标签: 数据泄露

佛罗里达州一家广告公司泄露了美国退伍军人战争伤害的数据

据外媒ZDNet报道,一家总部位于佛罗里达州的广告代理商的一个数据库在网上被泄露。该数据库包括了过去广告活动的详细信息,包括有关医疗事故案件的信息,以及美国退伍军人战争伤害的敏感细节。 该数据库由vpnMentor的安全研究人员发现,属于X Social Media,这是一家为法律行业开展Facebook和Instagram广告活动的广告公司。该公司的主要兴趣和重点之一是针对医疗事故诉讼和与伤害相关的集体诉讼进行广告宣传。 这些广告活动的目的是收集可能的各方兴趣,用户被重定向到专门的网站,在那里他们填写表格,看看他们是否有资格获得特定案件和可能的法律援助。 vpnMentor研究人员指出,X Social Media收集此信息的数据库在没有密码的情况下在互联网上公开,允许任何人访问和下载其内容。 研究人员表示,该数据库包含了填写表格的用户的150,000多条回复。这些表格中包含的数据通常包括全名、电子邮件地址、家庭住址、电话号码以及与其案件相关的详细信息 – 主要针对医疗损伤。 vpnMentor在本周发表的一份报告中指出: “数据库中描述的伤害包括美国退伍军人遭受的伤害,医疗设备,药物使用,药物副作用和婴儿产品缺陷造成的伤害。”有关战争伤害的详细信息不仅包括伤害发生的日期和地点等信息,还包括该人在此后遭受的详细医疗信息和精神创伤等。 除了有关各种伤害和法律案件的高度敏感信息之外,X Social Media的数据库还包含有关公司所有客户,广告活动指标,甚至公司所有发票的信息。 如果黑客找到了数据库并窃取了其内容,那么该数据将成为该公司竞争对手手中的“一张王牌”,他们可能会利用它来破坏X Social Media的业务,或者仅仅破坏其声誉。 vpnMentor研究人员说道:“未来律师事务所可能不太愿意与经历过这种大规模数据泄露事件的公司合作。” 目前尚不清楚是否有任何未经授权的人访问或下载这些数据,因为X Social Media没有回复评论请求,也没有向vpnMentor透露此详细信息。 在vpnMentor研究人员通知该公司后,这家广告代理商于6月11日关闭了对其数据库的访问权限。   (稿源:cnBeta,封面源自网络。)

CBP 分包商出现重大数据泄露事件 至少 5 万名美国车牌信息在暗网出售

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是,CBP向CNN透露从未向该公司授权保留这些车主信息。 CBP机构发言人表示:“CBP并未授权承包商在非CBP系统上保留和持有车牌数据。”这项承认引发了一系列质疑,包括美国政府机构在雇佣承包商来监视公民的时候责任主体是谁?美国公民自由联盟的高级立法律师Neema Singh Guliani表示:“CBP不断以隐私和公民自由的角度来收集更多信息,而且从安全的角度来看,他们已经证明了这些承包商没有能力可以保护好这些信息。” CNN对分包商Perceptics泄露的数据进行了分析,这些数据目前已经在暗网上进行出售。它显示了至少5万个独特的美国车牌号码记录。在特定情况下,CBP承包商有权访问美国人的车牌图像以调整他们的系统,例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。 “这些数据确实必须删除,”CBP发言人表示,尽管该机构没有澄清适用于Perceptics的政策细节。   (稿源:cnBeta,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

超 4900 万条 Instagram 名人账户数据在线曝光

据TechCrunch网站报道,Instagram的一个大型数据库由于在AWS存储桶上没有受到保护,导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现,并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ,且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据,如个人经历,资料图片,粉丝数量,地理位置,私人联系方式,电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是,TechCrucnh网站联系的两个人证实了数据的真实性,却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道:“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司,但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件: “我们正在调查这个问题,以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司,以查明其数据来源和公开方式。” 2017年,Instagram的一个漏洞允许黑客访问高级用户的信息,包括电话号码和600万名明星的电子邮件地址。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯政府网站被曝泄露 225 万用户社保和护照等信息

