分类: 数据泄露

BlueLeaks 曝光了美国数百个警察部门内部文件 总容量接近 270 GB

上周,美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合,源于德克萨斯州一家网页设计和托管公司的安全漏洞,该公司维护着一些州的执法数据共享门户。该集合总容量近270GB,是分布式拒绝秘密(DDoSecrets)的最新发布,DDoSecrets是维基解密的另一种选择。 DDoSecrets在Twitter上发文称,BlueLeaks档案索引了 来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据,在数十万份文件中,有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体,在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会(NFCA)6月20日的内部分析,证实了泄露数据的有效性。NFCA提醒指出,泄露文件的日期实际上跨越了近24年,从1996年8月到2020年6月19日,文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。 此外,数据转储还包含电子邮件和相关附件,初步分析显示,其中一些文件包含高度敏感的信息,如ACH路由号码,国际银行账户号码(IBAN)和其他金融数据,以及个人身份信息(PII)和信息请求(RFI)和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示,BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明,Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司,是此次泄密事件的源头。 NFCA表示,各种网络威胁行为者,包括民族国家、黑客活动家和有经济动机的网络犯罪分子,可能会寻求利用此次泄密事件中暴露的数据,针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日,又称 “六月十九日”,是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后,今年的纪念日再次引起公众的兴趣。   (稿源:cnBeta,封面源自网络。)  

Facebook 起诉一开发人员窃取 5500 名用户数据

据外媒报道,据法庭文件显示,Facebook正在起诉一名开发人员,称该名开发人员参与了一场数据搜集活动并从中窃取了数千人的个人信息。该公司在诉讼中要求被告提供7.5万美元的赔偿。这家社交网络公司于周四表示,他们正在对Mohammad Zaghar及其网站Massroot8提起诉讼,指控该网站在未经许可的情况下获取Facebook用户的数据。 该行为被指违反了《计算机欺诈和滥用法案》。这起在加州北部地区提起的诉讼称,Zaghar的网站向客户提供了从Facebook好友处获取数据的能力,其中包括电话号码、性别、出生日期和电子邮件地址等。 所有这些数据都是由Facebook用户公开发布的,但据称Zaghar网站提供的自动化将使人们能够以更快的速度、更大规模地获取这些信息。Facebook还指控Zaghar使用僵尸网络,通过伪装成使用社交网络的Android设备来绕过Facebook的检测。  针对这一诉讼,Zaghar没有回复记者的置评请求。 Facebook表示,数据搜集活动从4月23日持续到5月6日,约有5500人注册了这项服务。起诉书称,除了从这5500名客户在Facebook上的朋友处收集的数据外,Massroot8还要求其客户提供登录凭证。 Facebook表示,他们已经向Zaghar发出了多次勒令停止令,另外还暂时封掉了他的Facebook和Instagram账号并要求其客户出于安全考虑更改密码。   (稿源:cnBeta,封面源自网络。)

谷歌浏览器造成大规模用户安全信息泄露

Awake Security的研究人员表示,他们在谷歌的Chrome浏览器的扩展程序中发现了一个间谍软件,含有这个间谍软件的扩展程序已经被下载了3200万次。这一事件凸显出科技企业在浏览器安全方面的失败,而浏览器被广泛使用在电子邮件、支付以及其他敏感性功能中。 Alphabet旗下的谷歌表示,在上个月接到了研究人员的提醒之后,他们已经从Chrome Web Store中移除了超过70个存在此恶意软件的扩展程序。 谷歌发言人斯科特·维斯托弗(Scott Westover)表示:“当我们得到通知Web Store中存在违反了政策的扩展程序之后,我们立即采取了行动,并将此作为培训材料,从而提升我们的自动和手动分析效果。” Awake联合创始人兼首席科学家加里·戈隆布(Gary Golomb)表示,按照下载数量计算,这是Chrome商店中出现过的影响最为严重的恶意软件。 谷歌拒绝讨论新间谍软件与此前出现的恶意软件有何区别,也拒绝透露该软件的影响范围,以及谷歌为何没有主动监测并删除该软件,而此前他们曾承诺将密切留意产品安全。 现在还不清楚是谁散播了这个恶意软件。Awake表示,在将还有恶意软件的扩展程序上传到谷歌商店的时候,软件的开发者填写了虚假的联系信息。戈隆布称,这些扩展程序可以躲避反病毒企业或安全软件的扫描。 研究人员发现,如果有普通用户在家用电脑上使用带有恶意软件的浏览器,它会联系多个网站,然后传输用户信息。如果用户使用的是企业网络,由于企业网络存在安全服务,那么该恶意软件则不会传输敏感信息。 近些年来,欺骗性扩展程序一直存在,但是此前他们的危害程度并不高,只是强迫用户观看广告等等。然而现在,它们却变得越来越危险,甚至可以用来监测用户的位置和他们的活动。 很长时间以来,都有恶意软件开发者利用谷歌的Chrome Store散播恶意软件,2018年,研究发现每十个提交到Chrome Store的扩展程序中,就有一个存在恶意软件。随后,谷歌宣布他们将提升安全程度,增加人工审核员。 但是今年2月,独立研究者加米拉·凯亚(Jamila Kaya)和思科系统的Duo Security发现,Chrome浏览器出现了一个恶意插件,盗取了大约170万用户的数据。随后谷歌参与了调查,并且发现了500个欺诈性扩展程序。     (稿源:新浪科技,封面源自网络。)

