近期，浙江温州公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。 “内鬼”得到应有的法律处罚外，该大药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。 简要回顾 前段时间，温州网安部门在日常工作中发现有人在暗网上售卖温州某大药房销售数据。通过侦查发现，该大药房数据分析师利用工作便利将大量交易数据导出并售卖。 温州网安在依法对该数据分析师采取刑事强制措施的同时，启动“一案双查”工作机制。 经进一步侦查发现，该大药房因未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全，最终导致大量敏感数据泄露。 该大药房数据分析师因违反《中华人民共和国刑法》第二百五十三条之一之规定，涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留，现案件还在进一步办理中。 同时，温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该大药房直接负责的主管人员处罚款10万元。 下一步，公安机关将持续贯彻落实《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，全方位加强网络安全监督检查，持续高压严打违法犯罪行为，指导监督网络运营者建立和完善网络与数据安全管理体系，制定内部安全管理制度和操作规程，做好源头防控，坚决维护国家网络安全和数据安全。   转自安全客，原文链接：https://www.anquanke.com/post/id/291406 封面来源于网络，如有侵权请联系删除

库珀集团表示正在努力确定，攻击者是否获取了四百万用户的个人信息。 有消息称：作为美国最大的非银行抵押贷款服务商之一，库珀集团（Mr. Cooper）上周遭受了一次网络攻击，导致数百万用户的贷款支付和其他交易中断。 库珀集团总部位于美国得克萨斯州科佩尔。该公司在上周提交了一份SEC监管文件，表示于10月31日遭受了网络攻击。 库珀集团官网通告称，公司已经“立即采取措施锁定我们的系统”，禁止用户在线支付贷款或访问个人账户信息。 周一下午，库珀集团表示，已经恢复了在线支付系统。通告还向用户提供了通过电话、邮件、西联或速汇金进行支付的选项。 库珀集团发言人发表书面声明：“我们正在努力彻底解决问题。在此期间，如果我们的用户以及我们受客户委托服务的贷款用户尝试付款，或者未能按期付款，都不会产生费用、罚款或负面信用报告。” 库珀集团前身是Nationstar，为430万用户提供抵押贷款服务。 尚不确定用户个人信息是否失窃 自遭受攻击以来，用户一直在库珀集团社交媒体账户上投诉。一位用户在推特上写道，“我昨天进行了一笔相当大的付款，却连回执都没拿到。”另一位用户表示亟需该公司帮助，否则本周他的抵押物就会被银行收回。 库珀集团设立了专门的网站，提供有关此次攻击的信息。他们在该网站上声明，对服务中断感到“非常抱歉”。 库珀集团表示仍在努力确定用户数据是否遭到窃取，但无法估计何时能够完全恢复数据系统。 在上周申报的监管文件中，库珀集团认为此次攻击不会对业务或财务产生“重大不利影响”。然而，本周二，穆迪投资者服务公司的信用评级业务高级信用官员Stephen Lynch表示，穆迪正在监控这一事件，事件影响“取决于服务中断持续的时间、可能对声誉造成的损害和安全漏洞的大小”。 根据美国联邦贸易委员会最近制定的一项规则，非银行金融机构如发生影响500名以上用户的数据泄露事件，需在30天内通知该委员会。该委员会消费者保护局局长Samuel Levine表示，上述披露要求将于明年生效，将“进一步促进公司保护消费者数据。”   转自安全内参，原文链接：https://www.secrss.com/articles/60556 封面来源于网络，如有侵权请联系删除

