hackread 资讯网站消息，两台配置错误的 ElasticSearch 服务器共暴露了约 3.59（35 9019902）亿条记录，这些记录在 SnowPlow Analytics 开发的数据分析软件帮助下收集而来。 Website Planet 的 IT 安全研究人员发现了两台暴露的 ElasticSearch 服务器，经过研究，确定服务器使用的是软件供应商SnowPlow Analytics开发的开源数据分析软件，尚不清楚属于那个组织。 数据分析软件允许公司在其网站访问者不知情的情况下跟踪和存储信息。值得注意的是，网络分析工具可以收集多种数据指标，然后使用这些数据为网站访问者创建一个广泛、详细的个人资料库。 配置错误的 ElasticSearch 服务器案例 据研究人员称，这两个 ElasticSearch 服务器没有任何加密或用户验证措施，意味着任何人都可以在不需要密码的情况下访问这些数据。 这两个不安全的、配置错误的服务器最终暴露了大约 579.4GB 的用户记录数据（359019902条）。暴露的服务器包含网络用户流量的详细日志，主要包括以下内容。 推荐人页面 时间戳IP 地理定位数据 访问的网页 网站访问者的用户代理数据 被曝光数据的细节 从 Website Planet 发表的文章来看，两台服务器暴露的用户数据都集中在 2021 年两个月份里。 第一个服务器主要包含了 2021 年 9 月的数据，共 24728328 条记录，约 389.7GB（2021 年 9 月 2 日和 10 月 1 日之间收集的数据）。 第二台服务器主要包含了 2021 年 12 月的数据，共 116291574 条记录，约 189.7GB（2021 年 12 月 1 日和 2021 年 12 月 27 日之间收集的数据）。 1500 万用户可能受到影响 经过进一步分析，研究小组指出，大约 4 到 100 条用户记录出现在两台服务器上，并且鉴于每个用户有多个日志，这种暴露可能会影响至少 1500 万人。 值得注意的是，攻击者能够利用暴露的用户配置文件服务器日志定位人员，并通过用户的 IP 地址过滤用户。这意味着所披露的信息允许攻击者获得有关用户的数字轨迹信息，例如网页浏览偏好和其他活动。 另外，研究人员表示，这些服务器在被发现时依旧处于活动状态，并一直在积极更新信息。错误配置服务器背后的运营公司应该对数据暴露事件负责，ElasticSearch 和 SnowPlow Analytics 均不应该对此次曝光负责。 此次数据暴露影响深远，Website Planet 已经向有关当局发出警报，两台被暴露的服务器也都得到了保护，但是尚不清楚是否有恶意意图的第三方访问了这些服务器 。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333033.html 封面来源于网络，如有侵权请联系删除

当地时间5月6日，宜家（IKEA）加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家（IKEA）加拿大公司在致受影响客户的一封信中表示，可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员，因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说，它被告知一些顾客的个人信息泄露风险出现在”2022年3月1日至3月3日期间，宜家加拿大公司的一名同事进行的普通搜索”的结果中。 “该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认，没有财务或银行信息被获取，”宜家加拿大公司在一份电子邮件声明中说，并补充说，”我们已经采取行动补救这种情况，包括采取措施防止数据被使用、储存或与任何第三方共享。” 该公司表示，它已经向加拿大隐私专员办公室通报了这一漏洞，并已采取措施通知受影响的客户。 宜家加拿大公司还表示，它已经审查了内部程序，试图防止今后发生类似事件。顾客不必采取行动，但对个人信息保持警惕并注意可疑活动始终是有必要的。 该公司说：”重要的是要知道，宜家永远不会主动向你索要信用卡信息，我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分，可致电1-800-661-9807或privacy@ikeaservice.ca，联系宜家加拿大公司。” 转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1266321.htm 封面来源于网络，如有侵权请联系删除

