分类: 数据泄露

研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。 因此,拥有这些信息的黑客可以创建一个Twitter机器人军队,该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外,在CloudSEK解释的一个假设场景中,从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中,通过验证帐户运行大规模恶意软件活动,以锁定其追随者。 除此之外,应该注意的是,密钥泄漏不仅仅限于Twitter API。过去,CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击,建议查看代码中是否有直接硬编码的API密钥,同时定期轮换密钥,以降低泄漏可能带来的风险。 研究人员说:“环境中的变量是引用和隐藏密钥的另一种方法,而不是将它们嵌入源文件。变量可以节省时间并提高安全性,应充分注意确保源代码中不包含环境变量的文件。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

IBM 数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。 据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/340388.html 封面来源于网络,如有侵权请联系删除

反疫苗约会网站 Unjected 被爆数据泄露

一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。   尽管这款应用在界面上比较接近于 Twitter,但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注,后续也增加了一些新的功能。 该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能,那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的,但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。 网名为 GeopJr 的程序员和安全专家发现,任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面,例如网站的“About Us”页面和各种用户账户。 这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式,允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号,然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。 网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅,回复和删除帮助中心的帖子和相关报道。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1296781.htm 封面来源于网络,如有侵权请联系删除

向维基解密泄露“Vault 7”黑客机密,前中央情报局程序员获罪

Hackernews 编译,转载请注明出处: 美国中央情报局(CIA)前程序员Joshua Schulte因向维基解密泄露大量Vault 7的机密黑客工具和漏洞而获罪。 2018年6月,这名33岁的工程师被指控未经授权泄露机密信息和窃取机密材料。Schulte还因持有儿童色情照片和视频而面临单独审判,他于2017年8月24日被捕。 美国检察官Damian Williams在一份声明中说,Schulte被判犯有“美国历史上最无耻和最具破坏性的间谍行为之一”,他还说,他的行为“向那些想要伤害我们的人提供关键情报,对我们的情报界产生了毁灭性的影响”。 维基解密于2017年3月7日公布这些文件,称这是“有史以来最大的关于该机构的机密文件的公布”。其中包括“恶意软件、病毒、特洛伊木马、武器化的‘零日’漏洞、恶意软件远程控制系统和相关文档”。 这些文件可追溯到2013年至2016年,它详细介绍了该机构入侵汽车、智能电视、网络浏览器以及广泛使用的桌面和移动操作系统(如Windows,macOS,Linux,Android和iOS)的能力,作为其海外间谍行动的一部分,以收集情报。 Williams说:“Joshua Adam Schulte是美国中央情报局的一名程序员,他可以使用美国最有价值的情报收集网络工具,用于打击全球各地的恐怖组织和其他恶意势力。” “当Schulte开始对中央情报局心怀怨恨时,他秘密收集了这些工具并将其提供给维基解密,使我们最关键的情报工具为公众所知,也因此为我们的对手所知。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Mangatoon 数据泄露,超两千万账户受影响

漫画阅读平台Mangatoon遭遇数据泄露事件,一名黑客入侵Elasticsearch数据库,窃取并曝光了超2300万名用户的账户信息。 Mangatoon是一个发布有iOS和Android应用版本的漫画阅读平台,有数百万常用用户通过该应用来阅读在线漫画。本周,数据泄露通知服务平台Have I Been Pwned(HIBP)曝光了此次数据库泄露事件,HIBP称有超过2300万个Mangatoon账户受到影响。HIBP在其推特上向外界透露:“Mangatoon在5月份有2300万个账户被攻破。黑客已经暴露了账户包含的姓名、电子邮件地址、性别、社交媒体账户身份、社交登录的授权令牌和Salt加密后的MD5密码哈希值。” HIBP的所有者Troy Hunt试图就数据泄露事件与Mangatoon联系,但Mangatoon方面没有回应。目前Mangatoon的用户现在可以在HIBP上通过电子邮件地址进行搜索,以确认账户是否已遭泄露。 数据泄露的始作俑者是名为 “pompompurin ”的知名黑客,pompompurin曾经参与过多起入侵事件,包括通过联邦调查局的执法企业门户(LEEP)发送虚假的网络攻击邮件,以及窃取Robinhood的客户数据。 在此次事件中,pompompurin声称入侵了Elasticsearch服务器并盗取了数据库,该服务器使用的是弱凭证。 pompompurin与BleepingComputer分享了数据库的样本,经BleepingComputer确认这些样本是Mangatoon平台的有效账户。 当被问及他是否会公开发布或出售该数据库时,pompompurin声称可能会在将来的某个时候公开数据库信息。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/338806.html 封面来源于网络,如有侵权请联系删除

