扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 一杯奶茶也许不贵，但订单里却包含着消费者的个人信息和消费轨迹。对商家来说，成千上万笔订单背后的用户数据堪称一笔重要的“财富”。 扫码点餐、会员专享、入群领取优惠……这些眼花缭乱的营销手段有没有对用户数据的过度采集？采集的数据商家有没有进行妥善保管呢？ 大量个人数据如同“石油”被商家“过度采、强制要、诱导取、违规用” 相比直接窃取个人信息的案件，人们碰到更多的是在扫码点餐、停车缴费、商超购物等场景下，被商家索取姓名、位置、手机号码等个人信息，然后由于各种原因导致信息泄露。 互联网安全专家表示，个人信息泄露主要的危害有两类：一类是黑灰产对个人信息的利用；另一类是企业滥用用户信息，获取更多非正常的商业报酬、商业利益。除此以外，还会通过个人信息建立情报体系、树立行业壁垒。 尽管消费者抱怨声不断，为什么企业仍热衷于收集消费者个人信息呢？ 专家表示，在数字经济时代，数据就像石油。尤其是大量数据，具有非常大的价值。把这些数据全部整合在一起，形成每个人的画像，就是最具有商业价值的事。 一句话概括：数据就是打开财富大门的钥匙。因此，不少用户的个人信息被商家“过度采、强制要、诱导取、违规用”。 针对这些乱象，从6月中旬起，上海市网信办会同市场监管局开展了为期半年的专项执法行动，重点聚焦餐饮店、停车扫码、少儿学习培训、商超购物、理财小贷、房产中介、汽车4S店以及租借充电器等八个消费领域。 强制索取信息、信息保管、隐私权政策为执法焦点 通过对上海29家知名度较高的奶茶店、快餐店明察暗访中，执法小组发现了几个比较突出的问题。 首先就是强制或者超范围索取信息。这种现象在餐厅、奶茶店、咖啡店非常普遍。用户已经抵达消费场所，仍被告知要通过App或者小程序扫码点餐，而在扫码过程中又强制或者以送优惠券、加入会员等理由诱导用户提供姓名、手机号码、位置信息等超出点餐范围的需求，否则就无法完成点餐。 专家表示，这种做法既违反了最小必要原则，也剥夺了消费者的自主选择权，违反了消费者权益保护法。 门店越多，产生的数据也越多，有时甚至达到惊人的地步。比如，某知名连锁奶茶品牌每收到一笔订单，就会产生87条数据，目前已累计产生超过100亿条。其中，涉及消费者姓名、电话、位置等敏感个人信息的达6.7亿条。 专家表示，在数字经济时代，数据通常被用于经营管理，这有利于提高工作效率、提升经济效益。个人信息是可以被采集使用，但在采集信息的过程中，必须遵循“合法、正当、必要”三原则。 据了解，要搭建一个收集消费者个人信息的技术平台，门槛很低，费用也不高。网络安全专家表示，扫码点餐存在一定的风险性，尤其是在小商家扫描那些来路不明的二维码。 那么，这些被商家用扫码点餐、诱导提交等手段收集来的信息是否得到了妥善保管呢？ 调查发现，不少企业在保管用户信息时，存在一定的隐患。比如，采集数据量巨大的某知名奶茶店，根据网络安全法和数据保护法，应该按照三级标准进行等级保护，但是这家企业却没有做这些工作。 此外，隐私权政策也是本次检查的重点内容之一。所谓隐私权政策，就是信息收集方就如何收集个人信息所发布的声明。简单讲，就是告诉用户采集个人信息的目的、用途以及如何保管等。 执法人员发现，不少企业要么没有隐私权政策，要么不完善。还有些企业虽然制定了隐私权政策，但过于冗长，用户体验非常不友好。有的隐私权政策洋洋洒洒近万字，与其说是为了告知用户，倒不如说是为了保护企业自己。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。 多地出台合规指引加强个人信息保护 为了加强个人信息保护，上海市消保委自7月起针对扫码点餐、停车缴费、少儿培训和共享充电宝等四种消费场景，分别出台了合规指引、自律承诺和合规清单。未来，还将针对房产中介、商超购物等主要消费场景作出相应指引。 近日，北京市也发布了扫码消费服务违规收集使用消费者个人信息案例解析及合规指引，整理出六类违规行为并作出相应规定。 国家网信办8月3日发布的《个人信息保护合规审计管理办法（征求意见稿）》规定，处理超过100万人个人信息的处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。     转自安全内参，原文链接:https://www.secrss.com/articles/58508 封面来源于网络，如有侵权请联系删除

