Hackernews 编译，转载请注明出处： 黑客公布了一份从TikTok窃取的数据样本，但该公司否认该数据被泄露。 黑客团体（AgainstTheWest）最近在Breach Forums留言板上发布了一篇帖子，声称已经入侵了TikTok，并窃取了源代码和用户数据。该组织发布了涉嫌被盗数据的截图，声称可以访问包含 TikTok和微信用户数据的阿里云实例。 黑客报告称，该服务器在790GB的数据库中包含20.5亿条记录。 TikTok否认了AgainstTheWest的说法。 公司发言人表示：“TikTok优先考虑用户数据的隐私和安全。我们的安全团队对这些指控进行了调查，没有发现任何安全漏洞的证据。” 一位发言人补充说：“我们的安全团队调查后，确定所涉代码与TikTok的后端源代码完全无关。 ” 著名的数据泄露猎人Bob Diachenko和他的团队分析了公开暴露的数据，并确认了它们的真实性，但无法确定来源。 目前尚不清楚数据来源是中国公司还是第三方合作伙伴。 TikTok还告诉Bleeping Computer，泄露的用户数据不可能来自直接的数据抓取活动，因为该公司已采取安全措施来防止这种做法。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据《华尔街日报》报道，美国国税局在一次意外事件中泄露了12万名纳税人的机密信息。 据悉，泄露的信息源自一种名为990-T的表格，该表格主要用于非营利组织（慈善机构）或 IRA（个人退休账户） 及 SEP 账户。 对于一般纳税人而言，这些表格信息要完全保密，只有美国国税局拥有查看权限；对于非营利组织，990-T 表格必须在三年内供公众查阅。但根据美国国税局9月2日的披露，除了为慈善机构共享 990-T 表格数据外，也意外地包含了不得公开的纳税人 IRA 数据，涉及姓名、联系信息和收入报告。但国税局表示，这些数据不包括社会安全号码、个人纳税申报表或详细的账户持有人信息。 990-T表格在去年开始使用，美国国税局将此次泄露事件归因于人为编码错误。国税局一名研究人员最近几周发现了这个错误。目前，美国国税局表示已经删除了数据，并在未来几周内向受影响的纳税人发送通知。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343749.html 封面来源于网络，如有侵权请联系删除

在2022年7月，三星披露了一起在美国部分系统遭到数据泄露的事件。这家电子巨头于8月4日发现，威胁行为者可以访问其系统并窃取客户个人信息。 公司发布通知：“2022 年 7 月下旬，未经授权的第三方从三星的一些美国系统中获取了信息。在 2022 年 8 月 4 日前后，我们通过正在进行的调查确定某些客户的个人信息受到影响。我们已采取行动保护受影响的系统，并聘请了一家领先的外部网络安全公司，并正在与执法部门进行协调。我们希望向我们的客户保证，该问题不会影响社会安全号码或信用卡和借记卡号码，但在某些情况下，可能会影响姓名、联系方式和人口统计信息、出生日期和产品注册信息等信息。” 该公司表示，为每个相关客户公开的信息可能会有所不同，但它会通知受影响的客户。 该公司表示，客户无需立即采取行动来减轻事件的潜在影响，无论如何它建议其客户： 对任何要求您提供个人信息或将您转至要求提供个人信息的网页的未经请求的通信保持谨慎 避免点击来自可疑电子邮件的链接或下载附件  检查他们的账户是否有可疑活动 2020 年 3 月，三星在遭受数据勒索组织Lapsus$的攻击后披露了另一起数据泄露事件。威胁者可以访问公司内部数据，包括 Galaxy 模型的源代码。Lapsus $ 团伙声称从三星电子窃取了大量敏感数据，并泄露了 190GB 的所谓三星数据作为黑客攻击的证据。 该团伙在其 Telegram 频道上宣布了样本数据的可用性，并共享了一个 Torrent 文件以下载它。他们还分享了被盗数据中包含的源代码的图像。 被盗数据包括机密的三星源代码，包括： 设备/硬件 – 安装在所有三星设备的 TrustZone (TEE) 上的每个受信任小程序 (TA) 的源代码，以及每种类型的 TEE 操作系统（QSEE、TEEGris 等）的特定代码。这包DRM 模块和 KEYMASTER/GATEKEEPER！ 所有生物识别解锁操作的算法，包括直接与传感器通信的源代码（到最低级别，我们在这里讨论的是单个 RX/TX 比特流）。 所有最新三星设备的引导加载程序源代码，包括 Knox 数据和身份验证代码。 其他各种数据，来自高通的机密源代码。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/_4yJ4NlRRqa5PLGQTZxKyA 封面来源于网络，如有侵权请联系删除

