援引外媒 ZDNet 报道，印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售。Juspay 主要为亚马逊、Swiggy、MakeMyTrip 等公司处理支付业务。 本次泄漏的数据是以数据转储（data dump）的形式，从一个被入侵的 Juspay 服务器中泄漏的。Juspay 已经在其官方博客中确认了此次数据泄露事件，并概述了此次泄露事件的细节。 在官方博客中写道：“我们很痛心地通知您，2020 年 8 月 18 日确实发生了一起数据泄露事件。我们部分用户的非敏感掩码卡信息、手机号码和电子邮件 ID 被泄露”。 网络安全研究人员 Rajshekhar Rajaharia 发现了数据泄露。他发现，数据转储可以在暗网上出售。Rajaharia 对 Business Insider 表示，如果黑客弄清楚用于散列卡号的加密算法，这次数据泄露可能会更严重。 按照 Juspay 的说法，泄露的信息包括非敏感的掩码卡信息、手机号和部分用户的邮箱ID。该公司表示，泄露的信息不包括完整的卡号、订单信息、卡的PIN码或密码。Rajaharia 指出，如果用于哈希卡号的算法被泄露，或者黑客自己弄清楚，可能会给用户带来重大风险。 除了上述风险外，Rajaharia还指出，诈骗者可能会利用这次数据泄露来欺骗持卡人。由于泄露的数据包括手机号码，他们可以打电话给毫无戒备的持卡人，骗取他们透露完整的卡号、PIN、CVV以及一次性密码。         （消息及封面来源：cnBeta）

据外媒报道，美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称，它最近发现一些客户的账号信息遭到了未经授权的访问，包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI)，包括通话记录，如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示，黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码（或pin码）。 通知没有说明T-Mobile何时发现了漏洞，只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求，但他告诉一家新闻网站，此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年，T-Mobile表示多达200万用户的个人信息可能被窃取。一年后，该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前，T-Mobile承认其电子邮件系统遭到入侵，黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           （消息及封面来源：cnBeta）

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死（hardcoded）的管理员后门帐号，能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的，被认为是最糟糕的漏洞，建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说，从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙，任何人都可以滥用这个后门账户来访问脆弱的设备，并转入内部网络进行额外的攻击。 据悉，Zyxel 大部分主打产品均存在这个漏洞，受影响的产品型号包括：“Advanced Threat Protection (ATP) 系列：主要用于防火墙 Unified Security Gateway (USG) 系列：主要用于混合防火墙或者 VPN 网关 USG FLEX 系列：主要用于混合防火墙或者 VPN 网关 VPN 系列：主要用于 VPN 网关 NXC 系列：主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用，一旦被入侵，攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询，NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后，Eye Control 表示可以删除后门帐号–用户名为“zyfwp”，密码为“PrOw!aN_fXp”。 研究人员表示，该账户拥有设备的root权限，因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           （消息及封面来源：cnBeta）  

近日，美国家电跨国公司Whirlpool受到了Nefilim勒索软件的攻击，黑客要求公司支付赎金，否则将泄漏窃取的数据。与Whirlpool公司高管谈判失败后，黑客泄漏了从 Whirlpool 窃取的数据。 Whirlpool公司旗下有多个品牌，技术研究制造中心遍及全球，拥有77,000多名员工，其2019年的盈利为200亿美元。 周末，Nefilim勒索软件的幕后黑客发布了第一批数据，包括员工福利、住宿要求、医疗信息及其他相关信息。 黑客表示：“数据泄露归咎于Whirlpool公司高管不愿维护公司员工的利益支付赎金，并且其网络安全防护非常脆弱，这使得我们在谈判失败后进行第二次攻击活动。”  Bleeping Computer的报告显示，此次网络攻击活动发生在12月初。十月份，Nefilim勒索软件的幕后黑客还泄露了意大利眼镜行业巨头Luxottica的数据。 该黑客的攻击目标广泛，还攻击了 移动网络运营商Orange、欧洲技术服务领域巨头 SPIE Group、德国大型私人服务提供商 Dussman Group和 Toll Group等公司。     消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

据报道，爱尔兰数据保护委员会（DPC）今日对Twitter处以45万欧元（约合54.7万美元）的罚款，原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》（GDPR）的规定，及时公布并妥善记录一起数据泄露事件。 分析人士称，这一罚款决定备受关注，因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构，目前正在调查20多起案件，涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月，调查发现，Twitter违反了GDPR第33（1）条和第33（5）条之规定，没有及时向DPC通知违规行为，也没有充分记录违规行为。为此，DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布，正在对Twitter的数据泄露事件发起调查。在此之前，DPC接到Twitter的通知，称发生了数据泄露事件。 GDPR规定，大多数违反个人数据的行为，必须在管制员察觉到违规行为后72小时内，通知给有关监管机构。此外，该规定还要求服务提供商记录涉及哪些数据，以及他们是如何应对安全事件的，以便相关数据主管可以检查其合规性。 而对于本事件，Twitter同时违反了上述两条规定。根据GDPR规定，违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚，具体以数额更高者为准。 值得一提的是，受DPC调查的影响，Twitter也从中吸取了教训。今年7月，在遭遇公司历史上最严重的安全破坏事件数日后，Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定，也正值一个关键期，即欧盟稍晚些时候将推出两部新的法规，《数字服务法案》（Digital Services Act）和《数字市场法案》（Digital Markets Act），以急速区域数字化。 上周，法国数据保护机构“国家信息与自由委员会”（CNIL）曾宣布，对谷歌处以1亿欧元（约合1.21亿美元）的罚款，原因是其搜索引擎对Cookie的管理方式不当。此外，CNI还对亚马逊处以3500万欧元的罚款，原因是未经用户同意在他们的电脑上放置了Cookie。         （消息及封面来源：新浪科技）

