分类: 数据泄露

安全漏洞导致 Suprema Biostar 2 百万人指纹数据曝光

近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。 (图自:vpnMentor,via BGR) 英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。 除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。 此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。 更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到: Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。   (稿源:cnBeta,封面源自网络。)

微软:暂不会停止对 Skype 和 Cortana 对话的人工审查

据外媒报道,上周,Vice Motherboard网站上的一份报告显示,微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司,但问题是这家公司没有在其隐私文件中明确指明这点。 而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。 其中在Skype翻译隐私FAQ中,微软解释了什么样的音频内容会被收集以及如何被使用。“这可能包括微软职工和供应商的转录录音,但会受制于为保护用户隐私设计的程序,包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。“ 看起来即便苹果和谷歌最近因隐私问题暂停了Siri和Google Assistant对语音记录的人工审查,微软眼下也不会这么做。不过微软发言人告诉媒体,公司显然正在考虑做出进一步的改变。“我们已经更新了我们的隐私声明和产品常见问题,以此来增加更大的清晰度并将继续研究我们可能采取的进一步措施。”   (稿源:cnBeta,封面源自网络。)

Messenger 发音频安全吗?FB 承认曾转录用户音频

北京时间8月14日早间消息,知情人士透露称,Facebook付费聘请几百名外部承包商,让他们转录音频片段,这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称,这份工作让承包商感到不安,他们不知道音频是在哪里录制的,Facebook又是如何获取的,他们只负责转录。知情者还说,承包商会倾听Facebook用户的对话,有时里面包含低俗内容,至于为何要转录这些音频,他们不知道原因。 其它科技企业也曾有过同样的行为,后来因为遭受批评而终止,Facebook证实曾经转录过用户音频,但是项目已经终止。Facebook在声明中表示:“就像苹果谷歌一样,在一周多以前我们已经终止人工音频审核工作。”Facebook还说,受到影响的用户在Facebook Messenger App中自愿选择,允许Facebook转录音频。承包商负责检查,看看Facebook AI是否能正确解读信息内容,这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段,这些音频来自消费者使用的计算设备,收集音频之后,科技公司再请人核查,这种行为因为涉嫌侵犯隐私招来批评。 4月份,彭博社报道称亚马逊组建一个团队,里面有几千名员工,他们遍及全球,负责倾听Alexa音频,亚马逊这样做主要是想改进软件;苹果Siri、谷歌助手也组建相似的人力团队,核查音频。 事件曝光之后,苹果、谷歌终止项目,亚马逊则说用户拥有选择权,可以允许亚马逊核查音频,也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频,正因如此,一些承包商觉得自己的工作不道德。 知情人士透露说,加州圣塔莫尼卡(Santa Monica)的TaskUs公司是Facebook的承包商,Facebook是TaskUs最大最重要的客户之一,TaskUs禁止员工公开谈论自己为谁工作,他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作,但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过,会自动处理用户提交的内容和通信信息,分析语境,看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息,但它没有提到过转录团队的存在,它只是说会有一些承包商、服务提供商支持Facebook工作,为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音,说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强,但有时还是会碰到麻烦。从2015年开始,Messenger用户就可以将音频交给Facebook,让它转录。当时负责Messenger业务的高管大卫·马库斯(David Marcus)曾说:“我们想尽千方百计,力求让Messenger变得更实用。”   (稿源:,稿件以及封面源自网络。)

继苹果谷歌后:微软被曝监听用户 Skype 和 Cortana 录音

北京时间8月8日早间消息,据美国科技媒体The Verge援引Motherboard消息报道,微软合同工正在手动审查从Skype自动翻译功能与Cortana语音助手收集的录音。Motherboard获悉的录音中,内容包括用户的私人对话和关系问题讨论以及其他个人事情如减肥等等。“我同你分享的这些内容无不说明,他们在保护用户数据方面是多么松懈,”向Motherboard分享音频文件的一位合同工解释说。 该匿名合同工还提到,在审查过程中,他们还听到类似于“电话色情”的内容,还说他们听到用户使用Cortana命令输入自己的完整地址,以及使用语音助手搜索色情内容。 尽管合同工指出,他们无法获悉用户的身份识别信息,但微软的消费者大概不会希望看到,他们的私人对话正有可能成为“穿着睡衣坐在客厅里的陌生人之间”的笑话。Motherboard随后发现一份招聘清单,证实合同工可以在家工作。一名微软发言人表示,所有合同工都签署了保密协议,且微软拥有审计权确保合规性。 在微软之前,苹果、亚马逊和谷歌也相继因处理从各自语音助手收集到的语音数据而面临严峻的审查。聘请合同工听取录音是为了改善用户使用的语音服务。在微软这件事上,Motherboard报道称,部分合同工需听取的音频来自Skype的机器翻译服务,该服务推出于2015年。 但微软并未在Skype Translator FAQ和Cortana文档中说明公司正使用语音数据以改善服务,仅仅是提到“语句和自动记录将会被分析,任何更正会进入我们的系统,以构建更高性能的服务。”在其他地方,公司称“(验证)自动翻译并将更正反馈给系统”。但是,Motherboard指出,微软并未明确表示会有任何人将收听这些录音。 问及此事时,微软表示,公司仅在用户选择参与的基础上收集和使用语音数据,并指出在隐私面板的语音部分,用户可以删除公司获得的关于用户本人的语音数据。 微软发言人在声明中强调,公司“对收集和使用的语音数据始终保持透明以确保消费者有能力就他们的语音数据做出明智的选择……微软在收集和使用用户语音数据之前,会先征求用户许可。” “在与供应商共享数据之前,我们还制定了几项旨在优先保护用户隐私的程序,包括隐去身份识别信息、要求供应商及其员工签署保密协议、遵守欧盟更严格的隐私标准等。”   (稿源:,稿件以及封面源自网络。)

