据外媒报道，美国官方已经确认Vault 7泄露案中的一名主要嫌疑人。据了解，在Vault 7泄露案中，大量CIA使用的网络攻击遭到曝光，包括针对iPhone和Mac的软件漏洞。《华盛顿邮报》称，来自最新的法庭文件显示，政府当局认为Joshua Adam Schulte为维基解密提供了CIA绝密网络武器和间谍工具技术相关信息。 资料图 这位前CIA职工现因另外一项指控被关押在曼哈顿的一座监狱里。 Schulte于2016年离开CIA工程小组开始为一家私营企业工作，在此之前他在CIA负责破解为恐怖分子和其他目标所持有的电脑、智能手机和其他设备破解方法的代码。 代码文档被维基解密获取并于去年3月以Vault 7的名义对外公布。从iOS漏洞到Windows、Android恶意软件，大量攻击手法被曝光。 针对该次曝光，苹果随即作出反应，表示大量iOS漏洞都已经在先前的更新中得到修复。 去年7月，Vault 7又曝光了针对在Mac OS X10.6 Snow Leopard和OS X10.7 Lion运行的硬件的可操作漏洞。 虽然FBI在去年3月的曝光之后对Schulte在纽约的公寓进行了搜查但并未找到证实其跟Vault泄露案相关的证据。不过8月他被控持有儿童色情物品，在此之前，调查人员发现他在2009年在一上创建了的非法内容。当时Schulte还是德州大学的一名学生。 对此，Schulte并不认罪，并表示多达100个人都曾经访问过这个服务器。9月，Schulte被释放，但前提是他能保证自己不会离开纽约市以及从事与计算机相关的活动。去年12月，Schulte因违反相关规定再次入狱。 Schulte在提供《华盛顿邮报》的声明中指出，他曾向CIA监察长和国会监督委员会上报了不称职的管理和官僚主义行为，他认为这一动作让自己陷入了困境。“对于这些不幸的巧合，FBI最终作出了草率的判决，认定我是泄露的罪魁祸首并将矛头对向我。” 稿源：cnBeta，封面源自网络；

据 New Scientist 周一报道：剑桥大学的研究人员们，已经向一个分享门户上传了 300 万 Facebook 用户的数据。尽管数据被用户名和密码锁定，但学生们后来还是在网络上曝出了登录凭证。在政治咨询公司“前桥分析”的数据收集丑闻曝光之后，Facebook 无疑面临着越来越大的舆论压力，因为研究人员 Aleksandr Kogan 分享了他通过一款性格测试（personality quiz）应用收集到的信息。   在 New Scientist 披露的数据曝光事件中，另有研究团队通过一款名叫“我的个性”（myPersonility）的应用收集了用户信息，然后将之放到了一个 Web 门户上。 大约四年前，访问这批数据集的学生们在 GitHub 上张贴了用户名和密码。虽然数据已经过匿名化处理，隐私专家们还是可以轻松将它和最初在 Facebook 上发布的内容相联系。 4 月 17 号的时候，myPersonality 应用就已经被停用。Facebook 意识到了在 GitHub 上发布的登录凭证，声称此事违反了该公司不得滥用用户数据信息的规定。 Facebook 产品合作伙伴关系副总裁 Ime Archibong 在一封电子邮件声明中表示： 我们在大约一个月前停用了 myPersonality 应用，因为我们相信它可能违反了 Facebook 的政策。 当前我们正在对其展开调查，如果它不配合或未通过审计，我们会将它封禁掉。 Archibong 在周一的一篇博客文章中表示，作为打击滥用用户信息行动的一部分，这家社交网络巨头已经停用了大约 200 款 app 。 该公司会进一步调查这些应用，如果被发现有滥用的情况，Facebook 计划向用户通报其数据受到了多大的影响。 遗憾的是，剑桥大学、心理测验学中心和 Aleksandr Kogan 都未予置评。 稿源：cnBeta，封面源自网络；

