近日，有研究人员发现 HotSpot Shield、PureVPN 和 Zenmate 这三款流行 VPN 存在安全问题，会泄露用户真实 ip 等隐私信息，影响数百万用户。用户真实 ip 泄露后，真实身份、实际地址等信息也会被顺藤摸瓜找到。 据了解，免费的 HotSpot Shield Chrome 插件中存在三个严重漏洞：劫持全部流量（CVE-2018-7879）、DNS泄露（CVE-2018-7878）、真实 ip 地址泄露（CVE-2018-7880）。目前这三个漏洞已经被修复，桌面版和手机端的 HotSpot Shield 不受漏洞影响。不过 PureVPN 和 Zenmate 中的漏洞还尚未修复，且 Zenmate 中的问题最为严重。 稿源：freebuf，封面源自网络；

外媒 3 月 5 日消息，日本游戏开发商 Nippon Ichi Software 透露，其美国分公司 NIS America 的网上商城 store.nisamerica.com 和 snkonlinestore.com 于 1 月 23 日至 2 月 26 日的某个时间段遭受了严重的数据泄露，可能会影响在线客户的个人信息和财务数据。 根据 NIS America 上周向受影响客户发的一封电子邮件得知，该公司在 2 月 26 日上午发现其结账页面被链接了一个恶意程序，具体流程为： 黑客设法在用户下单后获取其付款卡细节和个人信息，然后恶意程序将用户返回到 NIS America 存储页面，以完成进一步的欺骗交易。 邮件中并未提及具体有多少客户在此次事件中受到了影响，也没有提供进一步的攻击详情。为了表示歉意，该公司通过其在线商店向客户提供了 5 美元的优惠折扣。 目前 NIS America 表示他们已解决了此次恶意事件，并增加了新的安全措施来提高其在线商城的安全性。此外，NIS America 建议客户更改帐户密码，并监控其银行或信用卡帐单的可疑活动，以及注意欺诈性电子邮件、文本、电话或请求个人信息的可疑网站。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，现如今，当我们听到数据泄露时最先想到的会是黑客攻破数据库然后将私人信息公布到网上，或某家公司没有采取适合的安全措施进而导致其客户信息被放到网上。但并不是所有的数据泄露都跟黑客攻击或 IT 部门失职有关，有时候该类似事件还可能发生在低技术含量的包装中。 上周，美国保险公司 Aetna 同意为泄露了上千名 HIV 病人医疗信息支付 1700 万和解金。获悉，造成此次泄露的原因则是这家公司在向病人寄出的信件中使用了过大的透明窗口，见下图： 此次事故影响到了来自 23 个州的艾滋病病人。 一般情况下，这种信件是会留一块透明窗口用于显示收件人的地址，然而 Aetna 此番因窗口过大导致收件人的个人健康信息也被暴露在外。 去年 7 月 28 日，这家医疗保险公司向填写了 HIV 处方药表格的客户发出了 1.2 万封左右的信件，不过 Aetna 并没有使用内部邮件部门而是把送件服务外包给了第三方。 对此，宾夕法尼亚艾滋病法律项目和法律行动中立立即要求 Aetna 停发信件。与此同时，Aetna 则开始为那些已经受到影响的人提供帮助。即便如此，上面两家公司还是代表 11875 名受影响客户向宾夕法尼亚东部地区美国地方法院提起了集团诉讼。最终，Aetna 同意支付 17,161,200 美元的和解金。 不过最终是否和解成功则还有待法院作出最终裁决。 稿源：cnBeta；封面源自网络；

据外媒报道，位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵，可能会影响到约 290 万人（占挪威人口的 56% ）的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴，并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露，他们检测到来自 Health South-East RHF 的异常流量，从而发现了入侵行为。研究人员认为在地下网络犯罪中，医疗数据是一种有价值的商品，恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为，Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的，因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉，Health South-East RHF 为全国约 290 万人提供医疗服务，超出挪威全体居民数目的一半。因此，若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

OnePlus 宣布，最近有 4 万名客户受到安全漏洞的影响，导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前，第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道，但 OnePlus 表示，自 11 月中旬以来，盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息，包括卡号，到期日期和安全代码。该公司表示，已经确定了攻击发生的地点，并已经找到攻击者的入口点，但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的，或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中，OnePlus 表示脚本“间歇性”运行，受感染的服务器已经与系统的其他部分隔离。它还表示，通过已经保存信息的信用卡支付的客户，通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示，遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手，并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用，直到调查完成，同时客户可以通过 PayPal 购买物品。 OnePlus 表示，它正在努力实施更安全的信用卡付款方式。 上周，OnePlus首席执行官刘佩特告诉 CNET，它正在探索与美国运营商的合作关系，但一位发言人证实，这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源：cnBeta，封面源自网络

据外媒报道，2015 年智能玩具制造商伟易达（ VTech ）的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具，并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月，伟易达承认在一次数据泄露事件中，数百万用户数据遭黑客窃取。一名安全研究人员表示，其网站本身不但不安全，而且数据在传输时都没有加密，这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法，而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计，但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到： 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外，截至 2015 年 11 月，美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外，加拿大隐私专员办公室办公室（ OPC ）写道，“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果，即伟易达曾以多种方式违反了美国的法律，未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源：cnBeta，封面源自网络；

