分类: 数据泄露

新加坡共享单车 Obike 遭黑客入侵,大量用户信息被泄露

新加坡共享单车 Obike 日前被曝出在全球范围内遭到黑客入侵,新加坡、悉尼或伦敦的 Obike 用户的个人信息很可能已被泄露。报道称,该入侵事件至少持续了两周时间,许多用户的个人信息,包括姓名、联系方式、照片和地址等已被泄露到互联网上。 到目前为止,此次黑客入侵事件的确切时间尚不清楚,但有台湾地区的安全专家称,他们今年 6 月就发现了相关泄密信息,并告知给 Obike 公司,但并未得到 Obike 的回复。此次入侵事件影响了 Obike 在全球范围内的用户。当前,Obike 的业务已拓展到亚太、欧洲和英国的多座城市。 对此,Obike 公司一发言称:“ 我们已经意识到该问题,并立即采取了行动以解决该问题。此次入侵事件仅影响了我们的一小部分用户,被曝光的个人数据也仅限于用户的姓名、电子信箱和手机号码。我们的应用 ( App ) 并不存储用户的信用卡账号或密码等信息。” 该发言人还称,黑客利用了“ 我们应用编程界面 ( API ) 中的一个安全漏洞 ”。如今,Obike 已经关闭了该 API,并增加了额外的保护程序。不久前,打车服务公司 Uber 也曝出用户信息泄露事件。去年 10 月,5700 万 Uber 用户和司机的个人信息被泄露。为遮掩此事,Uber 还向黑客交纳了 10 万美元的赎金。 稿源:cnBeta、新浪科技,封面源自网络;

间谍软件日志暴露了埃塞俄比亚一场国家级监控阴谋?

据外媒 11 月 6 日报道,埃塞俄比亚政府近日被发现购买了以色列 Cyberbit 公司的间谍软件用于监视居住在国内外持不同政见的人群。但因政府执行人员在配置 C&C 服务器时出现严重问题导致一份间谍软件的日志文件泄露,从而暴露了埃塞俄比亚政府的监视活动及所有监控目标。 调查显示,这个秘密监视行动似乎从去年开始,由包含各种网站链接的鱼叉式网络钓鱼邮件组成。在 2016 年和 2017 年,加拿大、美国、德国、挪威、英国和其他许多国家的人们陆续收到可疑邮件,而这并非普通的垃圾邮件,这些邮件主要通过恶意链接引诱用户下载一个虚假的 Adobe Flash Player 更新或者一个名为 Adobe PdfWriter 的应用程序查看视频或 PDF 文件。如果点击,那么他们的互联网连接就会被劫持并偷偷地重定向至目标服务器,这些服务器装有 Cyberbit 公司设计的监控软件,而购买了 Cyberbit 公司监控软件的机构能够监视目标在设备上的一举一动,还可以远程激活摄像头和麦克风。 这些攻击中使用的恶意软件是一个名为 PC Surveillance System ( PSS ) 的 Windows 程序,由 Cyberbit 出售,并且 Cyberbit 有意将 PSS 作为合法的监控软件销售给全球的情报与执法机构。据悉,Cyberbit 是 Elbit Systems 的子公司,目前还有其他三家“安全”公司加入了 Elbit Systems,分别是 HackingTeam(产品:RCS – 远程控制系统),Gamma 集团(产品:FinSpy)和 NSO 集团(多个产品),这些公司的产品都是作为专制政权的首选网络工具。 然而当地政府在发起鱼叉式钓鱼活动中犯了严重错误,一些收件人把可疑邮件转发给了加拿大公民实验室( Citizen Lab) 。而在此次事件中,埃塞俄比亚政府特工犯的最大错误在于对参与调查的 Citizen Lab 研究人员产生矛盾和进行攻击,这使得 Citizen Lab 团队对这些攻击更感兴趣,由此深入调查最终发现,假冒 Flash Player 和 PdfWriter 应用程序的恶意软件正在与一个在线暴露了 web 文件夹的 C&C 服务器进行通信。 在这些网络文件夹中,Citizen Lab 团队发现了他们需要了解的一切,包括含有攻击者 IP 地址的日志,以及埃塞俄比亚政府试图感染和监视的详细目标。值得注意的是,通过分析网络间谍活动的指挥和控制服务器,Citizen Lab 团队还监控到 Cyberbit 员工在感染笔记本电脑的情况下访问这些服务器,显然是向潜在客户展示 Cyberbit 的产品。据统计,Cyberbit 的这些客户包括泰国皇家军队、乌兹别克斯坦国家安全局、赞比亚金融情报中心和菲律宾总统马拉坎南宫。 Citizen Lab 团队发现,埃塞俄比亚政府使用的监控软件不仅影响了当地用户,还感染了许多生活在埃塞俄比亚的侨民 。对此 Citizen Lab 团队发布紧急通知提醒包括记者、活动人士和参与最近在埃塞俄比亚奥罗米亚地区发生的抗议活动的持有不同政见的人群,以及来自邻国厄立特里亚的政府官员提高警惕。 当然,这些公司坚持他们出售给政府的间谍软件是专门用来打击和调查犯罪人群的。 但问题是,通常情况下记者、学者或非政府组织试图揭露某些政府行为时,很容易会被贴上罪犯或恐怖分子的标签。且据研究表明,即使这些人群居住在国外,也很容易受到国家监视。据 Citizen Lab 研究人员称,这并非埃塞俄比亚政府第一次购买监控软件,埃塞俄比亚国家官员是 HackingTeam 和 Gamma 集团的忠实客户,在过去几年都部署了他们的产品。此外,在 Citizen Lab 调查人员的接触下,Cyberbit 管理层试图推脱了所有责任,并对外声称他们只是一个供应商,只向政府机关和执法机构提供 PSS,负责确保他们合法授权使用产品,并不实际操作任何产品。 研究人员表示,商业间谍软件行业已成为当今最危险的网络安全问题之一,也正是因为有像 Cyberbit 这样对客户实际行为视而不见、纵容间谍软件滥用导致严重后果的“安全公司”。想要解决这个问题的话需要司法机构、以及政府、民间社会和私营部门的共同努力。如果国际社会不迅速采取行动,那么将会有越来越多的记者、维权人士、律师甚至连一些国家本身的权利都不能受到保障。 相关阅读: 完整的公民实验室(Citizen Lab )分析报告可在这里找到。 消息来源:Bleeping Computer,编译:榆榆,校对:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

