使用,知道创宇404积极防御实验室将密切跟进该事件。

信息泄露三年多:美人事管理局仍有1/3安全措施未能整改到位

根据美国政府问责办公室(GAO)向国会提交的最新报告,在 2015 年发生大规模的数据泄露事件后,美国人事管理局(OPM)仅落实了 80 项信息安全建议的 64% 。换言之,仍有 1/3 的信息安全措施缺位,导致 OPM 的网络仍易受到黑客攻击。GAO 表示:“总而言之,OPM 在实施改善其安全态势的建议方面取得了一定的进展,但仍需采取进一步的行动”。 在 2015 年 6 月份提交的报告中,OPM 透露有未经授权的第三方计算机访问了该机构的系统,导致约 420 万联邦雇员的个人信息泄露。 2015 年 7 月,OPM 又披露了第二波安全漏洞,其影响大约 2150 万人的背景调查相关文件和数据。 2015 年 2 月 ~ 8 月,在对 OPM 的部署的信息安全保护措施进行持续的审计之后,GAO 发布了四份不同的报告,其中详细列出了 80 项建议,以提升该机构的网络安全性。 遗憾的是,正如最新提交给国会的 2018 审计报告所述 —— 截止 2018 年 9 月 20 日,该机构已经执行了 80 项建议中的 51 项(约占 64%)。 尽管未能及时实施 GAO 给出的剩余 1/3 的安全改进,OPM 首席信息官办公室的官员还是表示:该机构已经制定了计划,以便在 2018 年底之前,完成剩余 29 项建议中的 25 项,并采取其它补救行动。 不过,尽管 OPM 在声明中表现出了良好的意愿,但 GAO 得出的结论是 —— 该机构未能提供任何充分的证据,以证明其余建议的实施情况。   稿源:cnBeta,封面源自网络;

5200 万用户数据泄露 谷歌将提前 4 个月关闭 Google+

新浪科技讯 北京时间12月11日早间消息,谷歌周一表示,将于明年4月关闭Google+社交媒体服务,比原计划提前4个月。此前,该公司今年第二次发现Google+的软件漏洞,新漏洞导致合作伙伴应用能访问用户的个人数据。 不过谷歌在博客中表示,没有发现任何证据表明,其他应用使用该漏洞访问了这些数据,包括用户的姓名、电子邮件地址、性别和年龄。谷歌表示,在上月引入的6天时间内,该漏洞影响了5250万个Google+帐号,其中包括一些企业客户的帐号。 本周,谷歌CEO桑达尔·皮猜(Sundar Pichai)将在美国国会众议院司法委员会就谷歌的数据收集行为作证。美国两党议员正呼吁制定新的隐私保护立法,以更好地控制谷歌、Facebook和其他大型科技公司。 今年10月,谷歌表示,将于2019年8月关闭Google+的消费级版本,因为维护该服务带来了太大的挑战。当时该公司表示,来自50万用户的个人信息数据可能被一个已经存在两年多的漏洞泄露给合作伙伴应用。 谷歌表示,在获得用户授权情况下从Google+获取数据,用于服务个性化的应用将会在90天内失去数据访问权限。与此同时,为企业客户开发Google+仍将是该公司的一大关注点。   稿源:新浪科技,封面源自网络;

万豪事件后 多名参议员要求美国国会通过数据安全和隐私法案

在万豪国际连锁酒店数据泄露事件之后,美国民主党参议员Mark Warne,Ed Markey和Richard Blumenthal共同发表声明要求国会通过数据安全和消费者隐私法案。参议员Mark表示:“像万豪这样的违规行为可能导致严重的个人身份泄露和财务欺诈。它是笼罩美国经济的黑云。美国人民是时候采取行动了。” 他继续说道:“国会现在应该完善数据安全法规来妥善保护消费者隐私,并要求企业和公司必须遵守强有力的数据安全标准,指导他们只收集服务所需的数据,对于未达标的企业采取处罚措施。”他要求通过新立法来限制公司从客户中收集的数据量,以及强制要求企业删除已经不再使用的敏感数据。   稿源:cnBeta,封面源自网络;

万豪酒店因数据库泄露遭集体诉讼 被索赔 125 亿美元

新浪科技讯 北京时间12月1日晚间消息,万豪国际酒店集团(Marriott International)近日因顾客数据库泄露而遭遇集体诉讼,索赔金额高达125亿美元。 万豪国际酒店上周五宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。据悉,黑客入侵早在2014年就已经开始。该消息公布后,万豪国际酒店股价一度下跌逾5%。 随后,美国Geragos & Geragos律师事务所律师本·梅塞拉斯(Ben Meiselas)和Underdog Law法律顾问迈克尔·富勒(Michael Fuller)代表两名原告大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris)对万豪国际酒店提起集体诉讼,索赔125亿美元。 原告在起诉书中称:“在当今这个数字时代,酒店客户最担忧的是银行卡号码和其他敏感个人信息的安全。而在过去的四年里,有5亿客户原本期望在万豪国际酒店过上舒适无忧的生活,结果却遭遇了历史上最大的数字灾难之一。” 据万豪国际酒店称,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户,可能还包括支付卡号码和有效日期等信息,但这些数据是加密的。 125亿美元的索赔金额听起来是一个不小的数字,但也仅相当于5亿潜在被盗用户中每人得到25美元的赔偿。原告认为,这是用户因遭遇黑客攻击而取消信用卡所需时间的最低等额赔偿金。 此外,原告还表示,希望该集体诉讼能够让万豪国际酒店和其他大型跨国连锁酒店能够意识到,尊重顾客隐私意味着要采取所有必要措施来确保用户信息的安全。   稿源:新浪科技,封面源自网络;