根据安全公司CyberMDX的新发现，通用电气公司制造的数十种医疗成像设备都有硬编码的默认密码，这些密码不容易改变，但可能被利用来访问敏感的病人扫描数据。研究人员表示，攻击者只需要在同一个网络上就可以利用易受攻击的设备，例如通过欺骗员工打开带有恶意软件的电子邮件。 CyberMDX表示，X射线机、CT和MRI扫描仪、超声和乳腺摄影设备都是受影响的设备。 通用电气使用硬编码密码远程维护设备。但CyberMDX的研究主管Elad Luz表示，一些客户并不知道他们的设备存在漏洞。Luz将这些密码描述为 “硬编码”，因为虽然这些密码可以更改，但客户必须依靠通用电气工程师现场更改密码。 这一漏洞也引起了国土安全局网络安全咨询部门CISA的警告。受影响设备的客户应联系通用电气更改密码。 通用电气医疗保健公司的发言人Hannah Huntly在一份声明中表示。“我们没有意识到这种潜在漏洞在临床情况下被利用的任何事件。我们已经进行了全面的风险评估，并得出结论，不存在患者安全问题。维护我们设备的安全、质量和安全性是我们的首要任务。” 这是这家位于纽约的医疗网络安全初创公司的最新发现。去年，这家初创公司还报告了通用电气其他设备的漏洞，该公司后来承认，在最初清除设备的使用后，可能会导致患者受伤。 CyberMDX主要致力于通过其网络情报平台保护医疗设备的安全，提高医院网络的安全性，同时进行安全研究。该公司在今年早些时候筹集了2000万美元资金。       （消息及封面来源：cnBeta）

在一周前报道 1600 万巴西 COVID-19 患者个人数据被曝光之后，巴西当地媒体 Estadao 再次放出重料–包括在世和已故的在内，有超过 2.43 亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码，开发者在其中发现了重要政府数据库。 今年巴西非政府组织 Open Knowledge Brasil（OKBR）曾在今年 6 月份提交了一份报告，指出政府网站的源代码中保留了另一个政府数据库的公开登录信息。受这份报告的启发，Estadao 对巴西卫生部的官网进行了调查，发现了这个数据库。由于任何人在浏览器中按 F12 键都可以访问和查看网站的源代码，因此 Estadao 记者在其他政府网站中搜索了类似的问题。 他们在 e-SUS-Notifica（一个门户网站）的源代码中发现了类似的泄漏，巴西公民可以在此注册并接收有关COVID-19大流行的官方政府通知。 记者说，该网站的源代码包含存储在Base64中的用户名和密码，该编码格式可以轻松解码以获取初始用户名和密码，而几乎不需要付出任何努力。SUS（SistemaÚnicodeSaúde），该数据库存储了所有签署了该国公共资助的医疗系统的巴西人的信息，该数据库于 1989 年建立。 该数据库包含巴西人提供给政府的所有个人信息，从全名到家庭住址，从电话号码到医疗详细信息。现在已经从站点的源代码中删除了凭据，但是尚不清楚是否有人访问过该系统并窃取了巴西公民的数据。       （消息来源：cnBeta；封面来自网络）

美国最大连锁生育诊所之一的U.S. Fertility已经确认遭到勒索软件攻击并且数据被盗。该公司成立于5月，由Shady Grove Fertility和主要投资于医疗领域的私募股权公司Amulet Capital Partners合作成立，前者在美国东海岸拥有数十家生育诊所。作为一家合资企业，U.S. Fertility目前宣称在美国各地拥有55家诊所。 U.S. Fertility在一份声明中表示，黑客在9月14日发动勒索攻击之前，在其系统中活动了一个月时间，获得了数量有限的文件。这是一种常见的数据窃取勒索技术，它在加密受害者的网络之前窃取数据以获取赎金。如果不支付赎金要求，一些勒索组织就会在其网站上公布被盗文件。 U.S. Fertility表示黑客在攻击中盗取了一些个人信息，如姓名和地址。一些患者的社会安全号码也被黑客盗走。U.S. Fertility表示，这次攻击可能涉及受保护的健康信息。根据美国法律，这些信息可能包括一个人的健康或医疗状况信息，如测试结果和医疗记录等。U.S. Fertility没有说明为何要花两个多月的时间才公开披露这起黑客袭击事件，但表示，其披露时间并非应执法部门的要求而延迟。 这是最新一起针对医疗行业的攻击事件。9月，美国最大医院系统之一环球医疗服务公司（Universal Health Services）遭到Ryuk勒索软件袭击，迫使一些受影响急诊室关闭，并将病人拒之门外。最近几个月，其他几家生育诊所也遭到了勒索软件的攻击。       （消息来源：cnBeta；封面来自网络）

