标签: 数据泄露

人气网络漫画 XKCD 论坛遭网络攻击:大量用户数据被盗

据外媒报道,黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击,此前,负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在,这个论坛已经下线。 论坛方面表示,等到他们能够检查漏洞并确保论坛已经安全之后才会重新上线这个论坛。“如果你是echochamber.me/xkcd用户,那么你应当立即更改你使用了同一个或类似密码的另一个账号的密码。” XKCD是Randall Munroe创作的流行网络漫画,其已经有14年的历史、主要关注科技、科学和互联网文化。Munroe还以其现在的标志性简笔人物画风格出过几本书,包括《How To》、 《Thing Explainer》、《What If》。 Hunt表示,这些数据由白帽子公安全研究员Adam Davies发现。   (稿源:cnBeta,封面源自网络。)

12 万人数据被泄露?雪球回应:已进行核实

8月21日消息,今日网上流传称雪球网数据泄露,涉及12万人的数据只卖75美元,包含姓名,身份证,手机,账号/邮箱,密码,持股前3支,持股数,交易风格。对此雪球回应称,不会以任何方式将个人信息泄露给第三方,对此问题已进行核实。 雪球网还称,会持续提升对用户信息的保护能力。 近年有部分企业发生数据泄露事件,2018年8月,有人在暗网出售华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录,9月犯罪嫌疑人被抓。同年12月,有人在网上宣称12306平台旅客信息泄露,低价出售60万账户信息、410万联系人数据,还免费公开部分账号供买家验证。   (稿源:网易科技,封面源自网络。)

入侵 Capital One 的黑客还涉嫌入侵其他 30 多家公司

联邦检察官透露,在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月,美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击,1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统,并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson(33),她将要对此次数据泄露事件负责。 根据 DoJ 报道,美国司法部长 Brian T. Moran 宣布,“一名前 Seattle 科技公司的软件工程师今天被捕,此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON,网名 erratic,33 岁,她今天在西雅图地方法院出庭,并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实,在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据,但他们尚不清楚这些受影响组织的名字。 检察官称,绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源:SecurityAffairs,译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

文件:去年数据泄露前 FB 未能提醒用户已知账户风险

北京时间8月16日上午消息,据路透社报道,周四提交的一份法庭文件显示,Facebook用户针对2018年发生的一起数据泄露事件,正对这家全球最大的社交媒体网络发起诉讼。这些用户称,公司未能向他们提醒单一登录工具的风险,但却有能力保护公司的员工。 单一登录可以让用户使用Facebook凭据登录第三方社交应用和服务。 该诉讼涉及多项法律行动,源于去年9月发生的公司历史上最严重的一起安全漏洞事故。当时,黑客窃取了登录代码——或“访问令牌”——从而使得近2900万个Facebook账户被非法访问。 “Facebook清楚这些访问令牌的漏洞,但多年来尽管公司有能力却始终未修复该漏洞,”原告在提交给位于加州旧金山的美国北部地区法院的诉状中写道,“更令人震惊的是,Facebook已经采取措施保护自己的员工免受安全风险的影响,却无视大多数用户面临的安全隐患。” 法官威廉阿尔苏普(William Alsup)在1月的时候,告诉Facebook,其愿意允许在本案中采取“bone-crushing discovery”方式,来调查用户数据被窃取的程度。 自最初披露数据泄露事故以来,Facebook几乎没有公开任何细节,仅仅表示“广泛”用户受到影响,但未根据国家分类给出具体数据。 对于另外的1500万名用户而言,受影响程度仅限于姓名和联系方式。此外,黑客可以看到大约40万名用户的帖子和朋友与群组列表。Facebook称,黑客未窃取用户的个人信息或财务数据,也没有访问用户的其他网站账户。 Facebook尚未立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

