分类: 数据泄露

因泄露 5.33 亿用户隐私,Facebook 被罚 2.65 亿欧元

据BleepingComputer 11月28日消息,近日,爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件,向其母公司Meta开出 2.65 亿欧元(约20亿人民币)巨额罚单。 2021年4月,黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛,其中包括了手机号码、Facebook ID、姓名、性别、位置、人物关系、职业、出生日期和电子邮件地址。DPC 于 2021 年 4 月 14 日正式启动了对 Meta 可能违反 《通用数据保护条例》(GDPR )的 调查。 Facebook 当时表示,黑客通过利用Contact Importer工具中的一个缺陷将电话号码与 Facebook ID 关联,然后抓取其余信息来为用户建立个人资料来收集数据。Facebook表示该漏洞已在2019年修复,黑客在此之前窃取了数据。 根据DPC 的调查结论,Meta违反了 GDPR 第 25章第1及第2条: 25.1 数据控制者应实施适当的技术和管理措施,比如将数据进行假名化,并在处理过程中纳入必要的保障措施,以满足本规定的要求并保护数据主体的权利。 25.2 数据控制者应该使用适当的技术及管理措施,来保证在默认情况下,仅使用处理目的所必要的个人数据。 特别注意这类措施应应确保在默认情况下,不应允许任何个人干预,同时只向有限数量的自然人提供个人数据。 数据抓取 数据抓取器是一种自动化机器人工具,能利用 Facebook 等保存用户数据平台的开放网络 API 来提取公开信息并创建大量用户资料数据库。 虽然不涉及黑客攻击,但爬虫收集的数据集可以与来自多个点(站点)的数据相结合,创建完整的用户档案,从而使黑客的攻击目标更加精准有效。在 Meta 的案例中,黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一个缺陷将电话号码与这些公开收集的信息相关联,从而允许他们创建包含个人和公共信息的配置文件。 由于许多科技公司在爱尔兰运营,DPC 被认为是欧盟 GDPR 合规的先锋,因此其决定势必会给其他掌控大量数据的企业带来影响,迫使他们重新评估其反抓取机制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/351014.html 封面来源于网络,如有侵权请联系删除

德国:拼写检查功能可能将数据非法跨境传输给第三方

2022年11月3日,德国黑森州数据保护和信息自由专员(HBDI)发布信息,告知黑森州的数据控制者应当紧急检查其使用的浏览器设置,因为在开启基于云的拼写支持功能时,密码等个人数据可能在没有法律依据的情况下被传输给浏览器提供商,这可能违反对个人数据的保护要求。 本文译自《增强的拼写检查:浏览器功能可能会将个人身份信息传输给第三方》(Erweiterte Rechtschreibprüfung: Browser-Funktionalität kann personenbezogene Daten an Dritte übermitteln),原文来自德国黑森州数据保护和信息自由专员官网。 现代网络浏览器在许多方面支持用户尽可能舒适地使用互联网。检查在网页上输入的文字是否正确并提出改进建议的拼写检查功能早已屡见不鲜。 同时,网络浏览器提供商有时也会提供“扩展”、“改进”或“智能”的拼写支持。此时也使用了基于云的功能,例如通过人工智能(AI)实现更好的结果。如果这种基于云的拼写支持是开启的,所有的用户输入数据基本上都被传输到了提供商的服务器中。正如美国一家IT安全公司的调查显示,如果相关网站的运营者没有通过特别的预防措施来防止这种情况,甚至连密码都可以被传送。 HBDI了解到,在一些情况下基于云的拼写支持会在更新时不知不觉地被激活。这导致个人数据无意中被传输到浏览器提供商那里。在此背景下,HBDI紧急建议位于黑森州的数据控制者检查他们使用的浏览器设置,并在必要时进行调整。 如果个人数据已经在没有法律依据的情况下被传输给浏览器提供商,则需要采取进一步行动。根据GDPR第四条第12项,此类个人数据的传输通常属于个人数据泄露。如果数据泄露可能会给自然人的权利和自由带来风险,控制者必须立即并尽可能在72小时内向主管监督机构报告(GDPR第三十三条第1款)。此外,如果数据主体的权利和自由有可能面临高风险,则必须将数据泄露事件通知这些数据主体,不得有不当延迟(GDPR第三十四条第1款)。无论风险如何,数据控制者在任何情况下都必须根据GDPR第三十三条第5款记录数据泄露事件,以便监管机构审查。关于规定的风险评估所需的进一步信息可以在GDPR的第七十五和七十六条以及联邦和各州独立数据保护机构会议的第18号简报中找到。 如果数据控制者担心由于浏览器智能拼写支持功能激活而导致的信息安全风险,可以联系当地的信息安全联系人和/或当地的信息专家。 转自 安全内参,原文链接:https://www.secrss.com/articles/49393 封面来源于网络,如有侵权请联系删除

Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项(在Twitter的设置中很难找到)”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络,如有侵权请联系删除

WhatsApp 数据大泄露,近 5 亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。 11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。 公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。 Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。 WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。 除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。 “在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。” 转自 Freebuf,原文链接:https://www.freebuf.com/articles/database/350756.html 封面来源于网络,如有侵权请联系删除

亚洲航空 500 万乘客和员工数据信息被盗,快看看有你没?

The Hacker News 网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击,约 500万名乘客和员工的个人数据信息泄露。 据悉,此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙,该团伙在成功获取亚洲航空大量内部数据资料后,随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示,被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。 值得一提的是,Daixin 勒索软件团伙不仅袭击了亚洲航空,还对包括菲茨吉本医院、Trib Total Media、ista International GmbH 和 OakBend Medical 等在内的组织机构展开了攻击活动。最近美国网络安全和情报机构已经盯上了Daixin 组织,并发布警告表示这伙人攻击对象主要集中在医疗保健部门。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350525.html 封面来源于网络,如有侵权请联系删除

某医疗机构公众号系统漏洞遭利用,攻击者窃取 10 余万条公民数据境外售卖被抓

“网络通”麻某本可以靠自身技能找工作赚干净钱,却抵不住金钱的诱惑走上邪路,一手好牌被自己打的稀烂,硬生生将自己送进“班房”,冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。 近日,哈尔滨市公安局南岗分局网安大队民警在工作中发现,境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。由于该线索涉及侵犯公民个人信息犯罪,且涉案数据量较大,立即引起了各级网安部门的高度重视。在哈尔滨市公安局网安支队统一指挥下,两级网安部门成立专案组,合力开展侦查工作。 专案组民警在调查中发现,犯罪嫌疑人精通电脑操作及网络知识,隐藏得很深,给侦查工作造成了不小的难度。专案组的民警们昼夜不眠,将被泄露数据在海量的数据源中进行比对、分析,经过96小时的艰苦奋战,最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。 10月22日,南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。 目前,麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,案件正在进一步工作中。 转自 安全内参,原文链接:https://www.secrss.com/articles/49228 封面来源于网络,如有侵权请联系删除

快看看有你没!数百个亚马逊 RDS 泄露了用户信息

安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。 安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。 亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。 亚马逊 RDS 数据泄露事件详情 此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。 亚马逊方面表示,当用户准备把快照分享为公共快照时,请确保公共快照中不包括自身私人信息,一旦快照被公开共享时,会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。 2022 年 9 月 21 日至 10 月 20 日期间,安全研究人员进行了细致实验,最后发现实验的 810 张快照在不同时间段(从几小时到几周)内被公开分享,照片很容易被恶意行攻击滥用。 在这 810 张快照中,有超过 250 个备份暴露了 30 天,侧面反映它们很可能已经被遗忘了。 根据所暴露信息的特殊性质,潜在攻击者可以窃取数据以期获取经济利益,或利用数据信息来更好地掌握用户所属公司的 IT 环境。 因此,亚马逊强烈建议用户不要开启 RDS 快照公开访问权限,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/350099.html 封面来源于网络,如有侵权请联系删除

