分类: 数据泄露

美国工资协会披露信用卡被盗事件

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google Chrome 加入密码泄露检查功能 支持一键跳转修改

近年来,网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上,Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露,只需点击一个按钮,浏览器就会跳转到正确的网址来帮助你轻松修改密码。 据悉,这项功能采用了“众所周知”的解决方案,因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转! 以 WordPress 为例,该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 通过集成密码泄露检查和一件跳转修改功能,Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能,则谷歌会将你引导至它的主页。 按照计划,谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能,届时感兴趣的朋友可尝试手动开启或关闭该标记(flags)。 此外作为一项标准功能,其已在 Apple Safari 中得到使用,后续也将很快登陆其它基于 Chromium 内核的马甲浏览器中。     (稿源:cnBeta,封面源自网络。)

免费图像网站 Freepik 披露数据泄露事件 影响 830 万用户

致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后,该公司正式宣布了这一消息,从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明,此次安全漏洞发生在一名黑客(或多名黑客)利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示,黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间,也没有说明它是何时发现的。不过,该公司表示,在得知这一事件后,立即通知了有关部门,并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容,Freepik表示,并不是所有用户的账户都有相关的密码,黑客只取走了部分用户的信息。 该公司将这一数字定为450万,其中包括使用第三方联合登录账户的用户(谷歌、Facebook或Twitter)。 “对于剩下的377万用户,攻击者得到了他们的电子邮件地址和密码的哈希值,”该公司补充道。”散列密码的方法是bcrypt,还有22万9千名用户的方法是saltted MD5。随后,我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示,现在正在根据被采取的措施,用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户,这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一,目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后,排名第668位。 当EQT在今年5月底收购Freepik公司时,该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     (稿源:cnBeta,封面源自网络)

Twitter 数据泄露案存分歧 欧盟或推迟对科技巨头隐私调查

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上,欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧,这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞,在此前四年多的时间里,该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示,此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧,这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心,根据这项法律,针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头,因为上述这些公司都在爱尔兰设有地区总部,但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示,在未能解决对其在Twitter案件中的分歧后,该机构启动了欧盟隐私监管机构之间的争端解决机制,这是该程序首次启动。Twitter案件是个风向标,因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定,或基于什么理由,但反对意见可能与其机制和罚款金额有关。 根据GDPR规定,监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款,基于Twitter 2019年的收入,罚款金额可能高达6900万美元。然而,该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素,例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律,在涉及多个国家的案件中,主要监管机构(如DPC)会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见,还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会,该委员会将通过投票决定。这个过程持续一个月,但可以延长到两个月,然后再延长两周。根据法律文本,一旦委员会批准了一项决定,主要监管机构需要在1个月内通知公司。     (稿源:网易科技,封面源自网络)

文件显示美国将 DDS 视为黑客犯罪组织

透明度活动组织 “分布式拒绝秘密”(DDoSecrets)在今年夏天早些时候公布了296GB的敏感执法数据后,被正式定为 “犯罪黑客组织”。这一描述来自于6月底美国国土安全部情报与分析办公室向全国各地的融合中心散发的一份公告。该公告的措辞与美国政府早前对维基解密、匿名者和LulzSec的描述如出一辙。 公告中写道:”一个犯罪黑客组织分布式拒绝秘密(DDS)于2020年6月19日进行了一次针对联邦、州和地方执法数据库的黑客和泄密行动,可能是为了支持或回应因乔治-弗洛伊德之死而引发的全国性抗议活动。”据称,DDS泄露了全球200个警察部门、融合中心和其他执法培训和支持资源的十年数据。DDS此前曾针对俄罗斯政府进行过黑客和泄密活动。” 据报道,BlueLeaks的数据是由一名自称与Anonymous有关系的黑客提供给DDS的,包括来自200多个警察部门和融合中心的10年信息。这些记录包括警方和FBI的报告、公告、指南以及有关监控技术和情报收集的技术资料。一些新闻机构利用BlueLeaks的数据发布了关于执法手段的报道,包括黑人生命重要抗议者的反监视方法,反法执法部门威胁的分析,以及对COVID-19大流行期间广泛佩戴面具挫败面部识别算法的担忧。 6月底,Twitter针对泄密事件暂停了DDS的账户,并大规模屏蔽了泄密数据集的超链接,使其无法在平台上分享。对于一家长期以来允许DCLeaks等极端主义内容和容留选举干预链接的工作公司来说,这是一个非常严厉的步骤。上个月,德国当局查封了托管BlueLeaks数据的DDS服务器,有效关闭了该组织的在线记录库。这次查封是应美国当局的要求进行的。 DDS创始人之一艾玛-贝斯特(Emma Best)告诉The Verge,他们 “绝对 “相信这份文件表明,美国当局正在以调查维基解密的方式调查他们的组织,而维基解密的创始人朱利安-阿桑奇(Julian Assange)被控阴谋窃取和发布五角大楼的机密文件。贝斯特坚持认为,该组织从未参与过任何入侵获取文件的行为,只是在文件被他人获取后发布。他表示,与维基解密和阿桑奇不同,我们没有参与实际的黑客攻击,也没有为黑客提供物质支持。 (稿源:cnBeta,封面源自网络。)

