分类: 数据泄露

佛罗里达州一家广告公司泄露了美国退伍军人战争伤害的数据

据外媒ZDNet报道,一家总部位于佛罗里达州的广告代理商的一个数据库在网上被泄露。该数据库包括了过去广告活动的详细信息,包括有关医疗事故案件的信息,以及美国退伍军人战争伤害的敏感细节。 该数据库由vpnMentor的安全研究人员发现,属于X Social Media,这是一家为法律行业开展Facebook和Instagram广告活动的广告公司。该公司的主要兴趣和重点之一是针对医疗事故诉讼和与伤害相关的集体诉讼进行广告宣传。 这些广告活动的目的是收集可能的各方兴趣,用户被重定向到专门的网站,在那里他们填写表格,看看他们是否有资格获得特定案件和可能的法律援助。 vpnMentor研究人员指出,X Social Media收集此信息的数据库在没有密码的情况下在互联网上公开,允许任何人访问和下载其内容。 研究人员表示,该数据库包含了填写表格的用户的150,000多条回复。这些表格中包含的数据通常包括全名、电子邮件地址、家庭住址、电话号码以及与其案件相关的详细信息 – 主要针对医疗损伤。 vpnMentor在本周发表的一份报告中指出: “数据库中描述的伤害包括美国退伍军人遭受的伤害,医疗设备,药物使用,药物副作用和婴儿产品缺陷造成的伤害。”有关战争伤害的详细信息不仅包括伤害发生的日期和地点等信息,还包括该人在此后遭受的详细医疗信息和精神创伤等。 除了有关各种伤害和法律案件的高度敏感信息之外,X Social Media的数据库还包含有关公司所有客户,广告活动指标,甚至公司所有发票的信息。 如果黑客找到了数据库并窃取了其内容,那么该数据将成为该公司竞争对手手中的“一张王牌”,他们可能会利用它来破坏X Social Media的业务,或者仅仅破坏其声誉。 vpnMentor研究人员说道:“未来律师事务所可能不太愿意与经历过这种大规模数据泄露事件的公司合作。” 目前尚不清楚是否有任何未经授权的人访问或下载这些数据,因为X Social Media没有回复评论请求,也没有向vpnMentor透露此详细信息。 在vpnMentor研究人员通知该公司后,这家广告代理商于6月11日关闭了对其数据库的访问权限。   (稿源:cnBeta,封面源自网络。)

CBP 分包商出现重大数据泄露事件 至少 5 万名美国车牌信息在暗网出售

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是,CBP向CNN透露从未向该公司授权保留这些车主信息。 CBP机构发言人表示:“CBP并未授权承包商在非CBP系统上保留和持有车牌数据。”这项承认引发了一系列质疑,包括美国政府机构在雇佣承包商来监视公民的时候责任主体是谁?美国公民自由联盟的高级立法律师Neema Singh Guliani表示:“CBP不断以隐私和公民自由的角度来收集更多信息,而且从安全的角度来看,他们已经证明了这些承包商没有能力可以保护好这些信息。” CNN对分包商Perceptics泄露的数据进行了分析,这些数据目前已经在暗网上进行出售。它显示了至少5万个独特的美国车牌号码记录。在特定情况下,CBP承包商有权访问美国人的车牌图像以调整他们的系统,例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。 “这些数据确实必须删除,”CBP发言人表示,尽管该机构没有澄清适用于Perceptics的政策细节。   (稿源:cnBeta,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

Facebook 研究 App 收集近 19 万用户数据 已被苹果封杀

新浪科技讯 北京时间 6 月 13 日早间消息,Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔(Richard Blumenthal)办公室的邮件中表示,该公司收集了 3.1 万名美国用户的数据,其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候,美国媒体调查发现,Facebook 和谷歌都在滥用苹果的企业开发者证书,这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现,这些公司违反了苹果的规定,在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据,了解他们的使用习惯,同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书,封禁了这些应用。不过在回答议员的问题时,苹果表示,该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利(Timothy Powderly)表示:“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的,但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示,这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示,这些“研究”应用依赖于自愿参与者从 App Store 之外的下载,需要用到苹果的开发者证书来安装。随后,应用将会安装根网络证书,允许应用从设备中收集所有数据,包括网页浏览历史、加密消息和应用活动,可能还包括来自好友的数据,用于竞争性分析。(维金)   (稿源:新浪科技,封面源自网络。)

