据 ABC 新闻报道，澳洲国民银行（NAB）意外将包含 60000 名海外客户个人详细信息的邮件发送到错误的收件地址，相关信息已经泄露。上周五，澳洲国民银行（NAB）承认工作失误致使客户信息泄露并对此向公众道歉。NAB 已经写信通知了受影响的客户，告知数据泄露的具体情况。电子邮件中包含的信息有姓名、地址、电子邮件、BSB 号码和账户号码，但邮件中不包含任何密码信息。 澳洲国民银行称，这是一起人为事故并非黑客入侵，受影响的客户都来自海外，澳大利亚本地用户不受影响。银行表示目前尚未看到受影响的帐户存在异常活动，银行将继续进行监测。在这批泄露的账户信息中，大约 40％ 的账户已经被注销或者超过 1 年没有使用。约 19000 个账户存款少于 2 美元。 澳洲国民银行已将事件详情通知澳大利亚信息专员办公室以及澳大利亚证券和投资委员会，并表示会深刻反省错误、改进和加强相关的流程处理。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，日前，LinkedIn 开始向 55000 位用户发出一封通知邮件，告知他们旗下在线教育网站 Lynda.com 发生数据外泄，曝光的数据包括用户的联系人、课程等在线学习数据。不过这家公司表示，未经授权的第三方入侵了数据库，目前还没有证据表明用户的密码也在泄露数据范围之内，它仅提醒用户近期要多加小心，并且也没有在邮件中要求他们更改密码。 Lynda.com 在 2015 年 4 月被 LinkedIn 收购。而在一周半前，微软刚刚以 262 亿美元完成了对 LinkedIn 的收购，这也意味着 Lydia.com 已经为微软持有。 除了通知邮件之外，LinkedIn 和微软都没有就这一数据泄露事件发表正式声明。 不过相对于最近火热的雅虎 10 亿账户数据泄露事件，和之前 LinkedIn 的上亿用户数据泄露来说，这还不算太严重。 稿源：cnbeta.com有删改，封面来源：百度搜索

前几日，雅虎官方证实 2013 年 8 月遭到另外一起入侵事件，导致超过 10 亿账号的登录凭证等铭感数据泄露。 据纽约时报最新报道，10 亿账户泄露数据自今年 8 月起已经开始以 30 万美元标价在暗网上出售，最可怕的是泄露数据已经被卖出去三份。安全公司 InfoArmor 的首席信息官 Andrew Komarov 表示其中两个是“垃圾邮件分发商”，另外一个买家被认为是网络间谍组织并很可能已经利用泄露数据发动了攻击。 安全公司 InfoArmor 猜测该黑客组织来自东欧地区，并确定被盗信息包括姓名、密码、电话号码、安全问题及相应答案。此外，泄露的数据中含 15 万美国政府和军方雇员账户，这也加大了网络间谍组织购买数据的可能性。 由于最近媒体的不断曝光以及雅虎重置密码的策略，泄露数据的价格也大幅下降，现在只需支付 2 万美元就可以获得完整的数据。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，近日黑客 Cryptolulz 入侵俄罗斯驻亚美尼亚大使馆网站(www.embassyru.am) 、泄露了部分数据信息。 黑客 Cryptolulz 是黑客组织“the Powerful Greek Army（希腊军团）”前成员，他在 Twitter 上表示已近成功渗透大使馆网站并接管一个包含 36 个表单的数据库 “a0014414_embassy”。 黑客 Cryptolulz 通过 SQL 注入漏洞入侵网站，并试图联系网站管理员，但没有收到任何回应。于是 Cryptolulz 决定公布包含了管理员和编辑的 “user” 表单，泄露数据包括电子邮件、登录名、密码、最后登陆 IP 地址和日期、文件创建日期等。数据中或包含机密信息，Cryptolulz 表示将会避免泄露其他成员的信息。 Cryptolulz 的行为与黑客 Kapustkiy 相似，利用 SQL 漏洞入侵网站、获取数据库数据并联系管理员。 Kapustkiy 近日曾宣布加入黑客组织“希腊军团”，而Cryptolulz 却早已离开并加入另一个黑客组织“ Fallensec ”。此前黑客 Kapustkiy 也入侵了俄罗斯驻荷兰大使馆领事馆 (ambru.nl) ，公布部分护照号码和个人信息。 稿源：本站翻译整理，封面来源：百度搜索