据The Verge报道，根据Bellingcat的调查结果，俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。 Yandex Food是俄罗斯大型互联网公司Yandex的子公司，于3月1日首次报告了数据泄漏事件，将其归咎于其一名员工的“不诚实行为”，并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布（约合人民币7652元）的罚款，路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问–试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。 Yandex Food是俄罗斯大型互联网公司Yandex的子公司，于3月1日首次报告了数据泄漏事件，将其归咎于其一名员工的“不诚实行为”，并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布（约合人民币7652元）的罚款，路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问–试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。 Bellingcat的研究人员获得了进入信息库的机会，在其中筛选出任何感兴趣的人的线索，例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码，Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说，这个人还用他的工作电子邮件地址在Yandex Food公司注册，使研究人员能够进一步确定他的身份。 研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字， Yevgeny，并能够将他与俄罗斯外交部联系起来，找到他的车辆登记信息。 Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时，他们发现只有四个结果–这是一个潜在的迹象，表明工作人员不使用外卖应用程序，或选择从步行距离内的餐馆订购。然而，当Bellingcat搜索FSB在莫斯科郊区的特别行动中心时，它产生了20个结果。有几个结果包含有趣的配送指示，警告司机，送货地点实际上是一个军事基地。一位用户告诉他们的司机：“到蓝色亭子附近的三个吊杆障碍物上打电话。在110路公交车的站台后上到终点，”而另一个人说 “封闭的领土。上去到检查站。在你到达前十分钟拨打（号码）”！ 俄罗斯政治家和纳瓦尔尼的支持者柳博夫·索博尔在一条翻译的推文中说，泄露的信息甚至导致了关于俄罗斯总统普京的所谓”秘密”女儿和前情妇的额外信息。索博尔说：“由于泄露的Yandex数据库，普京的前情妇斯维特兰娜·克里沃诺吉赫的另一个公寓被发现。那是他们的女儿Luiza Rozova订餐的地方。该公寓面积为400平方米，价值约1.7亿卢布！” The Verge指出，如果研究人员能够根据一个送餐应用程序的数据发现这么多信息，那么想想Uber Eats、DoorDash、Grubhub和其他公司拥有的用户信息量，就有点让人不安。2019年，DoorDash的数据泄露事件暴露了490万人的姓名、电子邮件地址、电话号码、外卖订单详情、送货地址等–这个数字比Yandex Food泄露事件中受影响的人要多得多。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1254377.htm 封面来源于网络，如有侵权请联系删除

就在英国警方逮捕了 7 名嫌疑犯之后，近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后，该组织再次宣布成功攻陷 Globant，后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后，该组织在其 Telegram 频道上发布了一个 70G 的种子文件，其中包括据称从该公司窃取的数据，黑客声称其中包括其企业客户的源代码。 Globant 向 TechCrunch 证实，它已经“检测到我们公司代码库的一个有限部分受到了未经授权的访问”，并正在进行调查。 黑客们还公布了一份用于访问其源代码共享平台的公司凭证清单，包括 GitHub、Jira、Crucible 和 Confluence。恶意软件研究小组 VX-Underground 在Twitter上发布了黑客 Telegram 帖子的编辑截图，其中显示该小组发布了他们声称是Globant的密码，如果得到证实，攻击者很容易猜到这些密码。 在发布种子文件之前，Lapsus$ 还分享了一个文件目录的截图，其中包含据信是 Globant 客户的几个公司的名字，包括Facebook、花旗银行和C-Span。 Globant公司还在其网站上列出了一些高知名度的客户，包括英国大都会警察局、软件公司Autodesk和游戏巨头Electronic Arts。至少Lapsus$的一名成员参与了去年电子艺界的数据泄露事件，但目前还不清楚这两起事件是否有关联。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1253099.htm 封面来源于网络，如有侵权请联系删除

Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元)，原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件，违反了欧盟的隐私规则。 Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示，他们发现Facebook“未能采取适当的技术和组织措施”。 2018年，Facebook成为欧盟《通用数据保护条例》颁布后的首个重大考验。当时，爱尔兰监管机构宣布对一起影响多达5000万个账户的漏洞事件展开调查。与周二处罚相关的调查是在当年12月开始的，调查的对象是Facebook发出的12条漏洞通知，其中一些是由一个软件漏洞引起的，导致外部开发者获得了数百万用户的照片。   转自 凤凰网科技 ，原文链接：https://tech.ifeng.com/c/8EQ0Ts7nbTO 封面来源于网络，如有侵权请联系删除

