近期，俄罗斯空降部队和其他部队的领导数据遭泄露，其中涉及俄罗斯军队领导层用户敏感信息。 据知道创宇暗网雷达监测，近期，俄罗斯空降部队和其他部队的领导数据遭泄露。 其中，俄罗斯领导层包括：俄罗斯空降部队、地面部队、空军、防空部队、反舰导弹旅、海军等。数据样本包含用户名称，电话号码，军衔，职位等。 黑客发布的暗网信息截图 知道创宇网雷达信息截图 目前，该数据价格未知，联系可议。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

HackerNews 编译，转载请注明出处： 印度多家知名品牌遭第三方营销公司数据泄露，其范围影响超百万人。 Swiggy、Redbus、Nykaa、BigBasket、TataMotors、ICICIPruLife、Axis Direct等印度知名品牌因网络安全疏忽导致大量用户个人数据被泄露。 2022年2月12日，Cybernews研究团队发现了一个可公开访问的Apache Kafka Broker，其属于印度营销分析公司Gamooga，该公司主要提供第三方营销服务。 该开放实例包含多个印度知名品牌客户的敏感数据，包括银行服务商、保险机构、电商平台、娱乐应用平台和教育机构的数据。 Redbus用户数据截图 上述数据的访问时间已超过一年，用户均可进行连接并实时接收客户的敏感数据，已有超百万用户的个人数据被泄露。Gamooga声称其历史以来业务涉及人数超过10亿，占印度总人口的三分之二。 Nykaa 用户数据泄露信息 此外，受泄密影响的公司没有在其隐私政策中明确声明第三方可以出于营销目的访问客户数据，这可能违反了印度的数据保护法。 Cybernews联系Gamooga 公司，获知该公司已获得了数据访问权限，目前尚未收到营销公司和受影响公司的正式评论。 受泄密影响的知名品牌包括： Nykaa（在线美妆零售商） Swiggy（在线食品订购服务商） BigBasket（在线零售商） TataMotors （印度跨国汽车公司） ICICIPruLife（寿险公司） CaratLane（珠宝零售商） AxisDirect（在线证券交易平台） Redbus（在线巴士票预订平台） 海量数据 Kafka 是一个分布式消息流平台，用于实时处理大量数据。Brokers 是 Kafka 架构中的服务器，用于管理数据记录的存储并将数据进行传输。 泄露数据列表： 电子邮件地址、姓名 购买记录 IP地址 电话号码 出生日期 订单交货日期 保险信息 部分付款信息 设备信息 用户位置 用户数据泄露截图 在调查过程中，研究人员收集了未受保护的Kafka Broker发送的超4000万个请求，并在两小时内收集了17GB的私人数据。 研究人员收集的请求包含超一百万个用户的敏感信息。根据上述数据，可推测该第三方公司在访问的期间，此类请求的总量可飙升至2000亿。 BigBasket 的订单信息 信用卡信息 客户面临风险 泄露的数据对于数据经纪人、执法机构、政府、情报机构及黑客来说意义重大。 保险提供商的信息 如果黑客访问这些数据，可能会对使用 Gamooga 服务的公司造成重大损害。泄露的数据将带来如身份盗窃、垃圾邮件、人肉搜索、网络钓鱼、恐吓等系列网络安全风险。 TataMotors发送的邮件截图 隐私政策中未注明 Cybernews研究团队审查了通过暴露 Kafka Broker传输用户数据公司的隐私和cookie政策。 没有一家公司透露出于营销目的与Gamooga共享用户数据。一些政策披露了第三方营销公司的使用情况，但并未说明共享的数据范围以及数据用途。 Caratlane 客户和网络请求 与欧洲的GDPR和加利福尼亚州的CCPA类似，印度也正在通过自己的数据保护法——2023年数字个人数据保护法（DPDPA）。 从银行应用程序收集的信息 根据该法案，企业在处理用户数据之前需要获得用户的同意，说明收集的数据用途，并允许用户撤销同意。 这些公司没有声明已与Gamooga共享用户数据，而这一事实可能被视为违反DPDPA。   