美国信用巨头 Equifax 上周证实逾 1.43 亿用户的敏感信息外泄。不过，公司随后上线了一个服务网站，允许用户查询自己的账号信息是否遭到泄漏。但为了同意查询，用户需要放弃自己起诉获得赔偿的合法权利。除此之外，Equifax 还在游说杀死保护数据泄漏受害者的法规。 Equifax 游说的消费数据产业联盟表示：“允许用户起诉公司并不是为大众利益或公益事业服务，企业在当前的法律下将面临严厉的民事责任条款 ”。 不过，研究人员对其网站进行验证时发现，当输入一些看似随机的姓氏与社保号码时，并不能确保返回信息是否准确。例如：任意输入 “ Test ” 作为姓氏、“ 123456 ”作为社保号码时，系统验证输出该公民 “ 可能已受到影响 ”。另外，有趣的是，两名不同用户验证同一账号时，却得到两种不同结果。目前，Equifax 并未作出任何置评。 本文根据 zdnet 与 solidot奇客 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 8 日报道，网络安全公司 Kromtech 研究人员 Bob Diachenko 近期发现国际知名退税公司 MoneyBack 运行了一台不安全数据库，导致逾 400GB 墨西哥游客敏感信息在线泄露，其中包括用户姓名、地址、电话号码、信用卡数据等。 MoneyBack 是一家向国际游客办理退税手续的公司，其全球各零售商店均与该公司合作，并鼓励游客通过境外购物以获得减税优惠。 Bob Diachenko 近期在一篇博客中表示： “ 我们于今年 8 月首次发现该数据库因无密码保护，允许任意黑客轻易访问并通过 MoneyBack.mx 告知用户虚假增值税率以骗取钱财。随后，我们于 9 月 4 日对其进行审查与分析，以便确定影响范围 ”。 研究人员通过扫描 455038 份文件发现，该数据库还包含来自美国、加拿大、阿根廷、哥伦比亚、意大利等多国公民护照信息。此外，他们检测到上传该数据库的第一份文件可追溯至 2015 年，而最近的上传日期为 2017 年 5 月。 据悉，MoneyBack 在该事件曝光后立即修改访问权限以确保用户数据安全。不过，研究人员尚不清楚数据信息是否已被黑客利用。目前，MoneyBack 并未作出任何置评。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 8 日报道，美国征信企业 Equifax 披露称，公司网站遭黑客攻击，1.43 亿美国公民记录在线泄露。 美国共有 3 家大型老牌征信企业，Equifax 正是其中之一，它掌管 8 亿公民的信用、保险记录，如果黑客想窃取数据，Equifax 往往会成为攻击目标。Equifax 表示，泄露从 5 月中旬开始，直至 7 月 29 日公司才察觉。 目前，犯罪分子已获取公民个人信息，其中包括姓名、住址、出生日期、社会保障号，有时还会包含驾照信息。据悉，黑客可以通过访问公民信息，为受害用户创建帐户或接管帐户。此外，在美国泄露的信息还包括 20.9 万人的信用卡卡号、18.2 万人的特定争议文件。 为了应对危机，Equifax 开通一个向所有美国公民提供 1 年免费保护的服务网站，可以对公民信贷进行监控，以防止身份被窃，只是暂时还不知道是否实用。由于受害者众多，泄露的信息也很多，这可能是近年来最大的泄露事故。之前雅虎虽然泄露了 10 亿帐户的信息，不过里面没有包含社会保障号和驾照号码。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒 9 月 6 日报道，继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后，安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据，导致逾 400 万客户信息在线泄露，其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。 BroadSoft 是一家知名云服务企业，其上市公司在 80 多个国家拥有逾 600 家服务供应商。BroadSoft 合作伙伴通常与通信、电信、媒体或其他领域的知名企业有关，其中包括时代华纳、AT&T、Sprint、沃达丰等大型公司。此外，在全球排名前 30 的服务提供商中，有 25 家都使用 BroadSoft 基础设施。 调查显示，研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现，管理人员因配置错误未关闭服务器公共访问权限，导致任意用户均可匿名访问。因此，攻击者只需使用匿名登录就可从该数据库中窃取想要信息。目前，BroadSoft 并未作出任何置评，而时代华纳在事件发生后当即通知受害用户并告知供应商删除所有数据记录。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据《大西洋月刊》发布文章称，印度最大的生物识别数据库 Aadhaar 近期引发隐私战。