据Cyber News消息，荷兰数据保护局 （Dutch DPA）  已向美国人工智能公司Clearview AI 开出 3050 万欧元（3370 万美元）巨额罚款，并对其服务下达了使用禁令。 Clearview AI 是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。 当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点，也未对这一行为进行授权。 荷兰数据保护局主席亚历德-沃尔夫森（Aleid Wolfsen） 称，Clearview AI 为欧盟以外的实体提供服务，而人脸识别等侵入性技术的使用应受到明确监管。例如警方必须在严格的条件下、在荷兰 DPA 和其他监管机构的监督下自行管理软件和数据库。 当局也向 Clearview AI的客户发出警告，由于该公司违反了法律，使用其服务也会成为非法行为，若继续使用将面临被罚款的风险。 根据荷兰数据保护局解释的法律规则，Clearview AI 根本就不应该建立包含照片、唯一生物识别代码和其他相关信息的数据库，与指纹一样，这些都是生物识别数据，收集和使用这些数据是被禁止的行为。虽然这项禁令有一些法定的例外情况，但 Clearview 不符合依赖这些例外情况。 沃尔夫森表示，Clearview AI 拒绝配合披露其 “非法 “数据库中包括哪些类型的个人数据，这样一家公司不能继续侵犯欧洲人的权利，也不能逍遥法外。 我们现在要调查是否可以追究公司管理层的个人责任，并对他们的违规行为处以罚款。 如果董事会知道有人违反了 GDPR，他们就有权阻止这种行为，否则，如果有意识地接受了这些违法行为，那么董事会就将承担相应责任。 多年来，Clearview AI已在欧洲面临了多次违法纠纷，法国、奥地利、意大利、希腊和英国的监管机构指控该公司使用“自动数据爬虫”。2022 年 10 月，法国对 Clearview 处以 2000 万欧元的罚款。2023年11月，Clearview AI 赢得了针对英国隐私监管机构的诉讼，并推翻了对该公司的另一项巨额罚款。   转自Freebuf，原文链接：https://www.freebuf.com/news/410169.html 封面来源于网络，如有侵权请联系删除。

Cisco Talos 研究人员在适用于 macOS 的 Microsoft 应用程序中发现了八个漏洞。这些漏洞可能允许攻击者将恶意库注入 Microsoft 的应用程序并获取访问权限。这可以访问麦克风、摄像头和屏幕录制等敏感资源，从而可能导致数据泄露或权限提升。 Cisco Talos 发现 Microsoft macOS 应用程序中存在漏洞，攻击者可以利用这些漏洞在用户不知情的情况下发送电子邮件、录制音频、拍照或录制视频。 尽管存在这些风险，但 Microsoft 认为这些问题风险较低，并拒绝修复它们，并表示某些应用程序需要允许未签名的库才能支持插件。Talos 提供了这些漏洞的列表以及相应的 Talos ID 和 CVE。 macOS 上的透明度、同意和控制 (TCC) 框架要求应用程序在访问联系人、照片或位置等敏感资源之前获得用户的明确同意。 TCC 与授权配合使用，授权是应用程序支持特定功能所需的能力。虽然开发人员可以使用多种授权，但最强大的授权仅供 Apple 自己的应用程序和系统二进制文件使用。 当应用程序请求访问资源时，会触发权限弹出窗口以征求用户批准。 研究人员专注于通过注入恶意库来滥用其他应用程序的权限或授权，从而利用 macOS 应用程序。一种名为 Dylib Hijacking 的技术允许将代码插入正在运行的应用程序中。 尽管 macOS 功能（如强化运行时）旨在防止此类攻击，但如果成功，注入的库可以利用授予原始应用程序的所有权限，有效地代表其行事。 用户授予的权限记录在TCC数据库中。专家指出，TCC 模型并非万无一失。如果具有提升权限的受信任应用程序受到攻击，则可能会被操纵以滥用其权限，从而在用户不知情的情况下执行未经授权的操作（例如屏幕录制）。 研究人员注意到，微软的几款 macOS 应用程序使用了强化运行时，以增强安全性。然而，它们也依赖于有风险的com.apple.security.cs.disable-library-validation授权。 强化运行时可防止库注入，使用沙盒可保护数据，但攻击者可以使用恶意软件，利用其授权和权限来破坏特定应用程序。 当应用程序从可操纵的位置加载库时，就会出现这种风险，允许攻击者注入库并运行任意代码，利用应用程序的权限。并非所有沙盒应用程序都同样脆弱；特定的授权或漏洞会增加易受攻击性。 分析重点关注两组 Microsoft 应用，第一组“Microsoft Office 应用”包括 Microsoft Word、Outlook、Excel、OneNote 和 PowerPoint，这些应用具有共同的漏洞。 