错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容: 几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。 接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题! 在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击: 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据: 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种其他信息。 现在,我来介绍一下如何通过 来自“Google dorks”(搜索查询)找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下: inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了: 此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板,我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下: inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。 在进一步侦察(信息收集)时,我发现各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器,仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限,从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统,因此暴露了他们的一些项目细节,员工姓名等,这些都是在与他们联系后修复的。 同样,联合国意外地将他们的Jira过滤器和Jira仪表板公开,因此暴露了他们的内部项目细节,秘密里程碑等,在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后,他们也对其进行了修复,并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息,例如员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息,可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然,它不应该是公开的,这不是安全问题,而是隐私问题。 我向不同的公司报告了这个问题,一些人给了我一些奖励,一些人修复了它,而另一些人仍在使用它。 虽然这是一个错误配置问题,Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   (稿源:开源中国,封面源自网络。)

谷歌暂停评估语音助手在欧录音 7月承认泄露用户数据

北京时间8月2日早间消息,谷歌发言人周四向路透社表示,在荷兰录音数据泄露后,该公司暂停评估Google Assistant虚拟助手在欧盟收集的录音。 该公司今年7月承认,负责分析智能助手语音片段的合作伙伴泄露了数据。 CNBC早些时候报道称,有超过1000次私人谈话被发送到比利时的新闻媒体,并补充说有些消息透露出医疗状况和客户地址等敏感信息。 “在了解到荷兰机密信息泄漏事件后不久,我们暂停了对调查助手的语言评估。”该发言人说。她还补充道,该公司仅对约0.2%音频内容进行评估。 此事正值公众和政府对数据隐私措施越来越关注之际,迫使硅谷公司提高了透明度。 美国和其他地方的立法者正在对相关提案进行权衡,可能会限制谷歌、Facebook和其他互联网公司追踪用户和分发信息的方式。 据悉,谷歌此次暂停评估至少会持续三个月时间。   (稿源:,稿件以及封面源自网络。)

外媒:Capital One 数据泄露事件比它看起来更复杂

当地时间周一晚上,Capital One及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件,大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对Capital One的泄露事件展开调查,但更广泛的故事是熟悉的:一家大公司让许多敏感数据丢失,客户承担了大部分风险。 然而随着对该事件的调查越深入,外媒发现的疑点就越多。被指控的黑客Paige Thompson(又称“Erratic”),在数据泄露事件公开的同时被抓获并被起诉,她似乎对覆盖她的踪迹并感兴趣。人们并不确切知道她在获得数据后对数据做了什么,但她不符合大多数诈骗者的情况,他们倾向于尽快在暗网等出售这样的信息。与此同时,最初的漏洞似乎更多的是服务器错误配置,而不是完全是漏洞引起,导致一些人怀疑Thompson是否可能是一个善意的研究人员。 最大的异常是如何首先发现漏洞。根据联邦投诉,攻击分别于2019年3月和4月分阶段进行。但是,Capital One在7月17日才知道这个问题,当时有人向该公司透露他们的私人数据已上传到公共GitHub页面。从那里开始,研究人员可以直接发现它的页面以及数据是如何被获取的。 通常情况下,数据仅在通过多个中介后才被发现,并且很难确切地确定数据的确切时间和方式。例如,调查人员需要花费数年时间才能找到参与Target数据泄露事件的所有人。起诉揭示了一种完全不同的组织形式:一方制造软件,另一方使用它来收集信用卡数据,然后将其卖给另一个使用它进行欺诈的团体。起诉所有这些人意味着以拉脱维亚和东欧为中心的大规模国际努力。相比之下,Thompson在最初提示后不到一个月就被拘留了。 人们不知道为什么Thompson决定在公共GitHub页面上发布数据。她在Twitter上公开描述了她的技术,并且似乎并不羞于分享信息。其余部分信息则来自Thompson维护的Slack房间,Thompson围绕这个漏洞的谈话非常随意。 “我想把它从我的服务器上删除,这就是为什么我要归档所有这些,”Thompson写道。“这都是加密的。不过,我只是不想要它。“涉及攻击的技术细节使其更加复杂。Thompson所做的只是可能的,因为Capital One错误配置了其亚马逊服务器。Thompson早些时候曾在亚马逊工作过,所以她被一些人描述为“内部威胁”。但是发现这种错误配置对于安全研究人员来说是一种常见的消遣方式。这些错误配置是如此常见且如此容易修复,以至于它们通常甚至不被视为泄露。 外媒认为从外部很难区分安全研究与犯罪产业之间的区别。人们也并不不知道为什么她获取这些数据,或者为什么她坚持几个月而没有向Capital One报告这个问题。人们也不知道她是否试图以某种方式报告,或者她是否试图以尚未曝光的方式从数据中获利。   (稿源:cnBeta,封面源自网络。)

