分类: 今日推送

Firefox 插件“Safepal 钱包”窃取加密货币

一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录,发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件,”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现,该插件至少从2021年2月16日起就开始使用了。 页面上,这个235kb的插件吹嘘自己是一个 Safepal 应用程序,可以安全地“在本地保存私钥”,还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件,开发者必须遵循提交流程,即提交的插件“随时接受Mozilla的审查”。但是,目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天,Mozilla的发言人回应说,他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用,但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是,在Mozilla插件网站上,一些用户发布了一星评论,警告其他人不要下载“ Safepal Wallet”。 但是,对于Cali来说,一切为时已晚,收回资金的机会很渺茫。 “我已经和警察谈过了,他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要,我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害,引导用户使用我们审查和监控的推荐扩展,帮助用户了解安装扩展带来的风险,让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策,当我们发现到插件会对安全和隐私造成威胁时,我们会采取措施阻止它们在Firefox中运行。关于这个插件,我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时,BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页,在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示,该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候,这个网页仍然在运营,它指示受害者输入他们的“12个单词的备份短语,用于匹配 SafePal 钱包。” 但是,一旦输入了备份短语并提交了表单,页面就会刷新,但没有任何明显的响应,备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样,如果用户忘记密码,由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是,备份短语十分重要且私密,只能在特殊情况下使用,而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗,攻击者可以控制你的钱包,以及访问和转移资金。 最近,加密货币诈骗正在增多,威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周,有人入侵了Bitcoin.org官方网站,成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中,包括npm、PyPI和GitHub在内的开源库被滥用,用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多,用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应,同时向 Namecheap 报告了钓鱼域名。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NETSCOUT 系统公司2021《威胁情报报告》发布:DDoS 攻击亟需关注

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布,报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告,在2021年上半年,网络犯罪分子发动了大约540万次DDoS攻击,比2020年上半年增加了11%。此外,NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出,2021年将是另一个创纪录的一年,全球DDoS攻击将超过1100万次。 ASERT预计,攻击者层出不穷的攻击手段的长尾效应将持续下去,日益加剧网络安全危机,并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后,DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此,各国政府正在引入新的项目和政策来防范攻击,而警备机构正以前所未有的合作努力来应对危机。 2021年上半年,网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体,使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长,针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略,网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御,攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害,他们在重要的互联网组件上集中发力,包括DNS服务器、VPN集中器、服务和互联网交换,从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中,以发起三重勒索活动。勒索软件能带来巨大利益,勒索者将DDoS加入他们的攻击方案,以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起,使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击,采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术,速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps,同比增长169%。ASERT数据识别出该攻击针对一家德国ISP,部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比,此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪,我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外,知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁,占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化,破坏连接供应链的重要组成部分,发起了数量空前的DDoS攻击,引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时,Fancy Lazarus DDoS勒索活动日益猖狂,威胁多个行业组织,他们重点关注互联网服务提供商,特别是权威的DNS服务器。”   消息来源:TheFintechTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Pegasus 软件遭曝光后 斯诺登呼吁禁止间谍软件交易