作为该国的生物识别身份项目，Aadhaar 的初衷是帮助政府解决诸多的社会问题，简化政府服务提供流程，但它的实际效果并不理想，非但没有帮助政府本想帮助的众多群体，还爆发了多起信息泄露事件，让本已弱势的人受到更大的伤害。 2009 年，印度政府启动一个后来成为全球第一大生物识别数据库的新身份项目，当时该举在国外并未引起关注。该项目名为 Aadhaar，收集超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片和虹膜扫描。在这一过程中，Aadhaar 渗透到印度人们日常生活的每一个方面，从学校上学到医院看病，再到银行获得金融服务。它可谓打开了规模前所未见的数据收集的路径。 印度政府认为 Aadhaar 是解决诸多社会问题的重要解决方案，但在评论家眼里，它则是向国家实施监控迈出的一步。如今，Aadhaar 实验面临着来自印度最高法院的严重威胁——一个可能关乎其存亡的威胁。8 月末，印度最高法院作出一项一致性判定，首次在印度宪法中认定隐私的基本权利。该判定备受 Aadhaar 反对者的拥护，他们认为该项目与该新授予的权利背道而驰。不久以后，最高法院将会聚焦该问题，如果他们发现 Aadhaar 违反隐私权，那么立法委员将需要重新考虑整个项目。但如果最高法院裁定该项目符合宪法，那本已经受困于眼界和野心的 Aadhaar 将会继续发展下去。 Aadhaar 项目向所有的印度居民开放，一开始是自愿参与，仅提供少数的一些政府补助，其中包括食物补助和用于做饭做菜的液化石油气补助。它瞄准的是那些最需要这些资源的人群，尤其是那些因为没有官方身份证而无法开银行账户或者参与原来的福利项目的农村居民。 不过，该项目渐渐偏离了使命。在外包公司 Infosys 联合创始人南丹·尼勒卡尼（Nandan Nilekani）的领导下，Aadhaar 被用来将由数据驱动的改进应用于各类公共和私营行业服务。印度议会成员杰伦·兰密施（Jairam Ramesh）讽刺该项目是“强制性自愿参加”。目前，该项目已经出现大量个人隐私信息遭滥用的证据。过去几个月备受关注的案例常常见诸报端： 210 家政府机构公开福利受益人的全名、地址和 Aadhaar 号码；1.1 亿用户的 Aadhaar 信息从电信公司 Reliance Jio 外泄（该公司声称那些外泄数据是不真实的）；超过 1 亿人的银行账户和 Aadhaar 细节信息通过特定的公开政府门户被泄露；政府的电子医院数据库被入侵，Aadhaar 机密信息遭访问。 对此，自由软件法律中心法务总监米什·乔杜里（Mishi Choudhary）不感到意外。他指出，“我们正处在一个科技以几乎一模一样的方式席卷整个地球的阶段。很多国家都在相互参考，以获得如何调整它们的法律体系适应现代世界的指引 ”。 稿源：cnBeta、网易科技，内容有删减；封面源自网络。

数据泄漏平台 LeakBase 近期透露，社交媒体平台 Taringa 逾 2800 万账户信息在线暴露，其包括用户名、电子邮件地址与散列密码。目前，LeakBase 已获得被盗数据库副本。 Taringa 被称为拉丁美洲最大的在线网站，是拉丁美洲网民用于创建与分享日常生活、教程、食谱与艺术等兴趣的社交平台。 调查显示，Taringa 用户所使用的散列密码算法 MD5 极其薄弱，致使黑客能够轻松破解后进行黑客活动。实际上，LeakBase 研究人员已经在短短几天内成功破解 93.79％（ 近 2700 万）的散列密码，其中包含超过 1500 万个单一密码。为检测数据是否真实，LeakBase 在 THN 上分享了 450 万名 Taringa 用户的转储数据后通过电子邮件地址随机与部分 Taringa 用户取得联系并利用已破解的纯文本密码进行登录，从而得到证实。 知情人士透露，此次数据泄露事件似乎可以追溯至今年八月，但该公司仅通过邮件通知网站受害用户。不过，作为该事件的回应措施，Taringa 在用户使用旧密码访问账户时通过电子邮件向用户发送密码重置链接。以下是 Taringa 数据泄露的相关统计数据： 不幸的是，多数破解的密码仅由字母或数字组成，其不包含任何特殊字符或符号。下面研究人员列出了 Taringa 用户最常用的密码，如 123456789、123456、1234567890、000000、12345 与 12345678。由此表明，Taringa 平台并未强制用户使用复杂密码进行账号保护。 除破解密码外，LeakBase 还可以查看泄露数据转储中包含的电子邮件地址，其最常见的电子邮件域如下所示： 目前，研究人员不仅建议 Taringa 用户尽快更改密码，还提醒他们不要通过电子邮件点击任何可疑链接或附件并在无需验证下提供个人或财务信息。 附：有关 LeakBase 分析的更多详细信息 原作者： Pierluigi Paganini ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，瑞典最大网络托管公司 Loopia 数据库遭黑客入侵，引发数十万客户敏感数据泄露。