新浪数码讯 7月3日上午消息，《华尔街日报》今日发表的一篇文章警告称，一些基于Gmail的第三方邮件App竟允许自己员工阅读用户的邮件，用以优化其服务体验。 第三方服务商被点名 这类第三方邮件解决方案提供商扮演的是用户和邮箱之间的角色：比如用户通过Gmail收邮件，但它的客户端App功能不完善（例如不能批量回复或发超大附件之类），所以第三方开发者做一种体验更好的方案给用户活企业选择。 华尔街日报提到一个叫“Return Path”的电子邮件解决方案供应商，这家公司曾与163个App有合作。两年前，他们允许员工阅读约8000封完整的用户邮件，用来训练自己的软件。 Return Path官网宣传语是“We Konw Email（我们了解邮件）”，现在看起来极具讽刺意味 另外还有个叫Edison Software的公司，他们曾在iOS平台开发过一款叫Edison Mail的App，也曾让员工阅读数百名用户的电子邮件，用来打造自己的“智能回复”功能。 没人看的用户协议 根据《华尔街日报》的消息，两家公司都没有要求用户获得阅读其电子邮件的许可，但他们都表示，用户协议中已经包含了这种做法。并且有权限阅读用户邮件的员工受到严格的管理，用户的具体信息也是被隐藏的。 《华尔街日报》在文采访了20多位电子邮件和数据公司的现任和前任雇员，还得知Edison、Return Path和其他第三方电子邮件服务也会用机器扫描分析电子邮件，这是一种常见的做法。 由于隐私原因，谷歌去年不再扫描Gmail用户的收件箱，但仍允许第三方软件开发人员这样做。而诸如雅虎（Yahoo）和微软（Microsoft）等其他电子邮件服务也会有类似的问题，他们可以在用户同意的情况下访问邮件内容。 虽说Return Path、Edison以及使用Gmail或类似电子邮件服务的其他开发人员似乎没有滥用客户隐私信息，但许多用户仍有担忧。 并且许多客户在注册第三方电子邮件App时，可能也没有意识到他们同意这种做法，因为很少有人会把用户条款仔细看完。此前就曾有安全专家说，互联网上最大的欺骗就是“我已阅读并同意这些条款和条件”。 不止是大公司才能收集用户数据 谷歌在一份书面声明中表示，它向第三方开发人员提供数据，这些开发人员经过审查，并得到用户的许可，可以访问他们的电子邮件。谷歌说，他们自己员工只在“非常具体的情况下，用户要求我们同意，或者出于安全目的，比如调查一个bug或滥用行为”才会阅读电子邮件。 但用户仍应警惕电子邮件App，因为谷歌在电子邮件方面没有强有力的用户保护措施。 这种第三方邮件App搭建过程并不复杂，开发者只要构建一个连接到Gmail账户的应用程序，并且允许访问Gmail收件箱（有点像给Gmail套了个壳），这款App开发者就可以看到收件箱的全部内容。 所以你看，不仅仅是大公司才能够获得用户数据——谷歌也允许个人创业者用，而且数据隐私保护政策可能会有所不同。 如果你对也担心这种情况，那就不要使用这种第三方邮件App，只用邮件服务商原生产品，或者仔细查看此App的隐私政策，并了解清楚数据使用情况。   稿源：，稿件以及封面源自网络；

