分类: 数据泄露

加拿大 Freedom Mobile 移动运营商数据泄露:影响超过 1.5 万客户

据外媒报道,加拿大Freedom Mobile移动运营商泄露了其许多客户的详细信息,包括他们的银行卡数据。 Freedom Mobile是加拿大第四大移动网络运营商。其未受保护的数据库至少储存了150万个用户的500万条记录。泄露的记录包括电子邮件地址,电话号码,家庭住址,出生日期,与付款方式相关的IP地址,信用评分(来自Equifax和其他公司),带有CVV代码的未加密支付卡数据,位置和其他客户服务记录,以及账户详细资料。根据加拿大环球邮报报道,这次数据泄露是由第三方公司Apptium Technologies引起的。 根据国外博客vpnMentor报道,Freedom Mobile的数据库完全处于未加密状态。账号,订阅日期,结算周期日期和包括位置在内的客户服务记录也可以访问。而Freedom Mobile试图淡化这一事件,称未保护数据库中存储的总记录仅与1.5万位客户有关。 Freedom Mobile向加拿大隐私专员办公室(OPC)报告了这一事件。   消息来源:Securityaffaris, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

三星多个项目代码泄露 包括SmartThings源代码和密钥

北京时间5月9日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星SmartThings敏感的源代码、证书和密钥。 三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。 迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括100多个S3存储单元,其中保存了日志和分析数据。 部分泄露代码截图 他指出,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工以明文保存的私有GitLab令牌。这使得他可以额外获得42个公开项目,以及多个私有项目的访问权限。 三星回应称,其中一些文件是用于测试的,但胡赛因对此提出质疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。 胡赛因说:“我获得了一名用户的私有令牌,该用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用该员工的帐号去修改代码。 胡赛因还提供了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私有证书。(维金) (稿源:新浪科技,封面源自网络。)

MongoDB 数据库: 泄露超 2.75 亿条印度公民信息记录

据外媒报道,大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息(PII)的记录,该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现,泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是,还没有找到任何与所有者相关的信息。此外,存储在数据库中的数据集合的名称表明,收集整个简历缓存是“大规模抓取操作的一部分”,其目的不明。 Diachenko立即通知了印度CERT(计算机安全应急响应组)团队,但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的,且Diachenko发现了以下留言: MongoDB之前也发生过类似的数据泄露事件。究其原因,是因为其很多数据库都由所有者公开访问,并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全(Security)版块,其中显示了如何正确保护MongoDB数据库,以及MongoDB管理员的安全检查表。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

搜 Wi-Fi 热点 Android 应用数据泄露:涉200多万WiFi密码

一款流行的Android热点(WiFi)搜寻App“WiFi Finder”暴露了200多万个网络的WiFi密码。目前已有数千人下载了这款WiFi Finder应用,它允许用户搜索附近的WiFi网络。但同时,这款应用也允许用户将WiFi密码从自己的设备上传到数据库,供其他人使用。 这个包含了200多万个网络密码的数据库并未受到任何保护,允许任何人访问,并批量下载这些内容。 网络安全研究人员萨亚姆·杰恩(Sanyam Jain)率先发现了这个数据库,并将其发现报告给了TechCrunch。 TechCrunch试图联系开发商,但无济于事。最后,TechCrunch联系上了数据库托管商DigitalOcean,后者在一天内就关闭了该数据库。 据悉,数据库中的每条记录都包含了WiFi网络名称、精确的地理位置、基本服务集标识符(BSSID)和明文存储的网络密码。     (稿源:新浪科技,封面源自网络。)

B站网站后台工程源码疑似泄露 内含部分用户名密码

4月22日消息,据微博@互联网的那点事 爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。”新浪科技在GitHub上查询后发现,平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时,该项目已获得6597个标星和6050个代码库分支(fork)。    针对此事,B站做出回应,“经内部紧急核查,确认该部分代码属于较老的历史版本。”B站表示,已经执行了主动防御措施,确认此事件不会影响网站安全和用户数据安全。B站已第一时间报案,并将彻查源头。   (稿源:新浪科技,封面源自网络。)

Facebook 承认员工可获取数百万 Instagram 用户的明文密码

Facebook周四称,该公司员工可在一个内部数据库中看到数以百万计的Instagram用户密码,这些密码以可搜索的格式存储在数据库中。Facebook此次宣布的这一消息是对上个月发表的一篇博文的更新,当时该公司披露信息称,公司员工可以看到数百万Facebook用户密码。 Facebook在这篇博文中提供的最初说法是,数以千计的Instagram密码被泄露。网络安全记者布赖恩·克雷布斯(Brian Krebs)则在3月报道称,最多6亿个Facebook密码遭到泄露。 Facebook在博文中表示,除了此前提到的数千名用户以外,该公司将进一步向密码被泄露的数百万名Instagram用户发出通知。Facebook还称,该公司在进行内部调查后确定,这些密码并未“被滥用或不正当地访问”。但是,数千名Facebook员工本可看到这些密码,而且自此事在今年3月被首次曝光以来,Facebook一直都没有提供调查的最新信息。 在纳斯达克周四的常规交易中,Facebook股价小幅下跌0.50美元,报收于178.28美元,跌幅为0.28%。     (稿源:新浪科技,封面源自网络。)

