视频会议软件厂商 Zoom 今天推出了一项新的功能，如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险，那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”，在 Zoom 的后端服务器上运行，通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接，那么就会自动向会议组织者发送电子邮件，并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid，是指在没有收到邀请的情况下，擅自进入到某个 Zoom 会议中，并通过侮辱，播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体，Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接（有时是其密码），要求其他人中断会议后发生的。       （消息来源：cnBeta；封面来自网络）  

知名儿童游戏 Animal Jam 的制作公司 WildWorks 进行确认发生了数据泄漏事件。根据 App Annie 提供的数据，Animal Jam 是美国最受欢迎的儿童游戏之一，在 9-11 年龄段 App Store 上游戏排行上处于前五位置。 虽然数据泄漏并不是什么好消息，但是 WildWorks 采取了比大多数公司更积极的措施，从而让父母更容易保护他们的信息和孩子的数据。WildWorks 在一份详细声明中说，黑客在 10 月初偷走了 4600 万条 Animal Jam 记录，但直到 11 月才获悉该漏洞。 该公司表示，有人闯入了公司用于员工之间进行通信的系统之一，并访问了一个秘密密钥，该密钥使黑客能够侵入公司的用户数据库。坏消息是，已知被盗数据至少在一个网络犯罪论坛上流传，这意味着恶意黑客可能会使用（或正在使用）被盗信息。 该公司表示，被盗的数据可以追溯到过去 10 年，因此以前的用户可能仍然会受到影响。大部分失窃数据并非高度敏感，但该公司警告说，这些失窃记录中有3200万具有玩家的用户名，2390万记录具有玩家的性别，1480万条记录包含了玩家的出生年份，而 570 万条记录了玩家的完整的出生日期。 该公司表示，黑客还掌握了 700 万个用于管理孩子账户的父母电子邮件地址。报告还说，有12653个父母帐户具有父母的全名和帐单地址，有 16131 个父母帐户具有父母的姓名但无帐单地址。该公司表示，除了帐单地址外，没有其他帐单数据（例如财务信息）被盗。 WildWorks还表示，黑客窃取了玩家的密码，促使该公司重置每个玩家的密码。WildWorks并未说出它如何对密码进行加密，这使得密码可能无法解密并有可能被破解，或者使用和 Animal Jam 相同密码的其他账户。       （消息及封面来源：cnBeta）

援引多家印媒报道，印度最大杂货电商 BigBasket 近期遭受黑客网络攻击，导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式（移动和手机）、地址、生日、住址和登录 IP 地址等等，这些信息在暗网上以 300 万卢比（约 26.8 万人民币）的价格出售。 安全公司 Cybel 在10月30日发现安全泄露事件之后已经告知了 BigBasket。并且该电子商务平台已向位于班加罗尔（Bangaluru）的网络犯罪小组（Cyber Crime Cell）投诉。该公司正在评估“索赔的违反程度和真实性”。 Cyble 表示：“在我们常规的暗网监控过程中，我们的研究团队发现 BigBasket 的数据库以超过 40000 美元的价格在暗网上出售。这些泄漏的信息包括数据库部分；表名称为‘member_member’。该 SQL 文件的大小约为 15GB，其中包含近 2000 万用户数据”。 虽然该公司在 BigBasket 的客户泄露的详细信息中提到了“密码”，但应注意，该公司使用 OTP 或通过 SMS 发送的一次性密码，每次用户登录其帐户时，该密码都会不断更改。 BigBasket 在一份声明中表示：“BigBasket获悉了潜在的数据泄露事件，并正在与网络安全专家协商并评估解决方案，以评估破坏行为的范围和真实性。我们还向班加罗尔的网络犯罪小组备案，并打算大力追究其罪魁祸首”。     （消息来源：cnBeta；封面来自于网络）

据外媒报道，日前，FBI发出了一个安全警报，其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出，这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。 FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     （消息来源：cnBeta；封面来自于网络）

