2017 年的时候，南非遭遇了一起大规模的数据泄露事故。然而转眼间，这个国家又发生了一起数据泄露，导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据，涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。从分析来看，这些密码似乎与交通罚款相关的在线系统有关。 在澳大利亚安全顾问 Troy Hunt、“Have I Been Pwned”、以及 iAfrikan 和 Hunt 匿名消息人士的通力合作下，外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关（备份或公布）。 在刚接触的时候，消息人士称： 我拿到了一批新的泄露数据，中包含了 100 万南非公民的个人信息记录，如身份号码、手机号码、电子邮件地址、以及密码，我意识到它们是哪些网站流出的了。 其后续补充道： 这个包含百万人记录的数据库，是在一个公共网络服务商上被发现的。该属于一家处理南非电子交通罚款的公司。 与 2017 年泄露 6000 万南非公民个人记录的事件一样，iAfrican 在浏览了数据库后发现，这套“备份”的保存目录，竟然启用了公共浏览权限，这显然是疏忽大意而导致的。 Hunt 向 iAfrican 表示： 这起事件再次给我们敲响了警钟，如果缺乏应有的知识技能，我们的数据可以被散播到什么样的程度。 然而本次事件的风险更加严重，特别是明文保存的密码。它将带来不可避免的麻烦，比如解锁受害者的其它账户。 由于数据的可重用性，这一事件可能已经导致了多起其它在线账户的入侵。   稿源：cnBeta，封面源自网络；

据外媒报道，美国官方已经确认Vault 7泄露案中的一名主要嫌疑人。据了解，在Vault 7泄露案中，大量CIA使用的网络攻击遭到曝光，包括针对iPhone和Mac的软件漏洞。《华盛顿邮报》称，来自最新的法庭文件显示，政府当局认为Joshua Adam Schulte为维基解密提供了CIA绝密网络武器和间谍工具技术相关信息。 资料图 这位前CIA职工现因另外一项指控被关押在曼哈顿的一座监狱里。 Schulte于2016年离开CIA工程小组开始为一家私营企业工作，在此之前他在CIA负责破解为恐怖分子和其他目标所持有的电脑、智能手机和其他设备破解方法的代码。 代码文档被维基解密获取并于去年3月以Vault 7的名义对外公布。从iOS漏洞到Windows、Android恶意软件，大量攻击手法被曝光。 针对该次曝光，苹果随即作出反应，表示大量iOS漏洞都已经在先前的更新中得到修复。 去年7月，Vault 7又曝光了针对在Mac OS X10.6 Snow Leopard和OS X10.7 Lion运行的硬件的可操作漏洞。 虽然FBI在去年3月的曝光之后对Schulte在纽约的公寓进行了搜查但并未找到证实其跟Vault泄露案相关的证据。不过8月他被控持有儿童色情物品，在此之前，调查人员发现他在2009年在一上创建了的非法内容。当时Schulte还是德州大学的一名学生。 对此，Schulte并不认罪，并表示多达100个人都曾经访问过这个服务器。9月，Schulte被释放，但前提是他能保证自己不会离开纽约市以及从事与计算机相关的活动。去年12月，Schulte因违反相关规定再次入狱。 Schulte在提供《华盛顿邮报》的声明中指出，他曾向CIA监察长和国会监督委员会上报了不称职的管理和官僚主义行为，他认为这一动作让自己陷入了困境。“对于这些不幸的巧合，FBI最终作出了草率的判决，认定我是泄露的罪魁祸首并将矛头对向我。” 稿源：cnBeta，封面源自网络；

