据BleepingComputer消息，当地时间12月17日，爱尔兰数据保护委员会（DPC）以Facebook涉嫌泄露2900万用户个人数据，违反了《通用数据保护条例（GDPR）》相关规定为由，对其母公司 Meta 处以 2.51亿欧元（约2.64亿美元）罚款。 该事件被指由未经授权的第三方对用户访问令牌的利用，导致敏感用户数据如姓名、电子邮件地址、电话号码和地理位置等被暴露，还对儿童造成了影响。尽管 Facebook  发现后立即采取了纠正措施，但该事件仍然违反了几条 GDPR 条款： 第 33 条第 3款：不完整的泄露通知细节——罚款 800 万欧元 第 33 条第 5款：对泄露事实/补救措施的记录不足——罚款 300 万欧元 第 25 条第 1款：未将数据保护嵌入系统设计中——罚款 1.3 亿欧元 第 25 条第 2款：未将数据处理限制在必要范围内——罚款 1.1 亿欧元 DPC副委员 Graham Doyle表示，此处罚突显了在设计和开发周期中未能融入数据保护要求将会给个人带来非常严重的风险和伤害，包括对个人的基本权利和自由构成风险。 对此，Meta向BleepingComputer表示，这一处罚与2018 年的数据泄露事件有关，已在确定问题后立即采取了补救措施，并主动通知了受影响的用户以及爱尔兰数据保护委员会。 近期Meta已在各地背负了多项罚款。11月4日，韩国个人信息保护委员会以违反《个人信息保护法》为由，对Meta 处以216 亿多韩元（至少1500万美元）罚款；同月，印度竞争委员会以Meta强迫 WhatsApp 用户同意与旗下其他 平台全面共享数据为由，对其开出2500 万美元罚单。 就在最近，Meta同意支付5000万澳元（约3160万美元）以了结因剑桥分析公司丑闻而进行的旷日持久的法律诉讼，该公司曾被曝未经许可保留了数百万Facebook澳大利亚用户的个人数据，并将其用于 This is Your Digital Life 应用程序，这些数据可能被滥用于政治分析。   转自Freebuf，原文链接：https://www.freebuf.com/news/417970.html 封面来源于网络，如有侵权请联系删除

美国纽约州一家法院已初步批准一项150万美元（约合人民币1086万元）的和解协议，用于解决针对One Brooklyn Health健康系统的修订后合并拟议集体诉讼。该诉讼源于2022年11月的一次网络攻击事件，该事件导致超过23.5万人的敏感健康数据遭到泄露。 此次事件波及One Brooklyn Health旗下位于纽约市布鲁克林区的三家医院，包括Brookdale医院医疗中心、Interfaith医疗中心和Kingsbrook犹太医疗中心，以及多个护理院和健康诊所。 诉讼指控之一是，One Brooklyn Health未能合理地保护、保障或存储原告和集体成员的个人身份信息和受保护健康信息，导致相关人员面临身份盗窃和欺诈犯罪的风险。 诉讼指控One Brooklyn Health未能合理保护、保障或存储原告及集体成员的个人身份信息和受保护的健康信息，导致相关人员面临身份盗窃和欺诈风险。 诉讼还指控One Brooklyn Health违反了纽约州消费者保护法，并未及时向受影响人员通报数据泄露事件。 One Brooklyn Health否认了所有指控。 人均最高获赔2600美元 根据拟议的和解协议，符合条件的集体诉讼成员可以提交索赔，最高可获得2500美元的实际自付损失赔偿，以及处理数据泄露后果所花费的时间补偿（最高4小时、每小时25美元）。 此外，和解协议允许集体诉讼成员申请两年的信用监控服务。 作为替代选择，集体诉讼成员可以放弃文件损失赔偿和信用监控服务的申请，直接领取一笔固定金额的现金补偿。这笔补偿金额将在扣除其他索赔和费用后由和解基金决定。 和解协议还建议向八名原告每人支付1000美元的服务奖励。根据法院文件，原告律师计划从和解基金中提取高达三分之一的金额（约50万美元），并申请补偿不超过5万美元的诉讼费用。 此外，该协议要求One Brooklyn Health增强数据安全措施。这些改进的费用将由One Brooklyn Health自行承担，与和解基金无关。法院文件并未具体说明One Brooklyn Health将实施哪些安全措施。 纽约州最高法院（位于国王县）计划于2025年2月26日召开和解协议最终批准听证会。 数据泄露详情 此次合并拟议集体诉讼的核心是One Brooklyn Health于2022年11月首次检测到的网络攻击。当时，该医疗机构发现其网络中存在可疑活动。这一事件导致其IT系统，包括电子健康记录和患者门户网站，长达一个多月无法正常访问。 根据One Brooklyn Health于2023年发布的数据泄露通知，调查显示，2022年7月9日至2022年11月19日期间，一名未经授权的行为者从其IT系统中获取了“一定数量”的数据。 