据外媒ZDNet报道，Wyze是一家销售安全设备（如安全摄像头、智能插头，智能灯泡和智能门锁）的公司，该公司周日证实发生了服务器泄露，大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说，泄露是在内部数据库意外在线暴露之后发生的。 该公司表示，公开的数据库-一个Elasticsearch系统-不是生产系统；但是，服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术，旨在帮助该公司对大量用户数据进行分类。该公司表示：  ‘’为了帮助管理Wyze的快速增长，我们最近启动了一个新的内部项目，以寻找更好的方法来衡量基本的业务指标，例如设备激活，连接失败率等。 我们从主要生产服务器复制了一些数据，并将其放入更灵活的数据库中，以便于查询。最初创建此新数据表时，该表受到了保护。但是，Wyze员工在12月4日使用此数据库时犯了一个错误，并且该数据的先前安全协议已删除。我们仍在调查此事件，以找出原因和发生方式。” 泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的，并由IPVM（一个致力于视频监控产品的博客）的记者进行了独立验证。 Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满，在公开调查结果之前，Wyze仅用了14分钟的时间解决了泄露问题。 “我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的（上午9:35发布到Twitter）。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。” Wyze确认泄露的服务器暴露了详细信息，例如用于创建Wyze帐户的客户电子邮件地址，分配给Wyze安全摄像机的昵称用户，WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌，这些令牌将Wyze设备连接到Alexa设备。 Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称，他们找到了API令牌，他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法，即他们正在将用户数据发送回阿里云服务器。 第三，Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示，他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。 Wyze没有否认其收集的身高，体重和性别信息。但是，他确实否认了其他方面。 “我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。” 就目前而言，涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式，Wyze都表示决定从所有帐户中强制注销所有Wyze用户，并且与所有第三方应用程序集成不同，这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。   (稿源：cnBeta，封面源自网络。）

Maze勒索软件近期发布2GB的文件，有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击，该市的通信系统受到影响，网络系统几近瘫痪。据Bleeping Computer证实，这一事件的发生正是因为受到Maze勒索软件的攻击。昨天，Maze勒索软件也发布了32GB文件中的2GB文件，他们声称这些文件来源于在加密网络前就已盗取该市的网络数据，若想解密数据，需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中，Maze方透露，他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误，我们所盗取的数据远不止如此，我们也不想给这座城市造成压力，也早已表明了真实的意图，但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时，他们的回答是“这取决于彭萨科拉市政府”。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

据Facebook和Twitter透露，一些第三方应用未经用户同意便获取了用户的个人信息。 这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告，不过专家们注意到，一旦使用这些应用程序将社交网络的用户登录到任一服务中，SDK就会静默访问其个人资料并收集信息，包括用户名，电子邮件地址和推文。 这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。 “我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致，而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定，可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息（电子邮件，用户名，最新一条推文）。 ” 即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户，他们仍然没有排除黑客可能使用SDK进行攻击的可能性。 Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据，但iOS设备还没有出现过类似的事件。 Twitter向Google和Apple以及其他同行报告了此事件，并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。 Facebook发现了两个具有类似目的SDK，它们分别是One Audience和Mobiburn。 据称，恶意SDK收集了个人资料信息，包括姓名，性别和电子邮件地址。 Facebook发言人告诉 The Register： “安全研究人员最近向我们通报了One Audience和Mobiburn，他们收买开发人员，以在应用中使用恶意SDK。” “经过调查后，我们根据违反平台政策的原因将其应用程序从平台上删除，并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露，我们将提示他们保护好自己的姓名，邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。” oneAudience没有对此事件发表评论，但与此同时MobiBurn发表声明，否认其正在收集Facebook数据，并宣布对使用其SDK的第三方应用程序展开调查。 “MobiBurn没有收集，共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介，例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据，也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动，直到我们结束对第三方的调查。”   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

我们曾经听说过大型科技公司通过出售私人数据赚钱，但美国全国各地的汽车管理部门也在通过这种做法赚钱，其中包括加利福尼亚的汽车管理部门，该部门每年通过出售驾驶员个人信息获得5000万美元的收入。 公共记录法案已经记录了有多少公司向加利福尼亚汽车管理部门支付数据费用。在2017/2018财政年度，这一数字为52,048,236美元，而2013/2014财年为41,562,735美元。这些数据信息包括驾驶者姓名，实际地址和汽车注册信息。 虽然该文件没有具体说明哪些公司要求提供这些信息，但其中包括数据经纪商和信贷机构。一些汽车管理部门还向私人调查员出售了信息，在某些情况下，他们被雇用来寻找配偶是否出轨。 加州汽车管理部门表示，数据请求者还可能包括保险公司，车辆制造商和准雇主，而赚取的金钱用于公共和高速公路安全，包括提供保险，风险评估，车辆安全召回，交通研究，排放研究，背景调查等等。   （稿源：cnBeta，封面源自网络。）