美国海关机构遭数据入侵:经陆路入境旅客信息恐被盗

北京时间6月11日早间消息,据美国科技媒体TechCrunch报道,美国海关与边境保护局(CBP)证实该机构遭到数据入侵,导致出入美国的旅客照片和车辆的照片出现泄漏。CBP的一位发言人在一份邮件中表示,这些照片先是被转移到了一个分包公司的网络上,之后通过一次“恶意网络攻击”被盗走。 CBP自己的网络在这次攻击中没有收到影响。 CBP在一份声明中表示:“CBP了解到,一个分包公司违反了CBP的政策,在没有获得CBP的授权,也没有告知CBP的情况下,将CBP收集的机动车车牌图像和旅客的图像转移到了分包公司自己的网络上。初步调查信息显示,这个分包公司违反了合同中规定的强制安全规定和隐私条款。” CBP最初是在5月31日发现的本次数据入侵事件。CBP的发言人没有透露具体有多少人的照片遭到了泄露,也没有明确指出这家分包公司的具体名称。 当前不清楚的还包括本次被盗取的都是哪种类型的图片,例如这些图像是CPB官员直接拍摄的,还是旅客在进入美国国境时被该机构的人脸识别技术自动拍摄的。 之后有消息称,从机场进入美国的旅客没有收到本次事件的影响,只有经由陆路进入美国国境的旅客信息遭到泄露。《纽约时报》援引一位政府官员的说法报道称:“有不超过10万张照片遭到了泄露。” CBP发言人没有就此报道发表评论。 CBP每天都会处理超过100万进入美国境内的旅客信息,该机构掌握着大量旅客图像信息,并且将它们储存在数据库中,这些图像包括护照与签证等重要信息。(永妍)   (稿源:新浪科技,封面源自网络。)

超 4900 万条 Instagram 名人账户数据在线曝光

据TechCrunch网站报道,Instagram的一个大型数据库由于在AWS存储桶上没有受到保护,导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现,并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ,且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据,如个人经历,资料图片,粉丝数量,地理位置,私人联系方式,电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是,TechCrucnh网站联系的两个人证实了数据的真实性,却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道:“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司,但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件: “我们正在调查这个问题,以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司,以查明其数据来源和公开方式。” 2017年,Instagram的一个漏洞允许黑客访问高级用户的信息,包括电话号码和600万名明星的电子邮件地址。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

25000 台 Linksys 路由器可能泄露与之相连的任何设备的大量信息

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正在泄露,尽管制造商正在否认这一点。 Linksys于2013年被Belkin收购 – 而后该公司于2018年又被富士康收购 – 富士康随后表示其员工未能重现Mursch的调查结果。 “我们使用最新的公开固件(默认设置)快速测试了Bad Packets标记的路由器型号,但无法重现[它],” Linksys在一份在线安全公告中表示,“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。” Linksys进一步表示,该漏洞在2014年就得到修复。但是,Mursch并不同意,坚持认为这个安全风险依然存在。 “虽然[这个缺陷]据说是针对这个问题修补的,但我们的调查结果已经表明了其他情况,”Bad Packets说。 “在联系Linksys安全团队后,我们被告知要报告漏洞……在提交我们的调查结果后,审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。 如果您的路由器是以这种方式泄漏信息的,那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。 它还可以包括设备名称,如“William’s iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称,MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。 但是,更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告,其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后,几天后重复测试显示有21401个易受攻击的设备还未与互联网上。 已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。   (稿源:cnBeta,封面源自网络。)