连锁酒店巨头万豪证实其发生又一起数据泄露事件

酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 “万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。 万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。 声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。 然而,万豪酒店告诉TechCrunch,其调查确定,被访问的数据主要包含有关酒店运营的非敏感内部业务文件。 该公司表示,它正在准备通知300-400人有关这一事件并已通知相关执法机构。 这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录–这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。 TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生,但这家公司拒绝回答。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1289421.htm 封面来源于网络,如有侵权请联系删除

RansomHouse 宣布盗取芯片制造巨头 AMD 450GB 数据

RansomHouse 团伙声称在2021年入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据,并威胁说如果该公司不支付赎金,就会泄露或出售这些数据。 根据 BleepingComputer的说法,RansomHouse 合作伙伴一年前已经入侵了 AMD 的网络,但泄密网站报告称,2022年1月5日是入侵日期。 RansomHouse于2021年12月开始运作,与其他勒索组织不同,该团伙不加密数据,而是专注于数据盗窃以加快其活动。这意味着威胁行为者没有感染 AMD 系统,但一旦获得对其网络的访问权,就会窃取内部数据。 据称,被盗数据包括公司研究和财务文件,但目前仅发布了一些文件,其中包含可能在侦察阶段收集的内部网络信息。 其中一个文件 all_computers.csv 包含托管在 AMD 内部网络上的超过 77,000 台机器的列表。另一个泄露的文件 sample_passwords.txt 包括一个弱 AMD 用户凭据列表,例如“密码”、“P@ssw0rd”和“amd!23”。 AMD 目前正在调查所谓的安全漏洞。泄漏站点包括该组织打击的五个组织的名称: SHOPRITE 控股有限公司 AHS 航空处理服务有限公司 Dellner 耦合器 AB 杰斐逊信用合作社 萨斯喀彻温省酒类和博彩管理局   转自 E安全,原文链接:https://mp.weixin.qq.com/s/zYMZSRYQOHKKDtsE53fKPg 封面来源于网络,如有侵权请联系删除

OpenSea 通报电子邮件数据泄露 已引来大量钓鱼攻击和垃圾诈骗信息

作为当前市面上最大的 NFT 市场,OpenSea 刚刚通报了一起客户电子邮件数据泄露事件。据称是负责管理该平台邮件通讯的外部承包商(Customer.io)管控不善,导致一名员工复制了客户电子邮件列表、并泄露给了第三方。事件发生后,官方已提醒广大用户小心提防近期的网络钓鱼类攻击。 长期以来,电子邮件通讯管理平台和客户关系管理(CRM)类软件,一直是加密 / 区块链企业的一个薄弱环节,此前我们已经见到过相当多起的数据泄露事件。 今年 3 月,与 Customer.io 类似的 Hubspot 遭遇了黑客攻击,并最终波及 BlockFi、Swan Bitcoin、NYDIG 和 Circle 等平台上的客户(姓名、电话号码、E-mail 地址等信息被泄露到了外界)。 OpenSea 表示,恶意行为者或尝试通过类似 OpenSea.io 的域名(比如 OpenSea.org 或 OpenSea.xyz)来引诱疏忽大意的受害者上钩。 现在,Twitter 等社交媒体上也充斥着大量抱怨,许多 OpenSea 客户都表示遇到了较以往更多的邮件、电话和短信等垃圾信息的轰炸。     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1287047.htm 封面来源于网络,如有侵权请联系删除    

