当地时间周一晚上，Capital One及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件，大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对Capital One的泄露事件展开调查，但更广泛的故事是熟悉的：一家大公司让许多敏感数据丢失，客户承担了大部分风险。 然而随着对该事件的调查越深入，外媒发现的疑点就越多。被指控的黑客Paige Thompson（又称“Erratic”），在数据泄露事件公开的同时被抓获并被起诉，她似乎对覆盖她的踪迹并感兴趣。人们并不确切知道她在获得数据后对数据做了什么，但她不符合大多数诈骗者的情况，他们倾向于尽快在暗网等出售这样的信息。与此同时，最初的漏洞似乎更多的是服务器错误配置，而不是完全是漏洞引起，导致一些人怀疑Thompson是否可能是一个善意的研究人员。 最大的异常是如何首先发现漏洞。根据联邦投诉，攻击分别于2019年3月和4月分阶段进行。但是，Capital One在7月17日才知道这个问题，当时有人向该公司透露他们的私人数据已上传到公共GitHub页面。从那里开始，研究人员可以直接发现它的页面以及数据是如何被获取的。 通常情况下，数据仅在通过多个中介后才被发现，并且很难确切地确定数据的确切时间和方式。例如，调查人员需要花费数年时间才能找到参与Target数据泄露事件的所有人。起诉揭示了一种完全不同的组织形式：一方制造软件，另一方使用它来收集信用卡数据，然后将其卖给另一个使用它进行欺诈的团体。起诉所有这些人意味着以拉脱维亚和东欧为中心的大规模国际努力。相比之下，Thompson在最初提示后不到一个月就被拘留了。 人们不知道为什么Thompson决定在公共GitHub页面上发布数据。她在Twitter上公开描述了她的技术，并且似乎并不羞于分享信息。其余部分信息则来自Thompson维护的Slack房间，Thompson围绕这个漏洞的谈话非常随意。 “我想把它从我的服务器上删除，这就是为什么我要归档所有这些，”Thompson写道。“这都是加密的。不过，我只是不想要它。“涉及攻击的技术细节使其更加复杂。Thompson所做的只是可能的，因为Capital One错误配置了其亚马逊服务器。Thompson早些时候曾在亚马逊工作过，所以她被一些人描述为“内部威胁”。但是发现这种错误配置对于安全研究人员来说是一种常见的消遣方式。这些错误配置是如此常见且如此容易修复，以至于它们通常甚至不被视为泄露。 外媒认为从外部很难区分安全研究与犯罪产业之间的区别。人们也并不不知道为什么她获取这些数据，或者为什么她坚持几个月而没有向Capital One报告这个问题。人们也不知道她是否试图以某种方式报告，或者她是否试图以尚未曝光的方式从数据中获利。   （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间7月30日，纽约州司法部长Letitia James在Twitter发文宣布，她将和她的团队对Capital One的泄露事件展开“立即”调查。另外她还表示，她对这些黑客攻击的频率感到沮丧，称其变成了家常便饭。 James希望自己在完成调查后拥有足够信息和能力为Capital one的纽约受害者提供“救济”。目前还不清楚她所表达的具体意思，但她可能会为受害者争取某种形式的赔偿。 据悉，最近的Capital One黑客攻击事件曝光了1亿多名美国和加拿大用户的信息，即如果曾在2005年至现在申请过Capital One信用卡就可能存在数据被盗的风险。泄露的信息则有地址、姓名、电子邮件、电话号码甚至社会保障号和信用评分等。   相关阅读：美国银行第一资本遭黑客入侵：逾1亿用户信息泄露   （稿源：cnBeta，封面源自网络。）

据外媒报道，据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称，被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此，LAPD建议受影响的警官要监控起自己的信用报告和银行账户，另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的，我们致力于保护跟我们机构有关的任何人的隐私，”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   （稿源：cnBeta，封面源自网络。）  