安全内参8月30日消息，俄罗斯流媒体巨头START 在上周日表示，其客户的个人信息在一次网络攻击中被泄露。 该公司没有透露具体有多少用户受到此次事件的影响，但根据俄罗斯Telegram频道“Information Leaks”的信息（该频道率先公布了此次事件，并附上一张据称为泄露信息的截图），泄露数据库总计72 GB大小，包含4400万客户的数据（据后续分析，该数据内包含745万个唯一电子邮箱，这可能更接近受影响用户的真实数量）。 此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期，以及最后一次登录记录。 START共在超过174个国家销售电影和电视节目，此次事件也让其成为俄乌冲突爆发后，遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。 据称，这起数据泄露事件已经影响到全球观众，包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。 恶意黑客宣称，这些数据来自一个暴露在互联网上的MongoDB数据库，其中包含去年9月22日之前在START网站上注册用户的详细信息。 START公司表示，已经修复了漏洞并设置了数据库访问权限，事件声明中写道，“泄露的数据对恶意黑客而言意义不大，其中最重要的内容也只有用户的电子邮件和电话号码。” 据START介绍，该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密，该公司也未要求用户更改原有密码。 START公司数据科学主管Ilya Braslavskiy表示，只有少部分用户（不到2%）在网站注册时填写了真实姓名。他在Telegram上写道，“本人姓名并非必填字段，所以大多数用户没必要提交。” 目前尚不清楚此次攻击的幕后黑手和行为动机，也没有黑客团伙宣称对这起事件负责。 广电媒体成俄乌冲突期间攻击重点 今年7月初，来自乌克兰IT军的恶意黑客利用分布式拒绝服务（DDoS）攻击影响了约80家俄罗斯在线电影网站，泛滥的垃圾流量导致这些线上观影平台无法正常访问。 今年3月，匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi，并播放了俄乌战场上拍摄的真实画面。 俄乌战争期间，乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月，亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv，并把足球赛转播替换成了俄文宣传影像。 Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击，但并未受到重大影响。 转自 安全内参，原文链接：https://www.secrss.com/articles/46367 封面来源于网络，如有侵权请联系删除

据TechCrunch消息，美国联邦贸易委员会（FTC）在当地时间8月29日宣布，已对数据中间商Kochava提起诉讼，称其出售数亿手机的地理位置数据，这些涉及个人隐私信息的数据可能会使人们暴露在“耻辱、跟踪、歧视、失业甚至肢体暴力”的威胁中。 该诉讼旨在阻止Kochava收集涉及敏感地理位置的数据，并要求该公司删除已经收集的数据。 联邦贸易委员会指出，这些数据可用于追踪个人行踪，包括那些进出敏感位置的人，例如生殖健康诊所、家庭暴力/无家可归者收容所、成瘾康复中心和礼拜场所等场所的访问情况。 这起诉讼表明，联邦贸易委员会正在打击移动数据中间商，这些中间商从消费者手机上收集和转售数据。此前，苹果还对追踪数据进行了重大反思，更新了移动操作系统，允许消费者选择不按应用程序收集某些数据。 最近，在罗伊诉韦德案后，美国众议院监督委员会开始调查，周期性跟踪应用程序和数据中间商的商业行为，将消费者私人健康数据武器化的问题。 收集大量精确数据 Kochava总部在爱达荷州，名声不大，但在数据收集行业占有相当大的市场份额。它是一家位置数据代理公司，从消费者的智能手机上收集精确的位置数据，也从其他代理公司购买数据然后转售给客户。客户经常使用这些数据流来分析当地商店或其他地点的人流量等信息。收集的数据本非常精确——包括移动设备确切位置的时间标记、经纬度坐标、设备ID、P地址、设备类型等等。 设备ID也被称为移动广告ID，是运营商分配给消费者移动设备的唯一标识符，用于帮助想要向终端用户做广告的营销人员。虽然消费者有权选择重置设备ID，但很多人并不知道如何操作，甚至很多并不知道可以重置设备ID。 根据联邦贸易委员会起诉书中引用的Kochava产品描述，该公司为客户提供“原始的经纬度数据，每个月大约有940多亿次地理交互信息，1.25亿的月活跃用户，3500万的日活跃用户，平均每台设备每天记录到超过90次交互信息。” 截至2022年6月，Kochava在公开可访问的网站（包括AWS市场）上以订阅的方式出售其数据源。访问数据源之前，买家需要免费的AWS账户，以及2.5万美元订阅费。其中某个数据样本包含超过3.27亿行和11类数据集，涉及6180多万台移动设备。 联邦贸易委员会表示，这些数据没有脱敏处理，可以用来识别移动设备的用户或所有者。数据代理商专门出售将这些移动广告ID与线下信息（如消费者姓名和物理地址）匹配的服务。 除了能够跟踪访问敏感地点的用户之外，联邦贸易委员会指出，这些数据还可用于推断用户的LGBTQ+身份，并将其活动与家庭住址联系起来。 联邦贸易委员会的目标是起诉Kochava，理由是它违反了《联邦贸易委员会法》，包括那些涉及销售敏感数据和损害消费者利益的行为。它正在寻求一项永久禁令，以预防未来的违规行为。 美国联邦贸易委员会消费者保护局（Bureau of Consumer Protection）局长塞缪尔·莱文（Samuel Levine）在一份声明中表示：”涉及消费者寻求医疗保健、接受咨询或做礼拜地点的私人信息，不应该进行买卖。“”联邦贸易委员会将Kochava告上法庭，以保护人们的隐私，并停止出售敏感地理位置信息。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343277.