分类: 数据泄露

9 家仿美军招聘网站被FTC查封 以 10-40 美元价格出售给学校

美国联邦贸易委员会(FTC)本周四表示,已经查封了9家模仿美国军事招募网的网站,这些网站通过伪装来收集和销售用户的个人隐私。FTC在阿拉巴马州联邦法院提起的诉讼中表示:诸如Army.com和NavyEnlist.com等网站的运营者伪装成为美军的分支机构,以招募为幌子收集用户信息之后,然后以10-40美元的价格出售给专上教育(post-secondary education)机构。 FTC主席Joe Simons在一份声明中说:“那些正考虑开启军事生涯的人相信这些招聘是合法的,以为他们的个人信息不会被滥用。FTC目前已经威胁用户隐私安全的整个生态系统采取行动,包含买方和卖方。” FTC还表示在这些网站提交信息的人还接到了电话推销人员的后续电话。这些电话推销员会向这些人推销某个特定学校,让人误以为这些学校有美军背景成分。目前已经被FTC监管的网站包括Air-Force.com, AirForceEnlist.com, ArmyReserves.com, CoastGuardEnlist.com, MarinesEnlist.com和NationalGuardEnlist.com。     稿源:cnBeta,封面源自网络;

Cookie 机制问题多 Chrome 工程师提出改造方案

日前 Chrome 工程师 Mike West 发表了一篇文章提议改造 Cookie 标准,以强化 HTTP 状态管理。Mike 分析了目前 Cookie 存在的几个方面的问题,包括很难安全使用、浪费用户资源,以及隐私问题,通过它可以以令人惊讶的方式跟踪用户在网络上的活动。   关于浪费用户资源,Mike 解释,服务器可以为一个注册域名存储大量 Cookie,并且很多 Cookie 可以通过 HTTP 请求发送。例如 Chrome 允许为每一个域名存储大约 180 个 Cookie,相当于约 724kB 数据。在众多 Cookie 中,其请求头大小的中位数是 409 字节,但是其中却有 90% 有 1589 字节,95% 占了 2549 字节,99% 甚至达到了 4601 字节,另外有约 0.1% 的 Cookie 头非常大,超过了 10kB。如此滥用,效率低下。 隐私方面,众所周知 Cookie 可以用于身份验证,但它同时也可以用来悄悄跟踪用户的相关信息。 而关于安全使用的难处,Mike 列出了几条在开发中安全使用 Cookie 遇到的问题: Cookie 对 JavaScript 默认是可用的,这使得一次 XSS 可以获取持久凭证。虽然十年前引入了 HttpOnly 属性,目前也只有大概 8.31% 的人使用 Set-Cookie 进行相应设置。 默认情况下,Cookie 会被发送到非安全的源,这会导致凭据被盗。Secure 属性虽然可以标记安全的 Cookie 源,但目前只有大概 7.85% 的人使用 Set-Cookie 进行了设置。 Cookie 经常在请求发送者毫不知情的情况下被发送。SameSite 属性可以减少 CSRF 风险,但是目前只有大概 0.06% 的人使用 Set-Cookie 进行了设置。 Mike 认为,一方面 Cookie 采用的缓解安全问题的属性很差,Cookie 根本不符合我们决定对其它类型的 Web 可访问数据强制执行的安全边界。它们在给定的可注册域中流过源,它们忽略端口和方案,这意味着它们可以被网络攻击者轻易伪造,并且它们可以缩小到特定路径,这些特征使得它们难以推理,并制定激励措施来削弱平台其它部分的同源策略。 Mike 给出了一套新方案,他解释,用户代理可以通过为用户访问的每个安全源生成唯一的 256 位值来控制它代表用户表示的 HTTP 状态,此 Token 可以作为结构化 HTTP 请求头传递到源: Sec-HTTP-State:token = * J6BRKagRIECKdpbDLxtlNzmjKo8MXTjyMomIwMFMonM * 此标识符或多或少类似于客户端控制的 Cookie,但有一些值得注意的区别: 客户端控制 Token 的值,而不是服务器。 Token 只能用于网络层,而不能用于 JavaScript(包括类似网络的 JavaScript、例如 Service Workers)。 用户代理每个源只生成一个 256 位 Token,并且只将 Token 暴露给生成它的源。 不会为非安全源生成或传递 Token。 默认情况下,Token 将与同一站点请求一起提供。 Token 一直存在,直到服务器、用户或用户代理重置为止。 在些基础上,将为开发人员提供一些可通过 Sec-HTTP-State-Options HTTP 响应头触发的控制点,有如下选项: 1、某些服务器需要跨站点访问其 Token,其它服务器可能希望将交付范围缩小到同源请求,服务器可以指定任一选项: Sec-HTTP-State-Options: ..., delivery=cross-site, ... 或者: Sec-HTTP-State-Options: ..., delivery=same-origin, ... 2、某些服务器希望限制 Token 的生命周期,可以允许它们设置 TTL(以秒为单位): Sec-HTTP-State-Options: ..., ttl=3600, ... 时间到期后,Token 的值将自动重置。同时服务器也可能希望明确触发 Token 的重置行为(例如,在注销时),这可以通过设置 TTL 为 0 来实现: Sec-HTTP-State-Options: ..., ttl=0, ... 在任何一种情况下,都可以向当前运行的页面通知用户的状态变化,以便执行清理操作。当发生重置时,用户代理可以将消息发送到名为 http-state-reset 的源的 BroadcastChannel(并且可能唤醒源的 Service Worker 以响应用户驱动的重置): let resetChannel = new BroadcastChannel('http-state-reset'));resetChannel.onmessage = e => { /* Do exciting cleanup here. */ }; 3、对于某些服务器,客户端生成的 Token 足以维持状态,它们可以将其视为不透明的会话标识符,并将用户的状态绑定到服务器端。其它服务器需要额外的保证,他们可以信任 Token 的出处,为此,服务器可以生成唯一密钥,将其与服务器上的会话标识符相关联,并通过 HTTP 响应头将其传递给客户端: Sec-HTTP-State-Options: ..., key=*ZH0GxtBMWA...nJudhZ8dtz*, ... 客户端将存储该密钥,并使用它来生成某些数据集的签名,从而降低 Token 被捕获的风险: Sec-HTTP-State: token=*J6BRKa...MonM*, sig=*(HMAC-SHA265(key, token+metadata))* Mike 同时也表示,该方案并不是一个完全与 Cookie 不同的新东西,并不是要在目前替换掉 Cookie,虽然弃用 Cookie 是应该的,但是当下该方案只是提出了一种在 Cookie 同时存在的情况下也能发挥作用的补充机制。     稿源:开源中国,封面源自网络;