周二，一名联邦法官拒绝收回一项集体诉讼，该诉讼指控四家汽车制造商利用车辆的车载信息娱乐系统记录和拦截客户的私人短信和手机通话记录，违反了华盛顿州的隐私法。 西雅图的上诉法官裁定，这种做法不符合州法律规定的非法侵犯隐私的门槛，使汽车制造商本田、丰田、大众和通用汽车大获全胜，这些公司是五起相关集体诉讼的被告，这些诉讼的重点是问题。其中一宗针对福特的案件此前已在上诉中被驳回。 四起正在审理的案件中的原告对先前法官的驳回提出了上诉。但上诉法官周二裁定，对手机活动的拦截和记录不符合《华盛顿隐私法》的标准，即原告必须证明“他或她的企业、他或她的人身或他或她的声誉”受到了威胁。 在所涉问题的一个例子中，五起案件之一的原告于2021 年对本田提起诉讼，辩称至少从 2014 年开始，该公司车辆中的信息娱乐系统开始下载并存储智能手机上所有短信的副本。已连接到系统。 诉讼称，总部位于马里兰州安纳波利斯的 Berla Corporation 向一些汽车制造商提供该技术，但不向公众提供。诉讼称，一旦消息被下载，Berla 的软件就使车主无法访问他们的通信和通话记录，但确实为执法部门提供了访问权限。 据 Recorded Future News早些时候报道，许多汽车制造商正在向广告商出售车主数据，作为增加收入的策略。汽车制造商每年都在成倍增加安装在汽车中的传感器数量，但对这种做法的监管却很少。   转自会安全客，原文链接：https://www.anquanke.com/post/id/291299 封面来源于网络，如有侵权请联系删除

杜克大学研究人员以12美分/条的超低价格，买到数千名美国军人的信息。 有消息称杜克大学周一发布的一项研究显示，现役美军的个人信息十分廉价、极易购买，并且还被售卖美国人数据的数据经纪人们疯狂地打广告宣传。 研究人员表示，他们购买了各种数据，包括姓名、电话号码、地址，有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。购买单价一般仅有12美分/人。研究人员一共花了1万美元出头，就买到将近5万名军人的记录。 这项研究引发担忧，数据经纪业缺乏重大监管可能对国家安：-全带来风险。部分美国参议员提前查看了杜克大学的研究结果。他们通过电子邮件发表声明称，研究说明了有必要采取应对行动。 共和党参议员Bill Cassidy表示：“研究报告进一步说明美国军人保护工作存在巨大漏洞，急需加以解决。我们必须维护国家安全，保护守卫国家的军人。” 民主党参议员Ron Wyden称，研究结果“为政策制定者敲响了警钟。数据经纪业已经失控，对美国国家安全构成了严重威胁。” 数据交易网站无所不卖 研究发现，有500多家数据经纪网站打广告宣传能够提供军人信息。发现购买者是学术研究人员后，部分网站拒绝出售这些信息，而其他一些网站要求买方签署保密协议。杜克大学研究人员最终从三家未具名的经纪人那里购买了数千份记录。 杜克大学桑福德公共政策学院研究员Justin Sherman表示，研究结果揭示了隐私法规很少讨论的一面。 Justin Sherman说，“我们的政策存在一个有趣的空白。我们对隐私的讨论主要关注消费者隐私，这当然也很重要。但是，讨论者很少考虑国家安全。” 一些经纪人提供了特定地区的记录。购买者可以由此推断出现役军人的驻地。 危及国家安全 军人数据可以轻易获得属于国家安全问题。这是因为，外国间谍可以利用这些数据，识别、接触拥有国家机密的美国人。 前中情局官员Jeff Asher告诉NBC新闻：“有些人不应该被外国情报部门接触。然而，他们的信息可以轻易获得。这种情况并不乐观。” 今年7月，美国国家情报总监办公室委托的一个小组发布报告，表示美国情报机构经常购买这种“可在市面上购取的信息” （CAI），几乎没有受到质疑或监督。 小组发现：“人们越发认识到，CAI作为一种唾手可得的资源，为我们的对手提供了情报优势。” 五角大楼发言人没有回应置评请求。 一些国家，特别是欧盟国家，制订了严格的法规，用于指导个人信息收集、打包、购买和出售等行业行为。美国法律对医疗数据和幼儿信息的收集设定了一些限制，但国会未能达成一项普遍的数据隐私法案。 Ron Wyden说：“不要觉得我总是重复说，我们的国家迫切需要一项全面的消费者隐私法，从源头限制敏感个人信息的收集、留存和出售。”   转自安全内参，原文链接：https://www.secrss.com/articles/60453 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一项研究表明，苹果的“Find My”功能可能会被攻击者滥用，以隐秘传输通过安装在键盘中的键盘记录器捕获的敏感信息。 苹果的“Find My”功能旨在依靠苹果设备中众包的 GPS 和蓝牙数据，帮助用户定位丢失的苹果设备，包括 iPhone、iPad、Mac、Apple Watch、AirPods 和 Apple Tags，即便这些设备处于离线状态。 早在两年前，研究人员就曾发现滥用“Find My”来传输除设备位置之外的任意数据。