分类: 数据泄露

未来 Firefox 将引入安全审查工具:确认个人账号是否已被泄露

Mozilla今天宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具,使用Troy Hunt的“Have I Been Pwned”(HIBP)数据库对已知泄露的数据库进行扫描,确认用户账号是否出现在其中。 去年11月份,该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP,一旦在该中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统,当用户访问恶意已经被窃取的时候才会发出提醒。 而现在Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中,那么 Firefox Monitor就会知道已经掌握的暴露程度,并提供相关建议。 目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作,创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放,首批大约为25万用户。如果取得成功,将会进一步向所有Firefox用户开放。   稿源:cnBeta,封面源自网络;

错误配置 Firebase 数据库导致 3000 多应用数据泄露

移动应用安全提供商 Appthority 上周指出,由于配置不当,导致使用 Firebase 服务的 3,046 个移动应用暴露了计划用户信息,共计 113 GB,并且包括纯文本用户在内的超过 1 亿个可公开访问的数据。 帐号和密码以及 GPS 位置信息。 Firebase 是网络和移动应用程序的开发平台。 它提供了云消息传递,通知,数据库,分析功能以及许多后端 API。 它于 2014 年被谷歌收购,并受到众多Android开发者的欢迎。 也是最受欢迎的移动应用程序数据存储平台之一。 在查看超过 270 万移动应用程序后的 Appthority 中,发现 28,000 个移动应用程序将数据存储在 Firebase 的后端。 其中,3,046 个程序将 2,271 个数据错误地配置为 Firebase 数据库,同时允许第三方公开查看。 其中大多数是 Android 程序,占用了 2,446 个,另外有 600 个 iOS 程序。 所有泄露的程序数据量为 113GB,包含 260 万个明文密码和用户账号,400 万条聊天记录,2500 万个 GPS 位置信息以及 50,000 个金融交易信息。 Facebook / LinkedIn / Firebase 用户凭证为 450 万笔。 Appthority 指出,2,446 个 Android 程序在 Google Play 上的下载量超过 6.2 亿次。 它们分布在不同的类别中,从工具,生产力,健身,通信,财务和业务应用程序。 62% 的公司至少使用其中一项计划。 虽然这主要是因为开发者没有验证访问权限,以至于任何人都可以访问属于 Firebase 数据库的配置故障,但 Appthority 正在指向 Google,认为 Firebase 未在默认情况下保护好用户数据,而且还缺乏可以加密用户数据的第三方工具。   稿源:开源中国,封面源自网络;

谷歌改口,将修复地理位置信息泄露问题

雷锋网消息,据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。 来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。 “黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。“不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。” 一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。 但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。 “与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。” “我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。” 这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。 其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。 雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月  中旬正式推送。 “我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。” “如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。   稿源:雷锋网,封面源自网络;

数万组织因为 Google Groups 配置出错而泄露敏感数据

Kenna Security 的安全研究人员最近发现,9,600 家分析机构中有 31% 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏感的电子邮件信息。受影响的实体还包括财富 500 强公司、医院、大学和学院、报纸和电视台,甚至美国政府机构。 使用 G Suite 的组织在创建邮件列表可能会配置 Google Groups 界面。由于术语和组织范围与 Groups 特定权限很复杂,导致列表管理员无意中可能泄露电子邮件列表的内容。由于谷歌不会讲配置问题视为漏洞,也不会修复。因此,专家建议管理员阅读 Google 网上论坛文档,将“此域之外的访问权限 – 共享组”设置为“私有”。   稿源:Freebuf,封面源自网络;

本田印度在 AWS S3 服务器上暴露 50,000 个客户的详细信息

根据Kromtech Security发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源:Freebuf,封面源自网络;

南非再曝数据库泄露事件:致百万人信息大白

2017 年的时候,南非遭遇了一起大规模的数据泄露事故。然而转眼间,这个国家又发生了一起数据泄露,导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据,涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看,这些密码似乎与交通罚款相关的在线系统有关。 在澳大利亚安全顾问 Troy Hunt、“Have I Been Pwned”、以及 iAfrikan 和 Hunt 匿名消息人士的通力合作下,外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关(备份或公布)。 在刚接触的时候,消息人士称: 我拿到了一批新的泄露数据,中包含了 100 万南非公民的个人信息记录,如身份号码、手机号码、电子邮件地址、以及密码,我意识到它们是哪些网站流出的了。 其后续补充道: 这个包含百万人记录的数据库,是在一个公共网络服务商上被发现的。该属于一家处理南非电子交通罚款的公司。 与 2017 年泄露 6000 万南非公民个人记录的事件一样,iAfrican 在浏览了数据库后发现,这套“备份”的保存目录,竟然启用了公共浏览权限,这显然是疏忽大意而导致的。 Hunt 向 iAfrican 表示: 这起事件再次给我们敲响了警钟,如果缺乏应有的知识技能,我们的数据可以被散播到什么样的程度。 然而本次事件的风险更加严重,特别是明文保存的密码。它将带来不可避免的麻烦,比如解锁受害者的其它账户。 由于数据的可重用性,这一事件可能已经导致了多起其它在线账户的入侵。   稿源:cnBeta,封面源自网络;

