据外媒报道，大型MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息（PII）的记录，该数据库两个多星期没有受到网络保护。 安全研究人员Bob Diachenko经过调查发现，泄露的数据包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息。但是，还没有找到任何与所有者相关的信息。此外，存储在数据库中的数据集合的名称表明，收集整个简历缓存是“大规模抓取操作的一部分”，其目的不明。 Diachenko立即通知了印度CERT（计算机安全应急响应组）团队，但是目前该数据库仍保持开放和可搜索状态。该数据库是被名为“Unistellar”的黑客组织抛弃的，且Diachenko发现了以下留言： MongoDB之前也发生过类似的数据泄露事件。究其原因，是因为其很多数据库都由所有者公开访问，并且没有得到适当的保护。这意味着可以通过保护数据库实例来阻止它们。MongoDB在Documentation网站上提供了一个安全（Security）版块，其中显示了如何正确保护MongoDB数据库，以及MongoDB管理员的安全检查表。   消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

讯 北京时间4月8日上午消息，据美国科技媒体ZDNet报道，有研究人员发现，中国企业今年前3个月出现数起简历信息泄露事故，涉及5.9亿份简历。大多数简历之所以泄露，主要是因为MongoDB和ElasticSearch服务器安全措施不到位，不需要密码就能在网上看到信息，或者是因为防火墙出现错误导致。 在过去几个月，尤其是过去几周，ZDNet收到一些服务器泄露信息的相关消息，这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩（Sanyam Jain）。单是在过去一个月，简恩就发现并汇报了7宗泄露事件，其中已经有4起泄露事故得到修复。 例如，3月10日，简恩发现有一台ElasticSearch不安全，里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组（CNCERT），4天之后数据库修正了问题。 3月13日，简恩又发现一台ElasticSearch不安全，里面存放8480万份简历，在CNCERT的帮助下，问题也得到解决。 3月15日，简恩又找到一台问题ElasticSearch服务器，里面存放9300万份简历。简恩说：“数据库意外离线，我向CNCERT汇报，还没有收到回应。” 第四台服务器存放来自中国企业的简历数据，里面有900万份简历，服务器同样来自ElasticSearch。 还有第五个泄露点，这是一个ElasticSearch服务器集群，里面存放的简历超过1.29亿份。简恩无法确认所有者，目前数据库仍然门户大开。 简恩还发现另外两个泄露点，只是规模较小。一台ElasticSearch服务器存放18万份简历，一台存放17000份简历。 简单统计，中国企业在过去3个月泄露的简历达以5.90497亿份。   （稿源：，稿件以及封面源自网络。）

讯 北京时间11月30日晚间消息，万豪国际酒店集团(Marriott International)今日宣布，旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。 该消息公布后，万豪国际酒店股价在今日盘前交易中一度下跌逾5%。 万豪国际酒店称，调查结果显示，有一未授权方复制并加密了这些数据。而且，自2014年就开始了对喜达屋酒店网络进行未授权访问。 目前，万豪国际酒店已采取了补救措施，但并未公布进一步的信息。 万豪国际酒店称，这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。 对于部分客户，可能被泄露的信息还包括支付卡号码和有效日期，但这些数据是加密的。 万豪国际酒店表示，已将该事件报告给执法部门和监管部门，积极配合其调查。   稿源：，稿件以及封面源自网络；

讯 北京时间11月22日早间消息，据美国财经媒体CNBC报道，亚马逊向给用户发邮件称，由于出现技术问题，一些用户的姓名和邮件地址被泄露。目前已经有一些人在网上发布他们收到的邮件截图。 这些邮件中说，用户没有必要因此次事故而修改密码。但CNBC指出，有了名字和邮件地址，黑客仍然可以借此重设用户帐号，或利用邮件发起“钓鱼攻击”。 部分用户收到的邮件   而在一份声明中，亚马逊表示：“我们已经修复问题，并通知可能受到影响的用户。”但该公司并没有透露受影响的用户数量，以及具体泄露的信息量。 亚马逊新闻发言人表示，公司网站和系统并没有出现问题。他也没有透露在何处发现被泄露的用户信息。 在一个用户论坛中，一些收到亚马逊此类邮件的人对于亚马逊不建议修改密码一事感到意外。他们也很惊讶地发现，这类邮件中签名链接到的亚马逊网站并不是“https”安全连接，而是“http”。   稿源：，稿件以及封面源自网络；

讯 北京时间11月19日下午消息，国外媒体报道称，Facebook收集用户的许多信息已不是什么新鲜事儿了，但据近日曝光的一项专利申请文件显示，Facebook准备要收集的用户信息远超出了人们想象。 这份专利申请文件是Facebook于2017年提交的，近日才得以曝光。申请文件显示，这项专利将允许Facebook根据用户向其网站和Instagram上传的信息，包括帖子、状态更新、照片、好友、消息记录和网页浏览记录等信息，对用户的家庭成员进行分析。 业内人士称，Facebook此次专利申请旨在防止其他公司利用这一技术，从而继续维持其作为广告平台的优势。如果知道用户的家庭成员信息，和哪些人生活在一起，有助于向用户发布更有针对性的广告。 Facebook向《洛杉矶时报》表示，不对此发表评论，但Facebook同时指出，有时只是简单的申请一项专利，并没有真正利用这项专利技术的意图。 今年，Facebook已被用户信息隐私问题弄得焦头烂额。自今年3月份大规模用户信息泄露事件被曝光后，Facebook股价就一直萎靡不振。当时，Facebook承认有8700万用户的信息被第三方不当分享。 虽然Facebook CEO马克·扎克伯格（Mark Zuckerberg）亲自赴国会作证，但至今仍未彻底摆脱该问题。 雪上加霜的是，Facebook 9月底又宣布，该公司发现一处安全漏洞，允许黑客获取访问权限，从而控制用户账号，受漏洞影响的账号数量高达5000万个。 有分析人士称，隐私问题拖得时间越久，Facebook的核心业务就越可能会受到影响。   稿源：，稿件以及封面源自网络；