本周早些时候，美国信贷报告机构 Equifax 与联邦贸易委员会（FTC）达成了针对 2017 年发生的大规模数据泄露事件的赔偿方案。本次事件导致数亿美国人的社保号码与其它敏感数据被泄露，作为集体诉讼的一部分，受害者终于可以向其提出索赔。据悉，Equifax 达成了 7 亿美元的和解协议，其中包含了 3.805 亿的客户赔偿金。 （截图 via TheVerge） FTC 尽早公布了索赔网站的链接，有疑问的人们可以上去检索自己是否受到了本次数据泄露事件的影响，并就此申请特定的赔偿。 据悉，该网站并非由 Equifax 负责运营，而是交给了和解协议委托的 JND 去打理，后者有过处理此类大规模集体诉讼和企业破产案件的经验。 受害者只需填写一份简单的表单，然后指定自己认为应该获得的赔偿金额，详情可移步至 EquifaxBreachSettlement.com 官网查看。 出于认证的目的，你需要输入姓氏和社保号码的末六位。若确实受到该事件影响，网站会弹出一则简单的提示 —— 记录表明您的个人信息受此事件影响。 跳转回主页之后，受害者就可以正式提出索赔了。整个流程制作得很是简洁，每个人都可以在线轻松完成，但 JND 也支持打印填写并邮寄、或代表未成年人下载表格。 表单会索取一些简单的个人信息，如居住地和出生地。赔偿方案可选 125 美元的支票、预付卡、或免费的三局信贷监察服务。 而要领取这笔钱的话，你需要已经拥有信用监控，并在提出索赔申请后等待六个月时间。你可立即注册 Credit Karma、TransUnion 等合作伙伴的免费服务。 此外，许多信用卡和许多信用卡和Intuit的预算计划服务Mint也免费提供一些版本的信用监控。此外，还有像Identity Guard和MyFICO这样的付费服务，它们具有更强大的身份盗窃保护和内置的其他服务。 最终受害者可以得到一份以 PDF 格式保存到计算机上的索赔编号等信息，表单会要求提供电子邮件地址。 需要指出的是，在今早填完表格后，外媒 TheVerge 编辑 Nick Statt 表示没有立即收到邮件，所以建议大家还是尽量保存网页的理线副本。 最后，请务必在 2020 年 1 月 22 日之前提出索赔。2019 年 11 月 19 日将是个人撤回诉讼的截止日期，有关此案件的听证会将于今年晚些时候的 12 月 19 日举行。   （稿源：cnBeta，封面源自网络。）

当前随 Windows 10 预装的 Microsoft Edge 浏览器，已被某安全研究人员锤爆，称其会向该公司发送用户访问过的站点的完整 URL 。更糟糕的是，数据中不仅包含了网页信息，还有安全标识符（SID）。该安全研究人员发推称：“除了一些热门的攒点，Edge 显然会将用户访问的页面的完整 URL 信息发送给微软，甚至还有非匿名的账户 ID（SID）”。 （题图 via Softpedia） 据悉，微软使用 SmartScreen 功能来保护用户免受潜在的危险网站攻击。 其原理是根据微软维护的一份报告连接，将用户当前访问的页面信息（网站 URL）提交给微软的服务器去分析。 然而其发送的信息（包括 SID）并未经过哈希加密，微软在官方文档中写到： SID 是某个安全主体的唯一标识符，可由操作系统进行任何实体的身份验证，例如用户计算机账户、或安全相关的上下文进程 / 线程。 理论上，通过包含在报告中的 SID 标识符，微软就可以明确知晓谁在 Windows 10 中启用了 SmartScreen、并访问了哪些内容。默认情况下，Edge 的 SmartScreen 设置是会给出“警告”的。 然而微软在隐私声明中承认，某些信息确实已提交给该公司，以便为 SmartScreen 提供后续支持，因为这就是该功能的工作原理。 该公司写道：“在检查文件时，相关数据会被发送给微软，包括文件名、文件内容的哈希值、下载路径、以及数字证书”。对此，研究人员建议使用类似于其它浏览器的方法，来改进 Windows 操作系统。 Firefox、Chrome 和 Safari，都不会将用户的浏览历史记录发送至云端。它们只是比较 4 字节的 URL 哈希值前缀，以及下载的坏的哈希散列表。 遗憾的是，截止发稿时，微软方面尚未就此事置评。   （稿源：cnBeta，封面源自网络。）

据外媒报道，英国数据监管机构近日宣布，计划对英国航空公司处以1.83亿英镑的罚款处罚，原因是发生在去年的数据泄露事件。信息专员办公室(ICO)表示，因为这家航空公司糟糕的安全工作导致50万名左右客户的信用卡信息、姓名、地址、旅游预订信息和登录信息被泄露。 据BBC报道称，这将是成为ICO有史以来开出的最高罚单，远高于Facebook剑桥分析(Cambridge Analytica)丑闻的50万英镑罚单。英国航空公司将有28天的时间对该罚单提出上诉，然后将迎来最终裁决。 信息专员Elizabeth Denham在一份声明中表示，个人数据的丢失不仅仅只是一个麻烦，对于这家公司来说它应该采取适当的措施保护客户的基本隐私权。 英国航空董事长兼首席执行官Alex Cruz在回应这一消息时表示，该公司对ICO的决定感到意外和失望。另外他并补充称，他们公司没有发现与该次早泄露账户有关的欺诈行为发生的证据。不过ICO倒是指出，这家航空公司配合了他们的调查工作并在发现该漏洞后改善了安全措施。   （稿源：cnBeta，封面源自网络。）

