北京时间8月8日早间消息，据美国科技媒体The Verge援引Motherboard消息报道，微软合同工正在手动审查从Skype自动翻译功能与Cortana语音助手收集的录音。Motherboard获悉的录音中，内容包括用户的私人对话和关系问题讨论以及其他个人事情如减肥等等。“我同你分享的这些内容无不说明，他们在保护用户数据方面是多么松懈，”向Motherboard分享音频文件的一位合同工解释说。 该匿名合同工还提到，在审查过程中，他们还听到类似于“电话色情”的内容，还说他们听到用户使用Cortana命令输入自己的完整地址，以及使用语音助手搜索色情内容。 尽管合同工指出，他们无法获悉用户的身份识别信息，但微软的消费者大概不会希望看到，他们的私人对话正有可能成为“穿着睡衣坐在客厅里的陌生人之间”的笑话。Motherboard随后发现一份招聘清单，证实合同工可以在家工作。一名微软发言人表示，所有合同工都签署了保密协议，且微软拥有审计权确保合规性。 在微软之前，苹果、亚马逊和谷歌也相继因处理从各自语音助手收集到的语音数据而面临严峻的审查。聘请合同工听取录音是为了改善用户使用的语音服务。在微软这件事上，Motherboard报道称，部分合同工需听取的音频来自Skype的机器翻译服务，该服务推出于2015年。 但微软并未在Skype Translator FAQ和Cortana文档中说明公司正使用语音数据以改善服务，仅仅是提到“语句和自动记录将会被分析，任何更正会进入我们的系统，以构建更高性能的服务。”在其他地方，公司称“（验证）自动翻译并将更正反馈给系统”。但是，Motherboard指出，微软并未明确表示会有任何人将收听这些录音。 问及此事时，微软表示，公司仅在用户选择参与的基础上收集和使用语音数据，并指出在隐私面板的语音部分，用户可以删除公司获得的关于用户本人的语音数据。 微软发言人在声明中强调，公司“对收集和使用的语音数据始终保持透明以确保消费者有能力就他们的语音数据做出明智的选择……微软在收集和使用用户语音数据之前，会先征求用户许可。” “在与供应商共享数据之前，我们还制定了几项旨在优先保护用户隐私的程序，包括隐去身份识别信息、要求供应商及其员工签署保密协议、遵守欧盟更严格的隐私标准等。”   （稿源：，稿件以及封面源自网络。）

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容： 几个月前，我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章，我能够在这些泄露的数据中找到NASA员工的详细信息，包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件，全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词，是因为如果你的公司也在使用相同的错误配置，那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA，谷歌，雅虎，Go-Jek，HipChat，Zendesk，Sapient，Dubsmash，西联汇款，联想，1password，Informatica等公司，以及世界各地政府的许多部门也遭受同样的影响，如欧洲政府，联合国，美国航天局，巴西政府运输门户网站，加拿大政府财政门户网站之一等。 接下来我将分享我在Jira（Atlassian任务跟踪系统/项目管理软件）中发现的那个关键漏洞，或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题！ 在 JIRA 中创建过滤器或仪表板时，它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时，默认情况下，可见性分别设置为“所有用户”和“所有人”，而不是与组织中的每个人共享，所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能，它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误，以下内部信息容易受到攻击： 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息，由于这些链接可能被所有搜索引擎编入索引，因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据： 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示，由于这些配置错误的JIRA设置，它会公开员工姓名，员工角色，即将到来的里程碑，秘密项目以及各种其他信息。 现在，我来介绍一下如何通过 来自“Google dorks”（搜索查询）找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下： inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了： 此查询列出了其URI中具有“UserPickerBrowser”的所有URL，以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板，我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL，以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下： inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL，以查找公开公开的所有JIRA仪表板。 在进一步侦察（信息收集）时，我发现各公司都有“company.atlassian.net”格式的JIRA URL，因此如果您想检查任何配置错误的过滤器，仪表板或用户选择器功能的公司，您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器，仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限，从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单，包括像NASA，谷歌，雅虎等大型巨头和政府网站，以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统，因此暴露了他们的一些项目细节，员工姓名等，这些都是在与他们联系后修复的。 同样，联合国意外地将他们的Jira过滤器和Jira仪表板公开，因此暴露了他们的内部项目细节，秘密里程碑等，在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时，甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后，他们也对其进行了修复，并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息，例如员工角色，员工姓名，邮件ID，即将到来的里程碑，秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息，可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然，它不应该是公开的，这不是安全问题，而是隐私问题。 我向不同的公司报告了这个问题，一些人给了我一些奖励，一些人修复了它，而另一些人仍在使用它。 虽然这是一个错误配置问题，Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义，无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   （稿源：开源中国，封面源自网络。）

