标签: 数据泄露

欧洲药品管理局就 COVID-19 疫苗数据泄露发出警告

欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)

研究员发现被删 Parler 帖子含大量用户位置数据

据外媒报道,在美国国会大厦遭特朗普总统支持者暴力袭击之后,一位独立研究员开始对Parler上的用户帖子进行编录。Parler一开始是为保守用户提供发表“自由言论”的避风港的平台,然而最终却沦为了极右阴谋论、无节制种族主义和针对杰出政客死亡威胁的温床。 这名要求用Twitter账号@donk_enby来介绍她的研究员一开始的目标是将1月6日国会大厦暴乱那天起的所有帖子存档,这被她称之为是一组显示有罪的证据。而根据大西洋理事会的数字法医研究实验室和其他消息来源,Parler是叛乱分子用来协调他们破坏国会大厦的几个应用之一,他们计划推翻2020年的选举结果从而让唐纳德·特朗普继续掌权。 @donk_enby希望创建一个持久的公共记录以供未来的研究人员筛选,于是她从暴乱发生当天开始将帖子存档起来。 在睡眠很少的情况下,@donk_enby开始存档Parler的所有帖子并最终获取了约99%的内容。周日早些时候,@donk_enby在Twitter上发文称,她正在爬取110万个Parler视频url。“这些是上传到Parler的原始、未处理的原始文件以及所有相关的元数据,”她写道。@donk_enby确认原始视频文件包含GPS元数据,其提供了拍摄视频的确切位置,现在该数据容量已经超过了56TB。 @donk_enby随后分享了一个截图,其显示了特定视频的GPS位置以及经纬度坐标。 这对隐私的影响是显而易见的,但大量的数据也可能成为执法部门的肥沃狩猎场。据悉,美国联邦政府和地方政府最近几天已经逮捕了数十名被控参与国会大厦暴乱的嫌疑人。在国会大厦骚乱中,一位名叫Brian Sicknick的警官头部因被灭火器击中而身受致命伤。 @donk_enby称自己是黑客,用欧洲最大的黑客协会Chaos Computer Club的定义来解释,她是一个对技术有创造性但又持怀疑态度的人。“我希望这是对那些说黑客行为不应该带有政治色彩的人的一大竖中指。”@donk_enby说道。实际上,@donk_enby的工作确实帮助到其他研究人员,包括纽约大学网络安全中心的一名研究人员。 @donk_enby的工作记录被储存在ArchiveTeam.org网站上,据其介绍,说这些数据最终将由互联网档案馆托管。 @donk_enby告诉Gizmodo,在Parler否认了黑客活动人士Kirtner发现的邮件泄露事件后,她开始调这家公司。Kirtner被认为是黑客组织“匿名者(Anonymous)”的创始人。@donk_enby表示,她当时能独立找到同样的材料。 目前看起来Parler不太可能迅速反弹–如果有可能反弹的话。正像Duckbill Group的Corey Quinn最近在Twitter上解释的那样,从AWS上迁移一个大型产品可能需要几个月的准备时间,并且执行起来可能需要几年时间。Quinn指出,整合AWS大量服务的应用无法轻松地转移到另一个不同的托管平台。       (消息及封面来源:cnBeta)

Ubiquiti 客户数据可能遭非法访问

据外媒报道,Ubiquiti是最大的网络设备销售商之一,其销售产品包括路由器、网络摄像头和网状网络。近日,这家公司提醒客户注意数据泄露问题。这家科技公司在周一发给客户的一封简短电子邮件中表示,它意识到第三方云供应商托管的系统遭到了未经授权的访问。 Ubiquiti没有透露这家云计算公司的名字也没有说明何时发生了泄露和导致这次安全事件发生的原因。但这家公司证实,它不能确定客户数据没有被泄露。 邮件中写道:“这些数据可能包括您的姓名、电子邮件地址和单向加密密码。如果您向我们提供了您的地址和电话号码,这些数据也可能包括您的地址和电话号码。” 虽然邮件说密码被打乱了,但该公司表示,用户还是应该更新自己的密码并启用双重身份验证,这样黑客就更难获取密码并利用它们入侵账号。 据悉,Ubiquiti账号用户可以通过web远程访问和管理自己的路由器和设备。 这家网络公司在发出这封邮件后很快在其社区页面上发帖确认客户收到的邮件是真实的,而在此前有几位客户抱怨这封邮件中出现了一些拼写错误。       (消息来源:cnBeta;封面源自网络)

