据外媒报道，西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现，Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库，并得出结论称，它包含了价值24.4GB的数据，总计超过1000万个文件。 值得一提的是，Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台，用于处理顶级预订网站上的房间供应并实现自动化。在此案中，该软件公司在没有任何安全措施的情况下，存储了旅行社和酒店客户的信用卡数据。结果，客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告，被曝光的数据属于酒店客人，包含以下内容： 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码，包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件，所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责，Holden在报告中表示。 由于Prestige软件公司总部位于欧洲，而暴露的数据属于全球各地的人，包括欧洲公民的公民；该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户，目前还不清楚你的数据是否被第三方恶意访问。然而，正如最近所见，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在暗网市场上出售，或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件，4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上，并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中，Hackread.com报道称，2019年12月，一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月，同样的数据库在一个黑客论坛上以600美元的价格出售。       （消息来源：cnBeta；封面来自于网络）

当地时间11月3日，瑞典最大的保险公司Folksam在新闻稿中证实，近100万客户的个人信息已泄露给Facebook和Google等社交媒体。Folksam表示歉意，并已要求公司删除该信息。 在一次内部审计中，Folksam发现与数字合作伙伴共享了大约100万人的个人数据，其中一些被认为是敏感的。Folksam已要求合作伙伴公司删除该信息。 “我们知道这会引起客户的关注，我们认真对待发生的事情。我们已立即停止共享个人信息，并要求将其删除。”Folksam营销和销售主管表示，“我们这样做的目的是分析并为客户提供定制的报价，但是不幸的是，我们没有以正确的方式做到这一点。” Folksam分享了可能被视为敏感的个人数据，例如，某人购买了工会保险或怀孕保险，以及特别值得保护的个人数据——个人社会保险号。Folksam已要求已收到个人信息的合作伙伴将其删除。当前，没有信息表明该信息已被第三方以任何不当方式使用。 从Folksam接收个人数据的公司有Facebook，Google，Microsoft，Linkedin和Adobe。     （消息来源：cnBeta；封面来自网络）

据外媒TechCrunch报道，True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞，该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出，Hello Mobile是一家虚拟手机运营商，依附于T-Mobile的网络。 True官方网站介绍称，公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上，其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示，该曝光早在9月初就已经发生。 在TechCrunch联系True之后，这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在，但并没有回答他们提出的具体问题，包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解，控制面板包含了从今年2月开始的每日服务器日志，像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外，控制面板还会暴露用户上传的电子邮件和电话联系方式，True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出，控制面板还对外泄露了账号访问令牌，这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字，但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌，并使用它访问其帐号并在上面发布消息。 此外，控制面板还显示了一次性登录代码，True会将这些代码发送到与账号关联的电子邮件地址或电话号码，而不是存储密码。 True表示，在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此，他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前，TechCrunch无法联系到Hello Mobile的发言人。     （消息及封面来源：cnbeta）

链接预览几乎是主流聊天和即时信息应用中标配的功能，它能预览链接中关联的图像和文本，从而让在线对话更加轻松。但遗憾的是，它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池，甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究，目前 Facebook，Instagram，LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息，应用可能会显示该链接随附的文本（通常是标题）和图像，通常看起来会是下面这样的： 为此，应用程序本身（或由应用程序指定的代理）必须要先访问该链接，打开文件，并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件，以至于导致应用崩溃，耗尽电池或消耗有限的带宽。而且，如果链接指向私人材料（例如，将报税表发布到私人OneDrive或DropBox帐户），则应用服务器可以无限期查看和存储它。 本周一，安全研究人员塔拉尔·哈吉·巴克里（Talal Haj Bakry）和汤米·迈斯克（Tommy Mysk）发现，Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示，两个应用程序都会下载并复制整个链接文件，即使文件大小为千兆字节也是如此。同样，如果文件是用户希望保密的文件，则可能会引起关注。 即使链接的文件容量高达 2.6 GB，在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现，该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说，其服务器仅下载图像的缩小版本，而不下载原始文件，并且该公司不存储该数据。 但是 Mysk 表示，该视频演示了 Instagram 全部下载了 2.6GB 文件（Ubuntu ISO，文件重命名为ubuntu.png ）。他还指出，大多数其他 Messenger 会剥离 JavaScript，而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是，它没有复制任何大小的文件，而是仅复制了前50兆字节。 同时，当 Line 应用程序打开加密消息并找到链接时，它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道：“我们认为这违反了端到端加密的目的，因为LINE服务器知道通过应用程序发送的所有链接，以及谁与谁共享链接。” Discord，Google Hangouts，Slack，Twitter和Zoom也会复制文件，但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     （消息来源：cnBeta；封面来自网络）  