据英国《卫报》报道,爱德华·斯诺登在NSO集团的客户被揭露后警告说,各国政府必须在全球范围内暂停国际间谍软件贸易,否则将面临一个没有手机可以免遭国家支持的黑客攻击的世界。斯诺登在2013年揭发了美国国家安全局的秘密大规模监控项目,他将营利性恶意软件开发商描述为 “一个不应该存在的行业”。 他是在PegASUS项目首次披露后接受《卫报》采访时发表上述言论的,Pegasus项目是一个由国际媒体组织组成的联盟对NSO集团及其客户进行的新闻调查。 NSO集团制造并向政府出售先进的间谍软件,品牌为Pegasus,可以秘密地感染手机并获取其信息。电子邮件、短信、通讯录、位置数据、照片和视频都可以被提取,而且手机的麦克风和摄像头可以被激活,以秘密记录用户的信息。 该联盟分析了一个由50000个电话号码组成的泄漏数据集,据信这些号码属于NSO的客户感兴趣的人。对这些手机样本的分析发现了几十个成功和试图感染Pegasus的案例。 NSO集团表示,它认真对待道德方面的考虑,受以色列、塞浦路斯和保加利亚的出口管制制度监管,只向经过审查的政府客户出售。但它的客户包括压制性政权,包括沙特阿拉伯、阿联酋和阿塞拜疆。 斯诺登在接受《卫报》采访时说,该集团的发现说明了商业恶意软件是如何使专制政权有可能将更多人置于最具侵略性的监控之下的。 他说,对于传统的警察行动来说,要安装窃听器或窃听嫌疑人的电话,执法部门需要 “闯入某人的房子,或去他们的汽车,或去他们的办公室,而且我们认为他们可能会得到授权”。 但是商业间谍软件使得对更多的人进行有针对性的监视具有成本效益。他说:“如果他们可以从远处做同样的事情,而且成本不高,没有风险,他们就会开始一直这样做,针对每一个人,哪怕是稍有兴趣的人。” 他说:“如果你不做任何事情来阻止这种技术的销售,这不仅仅是5万个目标。它将成为5000万个目标,而且它将比我们任何人预期的要快得多。” 他说,问题的部分原因是,不同人的手机在功能上是相同的。“当我们谈论像iPhone这样的东西时,它们在世界各地都运行相同的软件。因此,如果他们找到了入侵一部iPhone的方法,他们就找到了入侵所有iPhone的方法。” 他把将广泛使用的手机型号中的漏洞商业化的公司比作一个故意开发新的疾病菌株的 “感染者”行业。 他说:“这就像一个行业,他们所做的唯一事情就是创造Covid的定制变体来躲避疫苗。他们唯一的产品是感染载体。他们不是安全产品。他们不提供任何种类的保护,任何种类的预防措施。他们不制造疫苗–他们唯一出售的是病毒。” 斯诺登说,像Pegasus这样的商业恶意软件是如此强大,以至于普通人实际上无能为力,无法阻止它。当被问及人们如何保护自己时,他说:“人们可以做什么来保护自己免受核武器的伤害?” “有些行业,有些部门,是无法保护的,这就是为什么我们试图限制这些技术的扩散。我们不允许核武器的商业市场。” 他表示,对于商业恶意软件的威胁,唯一可行的解决方案是在国际上暂停销售。“Pegasus项目所揭示的是NSO集团确实是一个新的恶意软件市场的代表,这是一个营利性的业务,”他说。“NSO这样做的唯一原因不是为了拯救世界,而是为了赚钱。” 斯诺登说,在全球范围内禁止感染载体的交易将防止对移动电话中的漏洞进行商业滥用,同时仍然允许研究人员识别和修复这些漏洞。 “对于普通人来说,这里的解决方案是集体工作。”他说:“这不是一个我们想要尝试单独解决的问题,因为这是你与一家价值10亿美元的公司的对决。如果你想保护自己,你必须改变游戏规则,而我们这样做的方式就是结束这种交易。” NSO集团在一系列声明中说,它拒绝接受关于该公司及其客户的 “错误主张”,并说它对其客户使用Pegasus间谍软件的情况并不清楚。该公司表示,它只向经过审查的政府客户出售该软件,而且其技术已经帮助防止恐怖主义和严重犯罪。 在Pegasus项目启动后,NSO的创始人兼首席执行官Shalev Hulio说,他继续质疑泄露的数据“与NSO有任何关系”,但他补充说,他对这些报告“非常关注”,并承诺对它们进行全部调查。他说:“我们理解,在某些情况下,我们的客户可能会滥用该系统。”   (消息及封面来源:cnBeta)