讯 北京时间6月29日早间消息，研究发现一个名为“NameTests”的第三方测验应用令1.2亿名Facebook用户的数据面临泄露风险，而这个应用的漏洞直到上个月才得到修复，这就使得Facebook数据丑闻进一步升温。 Facebook隐私权丑闻是在今年3月首次曝光的，当时曾在唐纳德·特朗普（Donald Trump）竞选美国总统期间受聘的政治数据公司“剑桥分析”（Cambridge Analytica）被曝从一名教授那里非法购买了Facebook用户数据，该教授运作过一个名为“thisisyourdigitallife”（这是你的数字生活）的测验应用。随后，Facebook在5月对第三方应用进行了一次审计，其结果是约200个应用遭到封停。 但现在看来，Facebook还面临着更多问题。根据道德黑客Inti De Ceukelaire的发现，NameTests应用存在安全缺陷。 周三，De Ceukelaire描述了向Facebook新推出的“数据滥用悬赏”（Data Abuse Bounty）计划上报NameTests应用背后网站的一个漏洞的过程。这个漏洞可能只是一个错误而已，也可能是个疏忽大意的例子，但可以肯定的是，这表明Facebook对用户数据的监管过少，而黑客可以利用这些数据来从事各种恶意活动。 NameTest漏洞的发现不仅表明人们仍不了解能够获取自己数据的第三方应用，同时也表明Facebook“数据滥用悬赏”计划的程序存在问题。De Ceukelaire称，他在4月22日就上报了这个问题，但直到8天以后Facebook才作出回应称其正在展开调查。到5月14日，他去查看Facebook是否已经联系过NameTest的开发者；又过了8天，Facebook才回复称其可能需要3到6个月来进行调查。 到6月25日，De Ceukelaire注意到NameTest已经修复这个漏洞。在与Facebook取得联系后，该公司承认该漏洞已被修复，并同意向“新闻自由基金会”（Freedom of the Press Foundation）捐赠8000美元，以此作为悬赏计划的一部分奖金。换而言之，根据De Ceukelaire的说法，Facebook至少花了一个月才解决了这个问题，而且是在不得已的情况下才履行了悬赏承诺。   稿源：，稿件以及封面源自网络；

环球网综合报道，据美国“侨报网”6月27日报道，盗窃身份的网络黑客现在已将黑手伸向了持有社会安全号码(SSN)的年幼孩子——甚至包括新生婴儿，因为这些孩子从来没有购买过任何东西，这意味着他们有一个“完美”的信用记录，而黑客在窃取了这些拥有“完美”信用记录的身份信息后，会在黑市网站上进行兜售，并会向买家解释如何使用这些信息伪造欺诈性税务记录或申请信用卡而不被抓获。不幸的是，当这些孩子长大后，他们可能会发现自己的信用出了问题，但纠正信用历史问题或欺诈性购买等将是非常困难或根本不可能做到的事情。 纽约医疗保健公司Cynerio首席执行官里尔曼(Leon Lerman)指出，该公司研究人员已发现，在“黑暗网站”上有一个复杂的市场，被盗数据可通过一定的渠道分销给最终用户，而黑客作为黑市价值链的顶端，已将大量原始患者数据出售给买家。而这对公众尤其是孩子的家长也提出了警示。 对此，他表示，为了避免个人信息外泄，除非绝对需要，否则应尽量保护个人信息的安全。一旦有孩子信息被盗，家长必须为孩子注册新的社安号。 BTB安全管理公司合伙人施乐西特(Ron Schlecht)也指出，黑客之所以窃取儿童数据，还因为它可以与其他数据相结合。例如，由于SSN和出生日期数据是真实的，黑客可使用伪造的名称和地址建立信用记录，而这是一种将真实信息和虚假信息结合起来的欺诈行为。 对此，消费及商业专家建议，孩子家长最好定期检查孩子们的信用记录。黑客对婴幼儿下手主要因为很多家长多年来疏于对孩子信用历史的检查。若孩子信用被滥用，可能需要他们靠年份积累来补救和恢复他们的身份和名誉，在极端情况下，他们可能需要获得一个新的社安号。此外，父母还应注重保护孩子的身份信息，切勿随意向外透露，包括学校、医院等。   稿源：环球网，封面源自网络；

据Wired报道，本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录，大小2TB，可能涵盖2.3亿人，几乎是全美的上网人口。 Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击，而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内。 最早发现的安全研究员Vinny Troia称，他想搜索的所有人的资料都可以在泄露数据中找到，《连线》的记者给了10个名字，最后准确返回6个结果。 虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息，但是隐私深度却超乎想象，包括一个人是否吸烟，他们的宗教信仰，他们是否养狗或养猫，以及各种兴趣，如潜水和大码服装，这几乎可以帮助构建一个人的几乎完整“社会肖像”。 目前，Exactis已经对数据进行了加密防护。在其官网，Exactis号称服务2.18亿独立用户，总计收集了超过35亿条商业、消费者和数字信息。   稿源：快科技，封面源自网络；