数据泄露后,Zello 重置所有用户密码

一键通应用程序 Zello 披露了一个数据泄露事件,用户的系统上存在未经授权的活动,并导致泄露了用户的电子邮件地址和哈希密码。 Zello 是一项具有1.4亿用户的移动服务,该服务允许急救人员、酒店、交通以及家人和朋友使用一键通应用程序进行通信。 Zello指出,他们于2020年7月8日在其中一台服务器上发现了未经授权的活动。 作为此访问的一部分,黑客可能已访问Zello帐户的电子邮件地址和哈希密码。 “ 2020年7月8日,我们在其中一台服务器上发现了异常活动。我们立即启动了调查,通知了执法部门,并聘请了一家领先的独立法证公司来提供帮助。通过此调查,我们了解到,未经授权的一方可能已经访问了我们的用户在其Zello帐户上使用的电子邮件地址和密码的哈希版本。” 尽管Zello并未明确声明已访问了数据库,但这很可能是黑客能够访问客户信息的途径。 根据通知,此违规行为不会影响Zello Work和Zello for First Responders客户。 此外,由于Zello要求用户使用用户名和密码登录。由于黑客未访问用户名,因此Zello并不认为用户帐户得到了正确访问。 Zello客户应该怎么做? 为了安全起见,Zello会在下次登录时对所有Zello帐户强制重置密码。 当攻击者获得对Zello用户的电子邮件地址和哈希密码的访问权限时,他们可能会破解该密码以获取对明文密码的访问权限。 然后,黑客可以在“凭据填充”中利用电子邮件地址列表和破解的密码。在这种情况下,攻击者尝试登录用户也可能拥有帐户的其他站点。 因此,所有受影响的用户都需要在与他们的Zello帐户相同的密码的任何站点上更改其密码。 更改密码时,它应该是仅在该站点使用的唯一密码。 密码管理器可以帮助您在访问每个站点时方便地创建唯一密码,而无需记住它们。     消息来源:BleepingComputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

报告称企业“超大型”数据泄露事件的补救成本可能高达 3.92 亿美元

据外媒ZDNet报道,在过去的一年里,“超大型”数据泄露事件的平均成本呈天文数字增长,受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。现在,数据泄露已经屡见不鲜,针对公司发起的网络攻击催生了一个新的网络保险行业,出现了针对未能保护数据的公司的监管和集体诉讼,以及新的法律–比如欧盟的GDPR–可以用来对安全性松懈的数据控制者进行重罚。 然而,数据泄露事件不断发生,其中一些导致消费者记录被盗,在地下论坛上出售,身份被盗风险增加。为了应对数据泄露的后果,企业可能需要花费资金修复系统和升级架构,可能需要投资新的网络安全服务和网络取证,还可能面临法律诉讼或监管部门的处罚–如果涉及客户PII,成本还在逐年增加。 周三,IBM发布了年度《数据泄露成本报告》,报告称,现在平均数据泄露成本为386万美元。虽然这一平均值与2019年相比下降了1.5%,但当涉及超过5000万条消费者记录时,这些 “超大型 “数据泄露事件的补救成本可能高达3.92亿美元,高于2019年的3.88亿美元。 如果一个组织担任4000万至5000万条记录的数据控制者,平均成本为3.64亿美元,组织可能会面临每条涉及数据被盗或泄露的消费者记录高达175美元的成本。这项研究由Ponemon研究所进行,包括对在过去一年中经历过数据泄露的公司工作的3200多名安全专业人士的采访。 正如最近的Twitter黑客事件所强调的那样,被泄露的员工和内部账户是当今数据泄露中最昂贵的因素之一,使数据泄露的平均成本高达477万美元。当涉及内部账户时,80%的事件导致客户记录暴露。总的来说,被盗或泄露的账户凭证–与云端错误配置一起–占安全事件的近40%。 IBM表示,在五分之一的数据泄露事件中,被泄露的账户凭证被用作攻击者的入口,导致仅在2019年就有超过85亿条记录曝光。云端错误配置占网络漏洞的比例接近20%。利用第三方漏洞,如企业软件中的零日或未修补的安全漏洞,也是造成数据泄露的一个昂贵因素。一个企业公司如果因这类漏洞而遭受数据泄露,预计最高可获赔450万美元。 国家赞助的攻击,包括高级持续性威胁(APT)组织进行的攻击,远没有那么常见,只占企业公司报告的整体数据泄露事件的13%。然而,当这些威胁行为者参与其中时,他们所造成的损失往往会导致更高的恢复成本,平均代表着443万美元。 如果企业已经购买了网络保险,则可以平均减少20万美元的损失费,保险赔付的大部分用于法律服务和咨询费。 在报告内,IBM将人工智能、机器学习和自动机作为应对数据泄露的宝贵工具,可能会将事件响应时间缩短27%。 “当企业正在加速扩大其数字足迹,安全行业的人才短缺问题持续存在的时候,团队正在不堪重负地保护更多的设备、系统和数据。”IBM X-Force Threat Intelligence副总裁Wendi Whitmore评论道。“当涉及到企业减轻数据泄露影响的能力时,我们开始看到已经投资于自动化技术的公司所拥有的明显优势。”     (稿源:cnBeta,封面源自网络。)

