一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录，约840万条是第二个IP地址的一部分。该研究人员说，这两个IP地址都公开向互联网暴露数据，但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分，这显然是指该国国有雇员公积金组织（EPFO）分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知，数据库中的信息可能被用来拼凑出一个印度公民的完整档案，使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息，包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关，包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息（PII）外，这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图，显示了周三暴露个人信息的数据字段，同时提醒了印度计算机应急响应小组（CERT-In）。在发布他的推文后不到一天，这两个有问题的IP地址已经无法访问。 但Diachenko说，目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外，是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次，2018年，印度中央公积金专员通知技术支持部门，黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而，该养老基金机构后来在记录上声称，其方面没有数据泄漏，但没有提供证据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络，如有侵权请联系删除

书签同步已经成为浏览器的一个标准功能，能帮助用户在某一设备上对书签进行改动时，也能同步到其他设备上。然而，研究发现，这种操作也给网络犯罪分子提供了一个便捷的攻击途径。 SANS技术研究所的学术研究人员大卫·普雷弗（David Prefer）的这一发现，是对攻击者如何滥用浏览器功能，从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说，书签可以被滥用来从企业环境中吸走大量被盗数据，或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。 在最近的一篇技术论文中，普雷弗将这一过程描述为 “bruggling”——浏览器和偷渡的谐音。这是一个新颖的数据渗出载体，他用一个名为 “Brugglemark “的概念验证（PoC）PowerShell脚本进行了演示。 泄露原理 如果攻击者已经渗透进系统环境中，他们可以从受害用户那里窃取浏览器的同步凭证，或自行创建浏览器配置文件，并在另一设备系统中访问这些书签。攻击者可以使用同样的技术将恶意的有效载荷和攻击工具偷偷带入一个系统环境。 在实操层面，普雷弗举例，即攻击者可能已经破坏了一个企业环境并访问了敏感文件。为了通过书签同步来渗出数据，攻击者首先需要把数据放到可以存储为书签的形式中。要做到这一点，攻击者可以简单地将数据编码为base64格式，然后将文本分成独立的小块，并将每个小块保存为单独的书签。 普雷弗通过反复试验发现，如今的浏览器允许将大量字符存储为单个书签，实际数量因浏览器不同而存在差异，例如，在使用Brave浏览器时，普雷弗发现他只需使用两个书签就可以很快同步整个《勇敢的新世界》（Brave New World ）一书，而用Chrome浏览器做同样的事情需要59个书签。普雷弗在测试中还发现，浏览器配置文件可以一次同步多达20万个书签。 将文本保存为书签并同步后，攻击者需要做的就是从另一台设备登录浏览器，访问、重新组合这些书签并将其从 base64 解码回原始文本。 普雷弗表示，在同步过程中没有利用任何漏洞，主要集中在如何通过书签同步这一实用功能进行恶意滥用。 普雷弗的研究主要集中在浏览器市场份额的领导者 Chrome 上，而如 Edge、Brave 和 Opera等其他浏览器，它们和 Chrome 都基于同一个开源 Chromium 项目。但他指出，Bruggling 也可能同样适用于 Firefox 和 Safari 等浏览器。 SANS研究所的研究院长约翰内斯·乌尔里奇（Johannes Ullrich）认为，通过书签同步的数据渗出给了攻击者一种绕过大多数基于主机和网络的检测工具的方法。对大多数检测工具来说，这些流量会显示为谷歌或任何其他浏览器的正常同步流量。 值得注意的是，书签同步可能不是唯一一个能被滥用的功能，普雷弗表示，自动填充、扩展、浏览器历史记录、存储的密码、首选项和主题等都可以同步并进行滥用，但这些还有待进一步的研究。 防范建议 普雷弗建议，企业组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录进行同步的电子邮箱数量，攻击者将无法使用自己的帐户进行同步。此外，浏览器厂商可通过基于帐户年龄或从新地理位置登录等因素动态限制书签同步。类似地，还可以阻止包含 base64 编码的书签以及具有过多名称和 URL 的书签。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340801.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现了一份3207个应用程序的列表，其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说：“在3207个应用程序中，有230个应用程序泄漏了所有四个身份验证凭据，可用于完全接管其Twitter帐户，并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作，如转发、点赞和删除推文，关注任何帐户，删除关注者，访问帐户设置，甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌，这些密钥和令牌充当应用程序的用户名和密码，并代表发出API请求的用户。 因此，拥有这些信息的黑客可以创建一个Twitter机器人军队，该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外，在CloudSEK解释的一个假设场景中，从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中，通过验证帐户运行大规模恶意软件活动，以锁定其追随者。 除此之外，应该注意的是，密钥泄漏不仅仅限于Twitter API。过去，CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击，建议查看代码中是否有直接硬编码的API密钥，同时定期轮换密钥，以降低泄漏可能带来的风险。 研究人员说：“环境中的变量是引用和隐藏密钥的另一种方法，而不是将它们嵌入源文件。变量可以节省时间并提高安全性，应充分注意确保源代码中不包含环境变量的文件。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，IBM发布了最新的数据泄露成本报告，据报告称，目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。数据泄露成本报告是IBM的年度重磅事项，至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。 据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340388.html 封面来源于网络，如有侵权请联系删除