据外媒 4 月 26 日报道，安全公司 Trustwave 的研究人员发现 ，西部数据（Western Digital：简称 WD）的 My Cloud EX2 存储设备默认情况下会在本地网络上泄漏文件，无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机，则情况会变得更糟。因为在这种情况下，My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。 根据 Trustwave 发布的安全公告，My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地网络用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用，也可以访问存储上的文件。也就是说，任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作，例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。 Trustwave 研究人员表示，泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下，未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制，从设备上获取任何文件。 Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题，并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC， 并建议用户关闭 DLNA 以保护数据。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 4 月 26 日报道，网络安全公司 Kromtech 偶然发现了一个 MongoDB 数据库，其中包含了超过 25,000 名投资或得到 Bezop（加密货币）的用户的个人信息，涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照或身份证等数据。 Bezop 是去年年底推出的一个新的加密货币，最近它的团队举办了一次首次发行代币（ICO），以筹集资金来创建一个由区块链驱动的电子商务网络。让该加密货币声名大噪的是， 网络安全专家约翰迈克菲将 Bezop 列入其“每周 ICO ”推荐信中加入了 Bezop ，不过后来 Bezop 团队承认向 McAfee 支付了费用来进行促销。 目前，该货币在 CoinMarketCap 网站上排名第 728 位，其交易价格为每股 0.06 美元。 据悉，该数据库存储了的数据与 Bezop 团队年初开始运行的“ 赏金计划 ” 有关，在项目期间，该团队将 Bezop 代币分发给在其社交媒体帐户上宣传货币的用户。 Bezop 发言人表示，该数据库包含约 6,500 名 ICO 投资者的详细信息，其余部分则是针对参与公众赏金计划并收到 Bezop 代币的用户。 直到 3 月 30 日，Kromtech 的研究人员在谷歌云服务器上发现了 MongoDB 数据库之后，数据似乎一直保持在线，并且该数据库没有适当的身份验证系统，允许任何连接到它的人访问存储的信息。 Bezop 发言人承认了这一违规行为，声称数据库是无意中在网上曝光的，但并没有用户资金因此遭受损失。另外投资者身份卡也没有存储在数据库上，而是直接链接到他们的 URL ，目前这也是处于脱机状态的。 Bezop 团队本周表示该数据库已经安全关闭了，并且也及时通知了其用户这一泄露事件。其实这并不是唯一 影响 Bezop 用户的安全相关事件。今年早些时候，Steemit 博客指责该公司通过电子邮件以明文发送 ICO 注册密码，以至于不必要地在线暴露用户。 消息来源：bleepingcomputer，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因生产 iPhone 解锁设备 GrayKey、并向美国多个执法机构销售，制造商 Grayshift 早已陷入舆论的风口浪尖。然而近日，该公司又遭遇了一起数据泄露，据说攻击者访问到了一小部分的 GrayKey 代码。外媒 Motherboard 报道称，上周，有不知名的黑客泄露了 GrayKey 的部分代码，并且向 Grayshift 勒索 2 枚比特币，不然就威胁进一步泄露其数据。 外媒称泄露的这部分数据“并不是特别敏感”，而 Grayshift 方面也证实发生了“短暂”的数据泄露： 本月早些时候，由于在客户站点上的一项网络配置错误，一款 GrayKey 装置的 UI 被短暂曝光到了互联网上。 在这段时间里，有人访问了构成 UI 的 HTML/Javascript 代码，但没有敏感的 IP 或数据被暴露，当时 GrayKey 进行了验证测试。 这项配置已完成变更，以帮助我们的客户阻止未经授权的访问。 尽管黑客以此为要挟，向 Grayshift 索取 2 比特币的封口费，但其提供的钱包地址到现在还没有得到任何资金。 不过 Motherboard 指出，在使用计算机搜索引擎 Shodan 的时候，还是能看到一款疑似暴露于互联网上的 GrayKey 设备和类似的代码： 要暴力破解复杂的字母数字密码，请上传自定义密码字典。如果字典没有上传，GrayKey将不会尝试暴力破解自定义的字母数字密码。 尽管基于 GrayKey 的技术可能会在未来某个时候被 iOS 系统更新给堵上，但据目前所知，其对最新款的 iOS 设备（包括 iPhone X）仍然有效。 稿源：cnBeta，封面源自网络；

当地时间星期二，身处近 1 亿 Facebook 用户个人信息被滥用漩涡中心的剑桥大学研究人员亚历山大·科根（Aleksandr Kogan）表示，他的所作所为对微定向广告——影响美国大选所需要的一种广告——没有什么帮助。科根说，他收集的数据对定向广告几乎没有什么帮助，他获得的数据对确定个人身份没有用。 他在向提交给英国议会委员会的书面证词中说，“如果目标是在 Facebook 上发布广告，我认为我们所做的项目没有什么意义。事实上，Facebook 提供了更有效的工具，使企业能根据用户的个性，而非我们提供的用户得分向他们发布广告。” Facebook 曾表示，在科根开发一款心理测试应用后，约 8700 万用户的个人资料可能被不恰当地共享给政治咨询公司剑桥分析。 Facebook 和剑桥分析都把科根列为数据滥用问题的元凶，但科根曾经表示，他成为卷入这一丑闻的公司的替罪羊。剑桥分析将于晚些时候在一次会议上回应科根的评论。 科根说，前剑桥分析 CEO 亚历山大·尼克斯（Alexander Nix）之前曾向议会说谎，称自己没有从他那里获得数据，“我们肯定向他提交了数据，这是无可争辩的。在被问到尼克斯曾说谎时，科根回答说，“，这一问题的答案是绝对肯定的。” 但科根表示，他认为剑桥分析母公司 SCL 不大可能将他提供的数据用于特朗普大选。 科根说，他从未从其创办的研究公司 GSR 领取过薪酬，来自 SCL 的大部分资金用于编写软件、获得数据和支付法务费用。他被允许保存通过这一项目收集到的数据。 科根表示，GSR 与 Facebook 存在密切合作关系，他在这家公司的合伙人之一约瑟夫·钱塞勒（Joseph Chancellor）目前就在 Facebook 任职。 科根表示，Facebook 称他欺骗了用户，这纯粹是谎言，是说谎者的危机公关，“公关就是公关，他们很容易指责其他人”。 稿源：cnBeta、凤凰网科技，封面源自网络；