多家俄罗斯政府网站泄露了超过225万公民、公务员和高层政治家的私人和护照信息。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin最先发现并公开了本次严重的数据泄露事件。由三篇博文组成的系列报道中,Begtin表示他对政府在线认证中心、50家政府门户网站以及政府机构使用的电子投标平台进行了调查。 调查结果发现有23家网站泄露个人保险信息(SNILS,相当于社保卡号码),14家网站泄露护照信息。Begtin表示通过这些网站总共有超过225万条俄罗斯公民的信息数据,而且任何人都可以进行下载。从这些网站泄露的数据包括全名、职称、工作地点、电子邮件和税号。 虽然一些网站泄漏的数据难以识别并且需要Begtin从数字签名文件中提取元数据,但可以使用谷歌搜索政府网站上的开放网络目录找到一些数据。在今天的Facebook帖子中,研究人员说八个月前他联系了负责数据隐私的俄罗斯政府机构Roskomnadzor。 在接受外媒ZDNet采访的时候,Begtin表示多次通知俄罗斯政府监管机构,但是该机构并没有采取措施来增强这些网站的安全防护,目前依然可以访问这些数据。在去年4月希望通过博文方式吸引公众和监管机构注意之后,今天Begtin通过俄罗斯新闻网站RBC公布了他的发现,而且该网站发布了一篇详细的深入报道。   (稿源:cnBeta,封面源自网络。)

Twitter 公开会将用户位置数据共享出去的漏洞

据外媒报道,当地时间周一下午,Twitter披露了一个漏洞,即在某些情况下,一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示,该漏洞只影响了Twitter iOS用户群的一部分,另外他们都已经得到了存在这一问题的通知。 据了解,受影响用户在iOS上拥有多个Twitter账号,并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示,它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集,即使这些账户没有选择共享位置数据。 然后,这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴,这意味着他们得到了未经授权的位置数据。Twitter指出,这些都不是精确的位置数据,因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址,也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户,Twitter向受到影响用户保证,接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示,合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的,也不清楚持续了多长时间,此外,Twitter也没有指明拥有这些数据的合作伙伴的名字,也没有解释这样一个漏洞是如何产生的,而只是表示,未能删除这些位置数据。   (稿源:cnBeta,封面源自网络。)

黑客正在收集 4600 个网站上的支付细节及用户密码

据外媒报道,黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了他们的JavaScript文件,以便在超过4,600个网站上嵌入恶意代码。 Picreel是一种分析服务,允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户,即网站所有者,在他们的网站上嵌入了一段JavaScript代码,以便运行Picreel服务。正是这个脚本被黑客入侵,并添加了恶意代码。 Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发,并于八年前开放了源代码。Cloud CMS仍然为Alpaca Forms提供免费的CDN(内容分发网络)服务。但黑客似乎已经攻破了由Cloud CMS管理的CDN,并修改了Alpaca Forms中的一个脚本。 恶意代码会记录表单字段中输入的所有数据 目前,尚不清楚黑客是如何破坏Picreel或Alpaca Forms中的CDN。恶意代码记录所有用户在表单字段中输入的内容,并将信息发送到位于巴拿马的服务器。这些信息包括用户在结帐或付款页面,联系表单和登录部分输入的数据。已在1,249个网站上发现嵌入Picreel脚本中的恶意代码,而在Alpaca Forms中的恶意代码已在3,435个域名中被发现。Cloud CMS已经介入并取消了服务于受影响的Alpaca Forms脚本的CDN。该公司正在调查这一事件,并阐明公司、客户及产品都没有安全漏洞或安全问题。然而,没有证据证明这一点,除非Cloud CMS的客户仍在他们的网站中使用Alpaca Forms的脚本。 供应链攻击对网站的威胁越来越大 在过去的两年里,类似的攻击相当普遍。实行供应链攻击的黑客组织已经意识到,破坏那些高级一点的网站并不像听起来那么简单,因此他们开始瞄准那些为网站提供“二级代码”的小企业。他们以聊天小部件、实时支持小部件、分析公司等供应商为目标。 今天的攻击有所不同,其通用性十分广泛。不管其目的如何,它针对的都是网站上的每个表单字段。   消息来源:ZDnet, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 起诉韩国数据分析公司 欲重塑公司隐私形象

北京时间5月13日上午消息,据外媒Gizmodo报道,在韩国数据分析公司Rankwave未能提供证据证明其遵守Facebook的数据政策之后,Facebook已对该公司提起诉讼,指控Rankwave违反合同约定。 Facebook于上周五在圣马刁县的加州高级法院提起该诉讼,指控Rankwave使用Facebook数据营销和销售自己的服务,特别是为诸多消费者和企业所使用以跟踪Facebook互动数据(如点赞和评论等)的工具。Rankwave平台上目前至少运营着30个应用。 Facebook在诉讼文件中提到,去年6月份,公司曾对Rankwave发起过调查。彼时,这家公司刚被另一家韩国娱乐公司收购。显然,那次调查也包括检查Rankwave的行为“是否影响任何用户数据”。公司指控,Rankwave未能提供证据,证明其一直有遵守Facebook的服务条款,也未履行其在2月份收到的停止和终止请求。由于公司未能遵守Facebook的规定,Rankwave“损害了Facebook的声誉、公众信任和商誉,致使Facebook不得不花费资源调查及纠正Rankwave的错误行为”。 根据诉讼文件,Rankwave否认自己违反Facebook的条款,但也未提供充分证据,向Facebook证明自己并未违反任何条款。诉讼要求Rankwave遵守审计要求及合规证明,同时要求该公司删除其所拥有的一切Facebook数据。 在谈及该诉讼的一篇博客文章中,Facebook的平台执法和诉讼总监杰西卡·罗梅罗(Jessica Romero)写道,公司目前以暂停了Rankwave的所有应用和账户。“通过这起诉讼,我们希望应用开发者明白,Facebook会严格执行平台政策,包括要求开发者配合我们的调查,”罗梅罗说。 有一种观点认为,诉讼中提到了公司声誉和公众信任,至少有一部分其实是毁于Facebook自己之手。但是,毫无疑问,Facebook正借一切机会,不遗余力地重塑自己的隐私保护形象。(木尔)   (稿源:新浪科技,封面源自网络。)