FBI 认定对 JBS 发起勒索软件攻击的幕后黑手是 REvil

美国联邦调查局(FBI)本周三证实,对全球最大肉类包装公司 JBS 发起持续勒索软件攻击的幕后黑手,就是臭名昭著的网络犯罪集团 REvil(又称Sodinokibi)。在事件曝光当天晚些时候发布的一份声明中,FBI 表示:“我们已经认定 JBS 攻击方为 REvil 和 Sodinokibi,正努力将攻击者绳之以法。现阶段我们的工作重点依然是处理攻击影响,并追究负责的网络行为者的责任”。 近年来,该组织因其大胆的攻击而引起网络安全生态系统内外的关注,这些攻击突破了勒索软件即服务行业的界限。在其他事件中,该组织去年试图敲诈时任总统唐纳德·特朗普,并发布或威胁出售与包括 Lady Gaga 在内的名人有关的文件。 REvil的一名代表在3月发表的一篇采访中说,该组织说它的目标是网络保险供应商,称它们是 “最美味的小菜之一”。该代表称:“尤其是先入侵保险公司,以获得他们的客户群,并在此基础上有针对性地开展工作。在你浏览完名单后,再攻击保险公司本身”。   (消息及封面来源:cnBeta)

谷歌承诺 FLoC 隐私沙箱不留后门 广告商对此持怀疑态度

过去几年,谷歌一直在积极向 Web 浏览器的 Cookie 发起战争,尤其是那些严重侵犯用户隐私的第三方跨站追踪 Cookie 。但由于此类 Cookie 也被广告平台给广泛使用,意味着谷歌也必须为自己找到替代解决方案。最终该公司交出了两个答案,其一是隐私沙箱(Privacy Sandbox)、另一个就是所谓的“联合学习队列”(简称 FLoC)。 不出所料的是,包括电子前沿基金会(EFF)在内的组织机构、各大浏览器开发商、甚至广告商们,都对谷歌的 FLoC 追踪提出了严厉的批评。 为平复外界的怒火,谷歌现又承诺自己不会违反相应规则,但隐私倡导者和与之有竞争关系的广告技术公司,均不对此表示买账。 DigiDay 指出,FLoC 本质上是将针对特定用户的追踪,改成了针对同一群体的用户追踪,这些用户拥有类似的 Chrome 浏览历史记录。 虽然谷歌假意宣称自己尊重用户的线上隐私,但还是有眼尖的人指出,该公司正好可以利用 FLoC 的机会来进一步巩固自身在广告市场的主导地位。 近日,谷歌广告副总裁兼总经理 Jerry Dischler 公开承诺,该公司不会在 FLoC 中留有后门,也不会按照其它广告商与合作伙伴的规则意图来行事。 这位高管在一次线上举办的营销活动期间表示,谷歌将为自己的广告和指标使用相同的隐私沙箱 API,但这番言论并不让人信服。 一方面,即将实施 FLoC 追踪的 Chrome / Chromium 浏览器,本身就是谷歌自己把持的灰色地带。 另一面,谷歌拥有保留第一方属性的个人用户数据的权利,意味着本质上仍可能换汤不换药。 更何况,谷歌很有可能在不久的将来推翻这一承诺,正如此前屡次发生过的类似事件那样。   (消息及封面来源:cnBeta)