雅虎官方证实超过 10 亿用户帐户在 2013 年的 cookies 伪造攻击中失窃。这起事件与之前披露的 5 亿用户帐户失窃不相关。 雅虎官方表示，内部安全人员发现了一些新的证据，表明公司还遭受过另外一次网络攻击。目前，10 亿数据尚无公开下载的渠道，泄漏事件是由雅虎官方自查发现并主动告知用户。 雅虎称，未经授权的第三方在 2013 年 8 月窃取了超过 10 亿账号的数据，失窃信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5 未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎解释密码并非明文，但 MD5 哈希密码早就被认为不再安全。 雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造 cookies，然后利用伪造的 cookies 不用密码就能访问用户帐户。 雅虎已让伪造的 cookies 失效。它表示在 2013 年夏天开始使用 bcrypt 哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知是否会影响到 Verizon 的收购。 稿源：solidot奇客有删改，封面来源：百度搜索

国家电网面向 4 亿用户推出的掌上电力 App，如今正成为数据黑色产业链觊觎的对象。近日，有知情人士向 21 世纪经济报道爆料：“掌上电力、电 e 宝 App 正在出现数据泄露，涉及用户规模已经超过千万级，而且部分数据可能已经流入黑产，危害持续扩大。” 掌上电力系国内首批电力便民服务类 App，注册用户可以通过该 App 进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。2016 年 11 月开始，国家电网在全国 27 个省（市、区）开始全面推广掌上电力，目前已拥有接近 9000 万用户。 知情人士透露，“掌上电力开始面向消费者推广时，淘宝上就开始出现了大量提供 ‘掌上电力绑定’ 服务的店铺，他们给各省电力公司提供关注、注册、绑定等服务，为各省的掌上电力迅速增加‘用户量’。” 记者以关键词“掌上电力”在淘宝搜索，共发现 180 多个店铺，其中销量较高的 72 个店铺历史销量总计 831807 笔，产品中包括关注、注册、绑定三类。 国家电网已向淘宝举报 12 月 9 日，国家电网已经向淘宝官方提起投诉、举报，但至 12 月 12 日下午 14 时，掌上电力绑定服务仍未下架。 12 月 12 日 15：40 之后，21 世纪经济报道记者搜索“掌上电力”，大量宝贝已被下架，此前记者统计过的销量较高的宝贝均显示“商品过期不存在”。但仍然有 70 多个宝贝出现在搜索结果中，而且，记者统计过的 72 家店铺均未被关闭，已经有店铺通过更改宝贝图片、夹带关键词等方式逃避审批，上述使用淘宝直通车服务的商户，仍然排在广告栏的首位。 官方否认大量信息泄露 近日国家电网对外联络部回应称：“经查证，根据目前掌握的实际情况和公司现有的技术管控手段，在推广掌上电力、电 e 宝 App 过程中不存在泄露大量户号、查询密码、详细地址的情况。” 稿源： 21 世纪经济报道 节选，有改动与更新，封面：百度搜索

12 月 10 日有媒体散布“京东 12G 数据泄露，涉及千万账户”消息，宣称被泄露的数据包含用户名、密码、QQ号、邮箱、电话、身份证诸多个人信息。京东官方 10 日晚间发布公告表示，初步判断被泄露数据源自 2013 年 Struts 2 的漏洞问题。 京东官方称内部初步调查显示，2013 年 Struts 2 漏洞爆发时安全部门就已迅速完成了系统修复，同时针对可能存在风险的用户进行了安全升级提示，当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。” Struts 为 Apache 基金会赞助的一个开源项目，Struts 框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用。2013 年 7 月 17 日，Apache Struts2 发布漏洞公告，称其 Struts2 Web 应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道，包括电商、银行、政府等诸多网站均受影响。 商场如战场，双 12 前夕“正巧”爆出数据泄露事件实在是耐人寻味。 稿源：据 cnbeta 整理，有改动； 封面：百度搜索