July Systems 公司 “Proximity MX” 平台因 AWS S3 存储器配置不当致敏感数据泄露

据外媒报道,总部位于旧金山的 July Systems 公司在网上暴露了大量敏感数据,该公司基于云智能定位和参与平台 “ Proximity MX ” 通过不安全的 Amazon S3 数据库公开了公司及其客户的专有信息。相关安全人员表示,极有可能是因为人为因素而造成了此次暴露事件。 相关人士透露,July Systems 的 Proximity MX 平台连接个人的数字足迹 – 特别是跟踪消费者的消费行为。该平台允许公司的客户与消费者进行相关的优惠和促销,并将数据记录到系统中”。据悉,该平台使用者还包括 CNN,ESPN,Intel,Toys “ R ” Us,CBS,Fox 和 NBC Universal 等全球知名媒体公司。 经过调查,在过去的一年中,配置不当的 S3 存储器造成的多次大规模泄漏事件已经暴露了来自各个组织的大量数据。最近, 美国陆军和国家安全局的数据也被暴露。而此次 July Systems 泄露的数据包括 iPhone 和 Android 应用程序的安全凭证,存储库凭据(可能允许任何人访问敏感的客户端数据或跟踪数据),内部构建和各种客户端的开发工具(比如 NFL, CBS,Amex,NBA,FOX,PGA 等)。此外,还暴露了诸如 “ Katy Perry,NFL , NBA ” 等品牌的档案信息和印度 Unilever 管理者的 1000 个用户名和密码。 11月 20 日,Kromtech 安全研究员 Bob Diachenko 发现了 3 个泄露的 S3 存储器 (两个与 July Systems 相关的存储器,另一个则与 Cisco 相关 ),并且发现数据库一直在实时更新。Diachenko 解释说,这三个存储器都是一个名为 EMSP 的生态系统的一部分,它可以利用 WiFi 网络获得有价值的客户信息、提供个性化的移动体验,而 JulySystems 与 CISCO 主要在合作推动 EMSP。 Diachenko 表示,此次暴露事件很可能是人为造成的 。因为 July Systems 有几台 S3 服务器没有密码并且可以公开访问。但目前不清楚是否有其他第三方访问了这些数据库,也不清楚该公司的 S3 存储器在被发现之前还要暴露多久。July Systems 在被告知数据暴露的两天内就已锁定涉事 S3 存储器,但与 Cisco 相关的服务器在获得安全保护之前仍然暴露了一个星期,然而现在真正的考验是,网络犯罪分子可能利用暴露的密码来访问数据基础设施的安全区域。 据悉,英国 IBTimes 已与 July Systems 取得联系以进一步明确此事,并正在等待回应。 消息来源:IBTimes,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