虽然苹果表示已经解决了这一漏洞，但最近，研究人员仍然发现将带有 ESP32 蓝牙发射器的键盘记录器集成到 USB 键盘中，可通过“Find My”网络中继用户在键盘上输入的密码和其他敏感数据。 蓝牙传输比 WLAN 键盘记录器或 Raspberry Pi 设备隐蔽得多，在戒备森严的环境中很容易被注意到，但“Find My”可以秘密地利用无处不在的 Apple 设备进行中继。 键盘记录器不必使用 AirTag 或官方支持的芯片，因为苹果设备经过调整可以响应任何蓝牙消息。如果该消息的格式正确，接收方的苹果设备将创建位置报告并将其上传到“Find My”网络。 未知的 Apple 设备条目 攻击者需要创建许多略有不同的公共加密密钥来模拟多个 AirTags，并通过在密钥中的预定位置分配特定位来将任意数据编码到密钥中。云端检索的多个报告可以在接收端连接和解码，以检索任意数据。 对任意数据进行编码，以便通过“Find My”进行传输 在接收端拼接和解码传输 研究人员解释称，使用蓝牙版 “EvilCrow “键盘记录器和标准 USB 键盘，虹吸数据装置的总成本约为 50 美元。 PoC 攻击实现了 每秒 26 个字符的传输速率和每秒 7 个字符 的接收速率 ，延迟时间 在 1 到 60 分钟之间，具体取决于键盘记录器范围内是否存在 Apple 设备。虽然传输速率很慢，但仍不妨碍攻击者针对一些有价值的密码等敏感信息展开行动。 此外，键盘内的固定键盘记录器不会激活苹果的反跟踪保护功能，该功能会通知用户 Air 标签可能会对其进行跟踪，因此该设备仍处于隐藏状态，不太可能被发现。 BleepingComputer 已要求苹果就“Find My”的滥用行为发表声明，但到目前尚未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/382871.html 封面来源于网络，如有侵权请联系删除

2023年11月1日，全国信息安全标准化技术委员会发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》。 为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，依据《关于促进粤港澳大湾区数据跨境流动的合作备忘录》和属地相关法律法规，制定本文件。文件规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求，为实施粤港澳大湾区个人信息保护认证提供了认证依据，也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。 文件适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于（适用于组织）／位于（适用于个人）粤港澳大湾区内的个人信息处理者，即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市，及香港特别行政区的个人信息处理者。   转自Freebuf，原文链接：https://www.freebuf.com/news/382537.html 封面来源于网络，如有侵权请联系删除

该数据库由Redcliffe Labs拥有，Redcliffe Labs是一家位于北方邦诺伊达的印度医疗公司。 网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个无密码保护的数据库，其中包含 1200 多万条记录。这些数据包括敏感的患者数据，如医疗诊断扫描、测试结果和其他医疗记录。 在调查过程中，福勒发现医疗检测结果中包含大量患者的个人信息，包括姓名、医生姓名、与健康相关的详细信息，以及患者是在家中接受检测还是在医疗机构接受检测。这些文件属于印度一家医疗诊断公司 Redcliffe Labs。 数据库总容量为 7TB，包含约 12347297 条记录。标有 “报告 “的文件夹包含 1180000 个对象（约620GB）。标有 “智能报告存储 “的文档文件夹包含 1164000 个对象（1.5GB），标有 “测试结果 “的文件夹包含 6090852 个对象（2.2TB），其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有 3912445 个对象（2.7GB）。 除了庞大的患者数据，暴露的数据库还包含公司移动应用程序的开发文件。这些文件控制着应用程序的功能和数据传输。 Redcliffe Labs 是印度领先的医疗中心之一，提供 3600 多种不同的健康和疾病测试。