研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果，直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     （稿源：solidot，封面源自网络。）

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象，围绕数据保护问题，欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称，针对Twitter数据泄露问题，5月22日确定一份草案，委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说，在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求，针对任何提出的制裁，Facebook服务必须发表评论，然后方便欧盟各国进行评估。 2018年5月，《通用数据保护条例》(General Data Protection Regulation，GDPR)正式生效，之后爱尔兰当局加大调查力度，但并没有给出最终决定。一些美国大型科技公司成为调查对象，包括Twitter、Facebook、谷歌、苹果，爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规，《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单，这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说，其它一些案件也取得进展，比如针对Facebook当地部门的尽职调查，委员会想知道Facebook是否为个人数据处理确立法律基础。     （稿源：新浪科技，封面源自网络。）

任天堂泄露事件愈演愈烈，据Resetera网友爆料，目前3DS操作系统的完整源代码已经流传到了网上。这次的泄露虽然没有包含设计文档，不过包含了许多有趣的开发文件。比方说根据Log文件中的引用，NVIDIA看起来在2006年时就曾参与到了3DS的开发中，其他泄露的文件目录可以参见此处。 考虑到3DS目前仍未淘汰，同时NS操作系统也是基于3DS操作系统，此次泄露的影响恐怕更为严重。 除此之外，《宝可梦：珍珠/钻石》的源代码也泄露到了网上，不过此次泄露中没有出现新的宝可梦原型。     （稿源：GamerSky游民星空，封面源自网络。）

外媒报道称，一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息，且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App，其允许用户通过简单的投票调查，在两个物品之间展开比较。然而 ZDNet 指出，Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖，价格仅为 0.85 个比特币（约 8000 美元）。 卖方挂出的示例表明，数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。 黑客声称密码为 SHA1 格式，但 ZDNet 审查发现样本中包含 MD5 格式的密码。 作为一种弱密码散列格式，MD5 很容易被暴力破解算出原始的纯文本字符串，甚至线上就有许多可免费使用的破解工具。 此外数据库汇总包含了指向 Wishbone 个人资料图片的链接，样本中明显涵盖了大量的未成年人用户群体。 黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的，样本中包含的用户注册和最后登录日期可证明这一点（追溯到 2020 年 1 月），但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。 ZDNet 分析发现，该黑客目前还在兜售数十家其它企业的数据库（总计超过 15 亿条记录），且大多数都来自前些年有被报道过的企业，比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。 尽管 Wishbone 未披露近年来的用户规模数据，但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用（甚至在在 2018 年窜升至前 10），谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。   （稿源：cnBeta，封面源自网络。）

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客，其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk，但官方为披露黑客的真名。作为地下黑客论坛的老成员，有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来，Sanix 的身份更像是一位二道贩子（数据中间商 / Data Broker）。其收集了被黑客入侵的企业泄露的大量数据，将之整理汇总出大量的用户登陆凭证（ID 和密码）。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者，比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上，Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合，并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合，合计容量达到了数 TB，并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出，部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露（Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手）。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据，却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日，Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉，Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中，Azatej 已于本月早些时候被逮捕。 乌克兰特勤局（SSU）在今日的新闻发布会上表示，其在 Sanix 的计算机上找到了 Collection＃1 的副本，以及至少七个类似的被盗密码数据库。 除了收集用户名和密码，Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现，SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳（约 7000 美元）的赃款。   （稿源：cnBeta，封面源自网络。）

5月14日，欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则，可能会损害消费者利益，同时阻碍创新。在近日电子前沿基金会（EFF）发布的公开信中，该机构也持相同的观点，希望能够阻止谷歌收购Fitbit，并希望得到之前已购买Fitbit产品用户的支持。 更具体来说，EFF认为只有Fitbit的用户才能帮助阻止这次收购，并向Fitbit用户发出了灵魂拷问。EFF问道：“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据？谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉？” EFF表示科技巨头并不一定会投资创新，而是更喜欢收购能够为创新加油的公司。EFF表示：“谷歌的两个标志性项目搜索和Gmail都是内部项目，但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道：“现在谷歌正尝试在Fitbit旧戏重演，这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中，而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易，通过收购Fitbit，谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域，华为和小米也是主要竞争者。 然而，批评人士表示，收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。   （稿源：cnBeta，封面源自网络。）

