安全快讯Top News

Facebook 再爆数据丑闻 数百万用户数据被存储在 AWS 上

Facebook的用户数据再次在一些不该出现的地方出现。网络安全公司UpGuard的研究人员发现,大量Facebook用户信息被公开发布在亚马逊公司的云计算服务器上。这一发现表明,在剑桥分析公司(Cambridge Analytica)的丑闻曝光一年之后,Facebook在保护私人数据方面仍做得不够。 Facebook短线跳水转跌,此前一度涨超2%。 例如,墨西哥城的媒体公司Cultura Colectiva公开存储了5.4亿Facebook用户的记录,包括身份号码、评论和账户名称。周三,Facebook联系了亚马逊,之后该数据库被关闭。 另一个数据库是一个长期失效的应用程序的数据库,名为the Pool,它列出了22000人的姓名、密码和电子邮件地址。UpGuard不知道这些信息被泄露了多长时间,因为在该公司调查的过程中,数据库变得无法访问。 多年来,Facebook一直与第三方开发者免费共享这类信息,直到最近才开始采取行动。意外公共存储的问题可能比这两种情况更为广泛。UpGuard发现,有10万个开放的托管数据库用于存储各种类型的数据,其中一些数据库预计不会公开。 UpGuard网络风险研究主管克里斯-维克里(Chris Vickery)表示:“公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。” 多年来,Facebook允许任何在其网站上开发应用程序的人获取使用该应用程序的用户及其朋友的信息。一旦数据脱离Facebook的掌控,开发者就可以对其为所欲为。 大约一年前,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)正准备就一个特别恶劣的例子向国会作证:一名开发商将数千万人的数据交给了政治咨询公司剑桥分析,这家公司曾帮助特朗普竞选总统。这一事件已导致全球政府展开调查,并威胁要对该公司进行进一步监管。 去年,Facebook开始对数千个应用程序进行审计,并暂停了数百个应用程序,直到它们能够确保自己没有对用户数据进行不当处理。Facebook现在为发现第三方应用程序问题的研究人员提供奖励。 Facebook发言人表示,公司的政策禁止将Facebook信息存储在公共数据库中。这位发言人说,一旦Facebook被告知这一问题,它就与亚马逊合作关闭了这些数据库,并补充说,Facebook致力于与其平台上的开发人员合作,保护人们的数据。 在总共146G的Cultura Colectiva数据集中,研究人员很难知道有多少Facebook用户受到了影响。UpGuard在关闭数据库时也遇到了困难。该公司花了数月时间向Cultura Colectiva和亚马逊发送电子邮件,提醒他们注意这个问题。直到Facebook联系了亚马逊,泄露才得以解决。Cultura Colectiva没有回应彭博的置评请求。 这个最新的例子表明,数据安全问题可能会被另一种趋势放大:许多公司已经从主要在自己的数据中心运营业务,转向由亚马逊、微软、Alphabet旗下谷歌等公司运营的云计算服务。 这些科技巨头通过让企业更容易地在远程服务器上运行应用程序和存储大量数据(从企业文档到员工信息),建立了数十亿美元的业务。 像Amazon Web Services的简单存储服务(Simple Storage Service)这样的程序,本质上是一个可上网的硬盘驱动器,它为客户提供了让哪部分的人看到这些数据的选择。有时,这些信息被设计成面向公众的,比如存储在公司网站上的照片或其他图像缓存。 而在其他时候,情况并非如此。近年来,存储在几项云服务上的信息——美国军方数据、报纸订阅用户和手机用户的个人信息——在不经意间被公开在网上共享,并被安全研究人员发现。 亚马逊在过去的两年里加强协议来防止客户暴露敏感材料,增加显眼的警告通知,让管理员可以更简单地关闭所有面向公众的项目,并免费提供以前是付费的附加组件,用于检查客户的帐户是否有暴露的数据。 亚马逊并不是唯一一家因为私人数据被错误公开而被抓的公司。但在销售租赁数据存储和计算能力方面,它有着广泛的领先优势,这让总部位于西雅图的这家公司的做法备受关注。亚马逊网络服务发言人拒绝置评。     (稿源:新浪科技,封面源自网络。)