在攻破 NVIDIA 之后，嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖，通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票将于 3 月 13 日结束。 援引 CNBC 报道称，Vodafone 表示对数据泄漏事件知情，并已着手调查黑客是如何获得这些数据的。在撰写本报告时，该投票已收到 12,700 张投票，CNBC 称 以 56% 的比例领先。在回复 CNBC 的声明中，Vodafone 表示 我们正在与执法部门一起调查这一说法，目前我们无法评论这一说法的可信度。然而，我们可以说的是，一般来说，索赔中提到的存储库类型包含专有源代码，不包含客户数据。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1245685.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节，这些设备可以链接到未经身份验证的远程代码执行，且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示，这些问题存在于 TerraMaster 操作系统（TOS）中，“只要知道受害者的 IP 地址，就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统，使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露，上周3月1日发布的 TOS 版本4.2.30中，这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990，与一个名为“ webNasIPS”的组件中的信息泄露案例有关，导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面，第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关，导致出现这样一种情况，即这两个漏洞可以同时出现，以提交一个特别制作的命令来实现远程代码执行。 “总而言之，这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件，另一个是机器时间的信息泄漏，并将其与经过身份验证的操作系统命令注入链接起来，以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击， 与 QNAP 和  ASUSTOR 一样也是受害者，该公司称，它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验，如果有进展，我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明，并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ，以防止未加密文件被加密。     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Adafruit 披露了一个数据泄露事件，这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市，自2005年以来一直是开源硬件组件的供应商。该公司设计，制造和销售电子产品，工具和配件。 前雇员的 GitHub 储存库拥有真实的客户数据 On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included: 3月4日，星期五，Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括: 名字 邮件地址 运输/帐单地址 订单详情 支付程序或PayPal上的订单状态 根据 Adafruit 的说法，这些数据集不包含任何用户密码或信用卡等财务信息。然而，包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。 有趣的是，数据泄漏并不是来自 Adafruit 的 GitHub 存储库，而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。 该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内，就与这名前雇员取得联系，删除了相关的 GitHub 存储库，Adafruit 团队开始了检测程序，以确定是否有任何访问权限，以及哪类数据被影响了。” 用户需要正确的通知 目前，Adafruit 并不知道这些暴露的信息被对手滥用，并声称其披露这一事件是为了“透明度和责任感”。 然而，该公司决定不向每一位用户发送这一事件有关的电子邮件。 Adafruit 解释说，尽管所有的安全信息都公布在公司的博客和安全页面上，但用户并没有采取任何行动，因为数据集中没有显示任何密码或支付卡信息。 “我们评估了风险，咨询了我们的隐私律师和法律专家，并采取了我们认为合适的解决问题的方法，同时保持公开和透明，我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。 But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident: 但是，并不是所有的 Adafruit 用户都信服了，他们提出了自己的需求: 用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息，而不是使用自动生成的“假”临时数据，以及这些信息如何被网络钓鱼者滥用: 值得注意的是，在 GitHub 存储库中保存真实的客户数据，即使是私有的存储库，也是十分危险的。 去年，电子商务巨头 Mercari 遭遇了一起数据泄露事件，这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录，其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露，影响到了“一小部分客户”。 Adafruit 表示: “此外，我们正在实施更多的协议和访问控制，以避免未来可能出现的任何数据曝光，并限制员工培训使用的访问权限。” 用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

作为加拿大“自由车队”卡车司机抗议活动的首选筹款平台，GiveSendGo 刚因遭遇黑客攻击而下线。有关捐赠者的泄露信息，也正在网络上传播。Daily Dot 记者 Mikael Thalen 指出：周日晚间，该网站域名被重定向到了 GiveSendGone[.]wtf，并且不断重播《冰雪奇缘》的一段视频。 据 GiveSendGo 自述，该网站是“首屈一指的基督教自由筹款平台”。然而在攻击者发布的视频中，其不仅嵌入了批评文字，还将之与美国 1 月 6 日的国会山冲突联系了起来。 服务离线后，捐赠者开始涌向新平台。一名安全研究人员指出，GiveSendGo 不安全地设置了亚马逊 S3 云存储服务，导致数 GB 的捐赠者数据被暴露于 Freedom Convoy 。 TheVerge 获得的数据副本，涵盖了将近 9.3 万个条目，其中包括姓名、电子邮件地址、邮编、国籍等。 在数据库列出的邮件地址中，甚至有个别 .gov 域名尾缀，推测有属于 TSA、司法部、监狱局和 NASA 的员工被卷入其中。 从捐赠者的分布区域来看，美国境内占据了半数以上，其次是加拿大和英国。 在接到报告后，GiveSendGo 管理团队认为已于上周修复了云存储问题。然而最新的黑客攻击事件，无疑再次打了他们一巴掌。 另一方面，更加知名的 GoFundMe 已表示将扣留为卡车司机筹集的数百万美元捐款，理由是接到了暴力和涉嫌其它非法活动的报警。 加拿大银行也已开始冻结与车队有关的资金，TD 甚至冻结了两个受捐超百万美元的个人账户。   （消息及封面来源：cnBeta）