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后，会对原有的文件造成某种意义的破坏，另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在，源代码泄露情况很普遍。2017年，代码“ Eternal Blue”（CVE-2017-0144）遭泄露并被黑客入侵，而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局，该木马的源代码在泄露后，出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件，这个系列被称为Ursnif（也称为Gozi2 / ISFB），Ursnif是成熟的银行木马，而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析，发现它利用LOLBins、组件对象模型（COM）接口等技术来检测Internet Explorer，借此绕过本地代理以及Windows Management Instrumentation（WMI）来与操作系统进行交互，达到代替本地Win32 API的效果，该操作很难被检测到。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1213/   消息来源：telekom， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒ZDNet获悉，梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前，瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司，旗下拥有梅赛德斯-奔驰汽车品牌。 Kottmann告诉ZDNet，他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库，其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。 什么是OLU？ 根据戴姆勒的网站，OLU是介于汽车硬件和软件之间的一个组件，它负责将车辆连接到云端。 戴姆勒表示，OLU简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。 这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。 不安全的GitLab安装泄漏了OLU代码 Kottmann告诉ZDNet，他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks（专门的Google搜索查询）。 GitLab是一个基于web的软件包，各大公司用它来集中处理Git存储库。 Git是一种专门用于跟踪源代码更改的软件，它允许多人工程团队编写代码，然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于Gitlab的网页门户。 Kottmann告诉ZDNet：“当我感到无聊的时候，我经常会寻找有趣的GitLab实例，大多数情况下都是使用简单的Google dork，对于几乎没有考虑到安全设置这件事一直让我感到惊讶。” Kottman表示，戴姆勒未能实施账户确认流程，而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。 这位研究人员称，他从公司的服务器上下载了超580个Git存储库，他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。 针对这一情况，ZDNet审查了一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可，这表明这这些文件都是不应该公开的专有信息。 泄露的项目包括梅赛德斯厢式货车OLU组件的源代码，另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。 虽然一开始泄露的数据看起来无害，但负责审查数据的威胁情报公司告诉ZDNet，他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。 现在，ZDNet和Under the Breach都已经跟戴姆勒公司取得了联系，该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。 Kottmann告诉ZDNet，他打算把戴姆勒的源代码留在网上，直到该公司要求他删除源代码。 然而，关于Kottmann行为的合法性仍存在一些疑问，因为他没有在周末在线发布源代码之前试图通知公司。 而另一方面，GitLab服务器允许任何人注册一个帐户，有些人可能会将其解释为一个开放的系统。此外，ZDNet在今日早些时候审查的源代码并没有出现这是专有技术的警告。     （稿源：cnBeta，封面源自网络。）

据外媒AppleInsider报道，一个研究团队披露了一个新的漏洞，可以让攻击者欺骗现代蓝牙设备，使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS)，影响了一系列使用蓝牙的设备，包括iPhone、iPad和Mac。 从本质上说，BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后，它们在一个“链接密钥 ”上达成一致，这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现，他们能够在不知道这个链接密钥的情况下，欺骗之前配对过的设备的蓝牙地址来完成认证过程。 更具体地说，当攻击设备假装是一个只支持单边认证的先前受信任的设备时，该漏洞就会启动–这是蓝牙中最低的安全设置。通常情况下，用户的设备将是验证该连接是否有效的设备。然而，通过使用一种被称为“角色切换”的策略，攻击者可以欺骗认证，并与用户设备建立安全连接。 结合其他蓝牙漏洞，如蓝牙密钥协商(KNOB)，攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功，被攻击的设备就可以被用来进行其他的利用，包括访问通过蓝牙发送的数据，甚至控制之前配对的设备所拥有的功能。 由于蓝牙连接通常不需要用户进行明确的交互，因此BIAS和KNOB攻击也是隐蔽的，可以在用户不知情的情况下进行。 谁会受到BIAS攻击的威胁？ 这个缺陷只影响到蓝牙基本速率/增强数据速率，也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击，包括iPhone 8及以上版本、2017年版 MacBook设备及以上版本、2018年的iPad机型及以上版本。 为了实施攻击，不良行为者需要在易受攻击设备的蓝牙范围内，并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说，找到这些蓝牙地址相对来说是件小事，即使是随机的。 研究人员已经通知了蓝牙特别兴趣小组(SIG)，该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁，配合修复措施。   （稿源：cnBeta，封面源自网络。）

英国廉价航空公司易捷航空EasyJet的一份声明称，在一次重大数据泄露事件中，约900万客户个人信息被窃取，其中包括2200名客户的信用卡详细信息也被获取，但护照记录暂未发现泄露。易捷航空没有透露安全事件是何时发生的，也没有说明黑客是如何进入其系统的。 公司表示，已经将泄密事件提交给了英国的数据保护机构信息专员办公室(Information Commission’s Office)。根据欧洲数据保护规则，公司有72小时的时间向监管机构通报安全事件。 和航空业的其他公司一样，这家航空公司也受到了冠状病毒大流行的沉重打击，疫情迫使全球大量人口呆在家里，商务旅行和度假被大量搁置。 在COVID-19大流行之前，EasyJet在2019年运送了超过2800万名乘客，EasyJet也是首批向英国政府请求救助以防止财务崩溃的公司之一。 英国监管机构ICO去年表示，在一次数据泄露暴露了50万客户的预订细节后，打算对英国航空公司(British Airways)处以创纪录的1.83亿英镑(约合2.3亿美元)的罚款，原因是黑客在其网站上安装了Skiming恶意软件后，盗走了数千个客户信用卡号码。     （稿源：cnBeta，封面源自网络。）