威胁情报公司Hudson Rock的安全研究人员近日发现12万台感染信息窃取恶意软件的计算机包含网络犯罪论坛的账户凭据，这些计算机大多属于黑客。 尽管大量黑客也像普通用户一样感染了信息窃取恶意软件，但通过分析数据，研究人员发现，黑客论坛的登录密码通常比用于政府网站的登录密码更为安全。 黑客同样面临安全威胁 在浏览了100个网络犯罪论坛后，Rock发现，很多黑客使用的计算机无意中感染了信息窃取恶意软件，导致他们的登录信息被盗。 Hudson Rock从公开的泄漏信息以及直接来自攻击者的信息窃取软件日志中收集了信息。结果发现被感染的计算机中有10万台属于黑客，已经泄露的网络犯罪论坛凭据数量超过了14万个。 信息窃取软件是一种恶意软件，它会在计算机上的特定位置搜索登录信息。常见的目标是网络浏览器，因为它们具有自动填充和密码存储功能。 Hudson Rock首席技术官Alon Gal指出：“世界各地的黑客通过推广假冒软件或通过YouTube教程引导受害者下载受感染的软件来伺机感染计算机。”那些受骗的人中有不少黑客（可能是技术水平较低的黑客），他们就像其他试图走捷径的用户一样被感染了。 通过查看信息窃取软件日志数据，研究者确定被感染用户很多都是黑客，或者至少是黑客技术爱好者，暴露的个人真实身份信息如下： 在计算机上找到的其他凭据（其他电子邮件、用户名） （浏览器）自动填写的包含个人信息的数据（姓名、地址、电话号码） 系统信息（计算机名称、IP地址） 在之前的博客文章中，Hudson Rock透露一个名为La Citrix的知名黑客也意外感染了窃取信息的恶意软件，该黑客以向公司出售Citrix/VPN/RDP访问权限而闻名。 通过分析日志数据，Hudson Rock确定超过5.7万名受感染的用户拥有新兴网络犯罪分子社区Nulled[.]to的帐户（上图）。 研究人员发现，BreachForums的用户密码强度最高（下图），超过40%的凭据长度至少为10个字符，并包含四种类型的字符。 研究人员还发现，网络犯罪论坛的登录凭据通常比政府网站的登录凭据更强，尽管差异并不大。 据Hudson Rock介绍，大多数感染使用了以下三个信息窃取软件之一（这也恰好是许多黑客的热门选择）：RedLine、Raccoon和Azorult。 目前，大量的初始访问攻击都是从信息窃取软件开始的，用于收集攻击者冒充合法用户所需的所有数据，通常称为系统指纹。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/_HwqiPOZ4X79n1LqHmx2MA 封面来源于网络，如有侵权请联系删除

国家金融监督管理总局7月18日发布的行政处罚信息显示，中行嘉兴分行存在6项主要违法违规行为，其中包括“违规泄露客户信息”等，依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项，《中华人民共和国商业银行法》第七十三条第三项，被原银保监会嘉兴监管分局处以罚款210万元。 据《银行科技研究社》了解，此前已有多个银行罚单或相关判决书指向信息泄露、侵犯个人信息问题。 比如2022年1月，裁判文书网披露的一则刑事判决书显示，被告人李志远（本溪银行职工）于2019年9月19日至2020年12月，通过网络认识“妮子”，通过由“妮子”提供人员的身份信息，由李志远在位于本溪市平山区东明的本溪银行普惠金融部，利用其职务便利，伪造袁某、林某等人员在本溪银行办理业务的事实，查询公民个人征信报告，并将查询后的征信报告以每份300元至350元不等的价格出售给“妮子”，并计出售个人征信报告915份，非法获利人民币232250元。 