黑客大方放出 3.86 亿条用户凭证 称已经赚够钱了

涉及 18 家公司,超过 3.86 亿条用户信息被曝光。自7月21日以来,一个网名为 ShinyHunters 的卖家在一个专门出售和分享被盗数据的黑客论坛上分享了这些用户凭证,而且这些数据都是免费提供的。 在过去一年中,ShinyHunters 参与并表示对多起数据泄漏事件负责,其中包括 Wattpad、Dave、Chatbooks、Promo.com、Mathway、HomeChef 以及 微软 GitHub 仓库的泄露事件。 这些泄漏的数据通常会被私下出售,价格在 500 美元(Zoosk)到 10 万美元(Wattpad)之间。一旦这些用户凭证的价值大打折扣,那么数据卖家通常会选择免费发布来增加黑客论坛的声誉。 在7月21日以来发布的数据库中,其中 9 个数据库在过去已经以某种方式被披露。另外9个,包括 Havenly、Indaba Music、Ivoy、Proctoru、Rewards1、Scentbird 和 Vakinha,此前并未披露。18起数据泄露事件的完整名单如下: BleepingComputer 已经确认,这些曝光的电子邮件账号对应这些服务上的账户。合并后的数据库暴露了超过3.86亿条用户记录。虽然并不是每条记录中都包含密码,例如 promo.com ,但仍然有大量的信息被披露,威胁行为者可以使用。 在询问为何要免费分享这些数据的时候,ShinyHunters 表示:“我现在已经赚够了钱,所以这次我的泄漏是为了大家的利益。很明显,有些人有点不高兴,因为他们几天前向经销商支付了费用,但我不在乎”。 BleepingComputer 已经联系了 ShinyHunters 提供免费服务的每一家公司,但没有收到任何一家公司的回复。这种缺乏回应的情况在报告数据泄露时很常见,通常几周甚至几个月后,该公司会报告数据泄露。     (稿源:cnBeta,封面源自网络。)

基础架构配置不当致数十家企业资料库源码在互联网上裸奔

开发者兼逆向工程师 Tillie Kottmann 通过近期收集的资料发现:由于基础架构上的配置不当,来自科技、金融、零售、视频、电商、制造等行业的数十家企业的公开资料库的源代码已在网络上被曝光。公共存储库中的泄露代码,已波及微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科、GE 家电、任天堂、Roblox、迪士尼、江森自控等知名企业。 借助开发人员工具,Tillie Kottmann 收集到了上述各种泄露源码。即便有些被标记为“机密和专有”,还是可以在 GitLab 等代码托管和公共存储库平台上被大量找到。 专注于银行业威胁与欺诈事件研究的 Bank Security 指出,库中包含了来自 50 多家企业的源码。虽然不是所有文件夹都被曝光,但某些情况下还是泄露了敏感的凭据。 由 Kottmann 分享的截图可知,本次事件波及金融科技(Fiserv、Buczy Payments、Mercury Trade Finance Solutions),银行(Banca Nazionale del Lavoro),身份与访问管理(Pirean Access:One),以及游戏等行业。     (稿源:cnBeta,封面源自网络。)