调查进一步发现，网络犯罪分子在此次攻击中未经授权访问并窃取了超过23.5万人的个人身份信息，其中包括患者、员工及其配偶、受抚养人和受益人。 受影响的信息包括姓名、社会安全号码、驾照或州身份证号码、出生日期、金融账户信息、医疗治疗记录、处方信息、诊断信息以及健康保险信息等。 截至目前，One Brooklyn Health尚未公开声明此次事件是否涉及勒索软件。 One Brooklyn Health于2023年1月18日向美国卫生与公众服务部（HHS）报告了此次数据泄露，描述为涉及网络服务器的黑客事件，并称影响了500人。这一数字似乎是初步估算。 截至2023年11月8日，HHS民权办公室的《健康保险流通与责任法案》(HIPAA)数据泄露报告工具中仍显示此事件的受影响人数为500人。而根据One Brooklyn Health于2023年4月20日向缅因州总检察长提交的报告，实际受影响人数为235251人。 代表One Brooklyn Health处理数据泄露诉讼的律师未立即回应外媒信息安全媒体集团（ISMG）的置评请求。 原告律师事务所Shub & Johns LLC的律师本杰明·约翰斯（Benjamin Johns）在声明中表示：“我们对法院初步批准和解协议感到满意，并期待进行最终批准。”他未就该案的其他问题作进一步评论。     转自安全内参，原文链接：https://www.secrss.com/articles/72491 封面来源于网络，如有侵权请联系删除

伊利诺伊州债务减免服务提供商 Set Forth, Inc. 披露了一次数据泄露事件，导致 150 万美国客户的个人数据被泄露。 该漏洞于 2024 年 5 月 21 日被发现，是由一次外部黑客事件导致的，该事件泄露了敏感信息，包括姓名、地址、出生日期和社会安全号码。 该公司于 2024 年 11 月 8 日通知了受影响的个人，并提供身份保护服务以减轻潜在的滥用。 Set Forth, Inc. 为参加债务减免计划的消费者提供在线账户管理，并与 Centrex, Inc. 等企业对企业客户合作。 发生违规行为后，该公司向受影响方发出了详细通知，其中许多人因与 Set Forth 的业务合作伙伴有关联而收到通知。 违规披露显示，Set Forth 立即对可疑系统活动展开调查，并聘请第三方取证专家评估泄露程度并识别受影响的数据。 据称，此次网络安全事件暴露的个人信息可能包括某些账户的家庭成员或共同申请人的数据。 具体来说，泄露的数据包括： 全名 物理地址 出生日期 社会保障号码 考虑到所访问数据的性质，此次泄露的严重性使客户面临身份盗窃和相关欺诈的高风险，促使该公司迅速发出通知并提供保护服务。 此次泄密事件发生后，Set Forth 宣布了多项措施来增强其安全性。 该公司的事件响应措施包括对所有密码进行全局重置、实施高级端点监控软件以及增加新的安全控制措施，以防止未来发生类似事件。 此外，Set Forth 还通过 Cyberscout 安排了为期一年的免费信用监控和身份保护。 Set Forth 在给客户的通知中强调，尽管目前没有证据表明数据被滥用，但个人应对任何可疑活动保持警惕。 公司鼓励客户定期查看自己的财务和信用报表，并向客户提供有关如何激活 Cyberscout 服务以及通过欺诈警报或信用冻结来保护其信用文件的具体说明。       转自安全客，原文链接：https://www.anquanke.com/post/id/301825 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，今年2月，一个名为“KryptonZambie”的黑客者开始在 BreachForums论坛 上出售 1.328亿条个人信息记录，目前已证实，这些数据来自一家聚合数据的 B2B 需求生成公司 DemandScience（前身为 Pure Incubation）。 数据聚合是从公共来源收集、编译和组织数据，以创建一个对数字营销人员和广告商有价值的综合数据集，从而创建丰富的 “档案”，用于生成线索或营销信息。 在 DemandScience 的案例中，该公司从公共来源和第三方收集业务数据包括全名、实际地址、电子邮件地址、电话号码、职称和职能以及社交媒体链接。 黑客表示，他们从暴露的系统中窃取到了这些数据。对此BleepingComputer曾问询DemandScience，但被告知没有证据表明发生了数据泄露。DemandScience 企业传播高级总监Derek Beckwith表示“所有的系统都 100% 正常运行，我们没有发现任何迹象表明我们的任何系统或数据发生了黑客攻击或泄露事件。我们正在继续监测情况，因此目前不宜进一步扩大事态。” 到了8月15日，KryptonZambie 以 8 个论坛积分（相当于几美元）的价格出售数据集，基本上是免费泄露数据。 黑客发布的数据泄露帖子 11月13日，安全专家、数据泄露查询网站Have I Been Pwned（HIBP）创始人特洛伊·亨特（Troy Hunt）发表博文，称已确认数据的真实性，有受数据泄露影响的人联系了 DemandScience，并被告知泄露的数据来自两年前已退役的系统。 亨特还在泄露的数据中找到了自己的个人信息，包括他在辉瑞工作时的数据。 目前被盗数据集中的所有 1.22 亿个唯一电子邮件地址已添加到BIBP中，受影响的订阅者将收到有关数据泄露的邮件通知。     转自Freebuf，原文链接：https://www.freebuf.com/news/415274.html 封面来源于网络，如有侵权请联系删除  

