安全快讯Top News

ParkMobile 泄密事件暴露了 2100 万用户的车牌数据和手机号码

据知名网络安全新闻网站KrebsOnSecurity报道,有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。 KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞,该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索,在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码,以及车辆的车牌号。 当被问及销售线索时,总部位于亚特兰大的ParkMobile表示,该公司在3月26日发布了一则通知,内容是 “发生了一起网络安全事件,与我们使用的一款第三方软件的漏洞有关”。 “作为回应,我们立即在一家领先的网络安全公司的协助下展开调查,以解决这一事件,”通知中写道。“出于谨慎起见,我们也已经通知了相关执法部门。调查还在进行中,我们目前能提供的细节有限。” 声明还指出:“我们的调查表明,我们加密的敏感数据或支付卡信息均未受影响。同时,自从了解到该事件以来,我们还采取了其他预防措施,包括消除第三方漏洞,维护我们的安全性以及继续监视我们的系统。” 当被要求澄清攻击者确实获取了什么信息时,ParkMobile证实其中包括基本的账户信息–车牌号,如果提供,还包括电子邮件地址或电话号码等。 “在一小部分情况下,可能会有邮寄地址,”发言人Jeff Perkins说。 ParkMobile并不存储用户密码,而是存储了一种相当强大的单向密码哈希算法的输出,这种算法被称为bcrypt,它比MD5等常见的替代方案更耗费资源,破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希值。 “你说的没错,bcrypt哈希值和‘加盐’密码都被获得了,”当被问及数据库销售线程中的截图时,Perkins说。 “注意,我们的系统中并没有保留加盐值,”他说。”此外,被泄露的数据不包括停车历史、位置历史或任何其他敏感信息。我们不会向用户收集社会安全号码或驾驶执照号码。” ParkMobile表示,它正在最后确定其支持网站的更新,以确认其调查的结论。但不知道其有多少用户甚至知道这次安全事件。3月26日的安全通知似乎没有链接到ParkMobile网站的其他部分,而且该公司最近的新闻稿列表中也没有它。 同样令人好奇的是,ParkMobile并没有要求或强迫其用户更改密码作为预防措施。安全研究人员使用ParkMobile应用来重置密码,但应用中没有任何信息提示这是一件及时的事情。 这次数据泄露事件对ParkMobile来说是在一个关键的时刻发生的。3月9日,欧洲停车集团EasyPark宣布计划收购该公司,该公司在北美450多个城市运营。     (消息及封面来源:cnBeta)

Facebook 的 Pages 漏洞让全球政客们可以伪造民众支持率以攻击对手

世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。 Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。 “Facebook上有很多伤害没有得到回应,因为它没有被认为是对Facebook构成足够的公关风险,”Sophie Zhang告诉卫报。”成本不是由Facebook承担的。它是由更广泛的世界作为一个整体来承担的。” Sophie Zhang发现的漏洞涉及到利用Pages创建假的支持者,被政府用来操控,使其显得受欢迎同时用来批评对手。虽然Facebook禁止人们操作一个以上的账户,但任何个人都可以创建多个Pages,并取得类似的效果。Pages通常用于代表企业、慈善机构、非营利组织或其他组织,但可以很容易地改变成个人账户的样子。 洪都拉斯就发生了一起利用这一漏洞的案例,该国总统胡安·奥兰多·埃尔南德斯(Juan Orlando Hernández)的Facebook页面的管理员创建了数百个Pages来为自己的帖子点赞,并营造出民众支持的假象。(2017年埃尔南德斯的选举因舞弊而广受批评。)同样,在阿塞拜疆,在总统伊利哈姆·阿利耶夫(Ilham Aliyev)的领导下,阿塞拜疆经历了多年的威权统治,执政党利用虚拟Pages来骚扰反对派政客,并批评独立媒体的新闻报道。下面来自《卫报》的视频展示了这些操作是如何进行的。 Sophie Zhang曾在Facebook的诚信团队工作,负责识别此类虚假活动,因表现不佳于2020年9月被Facebook解雇。在她最后一天分享的一份备忘录中,她描述了她是如何发现 “外国国家政府多次公然企图大规模滥用我们的平台来误导本国公民”。 当Zhang向她的经理们报告这类假Pages网络时,Facebook高层的反应并不一致。该公司对一些报告反应缓慢(《卫报》称,该公司花了 “近一年时间 “删除洪都拉斯的页面,花了14个月时间下架阿塞拜疆的活动),而对Zhang发现的其他网络,例如玻利维亚和阿尔巴尼亚的网络则置之不理。 正如Facebook的诚信副总裁盖伊·罗森(Guy Rosen)在2019年张女士抱怨反应缓慢后告诉她的那样。”我们有数百或数千种滥用类型(诚信上的工作保障)[……]这就是为什么我们应该从最重要的地方开始(顶级国家、顶级优先领域、推动流行的事情等),并在那里尝试着下功夫。” 为了说出Facebook的不作为,Sophie Zhang拒绝了公司提供的6.4万美元遣散费。在今天早上伴随着《卫报》的调查发布的推文中,她表示。”我加入FB是因为我天真地希望能从内部解决公司的问题,我站出来,是因为我失败了。” 在给《卫报》的一份声明中,Facebook发言人Liz Bourgeois表示。”我们从根本上不同意张女士对我们在平台上根除滥用行为的优先事项和努力的描述。我们在全球范围内积极追击滥用行为,并有专门的团队专注于这项工作。” Bourgeois表示,Facebook已经取缔了 “100多个协调的不真实行为网络”,”打击协调的不真实行为是我们的优先事项”。但该公司对张某在Facebook工作的事实没有异议。   (消息及封面来源:cnBeta)