据 Redcliffe Labs 网站称，该机构拥有 250 万用户。该公司在印度 220 多个城市提供上门检测样本采集服务，并在全国拥有 2000 多家健康和样本采集中心。 根据福勒的博文，在他把问题上报的同一天，数据库的公开访问也随即受到限制。但是，目前还不清楚该数据库暴露了多长时间，也不清楚是否有未经授权的个人访问过该数据库。 然而此类漏洞可能会给患者带来深远的影响，因为他们可能会面临身份被盗、医疗欺诈和敲诈勒索等风险。如果移动应用程序的相关数据落入不法分子之手，网络犯罪分子就会利用这些数据发动网络攻击，破坏应用程序的功能，危害移动用户的安全。 最大的风险因素是应用程序代码的暴露，威胁者可以利用这些代码注入恶意代码，破坏应用程序，添加未经授权的功能，并注入恶意软件。 目前，Redcliffe Labs 尚未说明是否已将数据泄露事件通知相关部门或受影响的个人。此外，也没有迹象表明该公司的移动应用程序受到了威胁，或有人在数据受限前已经访问了患者数据。   转自Freebuf，原文链接：https://www.freebuf.com/news/381917.html 封面来源于网络，如有侵权请联系删除

IBM 的一项新研究表明，当前的生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件，并且可以为攻击者节省大量时间。 在IBM针对一家未透明名称的全球医疗保健公司1600 名员工进行的测试中，各有一半的员工分别收到了来自由真人和AI编写的钓鱼邮件，结果显示，14% 的员工误入了真人编写的钓鱼电子邮件并点击了恶意链接，11% 的员工则陷入了由ChatGPT 编写的钓鱼邮件。  ChatGPT 制作的钓鱼电子邮件（由 IBM 提供） 虽然由真人编写的钓鱼邮件在欺骗度上高于AI，但差距已经不大，更重要的是，研究人员只用了五分钟就让 ChatGPT 写出了一封钓鱼邮件。 领导这项实验的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 说道：““我的团队通常需要大约 16 个小时来构建网络钓鱼电子邮件，而且这还不考虑基础设施设置。因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作时间。” 虽然ChatGPT 开发商 OpenAI 已经采取了保护措施，防止聊天机器人响应网络钓鱼电子邮件、恶意软件或其他恶意网络工具的直接请求。但卡拉瑟斯和她的团队已经找到了解决方法。 团队首先要求 ChatGPT 列出医疗保健行业员工关注的主要领域，然后提示 ChatGPT在电子邮件中列出最重要的社交工程和营销技术，以提高更多员工点击电子邮件中恶意链接的可能性。接着，提示询问 ChatGPT 发件人应该是谁——公司内部人员、供应商或外部组织。最后，要求ChatGPT根据刚刚提供的信息制作一封电子邮件。 “我拥有近十年的社会工程经验，制作了数百封网络钓鱼电子邮件，我甚至发现人工智能生成的网络钓鱼电子邮件相当有说服力，”卡拉瑟斯说。 她解释说，在创建网络钓鱼电子邮件方面，人仍然比机器更好，因为生成式人工智能模型仍然缺乏欺骗更多人所需的情商。 然而，IBM X-Force 已经观察到，诸如 WormGPT 之类的工具在各种宣传网络钓鱼功能的论坛上出售，表明攻击者正在测试人工智能在网络钓鱼活动中的使用，而且该技术正在不断改进。   转自Freebuf，原文链接：https://www.freebuf.com/news/381833.html 封面来源于网络，如有侵权请联系删除

目前，谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪，都可能导致用户隐私信息泄露。 而这项功能可通过代理服务器屏蔽用户的IP地址，以增强用户的隐私性，这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。 IP 地址允许网站和在线服务跟踪跨网站的活动，从而便于创建持久的用户档案。与第三方 cookie 不同的是，用户目前没有直接的方法来躲避这种隐蔽的跟踪，这就造成了严重的隐私问题。 谷歌提出的 IP 保护功能是什么？ 虽然 IP 地址是潜在的跟踪载体，但它们也是路由流量、防止欺诈和其他重要网络任务等关键网络功能不可或缺的部分。 IP 保护 “解决方案通过代理服务器路由来自特定域的第三方流量，使这些域看不到用户的 IP 地址，从而解决了这一双重问题。