首席大法官黛布拉·托德 (Debra Todd) 表示，恩西瓦尼亚的法院系统遭受了分布式拒绝服务 (DDoS) 攻击，并且正在遭受中断。 由于此次攻击，宾夕法尼亚州法院网站的部分内容目前已关闭，托德表示，联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 都参与了恢复工作。 她在周一下午的一份声明中表示：“仍然没有迹象表明任何法庭数据已被泄露，我们的法庭仍然开放并向公众开放。” 该州周日晚上宣布面临服务中断。律师使用的电子归档系统以及跟踪指定监护人等的其他关键系统不可用。网络摘要系统也已关闭。 用于法庭付款的系统——包括罚款、赔偿、保释和登记——也无法使用。该州的执法机构仍然可以使用包含逮捕令和刑事投诉信息的网站。 法院官员没有回应关于是否就 DDoS 攻击提出任何要求或赎金的置评请求。他们也没有透露 DDoS 事件是否与另一场专门针对华盛顿宾夕法尼亚县的网络攻击有关。 1 月 28 日，该县官员向该州最高法院发出紧急信息，宣布“该地区进入司法紧急状态”，并解释说“该地区发生了一起严重事件，导致该县的大部分技术基础设施无法访问”和/或无法操作。” “司法区的技术与县的技术交织在一起，由县的信息技术人员维护；从而使法院依赖于该县的技术资源，”华盛顿县主席法官加里·吉尔曼说。 1 月 24 日上午 10 点，县官员切断了他们与法院网络和服务器的连接，切断了他们与电子邮件、录音系统、陪审团管理平台、案件管理文件等的联系。在网络安全专家清理这些设备之前，任何人都不能使用法院发放的计算机。 吉尔曼表示，法院一直在努力运作，他补充说，1 月 24 日至 28 日期间几乎没有任何进展。 “目前尚不清楚司法区的技术资源何时能恢复到可运行状态。吉尔曼写道，司法区有可能会因为这一重大事件而遭受一定程度的数据丢失。他指出，法院聘请了律师和数字数据取证公司 Sylint 来帮助他们。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 向 Recorded Future News 证实，他们正在与宾夕法尼亚州法院合作，并“随时准备提供 CISA 的任何可能有帮助的服务。” 一位 CISA 官员指出，他们就联邦和州机构如何预防和应对持续的 DDoS 攻击（有人通过超载请求而导致服务不堪重负）提供了大量指导。 去年 3 月，威斯康星州法院系统也遭受了 DDoS 攻击，导致其大部分数字系统瘫痪。 美国州级法院继续面临前所未有的严重网络攻击，需要数月时间才能恢复。 佛罗里达州、路易斯安那州、俄亥俄州、内布拉斯加州、德克萨斯州、密苏里州、堪萨斯州和伊利诺伊州的法院今年都处理过数据泄露、勒索软件事件或分布式拒绝服务攻击，这些攻击限制了运营并造成了重大问题。 堪萨斯州最高法院首席大法官玛拉·卢克特 (Marla Lucert)在州立法机构面前的年度演讲中，重点讨论了从 10 月份开始席卷整个法院的毁灭性勒索软件攻击。 她说，针对他们的俄罗斯勒索软件团伙“攻击了我们的民主机构之一，这是我们民主社会的基础，也是我们政府的三个分支之一”。   转自安全客，原文链接：https://www.anquanke.com/post/id/293143 封面来源于网络，如有侵权请联系删除

据Inforisktoday消息，英国立法者正在推进《调查权力法案》的更新，允许英国情报机构大规模收集数据，尽管受到了隐私倡导者、监管团体和科技公司越来越多的批评，但该法案近期仍通过了议会的进一步审查。 《调查权力法案》于 2015 年问世，因涉及大规模搜集公民数据，民间将其视为“窥探者宪章”，该法案在2016年进行过一次更新。而此次下议院批准的修订后法案，保留了允许英国情报机构大规模收集大量公共数据集的条款，其中包含“谁、何地、何时、如何以及与谁进行通信” 。 该法案还授权执法机构从第三方电信服务提供商处批量收集数据，包括互联网连接记录，例如用户访问的网站的详细信息，这使执法机构能够在用户的 IP 级别处理进一步的数据。 