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务，以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案，以确保他们拥有合法的工作许可，并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息，包括护照、身份证和驾照等政府文件，以及其他个人身份数据，这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示，上个月发现，未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中，Fragomen没有说明被访问的数据是什么样的，也没有说明有多少谷歌员工受到影响。根据州法律规定，受违规事件影响的加州居民超过500人的公司，必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     （消息来源：cnbeta；封面来自网络）

2018 年，英国航空公司泄露了 40 万用户数据。近日，信息专员办公室（ICO）对英国航空公司除以 2000 万英镑（约合 2585 万美元）的罚款。 罚款是迄今为止 ICO 开除的最高记录，因为该航空公司违反数据保护法，在处理大量个人数据时没有采取适当的安全措施。 ICO 表示，英国航空公司未能发现并解决这些安全漏洞，最终导致了 2018 年的攻击。攻击者在两周内窃取了将近 43 万名用户的数据，泄露的数据包括使用英国航空公司网站和 App 预定机票的付款信息、姓名、地址和密码信息。 ICO 批评英国航空公司在两个多月的时间内都未能发现网络攻击。Elizabeth Denham 表示：“人们将个人详细信息交给英国航空公司，英航应该采取足够的措施保证这些信息的安全”。ICO 认为这样的不作为是不可接受的，这样规模的数据泄露影响了很多很多人。 组织管理的个人数据泄露时，可能会对人们的生活产生影响。现在，法律为我们提供了要求企业做好信息安全防护的保障。 尽管 2000 万英镑已经是创纪录的罚款金额，但这已远低于 ICO 在 2019 年 6 月提出的 1.83 亿英镑的罚款金额，这在当时是自《通用数据保护法》（GDPR）实施以来最大的一笔罚款。ICO 表示，这考量了英国航空公司的的请求以及 COVID-19 对航空业产生的巨大影响。监管机构同时指出，2018 年后，英国航空公司的 IT 安全性进行了相当大的改进。 英国航空公司表示：“2018 年，一发现我们的系统被攻击，我们就立刻向用户发出的提醒。但是很遗憾，我们未能达到用户的预期”，“我们很高兴监管机构能够肯定我们为系统安全性做出的改进，我们也积极配合相关调查工作”。     （消息及图片来源：Forbes；译文来自FreeBuf.COM。）

