SK海力士离职中国员工涉嫌泄露核心技术被起诉
SK海力士的一名中国籍女性员工A某因涉嫌向中国华为公司泄露有关降低芯片不良率的核心技术资料被捕,目前正在接受审判。京畿南部警察厅产业技术安全侦查队28日表示,30多岁的A某涉嫌违反《防止产业技术泄露及保护法》,上月底被逮捕送检。A某现已被检方起诉,正在接受水原地方法院骊州分院的审判。
A某于2013年入职SK海力士,之后一直在负责分析芯片不良的部门工作,2020年至2022年在中国分公司担任组长,负责企业交易客户洽谈。2022年6月,A某返韩后立即跳槽到华为。A某离职前曾用三千多张A4纸打印出涉及核心半导体工序问题解决方案的资料。A某虽留下了打印文件的记录,但其用途未被SK海力士掌握。警方认为,A某将打印的纸张分批转移至外部,但A某对相关嫌疑矢口否认。
—— 韩联社
北爱尔兰警方因泄露员工信息面临75万英镑罚款
英国信息专员办公室 (ICO) 上周四表示,打算对北爱尔兰警察局 (PSNI) 处以75万英镑的罚款,原因是该警察局错误地在网上发布了电子表格,泄露了全体员工的个人信息。北爱尔兰警察局于2023年8月8日披露了这起事件,当时警方警告称,在回应信息自由法 (FOI) 请求时发生了错误,泄露了有关9,483名现役警官和工作人员的以下数据:姓氏、名字首字母、职级、职务、地址。根据英国信息专员办公室的评估,此次事件使暴露的个人面临严重的人身风险,是由于北爱尔兰警察局数据安全性较差造成的,因此被认为是完全可以避免的。
—— bleepingcomputer、ICO
对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞
我们(公民实验室)分析了常见云端拼音输入法的安全性,包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商,并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出,九家厂商中,有八家输入法软件包含严重漏洞,使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞,我们估计至多有十亿用户受到这些漏洞影响。基于下述原因,我们认为用户输入的内容可能已经遭到大规模收集:
·这些漏洞影响了广泛的用户群体
·用户在键盘中输入的信息极为敏感
·发现这些漏洞不需要高深技术
·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控
在我们测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
—— 公民实验室 (完整报告)
微软员工因安全漏洞泄露公司内部密码
微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器,该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件,其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护,互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后,微软于3月5日修复。
—— Techcrunch
黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版
本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个 Linux 发行版合并,但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题,编号为 CVE-2024-3094,严重性评分为 10/10 。
xz 是被 Linux 发行版广泛使用的压缩格式之一, xz-utils (LZMA-utils)是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在 Git 发行版中找到,因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ,使攻击者可以使用精心构造的数据跳过 RSA 密钥检验,在未授权情况下授予攻击者不受限制的访问权限。
—— Red Hat
苹果起诉前员工泄露 iPhone 手记应用等内容
苹果公司本月在加利福尼亚州法院起诉其前员工安德鲁·奥德,指控他向媒体和其他科技公司的员工泄露敏感信息,违反了公司的保密协议并违反了劳动法。苹果公司已要求陪审团进行审判,并寻求超过25,000美元的损失赔偿。该诉讼称,在五年内,奥德使用苹果公司配发的工作 iPhone 泄露了有关六种苹果产品和政策的信息,包括当时未公布的手记应用和 Vision Pro 头显,产品开发政策,监管合规策略,员工人数等。例如,苹果公司指控,奥德在2023年4月在电话中向《华尔街日报》的一名记者泄露了手记应用的最终功能列表,同月,《华尔街日报》的艾伦·蒂利发布了一篇「苹果计划推出 iPhone 手记应用,在健康技术市场扩大布局」的报道。
—— MacRumors、详情
意大利“盗版盾”源代码和内部文档在线泄露
3月27日凌晨,意大利反盗版平台“盗版盾”的源代码似乎已在 GitHub 上泄露。九个存储库声称包含从前端、数据模型、存储和文件系统到平台的 API 和内部文档的所有内容。这位身份不明的泄密者在一份类似宣言的声明中称,盗版盾“不仅仅是打击网络盗版的失败尝试”,而且是“伪装成盗版解决方案”的审查制度的“危险门户”。在名为“fuckpiracyshield”的存储库自述文件中,这名匿名泄密者批评意大利通信管理局和“盗版盾”开发商 SP Tech Legal 共同创建了“伪装成盗版解决方案的审查工具”。
—— Torrentfreak、GitHub
法国失业登记机构数据泄露影响4,300万人
法国劳动局 (原名法国就业局) 警告称,黑客入侵了其系统,可能会泄露或利用约4300万人的个人详细信息。法国劳动局是法国政府机构,负责登记失业人员、提供经济援助并协助他们寻找工作。昨天,该机构披露,在今年2月6日至3月5日的一次网络攻击中,黑客窃取了过去20年中在该机构登记的求职者的详细信息。拥有求职者档案的个人数据也被泄露。此次攻击暴露的数据类型包括:全名、出生日期、出生地、社会安全号码 (NIR)、法国工作 ID、电子邮件地址、邮寄地址、电话号码。法国劳动局已通知该国数据保护监管机构国家信息与自由委员会。
—— Bleepingcomputer、法国劳动局
敏感的美国军方电子邮件在网上泄露后,现在开始向2万多人通知数据泄露事件
美国国防部通知数万人,他们的个人信息在去年的一次电子邮件数据泄露中被曝光。根据2月1日向受影响个人发出的泄露通知信,美国国防情报局表示,在2023年2月3日至2月20日期间,“服务提供商无意中将大量电子邮件暴露在互联网上”。国防部正在向约20,600名信息受到影响的个人发送数据泄露通知函。
—— Techcrunch
上海网信:某火锅连锁企业存储1.5亿条会员信息有泄露隐患
上海市网信办通报称,已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。在存储环节,大量个人信息未加密处于“裸奔”状态,具有较大的数据泄露风险隐患。如某火锅餐饮连锁企业存储的手机号码、邮箱号码等 1.5 亿条会员个人信息以及包括身份证号码在内的 18 万条本公司员工个人信息。
—— 澎湃新闻