第二组“Microsoft Teams 应用”包括主 Microsoft Teams 应用及其辅助应用：WebView.app 和 com.microsoft.teams2.modulehost.app。由于辅助应用和特定功能，该组存在明显的漏洞。专家们证明了这些应用存在漏洞，并描述了这些问题的潜在影响。 macOS 上存在漏洞的 Microsoft 应用程序允许攻击者利用应用程序的所有授权并重复使用权限，而无需任何用户提示。 Microsoft 使用该com.apple.security.cs.disable-library-validation授权来支持“插件”，而根据 Apple 的说法，该授权应该只允许加载第三方签名的插件。 Microsoft 的 macOS 应用程序主要使用基于 Web 的“Office 插件”，这引发了人们对此授权必要性的担忧。 研究人员警告说，通过禁用库验证，Microsoft 可能会绕过 macOS 强化的运行时安全性，使用户面临不必要的风险。 “我们以微软的应用程序为例。这些应用程序都启用了强化运行时，并获得了授权 com.apple.security.cs.disable-library-validation 。微软认为这些问题风险较低。”报告总结道。 在报告的八个应用程序中，以下四个应用程序已由微软更新： Microsoft     Teams（工作或学校）主应用程序 Microsoft     Teams（工作或学校）WebView.app Microsoft     Teams（工作或学校）com.microsoft.teams2.modulehost.app，现已重命名为 Microsoft Teams     ModuleHost.app 微软 OneNote 其余四个应用程序仍然容易受到攻击： 微软 Excel 微软 Outlook 微软 PowerPoint 微软 Word 存在漏洞的应用程序为攻击者敞开了大门，使他们能够利用应用程序的所有权限，并且在没有任何用户提示的情况下重复使用已授予应用程序的所有权限，实际上充当攻击者的权限代理。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yBxtKhnYt3FuOru6Kxoo_w 封面来源于网络，如有侵权请联系删除

据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）近日发生了大规模数据泄露，影响了3.9亿用户。 一位名为 Hikki-Chan 的威胁行为者声称，俄罗斯最大的社交媒体和网络服务VK 在 2024 年 9 月遭遇了大规模数据泄露。泄露的数据仅需少量BreachForums 论坛积分就可以直接获取。 根据Similarweb的数据，VK每月吸引约11亿访客，全球访问量排名第23位。该平台的主要用户为俄罗斯人，占总流量的89%。 该威胁行为者声称：“此次泄密事件暴露了数亿用户的个人信息，包括身份证号码、姓名、性别、个人资料图片、国家和城市。” 泄露的 7z 档案包含 3.904 亿条记录，解压缩后占用 27.6GB 的存储空间。 VK于2006年上线，2021 年 12 月，VK 被俄罗斯国有企业接管。在俄罗斯军事入侵乌克兰和国际制裁之后，VK 应用程序从 Apple App Store 中移除，但仍可在 Google Play 商店中使用。 Hackread.com 是第一个发现该泄露信息，并报道了数据是通过第三方获取的，而非直接从VK入侵。 VK 用户数据并非首次在网上传播。 第一次发生在 2016 年 6 月，当时黑客窃取了 1.71 亿个 VK 账户，并试图以约 580 美元的价格出售包括纯文本密码在内的数据。 第二次是在2022 年，VK 遭遇了超过 126GB 的大规模数据泄露，其中包含 3200 万条记录，包括照片链接、全名以及其他抓取和 API 查询中获得的数据。安全研究员 Bob Diachenko表示，甚至已关闭或受保护的 VK 账户也遭到泄露。 根据安全公司 Cyfirma 的报告，威胁行为者 Hikki-Chan 于 2024 年初首次出现，此前曾攻击过多家以色列公司和政府机构，包括以色列警察局、国防部以及福利和社会事务部。 消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