据 New Scientist 周一报道：剑桥大学的研究人员们，已经向一个分享门户上传了 300 万 Facebook 用户的数据。尽管数据被用户名和密码锁定，但学生们后来还是在网络上曝出了登录凭证。在政治咨询公司“前桥分析”的数据收集丑闻曝光之后，Facebook 无疑面临着越来越大的舆论压力，因为研究人员 Aleksandr Kogan 分享了他通过一款性格测试（personality quiz）应用收集到的信息。   在 New Scientist 披露的数据曝光事件中，另有研究团队通过一款名叫“我的个性”（myPersonility）的应用收集了用户信息，然后将之放到了一个 Web 门户上。 大约四年前，访问这批数据集的学生们在 GitHub 上张贴了用户名和密码。虽然数据已经过匿名化处理，隐私专家们还是可以轻松将它和最初在 Facebook 上发布的内容相联系。 4 月 17 号的时候，myPersonality 应用就已经被停用。Facebook 意识到了在 GitHub 上发布的登录凭证，声称此事违反了该公司不得滥用用户数据信息的规定。 Facebook 产品合作伙伴关系副总裁 Ime Archibong 在一封电子邮件声明中表示： 我们在大约一个月前停用了 myPersonality 应用，因为我们相信它可能违反了 Facebook 的政策。 当前我们正在对其展开调查，如果它不配合或未通过审计，我们会将它封禁掉。 Archibong 在周一的一篇博客文章中表示，作为打击滥用用户信息行动的一部分，这家社交网络巨头已经停用了大约 200 款 app 。 该公司会进一步调查这些应用，如果被发现有滥用的情况，Facebook 计划向用户通报其数据受到了多大的影响。 遗憾的是，剑桥大学、心理测验学中心和 Aleksandr Kogan 都未予置评。 稿源：cnBeta，封面源自网络；

据外媒 4 月 26 日报道，网络安全公司 Kromtech 偶然发现了一个 MongoDB 数据库，其中包含了超过 25,000 名投资或得到 Bezop（加密货币）的用户的个人信息，涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照或身份证等数据。 Bezop 是去年年底推出的一个新的加密货币，最近它的团队举办了一次首次发行代币（ICO），以筹集资金来创建一个由区块链驱动的电子商务网络。让该加密货币声名大噪的是， 网络安全专家约翰迈克菲将 Bezop 列入其“每周 ICO ”推荐信中加入了 Bezop ，不过后来 Bezop 团队承认向 McAfee 支付了费用来进行促销。 目前，该货币在 CoinMarketCap 网站上排名第 728 位，其交易价格为每股 0.06 美元。 据悉，该数据库存储了的数据与 Bezop 团队年初开始运行的“ 赏金计划 ” 有关，在项目期间，该团队将 Bezop 代币分发给在其社交媒体帐户上宣传货币的用户。 Bezop 发言人表示，该数据库包含约 6,500 名 ICO 投资者的详细信息，其余部分则是针对参与公众赏金计划并收到 Bezop 代币的用户。 直到 3 月 30 日，Kromtech 的研究人员在谷歌云服务器上发现了 MongoDB 数据库之后，数据似乎一直保持在线，并且该数据库没有适当的身份验证系统，允许任何连接到它的人访问存储的信息。 Bezop 发言人承认了这一违规行为，声称数据库是无意中在网上曝光的，但并没有用户资金因此遭受损失。另外投资者身份卡也没有存储在数据库上，而是直接链接到他们的 URL ，目前这也是处于脱机状态的。 Bezop 团队本周表示该数据库已经安全关闭了，并且也及时通知了其用户这一泄露事件。其实这并不是唯一 影响 Bezop 用户的安全相关事件。今年早些时候，Steemit 博客指责该公司通过电子邮件以明文发送 ICO 注册密码，以至于不必要地在线暴露用户。 