在听证会上，保守派议员兼该法案联合报告员安德鲁·夏普表示，修改后的提案将为英国情报部门提供“维护国家安全的工具”，同时确保执法部门在适当的情况下提出信息请求，以适当的方式将隐私置于核心位置。 听证会结束后，科技行业机构 TechUK 迅速批评该提案，担心该法案可能阻碍“旨在改善消费者隐私、诚信和安全的技术进步”。TechUK 表示，公司的注意力必须转移到满足政府的监控需求上，而不是专注于改善用户隐私和安全。 科技巨头苹果公司也对此提出异议，它告诉英国广播公司，该提案可能允许英国政府“秘密否决全球新的用户保护措施”，这将阻止该公司向其用户推出安全更新。 内政部发言人淡化了这些担忧，称政府支持“创新和隐私”，但表示合法的通讯渠道对于识别儿童性虐待者和恐怖活动至关重要。发言人告诉信息安全媒体集团：“我们一直明确表示，我们支持技术创新以及私有和安全的通信技术，包括端到端加密，但这不能以牺牲公共安全为代价。” 该修订该法案的推动力源于 2023 年 6 月英国议员大卫-安德森（David Anderson）对 2016 年《调查权力法》的审查。一份名为《安德森勋爵报告》（Lord Anderson report）的审查报告称，2016 年版本法律对批量个人数据集处理的限制阻碍了英国情报机构收集大量公共数据集。 目前，批量个人数据集的处理受到 “三重锁定 “授权的限制，要求情报机构首先从国务大臣那里获得拦截或设备干扰的授权令，然后，该授权令必须得到司法专员的批准，并最终得到首相的批准，且授权令的有效期只有 6 个月。他认为，这些限制不利于快速地侦测犯罪和破坏威胁，反过来又对国家安全构成了威胁。 报告还指出，目前一些科技公司推出的端到端加密技术也妨碍了情报机构及时收集数据。 报告建议进一步修订该法案，包括引入新的 “隐私期望值低或无隐私期望值 “的批量个人数据类别，延长数据保留时限，以及对司法专员这一角色进行重新修订。 针对这些建议，立法者提出了最新的法案，对大量个人数据集的范围进行了修订。根据修订后的法案，批量个人数据集可包括任何经同意共享的公共领域数据，包括官方记录、有声读物和播客，以及从在线共享视频中获取的内容。 修订后的提案还将允许情报部门负责人授权收集和处理数据，设立新的调查权力官员，该官员可以提名执法机构的个人担任司法专员一职。法案还建议将截获和保留数据的时间延长至 12 个月。 该法案还取消了先前条例中为确保新闻信息来源安全而设置的保障措施，允许执法机构 “识别任何机密新闻材料 “或 “识别或确认新闻信息来源”。 国际隐私组织（Privacy International）政策官员莎拉-西姆斯（Sarah Simms）表示，政府正在利用拟议修正案淡化《2016 年互联网安全法案》（IPA 2016）中规定的现有保障措施，以减轻执法机构的行政负担。她认为这些措施需要加强，而不是淡化。   转自Freebuf，原文链接：https://www.freebuf.com/news/391658.html 封面来源于网络，如有侵权请联系删除

总部位于美国的拼车公司 HopSkipDrive 遭第三方数据泄露，导致用户驾驶执照号码泄露。 HopSkipDrive是一家主要服务于儿童和老年人的公司，最近遭受了第三方数据泄露事件。据称，攻击者于2023年5月底入侵了HopSkipDrive使用的第三方应用程序，并在系统中滞留了近两周。 据该公司称，可能泄露的信息包括用户名、邮寄地址、电子邮件地址，以及驾驶执照号码或非驾驶员ID号码。该事件影响了超过约15.5万人。 暴露的驾驶执照和身份证号码可能被用来进行网络欺诈，给受害者带来严重的安全风险。 HopSkipDrive成立于2015年，为美国校车系统之外的地区的儿童和老年人提供乘车服务。该公司的合作伙伴包括丹佛公立学校、加利福尼亚县、联邦路公立学校以及其他组织。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