随着生态系统的发展，”IP 保护 “也将不断调整，以继续保护用户免受跨站跟踪，并在代理流量中添加更多域。 关于 IP 保护功能的描述中曾提到：Chrome 浏览器正在重新引入一项建议，以保护用户免受通过 IP 地址进行的跨站跟踪。该建议是一种隐私代理，可对符合上述条件的流量进行 IP 地址匿名化处理。 前期IP 保护将作为一项可选择功能，确保用户可以控制自己的隐私，谷歌将会同时监控用户的行为趋势。这个功能的实施将分阶段进行，以适应地区性考虑并确保学习曲线。 第一阶段被称为 “第 0 阶段”，谷歌将使用专有代理将请求代理到自己的域名。这将有助于谷歌测试系统的基础设施，并为微调域名列表争取更多时间。 初期只有登录谷歌 Chrome 浏览器且 IP 位于美国的用户才能访问这些代理服务器。然后经过选择的一组客户端将自动纳入此次初步测试，但随着测试的深入，架构和设计也将随之调整。为了避免潜在的IP滥用，谷歌运营的认证服务器将向代理分发访问令牌，并为每个用户设定配额。 在下一阶段，谷歌计划采用两跳代理系统，以进一步提高隐私性。第二个代理将由外部 CDN 运行，而谷歌运行第一跳。这样可以确保两个代理都看不到客户端的 IP 地址和目的地。 由于许多在线服务利用 GeoIP 来确定用户的位置以提供服务，谷歌计划为代理连接分配代表用户 “粗略 “位置而非其具体位置的 IP 地址，如下图所示。 料来源：谷歌 谷歌打算测试该功能的域包括其自己的平台，如 Gmail 和 AdServices。同时，谷歌计划在 Chrome 119 和 Chrome 225 之间测试这一功能。 潜在的安全问题 谷歌方面解释称：新的 IP 保护功能存在一些网络安全问题。由于流量将通过谷歌服务器代理，这可能会使安全和欺诈保护服务难以阻止 DDoS 攻击或检测无效流量。 此外，如果谷歌的某个代理服务器被入侵，威胁者就可以看到并操纵通过该服务器的流量。 为了缓解这一问题，谷歌正在考虑要求使用该功能的用户对代理服务器进行身份验证，防止代理服务器将网络请求链接到特定账户，并引入速率限制以防止 DDoS 攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/381609.html 封面来源于网络，如有侵权请联系删除

一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司。 10月17日，日本最大通信网络运营商NTT WEST两家子公司宣布，一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示，目前尚无法确认信息泄露造成的损害，警方正对此展开调查。 据悉，2022年4月，一位使用NTT WEST子公司系统的用户指出存在信息泄露情况的可能性，于是两家子公司开展了内部调查，但未能掌握相关证据。直到今年7月，警方以违反《反不正当竞争法》为依据对上述前临时工进行调查，才曝光了信息泄露一事。 根据NTT WEST一子公司披露的案情，信息泄露事件发生在2013年7月至今年1月前后，持续时间长达十年之久。前临时工利用职务之便，滥用系统管理员的账户权限长期访问存储用户信息的服务器，非法下载大量用户信息。其后，该前临时工还将窃取的部分信息交给其他公司。 2017年至2018年间，NTT WEST一子公司曾被委托开展一个项目，即鼓励年龄在43至59岁之间，已加入国民健康保险且三年未接受特定健康检查的公民参与体检。在此次事件中，通过该项目收集的个人信息几乎全部被泄露。另外，日本西南部福冈县政府就此事表示，2015年至2019年间，约14万名纳税人的信息可能已被泄露。 值得一提的是，两家子公司表示，到目前为止，尚无法确认此次信息泄露造成的任何损害，也暂无证据证实前临时工是否与其他公司有金钱往来。为避免此类事件再发生，子公司更改了公司系统操作规范，要求多个管理员检查维护计算机的下载功能，新安装一个能对存在安全风险的行为进行快速检测的系统。 “对于给用户带来的极大担忧和不便，我们深表歉意。”NTT WEST子公司相关负责人表示。 南都记者梳理发现，这是近半年来NTT又一次深陷信息泄露丑闻，且“罪魁祸首”都是前外包临时工。7月，NTT Docomo证实其承包商NTT Nexia的一名前临时员工非法窃取了该公司约596万条用户个人信息，包括用户姓名、地址、电话号码、出生日期、电子邮箱等，该前员工后被警方拘留。   转自隐私护卫队，原文链接：https://mp.weixin.qq.com/s/jbOVSNM2el8arYoKiRc3hQ 封面来源于网络，如有侵权请联系删除