消息来源：bleepingcomputer，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因生产 iPhone 解锁设备 GrayKey、并向美国多个执法机构销售，制造商 Grayshift 早已陷入舆论的风口浪尖。然而近日，该公司又遭遇了一起数据泄露，据说攻击者访问到了一小部分的 GrayKey 代码。外媒 Motherboard 报道称，上周，有不知名的黑客泄露了 GrayKey 的部分代码，并且向 Grayshift 勒索 2 枚比特币，不然就威胁进一步泄露其数据。 外媒称泄露的这部分数据“并不是特别敏感”，而 Grayshift 方面也证实发生了“短暂”的数据泄露： 本月早些时候，由于在客户站点上的一项网络配置错误，一款 GrayKey 装置的 UI 被短暂曝光到了互联网上。 在这段时间里，有人访问了构成 UI 的 HTML/Javascript 代码，但没有敏感的 IP 或数据被暴露，当时 GrayKey 进行了验证测试。 这项配置已完成变更，以帮助我们的客户阻止未经授权的访问。 尽管黑客以此为要挟，向 Grayshift 索取 2 比特币的封口费，但其提供的钱包地址到现在还没有得到任何资金。 不过 Motherboard 指出，在使用计算机搜索引擎 Shodan 的时候，还是能看到一款疑似暴露于互联网上的 GrayKey 设备和类似的代码： 要暴力破解复杂的字母数字密码，请上传自定义密码字典。如果字典没有上传，GrayKey将不会尝试暴力破解自定义的字母数字密码。 尽管基于 GrayKey 的技术可能会在未来某个时候被 iOS 系统更新给堵上，但据目前所知，其对最新款的 iOS 设备（包括 iPhone X）仍然有效。 稿源：cnBeta，封面源自网络；

当地时间星期二，身处近 1 亿 Facebook 用户个人信息被滥用漩涡中心的剑桥大学研究人员亚历山大·科根（Aleksandr Kogan）表示，他的所作所为对微定向广告——影响美国大选所需要的一种广告——没有什么帮助。科根说，他收集的数据对定向广告几乎没有什么帮助，他获得的数据对确定个人身份没有用。 他在向提交给英国议会委员会的书面证词中说，“如果目标是在 Facebook 上发布广告，我认为我们所做的项目没有什么意义。事实上，Facebook 提供了更有效的工具，使企业能根据用户的个性，而非我们提供的用户得分向他们发布广告。” Facebook 曾表示，在科根开发一款心理测试应用后，约 8700 万用户的个人资料可能被不恰当地共享给政治咨询公司剑桥分析。 Facebook 和剑桥分析都把科根列为数据滥用问题的元凶，但科根曾经表示，他成为卷入这一丑闻的公司的替罪羊。剑桥分析将于晚些时候在一次会议上回应科根的评论。 科根说，前剑桥分析 CEO 亚历山大·尼克斯（Alexander Nix）之前曾向议会说谎，称自己没有从他那里获得数据，“我们肯定向他提交了数据，这是无可争辩的。在被问到尼克斯曾说谎时，科根回答说，“，这一问题的答案是绝对肯定的。” 但科根表示，他认为剑桥分析母公司 SCL 不大可能将他提供的数据用于特朗普大选。 科根说，他从未从其创办的研究公司 GSR 领取过薪酬，来自 SCL 的大部分资金用于编写软件、获得数据和支付法务费用。他被允许保存通过这一项目收集到的数据。 科根表示，GSR 与 Facebook 存在密切合作关系，他在这家公司的合伙人之一约瑟夫·钱塞勒（Joseph Chancellor）目前就在 Facebook 任职。 科根表示，Facebook 称他欺骗了用户，这纯粹是谎言，是说谎者的危机公关，“公关就是公关，他们很容易指责其他人”。 稿源：cnBeta、凤凰网科技，封面源自网络；

