分类: 数据泄露

FB 数据丑闻爆料人:泄密用户数据可能存储在俄罗斯

Facebook 数据泄密丑闻爆料人克里斯多夫·威利(Christopher Wylie)上周日表示,受到此次事件影响的用户总数可能超过 8700 万,而这些数据可能存储在俄罗斯。 威利表示,通过心理测试应用收集 Facebook 用户数据的剑桥大学教授亚历山大·科根(Aleksandr Kogan)可能允许把这些数据存储在俄罗斯。科根经营的 Global Science Research 在没有经过用户允许的情况下,将这些数据分享给备受争议的政治数据分析公司剑桥分析(Cambridge Analytica)。 “我认为,真正的风险在于,这些数据可能已经被很多人使用,而且可能存储在世界各地的不同地方,包括俄罗斯。原因在于,收集这些数据的教授当时在英国和俄罗斯之间往来,他当时效力于一个俄罗斯资助的心理学项目。”威利接受 NBC 采访时说。 他补充道:“我不能告诉你有多少人使用过这些数据,这最好由剑桥分析来回答,但我可以说,有很多人都曾接触过这些数据。” Facebook 和剑桥分析均未对此置评。科根也没有作出回应。 威利认为,受到此次事件影响的人数可能超过 Facebook 上周公布的 8700 万人。《观察家》和《纽约时报》最初的报道认为这一数字约为 5000 万人。剑桥分析曾经表示,他们通过 Global Science Research 获得的 Facebook 用户数据不超过 3000 万。 相关阅读: –Facebook 宣布遏制选举舞弊和用户操纵的新举措 –美国参议员:Facebook 丑闻可能“很严重” 难自行解决 –消息人士称扎克伯格将在周一会见美国立法者 稿源:新浪科技,封面源自网络;

Delta/Sears 被曝出遭网络攻击 数十万名客户信用卡信息可能曝光

据外媒报道,当地时间 4 月 4 日,Delta 和 Sears 表示最新曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。获悉,该数据泄露事件最先由路透社曝出,其发生的地点为一家同时为 Delta 和 Sears 在线聊天平台提供服务的公司–[24]7。 去年 9 月 27 日至 10 月 12 日,这家公司遭遇到恶意软件攻击,但 [24]7 却到了今年 3 月中旬才通知了 Sears 和 Delta。曾于该时间段在 Sears 或 Delta 网上进行过交易的消费者其信用卡信息可能已经泄露。 目前,联邦执法部门、银行以及 IT 安全公司正在对这一安全事件进行调查。而 Sears 和 Delta 都分别开设了针对此事件的客户通道,前者开通了一个客户咨询热线,后者设立了一个专用解答网页 delta.com/response。 [24]7 则发表声明表示:“我们相信平台是安全的,另外我们正在与我们的客户合作来判定其客户的信息是否遭到了(不正当)访问。” 稿源:cnBeta,封面源自网络;

