分类: 数据泄露

Strava 健身追踪热度图可能还披露了世界各地的军事基地位置

据外媒报道,Strava 是一家健身追踪软件开发商,其产品能够利用手机 GPS 追踪某位正在健身的用户的时间以及位置,旨在为锻炼者打造一套社交网络。去年 11 月,这家公司发布了一份展示来自世界各地用户体育锻炼的热度图。 而就在近日,来自联合冲突研究所 ( Institute for United Conflict ) 的分析师 Nathan Ruser 发现了人们可能根本不会想到的东西–这张地图可以让一些人非常容易地找到军事基地的位置以及那里人员的日常活动。 对此,他在 Twitter 上发布了几张截图来证实他的理论,可以看到,图中可以看到发生在阿富汗的定期慢跑路线、巡逻以及前线作战基地的位置。 实际上,Strava 并不是唯一一个能够显示世界军事设施的地图平台,像谷歌地图以及公共卫星图也都已经能做到这点。但是,谷歌地图显示的是建筑物和道路的位置,而 Strava 则还提供了一些外的信息:它让人们看到目标区域内的运动方式以及频度。 谷歌地图 Strava 热度图  Ruser 指出,任何查看 Strava 热度图的用户都能找到叙利亚的联盟基地、阿富汗的军事设施以及一些未被曝光的美国军事基地。对此,美国中央司令部发言人、空军上校 John Thomas 告诉媒体,军方正在对这幅地图背后进行调查。 Strava 发言人则表示,公司一直在努力让用户更好地明白他们的隐私设置,其地图代表的是用户上传至平台的匿名活动数据,但当中并不包括来自被标记为私有或用户定义的隐私区域的活动。 然而这已经不是一个新问题。早前,美国军方就已经意识服役人员将带有追踪功能的设备带入基地的情况。为此,军方作出了禁止服役人员将个人电子设备带入敏感区域的规定。 稿源:cnBeta,封面源自网络;

沉重代价:Aetna 因低技术含量错误将要支付 1700 万美元和解金

据外媒报道,现如今,当我们听到数据泄露时最先想到的会是黑客攻破数据库然后将私人信息公布到网上,或某家公司没有采取适合的安全措施进而导致其客户信息被放到网上。但并不是所有的数据泄露都跟黑客攻击或 IT 部门失职有关,有时候该类似事件还可能发生在低技术含量的包装中。 上周,美国保险公司 Aetna 同意为泄露了上千名 HIV 病人医疗信息支付 1700 万和解金。获悉,造成此次泄露的原因则是这家公司在向病人寄出的信件中使用了过大的透明窗口,见下图: 此次事故影响到了来自 23 个州的艾滋病病人。 一般情况下,这种信件是会留一块透明窗口用于显示收件人的地址,然而 Aetna 此番因窗口过大导致收件人的个人健康信息也被暴露在外。 去年 7 月 28 日,这家医疗保险公司向填写了 HIV 处方药表格的客户发出了 1.2 万封左右的信件,不过 Aetna 并没有使用内部邮件部门而是把送件服务外包给了第三方。 对此,宾夕法尼亚艾滋病法律项目和法律行动中立立即要求 Aetna 停发信件。与此同时,Aetna 则开始为那些已经受到影响的人提供帮助。即便如此,上面两家公司还是代表 11875 名受影响客户向宾夕法尼亚东部地区美国地方法院提起了集团诉讼。最终,Aetna 同意支付 17,161,200 美元的和解金。 不过最终是否和解成功则还有待法院作出最终裁决。 稿源:cnBeta;封面源自网络;

挪威医疗卫生机构计算机系统遭到入侵,超过 290 万居民信息或将泄露

据外媒报道,位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵,可能会影响到约 290 万人(占挪威人口的 56% )的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴,并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露,他们检测到来自 Health South-East RHF 的异常流量,从而发现了入侵行为。研究人员认为在地下网络犯罪中,医疗数据是一种有价值的商品,恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为,Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的,因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉,Health South-East RHF 为全国约 290 万人提供医疗服务,超出挪威全体居民数目的一半。因此,若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

一加承认多达 4 万名客户受到信用卡安全漏洞的影响

OnePlus 宣布,最近有 4 万名客户受到安全漏洞的影响,导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前,第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道,但 OnePlus 表示,自 11 月中旬以来,盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息,包括卡号,到期日期和安全代码。该公司表示,已经确定了攻击发生的地点,并已经找到攻击者的入口点,但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的,或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中,OnePlus 表示脚本“间歇性”运行,受感染的服务器已经与系统的其他部分隔离。它还表示,通过已经保存信息的信用卡支付的客户,通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示,遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手,并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用,直到调查完成,同时客户可以通过 PayPal 购买物品。 OnePlus 表示,它正在努力实施更安全的信用卡付款方式。 上周,OnePlus首席执行官刘佩特告诉 CNET,它正在探索与美国运营商的合作关系,但一位发言人证实,这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源:cnBeta,封面源自网络

