据外媒TechCrunch报道，一家健康科技公司在安全证书失效导致服务器没有密码后，每天泄露数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab，自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真，仍然是将患者文件共享给其他提供商和药房的主要方法。 但据发现数据的安全公司称，该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来，公开的传真服务器运行的Elasticsearch拥有超过600万条记录。 由于服务器没有密码，任何人都可以实时读取传输的传真 – 包括其内容。 根据对数据的简要回顾，传真包含大量个人身份信息和健康信息，包括医疗记录、医生药方、处方数量和数量，以及疾病信息等。传真还包括姓名、地址、出生日期，在某些情况下还包括社会安全号码和健康保险信息以及支付数据。 传真还包括有关儿童的个人数据和健康信息。没有数据被加密。   在传真服务器上找到两份泄露的文件。（图片来源：TechCrunch） 该服务器托管于MedPharm Services的子域，MedPharm Services是总部位于波多黎各的Meditab的一家分支机构，由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来，以便为那些在岛上开展业务的人提供减税优惠。 TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。 Patel表示，关于安全证书失效问题，该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录，以查看任何潜在风险的范围，”该公司总法律顾问Angel Marrero在一封电子邮件中说。 我们询问该公司是否计划通知监管机构和客户。Marrero表示，该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知（如适用）。” Meditab和MedPharm都声称符合HIPAA，即《美国健康保险流通与责任法案》，该法案管理医疗服务提供者如何正确管理患者的数据安全。 泄露数据或违法的公司可能面临巨额罚款。 去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元，其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款，费森尤斯的解决方案为350万美元。五个不同的违规行为。 美国卫生和公共服务部的发言人没有发表评论。     （稿源：，稿件以及封面源自网络。）

据外媒The Hacker News报道，曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客，目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮，他声称自己已经攻击了数十个热门网站，而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据，第一批是从16个网站上窃取的6.2亿账户详情，第二批是从8个网站上窃取的1.27亿条记录，第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时，黑客“Gnosticplayers”声称是最后一批盗取的数据库，但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下： Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 （图：知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息） 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示，入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库，总价值为1.2431比特币，大约是5000美元。目前还不清楚上述网站是否意识到数据泄露，The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户，请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。       消息来源：The Hacker News，编译：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

讯 北京时间3月12日上午消息，据美国科技媒体TechCrunch报道，网络安全公司Adversis发现，有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接，而无意间泄露了敏感的企业和客户数据。 虽然存储在Box企业帐号内的数据默认设置称私密状态，但用户可以与任何人分享文件或文件夹，因而只需要一个链接就可以公开接触这些文件。但Adversis表示，这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式，Adversis发现有90多家公司的文件夹都可以公开访问。 Box自己的员工也未能幸免。 该公司表示，虽然多数数据都是合法公开的，而且该公司也向用户发送了建议，帮助其尽可能减少风险。但很多员工可能并不知道敏感数据被分享出去，甚至可以被其他人找到。 更糟糕的是，一些公共文件夹还可以被搜索引擎索引，导致信息更容易被发现。 Adversis表示，Box应该重新配置默认共享链接，限制为“公司内部的人员”，从而降低意外暴露敏感信息的概率。   （稿源：，稿件以及封面源自网络。）

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者，导致国际黑客窃取了大量的数据。公司表示美国联邦调查局（FBI）已经就此事和公司取得联系，并警告称本次网络攻击行为极有可能是伊朗黑客组织所为，窃取了6TB至10TB的商业文件。 针对本次安全事件，Citrix已经采取积极措施。公司表示：“我们已经全面配合FBI开展调查，并且聘请了一家专业领先的网络安全公司提供协助，巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害，但也承认并不清楚有多少或者哪些文件被访问过。 根据披露的细节显示，黑客使用了一种名为“password spraying”的策略，他们利用弱密码获取有限的访问权限，然后努力绕过其他安全系统。在3月6日被FBI通知之前，网络安全公司Resecurity表示，它已于12月28日联系该公司。Resecurity总裁查尔斯·尤（Charles Yoo）表示，有证据表明黑客大约在10年前首次攻击Citrix的网络，并且此后一直处于等待状态。公司认为在最近的两次袭击中，有6-10TB的数据被盗，重点是与FBI，NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。 虽然Citrix表示它正在努力控制这一事件并确保其产品和服务保持安全，但真正的问题是，作为政府承包商，该公司拥有大量敏感数据，现在就怕这些数据已经被访问。   （稿源：cnBeta，封面源自网络。）

Dalil是一款类似于Truecaller的智能电话本应用程序，但仅限于沙特和其他阿拉伯地区用户。由于该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问，导致用户数据持续泄露一周时间。该漏洞由安全研究人员Ran Locar和Noam Rotem发现，在数据库中包含了这款APP的所有数据，从用户个人详细信息到活动日志。 外媒ZDNet对样本进行审查之后，发现该数据库中包括以下信息 ● 用户手机号码 ● 应用注册数据（完整姓名、电子邮件地址、Viber账号、性别等等） ● 设备信息（生产日期和型号、序列号、IMEI、MAC地址、SIM号码、系统版本等等） ● 电信运营商细节 ● GPS坐标（不适用于所有用户） ● 个人通话详情和号码搜索 基于与每个条目相关联的国家/地区代码，数据库中包含的大多数数据属于沙特用户，此外还有少部分用户来自埃及，阿联酋，欧洲甚至一些以色列/巴勒斯坦人。显然这些数据非常的敏感，甚至可以通过GPS坐标数据进行跟踪。 数据库仍然暴露大约585.7GB的信息。 Locar说每天都会添加新记录，这意味着这是应用程序的生产服务器，而不是废弃的测试系统或冗余备份。研究人员告诉ZDNet，仅在上个月就已经注册了大约208,000个新的独特电话号码和4400万个应用事件根据Play商城显示的APP信息，Dalil的下载次数已经超过500万。     （稿源：cnBeta，封面源自网络。）