IT 专家发现，美国医疗公司 Health Stream 在网上公开了一个数据库，其中包含约 10000 名医务人员的联系方式、名字、邮箱地址以及 ID 等信息。 该公司接到事件汇报后，已经及时将相关内容下线，但是在其他在线缓存中，还是能查到这些数据。这些数据可被恶意攻击者利用，针对该公司员工进行钓鱼攻击。 IT 专家将此事披露出来，提醒企业组织重视 IT 基础设施安全。而目前，Health Stream 尚未对此事作出回应。 稿源：freebuf，封面源自网络；

据外媒 CNET 报道，与 Facebook 数据隐私丑闻有关的应用程序开发人员 Aleksandr Kogan 表示，他不确定自己是否阅读过该社交网络的开发者政策，该政策禁止类似他开发的应用向 Facebook 营销公司出售或授权 Facebook 数据。 据外媒 CNET 报道，与 Facebook 数据隐私丑闻有关的应用程序开发人员 Aleksandr Kogan 表示，他不确定自己是否阅读过该社交网络的开发者政策，该政策禁止类似他开发的应用向 Facebook 营销公司出售或授权 Facebook 数据。 “对硅谷的信仰以及我们的信念……当然是普通大众必须意识到他们的数据正在被销售和共享，并用于向他们做广告，”科根告诉 CBS 的 Lesley Stahl 。“没人关心。” 为响应 Kogan 的采访，Cambridge Analytica 周日发布了一项回应，称 Kogan 和他的 GSR 公司已作出合同承诺，认为这些数据符合数据保护立法，并且该许可证仅适用于美国的 3000 万参与者。Cambridge Analytica 公司也敲定了 Kogan 数据的质量，并表示他们在2015年开始自愿收集愿意参与者自己的数据。 “Cambridge Analytica 公司的研究表明，与通过人口统计分组人群的传统方式相比，由 GSR / Kogan 许可的人格类型表现不佳，”该公司在声明中表示 Cambridge Analytica 再次强调称他们收到的原始数据以及系统中数据的衍生物在 Facebook 联系他们后被删除。 Cambridge Analytica 公司是引发两个国家政府和全球最大社交网络丑闻的核心。Facebook 在上个月禁止了这家总部位于英国的政治数据分析公司，称数据泄露事件中受影响的用户数多达 8700 万。 Facebook 曾表示，剑桥大学讲师 Kogan 通过个性测验应用程序合法收集数据，但后来通过与 Cambridge Analytica 共享信息违反了 Facebook 的条款，后者在 2016 年美国总统大选期间被特朗普竞选团队聘用。Cambridge Analytica 在周日的声明中表示，特朗普竞选期间使用的数据是由共和党全国委员会提供的。 Facebook 在 2015 年了解到数据泄露情况，但没有通知公众。相反，公司要求所有相关方都销毁这些信息。最近的报道称数据还没有完全删除。 Cambridge Analytica 公司一再表示，它通过合法授权的公司获得了数据。 稿源：cnBeta，封面源自网络；

据外媒 4 月 15 日报道，泰国最大 4G 移动运营商 TrueMove H 于近期遭遇了数据泄露，一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上，其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示，其子公司 I True Mart 遭受到了此次泄露的影响。 安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers，例如此次事件，Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H，但该操作人员并没有做出回应。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据 digital shadows 报道，在三个月的时间内有超过 15 亿个敏感文件被公开在网上，其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的，而是由配置错误的云存储、文件交换协议和文件共享服务导致的。 此次被曝光数据量高达 12,000 TB，这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储（NAS）驱动器上就可以轻易获得。 其中来源于 Amazon S3 Bucket 的占了 7%，SMB 占了 33%，Rsync 占了 28％，FTP 占 26％。 更加震惊的是，这些数据中有一些高度敏感的信息，例如安全审计报告、网络基础架构详细信息，甚至是渗透测试报告！Digital Shadows 称：“对这些被公开的文件进行分析表明，组织和个人在无意中暴露了大量的信息，这些数据会使具有恶意的攻击者受益，包括间谍和经济罪犯。”不论是个人还是组织，都应该尽快检查自己的信息安全状况。 稿源：cnBeta、开源中国，封面源自网络；