据外媒CNET报道，近日安全研究人员发现了一个不安全的数据库，其中泄露了超过2.67亿个Facebook用户的电话号码、姓名和用户ID，任何人都可以在线访问该数据库。这可能成为继续困扰着世界上最大的社交网络的又一起隐私和安全事故。 安全研究员Bob Diachenko于12月14日发现了这批Facebook用户数据。该数据库（目前已被关闭）并未受到密码或任何其他保护措施的保护。尽管该数据库现已无法访问，但是在安全研究人员发现时，这些信息已经被公开了将近两个星期。根据  Comparitech的说法，有人已经在一个黑客论坛上获得了可供下载的数据。 Facebook最新的隐私事故引发了有关该公司是否在保护其数十亿用户数据方面所做的足够的质疑。这也再次提醒用户，用户应警惕他们在社交网络上公开的信息。这不是安全研究人员首次发现一个包含大量Facebook用户数据的数据库。此前英国政治咨询公司剑桥分析公司被曝光未经其许可就收集了多达8700万Facebook用户的数据。 Facebook 还面临其他隐私问题，例如以纯文本格式存储数亿个密码。 Comparitech表示，公开的Facebook数据使用户面临垃圾邮件和网络钓鱼活动的风险。Facebook用户ID包含唯一数字，可用于找出某人的Facebook用户名和其他个人资料信息。 Diachenko认为越南的犯罪分子通过两种可能的方式获得了用户记录。他们本可以利用Facebook的应用程序编程接口或API，使开发人员可以访问其朋友列表，照片和群组等数据。由于可能存在安全漏洞，这可能是在Facebook在2018年或之后限制访问用户电话号码之前发生的。犯罪分子还可以使用自动化技术从公开的Facebook个人资料中获得信息。 Diachenko在一封电子邮件中表示，链接到数据库的欢迎页面包括越南语邀请，要求输入登录名和密码。他表示，该数据库似乎被错误地设置为公开数据库，因为“没有充分的理由公开此数据。” 一位Facebook发言人在一份声明中说，该公司正在调查该问题，但认为该数据可能是在进行更改以更好地保护用户信息（例如限制访问电话号码）之前收集的。安全研究人员指出，用户可以更改隐私设置，以使Facebook之外的搜索引擎无法链接到他们的个人资料。用户还可以停用或删除他们的Facebook帐户。 不受保护的公共数据库一直是Facebook的问题。4月，来自UpGuard的安全研究人员在亚马逊云服务器上的公共数据库中发现了超过5.4亿个Facebook用户记录，包括评论和点赞。9月，TechCrunch报告称一个服务器包含多个数据库，其中包括来自美国、英国和越南用户的超过4.19亿个Facebook记录。不过，Facebook表示，该服务器包含大约2.2亿条记录。Diachenko称，最新遭泄露的公开数据库包含相似的Facebook用户数据，但并不相同。 9月，另一位安全研究人员发现了一个类似的数据库，其中包含Facebook用户数据。目前尚不清楚是否是同一个人或团体在网上发布Facebook用户信息。   （稿源：cnBeta，封面源自网络。）

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说，潜在的黑客可以利用这些安全漏洞来接管设备，并且可以跟踪孩子，甚至与他们进行对话。 安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞，这三款儿童智能手表是Duiwoim，Jsbaby和Smarturtle，价格不到40美元。它们被用作跟踪设备，以跟踪孩子并允许父母向孩子发送消息或者打电话。 但是Rapid7的安全研究人员发现，与佩戴手表的孩子保持联系的不仅仅是父母，因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系，但是Rapid7发现此过滤器根本不起作用。 这些手表还通过短信接受了配置命令，这意味着潜在的黑客可以更改手表上的设置，从而使孩子处于危险之中。研究人员说，这三款手表都使用相同的软件，因此，这三款手表的漏洞会全面扩散。 Rapid7的研究人员还发现，这三款智能手表的默认密码完全相同，它们都是123456。Rapid7说，人们不太可能更改此密码，设备甚至不会告诉用户密码存在或如何更改。研究人员警告说，凭借这种简单的密码和通过短信更改配置的能力，潜在的黑客可以接管设备并跟踪孩子，甚至将智能手表与自己的手机配对。 Rapid7发现的另一个明显缺陷是，无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系，因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。   （稿源：cnBeta，封面源自网络。）

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本，此外的还有90400个死亡证明申请，不过无法访问或者下载。 该储存库没有进行密码保护，任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同，但都会执行一项相同的任务：允许美国人向该州的记录保存机构（通常是州卫生部门）提出申请，以获取其历史记录的副本。我们审查的申请书包含申请人的姓名，出生日期，当前家庭住址，电子邮件地址，电话号码和历史个人信息，包括过去的地址，家庭成员的姓名和申请理由（例如申请护照）或研究家族史。 根据对数据的调查，发现这些申请最早可以追溯到2017年年末，并且该储存库每天都处于更新状态。在短短一周时间内，该公司向该储存库中添加了将近9000条申请记录。总部位于英国的渗透测试公司Fidus Information Security发现了暴露的数据。 TechCrunch通过将名称和地址与公共记录进行匹配来验证数据。 外媒已经与当地数据保护机构联系，以警告安全漏洞，但它没有立即发表评论。   （稿源：cnBeta，封面源自网络。）