北京时间3月5日早间消息，万豪国际集团首席执行官阿恩·索伦森（Arne Sorenson）将于周四在美国参议院数据泄密小组面前作证。该调查结果显示，该公司去年12月被曝其喜达屋酒店预订系统中多达5亿客户信息记录遭到泄露。 参议院常设调查小组委员会正在举行听证会，“审查私营部门数据泄露的原因和范围，揭露数百万美国人最敏感的信息。” 听证会还将包括Equifax Inc首席执行官马克·贝戈（Mark Begor），他将讨论该公司2017年披露的超过1.45亿人敏感数据被黑客入侵。     （稿源：，稿件以及封面源自网络。）

讯 北京时间1月22日早间消息，据美国科技媒体ZDNet报道，美国一个网络赌博集团泄露1.08亿条赌博信息，里面包括客户的个人信息、存款及提款详情。 网络安全研究人员贾斯汀·潘恩（Justin Paine）说，这些信息是从ElasticSearch服务器泄露的，并在网上流传，不需要密码就能获得。 ElasticSearch是一个搜索引擎，企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络，用来处理公司机密信息，信息不会泄露在网上。 上周，潘恩发现一些敏感信息，这些信息来自在线赌博门户网站。虽然开放的服务器只有一台，但是里面的数据相当庞大，来自数个网络域名。 经过一番分析，潘恩认定这些域名全都用来运营网络赌场，用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光，里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。   稿源：，稿件以及封面源自网络；

去年 11 月，一家名为 Voxox 的电信企业不慎泄露了一个包含数百万条短信的数据库，其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前，其安全漏洞已向攻击者敞开数月。由于服务器未受保护，本次事件导致数百万份呼叫日志和文本消息被泄露。令人惊恐的是，时隔两月，另一家名叫 Voipo 通信提供商，又泄露了价值数十亿美元的客户数据。 Voipo 是一家总部位于加利福尼亚州 Lake Forest 的互联网语音服务提供商，提供面向住宅和商用的电话服务，并且支持云端控制。 上周，安全研究员 Justin Paine 找到了暴露的，并与该公司的首席技术官取得了联系。然而在 Paine 通报之前，Voipo 的数据库就已经脱机了。 据悉，该公司的后端路由，可用于为其用户调度和处理文本消息。 但由于其中一个后端的 ElasticSearch 数据库未受到密码保护，因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。 作为 2019 年最大规模的数据泄露事件之一，迄今已有 700 万通话和600 万短信纪录、以及其它包含未加密密码的内部文档被泄露。 若被攻击者拿到这些凭证，将使之获得对企业系统的深度访问权限。外媒在审查了部分数据后发现，某些日志中的网址，竟直接指向客户的登录页面。 Paine 在博客文章中指出，数据库自 2018 年 6 月开始被曝光，并包含了可追溯至 2015 年 5 月的电话和短信日志。 每天更新的日志，已经更新到 1 月 8 号 —— 数据库于当日正式脱机，但许多文件包含了非常详细的呼叫纪录、呼叫方、日期、时间等机密信息。 尽管呼叫日志中的一些号码被打码，但短信日志里的收件人和发件人信息（以及邮件正文），都是完全裸露的。 与去年的 Voxox 漏洞类似，任何截获的包含双因素代码或密码重置链接的短信，都使得攻击者有机会绕过用户账户的双因素认证。 更糟糕的是，日志还包含了允许 Voipo 访问 E911 服务提供商的凭证 —— 这项服务允许急救服务方根据用户预先设置的位置等信息来采取行动。 糟糕的是，Paine 表示，E911 服务或已被禁用，可能导致这些客户无法在紧急情况下获得救助。 在一封电子邮件中，Voipo 首席执行官 Timothy Dick 证实了本次数据泄露，但补充道：“这只是一台服务器，并不是我们生产网络的一部分”。 Dick 声称该公司将所有系统都放在了防火墙之后，因此可以阻绝外部连接。然而该公司并没有遵从该州的规定、及时地向当局通报此事。   稿源：cnBeta，封面源自网络；  

近日，创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现，国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上，目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细，包括身份证照片、电话号码、账号、密码、地址等。 安全提示：请相关业务网站管理人员及时检查网站服务配置，防止数据进一步泄露。相关业务消费者请及时修改账户密码，防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务：https://www.yunaq.com/gpt/

近日，创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现，某Twitter账户发布了一条关于超过2亿份简历数据泄露的推文。 这些简历全部来自中国，内容非常详细，包括姓名、电子邮箱、电话、性别、婚姻状况、政治面貌、工作技能、工作经历等。   目前该推主正在寻找数据的所有者，并已有推友建议他向CNCERT提交该事件，当然还有人在咨询他是否能将数据分享给自己。 安全提示：年底是求职的高峰期，请各位求职人员注意个人信息泄漏，并及时修改账户密码，防止个人信息被恶意使用，知道创宇404积极防御实验室将密切跟进该事件。