分类: 数据泄露

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。 该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:  ‘’为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。 我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。 第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源:cnBeta,封面源自网络。)

谷歌警告印度用户:Chrome 79 可能存在泄漏网站密码 bug

据外媒报道,作为浏览器的升级版,Chrome 79有望降低CPU使用率并提高安全性。然而,它还为用户们带来了一些意想不到的东西。实际上,谷歌已经对印度Chrome用户发出相关警告,即Chrome 79被发现有存在泄露密码的情况并要求他们立即更改密码。 当地时间上周四,印度成千上万的谷歌Chrome用户在看到他们的桌面屏幕弹出的消息后感到震惊。该消息提醒用户注意数据泄露并建议他们更改某些网站的密码。谷歌则是在上周修复Chrome 79漏洞后并重新发布后发出了该警告。 一位Chromium工程师在回复谷歌线程上发布的问题时,回复并发布了一份公开声明 –“我们目前正在讨论解决这个问题的正确策略,其中之一是: 继续迁移,将丢失的文件转移到它们的新位置; 通过将转移的文件移动到其原来的位置来恢复更改。 我们很快会让你知道这两个选项中的哪一个会被选中。” 此前,谷歌曾担心有50%左右的Chrome用户可能受了到影响,但调查结果显示,只有15%的Chrome用户受到了影响。尽管如此,是否有可能恢复丢失的用户数据仍有待观察。 除了漏洞报告之外,Chromium页面还提供了一些技术细节信息。 据悉,Chrome 79已经恢复在桌面客户端和移动平台推出,谷歌Chrome发布博客也证实了这一点。截止到目前,谷歌Chrome更新一直是一个无缝行动,但看起来这家科技巨头这次犯了一个错误。   (稿源:cnBeta,封面源自网络。)

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)

安全研究人员称 2.67 亿个 Facebook 用户的数据遭泄露

据外媒CNET报道,近日安全研究人员发现了一个不安全的数据库,其中泄露了超过2.67亿个Facebook用户的电话号码、姓名和用户ID,任何人都可以在线访问该数据库。这可能成为继续困扰着世界上最大的社交网络的又一起隐私和安全事故。 安全研究员Bob Diachenko于12月14日发现了这批Facebook用户数据。该数据库(目前已被关闭)并未受到密码或任何其他保护措施的保护。尽管该数据库现已无法访问,但是在安全研究人员发现时,这些信息已经被公开了将近两个星期。根据  Comparitech的说法,有人已经在一个黑客论坛上获得了可供下载的数据。 Facebook最新的隐私事故引发了有关该公司是否在保护其数十亿用户数据方面所做的足够的质疑。这也再次提醒用户,用户应警惕他们在社交网络上公开的信息。这不是安全研究人员首次发现一个包含大量Facebook用户数据的数据库。此前英国政治咨询公司剑桥分析公司被曝光未经其许可就收集了多达8700万Facebook用户的数据。 Facebook 还面临其他隐私问题,例如以纯文本格式存储数亿个密码。 Comparitech表示,公开的Facebook数据使用户面临垃圾邮件和网络钓鱼活动的风险。Facebook用户ID包含唯一数字,可用于找出某人的Facebook用户名和其他个人资料信息。 Diachenko认为越南的犯罪分子通过两种可能的方式获得了用户记录。他们本可以利用Facebook的应用程序编程接口或API,使开发人员可以访问其朋友列表,照片和群组等数据。由于可能存在安全漏洞,这可能是在Facebook在2018年或之后限制访问用户电话号码之前发生的。犯罪分子还可以使用自动化技术从公开的Facebook个人资料中获得信息。 Diachenko在一封电子邮件中表示,链接到数据库的欢迎页面包括越南语邀请,要求输入登录名和密码。他表示,该数据库似乎被错误地设置为公开数据库,因为“没有充分的理由公开此数据。” 一位Facebook发言人在一份声明中说,该公司正在调查该问题,但认为该数据可能是在进行更改以更好地保护用户信息(例如限制访问电话号码)之前收集的。安全研究人员指出,用户可以更改隐私设置,以使Facebook之外的搜索引擎无法链接到他们的个人资料。用户还可以停用或删除他们的Facebook帐户。 不受保护的公共数据库一直是Facebook的问题。4月,来自UpGuard的安全研究人员在亚马逊云服务器上的公共数据库中发现了超过5.4亿个Facebook用户记录,包括评论和点赞。9月,TechCrunch报告称一个服务器包含多个数据库,其中包括来自美国、英国和越南用户的超过4.19亿个Facebook记录。不过,Facebook表示,该服务器包含大约2.2亿条记录。Diachenko称,最新遭泄露的公开数据库包含相似的Facebook用户数据,但并不相同。 9月,另一位安全研究人员发现了一个类似的数据库,其中包含Facebook用户数据。目前尚不清楚是否是同一个人或团体在网上发布Facebook用户信息。   (稿源:cnBeta,封面源自网络。)

