标签: 数据泄露

Equifax 发生大规模数据泄露后,两名负责信息与安全的高管宣布离职

据外媒报道,在美国信贷机构 Equifax 发生大规模数据泄露致使 1.43 亿美国民众信息遭盗取后, 该公司两名负责信息和安全的高管宣布将离开。Equifax 本周五在新闻稿中宣布,Equifax 首席信息官 Susan Mauldin 和首席信息官 David Webb 将离职。 Equifax 在一份声明中表示:“Equifax 对这一事件的内部调查仍在进行当中,公司将继续与联邦调查局密切合作 ”。Equifax 在 9 月 7 日对外宣布数据遭泄露的消息,引起消费者利益维护者和立法者的愤慨,他们要求该公司对这一事件作出解释。此外,美国参议员 Elizabeth Warren 在同一天提出一项法案,防止信用评级机构向消费者收取信用冻结费。 Equifax 此前表示,该公司相信黑客通过 Apache Struts 软件漏洞入侵其系统。这个漏洞的补丁是在 3 月份提供的,而 Equifax 则表示其在五月份遭遇黑客攻击,引起批评者质疑 Equifax 是否及时修复软件漏洞。Equifax 目前还未澄清当数据被盗时是否修复这一漏洞。 稿源:cnBeta,封面源自网络;

Instagram 网络攻击殃及数百万账号:知名用户号码被放置暗网出售

据外媒报道,Instagram 此前曾对外宣称,其应用程序界面存在一处安全漏洞,允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过,虽然该漏洞已被修复,但影响范围远比想象还要严重。知情人士获悉,该漏洞似乎正是导致赛琳娜 ·戈麦斯账号突然发出大量前男友贾斯汀·比伯裸照的缘由。 官方最新消息披露,虽然一开始 Instagram 表示此次攻击仅影响到获得认证的账号,但最新更新数据却指出未获得认证的用户账号也在影响范围之内。据了解,在这一网络攻击曝光数小时后,黑客建立了一个名为 Doxagram 的搜索数据库,即用户可花费 10 美元在其获得一次搜索受害者联系信息的机会。目前,黑客总共在上面发布了 1000 个账号,包括 50 个关注者最多的账号。 Instagram 至今仍未公布受影响账号数量。据历史统计 Instagram 总共拥有 7 亿多个活跃账号,然而黑客声称他们手上已掌握逾 600 万个账号信息。另外,Instagram 还表示在这次攻击中用户的账号密码并未被盗。截止当前,虽然 Doxagram 已经下线,但并不清楚它是否还会卷土重来。不过,即便 Doxagram 已经关闭,但网络安全公司 RepKnight 发现包括演员、歌手与运动员在内的多数名人信息于暗网出售: 演员:艾玛·沃特森、艾米莉亚·克拉克、扎克·埃夫隆、莱昂纳多·迪卡普里奥、查宁·塔图姆 歌手:哈里·斯泰尔斯、埃莉·古尔丁、维多利亚·贝克汉姆、碧昂斯、Lady Gaga、蕾哈娜、泰勒·斯威夫特、凯蒂·佩里、阿黛尔、史诺普·道格、布兰妮·斯皮尔斯 运动员:弗洛伊德·梅威瑟、齐达内、内马尔、大卫·贝克汉姆、小罗纳尔多。 目前,虽然尚不清楚此次大规模网络攻击幕后黑手真正身份,但 Instagram 已与执法部门展开合作。此外,安全专家提醒 Instagram 用户启用双因素身份验证并始终通过复杂密码保护账号信息。 本文根据 thehackernews 与 cnBeta 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全调查:多数美国公民愿意为 1000 美元泄露自身隐私