卡巴斯基:将跟踪软件标记为恶意程序 倡议其他安全公司跟进

经过多年的更迭,跟踪软件(stalkerware)已经发展到可以避开防病毒应用程序的严苛审查。本周三,卡巴斯基实验室表示他们已经将跟踪软件标记为恶意程序,并且在手机端上安装跟踪应用的时候会向用户发出提醒。2018年,卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。 跟踪软件也称为“间谍软件”,“消费者监控软件”等,采用应用程序的形式或对设备进行修改,使某人能够远程监控目标的活动。例如,一个名为 PhoneSheriff 的应用程序允许监视者阅读目标设备上的文本并查看照片,并秘密访问其手机的 GPS 位置。 跟踪软件可以安静地安装在用户设备上,然后访问包括GPS位置、短信、照片和麦克风等个人数据。而且使用跟踪软件并不需要很高的技术能力,甚至于每月花费数百美元就能买到。据卡巴斯基实验室称,一些供应商还提供每月68美元的订阅计划。 卡巴斯基实验室表示,在与电子前沿基金会网络安全负责人伊娃•加尔佩林(Eva Galperin)交谈后,公司已经开始行动起来将跟踪应用标记为恶意程序。卡巴斯基实验室的安全研究员Alexey Firsh在一份声明中表示:“因此,我们会对商业间谍软件进行标记,并发出特定的警报,告知用户关注跟踪软件带来的危险。我们相信用户有权知道他们的设备上是否安装了这样的程序。” 图片来自于 卡巴斯基实验室 在接受Wired采访时候,加尔佩林表示卡巴斯基实验室的这项倡议能够得到其他防病毒公司的响应,然后成为行业的标准。未来卡巴斯基实验室的扫描不仅会检测是否存在跟踪软件,而且会为用户提供删除它们的选项。这项保护目前正面向Android设备推广,不过跟踪软件在iOS上并不常见。   (稿源:cnBeta,封面源自网络。)

Google 修补多项 Android 高危漏洞

Google 4 月 1 日发布安全公告,修补了多项 Android 高危漏洞。 包括 Samsung、Pixel 与 LG 等在内的主要安卓厂商已在公告发布至少一个月前就接到问题通报。而在公告发布后的 48 小时内,Google 也会将安全补丁的源代码发布至 Android 开源项目(Android Open Source Project , AOSP)存储库。 其中,存在最高等级风险的是位于媒体框架(media framwork)中的一个严重安全漏洞,它可以使攻击者传送更改后的文件,从而在拥有权限的情况下远程执行任意代码。CVE-2019-2027 和 CVE-2019-2028 都包含在这一媒体框架内。 CVE-2019-2026 所在的 Android 框架中的部分漏洞可以使本地攻击者通过用户交互获得额外权限。其余几项位于运行系统中,其中严重的漏洞可能会使本地恶意应用程序取得权限,执行任意代码。 目前,2019-04-01 或更高版本的安全修补程序级别已解决了相关问题。Google 预计于 4 月 5 日发布第二波安全补丁,以解决所有与之相关的问题。用户可参阅检查并更新 Android 版本,以检查设备的安全补丁级别。     (稿源:开源中国社区,封面源自网络。)

丰田汽车服务器再遭黑客入侵 310 万名用户信息存忧

新浪科技讯 北京时间4月1日晚间消息,据美国科技媒体ZDNet报道,丰田汽车今日公布了第二起数据泄露事件,这也是该公司在过去五周内承认的第二起网络安全事件。 第一起安全事件发生在其澳大利亚子公司,而今日公布的第二起事件发生在丰田汽车的日本主办事处。 丰田汽车表示,黑客入侵了其IT系统,并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji(雷克萨斯Nerima)和丰田西东京卡罗拉。 该公司表示,黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称,目前正在调查此事,以确定黑客是否泄露了他们可以访问的任何数据。 丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据,丰田汽车并未披露。 丰田汽车发言人今日向媒体表示:“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题,并将在经销商和整个丰田集团中彻底实施信息安全措施。” 这已是该公司今年宣布的第二起网络安全事件。2月底,丰田汽车曾披露了一起类似的事件,影响其澳大利亚分公司。 而在丰田日本公布数据泄露事件的同时,丰田位于越南的子公司也发生类似事故,但目前没有细节公布,也不能确定其与丰田日本的事故是否有关。     (稿源:新浪科技,封面源自网络。)

Earl Enterprise 餐馆系统遭黑客入侵 200 多万张信用卡资料遭窃取

据外媒The Verge报道,Planet Hollywood、Buca di Beppo和Mixology等餐厅的母公司证实,该公司遭遇了安全漏洞的影响。此前安全研究人员发现该公司客户的200多万张信用卡资料遭窃取,黑客还在网上叫卖窃取的信用卡信息。 KrebsOnSecurity安全研究人员表示,在其发现“有力证据”表明客户的信用卡和借记卡号码正在网上销售后,于2月份联系了该公司。黑客使用“在其销售点系统上安装的恶意软件”从210个州的餐馆位置窃取了215万个信用卡和借记卡号码,到期日期以及一些持卡人姓名。 Earl Enterprises表示,入侵事件发生在2018年5月23日和2019年3月18日之间,并且“事件现已被控制。”这次入侵事件影响了 Buca di Beppo、 Earl of Sandwich、 Planet Hollywood、 Chicken Guy!、 Mixology和Tequila Taqueria等餐厅。该公司已经为客户推出了一个网站,以检查他们去过的餐厅是否是受影响的餐厅之一。该公司还表示,在线订单不会受到入侵的影响。 该公司还建议客户检查他们是否遭遇可疑活动,并在发现欺诈性交易时通知相关银行。     (稿源:cnBeta,封面源自网络。)

