分类: 数据泄露

美军承包商意外泄露 11GB 特种作战司令部雇员信息

五角大楼承包商 Protomac 意外发现泄露事件,军事特种作战司令部( SOCOM )医疗卫生专业人员的个人资料被大量曝光。泄露的数据库含 11 GB 明文、可公开访问的数据,如姓名、地址、社会安全号码和薪资,还包括至少两名经过绝密调查审核的特种部队数据分析师的姓名和家庭住址。 MacKeeper 研究员 Chris Vickery 发现了该漏洞并将情况报告给医疗解决方案公司 Protomac 。目前尚不清楚,为何可通过 Protomac 公司的 IP 地址访问不受保护的远程同步( rsync )服务。Vickery 先是电话联系了公司 CEO ,但似乎没有起作用,一小时后仍可访问数据库。于是,Vickery 联系了美国政府部门。半小时后,数据库被移除。 除了军方雇员信息,泄露的数据还包括 Protomac 公司的财务和会计信息。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客可通过行李标签代码轻松“解锁”旅客航班和身份信息

德国“安全研究实验室”研究员指出,旅客订票系统多年来一直未得到足够的保护。实际上,全球三大处理航班预定服务的“全球分布式系统”( GDS ),可通过多个方面被别有用心的人所滥用获取旅客信息。 GDS 通过 6 位数字作为预定代码( PNR Locator ),该 ID 被直接打印在了登机牌和行李标签上。 任意接近你行李(或看到旅客登机牌)的人,都可以轻松瞥到(或者用智能机拍张照)。 通过这一代码, 即可访问到完整的旅客信息:包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的 IP 地址等。更糟糕的是,黑客甚至无需特定的 ID 来验证上述信息。无论 GDS 和航空公司网站,通常都不会限制代码的访问/检查次数,因此理论上只要暴力攻击就能蒙对一次。此外,遍历所有旅客的信息也相当容易,因为该 ID 就是顺序排列的。对于攻击者来说,这也极大地减少了他们搜寻特定时间段内旅客信息的工作量。 想要解决这个问题,唯有提升系统的安全性,但方法其实非常简单。研究人员的建议是,在线服务应该限制每个 IP 访问旅客记录的次数,并且通过 Captchas 图形验证码来断绝暴力穷举攻击。 当然,直接替换掉传统的 6 位数字 ID 也是个好方法,只是实现需要的时间更长。 稿源:cnbeta,有删改,封面来源:百度搜索

国际奥委会官网疑遭黑客入侵,里约多位冠军成绩被删

继 WADA 官网遭遇黑客攻击泄露运动员医疗数据后,国际奥委会( IOC )疑似成为新的攻击目标。来自权威媒体消息,包括奥运会四金王莫-法拉赫在多内的多名里约奥运会奖牌获得者,在 IOC 官网的成绩名次信息一夜被删除。 英国长跑名将莫-法拉赫在里约奥运会获得的男子 5000 米、10000 米金牌后,疑似遭到黑客攻击数据被删除,让人不免感到离奇。毕竟在 IOC 官网上, 5000 米银牌、铜牌得主以及 10000 米的银牌、铜牌得主仍然在列。 对于这起神秘的数据事故,IOC 对外宣称只是由于一个技术问题造成,但外界对此的猜测更倾向是遭遇到黑客入侵。巧合的是,本月初 IOC 才任命杰瑞-彭内尔出任首席信息技术官,负责网络系统的安全。如果只是系统原因或者数据出错,那么除了法拉赫外,还有多名运动员的成绩、名次遭到删除,让人更加怀疑这是一起带有攻击性质的黑客入侵。目前因此遭到删除的运动员还有女子 1500 米铜牌得主、美国运动员詹妮弗-辛普森,女子 10000 米银牌得主切鲁伊约特,女子50米自由泳铜牌得主赫拉塞门尼娜。 黑客或许早已盯上了法拉赫。奥运会四金王法拉赫被公开的“用药豁免”资料里显示,他曾经在 2008 年使用了80 毫克剂量的皮质类固醇曲安奈德,2014 年 7 月份因为住院接受了生理盐水、硫酸吗啡和维柯丁口服静脉注射。在信息被公布之后,法拉赫很快就通过发言人表示用药事先得到了 WADA 许可。 稿源:凤凰网,有删改,封面来源:百度搜索