加拿大 Freedom Mobile 移动运营商数据泄露:影响超过 1.5 万客户

据外媒报道,加拿大Freedom Mobile移动运营商泄露了其许多客户的详细信息,包括他们的银行卡数据。 Freedom Mobile是加拿大第四大移动网络运营商。其未受保护的数据库至少储存了150万个用户的500万条记录。泄露的记录包括电子邮件地址,电话号码,家庭住址,出生日期,与付款方式相关的IP地址,信用评分(来自Equifax和其他公司),带有CVV代码的未加密支付卡数据,位置和其他客户服务记录,以及账户详细资料。根据加拿大环球邮报报道,这次数据泄露是由第三方公司Apptium Technologies引起的。 根据国外博客vpnMentor报道,Freedom Mobile的数据库完全处于未加密状态。账号,订阅日期,结算周期日期和包括位置在内的客户服务记录也可以访问。而Freedom Mobile试图淡化这一事件,称未保护数据库中存储的总记录仅与1.5万位客户有关。 Freedom Mobile向加拿大隐私专员办公室(OPC)报告了这一事件。   消息来源:Securityaffaris, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

赛门铁克:三分之二的酒店网站泄露客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄露客人个人数据的问题。 Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。 虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。 Wueest测试过的网站从乡村的二星级酒店到海滩上的豪华五星级度假村酒店网站。一些预订系统值得称赞,因为它们只显示了数值和停留日期,并没有透露任何个人信息。但大多数网站泄露了个人数据,例如: 全名 电子邮件地址 邮寄地址 手机号码 信用卡、卡类型和到期日的最后四位数字 护照号 是什么导致这些泄漏? Wueest测试的网站中有超过一半(57%)向客户发送确认电子邮件,并提供直接访问其预订的链接。这是为了方便客户而提供的,只需点击链接即可直接进入预订,无需登录。 由于电子邮件需要静态链接,因此HTTP POST Web请求实际上不是一个选项,这意味着预订参考代码和电子邮件将作为URL本身的参数传递。就其本身而言,这不是问题。但是,许多网站直接在同一网站上加载其他内容,例如广告。这意味着直接访问可以直接与其他资源共享,也可以通过HTTP请求中的referrer字段间接共享。Wueest的测试表明,每次预订平均生成176个请求,但并非所有这些请求都包含预订详细信息。该数字表示可以非常广泛地共享预订数据。 为了演示,Wueest假设确认电子邮件包含以下格式的链接,该链接会自动让Wueest登录到他的预订概述中: HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld 加载的页面(在此示例中为retrieve.php网站)可以调用许多远程资源。为这些外部对象发出的一些Web请求将直接将完整URL(包括凭据)作为URL参数发送。 以下是分析请求的示例,其中包含完整的原始URL,包括作为参数的参数: https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt =你的%20booking&sr = 1920×1080&vp = 1061×969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid = 1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139 如上所述,相同的数据也在referrer字段中,在大多数情况下将由浏览器发送。这导致参考代码与30多个不同的服务提供商共享,包括众所周知的社交网络,搜索引擎以及广告和分析服务。此信息可能允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。 还有其他情况,预订数据也可能被泄露。有些网站会在预订过程中传递信息,而其他网站会在客户手动登录网站时泄露信息。其他人生成一个访问令牌,然后在URL而不是凭据中传递,这也不是好习惯。 在大多数情况下,Wueest发现即使预订被取消,预订数据仍然可见,从而为攻击者提供了窃取个人信息的机会。 酒店比较网站和预订引擎似乎更安全。从Wueest测试的五个服务中,两个泄露了凭据,一个发送了登录链接而没有加密。