在泄露数百万用户数据后,玩具制造商伟易达被 FTC 处以 65 万美元罚款

据外媒报道,2015 年智能玩具制造商伟易达( VTech )的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具,并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月,伟易达承认在一次数据泄露事件中,数百万用户数据遭黑客窃取。一名安全研究人员表示,其网站本身不但不安全,而且数据在传输时都没有加密,这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法,而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计,但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到: 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外,截至 2015 年 11 月,美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外,加拿大隐私专员办公室办公室( OPC )写道,“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果,即伟易达曾以多种方式违反了美国的法律,未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源:cnBeta,封面源自网络;

美国国土安全部发表声明,应对 24.6 万员工信息泄露事件

前景提要:2017 年 5 月,美国国土安全部 ( DHS ) 一名员工的家用电脑服务器被发现存有 24.6 万名截至 2014 年底进入 DHS 的员工个人敏感信息。从 2017 年 5 月到 11 月,国土安全部进行了彻底的隐私调查。 据外媒报道,DHS 针对该起事件于 1 月 3 日发表声明称由于国土安全部监察长办公室(OIG)的案件管理系统(CMS)的缺陷,以至于雇员信息遭到泄露。目前事件影响了 DHS 雇用的 24.6 万员工,以及 2002 年至 2014 年与 DHS OIG 调查相关的主体、证人和投诉人的私密信息,其中包括姓名、社会安全号码、出生日期、职位、职级和工作地点。DHS 表示已向受影响的个体发送通知信,并承诺不会再出现类似事件。 DHS 的声明没有透露该前雇员的具体信息,也没有提供调查的进行细节。但 DHS 强调,这一事件并不是由外部恶意行为者发起的网络攻击,受影响的个体信息也不是事件的主要目标。 美国国土安全部首席隐私官 Phillip Kaplan 称 DHS 非常重视为本部员工服务的义务,并致力于保护他们的信息。据悉,所有可能受到影响的个体都获得了 18 个月的免费信用监控和身份保护服务,同时也被要求警惕声称国土安全部的人的可疑电话,以及任何询问敏感信息的人士。 DHS 表示目前正在实施额外的安全防范措施来限制对信息的访问,并将采取严格的检查措施来识别任何不寻常的访问模式。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

研究称智能手机传感器可以泄露你的 PIN 码

即使一些人可能已经窃取你的智能手机,如果他们不知道你的 PIN 码对他们可能也不会有太大的好处。现在来自新加坡南洋理工大学的研究人员已经创建了一个系统,可以根据传感器提供的信息正确猜测手机的 PIN 码。 在 Shivam Bhasin 博士的领导下,研究团队通过让三个人在 Android 智能手机上随机输入 70 个四位 PIN 码来 “ 训练 ” 系统。在每部手机上安装了一个特殊的应用程序,从加速计、陀螺仪、磁力计、接近传感器、气压计和环境光线传感器收集数据。 随后研究人员利用深度学习算法来分析数据,将特定传感器读数与屏幕键盘上的特定数字进行匹配。Bhasin 解释说:“ 当你拿着你的手机并输入 PIN 码时,按 1、5 或 9 时手机的移动方式是非常不同的。同样,用你的右手拇指按下 1 将比按下 9 时阻挡更多的光线。” 当系统根据传感器的反应猜测四位数的 PIN 时,在解锁使用 50 个最常用 PIN 之一的电话时,准确率为 99.5 %(不超过三次尝试)。 Bhasin 认为,可以想象的是,人们可能会不知不觉地利用技术将恶意软件下载到手机上。在访问手机的传感器和获取用户的 PIN 后,程序会将信息传输给能够解锁手机的人。 为了防止这种情况发生,他建议手机操作系统限制对手机传感器的访问,以便用户只能授予可信任应用程序的权限。 关于这项研究的一篇论文最近在《 Cryptology ePrint Archive 》杂志上发表。 稿源:cnBeta,封面源自网络;