商业服务巨头 CBIZ 近日披露了一起数据泄露事件，攻击者通过利用公司某网页中的安全漏洞，于2024年6月2日至6月21日期间窃取了客户数据。2024年6月24日，网络安全专家参与协助调查，公司确认了这一入侵事件并识别了数据泄露情况。 CBIZ发布通知称： “2024 年 6 月 24 日，公司获悉未经授权的攻击者可能从某些数据库中提取了信息。 ” 调查显示，攻击者通过利用与公司网页相关的漏洞，在2024年6月2日至6月21日期间获取了部分数据库中的信息。 在此次事件中攻击者窃取了近 36,000 人的个人信息，其中包括： 姓名 联系方式 社会安全号码 出生或死亡日期 退休人员健康信息 福利计划信息 CBIZ是一家管理咨询公司，提供财务、福利及保险服务，是美国最大的专业服务公司之一。公司在全国拥有120个办事处，员工总数达6,700人。2023年，公司收入达到15.9亿美元。 受此次事件影响的CBIZ客户已于2024年8月28日开始收到通知。 尽管目前没有证据表明被盗数据已被滥用，CBIZ仍在披露指南中建议客户注册为期两年的信用监控和身份盗窃保护服务，以降低潜在风险。此外，建议受影响的客户考虑冻结信用记录及在其信用报告中添加欺诈警报。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日前，美国俄亥俄州哥伦布市当局对一名网络安全研究员提起了诉讼，指控他非法下载该市在网络攻击中被窃取的数据并与媒体分享。 今年7月，哥伦布市曾遭到 Rhysida 勒索软件组织的攻击，导致公共机构的电子邮件和其他资源的系统中断，虽然该市最早表示没有数据被加密，但 Rhysida 声称窃取了 6.5 TB 的数据，其中 45%（约26万个、 3.1 TB大小的文件）已在8月8日该市拒绝支付赎金后发布。 事后，哥伦布市市长安德鲁·金瑟 （Andrew Ginther） 表示，泄露的数据没有任何价值，而且攻击没有效果，但一位名叫康纳·古德沃尔夫 （Connor Goodwolf） 的网络研究员指责市长并未透露实情，并将部分泄密内容与媒体进行了共享。 8月12日，市长称被窃的数据因为“加密或损坏”而无法使用，公众无需担心，但古德沃尔夫与媒体分享的样本证明泄露的数据并未加密，其中包含警察和罪犯的社会安全号码、家庭暴力案件中的姓名以及其他居民的个人信息。 当局随即对古德沃尔夫提起诉讼，称共享被盗数据是非法行为，而且指责他在暗网以非正常手段与黑客“互动”后才获得这些数据。 诉讼还指称，古德沃尔夫据称计划创建一个网站供人们查看他们的数据是否被泄露，这干扰了警方的调查。 该诉讼旨在对古德沃尔夫发出临时限制令，包括禁止他进一步访问、下载或共享数据，并保留到目前为止下载的所有数据，同时要求他支付超过2.5万美元的处罚金。 据市检察官扎克·克莱因 （Zach Klein） 称，古德沃尔夫仍然被允许就该事件发表评论，该诉讼不是为了压制言论自由，而是防止数据的进一步传播。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410067.html 封面来源于网络，如有侵权请联系删除

安全内参9月2日消息，澳大利亚最大的健康保险公司Medibank表示，为应对2022年发生的勒索软件事件所带来的影响，预计在未来三年内将总共投入1.26亿澳元（约合人民币6.07亿元）用于升级其IT安全系统。 Medibank在其财年终结声明中表示，截至今年6月的近12个月内，已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者，预计今年的投入金额将与去年持平。 此前遭到个保机构起诉，被指责网安预算过低 此前，澳大利亚信息专员办公室已经将该公司告上法庭，指控其涉嫌数据隐私违规，导致多达970万现有客户和旧客户的个人及敏感健康信息受到损害。 代理信息专员Elizabeth Tydd表示，Medibank“未能根据其规模、资源、所处理的敏感和个人信息的性质与数量，以及数据泄露对个人造成严重损害的风险，采取合理的措施保护其持有的个人信息”。 2022年10月，一个总部位于俄罗斯的网络犯罪集团黑客攻击了Medibank，并在当年12月将5GB副本数据发布在暗网上，声称这是窃取的全部数据。这次黑客攻击影响了970万现有客户和旧客户，其中包括180万居住在澳大利亚的外国人。 今年早些时候，美国、澳大利亚和英国对一名俄罗斯男子实施制裁，称其为此次黑客攻击的幕后主使。这名男子名为Aleksandr Gennadievich Ermakov，可能与已解散的俄罗斯网络勒索团伙REvil有关。 澳大利亚信息专员向澳大利亚法院表示，尽管Medibank在2022年的收入达到71亿澳元，但其网络安全预算却仅为100万澳元。 金监机构要求预留超12亿元费用，用作网安系统升级 国际律师事务所Dentons表示，理论上，根据《隐私法》，澳大利亚联邦法院理论上有权对每次违规行为处以最高222万澳元的民事罚款，这意味着Medibank面临最高21.5万亿澳元的民事罚款。