FB 数据泄露事件受害者分享该平台如何收集他的数据

据外媒BGR报道,大学生Zamaan Qureshi在社交媒体上为自称 “真正的Facebook监督委员会”的临时活动家组织工作,他被几天前Facebook大规模数据泄露的消息所震惊,决定进行一番调查。 首先,他在 “Have I Been Pwned “网站上查找自己,该网站很好地快速收集了被卷入最近的数据泄露事件中的Facebook用户的数据,以便他们检查并查看自己是否受到影响。Qureshi使用了 “Have I Been Pwned “提供的电话查询功能,他发现他的数据也被包含其中。Qureshi继续调查这个世界上最大的社交网络到底有多少他的数据。 “我一直知道,当你不在Facebook平台上时,Facebook会收集用户数据,这让我很担心,”Qureshi告诉《新闻周刊》。”(Facebook)说他们对数据收集的方式很透明,所以我想看看是否真的如此。” 基本上,他使用了一个还比较新的Facebook设置,允许用户查看关于他们的非Facebook活动被记录的情况。人们可以通过选择 “设置与隐私”>”设置”>,然后点击 “你的Facebook信息 “菜单下的 “Off-Facebook活动 “来进入这个选项。Qureshi下载了这些数据,然后发现有几十个文件夹和子文件夹,里面装满了Facebook从互联网上收集到的关于他的信息。在下面的视频中看他滚动浏览所有这些数据。 在Twitter上,他继续展示了Facebook是如何收集他的数据的细节,以至于Facebook甚至知道他什么时候订了披萨(这要归功于第三方的数据整合)–以及他什么时候申请了福特汉姆大学。 Qureshi表示:“我希望我的工作要做的是向人们展示正在收集哪些类型的数据,即使他们不在Facebook上也是如此。但归根结底,问题在于,(Facebook的)商业模式是通过用户信息获利,以最大程度地提高私隐权。” 随着iOS 14.5的即将发布,苹果将开始执行其应用跟踪透明度的要求,此举触及了Facebook商业模式的核心。在这个新的框架下,应用程序今后需要获得明确的iPhone用户许可,才能在网络上对其进行追踪。 Facebook批评这一变化可能会伤害到小企业,因为他们依靠这种数据来更好地了解客户,并追踪销售转化率。与此同时,苹果公司CEO蒂姆-库克最近一直在媒体上露面–包括通过最近接受《纽约时报》Kara Swisher的播客采访,以及另一次接受加拿大《多伦多星报》的采访–他一直在对同一观点进行不同版本的阐述。 “Kara,我们所做的一切,”他在接受《纽约时报》播客采访时表示, “是为用户提供是否进行跟踪的选择。我认为很难反对这一点。我一直很震惊,因为有人对这个问题的反驳到了这种程度。”   (消息及封面来源:cnBeta)