据Cyber News消息，11 月 10 日，一名黑客在某黑客论坛上列出了一个待售数据集，声称它包含 4.89 亿 Instagram 用户数据。 Instagram 每月有超过 20 亿活跃用户，意味着如果这些数据被证明是真实的，将影响将近四分之一的用户。 黑客分享了 100 多条数据样本，包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”，但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称，数据样本中共享的 Instagram 配置文件似乎是真实的。 抓取的数据样本 数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中，可能意味着数据确实是新的，但也可能是故意伪造的。 至于这些数据是通过何种方式获取，研究人员称如果黑客的行为可信，并且通过抓取公共 API 获取数据，则意味着私有 Instagram API 已向公众暴露，或者其公共 API 受到了对象属性级授权（Broken Object Property Level Authorization）的攻击。 Cybernews 已联系 Instagram 的母公司 Meta 寻求置评，但尚未收到回复。 虽然数据抓取处于法律灰色地带，但根据 Meta 的政策，未经公司许可，使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 （EDM） 团队，专注于检测和阻止抓取。 据说该团队还通过与威胁情报研究人员合作，并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。       转自Freebuf，原文链接：https://www.freebuf.com/news/415153.html 封面来源于网络，如有侵权请联系删除

亚马逊披露了一起数据泄露事件，据称在 2023 年 5 月的 MOVEit 攻击中被盗的信息暴露了员工数据。 亚马逊披露了一起数据泄露事件，据称员工信息在 2023 年 5 月的 MOVEit 攻击中被盗。该公司称，数据是从第三方供应商处窃取的。 亚马逊没有披露受影响员工的人数。 在黑客论坛 BreachForums 上，一个名为 Nam3L3ss 的威胁者泄露了 280 多万条包含员工数据的记录。 被泄露的数据包括姓名、联系信息、办公地点、电子邮件地址等。暴露的数据不包括社会安全号或财务信息。 “亚马逊和 AWS 系统仍然安全，我们没有遇到安全事件。我们接到通知，我们的一家物业管理供应商发生了一起安全事件，包括亚马逊在内的几家客户都受到了影响。”亚马逊发言人亚当-蒙哥马利（Adam Montgomery）告诉 TechCrunch：“唯一涉及的亚马逊信息是员工的工作联系信息，例如工作电子邮件地址、办公桌电话号码和大楼位置。” 这家跨国科技公司证实，它已经修补了威胁者在攻击中发现的漏洞。 这将是有趣的几天。 亚马逊于 2023 年 5 月通过 MoveIT 0day 漏洞被入侵。根据我们收到的信息，我们可以确认亚马逊的数据是 100% 合法的。 更多信息：https://t.co/fCQF3Gy3nG – vx-underground (@vxunderground) 2024 年 11 月 11 日 网络安全公司 Hudson Rock 的研究人员报告称，“Nam3L3ss ”还声称据称从 25 个主要组织窃取的数据泄露。 “MOVEit此前已知被CL0P勒索软件组织利用，虽然很多公司都与该漏洞有关，但亚马逊、麦当劳等此次特定漏洞中的公司却与之无关。”哈德逊岩石公司发布的报告中写道。“研究人员目前还无法确认这些数据是来自 CL0P、其关联公司，还是 Nam3L3ss 自己利用了这些公司。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301785 封面来源于网络，如有侵权请联系删除