消息来源：Cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，一名自称为“Handala Hack”的巴勒斯坦黑客声称已成功攻击消息应用程序Viber，并声称窃取了约740GB的数据，其中包括Viber的源代码。 尽管Viber否认了这一泄露事件，但表示正在进行调查，并建议用户立即更改其密码。 据称，该黑客组织要求支付8比特币（约583,000美元）的赎金以防止泄露。这一事件引发了对Viber消息应用管理面板和存储的公民信息安全性的担忧。 “您以前见过 Viber Messenger 的管理面板吗？你能想象隶属于占领政权的科技巨头，他们存储了哪些公民信息吗？” 该小组的帖子读到。正如 Hackread.com 所见，该声明还附有一张据称显示目录列表的图像。 Telegram 上的 Handala Hack 小组截图 Viber 是一款消息应用程序，于 2010 年推出，并于 2014 年被日本跨国公司乐天公司以 9 亿美元收购，该应用程序已对黑客的指控做出了回应。 根据Viber的声明，公司否认了任何系统入侵或数据泄露的指控，并已启动调查以核实是否存在安全漏洞。他们表示，已经开始紧急调查以确认指控的有效性，并强调用户数据安全是他们的首要任务。 如果确认存在数据泄露，这可能是近代历史上规模最大的泄露事件之一。专家认为，此次泄露可能涉及个人消息、通话记录、联系方式和财务信息，可能对Viber用户造成毁灭性影响。 Handala Hack是一个有争议的组织，以支持巴勒斯坦事业，以色列实体及其盟友为目标而闻名。自从他们于2023年12月建立了Telegram频道并加入违规论坛以来，该组织一直非常活跃。 黑客论坛上的 Handala Hack 小组 该组织声称他们的目标包括以色列基础设施、医疗保健提供者、社区中心、科技公司、媒体机构和拥有先进技术的国防承包商。他们使用多种技术进行攻击，包括模仿F5 BIG-IP零日安全更新和SQL注入攻击的网络钓鱼电子邮件。他们的目的是破坏数据库，并通过网络手段破坏政治信息。声称的目标包括Hadarom Port、Home Medics、Rosh Ha’ayin Municipal Society和DRS RADA Technologies。 尽管Viber尚未证实这一事件，但它已引起人们对该应用程序数据安全实践的担忧。Viber需要清楚地解释情况，并说明用户数据可能面临的潜在风险。 同时，Viber用户应谨慎行事，及时更改密码，警惕网络钓鱼尝试，并通过查看Viber官方渠道了解有关涉嫌数据泄露的任何更新。   消息来源：hackread，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

darkreading网站消息，继众议院能源与商务委员会上周通过禁用流行社交媒体平台TikTok的法案后，美国国会于周三投票赞成该法案。该法案规定，任何受“外国”控股的企业需在180天内撤资。 长期以来，TikTok作为字节跳动的子公司，一直面临着日益增长的压力。 法案建议将TikTok出售给一家美国公司，如果字节跳动拒绝出售，美国的应用商店和网络托管服务将被禁止提供TikTok应用，违反规定的公司将面临罚款。 尽管众议院大力支持该法案，但参议院是否会审议该法案尚不明确。如果法案通过，它将成为首次通过立法手段尝试禁止像TikTok这样拥有约 1.7 亿美国用户的大型社交媒体平台。 TikTok因数据隐私和数据存储问题在全球范围内引起关注，不仅在美国，英国因为该公司去年未能遵守儿童数据保护规定对TikTok进行了巨额罚款。另外，整个欧盟对此也表示担忧。 欧盟委员会已禁止其员工使用TikTok，禁令基于可能被用于发起网络攻击的“网络安全威胁和行为”。 目前，TikTok 已投资 15 亿美元用于重组计划，并在美国成立了一家拥有 1500 名员工的子公司。 TikTok被视为“高度威胁” 亚当·马雷（Adam Marrè），北极狼（Arctic Wolf）公司的首席信息安全官（CISO）表示，TikTok在美国的监管防线之外构成了一个高度威胁，实施对TikTok的全面禁令带来了实质性的后勤挑战。 