沙特政府从亚马逊 CEO 贝索斯手机获取到个人数据

安全主管加文·德贝克尔(Gavin De Becker)在周六表示,沙特政府黑入了亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)的手机并获取到了个人数据。贝索斯先前曾要求德贝克尔调查《国家问讯报》是如何获取到其与电视主持人劳伦·桑切斯(Lauren Sanchez)发送的私密信息一事。 在二月被曝出的新闻中,贝索斯指控这家小报的母公司AMI曾试图敲诈他,威胁其如果不公开声明这家小报的报道无任何政治动机,便会将这些不雅照片公之于众。AMI坚持表示,自己的报道均是合法的。 德贝克尔表示自己在完成调查之后,非常确信“沙特曾经黑入贝索斯的手机并获取了个人信息”。 贝索斯也是《华盛顿邮报》的老板。一直以来,《华盛顿邮报》对于特朗普政府以及沙特政府的报道大多是负面信息。十月,《华盛顿邮报》的记者贾马尔•卡舒吉(Jamal Khashoggi)在沙特领事馆被杀,此举在全球范围内引发公众的愤慨。 “一些美国人也许会对此感到很惊讶,事实上沙特政府从去年十月开始便一直试图对杰夫·贝索斯不利,当时《华盛顿邮报》报道了卡舒吉被残酷迫害一事。” 德贝克尔之后表示,目前尚不清楚AMI是否知道其中详情,但他指出AMI董事长戴维·佩克尔(David Pecker)与沙特政府关系密切。 沙特方之前回应,自己与《国家问讯报》报道贝索斯一事毫无任何关系。 德贝克尔表示自己已经将调查结果交给了联邦官员。 沙特大使馆以及AMI尚未回应置评请求。     (稿源:新浪科技,封面源自网络。)

信息安全研究员:华硕内网密码在 GitHub 上泄露

新浪科技讯 北京时间3月28日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。 其中一个密码出现在一名员工分享的代码库中。通过该密码,研究员可以访问内部开发者和工程师使用的电子邮件帐号,从而与计算机的使用者分享夜间构建的应用、驱动和工具。有问题的代码库来自华硕的一名工程师,他将电子邮件帐号密码公开已有至少一年时间。目前,尽管GitHub帐号仍然存在,但这个代码库已被清理。 这位网名为SchizoDuckie的研究员表示:“这是个每天发布自动构建版本的邮箱。”邮箱中的邮件包含存储驱动和文件的具体内网路径。研究员也分享了多张截图以证实他的发现。 该研究员没有测试,通过这个账号具体能获得哪些信息,但警告称进入企业内网会非常容易。他表示:“你所需要的就是发送一封带附件的电子邮件给任何一名收件人,进行鱼叉式钓鱼攻击。” 通过华硕专用的信息安全邮箱地址,该研究员向华硕发出了密码泄露的警告。6天后,他无法再登录该邮箱,并认为问题已经解决。 不过他随后又发现,在GitHub上,至少还有两起华硕工程师泄露公司密码的事件。 华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。这位研究员表示:“许多公司并不知道,他们的程序员在GitHub上用代码做了什么。” 在媒体向华硕告知此事的一天后,包含密码的代码库被下线并清理。不过华硕发言人表示,该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统,消除我们服务器和支持软件的所有已知风险,并确保没有数据泄露。”     (稿源:新浪科技,封面源自网络。)