流行虚拟键盘应用 AI.type 泄漏 3100 万用户信息

流行虚拟键盘应用 AI.type 因储存信息的服务器未加密保护而泄漏了 3100 万用户信息。服务器上储存了超过 577 GB 的用户敏感数据,包括用户的完整名字、电子邮件地址,以及应用安装的时长,每条记录还包括用户的精确位置,如城市和国家。 服务器被认为只包含 Android 用户的记录。AI.type 在收到安全研究人员的警告之后已经加密了服务器。AI.type 有免费版和收费版,其中免费版收集了更多的数据,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商、IP 地址,用户公开的 Google 账号信息,用户在设备上安装的应用列表等。 AI.type 是出于广告目的收集这些记录的。它还被发现记录和储存了用户输入的文本,但不清楚规模有多大。专家认为使用免费应用需要谨慎。 稿源:cnBeta、solidot,封面源自网络;

PayPal 旗下的 TIO Networks 运营系统存在安全漏洞,逾 160 万客户敏感信息在线泄露

据外媒报道,全球贸易支付公司 PayPal 于 12 月 1 日证实,公司旗下的 TIO Networks 运营系统存在安全漏洞,黑客已经访问了存储在其服务器中逾 160 万客户的敏感数据,包括用户可识别信息(PII)和部分财务细节。 TIO Networks 是一家基于云支付处理和收账款管理的加拿大提供商,于 2017 年 2 月被 PayPal 以 2.33 亿美元收购,其公司在北美地区经营着超过 60,000 个公共事业的票据支付系统。 TIO Networks 负责人表示:“我们对于此次事件的发生深表歉意,目前 PayPal 已暂停 TIO Networks 运营系统并与其相关部门合作,以便保障用户信息安全。另外,因为 TIO 系统完全独立于 PayPal 网络,所以 PayPal 平台并未受到任何影响。现我们正积极展开调查,一旦发现更多细节后我们将直接联系 TIO 客户并在官网 www.tio.com 发布最新进程。 知情人士透露,PayPal 正通知受影响客户并与一家消费者信用机构合作,从而为受害客户提供免费的信用监控会员资格,以便保障用户信息安全。此外,TIO Networks 客户还可以通过官网获取更多关于数据泄露的相关细节。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预警 | 逾六千台装备 Lantronix 串口的以太网设备暴露 Telnet 密码,可连接关键工控系统

HackerNews.cc 12 月 2日消息,NewSky Security 的首席安全研究员 Ankit Anubhav 于近期发现数千台装备 Lantronix 串口的以太网设备泄漏了 Telnet 密码。知情人士透露,攻击者可以借此针对连接设备发动网络攻击。 据悉,该设备服务器由美国供应商 Lantronix 制造,并被广泛应用于连接工控系统,其中大部分是老旧设备(只具备串行端口)。调查显示,此次暴露的以太网服务器串口是转用于连接远程设备的接口,例如:产品 UDS 和 xDirect 可以轻松通过 LAN 或 WAN 连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。 Anubhav 表示,当前逾有 6,464 台可连接到关键工控系统的 Lantronix 设备服务器在线泄露了 Telnet 密码,这些设备在 Shodan 上的曝光占了 48% 。据称,此次泄露事件不仅允许攻击者接管设备后使用特权访问将串行命令发送至连接设备,还能够允许攻击者可以通过在端口 30718 上发送一个格式错误的请求检索 Lantronix 设备配置。 另外,研究人员发现在 Metaploit 黑客平台包括一个 Lantronix  “ Telnet 密码恢复 ” 模块,该模块可用于通过配置端口(旧版本的 Lantronix 设备默认启用 30718 / udp)从 Lantronix 串口到以太网设备检索安装设置记录,并以明文方式提取 Telnet 密码。目前,补丁管理再次成为问题根源,而且易受攻击的设备并未(难以)通过更新来解决此类问题。 消息来源:Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国家信用联盟因亚马逊 AWS S3 配置不当,逾 100GB 用户敏感信息在线暴露

