Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录，此前曾在8月份要求释放联邦拘留所，但最初由于当时法官认为她有飞行危险而被拒绝。 但是，在本周一，主审法官援引汤普森的观点，认为Thompson没有对社区或她本人构成足够的威胁，所以她不应该在等待审判期间受到监禁。Thompson希望获得释放，因为她认为作为一个被关押在男子监狱的变性人，她可能会患上抑郁症或伤害自己。 作为释放条件的一部分，美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里，Thompson 将一直受到GPS监控，将被禁止访问互联网或使用计算机，手机或任何其他电子设备，除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据，与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号，14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说：“服务器是在Thompson的卧室中查获的，其中不仅包括从首都一号偷走的数据，还包括从其他30多家公司，教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕，目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Brandon Charles Glover 和 Vasile Mereacre 是两名黑客，他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月，Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据，但公司在过去的一年里没有公开此事。 根据彭博社的报告，黑客通过 Uber 开发团队的 GitHub 获得了访问权限，并且要求Uber支付10万美元，否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金，派  Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月，Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台，其于2015 年被 LinkedIn 收购。2016 年，该公司提醒其 950 万客户声称公司遭到了黑客攻击，尽管只有 55,000 个帐户受到影响。与 Uber 不同，LinkedIn 拒绝向黑客付款，并试图找出他们。 本周，Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据，并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，黑客攻击了人气网络漫画网站XKCD的论坛并从中窃取了约56万个用户名、电子邮件和IP地址以及散列密码。XKCD在周末公开了这次攻击，此前，负责数据漏洞通知网站Have I Been Pwned维护工作的安全研究员Troy Hunt向该网站发出了警告。现在，这个论坛已经下线。 论坛方面表示，等到他们能够检查漏洞并确保论坛已经安全之后才会重新上线这个论坛。“如果你是echochamber.me/xkcd用户，那么你应当立即更改你使用了同一个或类似密码的另一个账号的密码。” XKCD是Randall Munroe创作的流行网络漫画，其已经有14年的历史、主要关注科技、科学和互联网文化。Munroe还以其现在的标志性简笔人物画风格出过几本书，包括《How To》、 《Thing Explainer》、《What If》。 Hunt表示，这些数据由白帽子公安全研究员Adam Davies发现。   （稿源：cnBeta，封面源自网络。）

8月21日消息，今日网上流传称雪球网数据泄露，涉及12万人的数据只卖75美元，包含姓名，身份证，手机，账号/邮箱，密码，持股前3支，持股数，交易风格。对此雪球回应称，不会以任何方式将个人信息泄露给第三方，对此问题已进行核实。 雪球网还称，会持续提升对用户信息的保护能力。 近年有部分企业发生数据泄露事件，2018年8月，有人在暗网出售华住旗下所有酒店数据，数据标价8个比特币，约等于人民币37万人民币，数据泄露涉及到1.3亿人的个人信息及开房记录，9月犯罪嫌疑人被抓。同年12月，有人在网上宣称12306平台旅客信息泄露，低价出售60万账户信息、410万联系人数据，还免费公开部分账号供买家验证。   （稿源：网易科技，封面源自网络。）

联邦检察官透露，在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月，美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击，1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统，并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson（33），她将要对此次数据泄露事件负责。 根据 DoJ 报道，美国司法部长 Brian T. Moran 宣布，“一名前 Seattle 科技公司的软件工程师今天被捕，此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON，网名 erratic，33 岁，她今天在西雅图地方法院出庭，并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实，在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据，但他们尚不清楚这些受影响组织的名字。 检察官称，绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源：SecurityAffairs，译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

北京时间8月16日上午消息，据路透社报道，周四提交的一份法庭文件显示，Facebook用户针对2018年发生的一起数据泄露事件，正对这家全球最大的社交媒体网络发起诉讼。这些用户称，公司未能向他们提醒单一登录工具的风险，但却有能力保护公司的员工。 单一登录可以让用户使用Facebook凭据登录第三方社交应用和服务。 该诉讼涉及多项法律行动，源于去年9月发生的公司历史上最严重的一起安全漏洞事故。当时，黑客窃取了登录代码——或“访问令牌”——从而使得近2900万个Facebook账户被非法访问。 “Facebook清楚这些访问令牌的漏洞，但多年来尽管公司有能力却始终未修复该漏洞，”原告在提交给位于加州旧金山的美国北部地区法院的诉状中写道，“更令人震惊的是，Facebook已经采取措施保护自己的员工免受安全风险的影响，却无视大多数用户面临的安全隐患。” 法官威廉阿尔苏普（William Alsup）在1月的时候，告诉Facebook，其愿意允许在本案中采取“bone-crushing discovery”方式，来调查用户数据被窃取的程度。 自最初披露数据泄露事故以来，Facebook几乎没有公开任何细节，仅仅表示“广泛”用户受到影响，但未根据国家分类给出具体数据。 对于另外的1500万名用户而言，受影响程度仅限于姓名和联系方式。此外，黑客可以看到大约40万名用户的帖子和朋友与群组列表。Facebook称，黑客未窃取用户的个人信息或财务数据，也没有访问用户的其他网站账户。 Facebook尚未立即回复评论请求。   （稿源：cnBeta，封面源自网络。）