区块链技术解决方案公司OwlTing因开放了对AWS存储（S3）的访问，不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。 7月29日，Cybernews研究团队在例行的开源情报（OSINT）调查中，发现了一个配置错误的亚马逊S3存储桶，其中存储了大量文件。S3存储桶是亚马逊网络服务（AWS）上的简单云存储容器，类似于用于存储文件的文件夹。 该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息（PII）。 此次泄露被归咎于OwlTing，这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司，提供着广受认可的区块链解决方案。 该公司确认了这一事实，并采取了相应的措施来遏止泄露。然而，它对事件的严重性有所弱化，称：“此次泄露不涉及任何敏感数据。” 但Cybernews研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露，可能导致各种形式的身份盗窃和欺诈，给被泄漏方带来严重风险。” 那么究竟泄露了哪些数据呢？ 暴露的数据似乎与酒店管理服务有关，并且主要包含了来自Booking、Expedia等流行平台的预订数据。 泄露的数据包括以下内容： 全名 电话号码和一些电子邮件地址 酒店预订详情，如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。 图片来源：cybernews 泄露的电子邮件地址大约有3,000个，但大多数电话号码皆被收集，总数接近900万条。 暴露电话号码中超过92%属于台湾用户，与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户，但几乎没有识别出美国用户。 数据可能被攻击者使用 Cybernews研究人员警告说，暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼（vishing）、短信钓鱼（Smishing）和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，数据可能与其他过去的泄露结合起来，试图进行金融欺诈或账户入侵攻击。 研究人员警告说：“攻击者可以使用过去的酒店预订详情，进行极具欺骗性的网络钓鱼行为。例如，一条短信或电子邮件引用在特定酒店的住宿，请求反馈或为未来的预订提供折扣，都可能会诱使个人点击恶意链接或提供更多个人信息。” 欺诈者可以使用电话号码给用户打电话或发送短信，假装是酒店或相关服务的人，索要敏感信息，如信用卡号或密码。此外，一长串电话号码可能被用于非法的自动拨号。 网络跟踪（Doxxing）是另一个严重威胁，因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。 网络犯罪分子会使用AI和其他智能工具大规模发起攻击。 Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论，但在发布前没有收到回应。 谨慎对待亚马逊S3存储桶 Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤： 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。 监控访问日志，以评估存储桶是否被未经授权的行为者访问。 启用服务器端加密以保护静态数据。 使用AWS密钥管理服务（KMS）安全地管理加密密钥。 实施SSL/TLS以确保数据传输中的安全通信。 考虑加强安全实践，包括定期审计、自动化安全检查和员工培训。 OwlTing成立于2010年，总部位于台湾，专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处，包括美国、日本、马来西亚、泰国和新加坡。 披露时间线 2024年7月29日：发现泄露。 2024年8月2日：发送初次披露电子邮件，并随后发送了多封跟进电子邮件。 2024年9月13日：通知台湾CERT。 2024年9月19日：关闭了对数据的访问。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

凭证被盗仍然是数据泄露的最常见原因。有多种方法可以防止此类违规行为，最有效的方法对开发人员的工作效率影响最小，同时在开发过程中尽早发现问题，此时问题仍然成本低廉且易于修复。 图片来源：安全客 这正是 GitGuardian 的新 Visual Studio Code 扩展的使命：将强大的左移安全实践直接引入开发人员的工作流程。 该扩展的工作原理是在保存文件时对文件进行扫描，在文件添加到版本库之前提醒用户注意任何潜在的秘密。它与流行的 Visual Studio 代码编辑器无缝集成，提供清晰的通知，并允许用户轻松修复问题。该扩展基于 GitGuardian 命令行工具 ggshield 提供的现有功能，使开发人员能更轻松地保护自己的敏感信息。 主要优点包括： 实时代码扫描：一旦检测到秘密，就会直接在代码中突出显示，并在状态栏中显示红色警告。 指导补救：扩展提供自定义补救信息，建议采取纠正措施，如将秘密存储在安全保险库中。 对开发人员友好： 通过一键安装和简化的身份验证，上手非常容易。无论何时保存文件，都会自动使用 ggshield 进行扫描，无需安装。     转自安全客，原文链接：https://www.anquanke.com/post/id/300870 封面来源于网络，如有侵权请联系删除