谷歌披露新型 Rowhammer 攻击 可突破访问多行内存地址上的内容

早在 2014 年,就有许多研究人员讨论过影响当时主流的 DDR3 内存的 Rowhammer 漏洞。2015 年的时候,谷歌发布了一个可利用该漏洞的利用程序。可知通过对一个内存地址的多次访问请求,将使得攻击者能够篡改其它内存地址中存储的内容。更糟糕的是,由于该漏洞源于硅芯片中的电耦合现象,所以相关漏洞攻击将能够绕过基于软件和硬件层面的防护。 为堵上这一缺陷,许多 DRAM 制造商在自家芯片产品中部署了相应的逻辑检测功能,以便在检测到非法访问时进行溯源和阻止。 然而现实是,即便市面上主流的 DRAM 芯片已经升级到了 DDR4,但攻击者仍可通过 TRRespass 之类的手段来利用 Rowhammer 漏洞。 以谷歌最新披露的“半双”(Half-double)技术为例,其危险程度比初始版本还要高得多。 此前只需通过重复访问一个内存地址,即可访问相邻一行的 DRAM 地址。但谷歌现已证明,即使效力有所降低,他们还是成功地将非法地址访问多加了一行。 如图所示,研究人员先是尝试多次访问地址“A”,然后顺利实现了对地址“B”的数十次访问,接着又向地址“C”发起了攻击。 谷歌希望促成跨行业合作,以封堵 Rowhammer 内存访问漏洞 谷歌解释称,Half-double 与 TRRespass 有很大的不同。旧攻击利用了制造商在相关防御上的盲点,而新手段直接砸到了轨基板底层的固有属性。 考虑到电耦合(Electrical Coupling)与距离相关,随着芯片制程的不断发展,DRAM 的单元尺寸也会跟着缩小,导致 Rowhammer 攻击的波及范围也变得更广(大于两行的概念验证也将是可行的)。 在最坏的情况下,恶意代码或可借此逃脱沙箱环境、甚至接管系统。为堵上这个大漏洞,谷歌正在与 JEDEC 等半导体行业的工贸组织和软硬件研究人员展开密切合作,以寻求潜在的解决方案。 感兴趣的朋友,可查阅谷歌发布的有关缓解技术的两份文档: (1)《NEAR-TERM DRAM LEVEL ROWHAMMER MITIGATION》 (2)《SYSTEM LEVEL ROWHAMMER MITIGATION》     (消息及封面来源:cnBeta)

报道称超 130 万 Clubhouse 用户的数据被发布在黑客论坛上

据外媒AppleInsider报道,约130万Clubhouse用户的数据被发布到了一个黑客论坛上,但iOS应用的开发者声称该平台并没有被黑客攻击,这些数据是公开的信息。发布到论坛上并公开可见的SQL数据库包括了这个基于音频的高人气社交网络用户的许多细节。约有130万用户的数据被获取并放入数据库中。 据Cybernews报道,数据库中的数据清单涵盖了相当多的个人信息,包括账户的用户ID、用户的姓名、用户名、粉丝和关注者数量、账户创建的时间,以及谁邀请用户加入。 虽然看起来信息很多,但数据库中的数据主要是由其他地方可能公开的信息组成的。它不包括密码或电子邮件地址等敏感信息,这可能是一种更具破坏性的情况。 周日,Clubhouse在Twitter上发帖,称有关它被黑客攻击的报道是“误导和虚假的”。该应用坚持认为,它没有被入侵或遭黑客攻击,数据是“我们应用的所有公共档案信息,任何人都可以通过应用或我们的API访问”。 这些数据是一连串攻击中的最新一次,在这些攻击中,邪恶的攻击者从主要服务中窃取数据并将其泄露供公众公开查看。4月8日,5亿份LinkedIn资料的缓存以同样的方式被分享,但似乎只包括面向公众的信息。 更著名的是,4月3日,约5.3亿个Facebook账户的类似档案被公布,据称这与2019年的一次未披露的漏洞有关。在Facebook的案例中,数据包括更多敏感信息,包括出生日期、电话号码和电子邮件地址。 这不是Clubhouse在其相对短暂的存在中经历的唯一一次安全恐慌。今年2月,由于担心用户数据可能会被恶意黑客窃取,该公司对其安全性进行了升级。 随后,阿曼的监管机构决定在该国封锁该应用,借口是许可证问题,对该应用进行了打击。批评者担心这是政府的审查企图。   (消息及封面来源:cnBeta)

