2007 年 6 月，国家标准与技术研究所（ NIST ）发布声明，指出网站应比对用户密码，查看这些密码是否已在互联网泄露，以确保它们完全独一无二。虽然大多数网站还没有提供这种功能，但现在 haveibeenpwned.com 网站创始人 Troy Hunt 推出了一个工具，您可以在其中检查自己常用的密码，看看它们是否已被盗用。 它的工作方式很简单。只需输入一个密码，并将它与一个超过 3.06 亿个密码的数据库进行比较，这些密码是在几年内收集的泄露密码。haveibeenpwned.com 网站还提供泄露密码数据免费下载，以便开发人员将其集成到自己的网站中。 用户可以尝试一下，但不要输入任何正在使用的密码。虽然网站学习保护私人数据非常重要，但同样重要的是个人可以实施良好的密码安全，或者让自己成为密码管理员，并为您访问的每个网站使用超复杂的密码。 稿源：cnBeta，封面源自网络；

当 65 万田纳西人在孟菲斯地区投票时，他们可能没有想到他们的个人资料最终会在拉斯维加斯凯撒皇宫的黑客会议上被展示出来。美国投票制度的优势在“笨重”的投票机，有助于防止大规模黑客入侵。但是，美国政府工作人员会将旧的投票设备拍卖给公众。 这次黑客们从eBay上购买了退役的 ExpressPoll-5000 投票机，他们发现政府工作人员没有将设备当中存储的选民信息抹去，这台机器当中存储了在田纳西州谢尔比乡村投票的 65 万 4517 人的个人记录，不仅包括名字，地址和生日，还包括政党信息，以及他们是否投票缺席，是否被要求提供身份证明等信息。 目前，ExpressPoll-5000 成为全国最受欢迎的投票机，安全专家表示，这种投票机退役之前没有正式的审核过程，检查投票机当中存储的信息是否已经抹去，因此无法估计有多少台投票机拍卖时无意中包含选民记录。 任何有权使用这种设备的人 – 无论是在选举日还是在家中使用 ExpressPoll-5000 ，都只需要中等的计算机技能来检查这些记录。它们存储在可移动存储卡上。任何人拉出驱动器并用计算机读取存储卡，将看到驱动器的内容，其中包括记录选民信息的数据库。 稿源：cnBeta、，稿件以及封面源自网络

据外媒报道，维珍美国航空在一封发给员工的邮件中证实，该公司于今年 3 月 13 日遭黑客入侵，或导致数千名员工数据泄露。目前，该事件仍在调查，可能有部分员工的登录信息或密码被连累。该公司并未透露有关攻击者的任何信息，而是强调正与执法机构合作，以确定事件如何发生。 维珍美国在信中写到： 2017 年 3 月 13 日，我们的数据安全团队在监测安全活动时发现，有潜在的未经授权者在访问维珍航空的某部分计算机系统。我们立即对此事作出了应对，包括启动我们的事件响应协议、以及采取措施来减轻对受影响个人的冲击。我们请来了网络安全鉴定专家调查此事，并向执法部门通报。即便如此，第三方仍有可能未经授权地访问到了维珍美国航空及承包商的部分员工信息。 ZDNet 援引该公司某发言人的话称，本次事件波及 3120 名维珍美国航空与承包商员工，他们的用户名和密码可能被盗。另有 110 名员工的个人信息可能被窃取，包括姓名、地址、社保号码、以及驾照等数据。尽管表示信用卡信息未被泄露，维珍美国航空还是建议员工定期检查银行和信用卡账单，以避免未经授权的项目。 此外本次事件仅影响该公司自身网络，并未波及客户数据或维珍美国航空的新主人。2016 年的时候，阿拉斯加航空以 26 亿美元的价格收购了维珍美国航空。 稿源：cnBeta；封面源自网络

