分类: 数据泄露

日本知名游戏开发商 NIS 美国分部在线商城的客户支付卡数据被盗

外媒 3 月 5 日消息,日本游戏开发商 Nippon Ichi Software 透露,其美国分公司 NIS America 的网上商城 store.nisamerica.com 和 snkonlinestore.com 于 1 月 23 日至 2 月 26 日的某个时间段遭受了严重的数据泄露,可能会影响在线客户的个人信息和财务数据。 根据 NIS America 上周向受影响客户发的一封电子邮件得知,该公司在 2 月 26 日上午发现其结账页面被链接了一个恶意程序,具体流程为: 黑客设法在用户下单后获取其付款卡细节和个人信息,然后恶意程序将用户返回到 NIS America 存储页面,以完成进一步的欺骗交易。 邮件中并未提及具体有多少客户在此次事件中受到了影响,也没有提供进一步的攻击详情。为了表示歉意,该公司通过其在线商店向客户提供了 5 美元的优惠折扣。 目前 NIS America 表示他们已解决了此次恶意事件,并增加了新的安全措施来提高其在线商城的安全性。此外,NIS America 建议客户更改帐户密码,并监控其银行或信用卡帐单的可疑活动,以及注意欺诈性电子邮件、文本、电话或请求个人信息的可疑网站。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国海军陆战队成员逾 2 万份高度敏感数据泄露

外媒 3 月 1 日消息,美国海军陆战队在本周遭受了重大的数据泄露,超过 21,000 名海军陆战队员、水手以及普通公民的高度敏感信息被意外暴露在未加密的电子邮件中。据悉,邮件附件中列出了被泄露人员的个人财务详细信息,其中包括截短的社会安全号码、信用卡信息、银行路线号码、电子资金转账详情、住宅位置、邮寄地址以及紧急联系信息。 据美国海军海军陆战队时报报道,该起事件是由于美国国防部的国防旅行系统(DTS)在 2 月 26 日将一封包含高度敏感个人信息的邮件分发到错误的电子邮件名单中(未分类的 “ usmc.mil ”海军域名以及民用帐户)而造成的。目前具体有多少人接收到了邮件还并不清楚。 DTS 是美国国防部门用于管理官方授权旅行、旅行路线和差旅费用的管理系统。 事件发生后,海军陆战队发言人安德鲁·阿兰达少校在发布会上声称该事件没有涉及恶意行为,并且也已经撤回了电子邮件 ,以减少接收它的账户数量。 他表示,海军陆战队目前正在调查泄露行为的严重程度,并计划更改条例以更好地保护个人数据,避免将来发生类似事件。与此同时,他们也在努力通知那些受到数据泄露影响的人,并就减轻欺诈和身份盗窃风险提供指导。 其实这并不是美国联邦政府近年来首次发生影响军事和国防人员的重大数据泄露事件。 例如, 2015 年,美国人事管理办公室称其遭受过两起数据泄露事件,暴露了至少 2210 万人的敏感信息,其中包括现任和前任联邦雇员、承包商、以及其家人和朋友。这是美国政府历史上最具破坏性的网络抢劫案之一。从那时起,美国联邦政府就实施了一系列的措施来增强其网络安全。 不过今年 1 月份,美国国土安全部还是遭到数据泄露,暴露了超过 24 万名前任和现任雇员的敏感身份信息。 相关阅读: 美国海军数据泄露,涉 13.4 万士兵个人信息 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国征信公司信息泄露事件升级 新增 240 万受害者

据瑞士资讯 3 月 1 日援引法新社报道,美国征信公司伊奎法克斯( Equifax )当日表示,关于 2017 年 9 月曝出的 1.4 亿用户个人信息泄露事件,近日又发现另外 240 万名受害者。 伊奎法克斯的法务调查报告显示,除了有 1.4 亿名美国人姓名、生日和社会安全号码等个人信息泄露外,还有 240 万人用户的个人信息受影响。伊奎法克斯称,之前未发现新的受害客户,是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。 该公司还表示,将会通知这些用户,并为他们提供防盗保护和信用报告监控服务。 稿源:cnBeta、环球网,封面源自网络;

B 站发布关于快视频调查结果:称无信息泄露证据

2 月 20 日晚间消息,针对今日早前快视频侵权 B 站事件,B 站在微博上发表公开信,阐述了关于用户反馈 B 站账号可以直接登录的调查结果。B 站在公开信称,至今并未发现 B 站的用户账号信息被泄露的证据。对于未经授权盗搬 UP 主内容信息、侵犯 UP 主权益的行为。B 站将坚决支持和帮助 UP 主维权。 以下为公开信全文: 相关阅读: B 站向快视频发律师函:要求停止侵权行为并公开道歉 B 站发布关于快视频调查结果 法律界人士:快视频或侵犯用户隐私权属不正当竞争 稿源:cnBeta,封面源自网络

这个印度语字符可以让你的 iMessage 应用直接崩溃

相信大家都知道已经出现过很多次一段特殊的字符可以直接让 iOS 设备的信息应用崩溃,并导致用户无法再次打开信息应用。在最新的 iOS 11 系统中,又出现了一个这样的 Bug。 将特殊的泰卢固语字符发送至运行 iOS 11.2.5 的设备中,会导致应用崩溃,有些时候甚至需要 DFU 才能恢复。泰卢固语是印度语的一种。这个 Bug 首先被意大利网站 Mobile World 发现,任何显示这个字符的应用都会崩溃,不仅仅是信息应用。当用户收到的通知提醒中包含这个字符时,也会崩溃。 不过,在最新的 iOS 11.3 测试版中,苹果已经修复了这个 Bug。下面就是这个特殊的字符。 稿源:cnBeta,封面源自网络