该律师事务所指出：“尽管最终的民事罚款金额不太可能接近这个数字，但这一数字确实反映了案件的严重性。” 2023年6月，澳大利亚的金融监管机构审慎监管局（APRA）在审查中发现Medibank信息安全环境存在缺陷，随后命令这家保险巨头预留2.5亿澳元（约合人民币12亿元）作为额外资本，以加强其信息安全系统。 APRA表示，这一修订后的资本调整要求将保持有效，直到Medibank完成双方同意的整改计划并通过APRA对其风险管理实践的目标技术评估为止。Medibank首席执行官David Koczkar当时表示，公司仍然“强大且资本充足”，并将继续改善系统和流程，以为客户提供更好的安全保障。 Rogers在8月22日的投资者会议上表示，公司预计在2025财年之后仍将面临与数据泄露相关的进一步成本，但这些费用主要与诉讼相关。Medibank还面临来自股东和受影响客户的多起集体诉讼，可能导致大量赔付。 该公司表示，2023-2024财年净收入达到81亿澳元，比上一年增长了4.7%，运营利润约为7亿澳元，增长了7.9%。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Jrh6z7jWfvIak8TnDRw7rw 封面来源于网络，如有侵权请联系删除

多伦多教育局 （TDSB） 本周证实， 6 月发现的勒索软件盗取了学生信息。 TDSB 是加拿大最大、最多元化的教育机构，管理着 582 所学校，约有 235,000 名学生。 最初 TDSB 表示，网络犯罪分子攻击的是一个独立于教育局官方网络的技术测试环境。 但近期，TDSB 证实，2023/2024学年部分学生的个人数据确实在受影响的测试环境中。这些数据包括学生姓名、学校名称、年级、学校邮箱、学生ID及出生日期。 TDSB 的网络安全团队和外部专家认为，学生面临的风险“较低”，且在其调查过程中（包括对暗网及其他网络平台的监控）未发现任何数据泄露或公开曝光。 近期，LockBit勒索软件团伙宣称对此次数据泄露事件负责。该团伙发布的公告未具体说明被盗数据的数量，但设定了13天的期限要求TDSB支付相应的赎金。但TDSB 没有回应 LockBit 的公告的要求。 学校董事会在近期致家长的一封信中为其应对攻击的措施辩护，称已采取多项安全增强措施，并与执法部门协作进行调查。 LockBit近期发布了包括TDSB在内的多个受害者名单，专家指出，该名单中的许多信息都是虚假的，涉及很多不存在的受害者，并且名单中的很多受害者都是遭到了其他团伙的攻击，而非LockBit。   消息来源：The Record，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国最大的体育用品零售连锁店DICK’S Sporting Goods披露，其机密信息在上周三发现的网络攻击中被泄露。 成立于1948年的DICK’S在全美运营857家门店，2023年报告的收入达到129.8亿美元。截止到2024年2月，这家财富500强公司拥有超过55,500名员工，其中包括18,900名全职员工和36,600名兼职员工。 根据向美国证券交易委员会（SEC）提交的文件，该公司已聘请外部网络安全专家来协助控制安全漏洞并评估网络攻击的影响。 DICK’S表示：“2024 年 8 月 21 日，公司发现第三方未经授权访问了公司的信息系统，包括系统中的一些机密信息。在发现这一事件后，公司立即启动了网络安全响应计划，并与外部网络安全专家合作，调查、隔离并遏制威胁。” 据一位不愿透露姓名的内部人员透露，公司未提供有关此次泄密事件的详细信息，并告知员工不要公开讨论此事或将任何内容记录下来。 同一消息来源告诉 BleepingComputer，公司的电子邮件系统已被关闭，很可能是为了隔离攻击，所有员工账户也已被锁定。IT人员正在通过摄像头手动验证员工身份，以便他们能够重新获得对内部系统的访问权限。 在与 BleepingComputer 分享的内部备忘录中，DICK’S 告诉员工，由于“计划中的活动”，大多数人不再有权访问系统，团队领导将通过个人电子邮件或短信与他们联系，以提供进一步的指示。 DICK 发给员工的内部备忘录 当地商店的电话线路也因此次事件而中断。BleepingComputer在尝试联系美国20多家商店时，均收到服务中断的通知。 在今天向美国证券交易委员会（SEC）提交的文件中，这家财富500强零售商表示，已向相关执法部门报告了这一违规行为，并强调目前该事件对公司的运营没有造成影响。 “公司还通知了联邦执法部门，称公司不知道这一事件已经扰乱了业务运营。”DICK’S 补充道，“公司对此次事件的调查仍在进行中。但根据目前掌握的情况，公司认为此次事件并不严重。” 今天早些时候，BleepingComputer 联系了 DICK’S 的发言人，但尚未收到回复。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