同性交友应用 Grindr 与第三方分析公司共享用户健康数据

挪威研究组织 SINTEF 进行的一项分析显示,流行的 Grindr 同性恋约会应用与另外两家公司分享其用户的艾滋状况。Grindr 同性恋约会应用再次登上头条,几天前 NBC 的一份报告显示该应用存在两个漏洞(现已修复),这些漏洞泄露超过 300 万用户的信息。攻击者可能利用这个漏洞获取其他用户的位置数据,私信以及个人资料,即使用户没有不共享这些信息。 资产管理初创公司 Atlas Lane 的首席执行官 Trever Faden 在运营他的网站 C*ckblocked 时发现了安全问题,这个网站能让用户看到谁在 Grindr 上屏蔽了自己。 Faden 发现,一旦 Grindr 用户登录他的服务,就能访问与 Grindr 帐户相关的大量数据,包括未读消息,电子邮件地址和已删除的照片。 分享健康数据 当媒体大肆传播这一消息时,BuzzFeed 和挪威研究型非营利组织 SINTEF 发现,Grindr 与两家第三方公司共享艾滋病相关的数据。 “SVT 和 SINTEF 在今年 2 月 7 日进行了一项实验,分析约会应用程序 Grindr 中的隐私泄露。这个研究与瑞典电视节目“ Plus granskar ”有关,您可以在线观看。“SINTEF 报道。 “我们发现 Grindr 包含许多追踪器,并直接从应用程序与各种第三方分享个人信息。” 配置文件包括敏感信息,如艾滋病毒状况,用户最近一次接受测试的时间,以及他们是否正在接受艾滋病毒治疗或艾滋病预防药物 PrEP。 “Grindr 不需要对接第三方服务来跟踪用户的 HIV 状态。此外,这些第三方不一定有托管医疗数据的认证,Grindr 的用户丝毫不知道他们正在分享这些数据。“SINTEF 补充说。 令人不安的是,Grindr 一直在与两家帮助优化应用的公司分享用户的艾滋病状态和测试日期,分别是 Apptimize 和 Localytics。 “这两家公司—— Apptimize 和 Localytics 帮助优化应用程序——接收 Grindr 用户的个人资料,其中包括他们的 HIV 状态和“最后测试日期”。BuzzFeed 报告提到。 据挪威非营利组织 SINTEF 的研究员 Antoine Pultier 说,由于这些 HIV 信息与用户的 GPS 数据,电话号码和电子邮件一起发送,因此第三方公司可以识别出特定用户及其艾滋病毒状况。“ 甚至在某些情况下,这些数据不受加密保护。 回应 BuzzFeed 的报告几个小时后,Grindr 告诉 Axios 它已经停止共享用户的艾滋病毒状态。该公司的安全总监 Bryce Case 告诉 Axios,鉴于 Facebook 的 Cambridge Analytica 丑闻,他认为公司“被不公平地……挑出毛病”,并表示该公司的做法没有偏离行业规范。 Grindr 的首席技术官 Scott Chen 指出,“我们在严格的条款下共享数据,提供最高级别的加密,数据安全性和用户隐私。” 无论如何,Grindr 不会将用户数据出售给第三方。 在周一下午发布的声明中,Grindr 证实它将停止分享艾滋病毒数据。 该公司还向 CNNMoney 证实,它已经从 Apptimize 中删除了 HIV 数据,并且正在联系 Localytics 删除。 稿源:freebuf,封面源自网络;

扎克伯格再次就数据泄露事件发声:解决问题需要数年

据《每日邮报》北京时间 4 月 3 日报道,据马克·扎克伯格( Mark Zuckerberg )称,Facebook 需要“数年时间”才能解决这次滥用用户数据暴露出来的问题。在接受新闻网站 Vox 采访时,扎克伯格对公司的商业模式进行了辩护,并还击了苹果 CEO 蒂姆·库克( Tim Cook )上周对 Facebook 的批评。 扎克伯格还表示,Facebook 的问题之一是它过于“理想主义”,专注于把人们联系在一起的积极影响。 扎克伯格说,他没有花足够的时间考虑使用这些工具的一些负面影响,“我认为现在人们在恰当地关注部分风险和不足之处。我认为我们将全面调查、解决存在的问题,但这需要数年时间。我当然希望我能够在 3 到 6 个月内解决所有问题。但我认为,现实情况是,即使只解决部分问题,就需要更长的时间“。 扎克伯格还反驳了库克对 Facebook 商业模式的批评。库克上周称,Facebook 的商业模式就是收集用户资料,然后卖给广告客户获利。 但扎克伯格声称,Facebook 的商业模式是向人们提供免费服务、不像苹果那样卖天价产品的唯一方式,“我们想让全世界的所有人联系在一起,但许多人无力承担所需的费用。与大量媒体一样,通过广告创收的模式是唯一合理的模式”。 自 3 月 16 日—— Facebook 承认用户数据被不恰当地泄露给剑桥分析公司——以来,Facebook 股价累计下跌了 13%,市值蒸发逾 700 亿美元。扎克伯格个人财富蒸发逾 100 亿美元,只剩下约 600 亿美元。 稿源:cnBeta、凤凰网科技,封面源自网络;

快讯 | 数以万计 Django 应用程序因配置错误泄露密码等敏感信息

近日,安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息,其中包括密码,API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架,它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的,出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