应苹果要求 GitHub 已清除被泄露的 iOS 源代码

昨天,我们报道了“有人已将疑似 iOS 9 中的 iBoot 源码泄露到 GitHub”的消息。虽然这件事情可以追溯到几个月前的 Reddit 爆料,但苹果显然已经坐不住了。据外媒报道,事情曝光后不久,苹果便与 GitHub 取得了联系,要求该代码托管平台立即清理掉被公布的源代码。我们在测试后发现,原先的这个链接(https://github.com/king4q/iBoot)已经不再可用。 GitHub 网页截图 – iBoot 源码页已基于《数字千年版权法案》的请求而撤除 据悉,本次泄露的 iBoot 代码可能会被黑客利用,发现 iOS 系统中的漏洞、甚至更轻松地越狱。然而 r/jailbreak 指出: 遗憾的是,即便 GitHub 已经撤除,但互联网上仍存有许多的副本。 曾编写 iOS 与 macOS 系统编程图书的 Jonathan Levin 在接受 Motherboard 采访时亦表示: 鉴于苹果一直小心翼翼地确保自家安全,本次源码曝光或是该公司有史以来最严重的一起泄露事件。 iBoot 是保障 iOS 软件受信任启动操作的重要一环,律师将本次泄露事件描述为“对苹果 iBoot 源码的复制”。该公司在撤除请求中写到: 这份 iBoot 源码表明其有着专有权利,其中包含了苹果的版权声明,因而并不是开源的。 尽管这份源码来自 iOS 9,但它很有可能在 iOS 11 中被继续使用。 稿源:cnBeta,原文编译自 TheVerge,封面源自网络

瑞士电信( Swisscom)证实 80 万数据被盗,涉全国 1/10  公民信息

据 IBTimes 英国网报道,瑞士电信 (Swisscom) 于 2 月 7 日承认其用户数据在去年年底遭到破坏,约 80 万名客户(占瑞士总人口的 10 %)的个人信息遭到泄露。不过 Swisscom  承诺此次事件不会涉及用户任何敏感信息(比如密码、会话或支付数据)。 知情人士透露,一个身份不明的用户访问了 Swisscom  客户的姓名、地址、电话号码和出生日期等信息,目前 Swisscom 认为该用户是通过其销售合作伙伴获取数据的。 Swisscom 方面表示,尽管挪用的个人资料属于非敏感类别,但公司还是将调查该事件列为首要任务。此外,为了更好地保护第三方公司对个人数据的访问, Swisscom 做出了一些重要改变,其中包括: 相关合作伙伴公司的访问权限已被立即封锁; 在销售合作伙伴账户中引入双因素认证,同时削减运行大容量查询的能力; 第三方账户上的任何异常活动都会触发警报并阻止访问。 到目前为止, Swisscom  还没有发现任何针对受影响客户的攻击事件。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

苹果证实 iOS 源代码泄露 强调对 iPhone 安全没有影响

据 MacRumors 北京时间 2 月 9 日报道,iBoot——iPhone 操作系统的一个核心组件——源代码泄露到了软件项目托管平台 GitHub 上,引发了业界担忧:黑客和安全研究人员会研究这些源代码,从中发现 iOS 的安全漏洞。 在当地时间星期四上午发表的一份声明中,苹果证实泄露到 GitHub 上的代码确实是 iBoot 源代码,但强调称,它们是 iOS 9 的一部分。 iOS 9 发布于 3 年前,目前已经被 iOS 11 所取代,只有少量 iOS 设备仍然运行 iOS 9。 稿源:cnBeta、凤凰科技,封面源自网络

巴黎 Octoly 公司因亚马逊 S3 存储错误配置泄露全球 12000 明星/网红个人信息

外媒 2 月 6 日消息,UpGuard 安全研究人员发现,巴黎 Octoly 公司因其亚马逊 S3 存储桶错误配置,导致超过 12,000 名社交媒体影响者(俗称:明星或网红)的敏感数据在线暴露。据悉,这些用户大多来自 YouTube、Instagram、Twitter 和 Twitch 等社交平台,目前 Octoly 公司担心竞争对手利用该暴露事件乘机抢夺这些平台的用户资源。 Octoly 是一家总部位于巴黎的品牌营销公司,致力于向社交媒体明星提供来自顶级品牌的产品,并寻求其评论以及认可。Octoly 的客户包括迪奥、丝芙兰、欧莱雅、雅诗兰黛、兰蔻以及游戏巨头育碧和暴雪娱乐等。 UpGuard 网络风险团队总监 Chris Vicker 于 1 月初发现,一个配置错误、并且可公开访问的亚马逊网络服务(AWS)S3 云存储桶被 Octoly 公司用来存储内部重要文件。 这些文件包括: 用户敏感信息(真实姓名、地址、电话号码、电子邮件地址以及出生日期); 使用 bcrypt 加密的 Octoly 账户散列密码; 大量的品牌和分析信息(Octoly 服务的 600 个品牌的清单,以及受影响用户的 “ 深度社交 ” 报告); Upguard 认为,该暴露事件可能会在一定程度上影响 Octoly 公司的日常运营。 并且 Upguard 表示该暴露事件所带来的最大风险不在于经济损失,而在于人 ,因为泄露的用户资料让竞争对手有了可乘之机,各大品牌可能会争抢知名社交媒体影响者的青睐。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标

外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。