据外媒TechCrunch报道，由于担心新冠病毒的传播，美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人，迫使朋友和家人使用昂贵的视频探视服务，但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后，一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞，暴露了数千名囚犯和他们的家人之间的电话，但也有他们与律师的通话，这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务，它的一个数据库在没有密码的情况下暴露在互联网上，允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞，他说，这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题，HomeWAV在几个小时后关闭了系统。 在一封电子邮件中，HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch：“我们的一个第三方供应商已经证实，他们意外地取下了密码，从而允许访问服务器。”Best没有点名第三方供应商的名字，他表示，公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch：“我们一次又一次看到的是，当系统失败时，被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往，有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说：”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎，它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉，检察官和调查人员会回听录音，以防囚犯在通话中自证其罪。然而，由于律师与当事人的特权，囚犯与其律师之间的通话不应该被监控，这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此，已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年，美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且，今年早些时候，缅因州的辩护律师表示，他们经常被几个县级监狱录音，他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说：“除非来访者之前已经登记为神职人员，或者是犯人有权与之进行特权交流的法律代表，否则会告知来访者，访问可能会被记录，并且可以被监控。” 但当被问及时，HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示，律师明确宣布他们的通话受律师-当事人特权保护，有效地告诉任何听进去的人，通话是禁区。 TechCrunch与两位律师进行了交谈，他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录，但要求不要说出他们或他们的客户的名字，因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示，他们在通话中口头主张律师与当事人的特权，而另一位律师也认为他们的通话受到律师与当事人特权的保护，但拒绝进一步评论，直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实，他9月份与监狱中的一位客户的一次通话被记录、转录，随后被曝光，但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息，”Repka说。“任何时候，我都有一个客户从监狱给我打电话，我非常意识到并意识到不仅有可能出现安全漏洞，而且还有可能被县检察官办公室访问这些电话。” Repka称：“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道：“律师的最佳做法是，总是亲自去监狱探望你的客户，在那里，你在一个房间里，你有更多的隐私，而不是通过电话线，你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难，或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说，由于冠状病毒带来的威胁，几个州已经暂停了亲自探视，包括合法探视。甚至在大流行之前，一些监狱就结束了亲自探视，改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业，像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年，Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露，并与The Intercept分享。据该出版物报道，缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月，Diachenko报告说，另一家监狱探视服务机构TelMate也出现了类似的安全漏洞，由于无密码数据库，数百万条囚犯信息被泄露。     （稿源：cnBeta，封面源自网络。）

微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周，这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露，尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实，微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持，不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现，但源码并不是被严格保存的，微软曾经启动了一个特殊的政府安全计划（GSP），允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露，微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上，就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码，但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是，这些文件中还提到了比尔·盖茨的阴谋论，显然是想传播错误信息。     （稿源：cnBeta，封面源自网络。）

近日推特向开发者发布电子邮件，警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中，推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道：“在修复之前，如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌，它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内，在你之后使用同一台电脑的人知道如何访问浏览器的缓存，并且知道该寻找什么，那么他们有可能访问了你查看的密钥和令牌”。 在邮件中，推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样，这些私钥、令牌可以被认为是一种通行密码，因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的，因为如果被盗，它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示，目前还没有看到任何证据表明这些密钥被泄露，但出于谨慎的考虑，还是提醒了开发者。邮件中说，可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响，也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     （稿源：cnBeta，封面源自网络。）

与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据，包括搜索查询、设备详细信息和GPS坐标等。 然而，日志数据库不包括任何个人信息，如姓名或地址。 9月12日，WizCase的Ata Hakcil发现了这一数据泄露，它是一个6.5TB的海量日志文件缓存，任何人都可以在没有任何密码的情况下访问这些文件，这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称，服务器在9月10日之前一直受到密码保护，此后，身份验证似乎被无意中删除了。 微软安全响应中心知悉后，Windows制造商于9月16日解决了这一错误配置。 近年来，配置不当的服务器一直是数据泄露的持续来源，它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说：“基于绝对的数据量，可以安全地推测，任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站，以及“与枪支相关的查询，包括购买枪支的搜索历史记录，以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外，这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符，如ADID（Microsoft广告分配给广告的数字ID）、“deviceID”和“devicehash”。 此外，该服务器还遭受了至少两次所谓的“meow attack”，这是一次自动网络攻击，自7月以来，该攻击已从14000多个不安全的数据库实例中抹去数据，且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息，但WizCase警告说，这些数据可能被用于其他目的。此外，这还会让犯罪分子定位用户的行踪，用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点，还是人们在必应上搜索的数百件令人尴尬的事情，”该公司表示一旦黑客掌握了搜索查询信息，他们可以根据服务器上提供的详细信息查出受害者的身份，从而使受害者容易成为敲诈的目标。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。