最终，法院判决：李志远犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金10万元。在案扣押的违法所得232250元，由扣押机关予以没收，上缴国库；在案扣押的作案工具手机一部，由扣押机关予以没收。 2022年11月14日，中国人民银行行政处罚信息显示，本溪银行因过失泄露信息，被罚40万元。时任该行普惠金融部直营中心代理经理郭佩强，对此负有直接责任，被罚7.1万元。 2023年6月30日，国家金融监督管理总局信息显示，本溪银行原副行长李志刚在该行工作期间，对敏感数据信息存在泄露风险、瞒报信息系统突发事件、监管要求落实严重不到位等违法违规事实负有责任。根据《中华人民共和国银行业监督管理法》第四十八条规定，本溪银保监分局拟对其作出行政处罚。 值得注意的是，国有银行也有多个罚单涉及信息泄露。 比如2021年12月2日，原银保监会行政处罚信息显示，工行台州分行因“违规操作并泄露个人存款账户交易信息”被罚款27万元。 2020年11月，中国人民银行吉林市中心支行发布的罚单显示，农行吉林市江北支行因“侵害消费者个人信息依法得到保护的权利”“违反反洗钱管理规定，泄露客户信息”被警告，并被罚款1223万元。 2021年1月29日，原银保监会行政处罚信息显示，农行因“互联网门户网站泄露敏感信息”“数据安全管理较粗放，存在数据泄露风险”“制卡数据违规明文留存”等6项违法违规行为，被罚款420万元。 关于银行泄露信息，池子事件关注度较高。 2020年5月，脱口秀演员池子发文，称中信银行上海虹口支行在未经其本人授权的情况下，将其个人账户明细提供给“上海笑果文化传媒有限公司”。 2021年3月，原银保监会消保局发布的罚单显示，中信银行因“客户信息保护体制机制不健全；客户信息收集环节管理不规范；未经客户本人授权查询并向第三方提供其个人银行账户交易信息；对客户敏感信息管理不善，致其流出至互联网；违规存储客户敏感信息；系统权限管理存在漏洞，重要岗位及外包机构管理存在缺陷”等被罚450万元。 无论如何，银行对信息泄露问题必须予以更大的重视。     转自Freebuf，原文链接:https://www.freebuf.com/news/374201.html 封面来源于网络，如有侵权请联系删除

一名研究人员最近发现，孟加拉国政府的一个网站泄露了公民的个人数据。 研究人员Viktor Markopoulos发现孟加拉国政府的一个网站正在泄露数百万孟加拉国公民的个人信息。 据TechCrunch报道，泄露的数据包括姓名、电话号码、电子邮件地址和身份证号码。 Markopoulos在6月27日发现了这一泄漏事件，并将这一发现报告给孟加拉国政府计算机事件响应小组（CERT）。 这位研究人员解释说，找到泄露的数据很容易，他告诉TechCrunch，这些数据出现在与SQL错误有关的谷歌查询结果中。 “TechCrunch通过使用部分查询受影响的政府网站公共搜索工具来验证泄露的数据是否是合法的。通过这样做，该网站返回了泄露的数据库中包含的其他数据，如申请注册的人的名字，以及他们的父母的名字等。随后他使用了10组不同的数据进行了尝试，都返回了正确的数据。” TechCrunch试图联系孟加拉国的几个政府组织，但没有成功。 目前，该政府网站的名称无法公开透露，因为它仍在泄露公民的数据。 上述信息的泄露可能使受影响的公民面临网络钓鱼攻击的威胁。 Markopoulos补充说，攻击者可以利用这类信息代表公民访问网络应用，并 修改和删除应用以及查看生成的验证。     转自Freebuf，原文链接：https://www.freebuf.com/news/371520.html 封面来源于网络，如有侵权请联系删除

