标签: 数据泄露

挪威医疗卫生机构计算机系统遭到入侵,超过 290 万居民信息或将泄露

据外媒报道,位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵,可能会影响到约 290 万人(占挪威人口的 56% )的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴,并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露,他们检测到来自 Health South-East RHF 的异常流量,从而发现了入侵行为。研究人员认为在地下网络犯罪中,医疗数据是一种有价值的商品,恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为,Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的,因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉,Health South-East RHF 为全国约 290 万人提供医疗服务,超出挪威全体居民数目的一半。因此,若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

一加承认多达 4 万名客户受到信用卡安全漏洞的影响

OnePlus 宣布,最近有 4 万名客户受到安全漏洞的影响,导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前,第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道,但 OnePlus 表示,自 11 月中旬以来,盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息,包括卡号,到期日期和安全代码。该公司表示,已经确定了攻击发生的地点,并已经找到攻击者的入口点,但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的,或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中,OnePlus 表示脚本“间歇性”运行,受感染的服务器已经与系统的其他部分隔离。它还表示,通过已经保存信息的信用卡支付的客户,通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示,遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手,并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用,直到调查完成,同时客户可以通过 PayPal 购买物品。 OnePlus 表示,它正在努力实施更安全的信用卡付款方式。 上周,OnePlus首席执行官刘佩特告诉 CNET,它正在探索与美国运营商的合作关系,但一位发言人证实,这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源:cnBeta,封面源自网络

在泄露数百万用户数据后,玩具制造商伟易达被 FTC 处以 65 万美元罚款

据外媒报道,2015 年智能玩具制造商伟易达( VTech )的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具,并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月,伟易达承认在一次数据泄露事件中,数百万用户数据遭黑客窃取。一名安全研究人员表示,其网站本身不但不安全,而且数据在传输时都没有加密,这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法,而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计,但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到: 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外,截至 2015 年 11 月,美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外,加拿大隐私专员办公室办公室( OPC )写道,“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果,即伟易达曾以多种方式违反了美国的法律,未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源:cnBeta,封面源自网络;

July Systems 公司 “Proximity MX” 平台因 AWS S3 存储器配置不当致敏感数据泄露

据外媒报道,总部位于旧金山的 July Systems 公司在网上暴露了大量敏感数据,该公司基于云智能定位和参与平台 “ Proximity MX ” 通过不安全的 Amazon S3 数据库公开了公司及其客户的专有信息。相关安全人员表示,极有可能是因为人为因素而造成了此次暴露事件。 相关人士透露,July Systems 的 Proximity MX 平台连接个人的数字足迹 – 特别是跟踪消费者的消费行为。该平台允许公司的客户与消费者进行相关的优惠和促销,并将数据记录到系统中”。据悉,该平台使用者还包括 CNN,ESPN,Intel,Toys “ R ” Us,CBS,Fox 和 NBC Universal 等全球知名媒体公司。 经过调查,在过去的一年中,配置不当的 S3 存储器造成的多次大规模泄漏事件已经暴露了来自各个组织的大量数据。最近, 美国陆军和国家安全局的数据也被暴露。而此次 July Systems 泄露的数据包括 iPhone 和 Android 应用程序的安全凭证,存储库凭据(可能允许任何人访问敏感的客户端数据或跟踪数据),内部构建和各种客户端的开发工具(比如 NFL, CBS,Amex,NBA,FOX,PGA 等)。此外,还暴露了诸如 “ Katy Perry,NFL , NBA ” 等品牌的档案信息和印度 Unilever 管理者的 1000 个用户名和密码。 11月 20 日,Kromtech 安全研究员 Bob Diachenko 发现了 3 个泄露的 S3 存储器 (两个与 July Systems 相关的存储器,另一个则与 Cisco 相关 ),并且发现数据库一直在实时更新。Diachenko 解释说,这三个存储器都是一个名为 EMSP 的生态系统的一部分,它可以利用 WiFi 网络获得有价值的客户信息、提供个性化的移动体验,而 JulySystems 与 CISCO 主要在合作推动 EMSP。 Diachenko 表示,此次暴露事件很可能是人为造成的 。因为 July Systems 有几台 S3 服务器没有密码并且可以公开访问。但目前不清楚是否有其他第三方访问了这些数据库,也不清楚该公司的 S3 存储器在被发现之前还要暴露多久。July Systems 在被告知数据暴露的两天内就已锁定涉事 S3 存储器,但与 Cisco 相关的服务器在获得安全保护之前仍然暴露了一个星期,然而现在真正的考验是,网络犯罪分子可能利用暴露的密码来访问数据基础设施的安全区域。 据悉,英国 IBTimes 已与 July Systems 取得联系以进一步明确此事,并正在等待回应。 消息来源:IBTimes,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球航运公司 Clarksons 拒付黑客赎金,内部机密数据或被泄露