遭隐私监管机构警告 挪威暂停新冠接触者追踪应用运营

据外媒报道,欧洲推出的首批国家新冠病毒接触追踪应用之一在挪威被叫停,原因是该国数据保护部门(DPA)担心这款名为Smittestopp的软件会对用户隐私造成严重威胁。不过继监察机构周五发出警告后,挪威公共卫生研究所(FHI)今日宣布,他们将从明天开始停止上传数据–DPA曾要求在6月23日截止日期之前暂停该应用的使用以便做出改变。 该机构补充称,它不同意监管部门的评估,但仍会尽快删除用户数据。 据FHI统计,截至6月3日,这款应用已被下载了160万次,活跃用户约为60万,占挪威人口的10%多一点,在年龄16岁以上的人口中约占14%。 FHI主管 Camilla Stoltenberg在一份声明中说道:“我们不同意数据保护机构的评估,但现在我们不得不删除所有数据并暂停工作。(然而)这样一来,我们就削弱了对不断增加的感染传播的防备的一个重要部分,因为我们在开发和测试这款应用上浪费了时间。与此同时,我们对抗感染传播的能力也在下降。” “大流行还没有结束。我们在人群中还没有免疫力、没有疫苗,也没有有效的治疗方法。如果没有Smittestopp这款应用,我们就无法预防可能在本地或全国爆发的新疫情。” 据了解,导致监管机构进行干预的则是该应用在该国的低传播率和低下载率–这意味着该机构现在认为,Smittestopp不再是一种比例干预。 跟欧洲许多国家的新冠病毒应用不同的是,挪威的这款还可以跟踪实时GPS定位数据。欧洲国家的新冠病毒应用则仅使用蓝牙信号来估计用户距离以此作为计算感染新冠病毒的风险的手段。 这个国家还在欧洲数据保护委员会提出指导方针之前对GPS追踪下了决定。据悉,该委员会特别指出新冠接触者追踪应用不需要对个人用户的位置展开追踪,另外还建议使用邻近数据来代替。 此外,挪威还选择了一个集中应用架构,也就是说用户数据被上传到为健康机构控制的中央服务器上而非本地储存设备。 FHI一直在使用该应用中所谓的“匿名”用户数据来跟踪全国各地的移动模式,该机构称这些数据将用于监控旨在限制病毒传播的限制措施是否奏效。 针对这种情况,DPA今日表示,该应用用户没有只允许追踪新冠病毒接触者的权利,这违反了欧盟数据保护目的限制原则。 另一个反对意见是关于应用数据是如何被匿名化和聚合到FHI上的–因为众所周知,定位数据是很难做到完全匿名化。 尽管如此,FHI今日表示,它希望用户能暂停该应用程序–通过在设置中禁用其对GPS和蓝牙的访问,而不是将其全部删除–这样该软件在未来被认为是必要和合法的情况下就可以更容易地得到重新激活。     (稿源:cnBeta,封面源自网络。)

英特尔处理器又曝两个 SGX 新漏洞 攻击者可轻松提取敏感数据

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候,三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说,这可以让他们相当轻松地提取敏感数据。庆幸的是,新问题可通过积极的补救措施得到修复,且当前尚无新漏洞已在野外被利用的相关证据。 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式,来获得对受感染系统上敏感数据的访问权限。 其已经为两个漏洞开发了对应的攻击方法,并给出了 SGAxe 和 CrossTalk 的概念证明。 前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本,黑客可从 CPU 的 L1 缓存中提取内容。 研究人员解释称,SGAxe 是英特尔减轻针对软件防护扩展(SGX)的旁路攻击的一个失败尝试。作为 CPU 上的一个专属区域,SGX 原意是确保正在处理的代码和数据的完整与机密性。 借助瞬态执行攻击,黑客可从实质上恢复存储在 SGX 区域中的加密密钥,并将之用于解密长存储区,以获得机器的 EPID 密钥。后者被用于确保事务的安全性,比如金融交易和受 DRM 保护的内容。 至于第二个 CrossTalk 漏洞,其属于微体系架构数据采样(MDS)的一个衍生,能够针对 CPU 的行填充缓冲区(LBF)处理的数据发起攻击。 其原本希望提供 CPU 内核访问的“登台缓冲区”,但黑客却能够利用在一个单独核心上运行的特制软件,来破坏保护其运行的软件代码和数据私钥。 据悉,新漏洞影响 2015 ~ 2019 年发布的多款英特尔处理器,包括部分至强 E3 SKU(E5 和 E7 系列已被证明可抵御此类新型攻击)。 英特尔在 6 月份的安全公告中称,只有极少数的人能够在实验室环境中发起这些攻击,目前尚无漏洞在野外被利用的报告。 即便如此,该公司仍将尽快发布微码更新,同时让之前签发的证明密钥失效。     (稿源:cnBeta,封面源自网络。)