因发现 Zoom 中高危零日漏洞 两位安全专家获 20 万美元赏金

在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定时间内对常用软件、移动设备发起挑战。 举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞,并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备,并对攻击成功者给予奖励。 受雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。 这些 Zoom 漏洞适用于 Windows 和 macOS 端,不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞,因为Keuper和Alkemade并没有对这些进行研究。 Pwn2Own组织在推特上发布了一个gif图,展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序,以表明他们可以在受影响的机器上运行代码。   (消息及封面来源:cnBeta)

Gigaset Android 更新服务器遭遇黑客攻击 并在用户设备上安装恶意软件

Gigaset 透露,在其 Android 设备上发现的恶意软件感染事件,是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示,此事似乎可追溯到 3 月 27 日,受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270(plus)、以及 GS370(plus)等系列。 通过与安装的系统更新 App 下载并安装,这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告,并在 4 月 7 日阻断了进一步的感染。 目前 Gigaset 已经为受影响的设备部署了自动清除恶意软件的措施,并建议用户将设备连接到互联网(打开 WLAN 或开启移动数据)和连接至充电器。 如果一切顺利的话,感染恶意软件的设备可在 8 小时内得到恢复。以下是本次 Gigaset 设备上感染的恶意软件完整列表: ● Gem ● Smart ● Xiaoan ● asenf ● Tayase ● com.yhn4621.ujm0317 ● com.wagd.smarter ● com.wagd.xiaoan 此外 Gigaset 敦促用户访问“设置”应用,以检查设备是否存在安装疑似恶意软件的感染迹象,并且确保设备上的其它软件也都更新到了最新版本。 具体受影响的设备型号包括 GS160 / GS170 / GS180 全版本,以及 GS100_HW1.0_XXX_V19、GIG_GS270_S138、GIG_GS270_plus_S139、GIG_GS370_S128 和 GIG_GS370_plus_S128 等最高版本。 除此之外,GS110、GS185、GS190、GS195、GS195LS、GS280、GS290、GX290、GX290plus、GX290 PRO、GS3 和 GS4 系列并未受到本次事件的影响。   (消息及封面来源:cnBeta)

报道称超 130 万 Clubhouse 用户的数据被发布在黑客论坛上

据外媒AppleInsider报道,约130万Clubhouse用户的数据被发布到了一个黑客论坛上,但iOS应用的开发者声称该平台并没有被黑客攻击,这些数据是公开的信息。发布到论坛上并公开可见的SQL数据库包括了这个基于音频的高人气社交网络用户的许多细节。约有130万用户的数据被获取并放入数据库中。 据Cybernews报道,数据库中的数据清单涵盖了相当多的个人信息,包括账户的用户ID、用户的姓名、用户名、粉丝和关注者数量、账户创建的时间,以及谁邀请用户加入。 虽然看起来信息很多,但数据库中的数据主要是由其他地方可能公开的信息组成的。它不包括密码或电子邮件地址等敏感信息,这可能是一种更具破坏性的情况。 周日,Clubhouse在Twitter上发帖,称有关它被黑客攻击的报道是“误导和虚假的”。该应用坚持认为,它没有被入侵或遭黑客攻击,数据是“我们应用的所有公共档案信息,任何人都可以通过应用或我们的API访问”。 这些数据是一连串攻击中的最新一次,在这些攻击中,邪恶的攻击者从主要服务中窃取数据并将其泄露供公众公开查看。4月8日,5亿份LinkedIn资料的缓存以同样的方式被分享,但似乎只包括面向公众的信息。 更著名的是,4月3日,约5.3亿个Facebook账户的类似档案被公布,据称这与2019年的一次未披露的漏洞有关。在Facebook的案例中,数据包括更多敏感信息,包括出生日期、电话号码和电子邮件地址。 这不是Clubhouse在其相对短暂的存在中经历的唯一一次安全恐慌。今年2月,由于担心用户数据可能会被恶意黑客窃取,该公司对其安全性进行了升级。 随后,阿曼的监管机构决定在该国封锁该应用,借口是许可证问题,对该应用进行了打击。批评者担心这是政府的审查企图。   (消息及封面来源:cnBeta)