卡巴斯基报告:超过一半的互联网用户认为完全的数字隐私是不可能的

根据卡巴斯基实验室的一份报告,56%的互联网用户认为现代数字世界中的完全隐私是不可能的。对于许多人来说,他们对数字隐私的担忧可能来自个人经验。卡巴斯基的研究发现,26%的人表示他人在未经他们同意的情况下访问了他们的私人数据,在16至24岁的人群中,这一数字上升到31%。   隐私受到侵害的后果包括经历压力(36%),面临垃圾邮件和广告(25%)以及造成经济损失(21%)。 一个有趣的发现是,一旦人们认为完全隐私是无法实现的,一些消费者愿意出售他们自己的信息,而不是等待别人去利用它。该调查发现,39%的受访者同意收钱让陌生人完全访问其私人数据。此外,如果他们收到免费的回报,18%的人会牺牲自己的隐私并分享他们的数据。 “人们越来越关注他们的隐私,因为他们看到了如果数据落入坏人手中,他们的数据如何被滥用的例子,”北美卡巴斯基实验室消费者销售副总裁Brian Anderson表示。“无论是导致身份盗用的漏洞,针对零售商的网络攻击引起的信用卡欺诈,还是窥探手机的人。当您发现未经您的同意而暴露您的数据时,这会令你感觉非常不好。数据隐私是每个人都可以实现的,并且泄露行为似乎不是不可避免的。强大的数字卫生和更高的隐私最佳实践意识,以及可靠的安全解决方案,可以帮助防止您的数据被任何人查看或滥用。” 您可以在卡巴斯基博客上找到有关该报告的更多信息。     (稿源:cnBeta,封面源自网络。)

微软申诉并成功控制涉及伊朗黑客攻击活动的域名

为了控制伊朗黑客组织使用的域名,微软向美国法院申诉并赢得了限制令,以控制黑客组织(被称为Phosphorus或APT 35)使用的99个网站,这些网站据信被用于各种黑客攻击。微软消费者安全主管Tom Burt在一篇博客文章中表示,法院本月早些时候批准了这项提议。 法院下达的限制令允许微软从注册商处控制域名并在自己的服务器上托管,包括“outlook-verify.net”和“yahoo-verify.net”,并将恶意流量安全地重定向到微软的服务器。 “在跟踪Phosphorus的整个过程中,我们与包括雅虎在内的许多其他科技公司密切合作,共享威胁信息并共同阻止攻击,”Burt说。 该黑客组织被认为与前美国空军反情报官Monica Witt有关,后者于2013年叛逃到德黑兰,现在因涉嫌从事间谍活动被联邦调查局通缉,这些黑客的目标通常是学术界和记者,他们的钓鱼页面看起来像雅虎和谷歌登录页面,且可以打败双因素身份验证。 这是微软针对黑客组织采取的最新法律诉讼。去年,该公司提起了针对Strontium的诉讼,称为APT 28或“Fancy Bear” – 与俄罗斯国家情报机构GRU有关。     (稿源:cnBeta,封面源自网络。)

最大暗网市场 Dream Market 下月底将关闭 疑因遭 DDoS 攻击

目前最大的暗网市场 Dream Market 3月26日发布声明,宣布网站将于2019年4月30日关闭。 Dream Market 网站声明 该站自2013年4月起已存在了6年,这也是曾经在2010年中期臭名昭著的四大暗网交易市场中的最后一个,在2017年,美国和欧洲当局就分别关闭了 AlphaBay 和 Hansa 市场,同年9月俄罗斯警方关闭了 RAMP 市场。 在 Dream Market 发布声明的同一天,欧洲刑警组织、美国联邦调查局和缉毒署官员宣布大规模打击暗网贩毒活动,已有数十人被捕。这个“巧合”的时间点让 Dream Market 的用户和暗网威胁分析师们认为执法部门可能已经控制了该站点,并将其作为蜜罐在运营,他们的怀疑实际上基于2017年6月一次类似的事件,当时荷兰警方接管了 Hansa 市场并运行了一个月以收集该网站用户的数据,随后利用收集的密码访问用户在暗网其它市场的账号。Dream Market 的公告显示该网站被转移到了新的 URL ,然而鉴于欧洲刑警组织和联邦调查局的公告,许多用户现在担心新网站可能是另一个蜜罐。 自从近期有黑客在该网站上售卖数亿用户信息(Hackernews.cc 3月18日曾报道)以来,Dream Market 频繁在新闻中出现,而该网站的突然关闭也令许多用户感到震惊。据知道创宇暗网空间搜索引擎“暗网雷达”监测到的数据推测,Dream Market 关站的原因可能与服务器 IP 地址泄露导致的安全风险有关。 知道创宇暗网空间搜索引擎“暗网雷达”监测到所泄露的4个IP地址之一   根据所泄露的 IP 地址,在 Shodan 上未检索到相关信息,在知道创宇 ZoomEye 上检索到 36 条数据,位于瑞典。   然而据 Dream Market 团队在发布公告第二天后作出的更详细解释,他们正将网站用户迁移到新网站,原因是 Tor 浏览器端所遭受的 DDoS 攻击持续时间过长,并且该网站无法承受 40 万美元的赎金需求。 图源Twitter Caleb@5auth   随着 Dream Market 的关站,T·chka 和 Wall Street Market 现在成为了不法分子在暗网中交易毒品、武器、恶意软件、黑客数据等产品的首选地。     整理自:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。