近十年全球信息安全问题集中频发

近日,美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。据新闻网站商业内幕(Business Insider)报道,一个低级别的黑客论坛3日曝光了5.33亿脸书用户的个人数据,这些用户涉及 106个国家,泄露的信息包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址。 令大众吃惊的是,公布的这些个人隐私信息数据涉及来自 106 个国家的 5.33 亿 Facebook 用户,其中包括 3200 万美国用户,1100 万英国用户,600 万印度用户。 俄罗斯卫星通信社4日报道,遭泄露的5.33亿脸书用户数据中包含一些名人的信息,扎克伯格的电话号码也在其中。有消息称,遭泄露的电话号码与扎克伯格的真实号码是一致的。 网络犯罪情报公司Hudson Rock的首席技术官加尔首先发现了脸书用户数据泄露,通过比对他所认识的人的信息,证实至少有一部分内容是真实的。 事发后,脸书公司在4月3日的一份声明中称,上述数据来自2019年发生的信息泄露事件,当年8月已经进行修复。 此前,Facebook曾将8000万用户数据与剑桥分析公司(Cambridge Analytica)进行分享,而后者则将这些数据用于2016年美国大选政治广告,这严重违反了Facebook的服务条款。扎克伯格承认对此事负有责任并道歉。随后,美国联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单。 国际上也有应对此事的相关法律条令和组织,例如「GDPR」是 (The European) ,意思为「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。 GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR虽然保护范围只在于欧洲生活的人民,但因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。 据公开信息纰漏,如果2018年脸书的“剑桥分析事件”发生在了GDPR的管辖范围之内,则其可能被处罚1700万英镑或全球营业额4%的巨额罚款。 全球用户隐私数据泄漏事件愈发频繁 过去,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。 雷锋网通过公开资料,对关于21世纪以来的典型的数据泄漏事件整理,得知主打的数据安全泄漏主要发生在于以下几家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系统、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等 以下列举几件具有代表性的事件: 数据泄漏公司:Adobe;日期:2013年10月and2019年10月;影响:1.53亿用户记录 在2013年10月上旬,根据安全博主Brian Krebs的披露,Adobe最初报告说,黑客窃取了将近300万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。但根据后来的调查表明,已经有超过1.5亿用户密码被泄露,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。 2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。 2019年10月Adobe再次出现数据泄露事故超过700万名用户受影响,所幸这次泄露的数据不含账号密码和信用卡数据等。 数据泄漏公司:Adult Friend Finder;日期:2016年10月;影响:4.122亿个帐户 AdultFriendFinder所属公司被黑客入侵,泄露4.12亿用户数据,这将是2016年最大的一次数据泄露事件,也是20年来最大的一次数据泄露事件。 因为公司在安全方面的欠缺,导致几乎所有的账户密码都泄露了,甚至连已经删除的账户也被黑客翻了出来。在4.12亿数据中,有3.39亿数据来源于AdultFriendFinder网站,有超过1500万数据是已经被删除的用户数据。 仔细分析数据库之后得知,6200万数据来源于Cams.com,700万来源于Penthouse.com,其余的数据则来源其他FriendFinder网站。 数据泄漏公司:eBay;日期:2014年;影响:1.45亿用户 eBay曾与2014年初发生大规模用户数据泄露事故,约1.45亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息,但eBay表示用户密码经过加密处理,黑客并不容易获得,而用户的信用卡数据并未泄露。 eBay的数据泄露规模甚至超过了美国零售商Target的数据泄露事故(4000万信用卡遭泄露,1.1亿用户数据遭泄露),不过McAfee的副总裁Raj Samani认为eBay泄露的数据中未包含信用卡等支付数据,因此情况并没有Target的数据泄露严重。 数据泄漏公司:LinkedIn;日期:2012年(和2016年);影响:1.65亿用户帐户 LinkedIn是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn极具吸引力。2012年1月,一位名叫“Andrev”的黑客通过Pastebin发布了一则消息,声称其攻击了LinkedIn服务器,并窃取了约1.59亿的用户信息。为证实其行为,他发布了一个包含100个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业CEO。 