分类: 数据泄露

研究发现数以千计的指纹文件暴露在不安全的数据库中

研究人员周三说,数千份指纹记录被暴露在一个不安全的数据库中。研究人员周三说,一个包含约76000个独特指纹记录的网络服务器被暴露在互联网上。这些不安全的指纹数据,以及员工的电子邮件地址和电话号码,都是由巴西公司Antheus Tecnologia收集。 该数据库包含近230万个数据点,其中大部分是服务器访问日志,据反病毒研究人员表示,现在这个数据库已经得到了保护。指纹数据以二进制数据流的形式存储,二进制数据流由1和0组成。森说,获得数据的黑客可能会把这些数据转换回指纹的生物特征图像。 研究人员认为,即使黑客目前无法找到一种方法将这些数据用于不良目的,但随着技术的进步,这种情况也会改变。也许将来他们会找到利用这些指纹数据的方法。   (稿源:cnBeta,封面源自网络。)

知名分析平台 Sensor Tower 被爆秘密收集数百万用户数据

援引Buzzfeed News报道,知名APP分析平台Sensor Tower利用VPN应用和去广告应用程序,来收集Android和iOS平台数百万用户用户的数据。这些应用程序的全球下载量已超过3500万次,但是在应用描述中并没有透露和Sensor Tower有联系,或者会收集用户数据给该公司。 外媒发现自2015年以来,Sensor Tower推出了至少20款Android和iOS应用程序。目前在Google Play商城上架的 有四款,分别为Free and Unlimited VPN, Luna VPN, Mobile Data和Adblock Focus。在App Store商城上架的有Adblock Focus和Luna VPN两款。 在Buzzfeed News联系了谷歌和苹果之后,谷歌下架了Mobile Data应用,苹果移除了Adblock Focus。两家公司均表示将会继续开展调查。 Sensor Tower的应用程序会提示用户安装根证书,发行商可以通过这个小文件来访问所有通过电话传递的流量和数据。该公司告诉BuzzFeed News,它仅收集匿名使用和分析数据,这些数据已集成到其产品中。 Malwarebytes的Android分析员Armando Orozco表示,为应用程序授予root特权会使用户面临巨大风险。他说:“您的典型用户会仔细考虑一下,哦,我正在屏蔽广告,但并没有真正意识到这可能具有多大的侵入性。” Sensor Tower移动洞察负责人Randy Nelson表示,出于竞争原因,该公司未透露这些应用的所有权。他说:“当考虑到这些类型的应用程序与一家分析公司之间的关系时,这很有道理-特别是考虑到我们作为一家初创公司的历史,”他补充说,该公司最初的目标是构建广告拦截器。 Nelson表示该公司的应用程序不会收集敏感数据或个人身份信息,并且“列出的这些应用程序中的绝大多数现已停用(处于非活动状态),有一些正在淘汰中”。   (稿源:cnBeta,封面源自网络。)

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病毒母体INT, INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志,发现入侵者尝试数短时间内爆破SSH接近三千次,爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化,定时任务为sh脚本,脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密,其主要功能是下载病毒母体INT执行。为了避免下载地址失效,内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io,tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件,运行后创建一子进程执行,内置了多个bash命令,经base64编码加密,每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码,其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本: 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染,执行命令经过base64编码,解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行,目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马,并且修改hosts文件,将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0,以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能,下载执行挖矿木马。下载链接通过拼接而成,tencentxjy5kpccv.拼接tor2web.io等,挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿,矿池配置如下: 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理: 1.采用高强度的密码,避免使用弱口令,并建议定期更换密码。建议服务器密码使用高强度无规律密码,并强制要求每个服务器使用不同密码管理; 2.排查相关Linux服务器是否有kpccv等相关定时任务,有则结束相关进程,清理相关木马文件; 3.在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

国泰航空因 2018 数据泄露事件被英国 ICO 罚款 50万 英镑

外媒报道称,因 2018 年在欧盟《通用数据保护条例》(GDPR)生效后发生的一次数据意外泄露事件,国泰航空已被英国数据监督机构处以 50 万英镑的罚款。据悉,本次漏洞暴露了全球约 940 万客户的个人详细信息,且其中有 111578 名来自英国。经过数月的调查,信息专员办公室(ICO)于今日正式宣布了这项惩罚。 外媒指出,这可能是根据英国相关法律而指定的最高罚款金额,且与该航空公司在 2018 年秋季发生的数据违例事件有关。 国泰航空当时表示,其在三月份首次发现了针对该公司系统的未经授权访问,但并未解释为何花了那么久的时间才公开。 本次违例导致乘客的详细信息被泄露,包括姓名、护照、出生日期、电子邮件地址、电话号码、以及历史旅行等敏感信息。 ICO 今日称,针对国泰航空系统的未经授权访问,最早可追溯到 2014 年 10 月 14 日。已知针对个人数据的窥探,最早记录是 2015 年 2 月 7 日。 监管机构在一份新闻稿中写道:“ICO 发现国泰航空公司的系统是通过连接到互联网的服务器进入的,并被安装了恶意软件来收集数据”。 调查期间,监管机构记下了大量的错误和疏漏,包括未对文件加上密码保护、没有给面向互联网的服务器打上补丁、使用不再受支持的操作系统、以及防病毒措施的不足。 由 ICO 对国泰航空的处罚可知,英国已将欧盟的 GDPR 框架纳入了该国的法律,对涉及个人数据的违例采取了更加严格的惩戒措施。 根据要求,在当地有开展业务的数据控制者在意识到违例行为发生后,必须在 72 小时内通报英国国家监管机构。 此外 GDPR 包含了更加严格的罚款制度,最高可达全球年营业额的 4% 。不过由于事件发生在新规生效之前,ICO 还是按照先前的英国数据保护法规来设定罚款金额,否则国泰航空将面临更猛烈的冲击。 去年夏天,曝出安全漏洞被利用的英国航空因在 GDPR 生效后泄露了 50 万名旅客数据,而被 ICO 处以年收入 1.5% 的罚款(高达 1.839 亿英镑)。   (稿源:cnBeta,封面源自网络。)