据外媒报道,当用户在网上进行的日常交易越多,他们留在互联网上的信息量就越大。这意味着越来越多数据可能存在泄露或被盗的风险存在,然而情况更加糟糕的是,IT 猎头公司 Modis 最新的一项研究显示,用户仍旧没有在认真地对待他们的隐私。 数据显示,如果有人愿意提供 1000 美元,超过 41% 的受访者表示愿意泄露他们的私照,近 39% 的受访者愿意泄露他们的浏览器浏览历史记录。不过看起来大部分对自己的财务信息更有保护意识,只要 10.9% 愿意为这笔钱出卖自己的财务信息。当被问及为避免遭到黑客攻击愿意放弃什么的时候,42.4% 的受访者表示愿意放弃酒精、30% 愿意放弃社交媒体、29.1% 愿意放弃巧克力、17.4% 愿意放弃肉类,甚至有 3.1% 愿意放弃另一半。然而 67.5% 的受访者表示不会为恢复数据支付任何东西,仅有 18.9% 的受访者称愿意支付 100 美元到 999 美元之间拿回数据。 那么这些发现是否意味着人们在网络上分享太多信息呢?Modis 创意合作伙伴 Matt Davis 称,“有些时候人们忘记社交媒体是可以公开的。即便是最安全的设置也不一定能阻止那些被认可关注者分享你的信息。一个好的经验法则是,如果你不想公开某些东西,那么就不要发布到网上。” 然而现实情况却是已经有相当一部分用户的信息落入了不受欢迎的群体手中。数据统计显示,30% 的女性和近 21% 的男性表示他们正在遭受数据泄露的痛苦。不过这些不受欢迎群体究竟是谁呢?当谈到女性时,大多数说的都是熟人( 30% ),至于男性最多的基本都是他们最重要的人(近 39% )。 稿源:cnBeta,封面源自网络;

美国法官判决:个人信息遭泄露的用户现可起诉雅虎

据路透社报道,美国一位法官称,雅虎必须面对一起全球范围内的诉讼,该起诉讼代表其 10 亿以上的用户,他们称他们的个人信息在三起大规模的数据泄露事件中遭泄露。 美国加州圣何塞地区法院法官露西·科赫(Lucy Koh)于本周三晚做出这项裁决,对 Verizon 通信公司限制雅虎潜在负债规模的努力是个挫折。 今年 6 月份,该公司斥资 47.6 亿美元收购雅虎互联网业务。这些数据泄露事件发生于 2013 年至 2016 年之间,但雅虎却迟迟没有向外披露,一直到三年后才披露了第一起事件。有关雅虎遭到网络攻击的范围被曝光后,Verizon通 信降低了对该公司的收购价格。 在一份长达 93 页的判决书中,科赫拒绝了雅虎有关数据泄露受害者没有资格起诉的辩解,并表示他们还可以提起有关违反合同和不公平竞争的指控。科赫在判决书中写道:“ 所有原告均声称存在未来身份被盗窃的风险,除此之外,他们个人身份信息的价值遭受了损失 ”。目前,一些原告还声称他们花了钱,以阻止未来身份被盗窃,或者诈骗者滥用他们的数据。与此同时,如果雅虎没有推迟披露这些泄露事件,其他一些人可能早就修改密码,或取消账户,从而减少损失。尽管许多指控被驳回,但科赫表示,原告可以修改他们的起诉。 负责监督此案的一个执行委员会的主席、原告律师 John Yanchunis 在接受采访时表示:“我们认为这对消费者来说是一个重大的胜利,同时我们将解决法庭指出的我们起诉所存在的不足之处。这是世界历史上规模最大的数据泄露事件 ”。Verizon 通信发言人鲍勃·瓦雷托尼表示,该公司拒绝就未决诉讼发表评论。现在,雅虎是 Verizon 通信旗下名为 “ Oath ” 的新媒体部门的一部分。 稿源:cnBeta、网易科技,封面源自网络;