HackerNews.cc 30 日消息,全球航运公司 Clarksons 发表声明称,公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件,并且对受影响的客户和个人深表歉意。 直至本文截稿前,被盗数据的数量和确切细节尚未被公布,Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示,黑客组织访问公司内部系统可能没有利用软件漏洞这种途径,而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用,并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据,但是作为一个负责任的全球性企业,公司选择与警方和安全专家合作处理这个事件,并与有关监管机构进行了联系。由于所涉及的是内部保密数据,所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示,目前事件正在调查,其余细节则不予透露。 消息来源:ZDNet、ESET,译者:榆榆,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌被诉出售逾 500 万 iPhone 用户信息,或赔偿 27 亿英磅

据 11 月 30 日报道,在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后,谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置,收集用户的浏览历史数据。这一诉讼的目的,是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称,谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德(Richard Lloyd)表示,谷歌的行为“严重失信”于 iPhone  用户,这是“我经历过的最大案件”之一。 洛伊德说,“ 通过这一诉讼,我们将向谷歌和其他硅谷科技巨头发出一个强烈信号,如果我们的法律遭到践踏,我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为,单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC(英国广播公司)的声明中称,“这不是我们遭遇的第一起类似诉讼,以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义,我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中,谷歌以 2250 万美元“破财消灾”。 稿源:cnBeta,封面源自网络;

牛津剑桥俱乐部备份硬盘被盗,涉英国皇室等 5000 名会员数据泄露

据外媒近日报道,11 月 16 日位于伦敦市中心最独特的俱乐部之一的牛津剑桥俱乐部总部发生计算机设备失窃案,包含 5000 多名会员个人详细信息的备用硬盘被盗或导致重大数据泄露,其中包括会员姓名,家庭和电子邮件地址,电话号码,出生日期,照片和一些银行账户详细信息。此外数据库中还包括有大约 100 名工作人员个人信息。 据报道,由于信用卡和借记卡信息没有存储在硬盘上,而且磁盘上的数据受到多层安全措施保护,他人获得用户敏感信息的机会较为渺小。调查显示,菲利普亲王和查尔斯王子都是荣誉俱乐部成员之一,所幸并没有受到盗窃行为的影响。 该俱乐部已经联系了警方,并聘请私人调查人员调查盗窃和违规行为。警方也正在检查俱乐部监控记录,筛查俱乐部人员的进出情况。目前俱乐部已经写信给其 5000 多名会员,提醒他们注意监控各自银行帐户、警惕可能发生的钓鱼欺诈事件。 消息来源:IBT,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国国会就数据被盗事件向 Uber 施压

据外媒 11 月 28 日早间消息,在打车服务 Uber 披露信息称归属于司机和用户的 5700 万个账号被盗之后,美国国会的一些参议人员已将矛头对准了这家公司,但 Uber 仍着眼于 IPO(首次公开招股)上市,因此来自国会的这种压力则代表着一个最新的监管难题。 民主党参议员麦克·沃纳(Mark Warner)致信该公司 CEO 称:“ Uber 的行为引发了有关公司是否遵守了州政府和联邦政府相关法规的严重疑问”。沃纳最近以来一直都是主要的科技业批评人士之一,尤其是针对所谓的 “通俄门” 事件。 参议院共和党第三号人物、商业委员会(Commerce Committee)主席约翰·图恩(John Thune)和其他三名参议员则在另一封信函中表示,上述数据被盗事件是个“值得进一步调查的严重事件”,并指出 Uber 向黑客付钱之举尤其 “令人不满”。这封信的联合署名人还包括参议院金融委员会共和党领袖奥林·哈奇(Orrin Hatch)等。这两封信函均要求 Uber 作出回应。 稿源:新浪科技,封面源自网络;