7 月 1 日 晚，社交媒体上突然出现大量讨论#人大学生信息泄露#的帖子，网传中国人民大学一名毕业生通过非法技术手段，盗取了近几届人民大学学生的个人信息，并制作成网页供任何人随意浏览，甚至还可给该校女学生的颜值打分。 从网上披露的网传信息显示，被盗取的学生信息包括照片、姓名、学号、籍贯等，这些信息被公开在网站上。 人民大学学生信息被盗一事引起社会广泛关注，人民大学很快便做出回应。7 月 2 日，中国人民大学官方微博账号发布情况通报表示，学校已关注到我校部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。感谢社会各界对学校的关心。 人民大学对学生信息被盗一事快速处理的态度获得民众的大力支持，社会上开始讨论若此事属实，该名毕业生曝光盗取的全校学生照片等个人信息，并制作网站，是否涉嫌犯罪？ 对于数据被盗事件，上海某律师事务所合伙人陈律师指出《民法典》和 2021 年 11 月 1 日起施行的《中华人民共和国个人信息保护法》中均明确了自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。一旦确认该男生的行为，其不但涉嫌侵权，严重的可能要承担刑事责任，即便该男生没有将相关网站内容对外公布，其收集和处理他人个人信息的行为也可能涉嫌违法。 此外，根据河南某律师事务所付律师的意见，涉事男生不但涉及侵犯公民个人信息罪，还涉及非法获取计算机信息系统数据罪。根据《检察机关办理侵犯公民个人信息案件指引》规定，对于采取网络技术手段非法获取计算机系统中公民个人信息的，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪，应当择一重罪论处。具体处罚要依据嫌疑人的犯罪情节来定。 警方回应 海淀警方接到人民大学报警后，迅速针对“中国人民大学部分学生信息被非法获取”的情况，组织人员开展调查。经查，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。警方高度重视公民个人信息保护，对于相关违法犯罪，将依法予以严厉打击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370922.html 封面来源于网络，如有侵权请联系删除

近日，专为徒步旅行者提供服务的法国旅游公司La Malle Postale发现其系统出现了数据泄露，泄露的信息包括姓名、电话号码、电子邮件、通过短信进行的私人通信、密码和员工的凭据。 La Malle Postale成立于2009年，在许多热门的徒步路线上为游客提供行李和运输服务，其中包括著名的圣地亚哥德孔波斯特拉朝圣路线。该公司服务获得客户的广泛好评，在猫途鹰(TripAdvisor)上获得了四星的总体评价。 泄露的短信截图 泄露的个人资料 1月11日，Cybernews研究团队发现了一个可公开访问的数据存储，其中包含属于该公司客户的超过4GB的个人数据。 这些个人数据包括近9万名客户的姓名、电子邮件和电话号码，以及该公司与客户之间发送的13000多条短信。 泄露的客户信息截图 此外，研究人员还偶然发现了7万个客户凭证。虽然泄露的密码不是纯文本，但密码均使用了极易破解的WordPress MD5/phpass散列算法进行散列。 电子邮件和密码一旦暴露还是比较危险的，因为恶意行为者可以直接用这些信息访问受害者可能正在使用的其他帐户。 泄露的账号信息截图 泄露的信息中，还包括该公司的驱动程序和管理凭证——它们的电子邮件、密码、用于保护密码的盐和身份验证令牌。 泄露的管理员凭证截图 员工的密码很容易被破解，因为它们是用Base64算法编码的。编码后的数据可以反转或解码回其原始格式，因此不应将编码用于存储密码。 泄露员工凭证可能会使公司面临针对性网络攻击的风险。威胁行为者可以利用这些数据进入公司的网络并窃取敏感信息。 泄露个人数据到底有何风险? 客户姓名、电子邮件、电话号码以及客户与公司之间的私人通信一旦被泄露，会随之带来各种网络攻击的风险。 其一就是身份盗窃。欺诈者可能利用这些泄露的个人信息，来冒充信息遭遇泄露的个人，并获得其财务账户或其他敏感信息。此外，犯罪分子可以直接用这些数据假冒本人去申请贷款或信用卡。 其二就是被泄露信息的客户个人信息可能被用来制作有针对性的网络钓鱼电子邮件，通过这种“看起来很可信的”邮件，去引导收件人上当受骗。 最后，威胁行为者还可能利用La Malle Postale在客户中的信誉进行社会工程攻击。犯罪分子可能会假装自己是公司的代表，通过打电话的方式直接获取客户的敏感信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/366436.html 封面来源于网络，如有侵权请联系删除