HackerNews.cc 12 月 1 日消息,网络安全公司 UpGuard 研究人员 Chris Vickery 于近期发现美国国家信用联盟(NCF)托管的亚马逊 AWS S3 存储器因配置不当,导致逾 100G 用户敏感数据在线暴露,其中包括用户姓名、地址、社保号码、银行账号以及信用报告等具体信息。据称,由美国三大知名信用机构 Equifax、Experian 与 TransUnion 整理的数千份客户信用报告也位于其中。 UpGuard 网络分析师 Dan O’ sullivan 在博客中写道:“经调查发现 NCF 创建的存储库中包含个性化信贷蓝图,即以一种特定形式收集用户大量敏感信息,包括客户所抵押的贷款细节以及信用卡账单支付时间。此外,该存储库中还包含了 NCF 员工访问客户记录,以及屏幕监控程序记录的所有计算机桌面视频。然而不管怎样,所有在线泄露的数据都极有可能遭黑客恶意利用,从而导致客户个人财产被窃。” 知情人士透露,该存储库一直都在持续更新并提供最新数据,直至研究人员告知公司 AWS S3 配置错误导致信息泄露后,NCF 才当即修改访问权限。这就意味着,如果黑客访问了该数据库,那么他们所要做的只是静静等待数据更新即可。据 UpGuard 研究人员估计,约有 4 万名 NCF 客户受数据泄露影响。另外,目前尚不清楚该存储器在线暴露时间,也不确定其是否已被非法访问。不过,该公司正开展深入调查并采取积极措施,以便确保客户财产安全。 相关阅读: ○ 美政府再因亚马逊 AWS S3 配置错误:超 100GB NSA 陆军机密文件曝光 ○ 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 ○ 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源:ibtimes.co.uk,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌被诉出售逾 500 万 iPhone 用户信息,或赔偿 27 亿英磅

据 11 月 30 日报道,在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后,谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置,收集用户的浏览历史数据。这一诉讼的目的,是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称,谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德(Richard Lloyd)表示,谷歌的行为“严重失信”于 iPhone  用户,这是“我经历过的最大案件”之一。 洛伊德说,“ 通过这一诉讼,我们将向谷歌和其他硅谷科技巨头发出一个强烈信号,如果我们的法律遭到践踏,我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为,单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC(英国广播公司)的声明中称,“这不是我们遭遇的第一起类似诉讼,以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义,我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中,谷歌以 2250 万美元“破财消灾”。 稿源:cnBeta,封面源自网络;

Uber 数据泄漏事件涉及 270 万英国用户,或将面临巨额罚款

据外媒体报道,继优步(Uber)披露 2016 年曾掩盖影响 5700 万用户的大规模数据泄露事件后,全球多个国家政府对该公司展开了调查。11 月 30 日,Uber 对英国数据保护监督机构称,在此用户数据泄漏事件中,大约有 270 万用户受到影响,其中泄露信息包括用户名、手机号、和电子邮件地址等。据悉,这覆盖了大部分英国 Uber 用户。目前,英国 Information Commissioner’s Office(ICO)要求 Uber 尽早通知那些受影响的英国司机和用户。 这次信息泄漏事件是对 Uber 的又一次打击。早在今年 9 月份,伦敦交通运输局宣布,在本月 30 日到期后,将吊销 Uber 在伦敦的运营资格牌照。该组织称 Uber 违规审查司机的背景,并且以不适当方式获取司机健康状况。Uber 新 CEO 在上周宣称,在 2016 年信息泄漏事件发生后并没有及时披露出来。而在现行英国法律中,未及时向监管机构披露信息泄漏事实的公司将面临最高 50 万英镑的罚款。 本周三,Uber 在其网站上称,经过第三方专家确认,没有迹象表明用户的其他信息,如历史乘车记录、信用卡帐号和生日日期,有被泄漏。并表示:“我们认为司机们对于这次事件无须采取任何补救措施,因为至今为止还没有发现与此次事件相关的信息滥用事件发生,不过我们一直在监控那些受影响的用户账户并提供了额外的保护 ”。目前,Uber 已经被强制要求退出一些国家,比如丹麦和匈牙利。在美国本土也不好过,或将面临来自多个州的监管诉讼。 稿源:新浪科技,封面源自网络;