包含 3.06 亿密码的数据库,可查看私人密码是否泄露

2007 年 6 月,国家标准与技术研究所( NIST )发布声明,指出网站应比对用户密码,查看这些密码是否已在互联网泄露,以确保它们完全独一无二。虽然大多数网站还没有提供这种功能,但现在 haveibeenpwned.com 网站创始人 Troy Hunt 推出了一个工具,您可以在其中检查自己常用的密码,看看它们是否已被盗用。 它的工作方式很简单。只需输入一个密码,并将它与一个超过 3.06 亿个密码的数据库进行比较,这些密码是在几年内收集的泄露密码。haveibeenpwned.com 网站还提供泄露密码数据免费下载,以便开发人员将其集成到自己的网站中。 用户可以尝试一下,但不要输入任何正在使用的密码。虽然网站学习保护私人数据非常重要,但同样重要的是个人可以实施良好的密码安全,或者让自己成为密码管理员,并为您访问的每个网站使用超复杂的密码。 稿源:cnBeta,封面源自网络;

美国大选投票机在 eBay 上出售,其中包含 65 万选民个人信息

当 65 万田纳西人在孟菲斯地区投票时,他们可能没有想到他们的个人资料最终会在拉斯维加斯凯撒皇宫的黑客会议上被展示出来。美国投票制度的优势在“笨重”的投票机,有助于防止大规模黑客入侵。但是,美国政府工作人员会将旧的投票设备拍卖给公众。 这次黑客们从eBay上购买了退役的 ExpressPoll-5000 投票机,他们发现政府工作人员没有将设备当中存储的选民信息抹去,这台机器当中存储了在田纳西州谢尔比乡村投票的 65 万 4517 人的个人记录,不仅包括名字,地址和生日,还包括政党信息,以及他们是否投票缺席,是否被要求提供身份证明等信息。 目前,ExpressPoll-5000 成为全国最受欢迎的投票机,安全专家表示,这种投票机退役之前没有正式的审核过程,检查投票机当中存储的信息是否已经抹去,因此无法估计有多少台投票机拍卖时无意中包含选民记录。 任何有权使用这种设备的人 – 无论是在选举日还是在家中使用 ExpressPoll-5000 ,都只需要中等的计算机技能来检查这些记录。它们存储在可移动存储卡上。任何人拉出驱动器并用计算机读取存储卡,将看到驱动器的内容,其中包括记录选民信息的数据库。 稿源:cnBeta、新浪科技,封面源自网络

维珍美国航空证实 3 月被入侵:员工密码与个人信息可能泄露

据外媒报道,维珍美国航空在一封发给员工的邮件中证实,该公司于今年 3 月 13 日遭黑客入侵,或导致数千名员工数据泄露。目前,该事件仍在调查,可能有部分员工的登录信息或密码被连累。该公司并未透露有关攻击者的任何信息,而是强调正与执法机构合作,以确定事件如何发生。 维珍美国在信中写到: 2017 年 3 月 13 日,我们的数据安全团队在监测安全活动时发现,有潜在的未经授权者在访问维珍航空的某部分计算机系统。我们立即对此事作出了应对,包括启动我们的事件响应协议、以及采取措施来减轻对受影响个人的冲击。我们请来了网络安全鉴定专家调查此事,并向执法部门通报。即便如此,第三方仍有可能未经授权地访问到了维珍美国航空及承包商的部分员工信息。 ZDNet 援引该公司某发言人的话称,本次事件波及 3120 名维珍美国航空与承包商员工,他们的用户名和密码可能被盗。另有 110 名员工的个人信息可能被窃取,包括姓名、地址、社保号码、以及驾照等数据。尽管表示信用卡信息未被泄露,维珍美国航空还是建议员工定期检查银行和信用卡账单,以避免未经授权的项目。 此外本次事件仅影响该公司自身网络,并未波及客户数据或维珍美国航空的新主人。2016 年的时候,阿拉斯加航空以 26 亿美元的价格收购了维珍美国航空。 稿源:cnBeta;封面源自网络

