微软指责美国 FTC 泄露反垄断调查消息
微软正在请求联邦贸易委员会 (FTC) 的监察长调查该机构管理层是否不当泄露了对其进行反垄断调查的消息,并公开调查结果。彭博社上周首次报道称调查正在进行中,调查涉及微软的云和软件许可业务、人工智能和网络安全产品。现在微软公司副总裁兼副法律顾问里玛·阿莱利指控 FTC 管理层违反了该机构自己的道德准则,泄露了调查细节。阿莱利写道,彭博社报道中的信息和来源“强烈暗示”这些细节来自“FTC 内部”。该报道“似乎与过去两年 FTC 战略性地向媒体泄露非公开信息的不幸趋势一致”。微软声称,他和“全世界其他人一样,是通过彭博社的报道”得知了 FTC 的信息要求,而不是从 FTC 得知的。
—— TheVerge
亚马逊公司确认员工数据遭遇泄露
根据亚马逊公司发表的声明,亚马逊11日证实了员工数据泄露,这些数据已发布在黑客论坛上。根据 Breach Forums 上的帖子,这些数据包括员工姓名、工作联系信息以及工作地点,共有超过 280 万行数据。帖子称数据来源是云数据管理工具套件 MOVEit。亚马逊发言人在电邮中表示:“亚马逊和 AWS 系统仍然很安全,我们没有遇到安全事件。我们接到通知,我们的一家物业管理供应商发生了安全事件,影响了包括亚马逊在内的多家客户。涉及的亚马逊信息只有员工的工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。”亚马逊表示,该供应商已经修复了潜在的安全漏洞。
—— 404media
谷歌意外泄露可控制电脑的 Jarvis AI 预览版
谷歌的新人工智能助手 Jarvis 的预览版被意外上架 Chrome 应用商城。该工具可以通过网络浏览器为用户浏览网页,以处理购买杂货、预订机票和研究课题等常见任务。换句话说,谷歌的新人工智能能够控制电脑来完成这些简单的任务,而无需人工输入。谷歌扩展商店中出现的预览版并未完全投入使用。记者尝试使用 Jarvis,但访问权限阻止执行任何功能。谷歌很快就关闭了Jarvis 的商店页面。该工具计划于12月发布。
—— Engadget
乌克兰官员指责谷歌地图更新泄露军事部署
谷歌地图发布了更新的卫星图像,显示了未指定的乌克兰军事系统的位置。乌克兰国家安全与国防委员会虚假信息部门负责人安德烈·科瓦连科周日在电报上发帖称,俄罗斯正在“积极传播”展示乌克兰军事装备的卫星地图图片。科瓦连科没有透露图片中出现了哪些设备,也没有透露系统的大致位置。谷歌的代表联系了乌克兰当局并“表示他们已经在努力纠正我们军事系统图像的问题”,科瓦连科在随后的一份声明中表示。基辅乌克兰安全局前官员伊万·斯图帕克说,这些图像只会显示固定目标,例如制造工厂和训练营。前线不断变化,所以谷歌卫星地图没用。
—— 新闻周刊 Newsweek
健身应用 Strava 泄露国家领导人的位置
调查发现,美国总统拜登、特朗普以及其他世界领导人高度机密行踪可以通过他们保镖使用的健身应用轻松在线追踪。Strava 是一款健身追踪应用,主要供跑步者和骑自行车的人使用,以记录他们的活动并与社区分享他们的锻炼情况。一些美国特勤局特工使用该健身应用。法国总统马克龙和俄罗斯总统普京的安保人员中也有 Strava 用户。例如追踪马克龙保镖在 Strava 上的行踪,发现这位法国领导人2021年在诺曼底海滨度假胜地翁弗勒尔度过了一个周末。美国特勤局称,其员工在执行保护任务期间不得使用个人电子设备,但并不禁止员工在下班后使用。马克龙办公室周一表示,不会影响总统安全。
—— 美联社、世界报
黑客利用 Telegram 聊天机器人泄露印度保险公司 Star Health 的数据
印度最大健康保险公司 Star Health 被盗客户数据 (包括医疗报告) 可通过 Telegram 上的聊天机器人公开访问。Star Health 在声明中表示,该公司已向当地政府报告了涉嫌未经授权的数据访问,初步评估显示“没有大规模入侵”,并且“敏感的客户数据仍然安全”。
聊天机器人能够下载包含姓名、地址、电话号码、税务详情、身份证副本、检查结果和医疗诊断的保单和索赔文件。机器人制作者 xenZen 称其拥有与3100多万 Star Health 客户相关的7.24TB数据。这些数据通过聊天机器人以随机、零碎的方式免费提供,但也提供批量出售。虽然 Telegram 已经关闭了部分机器人,但新的聊天机器人不断出现。
—— 路透社
涉对华泄露芯片技术三星前高管被批捕
韩国首尔警察厅6日消息,涉嫌对华泄露芯片核心技术的三星电子前高管和首席研究员被批捕。曾担任三星电子和海力士半导体高管的66岁崔珍奭和前三星电子首席研究员60岁吴某涉嫌违反商业秘密保护法等,泄露三星电子自主开发的700多个20纳米技术工艺流程图用于成都高真科技公司进行产品研发。成都高真科技公司是崔珍奭2021年获投资后设立,吴某出任该公司高管。警方于今年1月申请提捕吴某,但被驳回。警方补充侦查并再次提请批捕,并一同提捕崔珍奭。首尔中央地方法院日前批准逮捕。警方计划具体调查泄密过程、以及是否获取经济利益等。
—— 韩联社、朝鲜日报
开源CDN Goedge被发现鉴权漏洞,泄露了包括用户身份证件在内的大量图片
继被曝出官方投毒后,有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的,但是goedge却没有判断这个字段,还是可以公开访问。
目前只有一个临时解决方案,在数据库执行这个这个命令,把证件附件的状态改一下(改了后就访问不了,审核的时候也看不到),这个bug还需要goedge那边进行修复
UPDATE edgefiles SET state = 0 WHERE type = ‘user.idcard’;
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
方能和安捷自家用的都是Goedge,随便爬一下拿到不少身份证正反面和营业执照的图片。
—— kunkunk
黑客发布疑似腾讯14亿条泄露数据
有黑客在臭名昭著的 BreachForums 数据泄露论坛中发布了据称是来自腾讯的 500G 数据包,一共有14亿条记录。样本数据显示,这些数据包含手机号码、邮箱和QQ号。由于尚未下载到完整数据包,因此还无法确定这些数据是否为最新泄露的。
泄露该数据的黑客名为 Fenice,此前他还泄露了27亿条包含美国社会保障号的数据。
黑客泄露27亿条包含美国社会保障号的数据记录
近27亿条美国人的个人信息记录在一个黑客论坛上被泄露,其中包括姓名、社会保险号、所有已知的实际地址和可能的别名。据称,这些数据来自国家公共数据公司,该公司收集并出售个人数据,用于背景调查、获取犯罪记录和私家侦探。据信,国家公共数据公司从公共资源中爬取这些信息,为美国和其他国家的人编制个人用户档案。
8月6日,黑客“Fenice”在 Breached 黑客论坛上免费泄露了最完整版的被盗国家公共数据。泄露的数据由两个文本文件组成,总容量为 277GB,包含近 27 亿条明文记录。多人证实,其中包括他们和家庭成员的正确信息。每条记录包含以下信息:个人姓名、邮寄地址和社会保险号,部分记录还包含其他信息,如与个人相关的其他姓名。
—— BleepingComputer