IT 专家发现，美国医疗公司 Health Stream 在网上公开了一个数据库，其中包含约 10000 名医务人员的联系方式、名字、邮箱地址以及 ID 等信息。 该公司接到事件汇报后，已经及时将相关内容下线，但是在其他在线缓存中，还是能查到这些数据。这些数据可被恶意攻击者利用，针对该公司员工进行钓鱼攻击。 IT 专家将此事披露出来，提醒企业组织重视 IT 基础设施安全。而目前，Health Stream 尚未对此事作出回应。 稿源：freebuf，封面源自网络；

据外媒 4 月 15 日报道，泰国最大 4G 移动运营商 TrueMove H 于近期遭遇了数据泄露，一位操作人员将 AWS S3 存储桶中总计 32 GB 的 46000 人数据公开在互联网上，其中包括身份信息、护照和驾驶执照等数据。目前根据 TrueMove H 发布的声明显示，其子公司 I True Mart 遭受到了此次泄露的影响。 安全研究人员 Niall Merrigan 透露像 bucket stream 和 bucket-finder 这样的工具允许扫描互联网来打开 S3 AWS buckers，例如此次事件，Merrigan 使用了“ bucket-finder ”工具来发现打开 TrueMove H 的 S3 桶。Merrigan 表示他已将这一问题告知 TrueMove H，但该操作人员并没有做出回应。 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Facebook 数据泄密丑闻爆料人克里斯多夫·威利（Christopher Wylie）上周日表示，受到此次事件影响的用户总数可能超过 8700 万，而这些数据可能存储在俄罗斯。 威利表示，通过心理测试应用收集 Facebook 用户数据的剑桥大学教授亚历山大·科根（Aleksandr Kogan）可能允许把这些数据存储在俄罗斯。科根经营的 Global Science Research 在没有经过用户允许的情况下，将这些数据分享给备受争议的政治数据分析公司剑桥分析（Cambridge Analytica）。 “我认为，真正的风险在于，这些数据可能已经被很多人使用，而且可能存储在世界各地的不同地方，包括俄罗斯。原因在于，收集这些数据的教授当时在英国和俄罗斯之间往来，他当时效力于一个俄罗斯资助的心理学项目。”威利接受 NBC 采访时说。 他补充道：“我不能告诉你有多少人使用过这些数据，这最好由剑桥分析来回答，但我可以说，有很多人都曾接触过这些数据。” Facebook 和剑桥分析均未对此置评。科根也没有作出回应。 威利认为，受到此次事件影响的人数可能超过 Facebook 上周公布的 8700 万人。《观察家》和《纽约时报》最初的报道认为这一数字约为 5000 万人。剑桥分析曾经表示，他们通过 Global Science Research 获得的 Facebook 用户数据不超过 3000 万。 相关阅读: –Facebook 宣布遏制选举舞弊和用户操纵的新举措 –美国参议员：Facebook 丑闻可能“很严重” 难自行解决 –消息人士称扎克伯格将在周一会见美国立法者 稿源：，稿件以及封面源自网络；

近日，《华尔街日报》科技专栏作家克里斯托弗·米姆斯( Christopher Mims )周日撰文称，在用户隐私保护上，美国科技巨头过去几乎处于自由放任的监管环境中，自律意识淡薄，但是一切即将改变。虽然现在只有 Facebook 数据泄露丑闻被曝光，但是苹果、谷歌、亚马逊的“底子也不干净”，也会被一同纳入监管。 文章内容如下： 我们终于认识到了一个现实：我们不仅仅是 Facebook、谷歌等公司的“产品”。正如一位硅谷投资者所言，我们还是他们增长的助推剂。 至少，从我们的个人数据来讲是这样的。每周，我们似乎都能在美国和欧洲听到关于我们信息被盗、被泄露和利用的最新报道。同时，人们不断呼吁政府加强监管和消费者保护。 我们认识不够的是，苹果、亚马逊公司同时会受到多大程度的影响，不管是正面影响还是负面影响，因为他们必须与付费用户保持直接联系。