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。 首次发现泄露泰国患者 PII 的是网络安全公司 Resecurity，随后与泰国 CERT共享这一事件。（Resecurity 公司主要为大型企业提供网络安全保护服务） 值得一提的是，目前已经有几个暗网市场在出售泄露的数据，可通过不良犯罪分子创建的 Telegram 频道进一步购买。 根据对获得样本进行详细分析可以发现，攻击者能够在未经授权的情况下，访问政府门户网站，使其能够非法管理用户信息和相关记录。 从 Resecurity 发布的帖子来看，由于用于在线调查的 WEB-app 授权模块中存在主动 SQL 注入漏洞，使得攻击者能够窃取用户个人信息。据不完全统计，患者信息主要包括姓氏、名字、性别、年龄、联系方式、医疗史和相关当地医疗识别码等。 漏洞爆出之前，攻击者可能已经访问了至少 5151 份详细记录，潜在暴露的总数约为 15000 份。 泰国并不是唯一“受害者” 在泰国，大多数医疗服务都是以数字形式提供给其公民，这导致其成为网络黑客组织和其他攻击者收集信息的诱人目标。举一个很简单的例子，黑客在成功盗取公民个人信息后，可以使用被盗数据进一步盗取身份。 泰国并不是网络犯罪分子窃取公民个人医疗数据唯一地区，印度尼西亚和印度也发生了 COVID-19 患者记录被盗事件。 Resecurity 已经与相关部门和执法部门分享了被曝光的泄漏数据，以确保受影响的公民能够在泰国现有的隐私法和数据保护条例范围内得到保护。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343260.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。 8月25日，在发送有关此次攻击的问题后，LastPass 发布了一份安全公告，确认黑客是通过访问公司开发人员的账户进行入侵，并对开发环境进行破坏。 在发布的安全报告中，LastPass表示目前没有任何证据表明客户数据或加密的密码库遭到破坏，但承认攻击者确实窃取了部分“源代码”和“LastPass 专有的技术信息”。 攻击事件发生后，LastPass对外称已经聘请了一家领先的网络安全和取证公司进行处理，尽可能部署遏制和缓解措施，降低该事件带来的影响。“虽然该事件的调查还在持续进行，但是我们已经有效遏制了此次攻击，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。” LastPass向客户发送了电子邮件告知此次攻击事件，至于和此次攻击的详细过程，以及攻击者如何入侵开发者帐户，哪些源代码和专有技术信息被盗等相关信息，LastPass 并没有对外提供。 LastPass 安全咨询通过电子邮件发送给客户 资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。 由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，如果黑客获取了相应的权限，那么很有可能被允许访问用户存储的密码信息。 对此，LastPass表示公司将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，在此次攻击中并未收到任何破坏。 但是该声明并未打消用户的全部疑虑，因为在2021年，LastPass曾遭受撞库攻击，并且攻击者可以确认用户的主密码。更糟糕的是，这些主密码被使用RedLine 密码窃取恶意软件的攻击者窃取。 换句话说，用户不可因为信任LastPass 而完全放松警惕，主密码也有可能在网络攻击中泄露，所以在LastPass 帐户上启用多因素身份验证是一件非常有必要的措施。此外，还需要保持良好的密码使用习惯，并定期进行更换，提高密码的安全性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343183.html 封面来源于网络，如有侵权请联系删除

Hack Read 网站披露，LockBit 勒索软件团伙的数据泄露网站遭受了大规模 DDoS 攻击（分布式拒绝服务攻击），随后被迫关闭。值得一提的是，此次 DDoS 攻击似乎是对其曝光安全公司 Entrust 被盗数据的报复。 Entrust攻击事件详情 2022 年 6 月 18 日，安全公司 Entrust 成为网络攻击的目标，7 月 6 日，该公司通知其客户有关数据泄露的详情。7 月 21 日，一名安全研究人员访问了该公司发给其客户的数据泄露通知副本后，入侵事件随之公开披露。 8 月 18 日，LockBit 勒索软件团伙表示对 Entrust 数据泄露事件负责，并威胁该公司，如果拒绝在 24 小时内支付赎金，将泄露大约 30GB 的数据信息。 之后，名为 Soufiane Tahiri 的安全研究员访问了 LockBit 团伙和 Entrust 之间的通信副本。据他透露攻击者最初要求 800 万美元赎金，后来将赎金减少到 680 万美元，但 Entrust 声称只能支付 100 万美元。 LockBit 勒索软件团伙和 Entrust 之间的聊天记录（图片：Soufiane Tahiri） DDoS攻击细节 这一系列攻击事件中，有意思的是 LockBit 勒索软件运营商刚准备开始发布从 Entrust 窃取的数据时，他们基于 Tor 的泄漏网站就收到了 DDoS 攻击，网站（LockBit 3.0）也已下线。