6月25日，Cybernews研究团队发现了一个包含超过1.7亿条敏感数据记录的数据集，这些数据被暴露在互联网上，所有人都可以访问。泄露的数据包括： 全名 电话号码 电子邮件 详细地址 技能 专业摘要 教育背景 工作经历 由于泄露的数据集被标记为“PDL”，因此数据泄露的线索指向位于旧金山的数据经纪公司 People Data Labs (PDL)。 该公司的网站声称其数据库涵盖了15亿个人档案，供各种企业用于市场营销、销售、招聘等活动。PDL自豪地宣称，其在150多个数据点上提供了“无与伦比的覆盖范围”。 虽然最终导致数据泄露的责任方仍不清楚，但必须强调的是，将Elasticsearch服务器配置为无密码状态是极为危险的。威胁行为者可以在几秒钟内发现此类暴露的数据，这将使个人面临身份盗窃和欺诈的风险，并增加他们成为网络钓鱼攻击目标的可能性。 Cybernews 研究团队表示：“数据经纪公司的存在本就备受争议，因为它们通常缺乏足够的审查和控制措施，无法确保数据不会落入不当之手。大规模的数据泄露使威胁行为者更容易、更便捷地滥用数据进行大规模攻击。” PDL此前已经遭遇了一次大规模数据泄露事件，该事件在2019年暴露了超过十亿条数据记录。这两次泄露源于一个相同的问题：一个暴露且未受保护的Elasticsearch服务器。当时，PDL否认对数据泄露负有责任。 此次泄露的数据集被标记为“Version 26.2”，表明它可能与之前的数据泄露有关。无论这次泄露是否直接来源于PDL，此类事件都会对数据经纪公司造成严重的声誉损害，削弱其与客户和合作伙伴之间的信任。 我们的研究人员补充道：“如果这是一起新的泄露事件，而不是第三方对 2019 年所泄露的数据的处理和丰富，那么这一事件将揭示公司在个人数据安全方面的严重疏忽。” Cybernews 已联系 PDL 以征求意见，正在等待其回复。 如果用户认为自己可能受到了数据泄露的影响，可以采取以下几个步骤来减轻潜在的危害。   消息来源：Cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

软件解决方案提供商 Young Consulting 披露了一起影响了950000人的数据泄露事件，并声称此次泄露是由于BlackSuit勒索软件攻击导致的。 4 月 13 日，软件解决方案供应商 Young Consulting“意识到其基础设施出现了技术困难”，调查发现有黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间侵入了该公司网络，并窃取了一些文件。 “2024年4月13日，公司检测到内部计算环境出现技术故障。我们迅速将受影响系统下线并启动调查，委托网络安全取证公司协助，以确定事件的性质和范围。”该公司发布的一份数据泄露通知写道，“调查发现，一名未经授权的黑客在 2024 年 4 月 10 日至 2024 年 4 月 13 日期间访问了 Young Consulting 的网络，并下载了某些文件的副本。” 泄露的数据因人而异，可能包括某些个人的姓名、社会保险号、出生日期、保险单或索赔信息等。 该公司制造商未公开此次攻击的详细信息。根据该公司与缅因州总检察长办公室共享的数据泄露通知显示此次事件影响了 954,177 人。 Young Consulting 开展的调查显示，在一次安全漏洞中，未经授权的行为者访问了包括Blue Shield在内的某些数据持有者的信息。公司仍在审查受影响的文件，并确定具体受影响的个人。2024年6月28日，Young Consulting已向Blue Shield确认了此次漏洞，并开始通知可能信息已被泄露的个人。 Blue Shield发布的事件通知中写道：“Blue Shield收到了其软件解决方案供应商Young Consulting的通知，该供应商报告称经历了一次数据安全事件，可能会影响健康计划成员的信息。” 该软件制造商已为受影响的个人提供了一年的免费信用监控服务。 5 月份，BlackSuit 勒索软件组织将 Young Consulting 添加到其 Tor 泄漏网站的受害者名单中。该勒索软件团伙声称窃取了以下信息： 业务数据（合同、联系人、计划、演示文稿等） 员工数据（护照、合同、联系方式、家庭详细信息、体检等） 财务数据（审计、报告、付款、合同等） 从共享和个人文件夹中获取的其他数据 BlackSuit 补充说，Young Consulting 高层管理人员完全拒绝谈判，认为他们是在虚张声势。 被盗数据现已可供下载。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文