由于配置错误，Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息，涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品，还有帐户创建日期、最后登录日期，用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日，Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队，后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重，因为它不包含密码，付款数据，甚至没有用户的真实姓名。 但是，尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件，并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应，并表示此次事故是因为配置错误，使得服务器被暴露在互联网上。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ZDNet了解到，由于数据库配置错误，厄瓜多尔大部分人口（包括儿童）的个人记录已在网上曝光。两周前，vpnMentor安全研究人员Noam Rotem和Ran Locar发现了这个数据库泄露。这应该是厄瓜多尔历史上最大的数据泄露事件之一，厄瓜多尔是一个拥有1660万公民的南美小国。 这次泄露的数据库总共包含大约2080万个用户记录，这个数据库记录的数量大于该国家的总人口数，其中原因可能来自重复记录或较旧的条目，包含死者的数据。这项数据分布在不同的索引中。这些索引包含不同的信息，其中存储了用户详细信息，如姓名，家庭成员，民事登记数据，财务和工作信息，以及汽车所有权数据。 根据这些索引的名称，整个数据库可以根据数据的假定来源分为两大类。有一些数据似乎是从政府来源收集的，还有一些数据似乎是从私人数据库收集的。这些数据包含公民全名、出生日期、出生地、家庭住址、婚姻状况、塞杜拉细节（国家身份证号码）、工作/工作信息、电话号码和教育程度等条目。 然而，事情并没有就此停止。安全研究人员发现整个数据库当中也包含大量儿童信息，有些儿童甚至是今年春季才出生。具体来说，其中包含大约677万个18岁以下儿童条目。这些条目包含姓名、出生地、家庭住址和性别等信息。   （稿源：cnBeta，封面源自网络。）

北京时间8月16日上午消息，据路透社报道，周四提交的一份法庭文件显示，Facebook用户针对2018年发生的一起数据泄露事件，正对这家全球最大的社交媒体网络发起诉讼。这些用户称，公司未能向他们提醒单一登录工具的风险，但却有能力保护公司的员工。 单一登录可以让用户使用Facebook凭据登录第三方社交应用和服务。 该诉讼涉及多项法律行动，源于去年9月发生的公司历史上最严重的一起安全漏洞事故。当时，黑客窃取了登录代码——或“访问令牌”——从而使得近2900万个Facebook账户被非法访问。 “Facebook清楚这些访问令牌的漏洞，但多年来尽管公司有能力却始终未修复该漏洞，”原告在提交给位于加州旧金山的美国北部地区法院的诉状中写道，“更令人震惊的是，Facebook已经采取措施保护自己的员工免受安全风险的影响，却无视大多数用户面临的安全隐患。” 法官威廉阿尔苏普（William Alsup）在1月的时候，告诉Facebook，其愿意允许在本案中采取“bone-crushing discovery”方式，来调查用户数据被窃取的程度。 自最初披露数据泄露事故以来，Facebook几乎没有公开任何细节，仅仅表示“广泛”用户受到影响，但未根据国家分类给出具体数据。 对于另外的1500万名用户而言，受影响程度仅限于姓名和联系方式。此外，黑客可以看到大约40万名用户的帖子和朋友与群组列表。Facebook称，黑客未窃取用户的个人信息或财务数据，也没有访问用户的其他网站账户。 Facebook尚未立即回复评论请求。   （稿源：cnBeta，封面源自网络。）