据外媒ZDNet报道，一家总部位于佛罗里达州的广告代理商的一个数据库在网上被泄露。该数据库包括了过去广告活动的详细信息，包括有关医疗事故案件的信息，以及美国退伍军人战争伤害的敏感细节。 该数据库由vpnMentor的安全研究人员发现，属于X Social Media，这是一家为法律行业开展Facebook和Instagram广告活动的广告公司。该公司的主要兴趣和重点之一是针对医疗事故诉讼和与伤害相关的集体诉讼进行广告宣传。 这些广告活动的目的是收集可能的各方兴趣，用户被重定向到专门的网站，在那里他们填写表格，看看他们是否有资格获得特定案件和可能的法律援助。 vpnMentor研究人员指出，X Social Media收集此信息的数据库在没有密码的情况下在互联网上公开，允许任何人访问和下载其内容。 研究人员表示，该数据库包含了填写表格的用户的150,000多条回复。这些表格中包含的数据通常包括全名、电子邮件地址、家庭住址、电话号码以及与其案件相关的详细信息 – 主要针对医疗损伤。 vpnMentor在本周发表的一份报告中指出： “数据库中描述的伤害包括美国退伍军人遭受的伤害，医疗设备，药物使用，药物副作用和婴儿产品缺陷造成的伤害。”有关战争伤害的详细信息不仅包括伤害发生的日期和地点等信息，还包括该人在此后遭受的详细医疗信息和精神创伤等。 除了有关各种伤害和法律案件的高度敏感信息之外，X Social Media的数据库还包含有关公司所有客户，广告活动指标，甚至公司所有发票的信息。 如果黑客找到了数据库并窃取了其内容，那么该数据将成为该公司竞争对手手中的“一张王牌”，他们可能会利用它来破坏X Social Media的业务，或者仅仅破坏其声誉。 vpnMentor研究人员说道：“未来律师事务所可能不太愿意与经历过这种大规模数据泄露事件的公司合作。” 目前尚不清楚是否有任何未经授权的人访问或下载这些数据，因为X Social Media没有回复评论请求，也没有向vpnMentor透露此详细信息。 在vpnMentor研究人员通知该公司后，这家广告代理商于6月11日关闭了对其数据库的访问权限。   （稿源：cnBeta，封面源自网络。）

援引美国有线电视新闻网（CNN）报道，美国海关和边境保护局（CBP）所雇佣的分包商Perceptics出现重大数据泄露事件，在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是，CBP向CNN透露从未向该公司授权保留这些车主信息。 CBP机构发言人表示：“CBP并未授权承包商在非CBP系统上保留和持有车牌数据。”这项承认引发了一系列质疑，包括美国政府机构在雇佣承包商来监视公民的时候责任主体是谁？美国公民自由联盟的高级立法律师Neema Singh Guliani表示：“CBP不断以隐私和公民自由的角度来收集更多信息，而且从安全的角度来看，他们已经证明了这些承包商没有能力可以保护好这些信息。” CNN对分包商Perceptics泄露的数据进行了分析，这些数据目前已经在暗网上进行出售。它显示了至少5万个独特的美国车牌号码记录。在特定情况下，CBP承包商有权访问美国人的车牌图像以调整他们的系统，例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。 “这些数据确实必须删除，”CBP发言人表示，尽管该机构没有澄清适用于Perceptics的政策细节。   （稿源：cnBeta，封面源自网络。）

据报道外媒，任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时，许多人却在担心由其带来的隐私问题。 日前，这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉，其中一起诉讼于周二在西雅图联邦法院发起，原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天，洛杉矶法院也接到了一起类似的诉讼，原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中，如果想要对某人进行录音商家则必须要征得双方的同意才行。然而，西雅图的诉讼称，“亚马逊从未警告未注册用户，它正在为他们的 Alexa 互动创建持续的语音记录，更不用说征得他们的同意了。” 针对这两起诉讼案，亚马逊方面拒绝置评。   （稿源：cnBeta，封面源自网络。）

据TechCrunch网站报道，Instagram的一个大型数据库由于在AWS存储桶上没有受到保护，导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现，并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ，且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据，如个人经历，资料图片，粉丝数量，地理位置，私人联系方式，电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查，该数据库属于社交媒体营销公司Chtrbox，其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是，TechCrucnh网站联系的两个人证实了数据的真实性，却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道：“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司，但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件： “我们正在调查这个问题，以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司，以查明其数据来源和公开方式。” 2017年，Instagram的一个漏洞允许黑客访问高级用户的信息，包括电话号码和600万名明星的电子邮件地址。   消息来源：SecurityAffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接