分类: 数据泄露

这个印度语字符可以让你的 iMessage 应用直接崩溃

相信大家都知道已经出现过很多次一段特殊的字符可以直接让 iOS 设备的信息应用崩溃,并导致用户无法再次打开信息应用。在最新的 iOS 11 系统中,又出现了一个这样的 Bug。 将特殊的泰卢固语字符发送至运行 iOS 11.2.5 的设备中,会导致应用崩溃,有些时候甚至需要 DFU 才能恢复。泰卢固语是印度语的一种。这个 Bug 首先被意大利网站 Mobile World 发现,任何显示这个字符的应用都会崩溃,不仅仅是信息应用。当用户收到的通知提醒中包含这个字符时,也会崩溃。 不过,在最新的 iOS 11.3 测试版中,苹果已经修复了这个 Bug。下面就是这个特殊的字符。 稿源:cnBeta,封面源自网络

应苹果要求 GitHub 已清除被泄露的 iOS 源代码

昨天,我们报道了“有人已将疑似 iOS 9 中的 iBoot 源码泄露到 GitHub”的消息。虽然这件事情可以追溯到几个月前的 Reddit 爆料,但苹果显然已经坐不住了。据外媒报道,事情曝光后不久,苹果便与 GitHub 取得了联系,要求该代码托管平台立即清理掉被公布的源代码。我们在测试后发现,原先的这个链接(https://github.com/king4q/iBoot)已经不再可用。 GitHub 网页截图 – iBoot 源码页已基于《数字千年版权法案》的请求而撤除 据悉,本次泄露的 iBoot 代码可能会被黑客利用,发现 iOS 系统中的漏洞、甚至更轻松地越狱。然而 r/jailbreak 指出: 遗憾的是,即便 GitHub 已经撤除,但互联网上仍存有许多的副本。 曾编写 iOS 与 macOS 系统编程图书的 Jonathan Levin 在接受 Motherboard 采访时亦表示: 鉴于苹果一直小心翼翼地确保自家安全,本次源码曝光或是该公司有史以来最严重的一起泄露事件。 iBoot 是保障 iOS 软件受信任启动操作的重要一环,律师将本次泄露事件描述为“对苹果 iBoot 源码的复制”。该公司在撤除请求中写到: 这份 iBoot 源码表明其有着专有权利,其中包含了苹果的版权声明,因而并不是开源的。 尽管这份源码来自 iOS 9,但它很有可能在 iOS 11 中被继续使用。 稿源:cnBeta,原文编译自 TheVerge,封面源自网络

瑞士电信( Swisscom)证实 80 万数据被盗,涉全国 1/10  公民信息

据 IBTimes 英国网报道,瑞士电信 (Swisscom) 于 2 月 7 日承认其用户数据在去年年底遭到破坏,约 80 万名客户(占瑞士总人口的 10 %)的个人信息遭到泄露。不过 Swisscom  承诺此次事件不会涉及用户任何敏感信息(比如密码、会话或支付数据)。 知情人士透露,一个身份不明的用户访问了 Swisscom  客户的姓名、地址、电话号码和出生日期等信息,目前 Swisscom 认为该用户是通过其销售合作伙伴获取数据的。 Swisscom 方面表示,尽管挪用的个人资料属于非敏感类别,但公司还是将调查该事件列为首要任务。此外,为了更好地保护第三方公司对个人数据的访问, Swisscom 做出了一些重要改变,其中包括: 相关合作伙伴公司的访问权限已被立即封锁; 在销售合作伙伴账户中引入双因素认证,同时削减运行大容量查询的能力; 第三方账户上的任何异常活动都会触发警报并阻止访问。 到目前为止, Swisscom  还没有发现任何针对受影响客户的攻击事件。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

苹果证实 iOS 源代码泄露 强调对 iPhone 安全没有影响

据 MacRumors 北京时间 2 月 9 日报道,iBoot——iPhone 操作系统的一个核心组件——源代码泄露到了软件项目托管平台 GitHub 上,引发了业界担忧:黑客和安全研究人员会研究这些源代码,从中发现 iOS 的安全漏洞。 在当地时间星期四上午发表的一份声明中,苹果证实泄露到 GitHub 上的代码确实是 iBoot 源代码,但强调称,它们是 iOS 9 的一部分。 iOS 9 发布于 3 年前,目前已经被 iOS 11 所取代,只有少量 iOS 设备仍然运行 iOS 9。 稿源:cnBeta、凤凰科技,封面源自网络

巴黎 Octoly 公司因亚马逊 S3 存储错误配置泄露全球 12000 明星/网红个人信息

外媒 2 月 6 日消息,UpGuard 安全研究人员发现,巴黎 Octoly 公司因其亚马逊 S3 存储桶错误配置,导致超过 12,000 名社交媒体影响者(俗称:明星或网红)的敏感数据在线暴露。据悉,这些用户大多来自 YouTube、Instagram、Twitter 和 Twitch 等社交平台,目前 Octoly 公司担心竞争对手利用该暴露事件乘机抢夺这些平台的用户资源。 Octoly 是一家总部位于巴黎的品牌营销公司,致力于向社交媒体明星提供来自顶级品牌的产品,并寻求其评论以及认可。Octoly 的客户包括迪奥、丝芙兰、欧莱雅、雅诗兰黛、兰蔻以及游戏巨头育碧和暴雪娱乐等。 UpGuard 网络风险团队总监 Chris Vicker 于 1 月初发现,一个配置错误、并且可公开访问的亚马逊网络服务(AWS)S3 云存储桶被 Octoly 公司用来存储内部重要文件。 这些文件包括: 用户敏感信息(真实姓名、地址、电话号码、电子邮件地址以及出生日期); 使用 bcrypt 加密的 Octoly 账户散列密码; 大量的品牌和分析信息(Octoly 服务的 600 个品牌的清单,以及受影响用户的 “ 深度社交 ” 报告); Upguard 认为,该暴露事件可能会在一定程度上影响 Octoly 公司的日常运营。 并且 Upguard 表示该暴露事件所带来的最大风险不在于经济损失,而在于人 ,因为泄露的用户资料让竞争对手有了可乘之机,各大品牌可能会争抢知名社交媒体影响者的青睐。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标