然而,直到2016年该事件的影响范围才完全揭露。出售MySpace数据的黑客仅用5个比特币(当时约为2,000美元)就提供LinkedIn上的用户电子邮件地址和密码。LinkedIn承认已意识到该漏洞,并表示已重设了受影响帐户的密码。 数据泄漏公司:MySpace;日期:2013年;影响:3.6亿用户帐户 早在2007年底,MySpace的Alexa全球排名已经稳定在第六名。曾有数据显示,每个MySpace的注册用户的平均浏览页面数高达30以上,用户粘性极强。而这次事件的主导者就是上次售卖超过1.64亿Linkedln用户数据的同一个黑客,而现在该黑客宣称已经拿到了3亿6000万MySpace用户的电子邮件地址以及密码。 因为有3.6亿个MySpace用户的帐户泄漏,在LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场The Real Deal 上出售,要价为6比特币(当时约为3,000美元)。 据该公司称,丢失的数据包括在2013年6月11日之前创建的部分账户电子邮件、密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。 数据泄漏公司:雅虎;日期:2013-14年;影响:30亿用户帐户 雅虎于2016年9月宣布,自己是2014年里数据泄露事件最大的受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。 在2016年12月,雅虎披露了另一位攻击者自2013年以来的数据窃取行为,该攻击行为泄露了10亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数,总计包含30亿用户。 最初的数据泄露公布的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。此次泄露事件使公司价值缩水了约3.5亿美元。 写在最后 当然全球数据泄漏事件不断频发的今日,用户数据隐私保护就变得尤为重要性。GDPR是2018年全球跨国公司数据安全领域所关注的焦点。这一年,受GDPR启发,欧盟之外的其他法域国家也推出了综合性的个人数据安全保护的法规体系。比如: 巴西。2018年8月14日,巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,简称 “LGPD”)。LGPD将于18个月的过渡期后,在2020年2月15日正式生效。实际执行中,2020年8月26日,博索纳罗总统批准了巴西数据保护局(ANPD)的监管结构和整体框架。ANPD将负责监督个人数据保护措施,制定相关指导方针,调查和执行LGPD,并与其他国家数据保护当局开展合作。 就在今年年初,巴西数据保护局(下称ANPD)向外界公布了其监管工作战略规划及2021年至2022年工作计划,其中有提及到ANPD机构的发展愿景即:打造巴西国内及全世界数据保护机构的样板。 美国加州。2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加强消费者隐私权和数据安全保护,CCPA被认为是美国国内最严格的隐私立法。 随后2020年11月3日,美国加利福尼亚州选民投票通过第24号提案,即《加州隐私权法案》(CPRA)。CPRA在去年刚刚生效的《加州消费者隐私法》(CCPA)的基础上,将进一步赋予加州居民一些新的权利,比如更正个人信息以及限制敏感个人信息的使用和披露的权利。 新加坡。新加坡的个人数据保护立法已有9年多历史,其《个人数据保护法令》于2012年10月由议会通过,该法主体部分于2014年7月生效。随后该国又制定九部配套的附属立法,其中重要的有2014年《个人数据保护规例》等。 2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,其中主要有2019年1月14日颁布的重要案例、2018年8月31日颁布的《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和2020年5月14日《个人数据保护法(修订)草案》的公开征求意见稿等。 而国内方面,今年3月19日,国家互联网信息办公室副主任杨小伟19日在新闻发布会上说,目前加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。正在加紧制定相关法规标准,建立数据资源的确权、开放、流通以及交易的相关制度,从而在运行机制上进一步完善数据产权保护制度,为我们的数据安全和个人隐私、个人信息保护提供制度保障。           (消息来源:cnBeta;封面源自网络)

黑客论坛公开超 5 亿条 Facebook 数据

一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。 网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。 数据中列出了超过5.33亿用户,覆盖106个国家。其中超过3200万条记录是美国用户,1100万条记录来自英国,600万条记录来自印度。 “这么大的数据库,包含了很多Facebook用户的电话号码等私人信息,肯定会有不良分子利用这些数据。”加尔说。 在可能会让受影响的Facebook用户感到沮丧的情况下,Gal在1月份首次发现了一个黑客论坛的用户为一个自动机器人做广告,声称可以爬取数百万用户的电话号码。该机器人收集的数据集似乎是免费发布到论坛上的,使得任何人都可以免费获取。 Gal认为,现阶段除了通知用户警惕利用其个人数据的钓鱼计划或欺诈行为外,既然数据已经流传开来,Facebook作为第一方实际上也没有什么办法应对。             (消息来源:cnBeta;封面源自网络)