分类: 数据泄露

微软宣布将“尊重”加州隐私法并将扩展至整个美国

据外媒报道,当地时间周一,微软宣布将尊重加州标志性数据隐私法为加州人提供的“核心权利”并将这一权利扩展到整个美国。微软首席隐私官Julie Brill于周一在一篇博文中表示,就像去年推广《欧洲一般数据保护条例(GDPR)》一样,公司将把《加州消费者隐私法(CCPA)》的主要原则推广到美国各地。 CCPA于2018年6月获得批准,是美国最激烈、最全面的数据隐私法规之一,其有点类似于GDPR。在CCPA的规定下,公司必须向用户披露其收集的个人资料、资料是否会出售及出售对象,并容户选择不出售个人的资料。另外,用户还必须能够访问自己的数据并能要求公司删除它们。 Brill写道:“根据CCPA,公司必须对数据收集和使用透明,并为人们提供防止个人信息被出售的选择。CCPA完成这些目标的具体要求仍在制定中。 Brill继续指出,微软将密切关注政府要求公司在CCPA下执行新透明度和控制要求的任何变化。 据了解,CCPA一直是加州立法机关和国会许多隐私斗争的主题。参议院和众议院都在为他们自己的数据隐私而战,每隔几周就会有新的法案被提出。许多民主党议员认为,任何国家立法都应该以加州为基准,在全国范围内扩大这些保护措施并在必要时增加更多的保护措施。共和党人和行业利益相关者则不同意这一观点,他们普遍认为,CCPA管得太过,并且任何联邦法律都应该废除它、其他任何一个州的法律都应该避免出现隐私法规的“拼凑”现象。 Brill写道:“在美国,CCPA标志着向人们提供对其数据更有力的控制迈出了重要的一步。”“这也表明,即使国会不能或不愿采取行动,我们也可以在国家层面加强隐私保护上取得进展。” 据悉,该法案将于2020年1月1日在加州生效。   (稿源:cnBeta,封面源自网络。)

两名前 Twitter 员工被指控为沙特阿拉伯政府监视数千个 Twitter 帐户

两名前 Twitter 员工已被指控代表沙特阿拉伯政府监视数千个 Twitter 用户帐户,其目的是为了找出不同政见者。 根据11月5日公开的起诉书,这两名前雇员是美国公民 Ahmad Abouammo 和沙特阿拉伯公民 Ali Alzabarah。两人均已于2015年12月离开公司。 两人2014年开始便为沙特阿拉伯政府工作,任务是收集沙特阿拉伯王国和反对王室的 Twitter 账号。 Abouammo 和 Alzabarah有权访问用户的个人资料,包括电子邮件地址,使用的设备,用户提供的个人信息, 生日,用户浏览器信息,用户在Twitter上的所有操作记录,以及IP地址和电话号码。 根据起诉书,Alzabarah 于2013年8月以“站点可靠性工程师”的身份加入Twitter,他于2015年5月21日至11月18日为沙特阿拉伯服务。据指控,他涉嫌监视6000多个Twitter帐户,沙特政府曾经向Twitter请求披露其中的数十个账户的具体信息。 Abouammo 被指控在美国境内充当外国间谍,还向FBI提供了伪造记录,以干扰他们的调查。他还从社交媒体平台删除了某些信息,比如应沙特政府官员的要求删除了某些Twitter帐户。当然,他还能够帮助沙特阿拉伯政府揭露某些用户的身份。 根据起诉书中的内容,沙特阿拉伯官员通过伪造发票的方式,向Abouammo支付了高达30万美元的报酬。该文件还指出,该男子收到了Hublot金陶瓷手表。 美国司法部还对沙特国民Ahmed al Mutairi提出了指控,这是一家与沙特王室有联系的社交媒体营销公司。Ahmed al Mutairi担任 Twitter 的两名前雇员与沙特阿拉伯政府官员之间的中介。 Abouammo 于周二在西雅图被 FBI 逮捕,其他两名嫌犯仍在逃。 “许多Twitter用户在与全世界分享他们的观点的同时也面临着很多危险。我们会保护他们的隐私和发声的权利” Twitter在声明中说。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国基因检测公司 Veritas Genetics 客户数据遭泄露