洲际酒店( IHG )疑遭信息泄露、客户信用卡被盗刷

据外媒报道,洲际酒店集团( IHG )近期正在调查美国部分酒店的客户消费后信用卡遭盗刷事件,酒店怀疑黑客通过某种手段获得了客户信用卡信息。 洲际酒店集团( IHG )总部位于英国,在全球 100 多个国家和地区经营着 5000 多家酒店,旗下酒店品牌有洲际酒店及度假村、皇冠假日酒店、智选假日酒店、英迪格酒店等。 上周,知名安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息,暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息,并进行了消费提现。对此,洲际酒店发言人表示,公司已经收到了类似的投诉,并已经雇佣了一家安全公司协助其调查事件真相。洲际酒店集团( IHG )还发表了以下声明:IHG 非常重视保护客户的支付卡数据。对于近期部分客户在酒店消费后信用卡遭盗刷的投诉,公司已经雇佣了安全公司进行调查。同时,公司建议个人应密切监控其支付卡消费帐单,出现问题及时和银行联系。 2016 年以来,拉斯维加斯硬石赌场酒店酒店、特朗普酒店、千禧酒店及度假村等公司都表示系统感染了 PoS 恶意软件,客户数据被窃取。随着元旦假期的来临,广大消费者需要提高安全意识,避免个人信息泄露。此外,应密切关注信用卡账户的资金变动。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国医用大麻项目数据库存漏洞,泄露上万民众敏感信息

据外媒 Daily Dot 报道,近日安全研究人员 Justin Schafer 发现内华达州医用大麻项目数据库中存在的一个漏洞。他利用这一漏洞就能获得 11000 多份当地民众的申请表格资料,其中包括了申请人的家庭住址、电话号码,甚至是完整的社会保险号。 据悉,这些表格属于那些申请希望能在内华达州各个大麻药房工作的民众,约有近 11700 人的生日、姓名及驾驶证号码等遭到了泄露。目前整个数据库已被下线。目前内华达州公共与行为健康部门尚未就此事发表评论。 稿源:cnbeta 有删改,封面来源:百度搜索

华盛顿社区健康计划组织服务器配置不当、泄露 40 万成员信息

据外媒报道,华盛顿社区健康计划组织( CHPW ) 上周三开始向其 381534 位成员发送数据泄露通知书,泄露内容包括姓名、地址、出生日期、社会安全号码和医保信息,不包含就诊和信用卡信息。 CHPW 组织发言人表示, 11 月 7 日接到电话举报称机构计算机网络存在漏洞,暴露了参与社区健康计划的近 40 万现任和前任成员。 11 月 30 日经组织调查证实,提供网络技术服务的 NTT Data 公司使用了公开的 FTP 服务器导致数据泄露,而非黑客入侵,随后便迅速将详情告知联邦调查局和多个国家监管机构。12 月 21 日,组织开始向用户发送通知,并提供 12 个月的免费信用和身份监控服务,以确保个人信息的安全。 举报人 Justin Shafer 也在 twitter 上证实了消息。 稿源:本站翻译整理,封面来源:百度搜索

