黑客利用 Telegram 聊天机器人泄露印度保险公司 Star Health 的数据
印度最大健康保险公司 Star Health 被盗客户数据 (包括医疗报告) 可通过 Telegram 上的聊天机器人公开访问。Star Health 在声明中表示,该公司已向当地政府报告了涉嫌未经授权的数据访问,初步评估显示“没有大规模入侵”,并且“敏感的客户数据仍然安全”。
聊天机器人能够下载包含姓名、地址、电话号码、税务详情、身份证副本、检查结果和医疗诊断的保单和索赔文件。机器人制作者 xenZen 称其拥有与3100多万 Star Health 客户相关的7.24TB数据。这些数据通过聊天机器人以随机、零碎的方式免费提供,但也提供批量出售。虽然 Telegram 已经关闭了部分机器人,但新的聊天机器人不断出现。
—— 路透社
涉对华泄露芯片技术三星前高管被批捕
韩国首尔警察厅6日消息,涉嫌对华泄露芯片核心技术的三星电子前高管和首席研究员被批捕。曾担任三星电子和海力士半导体高管的66岁崔珍奭和前三星电子首席研究员60岁吴某涉嫌违反商业秘密保护法等,泄露三星电子自主开发的700多个20纳米技术工艺流程图用于成都高真科技公司进行产品研发。成都高真科技公司是崔珍奭2021年获投资后设立,吴某出任该公司高管。警方于今年1月申请提捕吴某,但被驳回。警方补充侦查并再次提请批捕,并一同提捕崔珍奭。首尔中央地方法院日前批准逮捕。警方计划具体调查泄密过程、以及是否获取经济利益等。
—— 韩联社、朝鲜日报
开源CDN Goedge被发现鉴权漏洞,泄露了包括用户身份证件在内的大量图片
继被曝出官方投毒后,有网友经测试再次发现重大问题。Goedge用户端上传的静态资源和实名认证时上传的身份证图片全部都在 /files/file 这个路由下只要用户端地址+/files/file?fileId=1 就可以获取到上传的图片附件(主控端也一样)
虽然上传身份证时在数据库的 isPublic 字段确实是不公开的,但是goedge却没有判断这个字段,还是可以公开访问。
目前只有一个临时解决方案,在数据库执行这个这个命令,把证件附件的状态改一下(改了后就访问不了,审核的时候也看不到),这个bug还需要goedge那边进行修复
UPDATE edgefiles SET state = 0 WHERE type = ‘user.idcard’;
根据以上规则,写个脚本就可以批量拿到该系统上传的所有图片文件。
方能和安捷自家用的都是Goedge,随便爬一下拿到不少身份证正反面和营业执照的图片。
—— kunkunk
黑客发布疑似腾讯14亿条泄露数据
有黑客在臭名昭著的 BreachForums 数据泄露论坛中发布了据称是来自腾讯的 500G 数据包,一共有14亿条记录。样本数据显示,这些数据包含手机号码、邮箱和QQ号。由于尚未下载到完整数据包,因此还无法确定这些数据是否为最新泄露的。
泄露该数据的黑客名为 Fenice,此前他还泄露了27亿条包含美国社会保障号的数据。
黑客泄露27亿条包含美国社会保障号的数据记录
近27亿条美国人的个人信息记录在一个黑客论坛上被泄露,其中包括姓名、社会保险号、所有已知的实际地址和可能的别名。据称,这些数据来自国家公共数据公司,该公司收集并出售个人数据,用于背景调查、获取犯罪记录和私家侦探。据信,国家公共数据公司从公共资源中爬取这些信息,为美国和其他国家的人编制个人用户档案。
8月6日,黑客“Fenice”在 Breached 黑客论坛上免费泄露了最完整版的被盗国家公共数据。泄露的数据由两个文本文件组成,总容量为 277GB,包含近 27 亿条明文记录。多人证实,其中包括他们和家庭成员的正确信息。每条记录包含以下信息:个人姓名、邮寄地址和社会保险号,部分记录还包含其他信息,如与个人相关的其他姓名。
—— BleepingComputer
谷歌通过提前展示 Pixel 9 Pro 手机解决泄露问题
谷歌发布了 Pixel 9 Pro 手机的展示视频,此前有一系列泄密事件曝光了这款手机的详细信息,包括上手视频和与其他最新设备的比较。该公司计划于8月13日在加州谷歌总部举办一场活动,展示更多有关 Pixel 9 系列及其其他即将推出的设备的信息。视频中,谷歌简要展示了 Pixel 9 Pro,并透露人工智能和 Gemini 将成为该设备的重要组成部分。最近的监管文件和其他泄密事件表明,谷歌计划推出四款手机:Pixel 9、Pixel 9 Pro、Pixel 9 Pro XL 和 Pixel 9 Pro Fold。
—— Theverge、视频
微星被发现暴露售后用户资料 超过60万用户资料可以随便下载
MSI 微星被发现泄露售后用户资料,只需要通过特定关键词即可在搜索引擎上找到微星关联的售后服务网站,该网站包含用户提交的各种详细资料。通过售后服务网站任何人都可以直接下载和导出自 2017 年以来通过微星官网提交售后的用户资料,包含真实姓名、电话号码和详细地址等信息。经过测试任何人甚至还可以重新提交售后请求、跟踪售后请求的详细信息、访问微星给出的回复以及故障原因等,通过检索这些信息一些知名的游戏主播资料也被暴露。目前微星的处理方式直接停止了域名解析,不过部分数据在搜索引擎缓存中还可以查到。
—— StackDiary、蓝点网
原神玩家剧透游戏测试视频判赔10万元
2023年7月,一名00后玩家在参与《原神》游戏4.0版测试时,将一段测试视频“剧透”在聊天群里,最终导致游戏新角色和场景提前在社交平台泄露。因双方签订有《保密协议》,《原神》的运营公司将其起诉至法院,要求赔偿50万元。记者从南京市秦淮法院获悉,近日该院对该案作出一审判决,酌定该游戏玩家赔偿原告公司10万元。据介绍,该案为中国首例将未公开的游戏角色、场景认定为商业秘密范畴并加以保护的案件。
—— 新浪新闻(扬子晚报)
美国最大票务网站 Ticketmaster 向美国证券交易委员会提交文件确认数据泄露
美国最大票务网站 Ticketmaster 已向美国证券交易委员会提交了官方8-K表格,承认并确认最近传闻的数据泄露事件属实。理想国演艺股份有限公司5月20日在包含公司数据的第三方云数据库环境中发现未经授权的活动,其中包含公司数据,主要来自其 Ticketmaster 子公司。该公司立即在取证专家的帮助下展开调查,以了解违规行为的程度和性质。5月27日,黑客组织 Shiny Hunters 在暗网出售该公司1.3TB用户数据,声称包含5.6亿名用户。理想国演艺已向监管机构和受影响的用户通报了未经授权访问个人信息的情况,并继续评估风险并致力于补救措施。
—— Stackdiary
日本加密货币交易所DMM Bitcoin遭泄露3亿美元比特币
日本加密货币交易所DMM Bitcoin表示,发现其数字钱包“未经授权泄露”约3.01亿美元,这可能是数字资产平台遭受的最大规模黑客攻击之一。该交易所在其网站上表示仍在调查流出的4503枚比特币。平台限制了加密货币取款等一系列服务。区块链研究机构Chainalysis在帖子中称这起事件为“黑客攻击”,并将资金标记为被盗。DMM 表示“将提供全额保障”。已接到报告的金融厅发出指示,要求查明原因。东京警视厅接到DMM的咨询,打算调查问题原委。
—— 界面新闻、共同社