富国银行发错电子邮件,导致 5 万客户信息遭到泄露

由于信息安全措施不力和黑客攻击事件,过去几年里多数大型企业都丢失过敏感数据。近期,富国银行意外地向一名前理财顾问发送 1.4GB 包含 5 万名高净值客户信息的数据。这名前理财顾问加里·辛德布兰德(Gary Sinderbrand)正在对富国银行一名员工提起诽谤诉讼。他原本会收到与本案相关的电子邮件和其他文件,然而富国银行却将数万客户的机密信息,包括姓名、财务信息,以及社会安全号码发给了他。 报道称,受影响客户的投资资产达到数百亿美元。更糟糕的是,辛德布兰德的律师收到这些数据并未附以保密协议,或是由法官签署的保护令。这意味着,没有任何法律约束,可以阻止辛德布兰德发布这些信息。而如果他这样做,那么富国银行将承担责任。 发送这些文件的律师表示,这个错误来自于外部供应商。供应商应当过滤所有文件,只将与本案相关的文件发送给辛德布兰德。富国银行要求辛德布兰德退回这些数据,不过他的律师表示,辛德布兰德将确保这些信息安全,同时 “ 评估自己的法律权利和责任 ” 。 稿源:cnBeta、新浪科技,封面源自网络

谷歌雇员遭受 Sabre 数据泄露事件困扰

据外媒 3 日报道,谷歌已向本公司的 Sabre 数据泄露事件潜在受害雇员发送通知提醒可能到来的欺诈活动。 今年 5 月,全球旅游业科技巨头 Sabre 在证监会文件中证实“已对未授权访问 Sabre Hospitality Solutions SynXis Central Reservation 系统订单支付信息事件展开调查。” 调查显示,入侵者在劫持 SynXis 系统内部账户后获取系统访问权限。 Sabre 在发送给受害者群体的一份声明中表示,“未授权访问已被关闭,尚未获得后续未授权访问相关证据。无法断定 SynXis Central Reservation 以外的其他任何系统受到影响。” SynXis Central Reservation 产品作为一项费率与库存管理 SaaS 应用目前被全球 32,000 多家酒店广泛采用。此次事件可能造成了非常严重的影响。 公司事后证实,黑客设法访问个人可识别数据、信用卡支付细节与其他信息。谷歌雇员当时正使用 Carson Wagonlit Travel(CWT) 提供的预订服务,而 CWT 采用的正是 SynXis 平台。 谷歌于 6 月 16 日从 CWT 处得知 Sabre 数据泄露事件后立即通过邮件告知受影响雇员:他们的姓名、联系人信息与支付信用卡细节可能已在事发期间( 2016 年 8 月 10 日至 2017 年 3 月 9 日)被黑客掌握。 “我们近期了解到谷歌商旅酒店订单可能受到此次事件影响。我们的第三方供应商作为受害者通过电子预订系统为全球成千上万旅行社与酒店提供服务。值得注意的是,此次事件仅对谷歌采用的旅游供应商 CWT 造成影响,谷歌系统不受任何影响。” “Sabre 迄今仍未发现社保卡号、护照、驾照等信息遭窃取的证据。尽管如此,由于 SynXis CRS 对退房 60 天以上的客人信息采取删除处理,无法证实具体信息是否与受影响订单相关。” 出于保护考虑,谷歌选择向受影响雇员提供为期两年的身份保护与信用监控服务。目前,谷歌正与 CWT 与 Sabre 合作解决这一问题。 Sabire 特地雇佣网络安全公司 Mandiant 协助调查。该公司还将数据泄露事件同步给相关执法机构与支付卡品牌。 “我们通过第三方 AllClear ID 提供为期两年的免费身份保护与信用监控服务。此项服务期于期限内有效,可随时启用。” 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国政府网站 UK.gov 数据意外泄露,公民详细信息被公开于第三方网站

据 securityaffairs 消息,英国政府网站 UK.gov 意外将其数据信息中心用户的详细信息暴露给第三方网站,其中包括用户姓名、地址以及加密过的密码信息。官方已通知用户重置密码。 来自政府数字服务部们的电子邮件显示,泄露数据涉及 2015 年 6 月 20 日以及之前注册的用户。目前当地政府已采取措施从公共领域移除数据,并表示暂未收到任何公民信息被滥用的报告。此外这一事件还被通报给数据保护监督信息专员办公室。 考虑到 2017 年英国政府网站 Data.gov.uk 每月访问量在 20 万次以上,此次事件或对英国公民造成严重影响。 稿源:据 securityaffairs.co 报道翻译整理,译者:FOX