根据代码安全平台GitGuardian最新发布的安全主管调查报告，75%的受访者经历过至少一次公司软件开发机密的数据泄露，包括API密钥、用户名密码和加密密钥。 报告显示，受访的美国和英国CISO约有52%无法确保公司的开发机密信息不被泄露。该报告指出，尽管美国和英国企业的保密管理实践已经成熟，但仍有走很长的路要走。 这项研究分析了507名IT决策者的回复，受访者包括IT总监、IT副总裁、CIO、CSO、CISO和网络安全副总裁，以评估DevOps环境中暴露的机密信息的风险。 根据GitGuardian今年早些时候发布的“2023年机密蔓延状态”报告，2022年在Github上检测到了1000万个源代码机密，同比增长了67%。 软件供应链的三个关键风险点 研究表明，英美企业的IT部门普遍意识到了泄露机密的危险。75%的受访者表示，他们的企业过去曾发生过泄密事件，60%的受访者承认这给公司、员工或两者造成了严重的问题。 暴露的机密包括API密钥、用户名密码和加密密钥等。只有10%的发生过泄密事件的受访者表示，泄密事件并未影响公司或其员工。 调查显示，软件供应链存在三个关键风险点：58%的受访者认为“源代码和存储库”是核心风险领域，其次是“开源依赖”（53%）和“硬编码机密”（47%）。 “包含大量机密信息的代码存储库将成为网络攻击的宝藏，”ESG分析师Melinda Marks指出：“重要的是，云原生应用安全不仅仅是保护应用程序中的代码，还必须保护用于运行和开发应用程序的所有内容，包括CI/CD管道及其关联的存储库。” 机密管理水平普遍滞后 整个行业的机密管理实践仍有很长的路要走。接近一半（48%）的受访者表示他们可以“在很大程度上”防止此类泄漏，但其余的受访者回答“在某种程度上”或“很少”。 此外，当被问及硬编码机密策略时，27%的受访者表示他们依靠人工审查来检测硬编码机密，这表明机密管理方式过时、效率低下。此外，17%的人认为他们不需要机密信息检测，因为他们使用了机密管理器或保险库，3%的人承认根本没有策略。 值得注意的是，相当大比例（53%）的高级安全主管承认，在开发团队中，机密信息是以纯文本形式共享的。 “我认为最大的问题是开发人员在编写代码时可能因疏忽而暴露机密，例如在提交代码时忘记删除重要数据、凭据或机密。因此，开发人员的安全意识培训很重要，此外还需要为他们提供轻松查找和纠正安全问题的工具。”报告指出。 该研究指出，与其他工具（特别是运行时保护工具）相比，机密检测和修复以及机密管理（在投资方面）的优先级较低。虽然38%的受访者表示计划投资运行时应用程序保护工具，但分别只有26%和25%的受访者表示他们将把钱投入到机密检测和修复以及机密管理上。 不过，GitGuardian的调查也揭示了光明的一面：94%的受访者表示他们正在以某种方式考虑在未来12-18个月内改进他们的机密管理实践。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/WGSZ0FLp-g-774chB_InUg 封面来源于网络，如有侵权请联系删除

Independent Living Systems (LLS) 是一家面向老年人、残障人士和受损人士的医疗保健设施提供商。公司也为那些需要额外护理的人建立了短期医疗机构。 不幸的是，这家医疗保健提供商最近遭受了大规模的网络攻击。这次攻击对公司的文件系统造成了重大破坏，并泄露了多达 400 万人的个人数据，这些人可能会面临遭受财务或信用损失的真正风险。 攻击是如何发生的？ Independent Living Systems在 2023 年 3 月之前遭到独立黑客或利用公司数据网络的黑客团队的攻击。