赛门铁克:三分之二的酒店网站泄露客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄露客人个人数据的问题。 Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。 虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。 Wueest测试过的网站从乡村的二星级酒店到海滩上的豪华五星级度假村酒店网站。一些预订系统值得称赞,因为它们只显示了数值和停留日期,并没有透露任何个人信息。但大多数网站泄露了个人数据,例如: 全名 电子邮件地址 邮寄地址 手机号码 信用卡、卡类型和到期日的最后四位数字 护照号 是什么导致这些泄漏? Wueest测试的网站中有超过一半(57%)向客户发送确认电子邮件,并提供直接访问其预订的链接。这是为了方便客户而提供的,只需点击链接即可直接进入预订,无需登录。 由于电子邮件需要静态链接,因此HTTP POST Web请求实际上不是一个选项,这意味着预订参考代码和电子邮件将作为URL本身的参数传递。就其本身而言,这不是问题。但是,许多网站直接在同一网站上加载其他内容,例如广告。这意味着直接访问可以直接与其他资源共享,也可以通过HTTP请求中的referrer字段间接共享。Wueest的测试表明,每次预订平均生成176个请求,但并非所有这些请求都包含预订详细信息。该数字表示可以非常广泛地共享预订数据。 为了演示,Wueest假设确认电子邮件包含以下格式的链接,该链接会自动让Wueest登录到他的预订概述中: HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld 加载的页面(在此示例中为retrieve.php网站)可以调用许多远程资源。为这些外部对象发出的一些Web请求将直接将完整URL(包括凭据)作为URL参数发送。 以下是分析请求的示例,其中包含完整的原始URL,包括作为参数的参数: https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt =你的%20booking&sr = 1920×1080&vp = 1061×969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid = 1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139 如上所述,相同的数据也在referrer字段中,在大多数情况下将由浏览器发送。这导致参考代码与30多个不同的服务提供商共享,包括众所周知的社交网络,搜索引擎以及广告和分析服务。此信息可能允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。 还有其他情况,预订数据也可能被泄露。有些网站会在预订过程中传递信息,而其他网站会在客户手动登录网站时泄露信息。其他人生成一个访问令牌,然后在URL而不是凭据中传递,这也不是好习惯。 在大多数情况下,Wueest发现即使预订被取消,预订数据仍然可见,从而为攻击者提供了窃取个人信息的机会。 酒店比较网站和预订引擎似乎更安全。从Wueest测试的五个服务中,两个泄露了凭据,一个发送了登录链接而没有加密。应该注意的是,Wueest发现了一些配置良好的网站,它们首先需要Digest认证,然后在设置cookie后重定向,确保数据不会泄露。 未加密的链接 可以认为,由于数据仅与网站信任的第三方提供商共享,因此该问题的隐私风险较低。然而,令人遗憾的是,Wueest发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。因此,潜在的攻击者可以拦截点击电子邮件中的HTTP链接的客户的凭证,例如,查看或修改他或她的预订。这可能发生在公共热点,如机场或酒店,除非用户使用VPN软件保护连接。Wueest还观察到一个预订系统在连接被重定向到HTTPS之前,在预订过程中将数据泄露给服务器。 不幸的是,这种做法并不是酒店业独有的。通过URL参数或在referrer字段中无意中共享敏感信息在网站中很普遍。在过去的几年里,Wueest看到过多家航空公司、度假景点和其他网站的类似问题。其他研究人员在2019年2月报告了类似的问题,其中未加密的链接被用于多个航空公司服务提供商。 更多问题 Wueest还发现,多个网站允许强制执行预订参考以及枚举攻击。在许多情况下,预订参考代码只是从一个预订增加到下一个预订。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜出该客户的预订参考号并登录。强行预订号码是旅游行业的一个普遍问题,Wueest之前曾在博客中发表过这样的信息。 这样的攻击可能无法很好地扩展,但是当攻击者考虑到特定目标或目标位置已知时,它确实可以正常工作,例如会议酒店。对于某些网站,后端甚至不需要客户的电子邮件或姓名 – 所需要的只是有效的预订参考代码。Wueest发现了这些编码错误的多个例子,这使Wueest不仅可以访问大型连锁酒店的所有有效预订,还可以查看国际航空公司的每张有效机票。 一个预订引擎非常智能,可以为访客创建一个随机的PIN码,以便与预订参考号一起使用。不幸的是,登录没有绑定到访问的实际预订。因此,攻击者只需使用自己的有效凭据登录并仍可访问任何预订。Wueest没有看到任何证据表明后端有任何速率限制可以减缓此类攻击。 有什么风险? 许多人通过在社交媒体网络上发布照片来定期分享他们的旅行细节。这些人可能不太关心他们的隐私,实际上可能希望他们的关注者知道他们的行踪,但Wuees相当肯定如果他们到达他们的酒店并发现他们的预订已被取消后,他们会更加注意。攻击者可能会因为娱乐或个人报复而决定取消预订,但也可能损害酒店的声誉,作为勒索计划的一部分或作为竞争对手的破坏行为。 酒店业也存在相当多的数据泄露,以及数据配置不当的云数据的数据泄露。然后,这些信息可以在暗网上出售或用于进行身份欺诈。收集的数据集越完整,它就越有价值。 诈骗者还可以使用以这种方式收集的数据来发送令人信服的个性化垃圾邮件或执行其他社交工程攻击。提供个人信息可以提高勒索邮件的可信度,就像那些声称你被黑客攻击的邮件一样。 此外,有针对性的攻击团体也可能对商业专业人士和政府雇员的行程感兴趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT团伙。这些群体对这一领域感兴趣的原因有很多,包括一般监视目的,跟踪目标的动作、识别随行人员,或者找出某人在特定地点停留多久。它还可以允许物理访问目标的位置。 解决问题 根据GDPR,欧盟个人的个人数据必须根据这些问题得到更好的保护。然而,受影响酒店对Wueest的调查结果的回应令人失望。 Wueest联系了受影响酒店的数据隐私官(DPO)并告知他们相关调查结果。令人惊讶的是,25%的DPO在六周内没有回复。一封电子邮件被退回,因为隐私政策中的电子邮件地址不再有效。在做出回应的人中,他们平均花了10天回应。做出回应的人主要确认收到他的询问,并承诺调查该问题并实施任何必要的变更。一些人认为,根本不是个人数据,而且必须与隐私政策中所述的广告公司共享数据。一些人承认他们仍在更新他们的系统以完全符合GDPR标准。其他使用外部服务进行预订系统的酒店开始担心服务提供商毕竟不符合GDPR标准。 预订站点应使用加密链接并确保没有凭据作为URL参数泄露。客户可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据传递。他们还可以使用VPN服务来最大限度地减少他们在公共热点上的曝光率。不幸的是,对于普通的酒店客人来说,发现这样的泄漏可能不是一件容易的事,如果他们想要预订特定的酒店,他们可能没有多少选择。 尽管GDPR大约一年前在欧洲生效,但这个问题存在的事实表明,GDPR的实施还没有完全解决组织如何应对数据泄漏问题。到目前为止,已经报告了超过20万起GDPR投诉和数据泄露案件,用户的个人数据仍然存在风险。       (稿源:cnBeta,封面源自网络。)  