Facebook 聘请评估员收听语音信息,用户毫不知情

北京时间8月16日早间消息,Facebook本周证实,该公司开展了一项计划,允许承包商收听和转录一些用户的音频剪辑。这家社交网络表示,只有同意将其音频信息转录的人才会受此影响。 这似乎表明用户同意让第三方阅读聊天记录。但从Messenger权限的弹出对话框来看,这种说法并不属实。 在Messenger移动应用中,只要有人发送语音消息,就会立即看到一个提问对话框:“在此聊天中启用语音识别成文本功能?”用户可以选择“否”和“是”两个。Facebook的描述信息是:“显示您发送和接收的语音剪辑的文本。您可以控制每次聊天时文本是否可见。“ 其中并未提到人类参与。即使在专用于理解语音识别成文本的应用的单独信息页面中,Facebook也解释说用户可以在每次聊天中关闭它,并提示人们更多地使用这项功能。“语音识别成文本使用机器学习技术。”该公司说,“你使用这个功能的次数越多,对语音识别成文本就越有帮助。”其中并未阐述机器学习不仅限于软件代码。 包括苹果、亚马逊和谷歌在内的公司一直依赖人类来检查和改进他们的人工智能系统,但却并未告知用户。当科技企业面临的监管形势日益加剧的当下,这一错误可谓十分严重。负责执行欧盟隐私法的爱尔兰数据保护委员会表示,他们正在了解Facebook的转录做法。 斯坦福大学法学院互联网与社会中心的消费者隐私主任詹妮弗·金(Jennifer King)说:“人工智能只是处于可以解释人类对话的水平,”这意味着公司需要依靠监控来为系统训练提供帮助。“但从我的角度来看,最重要的问题是不披露。用户显然不知道这种事情。“ 有关Facebook人类转录计划的报道引起了美国立法者的愤怒,其中一些人已经呼吁加强隐私保护。弗吉尼亚州民主党参议员马克·华纳(Mark Warner)表示,关于Facebook音频收集行为的最新消息,“进一步证明了消费者对他们的数据收集和使用方式的期望与Facebook公司实际所做的完全不同。” 一些隐私律师表示,信息披露不足与公司跟FTC的50亿美元和解协议相冲突。 Fox Rothschild律师事务所首席隐私官马克·麦克雷利(Mark McCreary)表示,“如果没有其他人向用户披露关于人类收听行为的信息,我相信这可能就存在违规。”   (稿源:cnBeta ,文章标题《Facebook 聘请评估员收听语音信息用户知道吗?不知道》,封面源自网络。)

外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕

据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。 外媒认为,如果仔细阅读所泄露的数据,与过去的其他大规模数据泄露事件相比,Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法,这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。 但这里有一些关键的因素。首先,这是几个旧数据泄露的集合。事实上,在这个系列中的7.73亿个唯一的电子邮件地址中,只有1.41亿(约18%)未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中,有一半不在数据库中。 这意味着很可能,用户旧的简单密码之前已经被窃取,并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样,“我的希望是,对于许多人来说,这将是他们需要对他们的在线安全态势做出重大改变的提示。” 外媒认为,用户需要做的重要改变是确保使用唯一的密码,并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时,网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户,这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击,黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的账户。 而如果用户使用唯一的密码和双因素身份认证,这些攻击将无法正常工作。   (稿源:cnBeta,封面源自网络。)

安全漏洞导致 Suprema Biostar 2 百万人指纹数据曝光

近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。 (图自:vpnMentor,via BGR) 英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。 除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。 此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。 更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到: Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。   (稿源:cnBeta,封面源自网络。)

谷歌暂停评估语音助手在欧录音 7月承认泄露用户数据

北京时间8月2日早间消息,谷歌发言人周四向路透社表示,在荷兰录音数据泄露后,该公司暂停评估Google Assistant虚拟助手在欧盟收集的录音。 该公司今年7月承认,负责分析智能助手语音片段的合作伙伴泄露了数据。 CNBC早些时候报道称,有超过1000次私人谈话被发送到比利时的新闻媒体,并补充说有些消息透露出医疗状况和客户地址等敏感信息。 “在了解到荷兰机密信息泄漏事件后不久,我们暂停了对调查助手的语言评估。”该发言人说。她还补充道,该公司仅对约0.2%音频内容进行评估。 此事正值公众和政府对数据隐私措施越来越关注之际,迫使硅谷公司提高了透明度。 美国和其他地方的立法者正在对相关提案进行权衡,可能会限制谷歌、Facebook和其他互联网公司追踪用户和分发信息的方式。 据悉,谷歌此次暂停评估至少会持续三个月时间。   (稿源:新浪科技,封面源自网络。)