Android API breaking 漏洞曝光:可泄露设备相关数据

近日 Nightwatch Cybersecurity 的安全研究专家 Yakov Shafranovich 发现了 Android 系统中存在的漏洞,能够让网络攻击者秘密捕获 WiFi 广播数据从而追踪用户。这些数据涵盖 WiFi 网络名称、BSSID、本地 IP 地址、DNS 服务器数据以及 MAC 地址,尽管后者在 Android 6 及更高版本中就已经通过 API 来隐藏掉了。 常规 APP 通常会用于合法目的来截取这些数据。但流氓 APP 在窃听这些数据之后,极有可能会导致敏感数据的泄露。攻击者可能会用于发起针对本地 WiFi 的网络攻击,以及使用 MAC 地址来追踪指定的 Android 设备。此外使用数据库查找,还可以通过网络名称和 BSSID 进行地理标记。 研究人员表示“虽然系统中对于阅读此类消息的功能进行了严苛的限制,但应用开发者往往忽略了如何正确的部署这些限制以及如何更好的保护敏感数据。这在 Android 系统中 APP 比较普遍,一旦设备被恶意 APP 感染,就会被黑客处于监听的状态,并且截取其他 APP 的广播信息。”   稿源:cnBeta.COM,封面源自网络;

雅虎邮箱被曝大规模扫描用户邮件,将数据出售给广告商

援引华尔街日报报道,雅虎依然在扫描用户邮件并将这些数据销售给广告商,而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈,希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件,从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。 Oath向华尔街日报承认公司确实进行了邮件扫描,但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置,避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统,人们不期望获得没有价值交换的免费服务。 报道中还指出,即使启用了雅虎的高级邮件服务(月费3.49美元),如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中,那些经常购买机票的用户就会标记为出差频繁人士,那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。   稿源:cnBeta,封面源自网络;