据 Threat Post报道，美国加利福尼亚州奥兰治县(Orange County)的女童军分部 (GSOC)遭到了黑客攻击，最多可能有2800名女童军成员的个人和家庭信息资料遭到了“未授权第三方”的泄露，该组织已经向所有填写申请的成员邮箱发送了一份通知信，承认其会员数据遭到了泄露事故。 GSOC的任务执行副主席Christina Salcido在通知信件中向奥兰治县(Orange County)的美女童军分部成员致歉，并且披露了泄露信息的情况。未授权第三方非法访问了该分布协同安排部队旅行计划的账号，破解进入了GSOC的计算机网络，获得了成员的个人信息数据。这些被泄露的数据可能包括成员的姓名，出生信息，电邮地址，家庭地址，驾驶执照，健康病例和保险号等等。 GSOC希望各位女童军和家长密切注意涉及财务诈骗的可疑消息或伪装的账号，通过传统邮箱寻求GSOC分部的确认。   稿源：cnBeta，封面源自网络；

讯 北京时间10月22日早间消息，据美国科技媒体The Information援引知情人士消息称，Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触，收购目标尚未最终确定，但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称，在经历了历史上最重大的黑客攻击事件之后，Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前，Facebook发现了一个安全漏洞，黑客可利用这个漏洞控制用户帐号，这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响，但现在承认2900万用户的个人信息被泄露，包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道，Facebook已经初步得出结论，假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作，后者要求该公司不要公开讨论谁是袭击的幕后主使，或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞，攻击者利用了与其相关的代码，窃取“访问令牌”，接管了一些用户的帐号。攻击者还使用了一种技术，从已被控制的帐号的朋友那里窃取访问令牌，从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源：，稿件以及封面源自网络；

讯 10月17日下午消息，据中国台湾地区媒体报道，随着美国中期选举即将于下个月展开，威胁情报业者Anomali Labs及网络安全业者Intel 471本周一联手揭露他们发现有人在某个黑客论坛中兜售美国19州的选民资料，其中3州的选民资料就高达2,300万人，估计总数将超过3,500万人，且根据研究人员的查证，这些资料的可信度很高。 每一州的选民资料价格不同，视州别及数量从150美元到12,500美元不等，例如路易斯安那州300万选民资料的价格为1,300美元，而德州的1,400万选民资料即要价12,500美元；资料内容包含选民的姓名、电话、地址及投票纪录等，卖家甚至承诺会每周更新资料。 根据卖家的说法，他们在州政府内部有人，可每周收到最新资料，有时还要亲自到该州取得资料。意谓着这些资料的外泄不一定是来自于技术上的入侵，而很可能是有心人士自合法管道取得选民资料后恶意进行的散布。 不管资料来源如何，暗网中已经有人发动众筹来购买这些名单，并打算于黑客论坛上公布所购得的选民资料，已成功集资200美元，买下了堪萨斯州选民名单，亦已开放论坛用户下载。 研究人员指出，选民名单应是不能用在商业目的，也不得在网络上公布，却有未经授权的组织企图利用这些名单获利，选民名单曝光的选民资料再加上诸如社会安全码或驾照等外泄资料，可能会被犯罪份子用来进行身分诈骗或其它非法行为。   稿源：，稿件以及封面源自网络；

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业，为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息，自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道，公司网站GovPayNow.com允许任意人访问收据数据，其中包括法院下达的罚款、保释金以及交通罚款等等。 美国用户在完成付款处理之后，GovPayNow.com就会发出确认收款的数字收据，而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中，通过简单地修改收据URL中的ID数字，就能轻松访问GovPayNet支付系统中的任意凭证，包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。 在发现安全问题后，研究人员向GovPayNet发出了关于该问题的警报，并在两天后收到答复，确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户，收据中不包含可用于启动金融交易的信息。”   稿源：cnBeta，封面源自网络；

据外媒 ZDNet 报道，Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司，目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露的信息以文本文件形式提供，据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据，这意味着这些帐号都曾出现异常登录的情况，并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现，而这份文件是在几个月前由一名据称在越南的用户上传的。 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号，确认这些数据来自 Mega，通过联系多位用户，还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 据”Have I Been Pwned”网站的管理员 Troy Hunt 分析，这些数据并不是通过直接入侵 Mega 而获取的，而是被撞库了。他说文件中 98％ 的电子邮件地址已经存在于他的数据库中（于先前的漏洞中收集）。ZDNet 也表示，在他们联系的人中，有五人说他们在不同的网站上使用过相同的密码。 目前还不知道是谁创建的这份列表，也不知道这些数据是如何被爬取到的。虽然 Mega 提供端到端加密，但登录时没有使用双因素身份认证方式，因此攻击者只需使用登录凭据便可登录每个帐户，并抓取帐号中文件的文件名。 Mega 董事长 Stephen Hall 表示，Mega 不能通过检查文件内容来充当审查员的角色，因为它在被上传到 Mega 之前已在用户的设备上被加密，除了在技术上不可行之外，Mega 和其他主要云存储提供商实际上也做不到，毕竟每秒上传 100 多个文件。 这不是 Mega 第一次遇到安全问题。2016年，黑客声称通过利用其服务器中的安全漏洞获取了内部 Mega 文档。黑客还表示获取了与管理帐户关联的七个电子邮件地址。 Stephen Hal 表示当时没有任何用户数据遭到破坏。   稿源：开源中国，封面源自网络；