The Hacker News 网站消息，美国中央情报局（CIA）一名前软件工程师 Joshua Adam Schulte 因向维基解密传送机密文件和儿童色情材料，被纽约南区法院（SDNY）判处 40 年监禁。 Joshua Adam Schulte 现年 35 岁，2018 年 6 月受到警方指控，2022 年 7 月被法院判处有罪，2023 年 9 月 13 日，又因接收、拥有和运输儿童色情材料的指控被定罪。除刑期外，Schulte 还被判处终身监外执行。 美国司法部（DoJ）表示，Schulte 的窃密行为引发了中情局历史上最大的数据泄露事件，之后又将窃取的信息传送给维基解密的行为，是美国历史上最大的未经授权的机密信息泄露事件之一。（Schulte 分享的敏感信息包括一批被称为 Vault 7 和 Vault 8 的黑客工具和漏洞，维基解密从 2017 年 3 月 7 日开始公布这些信息，共历时了 8 个月） 2012 年至 2016 年期间，Schulte 受雇于网络情报中心（CCI）担任软件开发人员，负责开发与中情局开展的进攻性网络攻击行动有关的工具，2016 年，Schulte 滥用管理员权限掠夺了 “整个 CCI 工具开发档案的副本”。 被盗的资料具体包括 “收集针对美国对手的外国情报 “的方法，网络武器库和零日漏洞，美国方面可以利用这些资料入侵汽车、智能电视、网络浏览器以及广泛使用的桌面和移动操作系统。检察官指出，此次数据泄露事件可谓是 “数字珍珠港 “，致使美国中情局损失了 “数亿美元”，”严重损害了美国国家安全，并直接危及中情局人员的生命安全”。 2017 年 3 月，警方对 Schulte 在纽约的公寓进行了突击搜查，发现了一批儿童性虐待材料（CSAM），包括约 3400 张图片和视频，其中一些是他在中情局工作期间从暗网和俄罗斯网站上收集的。 候审拘留期间，警方还发现 Schulte 在狱中使用违禁手机创建匿名、加密电子邮件和社交媒体账户，并试图向维基解密传送受保护的秘密材料，发布有关中情局网络技术和工具的机密信息。 值得一提的是，司法部引用了 Schulte 的日记，其中写道 Schulte 的目标是 “破坏外交关系，关闭大使馆，结束美国在全世界的占领。   转自Freebuf，原文链接：https://www.freebuf.com/news/391384.html 封面来源于网络，如有侵权请联系删除

多年来，渗透测试公司Pen Test Partners的网络安全研究人员致力于测试各种电子飞行包（EFB）、物联网和车载应用程序的安全性。基于深入研究，他们发现了空客Flysmart+管理套件中的一个重要漏洞，并在漏洞披露后的19个月内进行了修复。 Flysmart+ 是空客旗下的IT服务公司NAVBLUE专为飞行员电子飞行包（EFB）设计的应用程序套件，用于同步和安装航空公司数据到其他应用中。而电子飞行包主要用于存储关键的飞行数据和信息，用途尤其重要。 2024年2月1日，Pen Test Partners发表的研究表示，该套件中的一个iOS应用程序故意禁用了应用传输安全（ATS）功能。这一问题容易使应用程序受到Wi-Fi拦截攻击，从而干扰发动机性能计算，导致机尾撞击或跑道偏离事故发生，并且现行的标准操作流程可能无法有效检测出任何篡改行为。 之前，Flysmart+应用程序由于缺乏ATS（应用传输安全）保护而被禁用。ATS保护的目的是防止未加密的通信，因为缺乏该功能，不安全的通信就会发生，Flysmart+允许攻击者拦截并解密传输中的敏感信息。在info.plist文件中，一个设置项允许应用程序加载任何域的不安全的HTTP内容。 航空公司通常为中转停留的飞行员安排同一家酒店，使得攻击者可以通过定向的Wi-Fi网络修改飞机的性能数据。Pen Test Partners利用这一机会访问了NAVBLUE服务器上的数据，包括含有飞机信息和起飞性能数据（PERF）的SQLite数据库，以及具有特定表名的数据。 研究员从NAVBLUE服务器下载的数据 需要注意的是，数据库表对于飞机性能至关重要，包括最小设备清单（MEL）和标准仪表离场程序（SID）。