近年来发生的多起大规模信息泄露事件，使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光，那后果就更加严重了。遗憾的是，这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉，研究人员在 Suprema 的系统中发现了一个安全漏洞，使之能够访问超过 100 万人的身份验证数据。 （图自：vpnMentor，via BGR） 英国《卫报》指出，这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞，并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是，在获得访问权限后，安全研究人员发现该数据库缺乏应有的保护，且大多数据处于未加密的存储状态，很容易访问到总量超过 2780 万条（23GB+）的记录。 除了敏感信息，安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施，甚至查看到管理员账户的密码。 此外，研究人员能够编辑某人的帐户，在其中加入自己的指纹。因此从理论上来讲，攻击者可以突破所有需要授权进入的地方。 更令人不安的是，研究人员发现密码数据根本没有受到任何保护，使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到： Suprema 未采用无法进行逆向工程的散列式指纹数据存储，而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此，Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称：此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’，若威胁确实存在，Suprema 会立即采取行动并发布适当的公告，以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题，并对这批数据展开了滥用。   （稿源：cnBeta，封面源自网络。）

据外媒报道，上周，Vice Motherboard网站上的一份报告显示，微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司，但问题是这家公司没有在其隐私文件中明确指明这点。 而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。 其中在Skype翻译隐私FAQ中，微软解释了什么样的音频内容会被收集以及如何被使用。“这可能包括微软职工和供应商的转录录音，但会受制于为保护用户隐私设计的程序，包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。“ 看起来即便苹果和谷歌最近因隐私问题暂停了Siri和Google Assistant对语音记录的人工审查，微软眼下也不会这么做。不过微软发言人告诉媒体，公司显然正在考虑做出进一步的改变。“我们已经更新了我们的隐私声明和产品常见问题，以此来增加更大的清晰度并将继续研究我们可能采取的进一步措施。”   （稿源：cnBeta，封面源自网络。）

北京时间8月14日早间消息，知情人士透露称，Facebook付费聘请几百名外部承包商，让他们转录音频片段，这些音频来自使用Facebook服务的用户。 一位因为担心丢掉工作而不愿意透露姓名的知情人士称，这份工作让承包商感到不安，他们不知道音频是在哪里录制的，Facebook又是如何获取的，他们只负责转录。知情者还说，承包商会倾听Facebook用户的对话，有时里面包含低俗内容，至于为何要转录这些音频，他们不知道原因。 其它科技企业也曾有过同样的行为，后来因为遭受批评而终止，Facebook证实曾经转录过用户音频，但是项目已经终止。Facebook在声明中表示：“就像苹果谷歌一样，在一周多以前我们已经终止人工音频审核工作。”Facebook还说，受到影响的用户在Facebook Messenger App中自愿选择，允许Facebook转录音频。承包商负责检查，看看Facebook AI是否能正确解读信息内容，这些信息以匿名形式存在。 亚马逊、苹果等大型科技公司也曾收集音频片段，这些音频来自消费者使用的计算设备，收集音频之后，科技公司再请人核查，这种行为因为涉嫌侵犯隐私招来批评。 4月份，彭博社报道称亚马逊组建一个团队，里面有几千名员工，他们遍及全球，负责倾听Alexa音频，亚马逊这样做主要是想改进软件；苹果Siri、谷歌助手也组建相似的人力团队，核查音频。 事件曝光之后，苹果、谷歌终止项目，亚马逊则说用户拥有选择权，可以允许亚马逊核查音频，也可以禁止。 Facebook并没有告诉用户第三方将会核查他们的音频，正因如此，一些承包商觉得自己的工作不道德。 知情人士透露说，加州圣塔莫尼卡(Santa Monica）的TaskUs公司是Facebook的承包商，Facebook是TaskUs最大最重要的客户之一，TaskUs禁止员工公开谈论自己为谁工作，他们用代号代表客户。 Facebook还让TaskUs审核可能违反政策的内容。在TaskUs内部本来有一些团队从事选举筹备、政治广告筛选工作，但最近其中一些员工转移到新成立的转录团队。 之前Facebook曾说过，会自动处理用户提交的内容和通信信息，分析语境，看看里面有什么。但Facebook从没有说过会请人筛选审核内容。Facebook承认自己与第三方分享信息，但它没有提到过转录团队的存在，它只是说会有一些承包商、服务提供商支持Facebook工作，为Facebook分析产品使用情况。 Facebook聘请人力员工分析录音，说明AI识别单词、语音模式时存在限制。机器的识别能力的确在增强，但有时还是会碰到麻烦。从2015年开始，Messenger用户就可以将音频交给Facebook，让它转录。当时负责Messenger业务的高管大卫·马库斯（David Marcus）曾说：“我们想尽千方百计，力求让Messenger变得更实用。”   （稿源：，稿件以及封面源自网络。）