应该注意的是,Wueest发现了一些配置良好的网站,它们首先需要Digest认证,然后在设置cookie后重定向,确保数据不会泄露。 未加密的链接 可以认为,由于数据仅与网站信任的第三方提供商共享,因此该问题的隐私风险较低。然而,令人遗憾的是,Wueest发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。因此,潜在的攻击者可以拦截点击电子邮件中的HTTP链接的客户的凭证,例如,查看或修改他或她的预订。这可能发生在公共热点,如机场或酒店,除非用户使用VPN软件保护连接。Wueest还观察到一个预订系统在连接被重定向到HTTPS之前,在预订过程中将数据泄露给服务器。 不幸的是,这种做法并不是酒店业独有的。通过URL参数或在referrer字段中无意中共享敏感信息在网站中很普遍。在过去的几年里,Wueest看到过多家航空公司、度假景点和其他网站的类似问题。其他研究人员在2019年2月报告了类似的问题,其中未加密的链接被用于多个航空公司服务提供商。 更多问题 Wueest还发现,多个网站允许强制执行预订参考以及枚举攻击。在许多情况下,预订参考代码只是从一个预订增加到下一个预订。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜出该客户的预订参考号并登录。强行预订号码是旅游行业的一个普遍问题,Wueest之前曾在博客中发表过这样的信息。 这样的攻击可能无法很好地扩展,但是当攻击者考虑到特定目标或目标位置已知时,它确实可以正常工作,例如会议酒店。对于某些网站,后端甚至不需要客户的电子邮件或姓名 – 所需要的只是有效的预订参考代码。Wueest发现了这些编码错误的多个例子,这使Wueest不仅可以访问大型连锁酒店的所有有效预订,还可以查看国际航空公司的每张有效机票。 一个预订引擎非常智能,可以为访客创建一个随机的PIN码,以便与预订参考号一起使用。不幸的是,登录没有绑定到访问的实际预订。因此,攻击者只需使用自己的有效凭据登录并仍可访问任何预订。Wueest没有看到任何证据表明后端有任何速率限制可以减缓此类攻击。 有什么风险? 许多人通过在社交媒体网络上发布照片来定期分享他们的旅行细节。这些人可能不太关心他们的隐私,实际上可能希望他们的关注者知道他们的行踪,但Wuees相当肯定如果他们到达他们的酒店并发现他们的预订已被取消后,他们会更加注意。攻击者可能会因为娱乐或个人报复而决定取消预订,但也可能损害酒店的声誉,作为勒索计划的一部分或作为竞争对手的破坏行为。 酒店业也存在相当多的数据泄露,以及数据配置不当的云数据的数据泄露。然后,这些信息可以在暗网上出售或用于进行身份欺诈。收集的数据集越完整,它就越有价值。 诈骗者还可以使用以这种方式收集的数据来发送令人信服的个性化垃圾邮件或执行其他社交工程攻击。提供个人信息可以提高勒索邮件的可信度,就像那些声称你被黑客攻击的邮件一样。 此外,有针对性的攻击团体也可能对商业专业人士和政府雇员的行程感兴趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT团伙。这些群体对这一领域感兴趣的原因有很多,包括一般监视目的,跟踪目标的动作、识别随行人员,或者找出某人在特定地点停留多久。它还可以允许物理访问目标的位置。 解决问题 根据GDPR,欧盟个人的个人数据必须根据这些问题得到更好的保护。然而,受影响酒店对Wueest的调查结果的回应令人失望。 Wueest联系了受影响酒店的数据隐私官(DPO)并告知他们相关调查结果。令人惊讶的是,25%的DPO在六周内没有回复。一封电子邮件被退回,因为隐私政策中的电子邮件地址不再有效。在做出回应的人中,他们平均花了10天回应。做出回应的人主要确认收到他的询问,并承诺调查该问题并实施任何必要的变更。一些人认为,根本不是个人数据,而且必须与隐私政策中所述的广告公司共享数据。一些人承认他们仍在更新他们的系统以完全符合GDPR标准。其他使用外部服务进行预订系统的酒店开始担心服务提供商毕竟不符合GDPR标准。 预订站点应使用加密链接并确保没有凭据作为URL参数泄露。客户可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据传递。他们还可以使用VPN服务来最大限度地减少他们在公共热点上的曝光率。不幸的是,对于普通的酒店客人来说,发现这样的泄漏可能不是一件容易的事,如果他们想要预订特定的酒店,他们可能没有多少选择。 尽管GDPR大约一年前在欧洲生效,但这个问题存在的事实表明,GDPR的实施还没有完全解决组织如何应对数据泄漏问题。到目前为止,已经报告了超过20万起GDPR投诉和数据泄露案件,用户的个人数据仍然存在风险。       (稿源:cnBeta,封面源自网络。)