据外媒报道，总部位于旧金山的 July Systems 公司在网上暴露了大量敏感数据，该公司基于云智能定位和参与平台 “ Proximity MX ” 通过不安全的 Amazon S3 数据库公开了公司及其客户的专有信息。相关安全人员表示，极有可能是因为人为因素而造成了此次暴露事件。 相关人士透露，July Systems 的 Proximity MX 平台连接个人的数字足迹 – 特别是跟踪消费者的消费行为。该平台允许公司的客户与消费者进行相关的优惠和促销，并将数据记录到系统中”。据悉，该平台使用者还包括 CNN，ESPN，Intel，Toys “ R ” Us，CBS，Fox 和 NBC Universal 等全球知名媒体公司。 经过调查，在过去的一年中，配置不当的 S3 存储器造成的多次大规模泄漏事件已经暴露了来自各个组织的大量数据。最近， 美国陆军和国家安全局的数据也被暴露。而此次 July Systems 泄露的数据包括 iPhone 和 Android 应用程序的安全凭证，存储库凭据（可能允许任何人访问敏感的客户端数据或跟踪数据），内部构建和各种客户端的开发工具（比如 NFL， CBS，Amex，NBA，FOX，PGA 等）。此外，还暴露了诸如 “ Katy Perry，NFL , NBA ” 等品牌的档案信息和印度 Unilever 管理者的 1000 个用户名和密码。 11月 20 日，Kromtech 安全研究员 Bob Diachenko 发现了 3 个泄露的 S3 存储器 （两个与 July Systems 相关的存储器，另一个则与 Cisco 相关 ），并且发现数据库一直在实时更新。Diachenko 解释说，这三个存储器都是一个名为 EMSP 的生态系统的一部分，它可以利用 WiFi 网络获得有价值的客户信息、提供个性化的移动体验，而 JulySystems 与 CISCO 主要在合作推动 EMSP。 Diachenko 表示，此次暴露事件很可能是人为造成的 。因为 July Systems 有几台 S3 服务器没有密码并且可以公开访问。但目前不清楚是否有其他第三方访问了这些数据库，也不清楚该公司的 S3 存储器在被发现之前还要暴露多久。July Systems 在被告知数据暴露的两天内就已锁定涉事 S3 存储器，但与 Cisco 相关的服务器在获得安全保护之前仍然暴露了一个星期，然而现在真正的考验是，网络犯罪分子可能利用暴露的密码来访问数据基础设施的安全区域。 据悉，英国 IBTimes 已与 July Systems 取得联系以进一步明确此事，并正在等待回应。 消息来源：IBTimes，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 30 日消息，全球航运公司 Clarksons 发表声明称，公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件，并且对受影响的客户和个人深表歉意。 直至本文截稿前，被盗数据的数量和确切细节尚未被公布，Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示，黑客组织访问公司内部系统可能没有利用软件漏洞这种途径，而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用，并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据，但是作为一个负责任的全球性企业，公司选择与警方和安全专家合作处理这个事件，并与有关监管机构进行了联系。由于所涉及的是内部保密数据，所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示，目前事件正在调查，其余细节则不予透露。 消息来源：ZDNet、ESET，译者：榆榆，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据 11 月 30 日报道，在被起诉未经用户同意出售逾 500 万名 iPhone 用户信息后，谷歌或被迫赔偿 27 亿英磅。一起集体诉讼指控谷歌利用算法绕过 iPhone 默认隐私设置，收集用户的浏览历史数据。这一诉讼的目的，是使约 540 万名受影响的用户获得赔偿。 谷歌被指在 2011 年 6 月至 2012 年 2 月期间收集 iPhone 用户信息。起诉书称，谷歌的做法触犯了《数据保护法案》。预计该案将于 2018 年在高等法院审理。 原告代理律师事务所 Mishcon de Reya 高管理查德•洛伊德（Richard Lloyd）表示，谷歌的行为“严重失信”于 iPhone  用户，这是“我经历过的最大案件”之一。 洛伊德说，“ 通过这一诉讼，我们将向谷歌和其他硅谷科技巨头发出一个强烈信号，如果我们的法律遭到践踏，我们不惧怕反击。我几乎从未见过如此大规模地滥用他人信任的行为，单靠一名名用户很难保护他们自己的权益。” 谷歌在发送给 BBC（英国广播公司）的声明中称，“这不是我们遭遇的第一起类似诉讼，以前我们曾应诉相似的诉讼。我们认为这一诉讼没有意义，我们将积极应诉。” 在 2012 年由美国联邦贸易委员会提起的一起类似诉讼中，谷歌以 2250 万美元“破财消灾”。 稿源：cnBeta，封面源自网络；

据外媒近日报道，11 月 16 日位于伦敦市中心最独特的俱乐部之一的牛津剑桥俱乐部总部发生计算机设备失窃案，包含 5000 多名会员个人详细信息的备用硬盘被盗或导致重大数据泄露，其中包括会员姓名，家庭和电子邮件地址，电话号码，出生日期，照片和一些银行账户详细信息。此外数据库中还包括有大约 100 名工作人员个人信息。 据报道，由于信用卡和借记卡信息没有存储在硬盘上，而且磁盘上的数据受到多层安全措施保护，他人获得用户敏感信息的机会较为渺小。调查显示，菲利普亲王和查尔斯王子都是荣誉俱乐部成员之一，所幸并没有受到盗窃行为的影响。 该俱乐部已经联系了警方，并聘请私人调查人员调查盗窃和违规行为。警方也正在检查俱乐部监控记录，筛查俱乐部人员的进出情况。目前俱乐部已经写信给其 5000 多名会员，提醒他们注意监控各自银行帐户、警惕可能发生的钓鱼欺诈事件。 消息来源：IBT，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。