美英等多国就 Uber 数据泄露事件展开深入调查

据国外媒体报道,在优步(Uber)披露曾掩盖影响 5700 万用户的大规模数据泄露事件后,全球多个国家政府对该公司展开了调查。11 月 22 日,优步发布声明,承认 2016 年曾遭黑客攻击并导致数据大规模泄露。根据这份声明,两名黑客通过第三方云服务对该公司的服务器实施了攻击,获取了 5700 万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。而当时的优步管理层为隐瞒这一事件竟向黑客支付了 10 万美元封口费,要求黑客保持沉默并删除相关数据。目前,涉及此事的优步首席安全官和他的一位副手已被解雇。 据美国媒体报道,澳大利亚及菲律宾政府周三表示,它们将就优步对数据泄露事件的应对措施展开调查。新加坡个人数据保护委员会也表示,已了解到这一事件,并正与优步接触以获得更多细节。在欧洲,优步面临意大利、荷兰和英国至少三个国家的数据保护机构的调查,以及高达 50 万英镑的罚单。英国信息专员办公室副专员詹姆士·约翰斯通在一份声明中表示:“如果英国公民受到影响,我们应当接到通知,以便我们对事件的影响进行评估 ”。 根据英国法律,不向用户和相关机构通报信息泄露事件的,最高会被处以 50 万英磅罚款。约翰斯通说:“故意向监管机构和公民隐瞒信息泄露事件的企业,会被课以金额更高的罚款。”此外,优步在美国本土也将面临多个州和联邦政府的调查。据路透社报道,目前美国已有 4 个州的总检察长表示,他们已经对这一事件展开调查,分别是康涅狄格州、伊利诺斯州、马萨诸塞州和纽约州。马萨诸塞州总检察长莫拉-海利(Maura Healey)表示:“我们对优步的行为表示严重关切 ”。 联邦政府方面,美国众议员弗兰克-帕洛恩(Frank Pallone)呼吁国会举行听证会,“如果优步确实曾通过向黑客付钱掩盖信息泄露事件,这里边就可能存在其他问题,必须对此展开调查 ”。随后,美国联邦贸易委员会(FTC)也表示,已经在关注此事,但没有披露是否已经启动正式调查程序。美国联邦贸易委员会一位发言人说:“我们通过媒体报道获悉信息泄露事件后优步及其高管的行为,我们正在评估由此引发的严重问题。” 稿源:新浪科技,封面源自网络;

多地高校国家奖学金名单公示泄露隐私:含身份证号

据报道,用来奖励特别优秀学生的国家奖学金,在江苏、广西、陕西一些高校进行名单公示时出现了隐私信息泄露现象。记者注意到,河海大学、广西民族大学、西安音乐学院等高校近几年在进行国家奖学金候选人或获得者名单公示时,均披露了学生完整的公民身份证号码。 其中,河海大学曾对 2013 年度国家奖学金获奖学生初审名单以及 2014、2015 年度本科生国家奖学金候选人名单进行公示时,在公布了学生的姓名、院系、专业、学号、性别、民族、入学年月之外,还公布了学生完整的公民身份证号码。 广西民族大学则于 2013、2014 年进行年度研究生国家奖学金候选人名单公示时,在公布了学生姓名、性别、民族、院系、学号、入学年月之外,公布了学生完整的公民身份证号码。 西安音乐学院 2012 年对该学年国家奖学金获奖学生初审名单进行公示时,在公布了学生姓名、院系、学号、性别、民族、入学年月之外,公布了学生完整的公民身份证号码。 对此,西安音乐学院学工部一名负责老师 11 月 17 日下午回应称,“要给每个获奖学生发奖金,因此需要身份证号公示进行名单核实 ”。广西民族大学研究生处一名老师接受采访时则表示,校方一直以来都是这个做法,你提醒了之后就可以不放(身份证号),目前上级部门还没说这种要求。河海大学学生处一名负责老师表示,当初曾考虑过把完整的身份证号放上去有无必要。 但是既要公示、又要让学生核对清楚个人信息,没有想到更好的解决办法最大限度地保护学生的隐私。 记者检索到,同样是国家奖学金获奖候选人名单公示,江西财经大学今年 10 月 13 日于其研究生院官网发布的《 2017 年研究生国家奖学金获奖候选人名单公示》中,就公布了学生姓名、院系,并无身份证号码。 此外,东华大学在 2016 年博士研究生国家奖学金获奖学生公示时,在公布了学生姓名、性别、民族、院系、学号、入学年月之外,并没有公布身份证号码。 西南财经大学会计学院 2016 年 9 月在进行国家奖学金候选人公示时,只公布了该院系学生的姓名,亦无身份证号码。 江西财经大学 2017 年研究生国家奖学金获奖候选人名单部分公示内容,并无身份证号。河海大学学生处负责老师 17 日下午接受采访时表示:“也许我们之后能改变国奖公示的办法,可以在公示的时候把身份证号去掉,学生当面来签字核对时再看自己有没有填错身份证号。” 稿源:新浪科技、澎湃新闻,封面源自网络;