雅虎就数据泄露案达成和解协议:金额达 1.175 亿美元

据路透社报道,由于遭遇史上最大数据泄密事件,雅虎接受了一项修改后的1.175亿美元和解协议,与本案的数百万受害者达成和解。这项周二披露的集体诉讼和解是为了解决美国加州圣何塞地区法院法官高兰惠(Lucy Koh)之前的批评。她在1月28日驳回了之前的和解协议,此次和解协议仍然需要获得她的批准。 高兰惠表示,最初的和解协议“不够公平、充分和合理”,因为没有列出整体金额,也没有说明每个受害者具体有望获得多少赔偿。她还表示,本案的法律费用似乎过高。 这起案件在2013至2016年间导致大约30亿帐号受到影响,而雅虎则被控在披露此事的过程中反应过慢。雅虎目前已经成为Verizon电信旗下的一家公司。 这份新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本,2400万美元的两年信用监控费用,和高达3000万美元的法律费用,另有最多850万美元的其他费用。 本案涵盖1.94亿美国人和以色列人,大约涉及8.96亿帐号。 本案原告律师在法庭文件中称,1.175亿美元是数据泄密案有史以来获得的最大赔偿。他尚未发表进一步评论。 Verizon也同意在2019至2022年间投入3.06亿美元信息安全费用,达到雅虎2013至2016年投入的5倍。该公司还承诺把雅虎在这一领域的人员数量增加到原先的4倍。 Verizon在声明中说:“这份和解协议证明了我们对安全的重大承诺。” 雅虎在2016年7月同意将其互联网业务作价48.3亿美元出售给Verizon。不久后才披露此次数据泄密事件,导致收购价格降至44.8亿美元。Verizon去年12月减记了雅虎的大量商誉价值。   (稿源:新浪科技,封面源自网络。)

