标签: 数据泄露

信息泄露三年多:美人事管理局仍有1/3安全措施未能整改到位

根据美国政府问责办公室(GAO)向国会提交的最新报告,在 2015 年发生大规模的数据泄露事件后,美国人事管理局(OPM)仅落实了 80 项信息安全建议的 64% 。换言之,仍有 1/3 的信息安全措施缺位,导致 OPM 的网络仍易受到黑客攻击。GAO 表示:“总而言之,OPM 在实施改善其安全态势的建议方面取得了一定的进展,但仍需采取进一步的行动”。 在 2015 年 6 月份提交的报告中,OPM 透露有未经授权的第三方计算机访问了该机构的系统,导致约 420 万联邦雇员的个人信息泄露。 2015 年 7 月,OPM 又披露了第二波安全漏洞,其影响大约 2150 万人的背景调查相关文件和数据。 2015 年 2 月 ~ 8 月,在对 OPM 的部署的信息安全保护措施进行持续的审计之后,GAO 发布了四份不同的报告,其中详细列出了 80 项建议,以提升该机构的网络安全性。 遗憾的是,正如最新提交给国会的 2018 审计报告所述 —— 截止 2018 年 9 月 20 日,该机构已经执行了 80 项建议中的 51 项(约占 64%)。 尽管未能及时实施 GAO 给出的剩余 1/3 的安全改进,OPM 首席信息官办公室的官员还是表示:该机构已经制定了计划,以便在 2018 年底之前,完成剩余 29 项建议中的 25 项,并采取其它补救行动。 不过,尽管 OPM 在声明中表现出了良好的意愿,但 GAO 得出的结论是 —— 该机构未能提供任何充分的证据,以证明其余建议的实施情况。   稿源:cnBeta,封面源自网络;

戴尔披露 11 月初网络攻击事件:或有数据泄露 建议客户重置密码

针对 11 月 9 号遭遇的网络攻击事件,戴尔发布公告称:“我司检测并瓦解了一场针对 Dell.com 的网络攻击,未经授权的攻击者试图窃取我司的客户信息,但仅限于姓名、电子邮件地址、以及散列(哈希)后的密码”。尽管戴尔未发现任何服务器上的客户信息被渗透的证据,但不排除有数据泄露的可能。 尽管数据失窃的可能性很小,戴尔还是建议客户重置所有密码,以防止客户信息的进一步泄露 ——“所有客户请通过多步身份验证流程,以重新获得对账户的访问权限”。 在下次访问 dell.com 并尝试登陆账户时,系统会自动提示所有戴尔用户重置密码。Premier、Global Portal 和 support.dell.com(Esupport)等在线服务亦受到影响。 最后,该公司在第三方数字取证公司的帮助下展开了调查、并与执法机构取得联系,以便了解网络安全事件的更多细节。   稿源:cnBeta,封面源自网络;

300 万用户数据泄露 Uber 被英国和荷兰罚款 117 万美元

新浪科技讯 北京时间11月28日上午消息,据美媒CNBC报道,因2016年的数据泄露事件,周二英国和荷兰当局分别对Uber处以罚款,罚款总金额达117万美元。 2016年10月和11月,Uber遭到网络攻击致使用户数据泄露,泄露的信息包括用户完整姓名、电子邮箱地址和电话号码。据有关当局称,英国有270万Uber用户受到影响;而在荷兰,17.4万用户受影响。 对此,英国信息专员办公室(ICO)宣布对Uber处以38.5万英镑(约49.1万美元),理由是公司“未能在网络攻击期间保护消费者个人信息”。荷兰数据保护局也针对该次数据泄露事故对公司处以60万欧元(约67.9万美元)罚款。 隐瞒事故近一年后,Uber于2017年11月份承认,黑客窃取了全球5700万用户和司机的个人信息。并且,为了删除数据和隐瞒数据泄露事故,Uber还向黑客支付了10万美元。 由于网络攻击发生于2016年,该次数据泄露事件不受今年5月份生效的欧盟“通用数据保护条例”的管辖。 今年9月份,Uber同意向美国各州和华盛顿特区支付1.48亿美元以解决与2016年数据泄露有关的诉讼。 周二发布的声明中,一名Uber发言人表示公司“愿意合作以彻底解决2016年数据泄露事故”。 声明中写道:“数据泄露发生后,并这些年来,我们已经采取了一系列技术改进以提升我们系统的安全性。我们的领导层也发生了重大变化以确保未来与监管机构和消费者保持适当的透明度。”   稿源:新浪科技,封面源自网络;