由于信息安全措施不力和黑客攻击事件，过去几年里多数大型企业都丢失过敏感数据。近期，富国银行意外地向一名前理财顾问发送 1.4GB 包含 5 万名高净值客户信息的数据。这名前理财顾问加里·辛德布兰德（Gary Sinderbrand）正在对富国银行一名员工提起诽谤诉讼。他原本会收到与本案相关的电子邮件和其他文件，然而富国银行却将数万客户的机密信息，包括姓名、财务信息，以及社会安全号码发给了他。 报道称，受影响客户的投资资产达到数百亿美元。更糟糕的是，辛德布兰德的律师收到这些数据并未附以保密协议，或是由法官签署的保护令。这意味着，没有任何法律约束，可以阻止辛德布兰德发布这些信息。而如果他这样做，那么富国银行将承担责任。 发送这些文件的律师表示，这个错误来自于外部供应商。供应商应当过滤所有文件，只将与本案相关的文件发送给辛德布兰德。富国银行要求辛德布兰德退回这些数据，不过他的律师表示，辛德布兰德将确保这些信息安全，同时 “ 评估自己的法律权利和责任 ” 。 稿源：cnBeta、，稿件以及封面源自网络

据外媒 3 日报道，谷歌已向本公司的 Sabre 数据泄露事件潜在受害雇员发送通知提醒可能到来的欺诈活动。 今年 5 月，全球旅游业科技巨头 Sabre 在证监会文件中证实“已对未授权访问 Sabre Hospitality Solutions SynXis Central Reservation 系统订单支付信息事件展开调查。” 调查显示，入侵者在劫持 SynXis 系统内部账户后获取系统访问权限。 Sabre 在发送给受害者群体的一份声明中表示，“未授权访问已被关闭，尚未获得后续未授权访问相关证据。无法断定 SynXis Central Reservation 以外的其他任何系统受到影响。” SynXis Central Reservation 产品作为一项费率与库存管理 SaaS 应用目前被全球 32,000 多家酒店广泛采用。此次事件可能造成了非常严重的影响。 公司事后证实，黑客设法访问个人可识别数据、信用卡支付细节与其他信息。谷歌雇员当时正使用 Carson Wagonlit Travel（CWT） 提供的预订服务，而 CWT 采用的正是 SynXis 平台。 谷歌于 6 月 16 日从 CWT 处得知 Sabre 数据泄露事件后立即通过邮件告知受影响雇员：他们的姓名、联系人信息与支付信用卡细节可能已在事发期间（ 2016 年 8 月 10 日至 2017 年 3 月 9 日）被黑客掌握。 “我们近期了解到谷歌商旅酒店订单可能受到此次事件影响。我们的第三方供应商作为受害者通过电子预订系统为全球成千上万旅行社与酒店提供服务。值得注意的是，此次事件仅对谷歌采用的旅游供应商 CWT 造成影响，谷歌系统不受任何影响。” “Sabre 迄今仍未发现社保卡号、护照、驾照等信息遭窃取的证据。尽管如此，由于 SynXis CRS 对退房 60 天以上的客人信息采取删除处理，无法证实具体信息是否与受影响订单相关。” 出于保护考虑，谷歌选择向受影响雇员提供为期两年的身份保护与信用监控服务。目前，谷歌正与 CWT 与 Sabre 合作解决这一问题。 Sabire 特地雇佣网络安全公司 Mandiant 协助调查。该公司还将数据泄露事件同步给相关执法机构与支付卡品牌。 “我们通过第三方 AllClear ID 提供为期两年的免费身份保护与信用监控服务。此项服务期于期限内有效，可随时启用。” 原作者：Pierluigi Paganini，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据 securityaffairs 消息，英国政府网站 UK.gov 意外将其数据信息中心用户的详细信息暴露给第三方网站，其中包括用户姓名、地址以及加密过的密码信息。官方已通知用户重置密码。 来自政府数字服务部们的电子邮件显示，泄露数据涉及 2015 年 6 月 20 日以及之前注册的用户。目前当地政府已采取措施从公共领域移除数据，并表示暂未收到任何公民信息被滥用的报告。此外这一事件还被通报给数据保护监督信息专员办公室。 考虑到 2017 年英国政府网站 Data.gov.uk 每月访问量在 20 万次以上，此次事件或对英国公民造成严重影响。 稿源：据 securityaffairs.co 报道翻译整理，译者：FOX