比如吉姆利滑翔机燃油耗尽事件中对MEL和SID的误解。另外，像美国加仑、英制加仑、升、千克和磅单位之间的混淆也可能造成安全问题。 渗透测试合作伙伴安东尼奥·卡西迪表示：“我们已经与波音、汉莎航空和空客合作就安全漏洞进行了披露，并且成功修复这一漏洞，对我们而言，这是航空安全性和保障性的一大进步。” 2022年6月28日，研究人员向空客提交了漏洞报告，空客在次日确认了这一漏洞。直至2022年7月25日，该公司复现了这一漏洞，并承诺将在2022年底之前在Flysmart+新版本中修复此漏洞。 2023年2月22日，空中客车VDP（漏洞披露计划）团队确认已在Flysmart+的最新版本中修复了该漏洞，并于2023年5月26日向客户通报了缓解措施。这些研究成果在2023年于拉斯维加斯举行的DEF CON 31安全会议以及在都柏林的航空村和航空信息共享与分析中心（Aviation ISAC）上进行了展示。   转自Freebuf，原文链接：https://www.freebuf.com/news/391264.html 封面来源于网络，如有侵权请联系删除

HHS 获悉，近 400 万 Concentra Health Services 患者受到 PJ&A 数据泄露的影响。 针对医疗转录公司 Perry Johnson & Associates (PJ&A) 的攻击后来成为 2023 年美国卫生部门最大的数据泄露事件。 总部位于内华达州的 PJ&A 为全国各地的医疗机构提供转录服务，这意味着它存储了数百万美国人的敏感数据。 该公司于去年 3 月 27 日至 5 月 2 日期间遭到黑客入侵，身份不明的网络犯罪分子于 4 月 7 日至 4 月 9 日期间从其系统中窃取了个人数据。PJ&A 随后披露，该漏洞影响了超过 895 万人。 该公司的一些客户分别报告了其对患者的影响，PJ&A 持有这些患者的数据。其中包括总部位于芝加哥的库克县卫生局 (CCH)，该公司表示，由于此次数据泄露事件，该公司的服务受到影响，120 万名患者受到影响，该公司已停止使用该公司的服务。 纽约最大的医疗保健提供商 Northwell Health 最初表示，其 390 万名患者受到影响，但在随后的声明中没有提及具体数字。 本月早些时候，P&J 的另一家客户 Concentra Health Services 通知美国卫生与公众服务部(HHS)，此次数据泄露事件影响了 3,998,162 名患者。 Concentra 是一家职业健康保健服务提供商，在全国运营着 540 个医疗中心，并在雇主所在地设有 150 个现场诊所。 该公司在其网站上的一份通知中表示，受 PJ&A 数据泄露事件影响的患者应“通过审查其账户对账单、信用报告以及对异常活动的福利表格的解释，保持警惕，防止身份盗用事件，并发现错误。” HCA Healthcare 数据泄露事件成为 2023 年行业最严重的数据泄露事件 7 月，田纳西州 HCA Healthcare 遭受网络攻击，导致超过1100 万份患者记录被盗，被认为是 2023 年最广泛的卫生部门数据泄露事件。Concentra 最近的 HHS 通知使受 PJ&A 数据泄露事件影响的患者总数超过 1400 万。 PJ&A 此前表示，虽然黑客窃取的详细信息因患者而异，但被泄露的信息可能包括患者的姓名、出生日期、地址、病历号码、医院账号、入院治疗时的诊断结果以及住院日期和住院日期。他们接受治疗的次数。 其他可能泄露的数据包括社会安全号码、保险详细信息以及医疗转录文件中的临床信息，例如测试结果、药物、治疗设施和医疗保健提供者的名称。 根据向 HHS 提交的报告，本月将量化的另一起重大卫生部门数据泄露事件是对科技公司 HealthEC 的攻击。该漏洞发生在去年 7 月，根据本月 HHS 提交的文件，影响了与 18 家医疗服务提供者签约的患者的450 万条记录。   转自安全客，原文链接：https://www.anquanke.com/post/id/293041 封面来源于网络，如有侵权请联系删除