外媒:Capital One 数据泄露事件比它看起来更复杂

当地时间周一晚上,Capital One及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件,大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对Capital One的泄露事件展开调查,但更广泛的故事是熟悉的:一家大公司让许多敏感数据丢失,客户承担了大部分风险。 然而随着对该事件的调查越深入,外媒发现的疑点就越多。被指控的黑客Paige Thompson(又称“Erratic”),在数据泄露事件公开的同时被抓获并被起诉,她似乎对覆盖她的踪迹并感兴趣。人们并不确切知道她在获得数据后对数据做了什么,但她不符合大多数诈骗者的情况,他们倾向于尽快在暗网等出售这样的信息。与此同时,最初的漏洞似乎更多的是服务器错误配置,而不是完全是漏洞引起,导致一些人怀疑Thompson是否可能是一个善意的研究人员。 最大的异常是如何首先发现漏洞。根据联邦投诉,攻击分别于2019年3月和4月分阶段进行。但是,Capital One在7月17日才知道这个问题,当时有人向该公司透露他们的私人数据已上传到公共GitHub页面。从那里开始,研究人员可以直接发现它的页面以及数据是如何被获取的。 通常情况下,数据仅在通过多个中介后才被发现,并且很难确切地确定数据的确切时间和方式。例如,调查人员需要花费数年时间才能找到参与Target数据泄露事件的所有人。起诉揭示了一种完全不同的组织形式:一方制造软件,另一方使用它来收集信用卡数据,然后将其卖给另一个使用它进行欺诈的团体。起诉所有这些人意味着以拉脱维亚和东欧为中心的大规模国际努力。相比之下,Thompson在最初提示后不到一个月就被拘留了。 人们不知道为什么Thompson决定在公共GitHub页面上发布数据。她在Twitter上公开描述了她的技术,并且似乎并不羞于分享信息。其余部分信息则来自Thompson维护的Slack房间,Thompson围绕这个漏洞的谈话非常随意。 “我想把它从我的服务器上删除,这就是为什么我要归档所有这些,”Thompson写道。“这都是加密的。不过,我只是不想要它。“涉及攻击的技术细节使其更加复杂。Thompson所做的只是可能的,因为Capital One错误配置了其亚马逊服务器。Thompson早些时候曾在亚马逊工作过,所以她被一些人描述为“内部威胁”。但是发现这种错误配置对于安全研究人员来说是一种常见的消遣方式。这些错误配置是如此常见且如此容易修复,以至于它们通常甚至不被视为泄露。 外媒认为从外部很难区分安全研究与犯罪产业之间的区别。人们也并不不知道为什么她获取这些数据,或者为什么她坚持几个月而没有向Capital One报告这个问题。人们也不知道她是否试图以某种方式报告,或者她是否试图以尚未曝光的方式从数据中获利。   (稿源:cnBeta,封面源自网络。)

纽约司法部长宣布调查 Capital One 泄露事件并将提供“救济”

据外媒报道,当地时间7月30日,纽约州司法部长Letitia James在Twitter发文宣布,她将和她的团队对Capital One的泄露事件展开“立即”调查。另外她还表示,她对这些黑客攻击的频率感到沮丧,称其变成了家常便饭。 James希望自己在完成调查后拥有足够信息和能力为Capital one的纽约受害者提供“救济”。目前还不清楚她所表达的具体意思,但她可能会为受害者争取某种形式的赔偿。 据悉,最近的Capital One黑客攻击事件曝光了1亿多名美国和加拿大用户的信息,即如果曾在2005年至现在申请过Capital One信用卡就可能存在数据被盗的风险。泄露的信息则有地址、姓名、电子邮件、电话号码甚至社会保障号和信用评分等。   相关阅读:美国银行第一资本遭黑客入侵:逾1亿用户信息泄露   (稿源:cnBeta,封面源自网络。)