微软在2019年对超过30亿个公司账户进行了密码重用分析，以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息，并从执法机构获得额外数据，并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示，约20%的互联网用户重复使用密码，另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示，大部分网民仍然青睐弱密码，而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序，并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中，该浏览器旨在检查弱密码并监视密码是否已经泄漏。 微软一直在推动无密码登录已经有一段时间了，该公司的密码重用研究提供了一个原因。根据微软的说法，4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5％。 现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面，微软将提高用户风险并警告管理员，以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证，以更好地保护其帐户免受攻击和泄漏。根据微软的说法，如果使用多因素身份验证，则99.9%的身份攻击不会成功。   （稿源：cnBeta，封面源自网络。）

在线音乐流媒体服务Mixcloud最近遭到黑客的攻击，用户数据在暗网上出售。 近期，一名昵称为“ A_W_S”的黑客联系了多家媒体曝光了此事件，并提供了数据样本作为数据泄露的证据。 此次攻击发生在11月初，超过2000万个用户帐户的数据遭到曝光。这些数据包括用户名，电子邮件地址，SHA-2哈希密码，帐户注册日期和国家/地区，最近一次登录日期，IP地址以及个人资料照片的链接。 Techcrunch发布的文章称：“我们通过注册功能验证了部分被盗数据。这些被盗数据的确切数量仍是未知。卖方说他们拥有2000万条记录，但暗网上存在2100万条。但根据我们采样的数据，记录可能多达2200万条。” 黑客以0.27比特币（约合2,000美元）的价格出售这些数据。 图片来源：ZDNet   上周六，Mixcloud发布安全公告披露了该事件，该公司同时强调，系统没有存储完整的信用卡号或邮寄地址之类的数据。 “今天晚上我们收到了可信的报告，证实了黑客访问了我们的部分系统。” “此次事件事件涉及电子邮件地址，IP地址和少数用户的密码（安全加密状态）。大多数Mixcloud用户使用Facebook账号进行了注册，我们没有存储这些用户的密码。” Mixcloud 目前正在积极调查此事件，并且建议用户将密码重置。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

如果你曾经在Magento官方市场上注册过一个帐户来购买或出售任何扩展程序，插件或电子商务网站主题，那么你现在要立刻修改你的密码了。 拥有Magento电子商务平台的公司Adobe今天公布了一项新的数据泄露事件，Magento Marketplace 用户的帐户信息被暴露给了黑客。 据该公司称，黑客利用了其网站上一个未公开的漏洞，并用未经授权的第三方身份访问数据库并获取了注册用户的信息，包括客户（买方）和开发人员（卖方）。 数据库中的信息包括受影响的用户的姓名，电子邮件地址，MageID，账单和送货地址信息以及一些商业信息。 尽管Adobe没有透露或者可能他们也不知道Magento市场何时遭到的攻击，但该公司已经确认其安全团队于11月21日发现了这一漏洞。 除此之外，Adobe还保证，黑客无法破坏Magento的核心产品和服务，也就是说黑客无法通过访问Marketplace上托管的主题和插件来添加任何后门或恶意代码，用户可以安全下载。 “ 11月21日，我们发现了Magento Marketplace的漏洞。我们当时暂时关闭了Magento Marketplace以解决此问题。目前Marketplace已经重新上线。此次事件并未影响任何Magento核心产品或服务的运行” ，Adobe商务产品和平台副总裁Jason Woosley 发表声明说。 Adobe没有透露受影响的用户和开发人员的数量，但它已经开始通过电子邮件通知受影响的客户。 尽管Adobe并未明确提及帐户密码也已泄露，但他们仍然建议用户更改该密码，如果用户在其他网站使用了相同的密码，最好也对这些密码进行更改。   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据谷歌威胁分析小组（TAG）报道显示：超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论，这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件，来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。 谷歌公司表示，2019年7月至9月间发送的高风险用户安全警告与2018年和2017年同期相比浮动范围均在10%以内。 我们鼓励记者、人权学家和政客等高风险用户加入我们的高级保护计划（APP），该计划通过硬件安全密钥，可为防范网络钓鱼和帐户劫持提供最有力的保护。该程序是专门为高风险账户设计的，”谷歌说。 据谷歌共享的地图显示，钓鱼攻击警告虽然已被发送到149个国家受影响的用户手中，但美国、巴基斯坦、韩国和越南是仍受攻击最严重的国家。 自2012年来，一旦发现有黑客通过网络钓鱼、恶意软件等形式攻击用户时，谷歌便会向用户发出安全警报。 就在去年，谷歌开始向 G Suite 管理员提供安全警报，以便他们能更好向用户保护采取行动。 针对安全警报问题，谷歌公司建议当目标用户收到邮件时，不必惊慌，这并不一定意味着你的谷歌账户已经被泄露，这意味着黑客试图通过一些恶意手段访问你的谷歌账户，你应及时采取一些措施如保持其应用程序和软件的最新状态并启用两步验证保护个人账户信息。     消息来源：TheHackerNews， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据Facebook和Twitter透露，一些第三方应用未经用户同意便获取了用户的个人信息。 这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告，不过专家们注意到，一旦使用这些应用程序将社交网络的用户登录到任一服务中，SDK就会静默访问其个人资料并收集信息，包括用户名，电子邮件地址和推文。 这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。 “我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致，而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定，可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息（电子邮件，用户名，最新一条推文）。 ” 即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户，他们仍然没有排除黑客可能使用SDK进行攻击的可能性。 Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据，但iOS设备还没有出现过类似的事件。 Twitter向Google和Apple以及其他同行报告了此事件，并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。 Facebook发现了两个具有类似目的SDK，它们分别是One Audience和Mobiburn。 据称，恶意SDK收集了个人资料信息，包括姓名，性别和电子邮件地址。 Facebook发言人告诉 The Register： “安全研究人员最近向我们通报了One Audience和Mobiburn，他们收买开发人员，以在应用中使用恶意SDK。” “经过调查后，我们根据违反平台政策的原因将其应用程序从平台上删除，并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露，我们将提示他们保护好自己的姓名，邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。” oneAudience没有对此事件发表评论，但与此同时MobiBurn发表声明，否认其正在收集Facebook数据，并宣布对使用其SDK的第三方应用程序展开调查。 “MobiBurn没有收集，共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介，例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据，也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动，直到我们结束对第三方的调查。”   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

