美国大型三方电竞平台 ESEA 通过推特表示，曾在去年 12 月 30 日遭到黑客敲诈勒索攻击尝试。预计目前有 150 万条数据记录被泄露，百万玩家或受影响。由于泄露的数据记录为加盐加密哈希值，玩家数据可能并未被利用，但用户仍需尽快更换密码并注意防范网络钓鱼攻击。 被泄露的数据包括许多注册信息，如注册日期、城市、州或省、最后一次登陆、用户名、真实姓名、电邮地址、生日、邮编、电话、网址、Steam ID、Xbox ID 和 PSN ID 等等。尽管这些用户数据均可能面临泄露，但是密码并未存储在服务器的数据记录中，因此可以确保其安全。但是不排除黑客可能利用电邮、电话等方式进行网络钓鱼套取用户密码，希望用户引起警惕。 稿源：cnbeta，有删改；封面：百度搜索

瑞士威胁情报研究员发现可通过搜索引擎检索到 Box  云盘用户的机密文档数据。Box.com 认为这是用户无意中超额共享导致的。目前云盘已经改变了处理公开共享帐户和文件夹的方式，“修复”了这个问题。 Box 云盘是由美国 Box 公司提供的一个在线文件共享以及云内容管理服务平台，为企业、商务及个人用户提供个性化服务，包括无限制的存储空间、自定义与管理控制。 Box 允许帐户持有人发送“协作邀请” URL  链接，任何人可通过链接访问共享文件，并具有查看、下载、上传、编辑和重命名文件权限。在某些情况下，这些“协作邀请”链接可被 Google  、Bing 和其他搜索引擎爬取收录。 上周，瑞士电信威胁情报研究员 Markus Neis  发现 Box  云盘在处理云共享服务时存在漏洞，攻击者可以通过搜索引擎查询到 Box  云盘用户分享给特定用户的“协作邀请”链接。Neis 已经使用 Google  、Bing 和其他搜索引擎找到上万条“协作邀请”链接，这些 Box  云盘帐户或文档中大部分存储着“良性”数据，但部分账户中包含“机密”文件如敏感的金融和公司数据以及所有者不打算公开的隐私数据。研究员已经联系了戴尔科技公司、美国传媒和娱乐公司( Discovery Communications ）、生物技术公司 Illumina  ，告知其意外公开分享了部分敏感数据，这些公司也纷纷采取应急措施解决问题。 Box.com 称已重组了所有网页，确保“协作邀请”链接不会被 Google  搜索引擎收录。Box 已与 Google  联系，删除了已经收录的“公开”链接。Box.com 补充到，暴露给搜索引擎的“协作邀请”链接只是很小的一部分，公司将继续评估邀请链接的权限模型，确保此功能既方便使用又能保障安全性。 稿源：HackerNews.cc 独立翻译整理，封面来源：百度搜索。 转载或引用请注明 “转自 HackerNews.cc ” 并附上原文链接，违者必究。

五角大楼承包商 Protomac 意外发现泄露事件，军事特种作战司令部（ SOCOM ）医疗卫生专业人员的个人资料被大量曝光。泄露的数据库含 11 GB 明文、可公开访问的数据，如姓名、地址、社会安全号码和薪资，还包括至少两名经过绝密调查审核的特种部队数据分析师的姓名和家庭住址。 MacKeeper 研究员 Chris Vickery 发现了该漏洞并将情况报告给医疗解决方案公司 Protomac 。目前尚不清楚，为何可通过 Protomac 公司的 IP 地址访问不受保护的远程同步（ rsync ）服务。Vickery 先是电话联系了公司 CEO ，但似乎没有起作用，一小时后仍可访问数据库。于是，Vickery 联系了美国政府部门。半小时后，数据库被移除。 除了军方雇员信息，泄露的数据还包括 Protomac 公司的财务和会计信息。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，洲际酒店集团（ IHG ）近期正在调查美国部分酒店的客户消费后信用卡遭盗刷事件，酒店怀疑黑客通过某种手段获得了客户信用卡信息。 洲际酒店集团（ IHG ）总部位于英国，在全球 100 多个国家和地区经营着 5000 多家酒店，旗下酒店品牌有洲际酒店及度假村、皇冠假日酒店、智选假日酒店、英迪格酒店等。 上周，知名安全网站 KrebsOnSecurity 的调查员 Brian Krebs 收到多个金融机构反欺诈部门人士提供的信息，暗示犯罪分子通过洲际酒店集团系统的某些漏洞获取了客户信用卡信息，并进行了消费提现。对此，洲际酒店发言人表示，公司已经收到了类似的投诉，并已经雇佣了一家安全公司协助其调查事件真相。洲际酒店集团（ IHG ）还发表了以下声明：IHG 非常重视保护客户的支付卡数据。对于近期部分客户在酒店消费后信用卡遭盗刷的投诉，公司已经雇佣了安全公司进行调查。同时，公司建议个人应密切监控其支付卡消费帐单，出现问题及时和银行联系。 2016 年以来，拉斯维加斯硬石赌场酒店酒店、特朗普酒店、千禧酒店及度假村等公司都表示系统感染了 PoS 恶意软件，客户数据被窃取。随着元旦假期的来临，广大消费者需要提高安全意识，避免个人信息泄露。此外，应密切关注信用卡账户的资金变动。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