(另一科技巨头微软公司在智能机革命过程中并未发挥重大影响力，也没有实现与其他公司类似的增长，但是也必须遵守未来出台的监管规定)。 过去 10 年，营收和市值的爆炸式增长足以令这四家公司傲视全球经济。但是，他们身处的自由放任的监管环境似乎真的即将结束。 Facebook 是导火索 Facebook 是造成科技巨头面临更严格监管的导火索：在政治圈里，公众人物的表态和近期调查显示，美国人突然对 Facebook 的“权力”感到更加担心。就在 6 个月前，这种担心还有些杞人忧天，但是现在却成了现实。密苏里州总检察长正要求 Facebook 披露哪些政治活动通过付费方式获得了用户个人数据，以及用户是否知道个人信息被分享。 在欧洲，严格的数据保护规定《通用数据保护条例》(GDPR)将在今年 5 月 25 日生效。《通用数据保护条例》加入了“有效而且具有劝诫作用”的罚款。根据违例程度的不同，包括不当处理个人数据，让儿童使用非适龄服务或查看不宜内容等，最高罚款可达到一家公司全球营收的 4%。按照 2017 年营收计算，Facebook 可能面临 16 亿美元罚款。 Facebook CEO 马克·扎克伯格( Mark Zuckerberg )近期表示，他的公司正在努力把《通用数据保护条例》适用范围扩大到每一名用户身上。他还表示，Facebook 等公司的自律必不可少，并支持对发布政治广告的互联网公司进行检查。在这一点上，Facebook 此前就已经承诺过。 苹果谷歌亚马逊受波及 谷歌的广告模式对数据的需求程度与 Facebook 不相上下，只是不收集我们的搜索历史和位置。谷歌旗下 YouTube 平台能够追踪用户的媒体喜好。自 2012 年以来，谷歌从其所有产品中收集我们的数据。 在与监管部门打交道上，谷歌更有经验。2013 年，谷歌与美国联邦贸易委员会就竞争争议达成和解。几个月来，谷歌一直在宣传他们在遵守《通用数据保护条例》上付出的努力。不过，和Facebook不同的是，谷歌并不打算把类似于《通用数据保护条例》的规定应用到所有国家，所以类似规定应该不会很快在美国实施。 亚马逊已经在运营一项年营收达到 28 亿美元的广告业务，通过收集数据投放目标广告。鉴于亚马逊的零售和广告生态系统几乎能够自给自足，所以它不必像对手那样对其许多行为展开大幅调整。不过，《通用数据保护条例》对亚马逊造成的负担目前还不清楚，这需要用户以及他们律师的检验。 “长期以来，亚马逊一直坚守在隐私和数据安全上的承诺。当《通用数据保护条例》生效后，我们致力于遵守它的规定，”亚马逊发言人称。 《通用数据保护条例》很可能会在短期内加强苹果在隐私保护上的声望。“苹果会发现，《通用数据保护条例》与他们的价值观十分契合，”Facebook 早期投资人罗杰·迈克内米(Roger McNamee)表示。 苹果 CEO蒂姆·库克(Tim Cook)称，他们从来不会在用户隐私上犯下和 Facebook 一样的错误。但是，库克的信心掩饰了一个事实：现在，绝大多数用户通过移动设备访问 Facebook。如果没有 iPhone 和其他 Android 手机，Facebook 甚至都不会存在。 苹果还为开发者获取有利可图的个人信息创造了机会。例如，iPhone 和 Android 手机的权限设置模糊，这就意味着我们距离让陌生人出售我们的位置数据只有一次点击。 尽管苹果在 App Store 中实施了隐私规定，要求开发者在获得不同寻常的丰富信息时需要获得用户的同意，但是它并不要求每一位开发者按照相同的严格标准保护隐私。 现在，Facebook 可能是被报道最多的公司，但是从长期来看，苹果、谷歌以及亚马逊很可能也会面临理直气壮的监管部门的审查。监管部门不仅会为企业如何处理用户数据制定新规，还会对直接收集数据的设备进行监管。 稿源：cnBeta、凤凰网科技，封面源自网络；