Mozilla今天宣布未来Firefox版本将引入一项令人兴奋的功能。这项功能就是建议安全审查工具，使用Troy Hunt的“Have I Been Pwned”（HIBP）数据库对已知泄露的数据库进行扫描，确认用户账号是否出现在其中。 去年11月份，该功能的初版首次曝光。Mozilla表示通过免费访问的数据泄露API来访问HIBP，一旦在该中发现账号那么就会自动向用户发出提醒。该功能当时只是一个通知系统，当用户访问恶意已经被窃取的时候才会发出提醒。 而现在Mozilla正将HIBP的完整服务整合到辅助网站– Firefox Monitor上。双方的合作允许用户通过输入邮箱地址来查看自己的账号是否已经在已知的数据泄露中曝光。如果出现在数据库中，那么 Firefox Monitor就会知道已经掌握的暴露程度，并提供相关建议。 目前该系统还处于规划和测试阶段。Mozilla正和HIBP和Cloudflare公司合作，创建一种匿名数据共享的方法以确保每个用户的隐私得到妥善的保护。 Firefox Monitor预计将于下周开始率先在美国地区开放，首批大约为25万用户。如果取得成功，将会进一步向所有Firefox用户开放。   稿源：cnBeta，封面源自网络；

移动应用安全提供商 Appthority 上周指出，由于配置不当，导致使用 Firebase 服务的 3,046 个移动应用暴露了计划用户信息，共计 113 GB，并且包括纯文本用户在内的超过 1 亿个可公开访问的数据。 帐号和密码以及 GPS 位置信息。 Firebase 是网络和移动应用程序的开发平台。 它提供了云消息传递，通知，数据库，分析功能以及许多后端 API。 它于 2014 年被谷歌收购，并受到众多Android开发者的欢迎。 也是最受欢迎的移动应用程序数据存储平台之一。 在查看超过 270 万移动应用程序后的 Appthority 中，发现 28,000 个移动应用程序将数据存储在 Firebase 的后端。 其中，3,046 个程序将 2,271 个数据错误地配置为 Firebase 数据库，同时允许第三方公开查看。 其中大多数是 Android 程序，占用了 2,446 个，另外有 600 个 iOS 程序。 所有泄露的程序数据量为 113GB，包含 260 万个明文密码和用户账号，400 万条聊天记录，2500 万个 GPS 位置信息以及 50,000 个金融交易信息。 Facebook / LinkedIn / Firebase 用户凭证为 450 万笔。 Appthority 指出，2,446 个 Android 程序在 Google Play 上的下载量超过 6.2 亿次。 它们分布在不同的类别中，从工具，生产力，健身，通信，财务和业务应用程序。 62％ 的公司至少使用其中一项计划。 虽然这主要是因为开发者没有验证访问权限，以至于任何人都可以访问属于 Firebase 数据库的配置故障，但 Appthority 正在指向 Google，认为 Firebase 未在默认情况下保护好用户数据，而且还缺乏可以加密用户数据的第三方工具。   稿源：开源中国，封面源自网络；