随后，Loopia 发表声明，宣称黑客于 8 月 22 日入侵公司数据库系统，并在线访问部分客户敏感信息，包括客户个人资料、联系方式，以及 Loopia Kundzon 登录密码。不过，客户信用卡支付信息与电子邮件等服务并未遭受影响。 Loopia 拥有数十万客户，其中多数来自瑞士首都斯德哥尔摩、诺贝尔奖委员会所在地卡罗林斯卡研究所，以及瑞典西海岸中心地区 Västra Götaland。 据悉，Loopia 公司在确保系统安全后于 8 月 25 日通知客户，并建议其重置系统密码并更新个人信息，以避免黑客再度展开攻击活动。 原作者：Richard Chirgwin ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 8 月 26 日消息，安全研究人员 Ankit Anubhav 近期在 Twitter 上分享了一条消息，声称逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏，疑似成为黑客通过僵尸网络进行 DDoS 攻击的动力来源。 据悉，该列表包含 33,000 个 IP 地址，最初于今年 6 月在 Pastebin 平台出现，早期名单的泄露者与此前发布有效登录凭据转储、散发僵尸网络源代码的黑客是同一人。 统计显示，该列表中的多数 IoT 设备均包含默认登录凭证，其出现频率最多的前五名分别是： root: 出现 782 次 admin: 出现 634 次 root: 出现 320 次 admin: 出现 21次 default: 出现 18 次 GDI 研究人员 Victor Gevers 在分析了上述列表后确认它由 8200 个独特 IP 地址组成，大约每 2.174 个 IP 地址是通过远程登录凭证进行访问的。然而，该列表中的 61％ IP 地址位于中国。 此外，该开发人员还在 Pastebin 平台上公布了包括标题为 “Easy To Root Kit”、“Mirai Bots”、“Mirai-CrossCompiler”、“Apache Struts 2 RCE Auto-Exploiter v2”、“Slowloris DDoS Attack Script” 等在内的恶意脚本，以供其他网络罪犯任意使用。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 7 日报道，思科（ Cisco ）子公司 Meraki 于上周证实，由于技术团队进行云配置更改，导致北美部分客户数据在此过程中意外丢失，其中包括 Meraki 仪表盘自定义主题、自定义平面图像、品牌标识、总结报告与其他企业自定义应用程序、交互式语音响应菜单、音乐图像等信息。 Meraki 是一家为无线、交换、安全、电子、通信与安全摄像头提供云管理的信息技术公司，其基于云平台对网络设备进行集中化管理。调查显示，目前已有超过 14 万客户与 200 万网络设备使用 Meraki 服务网站。 Meraki 随后发表声明，指出该问题虽然导致客户部分数据丢失，但并不会影响其网络操作。此外，该公司还将提供帮助客户识别且恢复数据的程序。目前，该问题已得到纠正，但思科并未具体说明存在多少客户受到此次事件影响。 英国知名媒体 IBTimes 表示，由于近期与云配置相关的泄露事件持续增加，因此业界各机构需要更安全的配置保护公共云基础设施，以确保用户数据、企业网络与云应用程序的安全。 原作者：Hyacinth Mascarenhas， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

当 65 万田纳西人在孟菲斯地区投票时，他们可能没有想到他们的个人资料最终会在拉斯维加斯凯撒皇宫的黑客会议上被展示出来。美国投票制度的优势在“笨重”的投票机，有助于防止大规模黑客入侵。但是，美国政府工作人员会将旧的投票设备拍卖给公众。 这次黑客们从eBay上购买了退役的 ExpressPoll-5000 投票机，他们发现政府工作人员没有将设备当中存储的选民信息抹去，这台机器当中存储了在田纳西州谢尔比乡村投票的 65 万 4517 人的个人记录，不仅包括名字，地址和生日，还包括政党信息，以及他们是否投票缺席，是否被要求提供身份证明等信息。 目前，ExpressPoll-5000 成为全国最受欢迎的投票机，安全专家表示，这种投票机退役之前没有正式的审核过程，检查投票机当中存储的信息是否已经抹去，因此无法估计有多少台投票机拍卖时无意中包含选民记录。 任何有权使用这种设备的人 – 无论是在选举日还是在家中使用 ExpressPoll-5000 ，都只需要中等的计算机技能来检查这些记录。它们存储在可移动存储卡上。任何人拉出驱动器并用计算机读取存储卡，将看到驱动器的内容，其中包括记录选民信息的数据库。 稿源：cnBeta、，稿件以及封面源自网络