美国 Comcast 网站因漏洞泄露 Xfinity 路由器的客户数据

两名研究人员近日发现美国用于激活 Xfinity 路由器的 Comcast 网站会泄露用户的敏感信息。Concast 网站主要用于建立家庭互联网和有线电视服务,可能会被攻击者利用,显示路由器所在的家庭住址以及 Wi-Fi 名称和密码。 测试发现,这个网站会以明文形式返回用户联网的 Wi-Fi 名称和密码,就算修改密码,再次运行进程也能获得新的密码。攻击者可以借此重命名 Wi-Fi 网络名称和密码,暂时锁定用户甚至使用这些信息访问有效范围内的 Wi-Fi 网络,进而读取未加密的流量。 Comcast 目前已经从网站中删除了返回数据的选项,正在着手解决这个问题。   稿源:Freebuf,封面源自网络;

青少年手机监控应用程序 TeenSafe 泄露数以万计的用户密码

据外媒Zdnet报道,青少年手机监控应用程序TeenSafe所使用的服务器泄漏了父母和孩子的数以万计的帐户。TeenSafe号称是一款“安全”监控应用程序,可让父母查看孩子的短信和位置,监控与他们通话的人以及访问他们的网络浏览记录,并能发现他们安装的其他应用程序。 虽然这款青少年监控应用程序是有争议的和侵犯隐私的,但该公司表示,它不需要父母获得其子女的同意。但这家总部位于加利福尼亚州的公司将其托管在亚马逊的云端,不受任何人的保护并且无需密码即可访问。 英国安全研究人员Robert Wiggins发现两台泄漏的服务器。在ZDNet提醒该公司后,两台服务器下线,其中另一台服务器似乎只包含测试数据。“我们已采取行动将我们的服务器关闭,并开始提醒可能会受到影响的客户。TeenSafe发言人周日告诉ZDNet。 该存有TeenSafe关联的父母的电子邮件地址以及其孩子的Apple ID电子邮件地址。另外还包括孩子的设备名称 – 通常只是他们的名字 – 以及设备的唯一标识符。数据包含孩子AppleID的明文密码。由于该应用需要关闭双因素身份验证,所以查看此数据的恶意行为者只需使用凭证即可进入孩子的帐户以访问其个人内容数据。 这些记录都不包含内容数据,如照片或信息,或父母或子女的位置。数据还包含与失败的帐户操作相关的错误消息,例如,如果父母查找孩子的实时位置没有完成。 在服务器下线前不久,过去三个月至少有10,200条记录包含客户数据 – 但有些记录是重复的。其中一台服务器似乎存储测试数据,但不知道是否有其他暴露的服务器有额外的数据。TeenSafe声称有超过一百万家长使用该服务。 TeenSafe公司在其上声称,它是“安全的”,并使用加密技术来加密数据,例如发生数据泄露。TeenSafe表示,它将继续评估这一情况,并在“可用时提供更多信息”。   稿源:cnBeta,封面源自网络;