数十名欧盟官员被卷入 Facebook 数据泄露事件

欧盟司法专员Didier Reynders、卢森堡首相Xavier Bettel和数十名欧盟官员都被卷入了Facebook的数据泄露事件,该事件被发布到公共论坛上并广泛流传。 他们的数据是周六被发现的5.33亿条记录的一部分,包括电话号码、Facebook ID、全名和出生日期,并在网上论坛上免费流传。POLITICO看到的比利时和卢森堡受害者的数据集还包含数十名欧盟官员的电话号码,包括欧盟委员会内阁成员、欧盟外交官和工作人员。POLITICO在周二核实了几位官员详细资料的真实性。 当POLITICO联系到Xavier Bettel时,他说他知道自己的详细资料出现在网上。德国首席联邦隐私监管机构乌尔里希-凯尔伯(Ulrich Kelber)也在推特上表示,他收到的诈骗信息是泄密事件的后果。欧盟委员会没有立即回应评论请求。欧盟的网络应急响应小组(CERT-EU)正在调查此次泄密事件可能对欧盟机构及其工作造成的影响。 黑客滥用数据的一种常见方式是一种被称为 “smishing “的技术,涉及到网络罪犯或黑客试图引诱受害者点击链接或回应短信中的请求。在过去的12个月里,每季度的Smishing消息已经增加了300%,消费者信任移动消息,他们比电子邮件中的链接更有可能阅读和访问移动消息文本中的链接。 如果政治家或公众人物的手机号码被广泛使用,这可能会使这些人容易受到SIM交换攻击等直接威胁、。SIM交换是一种技术,黑客说服电信运营商将一个电话号码换成新的SIM卡,这样他们就能获得用户的短信,而用户却不能。黑客可以通过提示应用发送短信登录,获得银行账户、电子邮件和社交媒体账户的权限。 专家建议,为了防止被黑客攻击,使用额外的安全措施是关键,特别是如果你是潜在的高调目标,比如媒体人或政治家,使用移动认证器应用程序进行双因素认证,并使用独特的长密码。欧盟自己的网络安全专家也呼吁同事检查自己是否是攻击的受害者。欧盟网络安全局(ENISA)发言人表示,该机构建议官员们在HaveIBeenPwned等网站上检查自己是否是受害者。 该发言人表示,万一信息泄露,要注意可疑的短信以及移动设备上突然失去运营商服务,这将表明黑客试图进入其他在线账户。泄露的Facebook数据是由网络犯罪情报公司Hudson Rock的Alon Gal在周末发现的。监管机构正在调查Facebook遭遇数据泄露时是否违反了隐私规则。             (消息及封面来源:cnBeta)

Android 恶意软件冒充 Netflix 劫持 WhatsApp 会话

安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。周三,Check Point Research(CPR)表示,这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。 这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用,似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里,商店关门,酒吧关闭,允许外出的次数有限,我们转而使用流媒体服务来打发时间。到2020年底,Netflix的付费用户数突破了2亿大关。很可能是由于COVID-19的刺激,恶意软件运营商决定抓住这一趋势。”FlixOnline “欺诈性应用承诺全球 “无限娱乐”,并因大流行而免费订阅两个月的高级Netflix。 然而,一旦下载,该恶意软件就会 “监听 “WhatsApp的对话,并自动回复带有恶意内容的信息。安装后,该应用会要求获得覆盖权限,这是盗窃服务凭证的常见行为,它还要求忽略电池优化,它可以阻止设备自动关闭软件以节省电力。此外,FlixOnline还要求获得通知权限,使恶意软件能够访问与WhatsApp通信相关的通知。 WhatsApp消息的自动回复包括以下内容,发送给受害者的联系人,”在世界任何地方60天获得2个月的Netflix高级免费服务。”,并且附带一条恶意链接。据研究人员介绍,该恶意软件可以通过恶意链接进一步传播,窃取WhatsApp的对话数据,并在安卓设备上安装后,有能力通过消息服务传播虚假信息或有害内容。 此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站,试图获取用户的信用卡信息和证书。然而,由于该消息是从命令和控制(C2)服务器获取的,其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。 在被发现之前,FlixOnline约造成500名受害者,时间大约为两个月,而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌,目前该应用已从Play Store中删除。WhatsApp也被告知该活动,但由于没有可利用的漏洞或问题,恶意软件使用通过消息应用程序传播,因此不需要采取行动。           (消息及封面来源:cnBeta)