Firefox 新增预警功能,自动提醒用户网站有过数据泄露

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能,在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题,并建议他们检查自己的电子邮件,看看是否有遭到泄露。 当出现警报时,用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点,或单击 Dismiss 按钮关闭警报,也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法,该预警功能并非侵入性的,每个站点最多只出现一次,而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它,只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对,在发现问题时及时提醒用户。   稿源:开源中国,封面源自网络;

参议员提出的隐私法草案可能会让科技公司的 CEO 因数据泄露而入狱

在Equifax发生大规模破坏之后一年,数百万人感到沮丧,因为此后没有任何改变。全国范围内都有集体诉讼,这通常是对数据泄露事件的回应,律师今年也起诉Facebook和Uber,但立法者仍然认为这些公司无需对错误处理数百万人的数据负责。 来自俄勒冈州的民主党参议员罗恩·怀登希望通过“消费者数据保护法”改变这一点。这位立法者在参议院一直处于网络安全和隐私问题的最前沿,于周四提出了一项数据隐私法案草案,对违反用户隐私权的公司准备进行更严厉的处罚。 该法案仅适用于市值超过5000万美元且拥有超过100万人以上个人信息的公司。该草案建议提高联邦贸易委员会执行反隐私侵权的能力,并且要求公司提交年度数据保护报告,类似于Google和Apple等公司自愿发布的透明度报告。该报告需要由首席执行官签署,如果他们向联邦贸易委员会撒谎,他们可能面临长达20年的监禁。 Wyden的法案草案还引入了一个全国性的“Do No Track”,该网站将为美国人创建一个中心页面,让他们选择退出互联网上的数据共享。目前,如果您想退出数据跟踪,则必须在您注册的每个网站的设置中执行此操作。在某些情况下,选择退出的唯一方法是不使用网站。 去年,国会山正在推动联邦数据隐私法,以应对像Facebook在Cambridge Analytica的问题上遇到的隐私问题。另外,苹果首席执行官蒂姆库克呼吁制定联邦数据隐私法,认为隐私是一项“基本人权”。谷歌,Facebook和亚马逊也表示他们支持联邦数据隐私法,尽管科技公司想要什么和隐私倡导者想要什么有很大的不同。   稿源:cnBeta,封面源自网络;

国泰航空 940 万名乘客个人数据在 3 月被盗 包含出行地点数据

据外媒报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。 另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。 这家航空公司在周三发布的声明中指出,公司目前没有任何证据显示任何一名乘客的信息遭到滥用,而受影响的IT系统则完全跟其飞行操作系统独立开来,所以该次网络攻击事件对其飞行安全不会带来影响。此外,国泰航空表示,没有密码遭到泄露。 国泰航空总部位于中国香港,但它的服务遍布全球包括北美、欧洲、中国内地、中国台湾地区、日本、东南亚和中东。 这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。 此外,国泰航空表示,他们现在正在与中国香港警方以及相关部门沟通。而认为自己可能受到影响的客户可以访问infosecurity.cathaypacific.com 或直接拨打公司电话或发电子邮件来获取进一步的信息。   稿源:cnBeta,封面源自网络;

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

2018 上半年有 45 亿账号被盗 平均每分钟 4822 个

根据Gemalto公布的最新报告[PDF],2018上半年用户账户信息被盗数量达到惊人的4,553,172,708,同比增长133%。虽然被盗用户数量比去年由明显增长,但是被盗事件仅有945起,而去年为1162起。Gemalto报告称自2013年以来累积账号被盗数量为14,644,949,623,平均下来每天为6,947,320,而其中只有4%的账号是进行过加密的。 如果按照行业来划分,那么账号被盗的重灾区就是社交媒体,在所有被盗记录中的占比达到了56.11%,其次是政府,占比达到26.62%。此外56.08%的数据泄露是外部攻击者通过漏洞或者恶意软件等方式窃取的,记录的被窃记录达到36亿条,增长了1000%。 意外丢失和内部人士恶意窃取占比分别为33.65%和6.46%,事故发生率下降至9亿,下降了47%。Gemalto将泄露事件类型分为身份盗窃,账户凭证,金融凭证,骚扰和Existential Data,其中身份盗窃占比高达64.55%,其次是账号凭证(17.47%)和金融凭证(13.02%)。   稿源:cnBeta,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;