擅自搜集数据,德国反垄断机构今年将对 Facebook 采取行动

网易科技讯 8月28日消息,据国外媒体报道,由于调查发现Facebook滥用自己的市场垄断地位,在人员不知情或未获得人员许可的情况下收集他们的数据,德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。 在对Facebook数千万用户的数据泄露和定位广告广泛的使用越来越担忧中,这次对这家社交媒体的调查在欧洲受到密切关注。 德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用,包括Facebook旗下WhatsApp和Instagram服务。 联邦卡特尔局局长安德烈亚斯·蒙特(Andreas Mundt)周一在一个新闻发布会上表示,“我们意识到,这应该而且必须迅速进行。”他还表示,他希望今年采取“第一步措施”。不过,他拒绝透露细节。 联邦卡特尔局的这一调查一般不会对facebook等违规企业处以罚款,这与欧盟的调查处理不同。谷歌因在Android智能手机预安装其应用,在遭遇欧盟调查后被处以数十亿美元处罚罚款。 然而,知情人士表示,如果Facebook未能自愿采取行动,联邦卡特尔局可能会要求Facebook采取行动来解决其担忧。 蒙特说,“我们需要确定这是否会影响我们的调查并解决我们的担忧。” 另外,蒙特证实了他在本月早些时候接受报纸采访时发表的言词,他当时表示,按照联邦卡特尔局能够开展全部门调查的新权力,他可能会对电子商务行业启动调查。 重点将放在所谓的“混合”平台上,比如美国电子商务巨头亚马逊,这些平台销售自己的产品和服务,但还托管着第三方商家。 蒙特表示,“我们的问题是:平台本身就是一个很强大的商家,这样的平台与使用这个平台的第三方商家之间是什么样的关系?”蒙特还称,亚马逊是最知名的电商平台,但他的调查对象还将扩大到其他公司。 联邦卡特尔局不会调查第三方商家在电子商务平台上涉嫌逃税的问题,这是德国政府誓言要解决的问题,这是经济决策者关注的事项。   稿源:网易科技,封面源自网络;

谷歌遭起诉:被指非法追踪 iPhone 和 Android 用户位置

新浪科技讯 北京时间8月21日早间消息,谷歌在一桩最新的法律诉讼中被指非法追踪成百上千万iPhone和Android智能手机用户的活动,哪怕用户试图利用隐私权设置来避免被追踪也不例外。 根据上周五提起的一桩诉讼,谷歌欺骗性地向用户保证,如果他们将手机上的“位置历史”(Location History)功能设置为“关闭”,那么就不会被追踪;但在实际上,谷歌则仍会监控和存储用户的活动,从而侵犯 了其隐私权。 这桩诉讼的原告方是来自圣地亚哥的拿破仑·帕塔希尔(Napoleon Patacsil),他在向旧金山联邦法庭提起的诉讼中指称:“谷歌表示用户‘可在任何时候关闭位置历史功能,当此功能关闭时,你们去的地方就不会再被存储下来’,但这并非事实。” 帕塔希尔正寻求代表关闭了追踪功能的美国iPhone和Android智能手机用户对谷歌发起集体诉讼,要求谷歌为故意违反加利福尼亚州隐私权法和侵犯用户私人事务支付数额不明的赔偿金。 美联社曾在8月13日刊文,对谷歌被指追踪用户活动一事作出过描述,该报当时指出普林斯顿大学的计算机科学研究人员证实了此事。 谷歌周一并未就此置评,代表帕塔希尔的律师事务所Lieff Cabraser Heimann & Bernstein合伙人迈克尔·索博尔(Michael Sobol)也尚未置评。 帕塔希尔指称,谷歌先是在他使用Android手机时对其进行了非法追踪,随后当他改用iPhone并下载了一些谷歌应用后,谷歌又对他进行了追踪。 他说道,谷歌的“主要目标”是“秘密监控”手机用户,并允许第三方也这样做。 根据谷歌网站帮助页面现在的说法,关闭“位置历史”功能“不会影响到其他位置服务”,并表示有些位置数据可能通过搜索和地图等其他服务被存储下来。   稿源:新浪科技,封面源自网络;