据外媒报道，流行的视频共享平台 DailyMotion 遭黑客入侵，数千万用户的信息被盗。数据泄露索引服务公司 LeakedSource 周一宣布，已发现 Dailymotion 公司泄露的 8520 万条用户记录。 Dailymotion 是仅次于 YouTube 的全球第二大视频网站。截至 2010 年 10 月，该网站获得每月超过 9300 万的访问者，alexa 排名第 32。 根据 LeakedSource 透露，DailyMotion 数据泄露事件可能发生在 2016 年 10 月 20 日，这意味着黑客可能已经在地下论坛转售了一个多月的数据，泄露的数据包括 8520 万账户的的电子邮件地址和用户名。其中约 20％ 的帐户（超过 1800 万用户）包含有密码，密码使用 Bcrypt 散列算法保护，且被反复用 Bcrypt 算法进行了十轮，在一定程度上黑客很难去破解。 目前，视频共享平台 Dailymotion 未对该事件发表任何评论，尚不清楚黑客通过何种方法入侵数据库。 用户可以登录 LeakedSource 查看自己的邮箱是否被收录，如果存在，请建议您尽快更改您的密码。 稿源：本站翻译整理，封面来源：百度搜索

据外媒 Motherboard 报道，近 38 万色情网站 xHamster 帐户的详细信息正在地下数字世界销售，泄露的数据库信息包括用户名、电子邮件地址和 MD5 哈希密码。 XHamster 是国外一个免费色情影片分享网站，允许用户上传自己的视频、发表评论、创建播放列表或保存。 让人意外的是，数据库中号包含 40 个属于美国军方的电子邮件地址，以及 30 个和美国、英国和其他国家政府机构相关的电子邮件地址。 据知情人士透露，泄露的数据库来源于今年年初 xHamster 遭入侵事件。但该网站此前解释说，没有数据被泄露，所以还不确定黑客如何获得数据库信息。Motherboard 称为验证数据的真实曾试图使用该数据库泄露的 50 电子邮件地址创建新的 xHamster 帐户，但注册消息显示，这些邮箱已经被注册使用。 xHamster 网站对相关报道做出回应称，正在交易的数据库泄露信息对用户不会造成影响，所有的密码都经过算法加密。因此，所有的密码是安全的，用户数据也是安全的，黑客只能获取用户名和电子邮件地址。 有消息人士指出，密码虽然是 MD5 值，但仍可以通过手段得出账户相应的密码。所以，在黑客破解加密之前，用户应及时更改密码。 稿源：本站翻译整理，封面来源：百度搜索

最近一直很活跃的黑客 Kapustkiy 宣称，又一次使用 SQL 注入漏洞成功入侵了印度两个高级委员会的数据库。该数据库包含用户的个人信息，包括真实姓名、电话号码和电子邮件。 攻击目标信息 1、www.ghana-mission.co.in，数据库：jadon_ghana 2、www.indianhighcommissionfiji.org，数据库：jadon_hcfiji 此前，他就是因入侵印度驻外大使馆多个员工数据库而“一炮走红”，此后他又进行了一系列的入侵行动，目标除了政府机构，还有教育机构。详情可在本站搜索“ Kapustkiy ”。 Kapustkiy 称 他发动攻击是因为政府官员无视网络安全问题，泄露部分数据旨在督促管理员及时修复漏洞。但是很遗憾，官方没有重视暴露的安全问题，漏洞仍可复现。 此外，他还宣称已经加入了黑客组织“ Powerful Greek Army ”，并发表免责声明：禁止他人滥用、转载泄露数据，行动目的只是为了让管理员意识到网站的安全问题。 稿源：本站翻译整理，封面来源：百度搜索