美政府再因亚马逊 AWS S3 配置错误:超 100GB NSA 陆军机密文件曝光

HackerNews.cc 11 月 28 日消息,继数周前美国陆军中央司令部(CENTCOM)与太平洋司令部(PACOM)的敏感数据暴露于不安全亚马逊 AWS S3 服务器后,网络安全公司 UpGuard 研究人员 Chris Vickery 近期再次发现托管在 AWS S3 服务器的 47 份美国陆军情报与安全司令部(INSCOM)机密文件(逾 100GB )在线曝光,其中竟有 3 份重要文件可任意下载。 不安全 AWS S3 服务器中存有一份可下载的国防机密文件 研究人员表示,在线曝光的可下载文件中包含一份基于 Linux 操作系统和连接虚拟硬盘的 Oracle Virtual Appliance(.ova)镜像文件。不过,但他们无法启动操作系统或访问存储在虚拟硬盘上的任何文件,研究员猜测这可能与操作系统只能通过连接国防部(DOD)内部网络才能启动,这是保护敏感系统的典型做法。 尽管如此,研究人员还是通过分析存储在虚拟硬盘上的元数据(metadata)发现了 SSD 映像中包含的大量高度敏感数据,其中一些还涉及国家最高机密和部分 TOP SECRET(”绝对机密”)和 NOFORN(”不可向境外透露”)的安全标记,例如美国 NSA 远程接收的国防机密信息等。 在线泄露的文件包括此前 Red Disk 项目平台的残余数据 据悉,同一虚拟机中的另一份可下载文件夹中竟还包含了美国陆军此前所开展的 Red Disk 项目残余数据。这是一个由国防部基于云计算平台开发的陆军分布式公共地面系统(DCGS-A),其主要用于搜集战场情报。知情人士透露,美国国防部曾为 Red Disk 项目投入约 9300 万美元,希望能够帮助部署在阿富汗的战队军事。然而早期测试结果显示,该平台运存速度极其缓慢且阻碍了大多数现有行动。而这一项目也从未走出过测试阶段,因此国防部最终于 2014 年停止 Red Disk 计划。 此外,第三份可下载的文件是一个名为 “rtagger” 的压缩文件,其似乎是用来标记与分类机密信息的培训快照,以及将这些数据分配至确切 “区域” 的重要信息。 UpGuard 声称,虽然这并非是他们第一次在线发现美国政府机密文件泄露,但却是首次发现可以被任意访问的敏感数据。令人遗憾的是,这种云泄漏事件完全可以避免,因为它仅仅只是技术人员在 IT 环境中配置错误导致。目前,NSA 真正所需要面临的问题在于,他们尚不清楚有多少黑客已在线访问并下载了这些数据,也无法追踪其数据流动走向。不过,美国政府正展开深入调查并采取积极措施,以便确保国家信息安全。 相关阅读: ○ UpGuard 博客文章《Black Box, Red Disk: How Top Secret NSA and Army Data Leaked Online》 ○ 五角大楼 AWS S3 配置错误:意外发现全球 18 亿用户社交信息竟被秘密搜集 8 年 ○ GhostWriter 漏洞:配置错误的亚马逊 AWS S3 存储器存在 MitM 攻击风险 ○ 又因亚马逊 AWS S3 配置错误:澳大利亚财政部、金融机构等近 5 万职员敏感信息在线曝光 消息来源:Bleepingcomputer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。