据Hackread研究团队发现，名为IntelBroker的黑客声称已从网络巨头思科窃取了数据，并关联到一些知名公司的源代码，包括微软、亚马逊、AT&T等，相关数据已在黑客论坛Breach Forums 上出售。 据黑客称，数据泄露发生在 2024 年 10 月 10 日，并于10月14日在Breach Forums上发布。据 Hackread研究团队所见，Intel Broker 列出了据称在泄露中被盗的大量数据类型，包括： 源代码：来自 GitHub、GitLab 和 SonarQube 的项目，对 Cisco 的开发工作至关重要。 硬编码凭证：源代码中嵌入的敏感信息，如登录详细信息。 证书和密钥：SSL 证书以及对安全通信至关重要的公钥和私钥。 机密文档：分类为“Cisco 机密”的内部文档和信息。 API 令牌和存储桶：可用于访问关键系统的 AWS 私有存储桶、Azure 存储桶和 API 令牌。 其他敏感信息：包括Jira 票证、Docker 版本和 Cisco 高级产品信息。 图片来源：FreeBuf IntelBroker 还分享了一份据称在泄露期间窃取的生产源代码公司名单。该名单包括几家备受瞩目的公司，尤其是在电信和金融领域，例如：Verizon、AT&T、T-Mobile、美国银行、沃达丰，以及科技巨头微软等。 IntelBroker 将以门罗币（XMR）的形式出售这些被盗数据。门罗币是一种以其隐私功能而闻名的加密货币。黑客表示，他们愿意使用中间人来促进交易，确保买卖双方的匿名性。这种方法是网络犯罪分子的常见做法，以避免被当局检测和跟踪。 在截至Hackread发稿时，思科尚未对此事给出回应，如果此次泄露事件得到确认，可能会对 Cisco 和受影响的公司产生重大后果。 据悉，这是思科时隔两年后再遭遇数据泄露。2022年8月，黑客声称窃取到2.75GB数据，约3100个文件，其中不少文件为保密协议、数据转储和工程图纸。 近来，IntelBroker 以备受瞩目的数据泄露攻击而闻名。今年6月，黑客声称入侵了苹果公司，窃取了内部工具的源代码，同月还声称入侵了AMD，窃取了员工和产品信息。 而在更早前的5月，IntelBroker入侵了欧洲刑警组织并得到了对方证实。 尽管对该黑客的来源和附属组织尚不清楚，但据美国政府称，IntelBroker 被指控是其中一起 T-Mobile 数据泄露事件的幕后肇事者，这起发生在2022年11月的攻击事件导致3700万名用户数据被泄露。 参考来源：T-Mobile Hacked Again: 37 Million Accounts Compromised     转自FreeBuf，原文链接：https://www.freebuf.com/news/412837.html 封面来源于网络，如有侵权请联系删除

日本游戏开发商Game Freak，即《精灵宝可梦》系列游戏的幕后公司，遭遇了漏洞攻击，导致2606名员工及合作伙伴的数据外泄。 10月初，宝可梦泄漏事件的信息首次出现在“4chan”论坛上，现以“TeraLeak”的名义在社交媒体和在线论坛上流传。事件的命名效仿了2020年的“GigaLeak”任天堂泄露事件。 Centro LEAKS（对宝可梦泄漏信息进行监测的社媒账户）称：“TeraLeak包含数千兆字节的信息。” 据悉，泄露的信息中包括多条有关电子游戏的内幕消息，比如任天堂Switch 2的疑似代号、宝可梦HeartGold和SoulSilvethe等现有游戏的源代码、下一代《口袋妖怪》游戏的数据以及一款尚未公布的游戏名称。 Game Freak确认漏洞 10月10日，游戏公司证实，它在8月的确经历了一起安全事件，在此期间，第三方未经授权访问了其系统，导致了2606名前、现任员工信息的泄露。 Game Freak表示：“我们已经检查并重建了服务器，将进一步加强安全措施，防止泄露的再次发生。另外，我们正在单独联系受到影响的员工，并专设事件热线，处理有关此事的查询。” 至于宝可梦或任天堂相关的数据是否被曝光，该公司并未说明，也未披露泄露信息的准确性。 即将推出的宝可梦游戏《宝可梦传奇：Z-A》目前正在开发中，计划于2025年发布。     消息来源：Infosecurity-Magazine，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文