在参与报道了全球最大的视频游戏大会E3之后，由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响，除了各大新闻机构和媒体的记者、编辑之外，还有YouTube和Twitch等视频网站上的网红主播，以及高盛、IMDb和其他公司的工作人员。 本周六E3游戏展的组织方Entertainment Software Association（简称ESA）向这些受影响的记者发出了电子邮件警告，而这些记者都通过官方渠道注册参与了今年6月在洛杉矶会议中心举办的游戏大展，并获得了新闻报道证书。 在发送给记者的电子邮件中写道：“我们为ESA会员和参展商在一个密码保护的参展商网站上提供了媒体列表，方便用户联系媒体进行报道，以及更好地传播参展方的展示内容。而在过去20多年来一直没有问题。” 在发现这个问题之后，ESA在本周五已经发布告示称参展商网站存在缺陷，导致记者和媒体名单公布于众，随后ESA立即关闭了这个网站。 YouTuber Sophia Narwitz早些时候报道了这个漏洞并注意到她已经联系了ESA，它说可以通过点击公共E3网站页面上标有“注册媒体列表”的链接来下载一份包含联系人列表的电子表格。 她表示在这份名单中还包括了私人的住址信息，任何以新闻或内容创作者身份出席E3的人都可能受到影响。 ESA表示对此事件感到遗憾，并已采取措施确保不再发生这种情况。   （稿源：cnBeta，封面源自网络。）

据 Comparitech 的安全研究人员称，在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名，电子邮件地址，出生日期和性别身份，以及学生就读的学校，同时还可访问其帐户的身份验证密钥和其他内部数据。 这些信息在线提供了一个多星期，目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称，该问题影响了K12.com的A+nyWhere学习系统（A + LS），该系统被美国1100多个学区使用。 数据库配置错误可能是导致它可以在BinaryEdge和Shodan上公开访问和发现的原因，这两个搜索引擎专门为面向公众的数据库编制索引。 6月25日发现的曝光首次发生在6月23日，直到7月1日才得以修复。 错误配置的数据库暴露公司收集和持有的大量个人信息的事件近年来变得非常普遍。就在最近几个月，面向公众的数据库暴露了大量Instagram知名人士账号的联系信息、康复病人的医疗记录、AMC Networks高级服务的订户等等。在其中一个例子中竟然还发现了包含美国8000多万家庭敏感信息的数据库。在这种情况下，确实很难确定是否有人恶意访问了这些信息。     （稿源：cnBeta，封面源自网络。）