在那次网络袭击中，大量个人的敏感信息和与健康相关的信息被盗，该公司在发布的报告内容指出。 对于攻击是如何发生的具体细节，公司并没有透露太多，但公司表示这是一个应该密切监控的严重问题。而对于之前依赖该公司提供医疗服务的任何人来说，这也是一个严重的问题。 哪些信息被查看或窃取？ 在对 Independent Living Systems LLC 的攻击期间，社会安全号码和其他受保护的信息被提供。这些信息取自超过 400 万人。 攻击者可能会采取措施滥用通过攻击收集的信息来盗用身份。如果收到公司的通知，您应该采取措施保护自己。 独立生活系统如何承认违规行为？ Independent Living Systems 于 2023 年 3 月 14 日向缅因州总检察长提交了一份关于数据泄露的通知。 该通知详细说明了可能在攻击中被盗的信息以及这些信息可能如何被滥用。它解释了参与攻击的个人范围之广，并清楚说明了这种网络攻击的潜在问题有多大。 被盗信息会怎样？ 被盗的医疗信息和社会安全号码可能会被转售或用于欺诈目的。攻击者将试图获取信息并使用它来开立欺诈账户，并以任何可能的方式利用这些信息赚钱。如果您的信息涉及此次攻击，不采取措施保护自己，您的信用将会受到负面影响。 受影响的各方在违规后应该做什么？ 如果您认为自己受到了这次攻击，您应该立即采取措施保护自己。 1、检查个人信用报告，看是否有任何异常活动的迹象； 2、冻结信用账户以阻止黑客以您的名义开立账户。 这些简单的步骤将使您免受潜在问题的影响，并有助于保护您免受未来的信用损害。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/pvZSeBcPEdsGkGnLqEAOfA 封面来源于网络，如有侵权请联系删除

全球知名汽车制造公司丰田（TOYOTA）遭遇了严重的用户信息泄露事件。安全研究人员发现，黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud，从而获得了海量的用户数据，且至今为止数据泄露已有一年半之久。 此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌，导致敏感数据泄露范围增大。攻击者可能会借此获取丰田意大利用户的手机号码和电子邮箱等，并利用这些信息发起网络钓鱼攻击。 好消息是，截止到发稿时，丰田意大利已经将这些数据再次保护起来，该公司也表示，已经和第三方网络安全公司合作，采取了额外的措施加强其网络安全系统和协议。 公开信息显示，丰田是全球最大的汽车制造商之一，拥有超过37W名员工，去年收入约为2670亿美元。仅在欧洲，丰田的雇员就超过了2.5W名，共有八家汽车制造工厂。 目前虽然不清楚丰田意大利的官方数据，但是该公司已经在意大利屹立半个多世纪了，妥妥的老牌企业。根据 Statista 的数据，丰田意大利公司的收入预计到 2023 年将达到约18亿美元，汽车销量预计将接近8.3w辆。 偶然发现数据被公开 2023年2月14日，Cybernews的安全研究团队在丰田意大利官方网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引，这意味着很多人都可以进行公开访问。 根据 Cybernews 研究团队的说法，该环境文件泄露的原因是，丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大利用户的账户凭证。 通过账户凭证，攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容，甚至向丰田的客户发送推送通知。 Cybernews 安全研究人员称，此次敏感数据泄露事件对于丰田意大利来说十分严重，这些信息完全可以被用来发起一些复杂的网络钓鱼攻击，攻击者可以访问和控制丰田的官方通信渠道，从而使受害者更容易落入此类钓鱼攻击中，因为发件人的信息是被冒充的丰田意大利官方。 