1.5 亿用户数据被泄露 Under Armour:不涉及敏感信息

本周四,美国著名运动装备品牌 Under Armour 称有 1.5 亿 MyFitnessPal 用户数据在上个月被泄露了,MyFitnessPal 是一款 Under Armour 旗下的食物和营养主题应用。此次关于用户数据泄露的声明使得该公司的股票价格下跌了 2.4%。 据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。 Under Armour 表示,该数据泄露事件并没有涉及到用户的社会安全号码(Social Security numbers)、驾驶证号、和银行卡号等隐私信息。 该运动装备制造商称,是在 3 月 25 日才发现的此次数据泄露事件,并从那时就开始通知受影响用户。 Under Armour 正在和一家数据安全公司一起协作调查此次事件,有关监管部门也参与到了其中。 MyFitnessPal 是一款在苹果和谷歌应用商店中很受欢迎的应用,允许用户跟踪每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据,还可以分享运动成果到类似 Facebook 这样的社交平台上。 稿源:cnBeta、新浪科技,封面源自网络;

Cambridge Analytica 收集的数万 Facebook 用户数据仍未被删除

据外媒报道,尽管 Facebook 此前表示已采取措施确保 Cambridge Analytica 收集的用户数据已被删除,但 Channel 4 News 现在发现科罗拉多州数千人的数据仍在流传。Channel 4 News 称,Cambridge Analytica 来源的活动数据缓存详细描述了美国科罗拉多州的 13.6 万名 Facebook 用户资料以及每个人的个性和心理状况信息。 这些数据可追溯到 2014 年,Cambridge Analytica 使用这些数据来定位那些对他们最敏感的居民的具体信息。由于上周泄露用户资料丑闻持续发酵,Cambridge Analytica 公司坚持所有的 Facebook 数据,以及他们使用 Facebook 数据获得的任何信息“已被删除”。 Facebook 还表示,该公司已采取措施确保与收集的个人资料相关的所有信息都被“销毁”。但科罗拉多数据集以及俄勒冈州的类似数据表明,Facebook 衍生数据的副本仍然存在。这些数据也被认为是在 Cambridge Analytica 的服务器之外的非公司电子邮件系统和相关的 SCL 公司之间传递的。 现在,在披露 Cambridge Analytica 公司泄露数据事件一周多后,Channel 4 News 直接采访了那些隐私遭到破坏的人。 护士 Janice 的数据被包含在缓存中,她表示:“这是那些不是真正关心我们社会的人对社会的操纵。他们只关心他们的业务。他们关心他们的底线,他们不是为了我们所有人,除了他们想要操纵我们所有人。因为我们要么是选民,要么是消费者。这就是他们看待我的方式,他们不看我有多安全,或者我的学校有多好。” 周日,扎克伯格借助整版报纸广告为 Facebook 数据丑闻道歉。但当被问及对道歉的感受时,Janice 告诉 Channel 4 News:“他在人们删除他们的个人资料并开始关闭他们的账户之后才这样做。直到触及底线他才会关心美国,或者他认为这种趋势可能会走错路。所以呢,这让我更加讨厌他。” 当地居民 Debra 表示:“这是个人信息,却被用来让让陌生人来评估我们是谁,我们的观点是什么……是否准确或不准确……我忍不住想某人是否正在跟踪信息。我在质疑我向下滚动某些内容并点击该内容,并更多地了解该内容涉及的内容时,他们是否也在收集数据。” 消息人士告诉 Channel 4 News,科罗拉多州的共和党人使用剑桥分析数据来帮助定位选民。据《纽约时报》报道,Cambridge Analytica 收集的数据也被即将出任美国国家安全顾问的 John Bolton 所使用。在 Cambridge Analytica 成立并开始收集 Facebook 数据的数月之后,Bolton 的政治行动委员会于 2014 年 8 月首次与这家公司合作。 自从这起丑闻于 2018 年 3 月 17 日首次被披露以来,Channel 4 News 数次希望采访扎克伯格。Facebook CEO一再拒绝。 Facebook 副总裁兼副总顾问 Paul Grewal 表示:“ Cambridge Analytica 公司发生的事情代表了一种违反信任的行为,我们对此非常抱歉。现在我们清楚,我们可以做更多的事情,正如扎克伯格所说,我们正在努力解决过去的滥用问题,并致力于让人们知道他们的数据是否被不恰当地访问或滥用。 2015 年,我们了解到剑桥大学的心理学教授 Aleksandr Kogan 博士对我们说谎,并违反了我们的政策,将数据从应用程序传递到 SCL / Cambridge Analytica。当我们获悉这一违规行为时,我们从 Facebook 上删除了他的应用程序,并要求 Kogan 和他提供数据的各方证明信息已被销毁。 Cambridge Analytica 向我们证明,他们在 2015 年销毁了有关数据。 两周前,我们收到包括 Channel 4 News 在内的媒体的报道,与我们获得的认证相反,并非所有数据都被删除。Cambridge Analytica 公司已经公开证实他们不再有这些数据,其他人正在挑战这一点,我们决心找出事实。 ICO 已经启动了对 Cambridge Analytica 的调查,我们正在为此提供协助。” Cambridge Analytica 发言人表示:“我们从未将 GSR 的任何数据传递给外部方。在 Facebook 于 2015 年 12 月联系我们后,我们删除了所有 GSR 数据并采取了适当措施确保删除任何数据副本。这包括我们的律师在 2014 年底采取行动,对付一些从公司窃取数据和知识产权的前雇员。这些前雇员均承诺删除所有这些材料。我们没有采取适当措施确保 GSR 数据被删除,这是不正确的。” 稿源:cnBeta,封面源自网络;