雷锋网消息，据外媒美国时间 6 月 18 日报道，未来几周内，谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示，只需在后台运行一个简单的脚本，黑客就能从 Google Home 或 Chromecast 电视棒上搜集精确的位置信息。 来自安全公司 Tripwire 的研究者 Craig Young 表示，他发现了谷歌这两款产品上的一个身份验证的弱点，黑客能通过弱点拿到用户极为精确的地理位置信息。原来，他们只需询问谷歌设备附近无线网络的名单，随后将该名单发给谷歌的地理位置查询服务就行。 “黑客完全可以进行远程攻击，只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品，打开一个链接就行。”Young 说道。“不过，这种攻击方法有其局限性，因为这个至关重要的链接至少要开启一分钟以上，攻击者才能拿到精确的地理位置信息。” 一般来说，网站都会记录访问者的数字 IP 地址，如果结合在线地理定位工具使用，就能搜集到访问者所处地理位置的信息。不过，此类地理位置信息在准头上可差得多。 但是，谷歌的地理位置数据可不一样，它们在全球有用大量无线网络名称的综合性地图，每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌，通过三角测量甚至能将用户地位精确到几英尺之内。（如果你不信，就请关掉手机上的定位数据并移除 SIM 卡，这时手机照样能找到你的位置）。 “与普通的 IP 地址定位相比，谷歌的位置数据精准度要高出不少。”Young 说。“如果现在我定位了自己的 IP 地址，得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位，位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据，定位精度就能缩短到设备周边 10 米左右。” “我只在三种环境下进行过测试，每次得出的地址都相当精确。”Young 说道。“基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置（已知）的三角测量得出。” 这个弱点除了会曝光 Chromecast 或 Google Home 用户的位置信息，还能让黑客有机可乘，发动钓鱼和勒索攻击。 其实全世界的骗子都差不多，美国的也喜欢冒充 FBI 或国税局来恐吓你，他们甚至还会威胁向你的家人和朋友泄露某些秘密，而精确的地里位置信息会成为骗子的帮凶，增加他们的手的几率。 雷锋网了解到，今年 5 月，Young 向谷歌报告了自己的发现，不过搜索巨头直接回复称，自己不会修复这个问题。但后来它们改了口，称准备推送升级包解决这两款设备的隐私泄露问题。据悉，这个升级包将于今年 7 月  中旬正式推送。 “我们必须假定，在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。“这就意味着，所有请求都必须进行验证，而所有未验证的响应都越模糊越好。” “如果你不太懂技术，解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。“只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口，攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术，但防范普通的攻击者绰绰有余了，因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。   稿源：雷锋网，封面源自网络；

Kenna Security 的安全研究人员最近发现，9,600 家分析机构中有 31％ 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏感的电子邮件信息。受影响的实体还包括财富 500 强公司、医院、大学和学院、报纸和电视台，甚至美国政府机构。 使用 G Suite 的组织在创建邮件列表可能会配置 Google Groups 界面。由于术语和组织范围与 Groups 特定权限很复杂，导致列表管理员无意中可能泄露电子邮件列表的内容。由于谷歌不会讲配置问题视为漏洞，也不会修复。因此，专家建议管理员阅读 Google 网上论坛文档，将“此域之外的访问权限 – 共享组”设置为“私有”。   稿源：Freebuf，封面源自网络；

根据Kromtech Security发布的报告，本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。 这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。 本田Connect是远程汽车管理应用程序，用户可以操作他们的本田智能汽车，也可以与本田汽车印度公司提供的服务进行预约和互动。   稿源：Freebuf，封面源自网络；

2017 年的时候，南非遭遇了一起大规模的数据泄露事故。然而转眼间，这个国家又发生了一起数据泄露，导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据，涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看，这些密码似乎与交通罚款相关的在线系统有关。 在澳大利亚安全顾问 Troy Hunt、“Have I Been Pwned”、以及 iAfrikan 和 Hunt 匿名消息人士的通力合作下，外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关（备份或公布）。 在刚接触的时候，消息人士称： 我拿到了一批新的泄露数据，中包含了 100 万南非公民的个人信息记录，如身份号码、手机号码、电子邮件地址、以及密码，我意识到它们是哪些网站流出的了。 其后续补充道： 这个包含百万人记录的数据库，是在一个公共网络服务商上被发现的。该属于一家处理南非电子交通罚款的公司。 与 2017 年泄露 6000 万南非公民个人记录的事件一样，iAfrican 在浏览了数据库后发现，这套“备份”的保存目录，竟然启用了公共浏览权限，这显然是疏忽大意而导致的。 Hunt 向 iAfrican 表示： 这起事件再次给我们敲响了警钟，如果缺乏应有的知识技能，我们的数据可以被散播到什么样的程度。 然而本次事件的风险更加严重，特别是明文保存的密码。它将带来不可避免的麻烦，比如解锁受害者的其它账户。 由于数据的可重用性，这一事件可能已经导致了多起其它在线账户的入侵。   稿源：cnBeta，封面源自网络；