纽约司法部长宣布调查 Capital One 泄露事件并将提供“救济”

据外媒报道,当地时间7月30日,纽约州司法部长Letitia James在Twitter发文宣布,她将和她的团队对Capital One的泄露事件展开“立即”调查。另外她还表示,她对这些黑客攻击的频率感到沮丧,称其变成了家常便饭。 James希望自己在完成调查后拥有足够信息和能力为Capital one的纽约受害者提供“救济”。目前还不清楚她所表达的具体意思,但她可能会为受害者争取某种形式的赔偿。 据悉,最近的Capital One黑客攻击事件曝光了1亿多名美国和加拿大用户的信息,即如果曾在2005年至现在申请过Capital One信用卡就可能存在数据被盗的风险。泄露的信息则有地址、姓名、电子邮件、电话号码甚至社会保障号和信用评分等。   相关阅读:美国银行第一资本遭黑客入侵:逾1亿用户信息泄露   (稿源:cnBeta,封面源自网络。)

洛杉矶警察局数据泄露致 2500 名警官个人信息被盗

据外媒报道,据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称,被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此,LAPD建议受影响的警官要监控起自己的信用报告和银行账户,另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的,我们致力于保护跟我们机构有关的任何人的隐私,”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   (稿源:cnBeta,封面源自网络。)  

Equifax 将向数据泄露事件受害者赔偿 125 美元 现已开启线上登记

本周早些时候,美国信贷报告机构 Equifax 与联邦贸易委员会(FTC)达成了针对 2017 年发生的大规模数据泄露事件的赔偿方案。本次事件导致数亿美国人的社保号码与其它敏感数据被泄露,作为集体诉讼的一部分,受害者终于可以向其提出索赔。据悉,Equifax 达成了 7 亿美元的和解协议,其中包含了 3.805 亿的客户赔偿金。 (截图 via TheVerge) FTC 尽早公布了索赔网站的链接,有疑问的人们可以上去检索自己是否受到了本次数据泄露事件的影响,并就此申请特定的赔偿。 据悉,该网站并非由 Equifax 负责运营,而是交给了和解协议委托的 JND 去打理,后者有过处理此类大规模集体诉讼和企业破产案件的经验。 受害者只需填写一份简单的表单,然后指定自己认为应该获得的赔偿金额,详情可移步至 EquifaxBreachSettlement.com 官网查看。 出于认证的目的,你需要输入姓氏和社保号码的末六位。若确实受到该事件影响,网站会弹出一则简单的提示 —— 记录表明您的个人信息受此事件影响。 跳转回主页之后,受害者就可以正式提出索赔了。整个流程制作得很是简洁,每个人都可以在线轻松完成,但 JND 也支持打印填写并邮寄、或代表未成年人下载表格。 表单会索取一些简单的个人信息,如居住地和出生地。赔偿方案可选 125 美元的支票、预付卡、或免费的三局信贷监察服务。 而要领取这笔钱的话,你需要已经拥有信用监控,并在提出索赔申请后等待六个月时间。你可立即注册 Credit Karma、TransUnion 等合作伙伴的免费服务。 此外,许多信用卡和许多信用卡和Intuit的预算计划服务Mint也免费提供一些版本的信用监控。此外,还有像Identity Guard和MyFICO这样的付费服务,它们具有更强大的身份盗窃保护和内置的其他服务。 最终受害者可以得到一份以 PDF 格式保存到计算机上的索赔编号等信息,表单会要求提供电子邮件地址。 需要指出的是,在今早填完表格后,外媒 TheVerge 编辑 Nick Statt 表示没有立即收到邮件,所以建议大家还是尽量保存网页的理线副本。 最后,请务必在 2020 年 1 月 22 日之前提出索赔。2019 年 11 月 19 日将是个人撤回诉讼的截止日期,有关此案件的听证会将于今年晚些时候的 12 月 19 日举行。   (稿源:cnBeta,封面源自网络。)