据外媒报道，西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现，Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库，并得出结论称，它包含了价值24.4GB的数据，总计超过1000万个文件。 值得一提的是，Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台，用于处理顶级预订网站上的房间供应并实现自动化。在此案中，该软件公司在没有任何安全措施的情况下，存储了旅行社和酒店客户的信用卡数据。结果，客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告，被曝光的数据属于酒店客人，包含以下内容： 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码，包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件，所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责，Holden在报告中表示。 由于Prestige软件公司总部位于欧洲，而暴露的数据属于全球各地的人，包括欧洲公民的公民；该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户，目前还不清楚你的数据是否被第三方恶意访问。然而，正如最近所见，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在暗网市场上出售，或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件，4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上，并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中，Hackread.com报道称，2019年12月，一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月，同样的数据库在一个黑客论坛上以600美元的价格出售。       （消息来源：cnBeta；封面来自于网络）

据外媒TechCrunch报道，True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞，该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出，Hello Mobile是一家虚拟手机运营商，依附于T-Mobile的网络。 True官方网站介绍称，公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上，其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示，该曝光早在9月初就已经发生。 在TechCrunch联系True之后，这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在，但并没有回答他们提出的具体问题，包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解，控制面板包含了从今年2月开始的每日服务器日志，像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外，控制面板还会暴露用户上传的电子邮件和电话联系方式，True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出，控制面板还对外泄露了账号访问令牌，这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字，但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌，并使用它访问其帐号并在上面发布消息。 此外，控制面板还显示了一次性登录代码，True会将这些代码发送到与账号关联的电子邮件地址或电话号码，而不是存储密码。 True表示，在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此，他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前，TechCrunch无法联系到Hello Mobile的发言人。     （消息及封面来源：cnbeta）

链接预览几乎是主流聊天和即时信息应用中标配的功能，它能预览链接中关联的图像和文本，从而让在线对话更加轻松。但遗憾的是，它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池，甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究，目前 Facebook，Instagram，LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息，应用可能会显示该链接随附的文本（通常是标题）和图像，通常看起来会是下面这样的： 为此，应用程序本身（或由应用程序指定的代理）必须要先访问该链接，打开文件，并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件，以至于导致应用崩溃，耗尽电池或消耗有限的带宽。而且，如果链接指向私人材料（例如，将报税表发布到私人OneDrive或DropBox帐户），则应用服务器可以无限期查看和存储它。 本周一，安全研究人员塔拉尔·哈吉·巴克里（Talal Haj Bakry）和汤米·迈斯克（Tommy Mysk）发现，Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示，两个应用程序都会下载并复制整个链接文件，即使文件大小为千兆字节也是如此。同样，如果文件是用户希望保密的文件，则可能会引起关注。 即使链接的文件容量高达 2.6 GB，在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现，该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说，其服务器仅下载图像的缩小版本，而不下载原始文件，并且该公司不存储该数据。 但是 Mysk 表示，该视频演示了 Instagram 全部下载了 2.6GB 文件（Ubuntu ISO，文件重命名为ubuntu.png ）。他还指出，大多数其他 Messenger 会剥离 JavaScript，而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是，它没有复制任何大小的文件，而是仅复制了前50兆字节。 同时，当 Line 应用程序打开加密消息并找到链接时，它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道：“我们认为这违反了端到端加密的目的，因为LINE服务器知道通过应用程序发送的所有链接，以及谁与谁共享链接。” Discord，Google Hangouts，Slack，Twitter和Zoom也会复制文件，但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     （消息来源：cnBeta；封面来自网络）  