俄罗斯黑客疑似本月盗取了上百个 Ins 账号

据外媒报道,近日,俄罗斯黑客似乎对 Instagram 发起了一次网络攻击,导致其中一部分用户无法再访问自己的账号。即便拥有双重身份(2FA)验证的一些用户也发现他们的账号被攻破。获悉,受影响用户的电话号码、邮箱地址等联系信息也遭到篡改,另外个人资料图片甚至 Facebook 个人资料链接也被改掉。 现在,已经有 Instagram 户在 Twitter 和 Reddit 上抱怨此事,据统计,在过去7天时间里 899 名用户在 Twitter 上发帖超过 5000 条。 虽然 Instagram 方面表示黑客攻击活动并没有加剧,但根据 Twitter 上的活动以及 Google Trends 的记录来看却在加剧。 另外看起来恢复对不再为自己拥有的电话号码和邮箱地址的访问也成为了一件麻烦的事情,Instagram 提供的账号恢复自动操作设置阻碍了这一过程。而令人担忧的是,2FA 认证也被破解,这似乎表明黑客可以盗取他们想要的任何账户。 目前尚不清楚黑客最初是如何登录这些账户的,也不知道俄罗斯黑客为何要盗取这些账号,或许他们又在为下一次的社交媒体干涉政坛行动做准备。不过也有可能这次的网络攻击并未俄罗斯黑客所为,而是有人想要嫁祸给它。       稿源:cnBeta.COM,封面源自网络;

美联社:谷歌在偷偷记录你的位置数据 即使你拒绝

(原标题:AP Exclusive: Google tracks your movements, like it or not) 网易科技讯 8 月 14 日消息,据美联社报道,谷歌非常想知道你要去哪里,以至于它会记录你的活动,即使你明确告诉它不要那样做。美联社的调查发现,Android 设备和 iPhone 上的许多谷歌服务都会存储用户的位置数据,即使你使用了隐私设置,也无法阻止谷歌这样做。(many Google services on Android devices and iPhones store your location data even if you’ve used a privacy setting that says it will prevent Google from doing so.) 消息一出,众多美国媒体跟进报道,毕竟在美国,个人隐私是一件“天大”的事。 在美联社的要求下,美国普林斯顿大学的计算机科学研究人员证实了这些发现。在大多数情况下,谷歌会请求许可使用你的位置信息。像谷歌地图这样的应用会提醒你,如果你用它导航,它就会访问位置信息。如果你同意让它记录你的位置,谷歌地图会在一个“时间轴”中为你显示历史,它会记录你的日常活动。而其他应用也会如此记录,最终你会在你的谷歌账号中查询到。 美联社称,存储你每分钟的旅行记录会带来隐私风险,并且已经被警方用来确定嫌疑人的位置。比如去年北卡罗来纳州罗利市的警方使用的搜查令,利用谷歌记录位置功能在谋杀现场附近寻找设备。 不过,谷歌称其推出了名为“位置历史”的设置,声称能停止记录你去过哪里。谷歌在支持页面上发表声明:“你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。”然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。 例如,谷歌只需要打开地图应用程序,就能显示你的位置。Android 手机每天自动更新天气信息,也可以准确定位你的位置。还有些与位置无关的搜索,比如“巧克力饼干”或“儿童科学工具包”,可以确认你所在位置的精确纬度和经度,并保存到你的谷歌账户中。 美联社做了实验,用一部关闭了位置记录的安卓手机正常活动,最后导出Google帐户。几天内去过的地点清晰可见。 隐私问题影响了约 20 亿使用谷歌 Android 操作系统的设备用户,以及全球数亿依赖谷歌进行地图导航或搜索的 iPhone 用户。普林斯顿大学计算机科学家、美国联邦通信委员会(FCC)执法局前首席技术专家乔纳森·迈耶(Jonathan Mayer)说,存储违反用户喜好的位置数据是错误的。 谷歌发言人承认:“有许多不同的方式,谷歌可能使用位置信息来提高人们的体验,包括位置历史、Web 和应用活动,并通过设备级的位置服务。我们为这些工具提供了清晰的描述和强大的控制权,这样人们就能在任何时候打开或关闭它们,并删除相关记录。”       稿源:网易科技,封面源自网络;