网易科技讯 7月10日消息，据国外媒体报道，国际知名连锁酒店万豪集团因去年发生数据泄露或将被英国监管机构处以高达1.24亿美元的罚款。 据悉，去年万豪集团发生客户数据泄漏事件。英国信息专员办公室（ICO）打算对万豪集团处以总额9920万零396英镑(约合1.24亿美元)的罚款。 2018年11月，万豪透露，黑客从2014年开始入侵喜达屋的客户预订数据库。该公司最初表示，黑客窃取了大约5亿名酒店客人的信息。经过更全面的调查，万豪集团后来将信息泄漏的客户总数修正为3.83亿。 根据对黑客行为的事后分析，黑客窃取了3.83亿名客户记录，1850万个加密护照号码，525万个未加密的护照号码，910万个加密的支付卡号以及当时仍有效的38.5万张卡号。 在万豪宣布其安全漏洞数小时后，集体诉讼开始堆积如山。 如今英国信息专员办公室表示，其打算对万豪集团处以巨额罚款，原因是万豪违反了欧盟《通用数据保护条例》（GDPR,General Data Protection Regulation）。 信息专员伊丽莎白德纳姆（Elizabeth Denham）表示，“GDPR明确规定，机构必须对所持有的个人数据负责。”这包括在合作或交易时需要进行适当的尽职调查，以及采取适当的措施评估已取得的个人数据，以及评估如何保护这些数据。” 德纳姆还表示，“个人数据有真正的价值，因此机构有法律责任确保其安全，就像处理任何其他资产一样。”“如果机构没有这样做，那我们将毫不犹豫地在必要时采取强有力的行动，保护公众的权利。” 万豪今日在提交给美国证券交易委员会的一份文件中表示，其计划对英国信息专员办公室的罚款提起上诉。 万豪国际总裁兼首席执行官阿恩·索伦森（Arne Sorenson）表示：“我们对英国信息专员办公室发出的意向通知感到失望，我们将对此进行抗辩。” “我们对发生这一事件深感遗憾。我们非常重视客人信息的隐私和安全，并将继续努力，以满足客户对万豪酒店的高标准期望。” 索伦森表示，万豪在今年早些时候已经淘汰了受入侵的喜达屋预订系统。 这是英国信息专员办公室第二次宣布计划对违反《通用数据保护条例》的大型组织处以罚款。英国信息专员办公室昨日宣布，计划对英国航空公司处以1.83亿英镑(合2.3亿美元)罚款。此前，英国航空公司未能保护好自己的网站，导致2018年4月至6月间的客户付款细节泄漏。（辰辰）   （稿源：网易科技，封面源自网络。）  

据报道外媒，任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时，许多人却在担心由其带来的隐私问题。 日前，这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉，其中一起诉讼于周二在西雅图联邦法院发起，原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天，洛杉矶法院也接到了一起类似的诉讼，原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中，如果想要对某人进行录音商家则必须要征得双方的同意才行。然而，西雅图的诉讼称，“亚马逊从未警告未注册用户，它正在为他们的 Alexa 互动创建持续的语音记录，更不用说征得他们的同意了。” 针对这两起诉讼案，亚马逊方面拒绝置评。   （稿源：cnBeta，封面源自网络。）

讯 北京时间 6 月 13 日早间消息，Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔（Richard Blumenthal）办公室的邮件中表示，该公司收集了 3.1 万名美国用户的数据，其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候，美国媒体调查发现，Facebook 和谷歌都在滥用苹果的企业开发者证书，这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现，这些公司违反了苹果的规定，在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据，了解他们的使用习惯，同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书，封禁了这些应用。不过在回答议员的问题时，苹果表示，该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利（Timothy Powderly）表示：“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的，但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示，这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示，这些“研究”应用依赖于自愿参与者从 App Store 之外的下载，需要用到苹果的开发者证书来安装。随后，应用将会安装根网络证书，允许应用从设备中收集所有数据，包括网页浏览历史、加密消息和应用活动，可能还包括来自好友的数据，用于竞争性分析。(维金)   （稿源：，稿件以及封面源自网络。）