我们曾经听说过大型科技公司通过出售私人数据赚钱，但美国全国各地的汽车管理部门也在通过这种做法赚钱，其中包括加利福尼亚的汽车管理部门，该部门每年通过出售驾驶员个人信息获得5000万美元的收入。 公共记录法案已经记录了有多少公司向加利福尼亚汽车管理部门支付数据费用。在2017/2018财政年度，这一数字为52,048,236美元，而2013/2014财年为41,562,735美元。这些数据信息包括驾驶者姓名，实际地址和汽车注册信息。 虽然该文件没有具体说明哪些公司要求提供这些信息，但其中包括数据经纪商和信贷机构。一些汽车管理部门还向私人调查员出售了信息，在某些情况下，他们被雇用来寻找配偶是否出轨。 加州汽车管理部门表示，数据请求者还可能包括保险公司，车辆制造商和准雇主，而赚取的金钱用于公共和高速公路安全，包括提供保险，风险评估，车辆安全召回，交通研究，排放研究，背景调查等等。   （稿源：cnBeta，封面源自网络。）

黑客在Disney +启动数小时后便开始劫持用户帐户。许多帐户现在可以在黑客论坛上免费获得，或以3美元至11美元不等的价格出售。 接连不断的投诉 Disney +视频流媒体服务于11月12日启动。虽然只有美国，加拿大和荷兰可以享受Disney +服务，但其网站在开始的24小时内已经有超过1000万注册用户。 Disney +服务遇到了许多技术问题。许多用户报告他们喜欢的电影和节目无法播放。但在对技术问题的抱怨声中，还有一小部分用户报告无法访问其帐户。Twitter和Reddit等社交网络充斥着诸如此类的投诉。 许多用户报告说，黑客正在访问他们的帐户，将其从所有设备中注销，然后更改该帐户的电子邮件和密码，从而完全盗取了该帐户。 部分用户承认他们在其他网站使用了和Disney +帐户一样的密码，其他用户在网上说他们重新设置了密码。 这表明，在某些情况下，黑客可以使用在其他站点泄露的电子邮件和密码组合来访问帐户，而在其他情况下，Disney +密码可能是从感染了键盘记录或信息窃取恶意软件的用户那里获得的。 待售！ 黑客将Disney +帐户货币化的速度令人震惊。服务启动后数小时内，帐户就在黑客论坛上出售。价格从每个帐户3美元到最高11美元不等——这比迪士尼合法的Disney +帐户的费用7美元还高。 Disney +可以做的是进行身份验证，这可以避免因为密码重用导致的攻击。 Disney +推出的目的在于与其他流媒体进行抗争。黑客论坛上充斥着被黑客入侵的Amazon Prime，Hulu和Netflix帐户。黑客仍然定期销售这些账户是因为一直有市场需求。 Disney +用户最好对帐户设置唯一的密码。这无法阻止设备上的恶意软件窃取密码，但可以防止黑客通过猜测密码窃取帐户。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接