外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Strava 健身追踪热度图可能还披露了世界各地的军事基地位置

据外媒报道,Strava 是一家健身追踪软件开发商,其产品能够利用手机 GPS 追踪某位正在健身的用户的时间以及位置,旨在为锻炼者打造一套社交网络。去年 11 月,这家公司发布了一份展示来自世界各地用户体育锻炼的热度图。 而就在近日,来自联合冲突研究所 ( Institute for United Conflict ) 的分析师 Nathan Ruser 发现了人们可能根本不会想到的东西–这张地图可以让一些人非常容易地找到军事基地的位置以及那里人员的日常活动。 对此,他在 Twitter 上发布了几张截图来证实他的理论,可以看到,图中可以看到发生在阿富汗的定期慢跑路线、巡逻以及前线作战基地的位置。 实际上,Strava 并不是唯一一个能够显示世界军事设施的地图平台,像谷歌地图以及公共卫星图也都已经能做到这点。但是,谷歌地图显示的是建筑物和道路的位置,而 Strava 则还提供了一些外的信息:它让人们看到目标区域内的运动方式以及频度。 谷歌地图 Strava 热度图  Ruser 指出,任何查看 Strava 热度图的用户都能找到叙利亚的联盟基地、阿富汗的军事设施以及一些未被曝光的美国军事基地。对此,美国中央司令部发言人、空军上校 John Thomas 告诉媒体,军方正在对这幅地图背后进行调查。 Strava 发言人则表示,公司一直在努力让用户更好地明白他们的隐私设置,其地图代表的是用户上传至平台的匿名活动数据,但当中并不包括来自被标记为私有或用户定义的隐私区域的活动。 然而这已经不是一个新问题。早前,美国军方就已经意识服役人员将带有追踪功能的设备带入基地的情况。为此,军方作出了禁止服役人员将个人电子设备带入敏感区域的规定。 稿源:cnBeta,封面源自网络;

沉重代价:Aetna 因低技术含量错误将要支付 1700 万美元和解金

据外媒报道,现如今,当我们听到数据泄露时最先想到的会是黑客攻破数据库然后将私人信息公布到网上,或某家公司没有采取适合的安全措施进而导致其客户信息被放到网上。但并不是所有的数据泄露都跟黑客攻击或 IT 部门失职有关,有时候该类似事件还可能发生在低技术含量的包装中。 上周,美国保险公司 Aetna 同意为泄露了上千名 HIV 病人医疗信息支付 1700 万和解金。获悉,造成此次泄露的原因则是这家公司在向病人寄出的信件中使用了过大的透明窗口,见下图: 此次事故影响到了来自 23 个州的艾滋病病人。 一般情况下,这种信件是会留一块透明窗口用于显示收件人的地址,然而 Aetna 此番因窗口过大导致收件人的个人健康信息也被暴露在外。 去年 7 月 28 日,这家医疗保险公司向填写了 HIV 处方药表格的客户发出了 1.2 万封左右的信件,不过 Aetna 并没有使用内部邮件部门而是把送件服务外包给了第三方。 对此,宾夕法尼亚艾滋病法律项目和法律行动中立立即要求 Aetna 停发信件。与此同时,Aetna 则开始为那些已经受到影响的人提供帮助。即便如此,上面两家公司还是代表 11875 名受影响客户向宾夕法尼亚东部地区美国地方法院提起了集团诉讼。最终,Aetna 同意支付 17,161,200 美元的和解金。 不过最终是否和解成功则还有待法院作出最终裁决。 稿源:cnBeta;封面源自网络;

挪威医疗卫生机构计算机系统遭到入侵,超过 290 万居民信息或将泄露

据外媒报道,位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵,可能会影响到约 290 万人(占挪威人口的 56% )的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴,并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露,他们检测到来自 Health South-East RHF 的异常流量,从而发现了入侵行为。研究人员认为在地下网络犯罪中,医疗数据是一种有价值的商品,恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为,Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的,因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉,Health South-East RHF 为全国约 290 万人提供医疗服务,超出挪威全体居民数目的一半。因此,若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

一加承认多达 4 万名客户受到信用卡安全漏洞的影响

OnePlus 宣布,最近有 4 万名客户受到安全漏洞的影响,导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前,第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道,但 OnePlus 表示,自 11 月中旬以来,盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息,包括卡号,到期日期和安全代码。该公司表示,已经确定了攻击发生的地点,并已经找到攻击者的入口点,但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的,或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中,OnePlus 表示脚本“间歇性”运行,受感染的服务器已经与系统的其他部分隔离。它还表示,通过已经保存信息的信用卡支付的客户,通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示,遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手,并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用,直到调查完成,同时客户可以通过 PayPal 购买物品。 OnePlus 表示,它正在努力实施更安全的信用卡付款方式。 上周,OnePlus首席执行官刘佩特告诉 CNET,它正在探索与美国运营商的合作关系,但一位发言人证实,这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源:cnBeta,封面源自网络