卡内基梅隆大学提出了更好的强密码设置建议

尽管经常上网的人们已经熟知各个线上服务对于密码强度的规则要求,但卡内基梅隆大学(CMU)的 CyLab 安全隐私实验室主任 Lorrie Cranor 认为,网站和用户其实都可以做到更好。据悉,为了增强被黑客攻破的难度,许多情况下,线上服务都会要求用户输入至少 8 个(或 10~12 个)字符的密码,并混用大小写字母、数字、以及特殊符号。 举个例子,如果要求在密码中混入数字,很多人可能旨在末位加个“1”。如果要求标点的话,可能只会多个感叹号“!”。如果需要大写的话,那可能首字母就是个大写。 然而 CMU 研究人员指出,这并不能让你的密码变得“更强”。为此,该研究团队提出了一套新方案 —— 在输入了最低字符数后,安全检查仪表板可给出更科学的建议。 通过持续数年的研究,这些技巧可让密码强度计和其它评估系统更好地工作(通常用颜色来区分密码强弱),比如使用斜杠或随机字母来分隔常用单词,以便用户跳过常见的密码设置陷阱。 在一项实验中,用户被要求创建至少包含 10 个字符的密码,然后研究人员借助密码强度计对其展开评估。 结果表明,尽管许多人在设置密码时符合了安全检查的所有要求,但还是很容易被猜破,因为大多数人都遵循着相同的思维模式。 在 11 月的 ACM 计算机和通信安全会议上,Lorrie Cranor 与研究合著者 Joshua Tan、Lujo Bauer、Nicolas Christin 介绍了他们的最新发现,并希望有关方面能够采纳他们的建议。 不过就算最佳的线上服务密码设置方案,可能还不如用一款靠谱的密码管理器,来创建和记住分别针对每一个网站的随机、超长、高强度密码来得管用。         (消息来源:cnBeta;封面来自网络)

支付处理公司 Juspay 发生数据泄漏 : 1 亿用户信息在暗网出售

援引外媒 ZDNet 报道,印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售。Juspay 主要为亚马逊、Swiggy、MakeMyTrip 等公司处理支付业务。 本次泄漏的数据是以数据转储(data dump)的形式,从一个被入侵的 Juspay 服务器中泄漏的。Juspay 已经在其官方博客中确认了此次数据泄露事件,并概述了此次泄露事件的细节。 在官方博客中写道:“我们很痛心地通知您,2020 年 8 月 18 日确实发生了一起数据泄露事件。我们部分用户的非敏感掩码卡信息、手机号码和电子邮件 ID 被泄露”。 网络安全研究人员 Rajshekhar Rajaharia 发现了数据泄露。他发现,数据转储可以在暗网上出售。Rajaharia 对 Business Insider 表示,如果黑客弄清楚用于散列卡号的加密算法,这次数据泄露可能会更严重。 按照 Juspay 的说法,泄露的信息包括非敏感的掩码卡信息、手机号和部分用户的邮箱ID。该公司表示,泄露的信息不包括完整的卡号、订单信息、卡的PIN码或密码。Rajaharia 指出,如果用于哈希卡号的算法被泄露,或者黑客自己弄清楚,可能会给用户带来重大风险。 除了上述风险外,Rajaharia还指出,诈骗者可能会利用这次数据泄露来欺骗持卡人。由于泄露的数据包括手机号码,他们可以打电话给毫无戒备的持卡人,骗取他们透露完整的卡号、PIN、CVV以及一次性密码。         (消息及封面来源:cnBeta)

T-Mobile 证实黑客非法访问了用户电话记录

据外媒报道,美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称,它最近发现一些客户的账号信息遭到了未经授权的访问,包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI),包括通话记录,如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示,黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码(或pin码)。 通知没有说明T-Mobile何时发现了漏洞,只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求,但他告诉一家新闻网站,此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年,T-Mobile表示多达200万用户的个人信息可能被窃取。一年后,该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前,T-Mobile承认其电子邮件系统遭到入侵,黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           (消息及封面来源:cnBeta)