得益于丰富的曲库、简洁的用户界面，Spotify 已经成为全球最受欢迎的音乐流媒体服务之一。不过伴随着用户规模的极速扩张，也暴露了一些安全风险隐患。近日受第三方数据库泄漏的影响，Spotify 公司不得不发出重置密码电子邮件，据悉有将近 35 万个账号受到影响。 值得注意是，本次数据泄漏并非来自 Spotify 本身，它并没有受到任何形式的攻击和破坏。当网络上泄漏大型密码数据库的时候，黑客会试图尽可能的在其他服务上登录这些凭证，然后不可避免的能够访问一些站点和服务。 如果您采取适当的密码保护措施，并确保不会在多个网站或服务中重复使用相同的登录凭据，那么被这些违规事件之一捕获的机会将降为几乎零。不幸的是，似乎有超过 30 万的用户出现了这个问题。 对于收到 Spotify 密码重置通知的用户，外媒编辑推荐除了重置 Spotify 密码之外，最好重置其他使用该泄漏相同密码的所有其他平台账号。所有这些数据都在“72GB数据库”中公开，其中包含“超过3.8亿条记录”。该数据库已找到，其存在已由vpnMentor的研究人员公开披露，vpnMentor是网络安全和关注互联网隐私的博客。       （消息来源：cnBeta；封面来自网络）

据报道，Muslim Pro应用程序在全球范围内下载量超过9850万，据称已向美国军方出售了“粒度位置数据”，但这一指控被否认，目前正由新加坡个人数据保护委员会进行调查。 数据保护委员会（PDPC）确认正在对指控进行投入，并向Pros开发商Bitsmedia寻求更多信息。监管机构告诉当地媒体：“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问，用户不应下载或使用任何应用程序。” 成立于2009年，总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处，并已通过在200个国家的用户下载审核。 据报道，该应用程序已将位置数据出售给X-Mode，这是美国第三方数据聚合商，向其客户出售服务，其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说，穆斯林Pro是向美国军方出售数据的移动应用程序之一，包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。 Bitsmedia否认了这些指控，并在星期二和星期四发表了两份声明，认为该报告“不正确且不真实”。 Bitsmedia注意到它符合诸如欧盟的GDPR（通用数据保护法规）和加利福尼亚消费者隐私法案（CCPA）之类的全球数据隐私法律和法规，称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”（R＆D）工作时访问开发者。 这可能包括分析数据以更好地了解用户行为，从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算，并有助于规划和设计功能，以及改善整体用户体验。应用程序开发人员还坚持认为，它不会共享任何敏感的个人信息，例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的，这意味着我们的数据不会归因于任何特定的个人。”“我们采用行业标准的安全措施和保护措施，并选择领先的技术合作伙伴，以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。” 虽然它驳斥了Vice Media的主张，但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode的所有关系，该关系“立即生效”。 它与“选定的技术合作伙伴”合作，以改善其应用程序的质量，并与合作伙伴共享数据，以实现“广告等常见目的”，这是它的主要收入来源。这样做是“完全遵守”所有相关法律的，并实施了“严格的数据治理政策”以保护其用户数据。 根据应用程序开发商的说法，它与社交媒体网络和数据分析公司等第三方合作，并在其用户同意下共享数据。它还指出，除了“社区”部分外，穆斯林Pro中提供的功能都可以使用，而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。” 如果它被发现违反了新加坡的个人数据保护法（PDPA），Bitsmedia可能面临 严重的经济处罚。 新加坡本月刚刚更新了数据保护法规，以允许本地企业未经事先同意就出于某些目的（例如业务改进和研究）使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款，超过先前100万新加坡元上限。 新加坡通信和信息部长伊斯瓦兰（S. Iswaran）在 讨论修正案的讲话中说，数据是数字经济中的关键经济资产，因为它提供了有价值的见识，可为企业提供信息并提高效率。 Iswaran说，它还将增强创新能力并增强产品，并成为具有变革潜力的新兴技术（如人工智能（AI））的重要资源 。 PDPA的主要变化之一是“同意的例外”要求，该要求现在允许企业出于“合法目的”，业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外，还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。 此外，PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据，以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。 企业还可以在未经同意的情况下使用数据来促进可能尚未标记为产品化的研发。除“视为”和“例外”之外，所有其他目的（例如直接营销信息）仍然需要获得消费者的事先同意。 PDPC去年调查了185起涉及数据泄露的案件，并发布了58项决定。它命令39个组织支付170万新加坡元的罚款，其中最高罚款分别为75万新加坡元和25万 新加坡元，分别由综合健康信息系统和新加坡卫生服务处处置。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”