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道,圣地亚哥市律师 Mara Elliott 已向益百利信用机构( Experian )提起诉讼,称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计,约有 3000 名消费者可能遭受影响,其中包括圣地亚哥估计的 25 万人。 根据 Elliott 的说法,一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探,获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司,2012 年被益百利收购)的消费者信息数据库。 该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息,然后通过暗网将其转卖给其他犯罪分子。据估计,全球约有 1300 名恶意人士购买了这些数据,这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表,骗取了 6500 万美元的欺诈性退税。 截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。 加利福尼亚州法律对违规行会处以高达2,500美元的罚金,这意味着该公司可能面临数百万美元的罚款。 参考链接: 《圣地亚哥联合论坛报》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Facebook 被指多年来一直收集 Android 设备的呼叫与短信元数据

上周,一名新西兰男子从 Facebook 上拖回了自己的数据档案,结果惊讶地发现该社交网络一直在收集 Android 设备上的许多信息。Dylan McKay 查看了其中有关已存储的联系人部分,才知道 Facebook 在大约两年的时间里,一直在收集它手机上与呼叫有关的数据,包括姓名、电话号码、以及接打通话的时长。 如上图所示,为了方便地追踪用户的电话和消息,Facebook 在 2017 年 10 月份之前就偷偷摸摸地这么做了,其利用了旧 Android API 的权限处理方式。 此外,许多人遇到了与 Dylan McKay 一样的问题,并与其展开了讨论。 外媒 ArsTechnica 编辑 Sean Gallagher 在查看了自己的档案后发现,其中包含的通话记录(以及短彩信等)数据,甚至包含了自己在 2015 – 2016 年间用过的一部分 Android 设备。 在回应 ArsTechnica 有关该数据收集的邮件提问时,一名 Facebook 发言人答复到,这是为了方便 app 与服务用户,使其轻松找到想要联系的人。 “所以当设备首次注册时,一款消息或社交 app 是会这么做的(上传手机通讯录),这是一种在业内被广泛采用的做法”。 不过该发言人指出,联系人的上传是可选的,并且在 app 安装期间明确列出了这一权限。如果想要在个人资料里删除联系人数据,可以借助 Web 浏览器端的一款工具。 据悉,手机通讯录是 Facebook 好友推荐算法的一部分。在最近面向 Android 与 Facebook Lite 设备的 Messenger 应用程序中,其已经向用户发出更明确的请求,以访问呼叫和短信日志。 即便用户未授予许可,Facebook 的移动应用多年来无意中都这么做了,因为旧版本的 Android(尤其是 4.1 Jelly Bean 之前)的默认权限处理方式存在缺陷。 直到 16 版本,Android API 的权限结构才发生了改变。遗憾的是,如果 Android 应用程序被写入了 API 的早期版本,就可以绕过这一限制,而 Facebook 就故意这么做了。 Google 在 2017 年 10 月份弃用了 Android API 4.0,这也是 Facebook 用户数据中发现的通话元数据的截止时间点。相比之下,苹果 iOS 从未允许对用户数据进行静默访问。 稿源:cnBeta,封面源自网络;

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。