Luxottica Group S.p.A 是全球眼镜行业最大的眼镜集团。作为一家垂直化公司，Luxottica集设计、制造、分销、零售一体化,还为Chanel、Prada、Giorgio Armani、Burberry、Versace等品牌设计太阳眼镜和镜架，拥有超过80,000名员工，在2019年创造了94亿美元的收入。 9月18日，该公司遭到网络攻击，部分运营网站无法访问。 意大利 媒体 报道，由于系统故障，部分Luxottica工厂的运营中断。经证实，该工厂的工作人员收到了一条SMS：“出现了严重的IT问题，9月21日暂停第二个工作班次。” 安全公司Bad Packets推测 Citrix ADX控制器设备受 CVE-2019-19781漏洞的影响，易让黑客利用勒索软件攻击公司系统。Luxottica尚未发布任何有关此次网络攻击的官方声明。被泄露数据包含相关招聘信息、简历机密以及人力资源部内部结构信息以及预算、市场预测分析等财务信息。 Nefilim勒索软件黑客还发布消息指控Luxottica未能正确处理网络攻击。     消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2018 年，英国航空公司泄露了 40 万用户数据。近日，信息专员办公室（ICO）对英国航空公司除以 2000 万英镑（约合 2585 万美元）的罚款。 罚款是迄今为止 ICO 开除的最高记录，因为该航空公司违反数据保护法，在处理大量个人数据时没有采取适当的安全措施。 ICO 表示，英国航空公司未能发现并解决这些安全漏洞，最终导致了 2018 年的攻击。攻击者在两周内窃取了将近 43 万名用户的数据，泄露的数据包括使用英国航空公司网站和 App 预定机票的付款信息、姓名、地址和密码信息。 ICO 批评英国航空公司在两个多月的时间内都未能发现网络攻击。Elizabeth Denham 表示：“人们将个人详细信息交给英国航空公司，英航应该采取足够的措施保证这些信息的安全”。ICO 认为这样的不作为是不可接受的，这样规模的数据泄露影响了很多很多人。 组织管理的个人数据泄露时，可能会对人们的生活产生影响。现在，法律为我们提供了要求企业做好信息安全防护的保障。 尽管 2000 万英镑已经是创纪录的罚款金额，但这已远低于 ICO 在 2019 年 6 月提出的 1.83 亿英镑的罚款金额，这在当时是自《通用数据保护法》（GDPR）实施以来最大的一笔罚款。ICO 表示，这考量了英国航空公司的的请求以及 COVID-19 对航空业产生的巨大影响。监管机构同时指出，2018 年后，英国航空公司的 IT 安全性进行了相当大的改进。 英国航空公司表示：“2018 年，一发现我们的系统被攻击，我们就立刻向用户发出的提醒。但是很遗憾，我们未能达到用户的预期”，“我们很高兴监管机构能够肯定我们为系统安全性做出的改进，我们也积极配合相关调查工作”。     （消息及图片来源：Forbes；译文来自FreeBuf.COM。）

据外媒TechCrunch报道，由于担心新冠病毒的传播，美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人，迫使朋友和家人使用昂贵的视频探视服务，但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后，一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞，暴露了数千名囚犯和他们的家人之间的电话，但也有他们与律师的通话，这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务，它的一个数据库在没有密码的情况下暴露在互联网上，允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞，他说，这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题，HomeWAV在几个小时后关闭了系统。 在一封电子邮件中，HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch：“我们的一个第三方供应商已经证实，他们意外地取下了密码，从而允许访问服务器。”Best没有点名第三方供应商的名字，他表示，公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch：“我们一次又一次看到的是，当系统失败时，被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往，有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说：”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎，它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉，检察官和调查人员会回听录音，以防囚犯在通话中自证其罪。然而，由于律师与当事人的特权，囚犯与其律师之间的通话不应该被监控，这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此，已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年，美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且，今年早些时候，缅因州的辩护律师表示，他们经常被几个县级监狱录音，他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说：“除非来访者之前已经登记为神职人员，或者是犯人有权与之进行特权交流的法律代表，否则会告知来访者，访问可能会被记录，并且可以被监控。” 但当被问及时，HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示，律师明确宣布他们的通话受律师-当事人特权保护，有效地告诉任何听进去的人，通话是禁区。 TechCrunch与两位律师进行了交谈，他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录，但要求不要说出他们或他们的客户的名字，因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示，他们在通话中口头主张律师与当事人的特权，而另一位律师也认为他们的通话受到律师与当事人特权的保护，但拒绝进一步评论，直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实，他9月份与监狱中的一位客户的一次通话被记录、转录，随后被曝光，但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息，”Repka说。“任何时候，我都有一个客户从监狱给我打电话，我非常意识到并意识到不仅有可能出现安全漏洞，而且还有可能被县检察官办公室访问这些电话。” Repka称：“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道：“律师的最佳做法是，总是亲自去监狱探望你的客户，在那里，你在一个房间里，你有更多的隐私，而不是通过电话线，你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难，或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说，由于冠状病毒带来的威胁，几个州已经暂停了亲自探视，包括合法探视。甚至在大流行之前，一些监狱就结束了亲自探视，改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业，像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年，Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露，并与The Intercept分享。据该出版物报道，缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月，Diachenko报告说，另一家监狱探视服务机构TelMate也出现了类似的安全漏洞，由于无密码数据库，数百万条囚犯信息被泄露。     （稿源：cnBeta，封面源自网络。）