俄罗斯企业频发数据泄露事件,720 万用户数据在黑客论坛出售

近日,黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后,俄罗斯踏板车共享服务Whoosh确认发生数据泄露。据悉,Whoosh 是俄罗斯领先的城市出行服务平台,在40个城市运营,拥有超过75,000辆电动滑板车。 一名威胁行为者开始在黑客论坛上出售被盗数据,据称其中包含可用于免费访问该服务的促销代码,以及部分用户身份和支付卡数据。该公司本月早些时候通过俄罗斯媒体的声明证实了网络攻击,但声称其 IT 专家已成功阻止了攻击。 在今天与RIA Novosti分享的一份新声明中,Whoosh承认存在数据泄露,并告知其用户群他们正在与执法当局合作,采取一切措施阻止数据的分发。 Whoosh的一位发言人表示:“此次泄露并未影响敏感的用户数据,例如账户访问、交易信息或旅行详情。我们的安全程序还排除了第三方获取用户银行卡全部支付数据的可能性。” 据悉是“Breached”黑客论坛上的一位用户发布了一个数据库,其中包含大约720万 Whoosh客户的详细信息,包括电子邮件地址、电话号码和名字。 该数据库还包含1,900,000名用户子集的部分支付卡详细信息。卖家还声称,被盗数据包括 3,000,000 个促销代码,人们可以使用这些代码免费租用 Whoosh 滑板车。 卖家表示,他们仅以每人 4,200 美元或 .21490980 比特币的价格将数据出售给五个买家,根据用于交易的SatoshiDisk平台,还没有人购买该数据库。 在Telegram上单独出售的数据中,威胁者声称它是在2022年11月对 Whoosh 的攻击中被盗的。 俄罗斯数据库泄露 根据俄罗斯互联网监管机构 Roskomnadzor 2022年8月的一份报告,自今年年初以来,已确认有4起俄罗斯公司数据泄露事件。 2022年9月,Group-IB发布了一份报告,声称仅在今年夏天就观察到140起俄罗斯公司的数据库销售被盗,暴露的记录总数达到 3.04 亿条。 就今年的影响而言,最显着的泄密事件是外卖应用程序 Yandex Food的泄密事件,它导致了多项附属数据的泄露。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/lMRsk5r0mo8GpAigfx30Iw 封面来源于网络,如有侵权请联系删除

乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据

安全内参11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。 外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。 中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。 泄露数据时间跨度大,涉及未来战略规划 这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。 数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。” 到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。 部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。 由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。 乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。 俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击 自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。 据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。 IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。” 为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。” 俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。 Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。 据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。 随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。 这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。” 转自 安全内参,原文链接:https://www.secrss.com/articles/48803 封面来源于网络,如有侵权请联系删除

970 万用户数据泄露,Medibank 拒绝支付赎金

Hackernews 编译,转载请注明出处: 澳大利亚医疗保险公司Medibank证实,在勒索软件事件发生后,约970万客户的个人数据被盗。 据公司称,该攻击于10月12日在其IT网络中被发现,并称其“与勒索软件事件的前兆一致”,促使该公司隔离其系统,但不是在攻击者泄露数据之前。 “这个数字代表了大约510万Medibank客户,280万ahm客户和180万国际客户。”Medibank指出。 泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址,以及ahm客户的医疗保险号码(但不是有效期),以及国际学生客户的护照号码(但不是有效期)和签证详细信息。 该公司进一步表示,该事件导致约16万名Medibank客户,约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。 这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。 然而,Medibank表示,财务信息和身份证件(如驾照)并没有作为安全漏洞的一部分被窃取,自2022年10月12日以来也没有发现异常活动。 “鉴于这起犯罪的性质,不幸的是,我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。 在一份独立的投资者声明中,该公司还表示不会向黑客支付任何赎金,并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文