洛杉矶公务员遭黑客钓鱼邮件攻击,75.6 万公民个人资料泄露

据外媒报道,108 名洛杉矶政府工作人员遭到网络钓鱼邮件攻击,最终泄露了 756000 公民的个人信息。 洛杉矶政府办公室 16 日发布新闻稿证实,黑客入侵事件发生于今年 5 月 13 日,政府工作人员遭到尼日利亚黑客发动的钓鱼邮件攻击,108 名员工点击了邮件并提供了用户名和密码。由于职责需要,他们的账户存有机密客户、病人的个人信息。约 756000 人的个人信息被窃取,数据包括姓名、出生日期、社会保障号码、驾驶执照或州身份证号码、支付卡信息、银行账户信息、家庭住址、电话号码、医疗信息等。影响人群涉及评估师、行政长官办公室、公共医疗、卫生服务、人力资源等。 事发第二天,当地检察官办公室迅速成立网络调查反应小组调查该事件,并于 12 月 8 日逮捕尼日利亚黑客 Austin Kelvin Onaghinor 。他被指控九项罪名,包括未经授权访问计算机以及非法盗取身份信息。 洛杉矶政府办公室表示,尚没有证据表明任何被窃取的个人信息已经泄露。之前,为了秘密调查并没有提前通知受影响的民众,现在已开始逐步通知受害者。 稿源:本站翻译整理,封面来源:百度搜索

成人交友网站 Ashley Madison 因数据泄露被罚 160 万美元

上周三,美国联邦贸易委员会(FTC)已要求成人“交友”网站 Ashley Madison 支付 160 万美元罚款,因其未能保护好数据致使 3600 万用户资料泄露。 2015 年夏天,黑客盗取了 Ashley Madison 网站数据库,数据包括 3600 万用户用户名、密码和其他个人信息。黑客将数据公布在网上,多个 Ashley Madison 网站用户因忍受不了偷情行为被曝光为自杀、其他成员也遭到敲诈勒索。 2016 年 7 月联邦贸易委员会展开调查,以确定该网站是否存在安全保障不足、隐私保护不到位问题,以及调查网站是否遵守了约定:付 19 美元即刻永久删除用户资料。调查结果显示:网站未采取有效措施保护用户数据,且未遵守约定:付 19 美元删除个人资料,而是继续保存 12 个月。网站本将面临括 1760 万美元罚款,但最后考虑到网站无力支付,改成 160 万美元罚款。 稿源:本站翻译整理,封面来源:百度搜索

澳洲国民银行“意外”发错邮件, 60000 客户敏感资料泄露

据 ABC 新闻报道,澳洲国民银行(NAB)意外将包含 60000 名海外客户个人详细信息的邮件发送到错误的收件地址,相关信息已经泄露。上周五,澳洲国民银行(NAB)承认工作失误致使客户信息泄露并对此向公众道歉。NAB 已经写信通知了受影响的客户,告知数据泄露的具体情况。电子邮件中包含的信息有姓名、地址、电子邮件、BSB 号码和账户号码,但邮件中不包含任何密码信息。 澳洲国民银行称,这是一起人为事故并非黑客入侵,受影响的客户都来自海外,澳大利亚本地用户不受影响。银行表示目前尚未看到受影响的帐户存在异常活动,银行将继续进行监测。在这批泄露的账户信息中,大约 40% 的账户已经被注销或者超过 1 年没有使用。约 19000 个账户存款少于 2 美元。 澳洲国民银行已将事件详情通知澳大利亚信息专员办公室以及澳大利亚证券和投资委员会,并表示会深刻反省错误、改进和加强相关的流程处理。 稿源:本站翻译整理,封面来源:百度搜索

LinkedIn 向用户发送教育网站 Lynda.com 数据泄露通知邮件

据外媒报道,日前,LinkedIn 开始向 55000 位用户发出一封通知邮件,告知他们旗下在线教育网站 Lynda.com 发生数据外泄,曝光的数据包括用户的联系人、课程等在线学习数据。不过这家公司表示,未经授权的第三方入侵了数据库,目前还没有证据表明用户的密码也在泄露数据范围之内,它仅提醒用户近期要多加小心,并且也没有在邮件中要求他们更改密码。 Lynda.com 在 2015 年 4 月被 LinkedIn 收购。而在一周半前,微软刚刚以 262 亿美元完成了对 LinkedIn 的收购,这也意味着 Lydia.com 已经为微软持有。 除了通知邮件之外,LinkedIn 和微软都没有就这一数据泄露事件发表正式声明。 不过相对于最近火热的雅虎 10 亿账户数据泄露事件,和之前 LinkedIn 的上亿用户数据泄露来说,这还不算太严重。 稿源:cnbeta.com有删改,封面来源:百度搜索