Dropbox 称黑客破坏了数字签名产品
据彭博社报道,Dropbox Inc. 表示,其数字签名产品 Dropbox Sign 遭到黑客攻击,窃取了包括电邮、用户名和电话号码在内的用户信息。该软件公司表示,其于4月24日意识到了此次网络攻击,试图限制事件的发生,并向执法和监管机构报告。Dropbox 周三在监管文件中表示:“我们发现,威胁者除了常规账户设置外,还访问了 Dropbox Sign 所有用户的数据,例如电邮和用户名。”“对于部分用户,威胁者还访问了电话号码、哈希密码和某些身份验证信息,例如 API 密钥、OAuth 令牌和多因素身份验证。”Dropbox 表示,没有证据表明黑客获取了用户账户或支付信息。该公司表示,此次攻击似乎仅限于 Dropbox Sign,其他产品均未遭入侵。该公司并未透露有多少客户受到此次黑客攻击的影响。
—— 彭博社
TikTok 向欧盟提交 TikTok Lite 风险评估报告
TikTok 周二 (4月23日) 表示,已向欧盟委员会提交了其新应用 TikTok Lite 的风险评估报告,避免了可能被罚款。欧盟执委会4月22日要求字节跳动旗下的这家公司在24小时内提交报告,称其对 TikTok Lite 的奖励计划及其对儿童的潜在成瘾性感到担忧。还特别指出,TikTok 本月在西班牙和法国推出新应用之前未能提供风险评估报告。TikTok 发言人称:“我们已经提交了报告。”该公司还必须在4月24日之前就奖励计划提出论据,以确定欧盟委员会是否暂停该计划,直到评估该计划对儿童是否安全。对于该公司来说,更大的问题是委员会决定对 TikTok Lite 在法国和西班牙的推出展开调查,以及这是否违反了 DSA 规则。
—— 路透社
美国交通部将调查美国十大航空公司的数据安全和隐私做法
当地时间3月21日,美国交通部长皮特·布蒂吉格宣布,将对美国十大航空公司收集、处理、维护和使用乘客个人信息的情况进行隐私审查。此次审查将审查美国航空公司是否妥善保护其客户的个人信息,以及航空公司是否“不公平地或欺骗性地将这些数据货币化或与第三方共享”。当交通部发现有问题做法的证据时,该部门将采取行动,这可能意味着调查、执法行动、指导或规则制定。这些航空公司包括忠实航空、阿拉斯加航空、美国航空、达美航空、边疆航空、夏威夷航空、捷蓝航空、西南航空、精神航空和联合航空。
—— 美国交通部新闻稿
美国众议院全票通过防止向外国对手出售个人数据的法案
当地时间3月20日,在美国众议院通过一项旨在迫使 TikTok 与其中国母公司分离的法案一周后,又通过了第二项法案,旨在保护美国人的数据免受外国对手的侵害。《保护美国人数据免受外国对手侵害法案》(HR 7520) 将禁止数据经纪人向外国对手出售美国人的个人身份信息。如果数据经纪人被发现向这些国家出售位置或健康数据等敏感信息,他们可能会面临联邦贸易委员会的处罚。该法案在众议院顺利通过,所有参与投票的414名议员均选择通过该法案。该法案由美国众议院能源和商业委员会主席共和党成员凯西·麦克莫里斯·罗杰斯和和该委员会首席民主党成员弗兰克·帕隆领导。
—— TheVerge
TikTok 难以兑现承诺 仍与中国母公司共享美用户数据
TikTok 表示已隔离美国用户数据,并斥资15亿美元建立一个代号为“德克萨斯计划”的部门来进行监督。该部门旨在让美国议员相信这款流行的视频分享应用是安全的。但根据其现任和前任员工以及《华尔街日报》看到的内部文件,该公司管理人员有时会指示员工在不通过官方渠道的情况下,与公司其他部门的同事以及字节跳动的员工共享数据。这些数据有时包括用户的电子邮件、生日和IP地址等私人信息。这些知情人士表示,字节跳动在中国的员工会频繁更新 TikTok 算法,以至于“德克萨斯计划”部门的员工很难检查每一个变化,他们担心即使有问题也发现不了。
—— 华尔街日报、华尔街日报英文