Zyxel 超级管理员帐号曝光 超 10 万台设备受影响

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。 据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:“Advanced Threat Protection (ATP) 系列:主要用于防火墙 Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关 USG FLEX 系列:主要用于混合防火墙或者 VPN 网关 VPN 系列:主要用于 VPN 网关 NXC 系列:主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询,NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后,Eye Control 表示可以删除后门帐号–用户名为“zyfwp”,密码为“PrOw!aN_fXp”。 研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           (消息及封面来源:cnBeta)  

Nefilim 勒索软件幕后黑客泄漏了从 Whirlpool 窃取的数据

近日,美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击,黑客要求公司支付赎金,否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后,黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌,技术研究制造中心遍及全球,拥有77,000多名员工,其2019年的盈利为200亿美元。 周末,Nefilim勒索软件的幕后黑客发布了第一批数据,包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示:“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金,并且其网络安全防护非常脆弱,这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示,此次网络攻击活动发生在12月初。十月份,Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛,还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Twitter 因违反数据保护条例被欧盟罚款 55 万美元

据报道,爱尔兰数据保护委员会(DPC)今日对Twitter处以45万欧元(约合54.7万美元)的罚款,原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》(GDPR)的规定,及时公布并妥善记录一起数据泄露事件。 分析人士称,这一罚款决定备受关注,因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构,目前正在调查20多起案件,涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月,调查发现,Twitter违反了GDPR第33(1)条和第33(5)条之规定,没有及时向DPC通知违规行为,也没有充分记录违规行为。为此,DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布,正在对Twitter的数据泄露事件发起调查。在此之前,DPC接到Twitter的通知,称发生了数据泄露事件。 GDPR规定,大多数违反个人数据的行为,必须在管制员察觉到违规行为后72小时内,通知给有关监管机构。此外,该规定还要求服务提供商记录涉及哪些数据,以及他们是如何应对安全事件的,以便相关数据主管可以检查其合规性。 而对于本事件,Twitter同时违反了上述两条规定。根据GDPR规定,违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚,具体以数额更高者为准。 值得一提的是,受DPC调查的影响,Twitter也从中吸取了教训。今年7月,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定,也正值一个关键期,即欧盟稍晚些时候将推出两部新的法规,《数字服务法案》(Digital Services Act)和《数字市场法案》(Digital Markets Act),以急速区域数字化。 上周,法国数据保护机构“国家信息与自由委员会”(CNIL)曾宣布,对谷歌处以1亿欧元(约合1.21亿美元)的罚款,原因是其搜索引擎对Cookie的管理方式不当。此外,CNI还对亚马逊处以3500万欧元的罚款,原因是未经用户同意在他们的电脑上放置了Cookie。         (消息及封面来源:新浪科技)

研究称通用电气医疗成像设备中的硬编码密码或使患者数据面临风险

根据安全公司CyberMDX的新发现,通用电气公司制造的数十种医疗成像设备都有硬编码的默认密码,这些密码不容易改变,但可能被利用来访问敏感的病人扫描数据。研究人员表示,攻击者只需要在同一个网络上就可以利用易受攻击的设备,例如通过欺骗员工打开带有恶意软件的电子邮件。 CyberMDX表示,X射线机、CT和MRI扫描仪、超声和乳腺摄影设备都是受影响的设备。 通用电气使用硬编码密码远程维护设备。但CyberMDX的研究主管Elad Luz表示,一些客户并不知道他们的设备存在漏洞。Luz将这些密码描述为 “硬编码”,因为虽然这些密码可以更改,但客户必须依靠通用电气工程师现场更改密码。 这一漏洞也引起了国土安全局网络安全咨询部门CISA的警告。受影响设备的客户应联系通用电气更改密码。 通用电气医疗保健公司的发言人Hannah Huntly在一份声明中表示。“我们没有意识到这种潜在漏洞在临床情况下被利用的任何事件。我们已经进行了全面的风险评估,并得出结论,不存在患者安全问题。维护我们设备的安全、质量和安全性是我们的首要任务。” 这是这家位于纽约的医疗网络安全初创公司的最新发现。去年,这家初创公司还报告了通用电气其他设备的漏洞,该公司后来承认,在最初清除设备的使用后,可能会导致患者受伤。 CyberMDX主要致力于通过其网络情报平台保护医疗设备的安全,提高医院网络的安全性,同时进行安全研究。该公司在今年早些时候筹集了2000万美元资金。       (消息及封面来源:cnBeta)