Cybernews网站消息，近日，一名攻击者在知名数据泄露论坛上发布了一条帖子，售卖5000万Europcar客户的个人资料。发布该帖子的攻击者声称，获取的敏感信息包括用户名、密码、家庭地址、护照号码等详细信息。 然而，Europcar否认了攻击者出售的数据来源于该公司的说法。 Europcar是一家总部位于法国巴黎的欧洲汽车租赁公司，为全球140个国家提供租赁服务。该公司拥有近9000名员工，2022年报告收入为14亿欧元，折合人民币108亿。 Europcar在接到威胁情报服务通知，称有人在暗网上出售有关该公司的数据后，该公司立即对样本中的数据进行了详尽核查，确信帖子中的数据是假的。 Europcar进一步指出，帖子所提供的记录数量与公司实际持有的记录数量不符，这些记录本身就存在矛盾。举例来说，数据样本中的电子邮件地址在Europcar的数据库里完全查找不到。 声称数据泄露的帖子 该公司表示，样本数据很可能是ChatGPT生成的。地址不存在，邮政编码不匹配，姓名与电子邮件地址不一致，甚至电子邮件地址使用了一些非常不常见的顶级域名（TLDs）。 Cybernews研究团队也对攻击者提供的数据样本进行了研究，证明了样本中用户名与电子邮件地址不相符，且包含了一些不存在的邮政编码属实。 此外，样本数据显示许多人出生于美国，但他们使用的电子邮件域名却来自一些名声不佳的电子邮件服务提供商，这种情况对于正规的汽车租赁服务用户而言并不常见。 目前，无法确定数据是否被盗，但可以肯定的是，攻击者提供的数据样本并不可信。   转自Freebuf，原文链接：https://www.freebuf.com/news/391137.html 封面来源于网络，如有侵权请联系删除

国际金融科技公司 Direct Trading Technologies 泄露了超过 30 万交易者的敏感数据和交易活动，使用户面临账户被盗的风险。 10 月 27 日，Cybernews 研究团队发现了一个配置错误的 Web 服务器，其中包含据称属于金融科技公司 Direct Trading Technologies 的备份和开发代码引用。 Direct Trading Technologies (DTT) 是一家国际金融科技公司，提供股票、外汇、贵金属、能源、指数、差价合约 (CFD) 和加密货币的交易平台。此外，DTT 还为金融科技解决方案提供白标服务。 目录列表 虽然主要客户位于沙特阿拉伯，但该公司在英国、立陶宛、阿联酋、科威特、哥伦比亚、土耳其、巴林、黎巴嫩和瓦努阿图共和国均设有办事处。 发现的目录包括多个数据库备份，每个备份都包含有关公司用户和合作伙伴的大量敏感信息。从身份盗窃到交易者账户的接管和兑现，此次泄密事件带来了多种风险。 Cybernews 联系了该公司并告知了调查结果，虽然问题已得到解决，但尚未收到该公司的官方回应。 敏感数据泄露 泄露的数据包括过去六年超过 30 万用户的交易活动，以及姓名、电子邮件地址、公司发送的电子邮件和 IP 地址。 持有公司电子邮件地址的用户（可能是员工）的密码以明文形式暴露，用于访问 DTT 交易平台用户帐户的哈希密码也被泄露，一些客户的家庭住址、电话号码和部分信用卡信息被泄露。 泄露数据的列表包括： 交易账户活动 DTT 发送的电子邮件内容 用户 IP 地址、电子邮件、用户名和明文密码 外展电话注意事项 名称 电子邮件地址 电话号码 家庭住址 哈希密码 白标客户的数据库端点和明文凭证（端点受IP白名单保护） KYC 文档的存储位置、文件名、类型、到期日期和其他元数据 虽然KYC文件没有被公开，但泄露的文件的存储位置和其他元数据均已被泄露。 使用白标服务客户的凭据以明文形式公开，数据库位置和协商佣金百分比的详细信息也被详细展示。泄露的数据还包含该公司外展团队对其拨打的电话的内部评论。 转自安全客，原文链接：https://www.anquanke.com/post/id/293006 封面来源于网络，如有侵权请联系删除

