标签: 信息泄露

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析,这些数据并不是通过直接入侵 Mega 而获取的,而是被撞库了。他说文件中 98% 的电子邮件地址已经存在于他的数据库中(于先前的漏洞中收集)。ZDNet 也表示,在他们联系的人中,有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表,也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密,但登录时没有使用双因素身份认证方式,因此攻击者只需使用登录凭据便可登录每个帐户,并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示,Mega 不能通过检查文件内容来充当审查员的角色,因为它在被上传到 Mega 之前已在用户的设备上被加密,除了在技术上不可行之外,Mega 和其他主要云存储提供商实际上也做不到,毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年,黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源:开源中国,封面源自网络;

美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。 Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。 最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。 虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。 目前,Exactis已经对数据进行了加密防护。在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息。   稿源:快科技,封面源自网络;

谷歌改口,将修复地理位置信息泄露问题

雷锋网消息,据外媒美国时间 6 月 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。 来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。 “黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。“不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。” 一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。 但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。 “与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。” “我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。” 这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。 其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。 雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月  中旬正式推送。 “我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。” “如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。   稿源:雷锋网,封面源自网络;

美国征信公司信息泄露事件升级 新增 240 万受害者

据瑞士资讯 3 月 1 日援引法新社报道,美国征信公司伊奎法克斯( Equifax )当日表示,关于 2017 年 9 月曝出的 1.4 亿用户个人信息泄露事件,近日又发现另外 240 万名受害者。 伊奎法克斯的法务调查报告显示,除了有 1.4 亿名美国人姓名、生日和社会安全号码等个人信息泄露外,还有 240 万人用户的个人信息受影响。伊奎法克斯称,之前未发现新的受害客户,是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。 该公司还表示,将会通知这些用户,并为他们提供防盗保护和信用报告监控服务。 稿源:cnBeta、环球网,封面源自网络;

URL 传输库 libcurl 现多个漏洞或致敏感信息泄露,最早可追溯至 1999 年

外媒 1 月 25 日消息,研究人员发现客户端 URL 传输库 libcurl 正受到一些漏洞影响。其中一个在很大程度上与 HTTP 请求中处理自定义标头的方式有关,可能会导致认证数据泄露给第三方。 除此之外,一个 “HTTP/2 trailer out-of-bounds read ” 的漏洞也对 libcurl 造成了一定困扰。 HTTP 请求中处理自定义标头 当被要求在 HTTP 请求中发送自定义标头时,libcurl 会首先将这组标头发送给初始 URL 中的主机。但若被要求遵循重定向,并且返回一个 30X 的 HTTP 响应代码,那么 libcurl  则会发送给响应头值中的 URL 所提及的主机。 研究人员称,将同一组标头发送到子序列主机对于传递自定义 Authorization 的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据, 可能会被攻击者滥用来模拟 libcurl-using 客户端请求。 这一漏洞被跟踪为 CVE-2018-1000007 ,在 1999 年就已出现。目前受影响的是 libcurl 7.1 至 7.57.0  的版本,后续版本(7.58.0)不受影响。 HTTP/2 trailer 越界读取漏洞 进行访问时数据会被越界读取,从而导致崩溃或者(太大的)数据被传递给 libcurl 回调。若有人的服务能够响应或使用 trailer 头域,那么很可能会导致拒绝服务或信息泄露的情况出现。 该漏洞被跟踪为 CVE-2018-1000005 , 影响 libcurl 7.49.0 至  7.57.0 的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国国土安全部发表声明,应对 24.6 万员工信息泄露事件