此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感，但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。 丰田官方回应 Cybernews 将此漏洞告知丰田后，该公司立即采取了必要的措施来进行补救。据丰田公司称，此次安全事件的出现，是对方未能遵守公司的数据安全政策造成的。 目前丰田公司已经采取了一套额外的安全措施来恢复和加强网络安全系统和协议，并及时向意大利有关当局报告了隐私数据暴露的风险，全力配合正在进行的调查。 丰田公司进一步表示，丰田非常认真地对待此次事件，也非常重视网络安全建设，我们将借此机会从调查结果中吸取教训，进一步提升网络安全防护能力以及协议的安全性，防止再次出现此类安全事件。 目前尚不清楚攻击者具体访问了哪些数据，但丰田公司建议用户高度警惕网络钓鱼攻击，及时更换账号密码，以确保个人信息安全。 丰田公司称：“骗子可能会试图向您发送冒充丰田或任何其他流行品牌的虚假消息，因此请确保通过启用多因素身份验证 (MFA) 来保护您的电子邮件地址。小心电子邮件，不要点击链接或提供任何个人信息。如果您发现电子邮件可疑，请将其报告给您的提供商。 当涉及到电话号码时，您可能会受到垃圾/营销/钓鱼短信的轰炸，甚至会发现自己成为 SIM 交换攻击的受害者，攻击者部署该攻击以获取对基于 SMS MFA 代码的访问权限。” 这不是丰田第一次在网上公开其数据并将自身和客户置于风险之中。 2022年，丰田公司近30万用户数据被泄露，包括电子邮件地址和客户管理号码。开发人员在 GitHub 上发布源代码后，通过其客户应用程序 T-Connect 公开的数据已经泄露了五年。 2023年 1 月，丰田汽车在印度的业务也曝出信息泄露事件，部分用户的个人信息很有可能已经被攻击者获取。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361832.html 封面来源于网络，如有侵权请联系删除  

Security Affairs 网站披露，Play 勒索软件团伙袭击了荷兰航运物流公司 Royal Dirkzwager，成功窃取大量员工身份证、护照、合同等机密信息 ，并将该公司添加到其 Tor 数据泄露网站。 该团伙为证明此次攻击攻击活动，还泄露了一个 5GB 的档案，威胁说如果公司不支付赎金，将公布全部档案。 Royal Dirkzwager 是一家专门从事优化航运流程和管理海运及物流信息流的航运公司，勒索攻击事件发生后，其首席执行官 Joan Blaas 表示勒索软件攻击并没有影响公司的运营，并指出攻击者是从基础设施中窃取了敏感数据。 此外，Joan Blaas 一直强调，勒索软件攻击对员工产生了巨大影响，在过去的一年里，由于公司破产，不优化了一些同事，不得不转移办公室，现在又遭遇了网络攻击，对公司来说，这段时间一个非常困难的时期。目前，Royal Dirkzwager 已经通知了荷兰数据保护局。 值得一提的是，自 2022 年 7 月以来，Play 勒索软件集团一直都很活跃，受害者名单包括奥克兰市和云服务提供商 Rackspace。 航运业一直是勒索软件眼中的“香饽饽” 航运业一直是网络犯罪团伙眼中的“优先”目标。今年 1 月，大约 1000 艘船只受到针对海事软件供应商之一 DNV 的勒索软件攻击的影响。 DNV GL 为船舶的整个生命周期内提供解决方案和服务，从设计和工程到风险评估和船舶管理，这家挪威公司为 13175 艘船舶和移动海上装置(MOU)提供服务，服务船只总吨位为 2.654 亿吨 ，占全球市场份额的21%。 2022 年 2 月，网络犯罪团伙袭击了 Oiltanking GmbH，这是一家德国汽油分销商，主要为德国的加油站供应产品。媒体披露这次袭击还影响了石油供应商 Mabanaft GmbH。值得一提的是这两家公司同属于 Marquard & Bahls 集团。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361141.html 封面来源于网络，如有侵权请联系删除