网易科技讯 11月8日消息,据国外媒体报道,美国DNA检测初创公司Veritas Genetics表示,该公司发生一起数据泄露事件,导致一些客户的信息被盗。 这家总部位于美国马萨诸塞州丹弗市的公司承认,其面向客户的门户网站“最近”遭到了黑客攻击,但没有说明何时遭到攻击。该公司拒绝透露具体哪些信息被盗,只表示该门户网站不包含客户的检测结果或医疗信息,以及仅有少数客户受到了影响。 该公司尚未发表正式的公开声明,也没有在其网站上承认此事。Veritas Genetics的一位发言人没有回复记者的置评请求。 美国彭博社首先报道了这一消息。 Veritas Genetics的竞争对手包括23andMe、Ancestry和MyHeritage。该公司表示,它可以利用个人的一小部分DNA来分析和理解人类基因组,从而让客户更好地了解他们今后生活中可能面临的健康风险,或将该风险遗传给子女的风险。 尽管此次被盗的数据不包括个人健康信息,但这可能会进一步加剧人们的担忧,即健康初创公司,尤其是处理敏感DNA和基因组信息的公司,可能无法保护好用户的数据。 在此之前,美国执法部门曾获得法律授权,要求DNA采集和基因检测公司帮助识别犯罪嫌疑人,从而使隐私成为基因检测领域的一个备受人们关注的问题。就在本周,有报道称,美国佛罗里达州颁发了一份具有“游戏规则改变者”性质的授权令,允许警方搜索本地DNA检测公司GEDmatch的全部数据库。去年,警方曾利用该公司的数据库帮助抓捕臭名昭著的“金州杀手”(Golden State Killer)。 在美国,约有2600万消费者使用了家用遗传检测试剂盒。(刘春)     (稿源:网易科技,封面源自网络。)

窃取 Capital One 约1亿数据的黑客暂被释放

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录,此前曾在8月份要求释放联邦拘留所,但最初由于当时法官认为她有飞行危险而被拒绝。 但是,在本周一,主审法官援引汤普森的观点,认为Thompson没有对社区或她本人构成足够的威胁,所以她不应该在等待审判期间受到监禁。Thompson希望获得释放,因为她认为作为一个被关押在男子监狱的变性人,她可能会患上抑郁症或伤害自己。 作为释放条件的一部分,美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里,Thompson 将一直受到GPS监控,将被禁止访问互联网或使用计算机,手机或任何其他电子设备,除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据,与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号,14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说:“服务器是在Thompson的卧室中查获的,其中不仅包括从首都一号偷走的数据,还包括从其他30多家公司,教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕,目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客就数据泄露表示认罪 曾威胁 Uber 和 Lynda 支付巨额赎金

Brandon Charles Glover 和 Vasile Mereacre 是两名黑客,他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月,Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据,但公司在过去的一年里没有公开此事。 根据彭博社的报告,黑客通过 Uber 开发团队的 GitHub 获得了访问权限,并且要求Uber支付10万美元,否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金,派  Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月,Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台,其于2015 年被 LinkedIn 收购。2016 年,该公司提醒其 950 万客户声称公司遭到了黑客攻击,尽管只有 55,000 个帐户受到影响。与 Uber 不同,LinkedIn 拒绝向黑客付款,并试图找出他们。 本周,Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据,并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GitLab 在产品中收集用户行为数据,遭遇强烈吐槽撤回

上周 GitLab 给所有用户发送题为《关于服务协议以及用户行为数据收集重要通知》的邮件(详情)。GitLab 希望借此来收集来自 GitLab 产品中的用户使用习惯,以改进产品从而为用户提供更好的产品体验。 GitLab 原计划不会针对所有产品都收集遥测数据。如下图所示,对于社区版和企业版,GitLab 都没有添加收集遥测数据的服务。唯一会收集数据的地方来自 GitLab.com 提供的服务。 但作为独立部署的产品,此举遭到来自社区开发者的强烈抗议。日前,迫于压力,GitLab 再次发布撤回并重新思考关于收集用户行为的措施以及道歉邮件。 GitLab 官方称将不会在产品中激活用户的产品使用行为的分析。同时希望用户根据此行为提供反馈意见。   (稿源:开源中国,封面源自网络。)

750 万 Adobe Creative Cloud 用户记录遭到泄露

由于配置错误,Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息,涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品,还有帐户创建日期、最后登录日期,用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日,Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队,后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重,因为它不包含密码,付款数据,甚至没有用户的真实姓名。 但是,尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件,并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应,并表示此次事故是因为配置错误,使得服务器被暴露在互联网上。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