一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected，成立于 2021 年 5 月，声称是互联网上“最大的反疫苗平台”。去年 8 月，该应用违反了苹果关于 COVID-19 的相关策略而遭下架，从而受到了外界的关注。   尽管这款应用在界面上比较接近于 Twitter，但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注，后续也增加了一些新的功能。 该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能，那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的，但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。 网名为 GeopJr 的程序员和安全专家发现，任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面，例如网站的“About Us”页面和各种用户账户。 这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式，允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号，然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。 网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅，回复和删除帮助中心的帖子和相关报道。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1296781.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国中央情报局(CIA)前程序员Joshua Schulte因向维基解密泄露大量Vault 7的机密黑客工具和漏洞而获罪。 2018年6月，这名33岁的工程师被指控未经授权泄露机密信息和窃取机密材料。Schulte还因持有儿童色情照片和视频而面临单独审判，他于2017年8月24日被捕。 美国检察官Damian Williams在一份声明中说，Schulte被判犯有“美国历史上最无耻和最具破坏性的间谍行为之一”，他还说，他的行为“向那些想要伤害我们的人提供关键情报，对我们的情报界产生了毁灭性的影响”。 维基解密于2017年3月7日公布这些文件，称这是“有史以来最大的关于该机构的机密文件的公布”。其中包括“恶意软件、病毒、特洛伊木马、武器化的‘零日’漏洞、恶意软件远程控制系统和相关文档”。 这些文件可追溯到2013年至2016年，它详细介绍了该机构入侵汽车、智能电视、网络浏览器以及广泛使用的桌面和移动操作系统（如Windows，macOS，Linux，Android和iOS）的能力，作为其海外间谍行动的一部分，以收集情报。 Williams说:“Joshua Adam Schulte是美国中央情报局的一名程序员，他可以使用美国最有价值的情报收集网络工具，用于打击全球各地的恐怖组织和其他恶意势力。” “当Schulte开始对中央情报局心怀怨恨时，他秘密收集了这些工具并将其提供给维基解密，使我们最关键的情报工具为公众所知，也因此为我们的对手所知。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

酒店集团万豪国际集团已经证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据–包括客人的信用卡信息。该事件首先由Databreaches.net报道，据说发生在6月，一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。 “万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工，以让他访问了该员工的电脑，”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch，“（不过）该威胁者没有进入万豪的核心网络。 万豪表示，在威胁者联系公司进行敲诈之前，连锁酒店已经发现并正在调查这一事件，万豪表示它没有支付这笔钱。 声称对这次攻击负责的组织称，被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。 然而，万豪酒店告诉TechCrunch，其调查确定，被访问的数据主要包含有关酒店运营的非敏感内部业务文件。 该公司表示，它正在准备通知300-400人有关这一事件并已通知相关执法机构。 这并不是万豪第一次遭遇重大数据泄露事件。2014年，黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录–这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月，万豪在一次单独的事件中再次被黑，该次事件影响了约520万名客人。 TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生，但这家公司拒绝回答。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1289421.htm 封面来源于网络，如有侵权请联系删除