一个安全漏洞暴露了家谱数据库 GEDmatch 中超过 100 万份DNA资料

据外媒BuzzFeed News报道,7月19日,使用GEDmatch网站上传DNA信息、寻找亲属填写家谱的家谱爱好者们得到了一个不愉快的消息。突然间,一直被隐藏起来的100多万份DNA资料,被警察利用该网站找到与犯罪现场DNA部分匹配的资料,供警察搜索。 这个消息破坏了去年12月收购GEDmatch的法医遗传学公司Verogen的努力,使用户相信它将保护他们的隐私,同时追求基于使用遗传谱系帮助解决暴力犯罪的业务。 第二个警报发生在7月21日,总部位于以色列的家谱网站MyHeritage宣布,其部分用户受到钓鱼攻击,以获取他们在该网站的登录信息–显然是针对两天前GEDmatch被攻击时获得的电子邮件地址。 在一份通过电子邮件发给BuzzFeed News并发布在Facebook上的声明中,Verogen解释说,本应对执法部门隐藏的GEDmatch资料突然被揭开,是 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的”。 “由于这个漏洞,所有用户的权限被重置,使得所有用户都能看到所有的档案。这种情况大约持续了3个小时,”声明指出。“在此期间,没有选择参加执法匹配的用户可以进行执法匹配,反之,所有执法档案对GEDmatch用户可见。” 2018年4月,随着被指控为金州杀手的Joseph James DeAngelo被捕,调查性遗传系谱爆发了。DeAngelo上个月承认了13起谋杀案,并承认了数十起其他罪行。调查人员在1980年的一起双重谋杀案现场发现的DNA与GEDmatch上属于凶手远亲的资料进行了部分匹配。通过艰苦的研究,他们建立了家族系谱,最终汇聚到了DeAngelo身上。 此后,又有几十名涉嫌谋杀和强奸的人被以类似的方式确认。但这在家谱界引起了很大的分歧。虽然现在一些家谱学家正在与警方合作,但也有人认为,基因隐私已经受到了损害。 在该网站为了让警方调查一起不太严重的暴力袭击事件而影响自己的规则后,GEDmatch的解决方案是用户必须明确选择接受执法部门的搜索。根据Verogen的数据,在黑客攻击之前,145万份资料中大约有28万份资料已经选择加入。周日的漏洞改变了设置,使145万份DNA资料都选择了执法部门的搜索。 这场争论双方的家谱学家告诉BuzzFeed新闻,他们担心新的安全漏洞会阻止人们将他们的DNA档案放在网上–既伤害了在线家谱社区,也伤害了解决冷门案件的努力。“这是一个全新的坏境,”加利福尼亚州利弗莫尔的家谱学家Leah Larkin是一个直言不讳的基因隐私倡导者,他告诉BuzzFeed News。 “从长远来看,如果人们决定他们对GEDmatch的信心减少,并导致更多的个人资料被删除,这不是一件好事,”Parabon NanoLabs公司的首席谱系学家CeCe Moore告诉BuzzFeed新闻,该公司与警方合作解决暴力犯罪。 目前还不清楚是否有任何未经授权的资料被执法部门搜索过。然而,Moore告诉BuzzFeed News,她的团队负责迄今为止通过基因谱系对犯罪嫌疑人进行的大部分鉴定,当时处于离线状态。她表示:“我们没有看到任何不该看到的东西。” 在最初的黑客攻击之后,GEDmatch的正常服务曾短暂恢复,但在7月20日,Moore注意到所有档案的权限又被调换了,这次是阻止了整个数据库中的执法搜索,但却让标记为 “研究 “的档案变得可见,而这些档案本应在所有搜索中被隐藏。 网站很快就被下线了,取而代之的是一条信息。“gedmatch网站已被关闭进行维护, 目前没有ETA。” “我们正在与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”Verogen在第二次事件发生后发布的声明中说。 这次泄露事件让Verogen很尴尬,7个月前Verogen收购该网站时,用户希望它能为基因隐私带来更专业的方法。在Verogen之前,GEDmatch由两位业余家谱爱好者Curtis Rogers和John Olson创立并运营。不过,该公司的声明还是让用户放心:”没有用户数据被下载或泄露”。 这一结论在7月21日受到质疑,当时家谱网站MyHeritage警告其客户,那些在GEDmatch拥有账户的人被一封钓鱼邮件盯上了,该邮件将他们发送到一个域名为myheritaqe.com的虚假登录页面–该页面将MyHeritage中的 “g “替换为 “q”–以获取他们的用户名和密码。 “由于GEDmatch在两天前遭遇了数据泄露,我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和姓名,以进行这种滥用行为,”MyHeritage在一篇博客文章中指出。 “我们发现,其中有16人已经成为该网站的受害者,并在其中输入了密码。到目前为止,这个数字可能更高。我们试图分别联系这些用户,警告他们再次更改密码,并在MyHeritage上设置双因素认证。”该公司表示。 与GEDmatch不同,MyHeritage不允许其数据库被警方使用。但没有证据表明这些黑客是由警察实施的,他们试图颠覆对执法搜索的限制。目前黑客攻击的动机尚不清楚。   (稿源:cnBeta,封面源自网络。)