据外媒 CNET 报道，Blind 已经确认，在公司消息遭泄露后，特斯拉已阻止员工使用这款匿名工作场所社交网络应用程序。Blind 表示特斯拉正在阻止其员工接收验证电子邮件，因此员工将无法验证其帐户。 “我们首先通过特斯拉员工的电子邮件发现了这个问题，他们试图注册Blind但没有收到我们的验证电子邮件，” Blind的 Kim Curie 周二下午在一封电子邮件中告诉 CNET。“我们调查了特斯拉的验证率，并且从 2019 年 5 月 4 日开始，我们的验证失败激增。” “从这些事实来看，我们可以确认特斯拉阻止员工使用 Blind，”她表示。 她解释说，这类似于 Uber 阻止了其员工在 2017 年使用 Blind 的千克。当时使用 Blind 用户苏珊 Susan Fowler 谈到 Uber 的工作环境。 Kim 表示，来自 4 万多家公司的员工正在使用 Blind，其中包括 55000 名微软员工，38000 名亚马逊员工，16000 名谷歌员工，13000 名 Facebook 员工，11000 名来自 Uber 员工，以及 10000 名苹果公司员工。 “特斯拉是唯一阻止其员工访问或注册 Blind 的公司，”她表示。 Verdict 早些时候发现，一名特斯拉员工在 5 月份公开称公司不允许他们使用该应用程序。 “为什么特斯拉反对他们的员工使用 Blind？我们无法通过公司网络访问该应用程序，”该帖子说。“不得不使用手机数据。而且似乎他们也在阻止来自 Blind 的电子邮件。我告诉几位同事关于该应用程序但是他们无法收到验证码来完成注册过程！” Verdict 报道称，特斯拉员工也无法通过特斯拉的 Wi-Fi 网络使用 Blind。Blind 要求用户使用公司电子邮件地址验证他们的帐户，但随后保持他们的身份匿名，以便给每个人“公平发声的机会”。 “通过匿名和社区，我们的目标是扁平化公司层级，消除专业障碍，以启动公开对话并创造透明度，” Blind说。 该应用程序为用户提供多种渠道：主题频道，私人公司频道，Tech Lounge 和 Startup Lounge。 特斯拉没有立即回应评论请求。   （稿源：cnBeta，封面源自网络。）

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露，未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称，目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷，这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道，敏感信息正在泄露，尽管制造商正在否认这一点。 Linksys于2013年被Belkin收购 – 而后该公司于2018年又被富士康收购 – 富士康随后表示其员工未能重现Mursch的调查结果。 “我们使用最新的公开固件（默认设置）快速测试了Bad Packets标记的路由器型号，但无法重现[它]，” Linksys在一份在线安全公告中表示，“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。” Linksys进一步表示，该漏洞在2014年就得到修复。但是，Mursch并不同意，坚持认为这个安全风险依然存在。 “虽然[这个缺陷]据说是针对这个问题修补的，但我们的调查结果已经表明了其他情况，”Bad Packets说。 “在联系Linksys安全团队后，我们被告知要报告漏洞……在提交我们的调查结果后，审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。 如果您的路由器是以这种方式泄漏信息的，那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。 它还可以包括设备名称，如“William’s iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称，MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。 但是，更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告，其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后，几天后重复测试显示有21401个易受攻击的设备还未与互联网上。 已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。   （稿源：cnBeta，封面源自网络。）

安全研究人员今日公布了一系列影响英特尔微处理器的潜在安全漏洞，其可能导致用户机器上的信息被泄露。由英特尔安全公告可知，新漏洞使得恶意进程能够从同一 CPU 核心上运行的另一个进程那里读取数据（涉及在 CPU 内核中使用的缓冲区）。因为数据不会在进程切换时被清除，恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一 CPU 内核上执行的另一个进程中读取数据。 （图自：Intel，via Softpedia） 据悉，当在内核和用户空间、主机和客户机、或两个不同的用户空间进程之间进行切换时，就有可能发生这种情况。这几个漏洞分别为： ● CVE-2018-12126：存储缓冲区数据采样（MSBDS） ● CVE-2018-12127：加载端口数据采样（MLPDS） ● CVE-2018-12130：填充缓冲区数据采样（MFBDS） ● CVE-2019-11091：对不可缓存内存的数据采样（MDSUM） 受影响产品列表（PDF） 为了修复上述影响英特尔旗下各款处理器的问题，该公司已于今日发布了专门的微代码更新。但想要顺利缓解这些潜在的威胁，仍需各个制造商进行固件的分发。 对此，我们建议所有已知的计算机操作系统（含 Windows、Linux、Mac、BSD 等）用户，均在第一时间部署安装新的固件更新。 在某些 Linux 发行版上（Canonical、Red Hat 等），用户不仅需要更新英特尔的微代码固件，还需要安装相应的 Linux 内核与 QEMU 软件包，才能充分缓解新曝光的安全漏洞的影响。 还有一些计划外的产品 英特尔表示，其已与各大操作系统厂商和设备制造商们采取了密切的合作，为保护用户受潜在的攻击而提供切实可行的解决方案。 （稿源：cnBeta，封面源自网络。）