新浪科技讯 北京时间6月29日消息，2016年Uber曾遭遇黑客攻击，当时5700万乘客和司机的个人信息被黑客窃取，事发后Uber前安全主管约瑟夫·沙利文（Joseph Sullivan）试图隐瞒。美国联帮法官周二表示，沙利文必须面对电信诈骗指控。 沙利文付钱给两名黑客让他们保持沉默，同时他还欺骗乘客、司机、FTC。沙利文反驳称，检察官指控他隐瞒黑客事件，说他这样做的目的是想阻止司机逃离，让司机继续支付服务费，但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克（William Orrick）显然不同意这种说法。 不只如此，沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问，不是司机，关于这点法官也不认同。奥瑞克说，虽然沙利文的虚假陈述并非直面司机，但这只是更大欺骗计划的一部分，欺骗对象正是司机。 检方声称沙利文向黑客支付比特币作为封口费，价值约10万美元。他还让黑客签署保密协议，说他们没有窃取数据。 了解到数据泄露事件后，Uber现任CEO达拉·科斯罗萨西（Dara Khosrowshahi）解雇了沙利文。 2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼，原告认为Uber披露信息过慢。   转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/2022-06-29/doc-imizmscu9235363.shtml 封面来源于网络，如有侵权请联系删除

作为当前市面上最大的 NFT 市场，OpenSea 刚刚通报了一起客户电子邮件数据泄露事件。据称是负责管理该平台邮件通讯的外部承包商（Customer.io）管控不善，导致一名员工复制了客户电子邮件列表、并泄露给了第三方。事件发生后，官方已提醒广大用户小心提防近期的网络钓鱼类攻击。 长期以来，电子邮件通讯管理平台和客户关系管理（CRM）类软件，一直是加密 / 区块链企业的一个薄弱环节，此前我们已经见到过相当多起的数据泄露事件。 今年 3 月，与 Customer.io 类似的 Hubspot 遭遇了黑客攻击，并最终波及 BlockFi、Swan Bitcoin、NYDIG 和 Circle 等平台上的客户（姓名、电话号码、E-mail 地址等信息被泄露到了外界）。 OpenSea 表示，恶意行为者或尝试通过类似 OpenSea.io 的域名（比如 OpenSea.org 或 OpenSea.xyz）来引诱疏忽大意的受害者上钩。 现在，Twitter 等社交媒体上也充斥着大量抱怨，许多 OpenSea 客户都表示遇到了较以往更多的邮件、电话和短信等垃圾信息的轰炸。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1287047.htm 封面来源于网络，如有侵权请联系删除    

近日，旗星银行（Flagstar Bank）向其150多万名客户发送了一则通知，告知他们在去年2021年12月的一次网络攻击中，他们的个人数据遭到了黑客的访问。 旗星银行是美国最大的银行之一，其总部位于密歇根州，总资产超过300亿美元。 2021年12月，旗星银行发生了一起安全事件，攻击者入侵了银行的内部网络。此后，银行方面着手对这起事件开展了调查，并于近日发现，攻击者当时访问了许多客户的敏感信息，包括姓名和社会保障号码等。 “在攻击事件发生后，我们立即启动了安全事件响应计划，聘请了在处理此类事件方面经验丰富的外部网络安全专家，并向联邦执法部门报告了此事” ，旗星银行的负责人解释说，“截至目前，我们还没有看到证据表明客户的信息被滥用。然而，出于谨慎的考虑，我们觉得还是有必要让客户知道这件事。” 根据提交给缅因州总检察长办公室（Office of the Maine Attorney General）的信息显示，这次数据泄露事件共对1,547,169名美国人造成了影响。 至于媒体的进一步追问，包括哪些类型的数据可能被暴露，以及为什么花了这么长时间才发现这起事件，旗星银行方面还没有给予正面回应。 先前的安全问题 这是一年内旗星银行发生的第二起重大安全事件。 2021年1月，勒索软件团伙Clop利用Accellion FTA服务器中的一个零日漏洞入侵了银行的服务器。 这一事件使得众多与科技公司Accellion Inc有业务往来的实体都受到了影响，包括庞巴迪（Bombardier）、新加坡电信（Singtel）、新西兰储备银行（New Zealand Reserve Bank）和华盛顿州审计署（Washington’s State Auditor office）。 这次泄漏事件导致旗星银行被Clop团伙勒索，其客户的数据暴露给网络犯罪分子。随后，银行就终止了与Accellion平台的合作。 在那次的攻击事件中，被窃取的数据样本包括客户的姓名、社会保险号码（SSN）、家庭地址、税务记录和电话号码等。最终，这些数据全都在Clop的数据泄露网站上向外界公布了。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/336805.html 封面来源于网络，如有侵权请联系删除