前景提要:2017 年 5 月,美国国土安全部 ( DHS ) 一名员工的家用电脑服务器被发现存有 24.6 万名截至 2014 年底进入 DHS 的员工个人敏感信息。从 2017 年 5 月到 11 月,国土安全部进行了彻底的隐私调查。 据外媒报道,DHS 针对该起事件于 1 月 3 日发表声明称由于国土安全部监察长办公室(OIG)的案件管理系统(CMS)的缺陷,以至于雇员信息遭到泄露。目前事件影响了 DHS 雇用的 24.6 万员工,以及 2002 年至 2014 年与 DHS OIG 调查相关的主体、证人和投诉人的私密信息,其中包括姓名、社会安全号码、出生日期、职位、职级和工作地点。DHS 表示已向受影响的个体发送通知信,并承诺不会再出现类似事件。 DHS 的声明没有透露该前雇员的具体信息,也没有提供调查的进行细节。但 DHS 强调,这一事件并不是由外部恶意行为者发起的网络攻击,受影响的个体信息也不是事件的主要目标。 美国国土安全部首席隐私官 Phillip Kaplan 称 DHS 非常重视为本部员工服务的义务,并致力于保护他们的信息。据悉,所有可能受到影响的个体都获得了 18 个月的免费信用监控和身份保护服务,同时也被要求警惕声称国土安全部的人的可疑电话,以及任何询问敏感信息的人士。 DHS 表示目前正在实施额外的安全防范措施来限制对信息的访问,并将采取严格的检查措施来识别任何不寻常的访问模式。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

为防信息泄露,美国白宫禁止员工在工作中使用个人手机

白宫新闻秘书 Sarah Sanders 星期四说,白宫将开始禁止员工在工作中使用个人手机。 Sarah Sanders 在一份声明中表示,白宫技术系统的安全和完整性是特朗普政府的首要任务。因此,她说,在白宫西楼不再允许使用所有的个人用具和设施。 她补充说,工作人员将能够通过政府发放的设备开展业务,并继续为美国民众服务。这一变化意味着特朗普政府的助手将不允许在白宫内使用他们的个人手机。 据新闻媒体报道,这项新规定是由总参谋长凯利(John Kelly)施加的。一些助手表示,这一规定将使他们难以与家人保持联系,彭博报道,白宫提供的手机不允许发短信,增加了工作人员的抱怨和不满。特朗普总统自从任职以来,经常谈到信息泄漏,这个问题从一开始就困扰着特朗普政府。 稿源:cnBeta.com,封面源自网络

数据分析公司 Alteryx 因 AWS S3 配置不当,致 1.23 亿美国家庭敏感信息在线泄露

据外媒报道, 加利福尼亚网络安全公司 UpGuard 表示,包含数据分析公司 Alteryx 敏感信息的亚马逊网络服务(AWS)S3 云存储器因配置不当,导致逾(36 GB) 1.23 亿美国家庭的详细信息在线泄露,其中几乎蕴含每个美国家庭的种族和名族信息。虽然这些数据的电子表格使用了匿名标识符,但其他几十亿字段中的信息却非常详细,比如家庭住址、联系信息、抵押贷款状况、财务状况以及非常具体的购买行为分析。 根据 UpGuard 的说法,其网络风险团队曾于今年 10 月发现 Alteryx 托管的 S3 云存储桶存在信息泄漏迹象,该存储桶中还包含数据分析公司 Alteryx 的合作伙伴、消费者信用报告机构 Experian 和美国人口普查局的数据集。而这些完整的 Experian 的 ConsumerView 营销数据库和 2010 年美国人口普查的全部数据集都是可用的。 目前,Alteryx 已展开调查并表示,虽然此次泄露的文件包含了第三方内容供应商营销数据,但他们承诺,泄露的云数据库现已在互联网上封锁,文件中的信息不会对任何消费者造成身份盗用的风险。 消息来源: ZDnet.,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新加坡共享单车 Obike 遭黑客入侵,大量用户信息被泄露