他进一步表明，如果国会能通过严格、明确、健全的法规来保护用户隐私，让用户控制个人数据的收集、存储和使用，就能对外资应用程序进行更有效的监督，禁令也就没有必要了。 Zendata的首席执行官纳拉亚纳·帕普指出，联邦政府的介入和指导有助于保护用户，并建立起对社交平台具有问责制的、更加有效的监管框架。 TikTok 为小型企业带来数十亿美元收入 上周，牛津经济研究院（Oxford Economics）发布报告称，TikTok在2023年为小型型企业带来了147亿美元的收入，为美国GDP贡献了242亿美元，并创造了22.4万个工作岗位，其中在加利福尼亚、德克萨斯、佛罗里达、纽约和伊利诺伊等地的影响尤为显著。 小型企业使用TikTok带来了53亿美元的税收，其中39%的企业认为TikTok对他们的生存至关重要，69%的企业表示销售额有所增加。 此外，TikTok在美国的运营为GDP贡献了85亿美元，创造了20亿美元的税收，并支持了超过5.9万个工作岗位。 媒体信托公司总裁克里斯-奥尔森（Chris Olson）表示，虽然TikTok的禁令尚未确定，但依赖TikTok获得大部分收入的品牌显然需要重新思考这种依赖性，因为不确定性本身就是一种商业风险。 奥尔森指出，首先，该法案并没有禁止美国公司使用 TikTok 的商业或广告服务；其次，即使法案通过，也不能确定其实际效果如何。 如果字节跳动拒绝剥离 TikTok，它仍将托管在非美国服务器上，用户可以通过互联网访问，也可能通过非官方应用程序访问。如果字节跳动真的剥离了 TikTok，就不会执行禁令，也无需改变业务运营。   转自Freebuf，原文链接：https://www.freebuf.com/news/394901.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： France Travail称本次数据泄露事件，可能会对4300万人的个人隐私信息造成影响。France Travail是法国政府机构，负责登记失业人员、提供经济援助并协助他们寻找工作。 最近，该机构透露，黑客在2月6日至3月5日期间的一次网络攻击中窃取了过去20年来在该机构注册的求职者的详细信息。求职者个人资料的个人数据也被曝光，受影响的个人将收到该机构关于该事件导致的个人数据侵犯的通知。 France Travail已通知该国数据保护机构国家信息和自由委员会（CNIL），同时表示多达4300万人可能受到影响。 此次攻击暴露的数据类型包括： 全名 出生日期 出生地 社会安全号码 (NIR) 法国劳务部门身份验证标识符 电子邮件地址 邮寄地址 电话号码 这些数据增加了暴露个人的身份盗窃和网络钓鱼的风险，因此该机构建议受影响用户应对收到的电子邮件、电话保持警惕。 France Travail澄清说，数据泄露事件不会影响人们的银行详细信息或账户密码，但CNIL警告网络犯罪分子可能会利用现有信息与其他泄露事件中丢失的数据点进行关联。 受到France Travail数据泄露事件影响的人可以向巴黎检察官办公室提出投诉，以帮助调查。 去年8月，France Travail 遭遇了一次大规模数据泄露，影响了约1000万人。 该事件间接归因于Clop勒索软件组织利用MOVEit Transfer软件工具中的 0day 漏洞破坏了该机构的系统。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

乡村度假隐私受到威胁。西班牙当地短租服务公司Escapada Rural类似于Airbnb，半年来大量私人客户数据被泄露。黑客掌握了这些数据并在非法市场BreachForums上发布。 Cybernews研究团队于1月8日发现了Escapada Rural的一个面向互联网的存储库，其中包含290万客户的个人信息数据库，包括姓名、电子邮件地址、性别、出生日期和电话号码。 公司数据库中的个人数据被导出并存储在可公开访问的CSV文件中，其中最新的条目来自2022年11月7日。 进一步调查显示，恶意行为者已将数据集发布到非法市场BreachForums上。帖子作者的别名是“louhunter”。 