中国官方宣布开展地理信息数据安全风险专项排查治理
近期一些别有用心的组织和人员利用地理信息系统软件,企图窃取涉密敏感地理信息数据,对中国国家安全带来了威胁和隐患。针对上述情况,中国官方宣布,将开展地理信息数据安全风险专项排查治理。
—— 中国国家安全部
日本 LINE 逾40万条数据可能外泄!疑因母公司遭网络攻击。
日本科技公司 LINE 雅虎 (LY Corporation) 的服务器近日遭受网络攻击,据悉可能导致通讯软件 LINE 的用户资料等逾 40 万条个人信息可能外泄,但称可识别特定用户的信息并未外泄。
根据 LINE 雅虎公司的消息,可能外泄的信息包括无法辨别特定用户的性别、年龄层、LINE 贴图的购买记录等,以及 LINE 雅虎公司的交易对象、员工电子邮件等资料。
目前尚未确认用户的银行账户、信用卡等是否外泄,或者外泄信息是否遭到恶意使用等损害案例。
—— 中时新闻网、日本朝日新聞
印度“最大”的数据泄漏事件:8.15 亿印度人的 Aadhaar 详细信息被泄漏
这可能是该国“最大”的数据泄漏案例,来自印度医学研究委员会(ICMR)的个人详细信息,据称已经在暗网上出售,涉及超过 8.15 亿印度人。
黑客声称从在 ICMR 注册的公民的 Covid-19 测试详细信息中提取了这些信息。最初注意到这次泄漏的是美国计算机和网络安全公司 Resecurity。
化名为“pwn001”的“威胁行为者”在 Breach Forums 上发布了一篇帖子,声称提供“8.15 亿印度公民 Aadhaar 和护照”记录。姓名、地址、护照号码、Adhaar号码、电话等详细信息都包含在被泄漏的数据中。
据了解,印度计算机应急响应小组 CERT-In 已向 ICMR 通报了此次事件,并核实了出售的样本数据与 ICMR 的实际数据相符。
—— CNN-News18
遗传学公司 23andMe 称用户数据在撞库攻击中被盗
23andMe 已证实,该公司知道其平台上的用户数据在黑客论坛上流传,并将此次泄露归咎于撞库攻击。
23andMe 是一家美国生物技术和基因组学公司,为客户提供基因检测服务,客户只需将唾液样本发送到其实验室即可获得先祖和遗传倾向报告。
最近,一名威胁行为者泄露了据称从一家遗传学公司窃取的数据样本,并在几天后提出出售属于 23andMe 客户的数据包。这次事件中曝露出的信息包括全名、用户名、个人头像、性别、出生日期、遗传祖先结果以及地理位置。
—— bleepingcomputer
微软调查发现入侵美国政府官员电子邮箱的黑客是从一台崩溃计算机的内存快照中提取到了密钥
微软7月份时披露的这起网络间谍攻击引发了美国国会的调查,在这一攻击中,几名美国国务院官员对中国进行国事访问前,他们的非机密电邮系统被侵入。
中国此前否认了关于其刺探美国高层官员的电子邮件的指控。
微软表示,其调查发现,黑客首先获得了一个加密密钥以访问电子邮件账户。加密密钥是一长串数字字符。该公司有防止密钥被盗的内部系统,但两年多前发生的一连串事件使这次攻击成为可能。
事情的起源是微软云服务使用的一台计算机在2021年4月崩溃。电脑崩溃时保存了内存快照,这被称为内存转储,以便微软工程师检查并找出问题的原因。
微软表示,其控制措施通常会通过编辑来防止内存转储中包含密钥等敏感信息,但在本例中,编辑系统失灵了。
从2021年一直到今年6月上述攻击被发现,该加密密钥一直留在微软的网络上。
在该密钥埋藏在微软的网络期间,一些有中国背景的黑客侵入了该公司一位工程师的工作账户,该账户可以访问内存转储。微软表示,该公司不知道这是什么时候发生的,但这些黑客从2023年5月15日开始访问受害者的电子邮件账户,直到一个月后入侵行为被发现,然后微软关闭了该账户。
不过据安全专家称,尽管微软发布了博客文章,但关于上述攻击仍有一些未解之谜。
—— 华尔街日报