诺基亚员工意外泄露了俄罗斯电信运营商 SORM 监控设备的秘密

外媒刚刚揭示了俄罗斯电信运营商机房中神秘的 SORM 监控设备,据说它们被安插在各个城市的带锁房间,并且直连该国某些大型电信运营商的电话和互联网络。这些设备的大小与一台洗衣机相当,可容纳来自俄罗斯安全部门的特殊设备,收集来自数以百万计的用户的电话和信息。尽管有着相应的强制性法律要求,但这套系统的主要功能还是处于严格的保密状态。 (SORM 设备谍照) 由目前已曝光的一些文件可知,这套系统和监控客户的电话、消息、数据和移动电话系统。据说这些文件是在诺基亚员工使用的无保护备份驱动器网络上找到的 这些文件是在 Nokia Networks(前身为诺基亚-西门子通信公司)员工拥有的无保护备份驱动器上找到的,双方有着长达十年的合作关系,对 MTS 网络实施维护和升级,以确保其符合 SORM 标准。 在发现了相关文件流出后,安全企业 UpGuard 网络风险研究主管 Chris Vickery 向诺基亚汇报了这一安全失误。在周三发布的一份报告中,UpGuard 称诺基亚在四天后找到了泄露来源。 (MTS 示意图)   诺基亚发言人 Katja Antila 在一份声明中称:“我司现任员工将包含旧工作文件的 USB 驱动器连接到了家用 PC 上,但由于错误的配置,导致其 PC 与 USB 驱动器无需身份验证,即可被互联网上的其他人所访问”。 在注意到此事后,诺基亚已经与该名员工取得了联系、断开了机器的连接、并将其带回了公司,目前相关调查正在进行之中。据说本次暴露的数据接近 2TB,其中主要包含了来自诺基亚公司内部的文件。 从外媒获悉的部分内容可知,Nokia Networks 参与了电信 / 互联网服务提供商提供的“合法拦截”项目。根据俄罗斯法律要求,大型电信运营商必须安装所谓的 SORM 设备。 (一份神秘的 SORM 设备部署楼层平面图) 据悉,SORM 全称为“可操作活动调查系统”的首字母缩写,最初于 1995 年作为合法的拦截系统进行开发,允许俄罗斯联邦安全局(FSB)依法访问电信运营商的数据,涵盖通话记录等内容。 过去十年,调整后的法规允许政府建立扩展到互联网服务提供商和网络公司,后者被迫安装了可以拦截网络流量和电子邮件的 SORM 设备,甚至有几家科技企业因未安装而遭到了俄罗斯互联网监管机构的处罚。 事实上,大多数国家(包括英美)都有相关的法律要求电信运营商安装合法的拦截设备。不过 Nokia Networks 宣称其仅参与了其中的一部分,并且会在将设备售往有潜在风险地区时作出充分的合规性评估。     (稿源:cnBeta,封面源自网络。)  

数据库泄露了厄瓜多尔大多数公民的数据 其中包括 670 万儿童

ZDNet了解到,由于数据库配置错误,厄瓜多尔大部分人口(包括儿童)的个人记录已在网上曝光。两周前,vpnMentor安全研究人员Noam Rotem和Ran Locar发现了这个数据库泄露。这应该是厄瓜多尔历史上最大的数据泄露事件之一,厄瓜多尔是一个拥有1660万公民的南美小国。 这次泄露的数据库总共包含大约2080万个用户记录,这个数据库记录的数量大于该国家的总人口数,其中原因可能来自重复记录或较旧的条目,包含死者的数据。这项数据分布在不同的索引中。这些索引包含不同的信息,其中存储了用户详细信息,如姓名,家庭成员,民事登记数据,财务和工作信息,以及汽车所有权数据。 根据这些索引的名称,整个数据库可以根据数据的假定来源分为两大类。有一些数据似乎是从政府来源收集的,还有一些数据似乎是从私人数据库收集的。这些数据包含公民全名、出生日期、出生地、家庭住址、婚姻状况、塞杜拉细节(国家身份证号码)、工作/工作信息、电话号码和教育程度等条目。 然而,事情并没有就此停止。安全研究人员发现整个数据库当中也包含大量儿童信息,有些儿童甚至是今年春季才出生。具体来说,其中包含大约677万个18岁以下儿童条目。这些条目包含姓名、出生地、家庭住址和性别等信息。   (稿源:cnBeta,封面源自网络。)

黑客利用“Simjacker”漏洞窃取手机数据 或影响 10 亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。 据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。 AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。 研究人员透露,攻击每天都在发生,在 7 天的时间里,有几个电话号码被追踪了数百次。 虽然检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围已经扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动等等。   (稿源:cnBeta,封面源自网络。)