据《 纽约时报 》23 日报道，俄罗斯黑客近期在暗网中出售数千名英国首席政治家、高级官员与外交官的登录凭证，其中包含电子邮件地址与登录密码等重要信息。尽管该数据已过时，但它仍存有潜在安全风险。 获悉，英国记者根据两张被盗数据清单发现 1000 名英国国会议员与议会工作人员、7000 名警察雇员以及 1000 余名境外政府官员的私人登录凭证。数据显示，英国内阁大臣、大使与高级警官的密码信息已遭黑客于暗网中进行私密交易。 安全专家推测，该清单疑似由过时数据库 LinkedIn 与 MySpace 组成，其主要风险可能与受害者使用相同凭证访问敏感系统与网络有关。有趣的是，尽管官方建议政府官员使用复杂密码进行设置，但数据分析显示，多数政治家的密码设置都极其简单，极易破解。 一旦登录凭据遭黑客窃取，网络犯罪分子就可实施高度针对性的网络钓鱼攻击活动，致使机密数据存在被盗风险。安全专家强烈建议重要官员更改登录密码，以防黑客再度窃取私密信息。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在共和国国家委员会签订的营销公司在一个可公开访问的亚马逊服务器上存储内部文件之后，本月份泄漏了超过 1.98 亿美国公民的政治数据。数据泄露包含大约 61% 的美国人大量个人信息。除了家庭地址，出生日期和电话号码之外，这些记录还包括政治团体采用的先进情绪分析来预测个人选民如何处理热门问题，如枪支所有权，干细胞研究和堕胎权，以及宗教信仰和种族。 Deep Root Analytics是一个保守的数据公司，用于确定政治广告的受众群体。UpGuard 网络风险分析师 Chris Vickery 上周在线发现了这些数据。超过 1TB 的存储在云服务器上，无需保护密码，任何人可以访问，这引起了重大的隐私问题，这对有恶意目的的人来说是有价值的。 根据联邦选举委员会的报告，RNC 根据联邦选举委员会的报告，支付了 Deep Root Analytics 983,000 美元，但其服务器包含来自各种其他保守方面的记录，其中包括数据信托（也称为 GOP 数据信托），共和党的主要投票者文件提供者。根据OpenSecrets.org 的数据，Deep Root Analytics 在 2016 年期间从 RNC 收到了 670 万美元，而其总裁 Johnny DeStefano 则担任特朗普的总统人事总监。 稿源：cnBeta，封面源自网络

全球领先密码管理服务提供商 OneLogin 于 6 月 1 日证实，公司在美国数据区域检测到未经授权的访问记录。目前，虽然 OneLogin 并未透露关于此次网络攻击事件的具体细节，但该公司发布声明表示大量用户数据已失密泄露。 OneLogin 是一家基于云密码管理与身份管理的软件公司，旨在提供一项 “ 确保所有用户、所有设备与每个应用程序之间的连接 ” 服务。 调查显示，该公司在美国数据中心提供服务的所有客户均受到影响，其数据信息已经失密。此外，被盗数据还包括 “ 解密加密数据的能力 ”。目前，OneLogin 已阻止未经授权的访问权限并积极与执法机构和安全公司合作调查此次事件影响程度。 OneLogin 为客户提供以下操作清单，致力保护自身数据并尽量降低安全风险： ○ 为所有客户强制重置密码； ○ 生成新安全凭证、OAuth令牌、以及用于应用程序与网站的证书； ○ 回收秘密存储在 OneLogin 中的安全记录。 安全专家提醒用户留意近期的网络钓鱼邮件，因为这通常是数据泄露后网络罪犯的下一步措施。网络钓鱼旨在窃取用户更多详细信息。 原作者：Swati Khandelwal，译者：青楚，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，最近，美国一国防部承包商被发现将政府的敏感数据储存在了未受保护的亚马逊服务器上。换言之，任何人都不需要密码就能访问来自国防部的信息。获悉，信息被储存在了一个公开访问的 S3 云端储存“桶”里。相关证据显示导致这一问题出现的源头来自一家叫做 Booz Allen Hamilton(BAH) 的情报与防御顾问公司。 BAH 跟隶属于国防部的国家地理空间情报局( NGA )签有一份价值 8600 万美元的合同。 上周，来自网络风险公司 UpGuard 的网络风险分析师 Chris Vickery 发现了这一漏洞并立即发邮件给 BAH 以及 NGA 提醒它们。NGA 在 10 分钟内对这些数据进行了保护。不过据外媒 Gizmodo 的说法了解到，BAH 储存在亚马逊服务器上的数据并未包含任何机密信息，但它们仍有足够多让那些想要进行不当行为的人的凭证。 稿源：cnBeta，封面源自网络