研究人员发现中国企业简历信息泄露:涉5.9亿份简历

新浪科技讯 北京时间4月8日上午消息,据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。 在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。 例如,3月10日,简恩发现有一台ElasticSearch不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天之后数据库修正了问题。 3月13日,简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。 3月15日,简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。” 第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。 还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。 简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。 简单统计,中国企业在过去3个月泄露的简历达以5.90497亿份。   (稿源:新浪科技,封面源自网络。)

Facebook 再爆数据丑闻 数百万用户数据被存储在 AWS 上

Facebook的用户数据再次在一些不该出现的地方出现。网络安全公司UpGuard的研究人员发现,大量Facebook用户信息被公开发布在亚马逊公司的云计算服务器上。这一发现表明,在剑桥分析公司(Cambridge Analytica)的丑闻曝光一年之后,Facebook在保护私人数据方面仍做得不够。 Facebook短线跳水转跌,此前一度涨超2%。 例如,墨西哥城的媒体公司Cultura Colectiva公开存储了5.4亿Facebook用户的记录,包括身份号码、评论和账户名称。周三,Facebook联系了亚马逊,之后该数据库被关闭。 另一个数据库是一个长期失效的应用程序的数据库,名为the Pool,它列出了22000人的姓名、密码和电子邮件地址。UpGuard不知道这些信息被泄露了多长时间,因为在该公司调查的过程中,数据库变得无法访问。 多年来,Facebook一直与第三方开发者免费共享这类信息,直到最近才开始采取行动。意外公共存储的问题可能比这两种情况更为广泛。UpGuard发现,有10万个开放的托管数据库用于存储各种类型的数据,其中一些数据库预计不会公开。 UpGuard网络风险研究主管克里斯-维克里(Chris Vickery)表示:“公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。” 多年来,Facebook允许任何在其网站上开发应用程序的人获取使用该应用程序的用户及其朋友的信息。一旦数据脱离Facebook的掌控,开发者就可以对其为所欲为。 大约一年前,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)正准备就一个特别恶劣的例子向国会作证:一名开发商将数千万人的数据交给了政治咨询公司剑桥分析,这家公司曾帮助特朗普竞选总统。这一事件已导致全球政府展开调查,并威胁要对该公司进行进一步监管。 去年,Facebook开始对数千个应用程序进行审计,并暂停了数百个应用程序,直到它们能够确保自己没有对用户数据进行不当处理。Facebook现在为发现第三方应用程序问题的研究人员提供奖励。 Facebook发言人表示,公司的政策禁止将Facebook信息存储在公共数据库中。这位发言人说,一旦Facebook被告知这一问题,它就与亚马逊合作关闭了这些数据库,并补充说,Facebook致力于与其平台上的开发人员合作,保护人们的数据。 在总共146G的Cultura Colectiva数据集中,研究人员很难知道有多少Facebook用户受到了影响。UpGuard在关闭数据库时也遇到了困难。该公司花了数月时间向Cultura Colectiva和亚马逊发送电子邮件,提醒他们注意这个问题。直到Facebook联系了亚马逊,泄露才得以解决。Cultura Colectiva没有回应彭博的置评请求。 这个最新的例子表明,数据安全问题可能会被另一种趋势放大:许多公司已经从主要在自己的数据中心运营业务,转向由亚马逊、微软、Alphabet旗下谷歌等公司运营的云计算服务。 这些科技巨头通过让企业更容易地在远程服务器上运行应用程序和存储大量数据(从企业文档到员工信息),建立了数十亿美元的业务。 像Amazon Web Services的简单存储服务(Simple Storage Service)这样的程序,本质上是一个可上网的硬盘驱动器,它为客户提供了让哪部分的人看到这些数据的选择。有时,这些信息被设计成面向公众的,比如存储在公司网站上的照片或其他图像缓存。 而在其他时候,情况并非如此。近年来,存储在几项云服务上的信息——美国军方数据、报纸订阅用户和手机用户的个人信息——在不经意间被公开在网上共享,并被安全研究人员发现。 亚马逊在过去的两年里加强协议来防止客户暴露敏感材料,增加显眼的警告通知,让管理员可以更简单地关闭所有面向公众的项目,并免费提供以前是付费的附加组件,用于检查客户的帐户是否有暴露的数据。 亚马逊并不是唯一一家因为私人数据被错误公开而被抓的公司。但在销售租赁数据存储和计算能力方面,它有着广泛的领先优势,这让总部位于西雅图的这家公司的做法备受关注。亚马逊网络服务发言人拒绝置评。     (稿源:新浪科技,封面源自网络。)