标志性收藏品纪念卡制造商 Topps 表示，黑客近期入侵了公司系统窃取了客户敏感的个人和财务信息。 Topps 是一家专业制作纪念卡的公司，市场遍布欧美、远东、澳大利亚和南非。产品包括《星球大战》、迪士尼系列、足球、棒球、篮球、曲棍球等各类体育卡片和其它收藏品。 Topps 公司称，10 月 12 日攻击者未经授权的访问了公司系统，可能获取了今年七月到十月期间购买产品的客户姓名、地址、电子邮件地址、电话号码、信用卡或借记卡号码、到期日期和信用卡验证号码等。目前安全漏洞已经被修复，公司已为客户提供一年的免费身份盗窃保护服务作为补偿。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 Daily Dot 报道，近日安全研究人员 Justin Schafer 发现内华达州医用大麻项目数据库中存在的一个漏洞。他利用这一漏洞就能获得 11000 多份当地民众的申请表格资料，其中包括了申请人的家庭住址、电话号码，甚至是完整的社会保险号。 据悉，这些表格属于那些申请希望能在内华达州各个大麻药房工作的民众，约有近 11700 人的生日、姓名及驾驶证号码等遭到了泄露。目前整个数据库已被下线。目前内华达州公共与行为健康部门尚未就此事发表评论。 稿源：cnbeta 有删改，封面来源：百度搜索

据外媒报道，华盛顿社区健康计划组织( CHPW ) 上周三开始向其 381534 位成员发送数据泄露通知书，泄露内容包括姓名、地址、出生日期、社会安全号码和医保信息，不包含就诊和信用卡信息。 CHPW 组织发言人表示， 11 月 7 日接到电话举报称机构计算机网络存在漏洞，暴露了参与社区健康计划的近 40 万现任和前任成员。 11 月 30 日经组织调查证实，提供网络技术服务的 NTT Data 公司使用了公开的 FTP 服务器导致数据泄露，而非黑客入侵，随后便迅速将详情告知联邦调查局和多个国家监管机构。12 月 21 日，组织开始向用户发送通知，并提供 12 个月的免费信用和身份监控服务，以确保个人信息的安全。 举报人 Justin Shafer 也在 twitter 上证实了消息。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，108 名洛杉矶政府工作人员遭到网络钓鱼邮件攻击，最终泄露了 756000 公民的个人信息。 洛杉矶政府办公室 16 日发布新闻稿证实，黑客入侵事件发生于今年 5 月 13 日，政府工作人员遭到尼日利亚黑客发动的钓鱼邮件攻击，108 名员工点击了邮件并提供了用户名和密码。由于职责需要，他们的账户存有机密客户、病人的个人信息。约 756000 人的个人信息被窃取，数据包括姓名、出生日期、社会保障号码、驾驶执照或州身份证号码、支付卡信息、银行账户信息、家庭住址、电话号码、医疗信息等。影响人群涉及评估师、行政长官办公室、公共医疗、卫生服务、人力资源等。 事发第二天，当地检察官办公室迅速成立网络调查反应小组调查该事件，并于 12 月 8 日逮捕尼日利亚黑客 Austin Kelvin Onaghinor 。他被指控九项罪名，包括未经授权访问计算机以及非法盗取身份信息。 洛杉矶政府办公室表示，尚没有证据表明任何被窃取的个人信息已经泄露。之前，为了秘密调查并没有提前通知受影响的民众，现在已开始逐步通知受害者。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，周一，黑客 Kapustkiy 利用 SQL 注入攻击入侵了斯洛伐克商务部网站（ www.scci.sk ）数据库，造成至少 4000 个用户数据泄露，被泄露的信息包括真实姓名、电子邮件地址、电话号码和加密过的密码。 黑客 Kapustkiy 表示选定斯洛伐克商务部为攻击目标并没有具体的原因，只是在网上碰巧扫描到该网站存在漏洞。入侵的动机仍是为了让管理员看到了数据泄露的后果，督促网站采取更加安全的措施保护用户数据。 此前，近期黑客 Kapustkiy 还利用相同的方式入侵了 阿根廷政府网站、委内瑞拉陆军网站、印度驻纽约大使馆等多个政府网站。 稿源：本站翻译整理，封面来源：百度搜索

上周三，美国联邦贸易委员会（FTC）已要求成人“交友”网站 Ashley Madison 支付 160 万美元罚款，因其未能保护好数据致使 3600 万用户资料泄露。 2015 年夏天，黑客盗取了 Ashley Madison 网站数据库，数据包括 3600 万用户用户名、密码和其他个人信息。黑客将数据公布在网上，多个 Ashley Madison 网站用户因忍受不了偷情行为被曝光为自杀、其他成员也遭到敲诈勒索。 2016 年 7 月联邦贸易委员会展开调查，以确定该网站是否存在安全保障不足、隐私保护不到位问题，以及调查网站是否遵守了约定：付 19 美元即刻永久删除用户资料。调查结果显示：网站未采取有效措施保护用户数据，且未遵守约定：付 19 美元删除个人资料，而是继续保存 12 个月。网站本将面临括 1760 万美元罚款，但最后考虑到网站无力支付，改成 160 万美元罚款。 稿源：本站翻译整理，封面来源：百度搜索