近十年全球信息安全问题集中频发

近日,美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。据新闻网站商业内幕(Business Insider)报道,一个低级别的黑客论坛3日曝光了5.33亿脸书用户的个人数据,这些用户涉及 106个国家,泄露的信息包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址。 令大众吃惊的是,公布的这些个人隐私信息数据涉及来自 106 个国家的 5.33 亿 Facebook 用户,其中包括 3200 万美国用户,1100 万英国用户,600 万印度用户。 俄罗斯卫星通信社4日报道,遭泄露的5.33亿脸书用户数据中包含一些名人的信息,扎克伯格的电话号码也在其中。有消息称,遭泄露的电话号码与扎克伯格的真实号码是一致的。 网络犯罪情报公司Hudson Rock的首席技术官加尔首先发现了脸书用户数据泄露,通过比对他所认识的人的信息,证实至少有一部分内容是真实的。 事发后,脸书公司在4月3日的一份声明中称,上述数据来自2019年发生的信息泄露事件,当年8月已经进行修复。 此前,Facebook曾将8000万用户数据与剑桥分析公司(Cambridge Analytica)进行分享,而后者则将这些数据用于2016年美国大选政治广告,这严重违反了Facebook的服务条款。扎克伯格承认对此事负有责任并道歉。随后,美国联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单。 国际上也有应对此事的相关法律条令和组织,例如「GDPR」是 (The European) ,意思为「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。 GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR虽然保护范围只在于欧洲生活的人民,但因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。 据公开信息纰漏,如果2018年脸书的“剑桥分析事件”发生在了GDPR的管辖范围之内,则其可能被处罚1700万英镑或全球营业额4%的巨额罚款。 全球用户隐私数据泄漏事件愈发频繁 过去,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。 雷锋网通过公开资料,对关于21世纪以来的典型的数据泄漏事件整理,得知主打的数据安全泄漏主要发生在于以下几家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系统、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等 以下列举几件具有代表性的事件: 数据泄漏公司:Adobe;日期:2013年10月and2019年10月;影响:1.53亿用户记录 在2013年10月上旬,根据安全博主Brian Krebs的披露,Adobe最初报告说,黑客窃取了将近300万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。但根据后来的调查表明,已经有超过1.5亿用户密码被泄露,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。 2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。 2019年10月Adobe再次出现数据泄露事故超过700万名用户受影响,所幸这次泄露的数据不含账号密码和信用卡数据等。 数据泄漏公司:Adult Friend Finder;日期:2016年10月;影响:4.122亿个帐户 AdultFriendFinder所属公司被黑客入侵,泄露4.12亿用户数据,这将是2016年最大的一次数据泄露事件,也是20年来最大的一次数据泄露事件。 因为公司在安全方面的欠缺,导致几乎所有的账户密码都泄露了,甚至连已经删除的账户也被黑客翻了出来。在4.12亿数据中,有3.39亿数据来源于AdultFriendFinder网站,有超过1500万数据是已经被删除的用户数据。 仔细分析数据库之后得知,6200万数据来源于Cams.com,700万来源于Penthouse.com,其余的数据则来源其他FriendFinder网站。 数据泄漏公司:eBay;日期:2014年;影响:1.45亿用户 eBay曾与2014年初发生大规模用户数据泄露事故,约1.45亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息,但eBay表示用户密码经过加密处理,黑客并不容易获得,而用户的信用卡数据并未泄露。 eBay的数据泄露规模甚至超过了美国零售商Target的数据泄露事故(4000万信用卡遭泄露,1.1亿用户数据遭泄露),不过McAfee的副总裁Raj Samani认为eBay泄露的数据中未包含信用卡等支付数据,因此情况并没有Target的数据泄露严重。 数据泄漏公司:LinkedIn;日期:2012年(和2016年);影响:1.65亿用户帐户 LinkedIn是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn极具吸引力。2012年1月,一位名叫“Andrev”的黑客通过Pastebin发布了一则消息,声称其攻击了LinkedIn服务器,并窃取了约1.59亿的用户信息。为证实其行为,他发布了一个包含100个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业CEO。 