俄罗斯政府网站被曝泄露 225 万用户社保和护照等信息

多家俄罗斯政府网站泄露了超过225万公民、公务员和高层政治家的私人和护照信息。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin最先发现并公开了本次严重的数据泄露事件。由三篇博文组成的系列报道中,Begtin表示他对政府在线认证中心、50家政府门户网站以及政府机构使用的电子投标平台进行了调查。 调查结果发现有23家网站泄露个人保险信息(SNILS,相当于社保卡号码),14家网站泄露护照信息。Begtin表示通过这些网站总共有超过225万条俄罗斯公民的信息数据,而且任何人都可以进行下载。从这些网站泄露的数据包括全名、职称、工作地点、电子邮件和税号。 虽然一些网站泄漏的数据难以识别并且需要Begtin从数字签名文件中提取元数据,但可以使用谷歌搜索政府网站上的开放网络目录找到一些数据。在今天的Facebook帖子中,研究人员说八个月前他联系了负责数据隐私的俄罗斯政府机构Roskomnadzor。 在接受外媒ZDNet采访的时候,Begtin表示多次通知俄罗斯政府监管机构,但是该机构并没有采取措施来增强这些网站的安全防护,目前依然可以访问这些数据。在去年4月希望通过博文方式吸引公众和监管机构注意之后,今天Begtin通过俄罗斯新闻网站RBC公布了他的发现,而且该网站发布了一篇详细的深入报道。   (稿源:cnBeta,封面源自网络。)

Twitter 公开会将用户位置数据共享出去的漏洞

据外媒报道,当地时间周一下午,Twitter披露了一个漏洞,即在某些情况下,一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示,该漏洞只影响了Twitter iOS用户群的一部分,另外他们都已经得到了存在这一问题的通知。 据了解,受影响用户在iOS上拥有多个Twitter账号,并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示,它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集,即使这些账户没有选择共享位置数据。 然后,这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴,这意味着他们得到了未经授权的位置数据。Twitter指出,这些都不是精确的位置数据,因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址,也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户,Twitter向受到影响用户保证,接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示,合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的,也不清楚持续了多长时间,此外,Twitter也没有指明拥有这些数据的合作伙伴的名字,也没有解释这样一个漏洞是如何产生的,而只是表示,未能删除这些位置数据。   (稿源:cnBeta,封面源自网络。)

黑客正在收集 4600 个网站上的支付细节及用户密码

据外媒报道,黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了他们的JavaScript文件,以便在超过4,600个网站上嵌入恶意代码。 Picreel是一种分析服务,允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户,即网站所有者,在他们的网站上嵌入了一段JavaScript代码,以便运行Picreel服务。正是这个脚本被黑客入侵,并添加了恶意代码。 Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发,并于八年前开放了源代码。Cloud CMS仍然为Alpaca Forms提供免费的CDN(内容分发网络)服务。但黑客似乎已经攻破了由Cloud CMS管理的CDN,并修改了Alpaca Forms中的一个脚本。 恶意代码会记录表单字段中输入的所有数据 目前,尚不清楚黑客是如何破坏Picreel或Alpaca Forms中的CDN。恶意代码记录所有用户在表单字段中输入的内容,并将信息发送到位于巴拿马的服务器。这些信息包括用户在结帐或付款页面,联系表单和登录部分输入的数据。已在1,249个网站上发现嵌入Picreel脚本中的恶意代码,而在Alpaca Forms中的恶意代码已在3,435个域名中被发现。Cloud CMS已经介入并取消了服务于受影响的Alpaca Forms脚本的CDN。该公司正在调查这一事件,并阐明公司、客户及产品都没有安全漏洞或安全问题。然而,没有证据证明这一点,除非Cloud CMS的客户仍在他们的网站中使用Alpaca Forms的脚本。 供应链攻击对网站的威胁越来越大 在过去的两年里,类似的攻击相当普遍。实行供应链攻击的黑客组织已经意识到,破坏那些高级一点的网站并不像听起来那么简单,因此他们开始瞄准那些为网站提供“二级代码”的小企业。他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。 今天的攻击有所不同,其通用性十分广泛。不管其目的如何,它针对的都是网站上的每个表单字段。   消息来源:ZDnet, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接