数据分析公司 Alteryx 因 AWS S3 配置不当,致 1.23 亿美国家庭敏感信息在线泄露

据外媒报道, 加利福尼亚网络安全公司 UpGuard 表示,包含数据分析公司 Alteryx 敏感信息的亚马逊网络服务(AWS)S3 云存储器因配置不当,导致逾(36 GB) 1.23 亿美国家庭的详细信息在线泄露,其中几乎蕴含每个美国家庭的种族和名族信息。虽然这些数据的电子表格使用了匿名标识符,但其他几十亿字段中的信息却非常详细,比如家庭住址、联系信息、抵押贷款状况、财务状况以及非常具体的购买行为分析。 根据 UpGuard 的说法,其网络风险团队曾于今年 10 月发现 Alteryx 托管的 S3 云存储桶存在信息泄漏迹象,该存储桶中还包含数据分析公司 Alteryx 的合作伙伴、消费者信用报告机构 Experian 和美国人口普查局的数据集。而这些完整的 Experian 的 ConsumerView 营销数据库和 2010 年美国人口普查的全部数据集都是可用的。 目前,Alteryx 已展开调查并表示,虽然此次泄露的文件包含了第三方内容供应商营销数据,但他们承诺,泄露的云数据库现已在互联网上封锁,文件中的信息不会对任何消费者造成身份盗用的风险。 消息来源: ZDnet.,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 LinkedIn,MySpace,Netflix 等多家国际互联网巨头。研究人员表示,这或许是迄今为止在暗网中发现的最大明文数据库集合。 4iQ 研究员称他们在暗网搜寻被窃、泄露数据时从一个超过 41 GB 的文件中发现了这个汇总的交互式数据库。该档案最后一次于 11 月 29 日更新,其中汇总了 252 个之前的数据泄露和凭证列表、包含 14 亿个用户名、电子邮件和密码组合、以及部分比特币和狗狗币(Dogecoin)钱包。 据统计,这 14 亿数据由早期泄露的数据和凭证列表汇总而成,密码部分来自 Anti Public,Exploit.in等凭证列表,多涉及 Anti Public、Exploit.in、LinkedIn、MySpace、Netflix、比特币、Pastebin、FM,Zoosk、YouPorn、Badoo、RedBox 等互联网公司以及类似 Minecraft 和 Runescape 这类游戏公司。 此次发现的数据量几乎是此前最大凭证泄露事件的两倍,光是 Exploit.in  凭证列表就包含 7.97 亿条记录,而最新泄露数据中还增加了 3.85 亿新的凭证组合、3.18 亿用户和 1.47 亿密码。 然而令人担忧的是,这些密码都没有进行加密。研究人员通过随机抽检发现大部分都是真实密码,其中大约有 14% 的用户名和密码组合以前并未被黑客社区解密,而现在却以明文形式呈现。由于数据库早已按照字母顺序整齐排列并编入索引,因此任何具备基本网络知识的人都能快速搜索密码,例如,仅需简单地搜索就能从数据库中找到 226,631 个使用“ admin ”、“ administrator ”或者 “ root ”的常见密码。据统计,此批数据库中最常用的密码依旧是“ 123456 ”、“ 123456789 ”、“ qwerty ”、“ password ” 和 “ 111111 ”等。 目前尚未知究竟何人将数据库上传至暗网论坛,且不管此人有何目的,显然他们都已将 14 亿用户账号安全置于危险境地。对此研究人员建议,为保护账户安全,互联网用户们谨记在各类在线帐户中设置复杂密码,并且避免多账号使用相同密码。 相关阅读: 来自 4iQ 公司的研究报告:<1.4 Billion Clear Text Credentials Discovered in a Single Database> 消息来源:IBTimes、thehackernews ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软意外暴露了 Dynamics 365 TLS 证书,或致沙箱环境被中间人(MiTM)攻击

据外媒 12 月 11 日报道,微软意外暴露了一个 Dynamics 365 TLS 证书和私钥,暴露时间至少超过 100 天,这个情况使得沙箱环境被公开,以至于可能导致用户遭受 中间人(MiTM) 攻击。 软件开发人员 Matthias Gliwka 在使用 Microsoft ERP 系统 的云版本时发现了这个问题。据悉,微软于去年开始提供 该 产品。该产品是由 Azure 托管的 SaaS 解决方案,可通过一个全面的控制面板( Life Cycle Services )来访问。 根据 Gliwka 的说法,TLS 证书用于加密用户和服务器之间的 web 通信,若攻击者提取出证书,那么将可以访问任何沙箱环境。相关人员透露,沙箱环境的主机名是customername.sandbox.operations.dynamics.com。 在此次事件中,TLS 证书在用于用户验收测试(也称为“ 沙箱 ”)的 Dynamics 365 沙箱环境中被公开。用户验收的作用是反映生产环境的设置 ,并且提供具有管理功能的 RDP 访问权限。所以通过 RDP 能够访问沙箱环境,从而可以了解微软如何设置一个服务器来承载关键业务应用程序。 据悉,在 Gliwka 向微软反映了这个问题后,微软花了一定时间来解决它。此外,Gliwka 还联系了德国技术自由职业者 Hanno Bock 来获取此次事件的覆盖范围。 据 Gliwka 称, Bock 试图用 Mozilla 的 bug 追踪器提交一个 bug 标签来引发微软的行动。相关人士透露,此次事件已在在 12 月 5 日得到解决。 消息来源:Security Affairs,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。