然而,直到2016年该事件的影响范围才完全揭露。出售MySpace数据的黑客仅用5个比特币(当时约为2,000美元)就提供LinkedIn上的用户电子邮件地址和密码。LinkedIn承认已意识到该漏洞,并表示已重设了受影响帐户的密码。 数据泄漏公司:MySpace;日期:2013年;影响:3.6亿用户帐户 早在2007年底,MySpace的Alexa全球排名已经稳定在第六名。曾有数据显示,每个MySpace的注册用户的平均浏览页面数高达30以上,用户粘性极强。而这次事件的主导者就是上次售卖超过1.64亿Linkedln用户数据的同一个黑客,而现在该黑客宣称已经拿到了3亿6000万MySpace用户的电子邮件地址以及密码。 因为有3.6亿个MySpace用户的帐户泄漏,在LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场The Real Deal 上出售,要价为6比特币(当时约为3,000美元)。 据该公司称,丢失的数据包括在2013年6月11日之前创建的部分账户电子邮件、密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。 数据泄漏公司:雅虎;日期:2013-14年;影响:30亿用户帐户 雅虎于2016年9月宣布,自己是2014年里数据泄露事件最大的受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。 在2016年12月,雅虎披露了另一位攻击者自2013年以来的数据窃取行为,该攻击行为泄露了10亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数,总计包含30亿用户。 最初的数据泄露公布的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。此次泄露事件使公司价值缩水了约3.5亿美元。 写在最后 当然全球数据泄漏事件不断频发的今日,用户数据隐私保护就变得尤为重要性。GDPR是2018年全球跨国公司数据安全领域所关注的焦点。这一年,受GDPR启发,欧盟之外的其他法域国家也推出了综合性的个人数据安全保护的法规体系。比如: 巴西。2018年8月14日,巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,简称 “LGPD”)。LGPD将于18个月的过渡期后,在2020年2月15日正式生效。实际执行中,2020年8月26日,博索纳罗总统批准了巴西数据保护局(ANPD)的监管结构和整体框架。ANPD将负责监督个人数据保护措施,制定相关指导方针,调查和执行LGPD,并与其他国家数据保护当局开展合作。 就在今年年初,巴西数据保护局(下称ANPD)向外界公布了其监管工作战略规划及2021年至2022年工作计划,其中有提及到ANPD机构的发展愿景即:打造巴西国内及全世界数据保护机构的样板。 美国加州。2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加强消费者隐私权和数据安全保护,CCPA被认为是美国国内最严格的隐私立法。 随后2020年11月3日,美国加利福尼亚州选民投票通过第24号提案,即《加州隐私权法案》(CPRA)。CPRA在去年刚刚生效的《加州消费者隐私法》(CCPA)的基础上,将进一步赋予加州居民一些新的权利,比如更正个人信息以及限制敏感个人信息的使用和披露的权利。 新加坡。新加坡的个人数据保护立法已有9年多历史,其《个人数据保护法令》于2012年10月由议会通过,该法主体部分于2014年7月生效。随后该国又制定九部配套的附属立法,其中重要的有2014年《个人数据保护规例》等。 2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,其中主要有2019年1月14日颁布的重要案例、2018年8月31日颁布的《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和2020年5月14日《个人数据保护法(修订)草案》的公开征求意见稿等。 而国内方面,今年3月19日,国家互联网信息办公室副主任杨小伟19日在新闻发布会上说,目前加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。正在加紧制定相关法规标准,建立数据资源的确权、开放、流通以及交易的相关制度,从而在运行机制上进一步完善数据产权保护制度,为我们的数据安全和个人隐私、个人信息保护提供制度保障。           (消息来源:cnBeta;封面源自网络)

黑客论坛公开超 5 亿条 Facebook 数据

一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。 网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。 数据中列出了超过5.33亿用户,覆盖106个国家。其中超过3200万条记录是美国用户,1100万条记录来自英国,600万条记录来自印度。 “这么大的数据库,包含了很多Facebook用户的电话号码等私人信息,肯定会有不良分子利用这些数据。”加尔说。 在可能会让受影响的Facebook用户感到沮丧的情况下,Gal在1月份首次发现了一个黑客论坛的用户为一个自动机器人做广告,声称可以爬取数百万用户的电话号码。该机器人收集的数据集似乎是免费发布到论坛上的,使得任何人都可以免费获取。 Gal认为,现阶段除了通知用户警惕利用其个人数据的钓鱼计划或欺诈行为外,既然数据已经流传开来,Facebook作为第一方实际上也没有什么办法应对。             (消息来源:cnBeta;封面源自网络)