起底 LocationSmart:不仅销售手机定位数据,还泄露用户数据

还有比大量出售手机实时位置数据更恶劣的公司吗?答案是肯定的,有些公司就没有采取任何安全预防措施,预防人们滥用这项服务。正如多个消息源本周所指出的那样,这两件事 LocationSmart都在做。 在 Securus 计算机系统遭到黑客攻击 后,LocationSmart 一些见不得光的行为也随之曝光。Securus 从事着一项利润丰厚的业务——追踪监狱犯人的通话记录;LocationSmart 是美国四大运营商的合作伙伴 ,得益于这种合作关系,前者可以向执法部门和其他机构实时提供移动设备定位数据。获取客户地理位置数据的方法和理由不胜枚举,但 LocationSmart 的理由却不充分。 警方和中央情报局等执法机构虽然可以直接向电信运营商索要此类信息,但相关手续非常繁杂。如果运营商允许 LocationSmart 这家独立的公司访问那类数据,而 LocationSmart 又将其卖给第三方(如 Securus),最后再由第三方转手卖给执法机构,整个过程就少了很多手续。这恰恰是 Securus 告诉参议员罗恩·韦登(Ron Wyden)他们正在做的事情:在 LocationSmart 的帮助下,充当政府与运营商之间的中间人。 通过手机最近连接到的信号发射塔,LocationSmart 的服务可以定位手机位置,并在几秒钟内将手机位置锁定在几百英尺以内。为了证明这项服务有效,该公司最近推出了服务免费试用活动:潜在客户可以输入电话号码,一旦该号码对其收到的信息回复“同意”,手机位置便会立即被返回。 这种服务表现非常好,但现在已经下线。据布赖恩·克雷布斯(rian Krebs)报道 ,由于对成功定位某部手机过于兴奋,LocationSmart 似乎忘了确保 API 的安全。 克雷布斯从 CMU 安全研究人员罗伯特·肖(Robert Xiao)那里了解到,他发现 LocationSmart“未能执行最基本的检查步骤以防止匿名和未经授权的查询”。 “我意外发现了这种情况,而且做起来并不难。这是任何人不费吹灰之力就可以发现的东西,”罗伯特·肖告诉克雷布斯。他在 一篇博文 中详细描述了技术细节。 他们通过与一些知名公司合作进行测试,验证了 API 的后门,当他们通知 LocationSmart 时,该公司首席执行官表示他们将进行调查。 这本身就足以带来问题。此外,它也引发了一个疑问,即运营商如何看待他们自己的位置共享政策。当克雷布斯就此与美国四大运营商联系时,他们都表示需要客户同意或执法部门的要求。 然而,使用 LocationSmart 的工具,手机可能会在没有征得所有四家运营商的用户同意情况下被定位。这两件事都不是真的。当然,其中一件事只是得到证实和记录,而另一件事则是来自一个隐私政策以欺骗著称的行业的保证。 依我看,LocationSmart 无非有三种选择: LocationSmart 可以通过信号发射塔找到手机位置,而且还不需要相关运营商的授权。出于技术和商业上的原因,这似乎不太可能;该公司还将运营商和其他公司作为合作伙伴列在网站首页,尽管这些公司的 Logo 已被删除。 对于运营商信息,LocationSmart 就好像有一把“万能钥匙”;他们的请求可能会被认为是合法的,因为他们的客户当中有执法机关或其他政府部门。从理论上讲,这种方案可能性更大一些,但也违反了运营商要求征得用户同意或提供某种执法理由的规定。 运营商确实不会逐一检查某项请求是否已获用户同意;他们可能会将这种责任强加于提出要求的人的身上,比如 LocationSmart(它在正式演示中的确要求获得用户同意)。但是,如果运营商不要求用户同意,第三方也不要求,并且还不让别人承担相应责任,那么要求征得用户同意的规定也就形同虚设。 这些选择都不是特别地令人振奋。但是,没人指望一个安全性较差的 API 能给我们带来什么好处——这个 API 让人可以请求获得任何人手机的大体位置。我已经给 LocationSmart 发去电子邮件,希望该公司对如何出现这个问题发表评论。 值得一提的是,LocationSmart 并不是唯一从事这种业务的企业,只是在今天这种安全环境下以及 Securus 的违规操作中被牵扯了进来。   稿源:TechCrunch,翻译:皓岳,封面源自网络;

美当局确认一名 CIA “Vault 7″泄露事件主犯

据外媒报道,美国官方已经确认Vault 7泄露案中的一名主要嫌疑人。据了解,在Vault 7泄露案中,大量CIA使用的网络攻击遭到曝光,包括针对iPhone和Mac的软件漏洞。《华盛顿邮报》称,来自最新的法庭文件显示,政府当局认为Joshua Adam Schulte为维基解密提供了CIA绝密网络武器和间谍工具技术相关信息。 资料图 这位前CIA职工现因另外一项指控被关押在曼哈顿的一座监狱里。 Schulte于2016年离开CIA工程小组开始为一家私营企业工作,在此之前他在CIA负责破解为恐怖分子和其他目标所持有的电脑、智能手机和其他设备破解方法的代码。 代码文档被维基解密获取并于去年3月以Vault 7的名义对外公布。从iOS漏洞到Windows、Android恶意软件,大量攻击手法被曝光。 针对该次曝光,苹果随即作出反应,表示大量iOS漏洞都已经在先前的更新中得到修复。 去年7月,Vault 7又曝光了针对在Mac OS X10.6 Snow Leopard和OS X10.7 Lion运行的硬件的可操作漏洞。 虽然FBI在去年3月的曝光之后对Schulte在纽约的公寓进行了搜查但并未找到证实其跟Vault泄露案相关的证据。不过8月他被控持有儿童色情物品,在此之前,调查人员发现他在2009年在一上创建了的非法内容。当时Schulte还是德州大学的一名学生。 对此,Schulte并不认罪,并表示多达100个人都曾经访问过这个服务器。9月,Schulte被释放,但前提是他能保证自己不会离开纽约市以及从事与计算机相关的活动。去年12月,Schulte因违反相关规定再次入狱。 Schulte在提供《华盛顿邮报》的声明中指出,他曾向CIA监察长和国会监督委员会上报了不称职的管理和官僚主义行为,他认为这一动作让自己陷入了困境。“对于这些不幸的巧合,FBI最终作出了草率的判决,认定我是泄露的罪魁祸首并将矛头对向我。” 稿源:cnBeta,封面源自网络;