新加坡共享单车 Obike 日前被曝出在全球范围内遭到黑客入侵,新加坡、悉尼或伦敦的 Obike 用户的个人信息很可能已被泄露。报道称,该入侵事件至少持续了两周时间,许多用户的个人信息,包括姓名、联系方式、照片和地址等已被泄露到互联网上。 到目前为止,此次黑客入侵事件的确切时间尚不清楚,但有台湾地区的安全专家称,他们今年 6 月就发现了相关泄密信息,并告知给 Obike 公司,但并未得到 Obike 的回复。此次入侵事件影响了 Obike 在全球范围内的用户。当前,Obike 的业务已拓展到亚太、欧洲和英国的多座城市。 对此,Obike 公司一发言称:“ 我们已经意识到该问题,并立即采取了行动以解决该问题。此次入侵事件仅影响了我们的一小部分用户,被曝光的个人数据也仅限于用户的姓名、电子信箱和手机号码。我们的应用 ( App ) 并不存储用户的信用卡账号或密码等信息。” 该发言人还称,黑客利用了“ 我们应用编程界面 ( API ) 中的一个安全漏洞 ”。如今,Obike 已经关闭了该 API,并增加了额外的保护程序。不久前,打车服务公司 Uber 也曝出用户信息泄露事件。去年 10 月,5700 万 Uber 用户和司机的个人信息被泄露。为遮掩此事,Uber 还向黑客交纳了 10 万美元的赎金。 稿源:cnBeta、新浪科技,封面源自网络;

光明时评:提高隐私保护意识要从公共部门开始

近日,新闻相继披露吉、湘、鄂、浙、闽、苏、桂、陕等多所高校官网存在泄露学生个人信息的情况。另外,很多地方政府的网站,也存在大面积披露公民隐私信息的现象。客观而言,这些泄露都属于无心之失。不管是政府部门还是高校,都是以信息公开之名而行泄露隐私之实。看起来,巨细靡遗的信息披露,是为了公开透明方便监督,其实多数情况下更像是考虑不周的懒惰。 耐人寻味的是,如果不是媒体近来持之以恒地跟进监督,这种现象恐怕不会受到如此重视。那么多个体被公共部门披露隐私,但好像也没有太多人提出质疑。这背后当然有情非得已的顾虑。因为从被披露的信息缘由来看,拿低保或者保障房也好,领奖学金也罢,虽然都是个人应得的权益,但现实中给人的感觉总好像得了某种“好处”,谁好意思去较真?这种隐私保护让位于现实利益考虑,其实很具普遍性。 此前就有媒体报道,中国互联网用户普遍缺乏隐私保护的意识,很多人愿意用个人数据来交换网站提供的服务。而那些个人数据中,包含着许多珍贵的隐私信息,但其无形价值远没有受到充分重视。曾有调查数据显示,2013 年,只有 50% 的国人认为在网上分享个人信息时必须保持高度警惕,而在美国,这一比例是 83%。几年时间过去,隐私保护的意识可能有所上升,但从一些公共部门失控的做法看,思维的转变还有待时日。 必须重视隐私保护的原因,在于其可能遗留安全隐患,甚至造成直接的利益损失。尤其是公共部门无意识泄露出的隐私,不仅包括身份证号等信息,还涉及公民领低保、分配保障房等动向,会给别有用心者骚扰、诈骗带来便利。隐私泄露对于个人会造成权益损害,从社会整体看也是恶果昭彰。中国互联网协会发布的《 中国网民权益保护调查报告 2016 》显示,中国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的总体经济损失约 915 亿元。 中国越来越步入信息时代、无现金社会,未来隐私泄露可能造成的危害将更大。所以最近曝光的那些公共部门泄露隐私的案例,虽然暂时还没有造成严重危害,但及时敲响隐私保护的警钟是必要的。提高隐私保护意识,要从公共部门开始,这既是对公民权益负责,避免自身的侵权责任,也是为了起到更好的社会垂范作用。只有公共部门明确隐私保护的意识、守住底线,才能更好地推动相关法规的完善和执行,让隐私保护成为整个社会的习惯。 稿源:新浪科技、光明网,封面源自网络;