美国旗星银行 150 万客户数据遭泄露

近日,旗星银行(Flagstar Bank)向其150多万名客户发送了一则通知,告知他们在去年2021年12月的一次网络攻击中,他们的个人数据遭到了黑客的访问。 旗星银行是美国最大的银行之一,其总部位于密歇根州,总资产超过300亿美元。 2021年12月,旗星银行发生了一起安全事件,攻击者入侵了银行的内部网络。此后,银行方面着手对这起事件开展了调查,并于近日发现,攻击者当时访问了许多客户的敏感信息,包括姓名和社会保障号码等。 “在攻击事件发生后,我们立即启动了安全事件响应计划,聘请了在处理此类事件方面经验丰富的外部网络安全专家,并向联邦执法部门报告了此事” ,旗星银行的负责人解释说,“截至目前,我们还没有看到证据表明客户的信息被滥用。然而,出于谨慎的考虑,我们觉得还是有必要让客户知道这件事。” 根据提交给缅因州总检察长办公室(Office of the Maine Attorney General)的信息显示,这次数据泄露事件共对1,547,169名美国人造成了影响。 至于媒体的进一步追问,包括哪些类型的数据可能被暴露,以及为什么花了这么长时间才发现这起事件,旗星银行方面还没有给予正面回应。 先前的安全问题 这是一年内旗星银行发生的第二起重大安全事件。 2021年1月,勒索软件团伙Clop利用Accellion FTA服务器中的一个零日漏洞入侵了银行的服务器。 这一事件使得众多与科技公司Accellion Inc有业务往来的实体都受到了影响,包括庞巴迪(Bombardier)、新加坡电信(Singtel)、新西兰储备银行(New Zealand Reserve Bank)和华盛顿州审计署(Washington’s State Auditor office)。 这次泄漏事件导致旗星银行被Clop团伙勒索,其客户的数据暴露给网络犯罪分子。随后,银行就终止了与Accellion平台的合作。 在那次的攻击事件中,被窃取的数据样本包括客户的姓名、社会保险号码(SSN)、家庭地址、税务记录和电话号码等。最终,这些数据全都在Clop的数据泄露网站上向外界公布了。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/336805.html 封面来源于网络,如有侵权请联系删除

南非总统的个人信贷数据泄露:该国已沦为“黑客乐园”

安全内参消息,据南非媒体《星期日泰晤士报》报道,黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。 多位政要信贷数据泄露 SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。 泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 TransUnion则澄清称,此次泄露的民政事务数据并非直接出自他们的服务器,而是黑客在之前的攻击中窃取获得。 Ramaphose并非唯一在TransUnion数据泄露事件中受影响的知名人士。 当时,N4ughtySecTU曾威胁要泄露总统Cyril Ramaphosa和南非在野党左翼经济自由斗士领导人Julius Malema的个人数据。 南非已沦为黑客“乐园”,国防/国安/情报等系统均存漏洞 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉,让人们关注南非安全系统,特别是政府部门(包括国防和国家安全部门)所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示,“南非已经成为黑客们的乐园,任何人都能轻松绘制出南非的数字基础设施分布。” 据报道,SpiderLog$还向媒体提供了截图,证明自己已经能够访问敏感的军事和情报数据。 多家网络安全厂商发出警告,称黑客团伙发现的漏洞可能致使敏感军事和情报信息遭到拦截。 在其中一张截图中,SpiderLog$展示了其成功侵入的国防与国家安全部门网络邮件界面。 网络安全厂商WolfPack Information Risk与Umboko Sec也证实了SpiderLog$团伙的说法。 WolfPack Information Risk公司顾问Johan Brider表示,他们认为截图中体现的最大隐患,在于可以运行程序来获取国防部邮件访问凭证。 SpiderLog$团伙还能够识别出政府服务器、各域及互联网服务商的私有IP地址。 网络安全服务商Scarybyte公司战略主管也提到,目前企业的主流实践是使用代理服务器来隐藏IP地址,确保非必要时绝不暴露内部IP地址。 Umboko Sec公司主管Bongo Sijora则发布研究结论,认为南非政府在保护国家关键设施及部门免受网络威胁方面,至少存在180亿兰特(约合77.2亿人民币)的预算短缺。 近一年遭受多次重大网络攻击 过去一年,南非多个政府部门在严重网络攻击下沦为受害者。 2021年7月,南非国有物流公司Transnet的港口系统因勒索软件攻击而被迫关闭,导致南非各入境点发生严重的运输延误。 2021年9月,南非司法部同样遭受勒索软件攻击,导致其文件与系统无法正常访问。 司法部攻击事件也对各级法院和大法官办公室造成影响,连锁反应进一步波及到维护开支和遗产处置等其他关键事务。 最终,司法部耗时四个星期才设法通过物理记录恢复了数据,让部分在线服务重新开放。   转自 安全内参,原文链接:https://www.secrss.com/articles/42993 封面来源于网络,如有侵权请联系删除