安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说,潜在的黑客可以利用这些安全漏洞来接管设备,并且可以跟踪孩子,甚至与他们进行对话。 安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞,这三款儿童智能手表是Duiwoim,Jsbaby和Smarturtle,价格不到40美元。它们被用作跟踪设备,以跟踪孩子并允许父母向孩子发送消息或者打电话。 但是Rapid7的安全研究人员发现,与佩戴手表的孩子保持联系的不仅仅是父母,因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系,但是Rapid7发现此过滤器根本不起作用。 这些手表还通过短信接受了配置命令,这意味着潜在的黑客可以更改手表上的设置,从而使孩子处于危险之中。研究人员说,这三款手表都使用相同的软件,因此,这三款手表的漏洞会全面扩散。 Rapid7的研究人员还发现,这三款智能手表的默认密码完全相同,它们都是123456。Rapid7说,人们不太可能更改此密码,设备甚至不会告诉用户密码存在或如何更改。研究人员警告说,凭借这种简单的密码和通过短信更改配置的能力,潜在的黑客可以接管设备并跟踪孩子,甚至将智能手表与自己的手机配对。 Rapid7发现的另一个明显缺陷是,无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系,因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。   (稿源:cnBeta,封面源自网络。)

超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本,此外的还有90400个死亡证明申请,不过无法访问或者下载。 该储存库没有进行密码保护,任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同,但都会执行一项相同的任务:允许美国人向该州的记录保存机构(通常是州卫生部门)提出申请,以获取其历史记录的副本。我们审查的申请书包含申请人的姓名,出生日期,当前家庭住址,电子邮件地址,电话号码和历史个人信息,包括过去的地址,家庭成员的姓名和申请理由(例如申请护照)或研究家族史。 根据对数据的调查,发现这些申请最早可以追溯到2017年年末,并且该储存库每天都处于更新状态。在短短一周时间内,该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系,以警告安全漏洞,但它没有立即发表评论。   (稿源:cnBeta,封面源自网络。)

微软研究发现其 4400 万个帐户使用已泄露的密码

微软在2019年对超过30亿个公司账户进行了密码重用分析,以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息,并从执法机构获得额外数据,并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示,约20%的互联网用户重复使用密码,另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示,大部分网民仍然青睐弱密码,而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序,并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中,该浏览器旨在检查弱密码并监视密码是否已经泄漏。 微软一直在推动无密码登录已经有一段时间了,该公司的密码重用研究提供了一个原因。根据微软的说法,4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5%。 现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面,微软将提高用户风险并警告管理员,以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据微软的说法,如果使用多因素身份验证,则99.9%的身份攻击不会成功。   (稿源:cnBeta,封面源自网络。)

2100 万 Mixcloud 用户数据在暗网出售

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击,用户数据在暗网上出售。 近期,一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件,并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初,超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名,电子邮件地址,SHA-2哈希密码,帐户注册日期和国家/地区,最近一次登录日期,IP地址以及个人资料照片的链接。 Techcrunch发布的文章称:“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录,但暗网上存在2100万条。但根据我们采样的数据,记录可能多达2200万条。” 黑客以0.27比特币(约合2,000美元)的价格出售这些数据。 图片来源:ZDNet   上周六,Mixcloud发布安全公告披露了该事件,该公司同时强调,系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告,证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址,IP地址和少数用户的密码(安全加密状态)。大多数Mixcloud用户使用Facebook账号进行了注册,我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件,并且建议用户将密码重置。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Magento Marketplace 数据遭到泄露,用户信息被出售

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序,插件或电子商务网站主题,那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件,Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称,黑客利用了其网站上一个未公开的漏洞,并用未经授权的第三方身份访问数据库并获取了注册用户的信息,包括客户(买方)和开发人员(卖方)。 数据库中的信息包括受影响的用户的姓名,电子邮件地址,MageID,账单和送货地址信息以及一些商业信息。 尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击,但该公司已经确认其安全团队于11月21日发现了这一漏洞。 除此之外,Adobe还保证,黑客无法破坏Magento的核心产品和服务,也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码,用户可以安全下载。 “ 11月21日,我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ,Adobe商务产品和平台副总裁Jason Woosley 发表声明说。 Adobe没有透露受影响的用户和开发人员的数量,但它已经开始通过电子邮件通知受影响的客户。 尽管Adobe并未明确提及帐户密码也已泄露,但他们仍然建议用户更改该密码,如果用户在其他网站使用了相同的密码,最好也对这些密码进行更改。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019 年 Q3 逾 12000 名谷歌用户受政府黑客攻击

据谷歌威胁分析小组(TAG)报道显示:超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论,这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件,来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。 谷歌公司表示,2019年7月至9月间发送的高风险用户安全警告与2018年和2017年同期相比浮动范围均在10%以内。 我们鼓励记者、人权学家和政客等高风险用户加入我们的高级保护计划(APP),该计划通过硬件安全密钥,可为防范网络钓鱼和帐户劫持提供最有力的保护。该程序是专门为高风险账户设计的,”谷歌说。 据谷歌共享的地图显示,钓鱼攻击警告虽然已被发送到149个国家受影响的用户手中,但美国、巴基斯坦、韩国和越南是仍受攻击最严重的国家。 自2012年来,一旦发现有黑客通过网络钓鱼、恶意软件等形式攻击用户时,谷歌便会向用户发出安全警报。 就在去年,谷歌开始向 G Suite 管理员提供安全警报,以便他们能更好向用户保护采取行动。 针对安全警报问题,谷歌公司建议当目标用户收到邮件时,不必惊慌,这并不一定意味着你的谷歌账户已经被泄露,这意味着黑客试图通过一些恶意手段访问你的谷歌账户,你应及时采取一些措施如保持其应用程序和软件的最新状态并启用两步验证保护个人账户信息。     消息来源:TheHackerNews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接