外媒:移动 POS 存在漏洞 个人信息有暴露风险

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动 POS 机)存在着极大的安全隐患。 有消息显示,目前,该领域的设备主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。 来自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。 我们面临的一个非常简单的问题是,一个成本不到 50 美元的设备到底拥有多少安全性?” Galloway 说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。” 所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以 Square 和 PayPal 为例,漏洞是在一家名为 Miura 的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。 研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。 此外,流氓商家可以让 mPOS 设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为 5 万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。 研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。 研究人员发现,在 Miura M010 读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。 Galloway 指出,第三方攻击者可能特别希望使用此控件将 PIN 码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户 PIN 码。 研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。 “Miura M010 读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个 Square 卖家使用。当我们察觉到存在一个影响 Miura 读卡器的漏洞时,我们加快了现有计划,放弃了对 M010 读卡器的支持,”一位 Square 发言人表示。“今天,在 Square 生态系统中不再可能使用 Miura 读卡器了。” “SumUp 可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位 SumUp 发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。” “我们认识到研究人员和我们的用户社区在帮助保持 PayPal 安全方面发挥的重要作用,”一位发言人在一份声明中表示。“ PayPal的系统没有受到影响,我们的团队已经解决了这些问题。” iZettle 没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。 Galloway 和 Yunusov 对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。 “我们在这个市场基础上看到的问题可以更广泛地应用于物联网,” Galloway 说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”   稿源:环球网,封面源自网络;

Vade Secure 揭开近期“性勒索邮件诈骗”细节 密码或泄露于十年前

上个月的时候,外媒曾报道一种新型电子邮件诈骗。其以收件人的真实密码为证据,让受害者误相信自己的在线数据遭到了黑客的攻击。但是作为骗局的一部分,敲诈者希望从受害者身上榨出更多的油水 —— 其扬言,如果不满足它们提出的要求,就曝光所谓的受害者访问色情网站时的视频内容。 安全公司 Vade Secure 近日发布的一份新报告,就披露了这场仍在肆虐的性勒索骗局的更多细节。在深入了解后,研究人员发现 —— 勒索者发出的密码,很可能是在 10 年前发生的多次入侵中获得的。遗憾的是,许多受害者都没有意识到这一点。 该公司提供了针对此类网络钓鱼欺诈邮件的过滤服务。在过去几个月里,其引擎过滤了大约 60 万封性勒索邮件。在审视了这些电子邮件后,Vade Secure 发现其中 90% 都是用英文输入的,但有一小部分的翻译语法写得很烂。 此外,在大多数情况下,发件人的地址是随机的 Hotmail 或 Outlook,但这可能是自动生成的(如上图所示)。还有人指出,黑客利用了此前入侵物联网产品、网站、路由器等设备的数据,再将其用于本轮性勒索诈骗。这种形式的网络钓鱼,不需要用到 Web 版的邮件客户端,而是通过 IoT 产品上的 Linux 操作系统的命令行,就可以发起类似目的的行动。 Vade Secure 技术专家 Sebastien Gest 警告称,这个骗局正在愈演愈真:我们的启发式过滤器,每天都可以看到这些性勒索骗局的最新版本。但黑客似乎正在分析攻击的效用、并对消息文字进行调整,以避免其被电邮安全产品给检测到。 需要指出的是,在 60 万封已发现的性勒索邮件中,许多都包含了接收赎金的不同比特币钱包地址。但也有一些使用了轻微的变化,比如用几个星号(*)来模糊具体的比特币地址、或者给出了提供进一步付款指令的 E-mail 地址。 最后,在分析了性勒索邮件中存在的一些比特币地址后,安全公司发现 —— 到目前为止,不法分子已经拿到了总计 30100 美元的赎金。我们在此发出提醒,鉴于这种骗局是持续且反复的,网友们应该定期更改密码、并避免在未知网站上注册。     稿源:cnBeta.COM,编译自:Neowin ,封面源自网络;