目前尚不清楚此次 DDoS 攻击背后发起者。 据思科 Talos 研究员 Azim Shukuhi 透露，LockBit 集团每秒收到来自 1000 多个服务器的 400 个请求。这些请求种包括一个强制勒索软件运营商删除数据的字符串。 从 LockBit 的说法来看，Entrust 应该是此次 DDoS 攻击的幕后主使，但该公司即使真的参与其中，想必也不可能承认，毕竟它是一家合法的网络安全公司。 此次针对 LockBit 组织的 DDoS 攻击事件也不能排除是其竞争对手所为，也有可能是一起针对 LockBit 运营商并诬陷 Entrust 的计谋。 泄露网站下线后，LockBit运营商立刻进行反击 在遭受了 DDoS 攻击后，LockBit 团伙发誓要报复 DDoS 攻击的幕后主使。在一条推文中，该团伙声称将以三重勒索模式代理以前的双重勒索模式，发动报复式攻击。另外，该组织还高调宣布，作为其战略转变的一部分，正在积极招募新的成员。 讲到这里，简单介绍一下三重勒索模式。作为不久前设计出针对受害者的新方法，三重勒索模式最近在 REvil 组织的攻击中被使用，这种方法增加了一个额外威胁层，例如对受害者进行 DDoS 攻击以迫使其支付赎金。相比之下，在使用双重勒索技术时，攻击者在要求赎金之前，会在其目标设备上窃取数据并进行加密。 最后，LockBit 强调将开始在其赎金记录中添加随机的支付链接，以使 DDoS 等反击手段难以影响其支付网站。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342968.html 封面来源于网络，如有侵权请联系删除

新的研究称，在五大科技公司中，Google追踪的用户隐私数据比其他公司都多，而苹果追踪的数据最少。此前，苹果公司专门推出了《应用程序跟踪透明度》指引，以保护用户的隐私不受其他公司的影响。然而，一份新的报告称，苹果也在避免自己做任何超过运行其服务所需的追踪，据StockApps.com报道，苹果”是最有隐私意识的公司”。 研究人员评价：”苹果只存储维护用户账户所需的信息，这是因为他们的网站不像Google、Twitter和Facebook那样依赖广告收入”。 StockApps.com的报告没有列出它所说的大科技公司为每个用户收集的”数据点”。然而，它说它们包括位置信息、浏览器历史记录、在第三方网站上的活动，在Google的案例中，还包括Gmail中的电子邮件。 研究报告没有详细说明其方法，但委托了营销公司digitalinformationworld调查苹果、亚马逊、Facebook、Google和Twitter。 在这五家公司中，Google跟踪每个用户的39个独立数据点，而苹果只跟踪12个。出乎意料的是，Facebook却只追踪14个数据点，而亚马逊追踪23个，Twitter追踪24个。 StockApps.com的Edith Reads说：”大多数人没有时间或耐心去阅读他们所访问的每个网站的隐私政策，这些政策可能有几页长。结果，用户最终允许Google通过同意隐私政策条款收获他们需要的所有数据。” 澳大利亚政府最近因Android系统的位置追踪问题对Google罚款4000万澳元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308685.htm 封面来源于网络，如有侵权请联系删除

据91Mobiles报道，数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示，科技公司收集了用户的大量敏感数据，似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为，但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时，StockApps发现，这些公司从用户那里收集了多达39种数据，并在需要时使用这些数据，而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter：许多人每天都会频繁使用的网站/应用程序。 根据该报告，Google从用户那里收集的数据最多，有39种。接下来是Twitter，它搜集了24种数据。紧随其后的是亚马逊，它从用户那里累计了23类数据。当用户使用他们的平台时，Meta拥有的 Facebook会获取14种数据。排名最后的是苹果，它在12个不同类别中保存的数据量最少。 来自StockApps.com的Edith Reads对此评论说：“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且，不是所有用户都有法律背景，这很可能无法正确掌握隐私政策。” “除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息，以及如何利用这些信息来获取利益。这意味着，用户通过接受隐私政策，能够让Google获取他们所需要的所有信息”。” 虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据，但它确实表明，收集的数据被用于他们的利益，这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308141.htm 封面来源于网络，如有侵权请联系删除