近日，RedHunt 实验室的研究人员发现，梅赛德斯-奔驰无意中留下了可在线访问的私钥，暴露了内部数据，包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。 梅赛德斯-奔驰（Mercedes-Benz）是德国著名的汽车、公共汽车和卡车制造商，以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。 与许多现代汽车制造商一样，奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理，以及电力和电池管理（电动汽车）等软件工具。 2023 年 9 月 29 日，RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌，该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道：GitHub 令牌允许’不受限制’和’不受监控’地访问托管在内部 GitHub 企业服务器上的全部源代码。 该事件导致存放大量知识产权的敏感存储库数据泄露。其中，被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。 源代码泄露可能会导致竞争对手对专有技术进行逆向工程，黑客很可能通过这种方式发现汽车系统中的潜在漏洞。此外，API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。 RedHunt 实验室还提到，如果被暴露的存储库中包含客户数据，则有可能触犯法律，比如违反 GDPR。不过，研究人员尚未验证被暴露文件的内容。 RedHunt 在 TechCrunch 的帮助下，于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件，并在两天后撤销了该令牌，阻止了所有持有和滥用令牌者的非法访问。 这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露，由于 GitHub 访问密钥被暴露，客户个人信息在长达五年的时间里仍可被公开访问。 只有当 GitHub 的所有者激活了审计日志，通常包括 IP 地址，才会产生恶意利用的实质性证据。 关于此次事件，梅赛德斯-奔驰公司的具体回复如下： 目前可以确认的是由于人为错误，奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。 并且该令牌允许外部人员访问一定数量的仓库，但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌，并立即删除了公共存储库，所以目前客户数据未受影响。- 梅赛德斯-奔驰 出于安全原因，梅赛德斯奔驰方面表示并不想分享该事件的技术细节，因此目前还不清楚他们是否检测到了未经授权的访问。此外，该公司还表示，他们愿意与全球研究人员合作，并通过漏洞披露计划接受安全报告。   转自Freebuf，原文链接：https://www.freebuf.com/news/391047.html 封面来源于网络，如有侵权请联系删除

在嗨吃火锅的时候，作为会员的你要注意，你的手机号码等个人信息正在“裸奔”中。 1月29日，上海市网信办通报称，已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。记者通过采访了解到，作为火锅界“顶流”的某知名火锅连锁品牌赫然在列。 据上海市网信办通报，上述知名火锅连锁品牌违法违规行为集中体现在两个环节：在收集个人信息环节，其外送微信小程序仍在强制索取精准位置信息；在存储个人信息环节，其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储，“多年来一直处于‘裸奔’状态”。 “这是对消费者最直接的风险，一旦信息发生了泄露，可能会造成无法挽回的损失。”上海市网信办相关负责人指出。 “裸奔”的会员信息 据上海市网信办介绍，上述知名火锅连锁品牌违法违规行为的查实是在2023年10月底至11月。