网络新闻研究团队警告称，论坛帖子可以追溯到2023年7月，表明Escapada Rural在六个多月的时间里未能识别并确保泄漏安全。泄露的信息已被恶意行为者滥用的可能性越来越大。 另外，其他数据库备份文件也被暴露，但其包含不太敏感的信息，如来自booking.com和其他网站的房产列表。由于不需要身份验证方法，任何具有一点技术知识的人都可以访问房产列表的照片。 客户还应警惕其他常见的攻击行为，例如使用数据进行网络钓鱼、垃圾邮件、人肉搜索，甚至财务欺诈。 Escapada Rural 成立于 2007 年，归 HomeToGo 所有，HomeToGo 是多个预订和租赁度假公寓网站的运营商。母公司声称要提供“一个支持 SaaS 的市场，拥有全球最多的度假租赁选择。” Cybernews 联系了这两家公司，但在发表这篇报道之前没有收到回复。消息披露后，泄露点被封堵。 公司可能因数据泄露而面临数百万美元的罚款 欧洲公司在为客户提供服务和处理数据时必须遵守通用数据保护条例 (GDPR)。 Escapada Rural 在其隐私政策中表示，它按照 GDPR 第 32 条存储个人信息，该条要求对数据进行加密或假名化。公司还应该制定适当的流程来定期测试和评估数据的安全性。 “该公司似乎没有采取这些措施，因为它以纯文本形式泄露了用户信息，并且很长一段时间都无法识别泄露情况。根据 GDPR，在存储私人信息时未能保护和监控安全问题可能会导致高达 2000 万欧元的罚款，即该公司上一财年全球总营业额的 4%，”Cybernews 研究人员警告说。 通过采用适当的访问控制策略、对云存储桶进行适当的身份验证、加密敏感信息以及纳入其他安全保护措施，可以防止这种泄露。   转自安全客，原文链接：https://www.anquanke.com/post/id/293911 封面来源于网络，如有侵权请联系删除

在面临隐私问题后，Airbnb 最近更新了政策，全面禁止房东在出租屋内安装并使用室内安全监控摄像头。 修订后的政策将在全球范围内适用，并将于4 月 30 日生效。Airbnb 表示，做出这一改变是为了优先考虑客人的隐私并简化安全摄像头的规定。 在此之前，Airbnb 允许房东在房源的公共区域（例如走廊和客厅）安装监控摄像头，只要在房源预定页面注明摄像头位置，且保证摄像头非隐藏式摄像头，不允许在卧室和浴室等私人空间安装摄像头。 修订后的政策明确规定，无论其位置、用途或进行了事先披露，摄像头将不得出现在房源内部的任何角落。违反规则的房东将受到调查，并可能被列入黑名单或帐户被删除。 Airbnb 表示，大多数房源都没有报告装有摄像头。因此，预计新政策只会影响平台上的少数房源。 需要注意的是，Airbnb依然允许房东安装室外摄像头，在但禁止将室外摄像头对准室内，且大致安装位置必须在预订前告知租客。 此外，门铃摄像头和噪音分贝监视器等出于安全属性的设备依然被允许使用，但同样也须在预订前让租客知晓。 长期以来，室内摄像头一直令Airbnb 用户感到担忧。去年，一对来自得克萨斯州的夫妇向马里兰州一Airbnb 业主索赔7.5万美元，称他们在房间内发现了隐藏式摄像头，并在入住期间（包括在浴室里）对他们进行了偷拍。   转自Freebuf，原文链接：https://www.freebuf.com/news/394640.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 最大的在线词典 Glosbe 服务器遭曝露， 700 万用户的个人数据、加密密码、社交媒体标识符等敏感信息被泄露。 Cybernews 研究团队发现，Glosbe 留下了一个开放的 MongoDB 服务器，导致数百万用户的数据暴露。 企业通常使用 MongoDB 来存储大量的面向文档的信息，但配置错误可能会使实例可供公众访问，从而导致敏感数据泄露。该团队于 2023 年 12 月下旬发现了这个开放的数据库并联系了 Glosbe，其并未进行回复，但开放的实例已经关闭。   Cybernews 联系 Glosbe 寻求有关此次泄露的官方评价，截至目前暂未收到回复。据相关研究人员发现，开放的实例包含了 Glosbe 的用户记录集合。 “泄露的信息使用户面临严重风险，使威胁行为者能够进行身份盗窃、进行网络钓鱼攻击以及未经授权访问账户，对个人隐私和安全构成严重威胁。”研究人员称。 Glosbe 是一本多语言词典，号称涵盖所有语言。这项服务类似于维基百科，由其社区成员进行开发。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AI 服务 Cutout.Pro 遭遇数据泄露，2000 万会员的个人信息被泄露，包括电子邮件地址、密码、IP 地址和姓名等。 Cutout.Pro是一个人工智能驱动的照片和视频编辑平台，提供图像增强、背景去除、扩散、着色、旧照片修复和内容生成等功能。 本周，一位名为KryptonZambie在BreachForums黑客论坛上分享了一个 CSV 文件的链接，其中包含从 Cutout.Pro 窃取的 5.93 GB 数据。 这些 CSV 文件的4140 万转存储数据中有2000万条数据使用了唯一的电子邮件地址，网络犯罪分子还声称他们仍然可以访问已被入侵的系统。 黑客在黑客论坛上发布数据 BleepingComputer从搜集到样本来看，泄露的数据包括以下信息：用户 ID 和个人资料图片、API 访问密钥、帐户创建日期、电子邮件地址、用户IP地址、手机号码、用户类型和帐户状态等。 数据泄露监控和警报服务 Have I Been Pwned (HIBP) 已将此次泄露添加到其目录中 ，确认泄露的数据集包含约 2000万 人的信息。威胁行为者还通过其个人Telegram频道分发这些文件，使被盗数据更广泛传播。 虽然Cutout.Pro尚未正式确认此安全事件，但HIBP的创始人Troy Hunt表示，他已经独立验证了泄露的电子邮件地址中的多个匹配项，并确认了密码重置请求已通过。 目前已证实，数据泄露中列出的电子邮件与合法的 Cutout.Pro 用户相符。目前已向该公司发送了电子邮件，但尚未收到回复。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据SecurityWeek消息，著名安全厂商Avast 被美国联邦贸易委员会 (FTC) 指控通过其浏览器扩展和防病毒软件收集消费者网络浏览数据，并在没有充分通知和未经消费者同意的情况下出售这些数据。 FTC计划对 Avast 处以 1650 万美元的罚款，并责令停止销售或许可任何用于广告目的的网络浏览数据。 FTC还指控这家捷克公司欺骗用户，声称该软件将通过阻止第三方跟踪来保护消费者的隐私，但未能充分告知消费者它将出售其详细的、可重新识别的浏览数据。 据称，Avast 通过其子公司 Jumpshot 将这些数据出售给 100 多个第三方。 FTC 表示，至少从 2014 年开始，Avast收集和转售的浏览数据包括有关用户网络搜索和访问网页的信息，其中可揭示消费者的宗教信仰、健康问题、政治倾向、位置、财务状况等较为敏感的内容。 2015年，Avast专门设立了用于数据营销的子公司 Jumpshot，该公司被指通过测量来自 150 多个网站（包括亚马逊、谷歌、Netflix 和沃尔玛）的数千个类别的搜索、点击和购买模式来分析消费者的在线习惯，并在用户不知情的情况下出售给第三方。2020年， Jumpshot因深陷数据隐私丑闻被Avast关闭。 Avast 声称在将数据传输给客户之前使用特殊工具删除了识别信息，但该监管机构表示，该公司未能充分匿名化通过各种产品以非汇总形式出售的消费者浏览信息。 目前，Avast 已就 FTC 拟议命令发表以下声明： Avast 已与 FTC 达成和解，以解决对 Avast 过去向其 Jumpshot 子公司提供客户数据的调查，该子公司已于 2020 年 1 月自愿关闭。我们致力于保护和增强人们的数字生活的使命。虽然我们不同意联邦贸易委员会的指控和对事实的描述，但我们很高兴解决此事，并期待继续为全球数百万客户提供服务。”   转自Freebuf，原文链接：https://www.freebuf.com/news/392370.html 封面来源于网络，如有侵权请联系删除