标签: 信息泄露

万豪旗下喜达屋酒店数据库遭入侵 5 亿顾客信息或泄露

新浪科技讯 北京时间11月30日晚间消息,万豪国际酒店集团(Marriott International)今日宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。 该消息公布后,万豪国际酒店股价在今日盘前交易中一度下跌逾5%。 万豪国际酒店称,调查结果显示,有一未授权方复制并加密了这些数据。而且,自2014年就开始了对喜达屋酒店网络进行未授权访问。 目前,万豪国际酒店已采取了补救措施,但并未公布进一步的信息。 万豪国际酒店称,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。 对于部分客户,可能被泄露的信息还包括支付卡号码和有效日期,但这些数据是加密的。 万豪国际酒店表示,已将该事件报告给执法部门和监管部门,积极配合其调查。   稿源:新浪科技,封面源自网络;

亚马逊部分用户信息被泄露:包括姓名和邮件地址

新浪科技讯 北京时间11月22日早间消息,据美国财经媒体CNBC报道,亚马逊向给用户发邮件称,由于出现技术问题,一些用户的姓名和邮件地址被泄露。目前已经有一些人在网上发布他们收到的邮件截图。 这些邮件中说,用户没有必要因此次事故而修改密码。但CNBC指出,有了名字和邮件地址,黑客仍然可以借此重设用户帐号,或利用邮件发起“钓鱼攻击”。 部分用户收到的邮件   而在一份声明中,亚马逊表示:“我们已经修复问题,并通知可能受到影响的用户。”但该公司并没有透露受影响的用户数量,以及具体泄露的信息量。 亚马逊新闻发言人表示,公司网站和系统并没有出现问题。他也没有透露在何处发现被泄露的用户信息。 在一个用户论坛中,一些收到亚马逊此类邮件的人对于亚马逊不建议修改密码一事感到意外。他们也很惊讶地发现,这类邮件中签名链接到的亚马逊网站并不是“https”安全连接,而是“http”。   稿源:新浪科技,封面源自网络;

Facebook 收集信息远超想象:用户家人也成分析目标

新浪科技讯 北京时间11月19日下午消息,国外媒体报道称,Facebook收集用户的许多信息已不是什么新鲜事儿了,但据近日曝光的一项专利申请文件显示,Facebook准备要收集的用户信息远超出了人们想象。 这份专利申请文件是Facebook于2017年提交的,近日才得以曝光。申请文件显示,这项专利将允许Facebook根据用户向其网站和Instagram上传的信息,包括帖子、状态更新、照片、好友、消息记录和网页浏览记录等信息,对用户的家庭成员进行分析。 业内人士称,Facebook此次专利申请旨在防止其他公司利用这一技术,从而继续维持其作为广告平台的优势。如果知道用户的家庭成员信息,和哪些人生活在一起,有助于向用户发布更有针对性的广告。 Facebook向《洛杉矶时报》表示,不对此发表评论,但Facebook同时指出,有时只是简单的申请一项专利,并没有真正利用这项专利技术的意图。 今年,Facebook已被用户信息隐私问题弄得焦头烂额。自今年3月份大规模用户信息泄露事件被曝光后,Facebook股价就一直萎靡不振。当时,Facebook承认有8700万用户的信息被第三方不当分享。 虽然Facebook CEO马克·扎克伯格(Mark Zuckerberg)亲自赴国会作证,但至今仍未彻底摆脱该问题。 雪上加霜的是,Facebook 9月底又宣布,该公司发现一处安全漏洞,允许黑客获取访问权限,从而控制用户账号,受漏洞影响的账号数量高达5000万个。 有分析人士称,隐私问题拖得时间越久,Facebook的核心业务就越可能会受到影响。   稿源:新浪科技,封面源自网络;

美女童军加州奥兰治县分部网络遭攻击 或涉及 2800 名成员信息泄露

据 Threat Post报道,美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击,最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露,该组织已经向所有填写申请的成员邮箱发送了一份通知信,承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉,并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号,破解进入了GSOC的计算机网络,获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名,出生信息,电邮地址,家庭地址,驾驶执照,健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号,通过传统邮箱寻求GSOC分部的确认。   稿源:cnBeta,封面源自网络;

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

美国中期选举将近 3500 万人资料泄漏 黑客:在政府有人

新浪科技讯 10月17日下午消息,据中国台湾地区媒体报道,随着美国中期选举即将于下个月展开,威胁情报业者Anomali Labs及网络安全业者Intel 471本周一联手揭露他们发现有人在某个黑客论坛中兜售美国19州的选民资料,其中3州的选民资料就高达2,300万人,估计总数将超过3,500万人,且根据研究人员的查证,这些资料的可信度很高。 每一州的选民资料价格不同,视州别及数量从150美元到12,500美元不等,例如路易斯安那州300万选民资料的价格为1,300美元,而德州的1,400万选民资料即要价12,500美元;资料内容包含选民的姓名、电话、地址及投票纪录等,卖家甚至承诺会每周更新资料。 根据卖家的说法,他们在州政府内部有人,可每周收到最新资料,有时还要亲自到该州取得资料。意谓着这些资料的外泄不一定是来自于技术上的入侵,而很可能是有心人士自合法管道取得选民资料后恶意进行的散布。 不管资料来源如何,暗网中已经有人发动众筹来购买这些名单,并打算于黑客论坛上公布所购得的选民资料,已成功集资200美元,买下了堪萨斯州选民名单,亦已开放论坛用户下载。 研究人员指出,选民名单应是不能用在商业目的,也不得在网络上公布,却有未经授权的组织企图利用这些名单获利,选民名单曝光的选民资料再加上诸如社会安全码或驾照等外泄资料,可能会被犯罪份子用来进行身分诈骗或其它非法行为。   稿源:新浪科技,封面源自网络;

GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道,公司网站GovPayNow.com允许任意人访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。 美国用户在完成付款处理之后,GovPayNow.com就会发出确认收款的数字收据,而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中,通过简单地修改收据URL中的ID数字,就能轻松访问GovPayNet支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。 在发现安全问题后,研究人员向GovPayNet发出了关于该问题的警报,并在两天后收到答复,确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户,收据中不包含可用于启动金融交易的信息。”   稿源:cnBeta,封面源自网络;

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析,这些数据并不是通过直接入侵 Mega 而获取的,而是被撞库了。他说文件中 98% 的电子邮件地址已经存在于他的数据库中(于先前的漏洞中收集)。ZDNet 也表示,在他们联系的人中,有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表,也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密,但登录时没有使用双因素身份认证方式,因此攻击者只需使用登录凭据便可登录每个帐户,并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色,因为它在被上传到 Mega 之前已在用户的设备上被加密,除了在技术上不可行之外,Mega 和其他主要云存储提供商实际上也做不到,毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年,黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源:开源中国,封面源自网络;

美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。 Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。 最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。 虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。 目前,Exactis已经对数据进行了加密防护。在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息。   稿源:快科技,封面源自网络;

谷歌改口,将修复地理位置信息泄露问题

雷锋网消息,据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。 来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。 “黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。“不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。” 一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。 但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。 “与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。” “我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。” 这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。 其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。 雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月  中旬正式推送。 “我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。” “如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。   稿源:雷锋网,封面源自网络;