北京时间8月16日早间消息，Facebook本周证实，该公司开展了一项计划，允许承包商收听和转录一些用户的音频剪辑。这家社交网络表示，只有同意将其音频信息转录的人才会受此影响。 这似乎表明用户同意让第三方阅读聊天记录。但从Messenger权限的弹出对话框来看，这种说法并不属实。 在Messenger移动应用中，只要有人发送语音消息，就会立即看到一个提问对话框：“在此聊天中启用语音识别成文本功能？”用户可以选择“否”和“是”两个。Facebook的描述信息是：“显示您发送和接收的语音剪辑的文本。您可以控制每次聊天时文本是否可见。“ 其中并未提到人类参与。即使在专用于理解语音识别成文本的应用的单独信息页面中，Facebook也解释说用户可以在每次聊天中关闭它，并提示人们更多地使用这项功能。“语音识别成文本使用机器学习技术。”该公司说，“你使用这个功能的次数越多，对语音识别成文本就越有帮助。”其中并未阐述机器学习不仅限于软件代码。 包括苹果、亚马逊和谷歌在内的公司一直依赖人类来检查和改进他们的人工智能系统，但却并未告知用户。当科技企业面临的监管形势日益加剧的当下，这一错误可谓十分严重。负责执行欧盟隐私法的爱尔兰数据保护委员会表示，他们正在了解Facebook的转录做法。 斯坦福大学法学院互联网与社会中心的消费者隐私主任詹妮弗·金（Jennifer King）说：“人工智能只是处于可以解释人类对话的水平，”这意味着公司需要依靠监控来为系统训练提供帮助。“但从我的角度来看，最重要的问题是不披露。用户显然不知道这种事情。“ 有关Facebook人类转录计划的报道引起了美国立法者的愤怒，其中一些人已经呼吁加强隐私保护。弗吉尼亚州民主党参议员马克·华纳（Mark Warner）表示，关于Facebook音频收集行为的最新消息，“进一步证明了消费者对他们的数据收集和使用方式的期望与Facebook公司实际所做的完全不同。” 一些隐私律师表示，信息披露不足与公司跟FTC的50亿美元和解协议相冲突。 Fox Rothschild律师事务所首席隐私官马克·麦克雷利（Mark McCreary）表示，“如果没有其他人向用户披露关于人类收听行为的信息，我相信这可能就存在违规。”   （稿源：cnBeta ，文章标题《Facebook 聘请评估员收听语音信息用户知道吗？不知道》，封面源自网络。）

据外媒报道，今年年初曾发生一起称为Collection #1的大规模数据泄露事件，包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如，在2016年，有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。 外媒认为，如果仔细阅读所泄露的数据，与过去的其他大规模数据泄露事件相比，Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法，这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。 但这里有一些关键的因素。首先，这是几个旧数据泄露的集合。事实上，在这个系列中的7.73亿个唯一的电子邮件地址中，只有1.41亿（约18％）未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中，有一半不在数据库中。 这意味着很可能，用户旧的简单密码之前已经被窃取，并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样，“我的希望是，对于许多人来说，这将是他们需要对他们的在线安全态势做出重大改变的提示。” 外媒认为，用户需要做的重要改变是确保使用唯一的密码，并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时，网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户，这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击，黑客通过收集互联网已泄露的用户和密码信息，尝试批量登陆其他网站后，得到一系列可以登录的账户。 而如果用户使用唯一的密码和双因素身份认证，这些攻击将无法正常工作。   （稿源：cnBeta，封面源自网络。）

近年来发生的多起大规模信息泄露事件，使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光，那后果就更加严重了。遗憾的是，这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉，研究人员在 Suprema 的系统中发现了一个安全漏洞，使之能够访问超过 100 万人的身份验证数据。 （图自：vpnMentor，via BGR） 英国《卫报》指出，这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞，并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是，在获得访问权限后，安全研究人员发现该数据库缺乏应有的保护，且大多数据处于未加密的存储状态，很容易访问到总量超过 2780 万条（23GB+）的记录。 除了敏感信息，安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施，甚至查看到管理员账户的密码。 此外，研究人员能够编辑某人的帐户，在其中加入自己的指纹。因此从理论上来讲，攻击者可以突破所有需要授权进入的地方。 更令人不安的是，研究人员发现密码数据根本没有受到任何保护，使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到： Suprema 未采用无法进行逆向工程的散列式指纹数据存储，而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此，Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称：此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’，若威胁确实存在，Suprema 会立即采取行动并发布适当的公告，以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题，并对这批数据展开了滥用。   （稿源：cnBeta，封面源自网络。）

北京时间8月2日早间消息，谷歌发言人周四向路透社表示，在荷兰录音数据泄露后，该公司暂停评估Google Assistant虚拟助手在欧盟收集的录音。 该公司今年7月承认，负责分析智能助手语音片段的合作伙伴泄露了数据。 CNBC早些时候报道称，有超过1000次私人谈话被发送到比利时的新闻媒体，并补充说有些消息透露出医疗状况和客户地址等敏感信息。 “在了解到荷兰机密信息泄漏事件后不久，我们暂停了对调查助手的语言评估。”该发言人说。她还补充道，该公司仅对约0.2％音频内容进行评估。 此事正值公众和政府对数据隐私措施越来越关注之际，迫使硅谷公司提高了透明度。 美国和其他地方的立法者正在对相关提案进行权衡，可能会限制谷歌、Facebook和其他互联网公司追踪用户和分发信息的方式。 据悉，谷歌此次暂停评估至少会持续三个月时间。   （稿源：，稿件以及封面源自网络。）