英国多个火车站免费 Wi-Fi 暴露用户数据

Security Discovery的一名研究人员发现,与英国多个火车站的免费Wi-Fi热点连接的用户数据已存储在非密码保护的数据库中。该数据库包含1.46亿条记录,其中包括电子邮件地址,年龄范围,旅行原因,设备数据和其他日志。 运营数据库的C3UK在2月14日星期五(即报告的同一天)限制了对数据库的公共访问。据发现这一问题的耶利米·福勒(Jeremiah Fowler)说,这样公开的电子邮件数据库增加了针对性网络钓鱼攻击的风险。 研究人员表示,许多人使用他们的真实姓名作为电子邮件地址的一部分,并进一步暴露他们的个人身份。在这种情况下,任何有互联网连接的人都可以看到用户所在的站点、时间戳、他们可能看到的广告、他们居住的邮政编码等等。每一条信息基本上都是一个拼图块,可以用来描绘用户的真实身份。 随着越来越多的免费Wi-Fi热点开始出现在城镇周围,提供商和消费者都将不得不开始思考如何更好地保护数据。对于最终用户来说,使用Jigsaw的Intra或虚拟专用网络等工具可以更好地保护数据。   (稿源:cnBeta,封面源自网络。)

以色列选举管理应用程序意外泄露了数百万选民的数据

近年来,数据泄露和安全漏洞有着高发的态势,甚至在一些重要的领域都难以幸免。以色列报纸 Haaretz 报道称,由第三方管理的 Elector 选举应用,近日就曝出了严重的问题,导致超过 600 万的选民数据被意外泄露。据悉,该应用由一家名叫 Feed-b 的公司开发和运营。尽管其迅速采取了措施,但已为时过晚。 为方便向支持者传达信息、并引导其至就近的投票站,以色列各政党纷纷推出了选举类应用程序。 然而由于 Feed-b 管理不善,导致外界可在未公开的一段时间内,无限制地访问 645 万 3254 名公民的等数据。 信息中包括了用户的全名、身份 ID、地址、性别、电话号码、以及以色列选民不经意间提供的其它个人数据。 以色列报纸 Haaretz 指出,这并不是他们首次见到类似的安全违例,但可能是规模最大的一次。   (稿源:cnBeta,封面源自网络。)

研究人员通过操纵电脑屏幕亮度来设法盗取数据

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行,与互联网断开连接,并受到严格的监督。虽然这些安全措施使它们更难被破解,但过去已经探索出几个秘密通道,利用计算机的声音、热量,甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度,然后用监控摄像机进行视频流捕获,最后通过图像处理解码。 研究人员已经能够通过简单地更改电脑屏幕亮度级别,来从电脑中提取数据,这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道,以色列本·古里安大学网络安全研究中心负责人Mordechai Guri博士与两名学者一起进行了这项研究。 尽管目标电脑不需要网络连接或物理访问来传递数据,但确实需要先感染恶意软件,该恶意软件将敏感信息编码为“字节流”,然后通过缩小尺寸在屏幕上对其进行调制亮度变化,人眼看不见。然后,被破坏的画面由摄像机记录下来,攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出,这个秘密通道是不可见的,即使用户在电脑上工作,这种攻击也无法察觉。 通过显示-摄像头通信,屏幕被一系列的1和0调制,研究人员能够以0%的错误率重建信息。对于他们的实验,他们使用了安全摄像机、摄像头和智能手机,距离目标PC的距离不同,数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策,研究人员建议实施严格的政策,他们还建议在屏幕上使用偏振光片,这样可以为用户提供清晰的视野,但远处的摄像头只能录到暗屏。   (稿源:cnBeta,封面源自网络。)

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。 去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。 不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。” 公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。 这些患者数据记录非常详细,大多包括以下个人和医疗细节: 名字和姓氏; 出生日期; 审查日期; 调查范围; 成像程序的类型; 主治医师; 研究所 / 诊所; 生成的图像数量 攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。   (稿源:cnBeta,封面源自网络。)

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接