Zoom 漏洞:超 50 万个 Zoom 账户泄露并在 Dark Web 出售

早在今年4月份左右,Zoom被爆出漏洞,在Dark Web和黑客论坛上,超过50万个Zoom帐户可供出售,1块钱可以买7000个。在某些情况下,是免费赠送的。这些凭据是通过凭据注入攻击收集的,其中黑客尝试使用在较早的数据泄露中泄露的帐户尝试登录Zoom。然后将成功的登录名编译成列表,然后出售给其他黑客。 网络安全情报公司Cyble 告诉BleepingComputer,大约2020年4月1日,他们开始在黑客论坛上看到免费的Zoom帐户发布,以在黑客社区中获得越来越高的声誉。 这些帐户通过文本共享站点共享,黑客在该站点上发布电子邮件地址和密码组合的列表。 在以下示例中,免费放出了与佛蒙特大学,科罗拉多大学,达特茅斯,拉斐特,佛罗里达大学等学院相关的290个帐户。 BleepingComputer已联系了这些列表中显示的随机电子邮件地址,并确认某些凭据是正确的。 一位暴露的用户告诉BleepingComputer,列出的密码是旧密码,这表明其中一些凭证可能来自较旧的凭证注入攻击。 批量出售帐户 在看到卖家在黑客论坛上发布帐户后,Cyble伸出手来大量购买大量帐户,以便可以将潜在的漏洞用于警告客户。 Cyble能够以每个帐户0.0020美元的价格购买不到5美分的Zoom凭证(大约530,000个)。 购买的帐户包括受害者的电子邮件地址,密码,个人会议URL及其HostKey。 Cyble告诉BleepingComputer,这些帐户包括大通,花旗银行,教育机构等知名公司的帐户。 对于属于Cyble客户的帐户,情报公司能够确认它们是有效的帐户凭据。 Zoom在给BleepingComputer的声明中说,他们已经雇用了情报公司来帮助查找这些密码转储,以便他们可以重置受影响的用户的密码。 “为消费者服务的网络服务通常会受到此类活动的攻击,这通常涉及不良行为者测试来自其他平台的大量已被破坏的凭据,以查看用户是否在其他地方重用了它们。这种攻击通常不会会影响使用他们自己的单点登录系统的大型企业客户,我们已经聘请了多家情报公司来查找这些密码转储以及用于创建密码转储的工具,并且该公司已关闭了数千个试图欺骗网站的网站用户下载恶意软件或放弃其凭据。我们将继续进行调查,以锁定我们发现遭到入侵的帐户,要求用户将其密码更改为更安全的方式,并正在寻求实施其他技术解决方案以支持我们的努力。” 更改Zoom密码(如果在其他地方使用) 由于所有公司都受到凭据注入攻击的影响,因此对于注册帐户的每个站点,您必须使用唯一的密码。 通过这些攻击,利用暴露在过去数据泄露中的帐户,然后在线销售,每个站点使用唯一的密码可以防止一个站点的数据泄露影响另一个站点数据。 您还可以通过“ 我已被拥有”和Cyble的AmIBreached数据泄露通知服务检查您的电子邮件地址是否因数据泄露而泄漏。 两种服务都将列出包含您的电子邮件地址的数据泄露事件,并进一步确认您的凭据已被公开。     (稿源:TechWeb,封面源自网络。)

研究发现即便是发现账号泄露之后用户也很少换密码

卡内基梅隆大学安全与隐私研究所的研究人员发现,在账号泄露之后只有很少一部分用户会去更换密码。这一结果不是基于调查数据而是真实的用户浏览器流量。这项研究采用了卡内基梅隆大学 Security Behavior Observatory (SBO)项目收集的用户数据,出于学术研究的目的,用户自愿选择分享完整的浏览器流量。 数据是在 2017 年 1 月到 2018 年 12 月之间收集的,除了 Web 流量外还有登陆网站的密码以及储存在浏览器内的密码。 在数据收集期间,249 名用户中有 63 名用户有账号泄露,而这 63 名用户只有 21 名用户访问了发生账号泄露的网站去修改密码,而这 21 名用户中有 15 名是在发生账号泄露 3 个月内修改的。   (稿源:solidot,封面源自网络。)

泰国移动运营商泄露 83 亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     (稿源:solidot,封面源自网络。)

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

任天堂泄露事件愈演愈烈 3DS 操作系统源代码泄露

任天堂泄露事件愈演愈烈,据Resetera网友爆料,目前3DS操作系统的完整源代码已经流传到了网上。这次的泄露虽然没有包含设计文档,不过包含了许多有趣的开发文件。比方说根据Log文件中的引用,NVIDIA看起来在2006年时就曾参与到了3DS的开发中,其他泄露的文件目录可以参见此处。 考虑到3DS目前仍未淘汰,同时NS操作系统也是基于3DS操作系统,此次泄露的影响恐怕更为严重。 除此之外,《宝可梦:珍珠/钻石》的源代码也泄露到了网上,不过此次泄露中没有出现新的宝可梦原型。     (稿源:GamerSky游民星空,封面源自网络。)