为切实巩固“亮剑浦江”个人信息权益保护专项执法行动成效，上海市网信办其间启动了“回头看”执法检查，该火锅品牌系执法检查对象之一。 在对外发布的通报中，上海市网信办称，该火锅品牌1.5亿条会员个人信息及18万条员工信息未采取相应的加密措施。 澎湃新闻进一步获悉，1.5亿条会员个人信息涉及的对象为该火锅品牌创设至今收集的中国大陆地区会员，主要为会员的手机号码、邮箱号码等。而18万条的员工个人信息甚至包括姓名、身份证号码、手机号码、家庭地址等在内的比较敏感的个人信息。 公开资料显示，作为知名连锁品牌，该火锅品牌创设至今已近30年，在中国大陆地区的餐厅更是超过千家。 对上述个人信息未加密、处于“裸奔”状态的隐患，据不愿透露姓名的业内专家分析，未加密的个人信息存在被“内鬼”等盗取的危险。而通过“内鬼”泄露而收集到的这些真实手机号码，能偷窥到会员的消费习惯。如果结合在“暗网”售卖的其他数据源，就能更精准地对用户进行画像。 上海市网信办相关人员补充说，泄露的个人信息还有可能被用于电信诈骗，“通过对个人信息的分析研判，电诈涉案人员可以判断出你是否属于容易上当的特殊人群”。 失范的“超级管理员” 如果说1.5亿条的会员个人信息和18万条的员工信息，因为未加密存在泄露的风险，那么该知名火锅连锁品牌超范围赋予的“超级管理员”则进一步加剧了信息泄露的风险。 因为拥有最高权限和不受限制的完全访问权，所谓的“超级管理员”在设置时一般严控数量。澎湃新闻从上海市网信办了解到，在检查上述火锅品牌时，技术人员发现其会员运营管理平台的“超级管理员”账号竟然高达20余个。 “企业运营系统设置的‘超级管理员’一般都在1-2名，且是专人专责管理。该火锅品牌明显存在操作权限分配不合理。”参与检查的技术人员告诉澎湃新闻，此举更是加剧了会员个人信息泄露风险，“会员个人信息泄露的概率一下子就会变成1:20以上”。 对为何设置如此之多的“超级管理员”，该火锅品牌称是为了系统测试需要。 至于18万条的员工个人信息，据介绍，该火锅品牌的人事系统部分账号同样可以查到包括身份证号码、家庭地址等在内的个人敏感信息。 此外，澎湃新闻了解到，在收集个人信息环节，该火锅品牌外送微信小程序在填写收货地址信息时，还强制用户同意打开位置权限获取精准位置信息，否则无法添加收货地址，存在强制索取非必要权限问题。 这一违法违规行为目前已完成整改。澎湃新闻日前点击其外送微信小程序中的“收货地址”一栏发现，当前相关小程序不再强制采集精准位置信息，用户已经可以手动选择地点或填写收货地址。 亟需提高的合规意识 针对该火锅品牌查实的违法违规行为，上海市网信办相关负责人强调，企业提高个人信息安全保护的合规意识至关重要。“企业收集的信息量越大，收集信息内容越敏感，企业相应要承担的法律责任就应该越严格。而企业合规意识的缺失，就意味着消费者个人信息泄露的风险越大。” 上海市网信办相关负责人同时表示，个人信息受法律保护、关乎切身利益，任何组织和个人不得侵害。此次上海市网信办通过发布典型案例，希望对行业对相关企业能起到“以案示警、以案为戒、以案促改”的警示教育意义，有助于各企业固强补弱，提高保护消费者个人信息的合规意识，切实履行个人信息保护的义务和法律责任。 数据显示，2023年6月启动的“亮剑浦江”专项行动，上海市区两级网信、市场监管部门已累计检查企业6043家，依法对520余家企业进行约谈，查处各类个人信息保护案件50余件。 上海市网信办表示，下一步将深入贯彻落实个人信息保护法等法律法规要求，持续加强个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。 上海市网信办还提醒消费者，在日常点餐中可积极落实上海市网信办提出的“六不”建议，做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”。   转自Freebuf，原文链接：https://www.freebuf.com/news/390992.html 封面来源于网络，如有侵权请联系删除