微闻

标签: 泄露

  • 蔚来客户数据泄露案件

    蔚来客户数据疑似泄露

    蔚来客户数据21年8月前用户基本信息和车辆信息,疑似被窃。

    #蔚来

  • 肯德基中国配送数据库疑似泄露

    肯德基中国顾客500万条配送信息疑遭泄露

    黑客论坛BreachForums有用户放出疑似肯德基中国的配送数据库并称其数据来自百胜中国。

    APPDO查看该数据库后发现,该数据包含约500万条配送数据,包括四种信息:姓名(昵称)、邮箱、电话、配送地址。

    —— APPDO频道

  • 英特尔确认Alder Lake BIOS源代码泄露

    英特尔确认 Alder Lake BIOS 源代码泄漏

    据称,一个未知的用户在4chan上泄露了英特尔Alder Lake BIOS的源代码,现在似乎有一份副本被发布到GitHub上。这些文件包含在一个2.8GB的压缩文件中,解压后扩大到5.86GB。

    英特尔已经确认该泄漏是真实的,安全研究人员正在分析代码中的漏洞。

    该文件似乎包含了大量的文件和工具,用于为英特尔的Alder Lake平台和芯片组构建BIOS/UEFI。

    英特尔发言人回应说:”我们专有的UEFI代码似乎已经被第三方泄露了。我们不认为这暴露了任何新的安全漏洞,因为我们不依靠混淆信息作为安全措施。这段代码属于我们在 Project Circuit Breaker campaign 中的漏洞赏金计划,我们鼓励任何可能发现潜在漏洞的研究人员通过该计划提请我们注意这些漏洞。我们正在与客户和安全研究界联系,让他们了解这一情况”。

    —— Tom’s 硬件指南

  • 《卡巴斯基实验室发现被感染的Tor浏览器安装程序被泄露》

    卡巴斯基实验室发现部分中文YouTube频道提供被感染的Tor浏览器安装程序

    卡巴斯基发布的文章说:在执行常规的威胁情报收集活动时,我们发现了多个先前未分类的恶意Tor浏览器安装程序的下载。根据我们的遥测数据,这些安装程序所针对的所有受害者都位于中国。由于Tor浏览器网站在中国被封锁,来自这个国家的个人经常求助于从第三方网站下载Tor。

    在我们的案例中,一个指向恶意Tor安装程序的链接被张贴在一个流行的中文YouTube频道上,该频道专门讨论互联网上的匿名问题。该频道有超过180,000名订阅者,而带有恶意链接的视频的浏览量超过64,000。该视频是在2022年1月发布的,第一批受害者在2022年3月开始出现在我们的遥测中。

    恶意Tor浏览器的安装被配置为比原来的Tor更不私密。与合法的不同,被感染的Tor浏览器存储浏览历史和输入网站表格的数据。更重要的是,与恶意Tor浏览器捆绑的一个库被感染了间谍软件,它收集各种个人数据并将其发送到一个命令和控制服务器。该间谍软件还提供了在受害者机器上执行shell命令的功能,让攻击者对其进行控制。

    我们决定将这个活动命名为 “洋葱毒药”,以Tor浏览器中使用的洋葱路由技术命名。

    —— 卡巴斯基实验室

  • 澳大利亚运营商 Optus 大量数据库泄露

    澳大利亚运营商 Optus 发生重大数据库泄露事件,约 40% 国民信息已被盗

    IT之家 9 月 26 日消息,据路透社报道,澳大利亚第二大运营商 Optus 一直在与客户联系,告知他们的数据被泄露,至少包括 1000 万客户的个人信息受损,受影响的用户数量相当于该国 2590 万人口的 40% 左右。

    此次数据库泄露的规模使其成为该国历史上最大的网络安全事件之一。

    据报道,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。目前已知的关于数据泄露的所有信息是,它来自一个离岸实体。

    Optus 首席执行官 Kelly Bayer Rosmarin 表示,对这次网络攻击感到遗憾和愤怒。

    Optus 官方则表示,它正试图联系“所有客户,通知他们关于网络攻击对其个人信息的影响(如果有的话)”。

    —— IThome

  • 中国人脸和车牌数据库泄露

    超过 8 亿条记录泄露:包含中国人脸和车牌数据库在公网上暴露了数月,数据库和图像没有密码保护

    储存了数百万张人脸和车牌的中国庞大数据库在互联网上曝光了几个月,然后在8月悄然消失。

    虽然它的内容对中国来说似乎不值一提,因为在中国,面部识别是例行公事,国家监控无处不在,但这个被曝光的数据库的规模是惊人的。在高峰期,该数据库拥有超过8亿条记录,是今年规模最大的已知数据安全漏洞之一,仅次于6月份上海警方数据库的10亿条记录的大规模数据泄露。在这两个案例中,数据可能是在无意中暴露的,是人为错误的结果。

    被曝光的数据属于一家位于中国东海岸杭州的科技公司,名为新爱电子(Xinai Electronics)。该公司建立了控制人员和车辆进入中国各地工作场所、学校、建筑工地和停车库的系统。它的网站吹嘘其将面部识别技术用于建筑物出入之外的一系列用途,包括人事管理,如工资发放、监控员工出勤和业绩,而其基于云的车牌识别系统允许司机在无人值守的车库中支付停车费,这些车库由工作人员远程管理。

    正是通过一个庞大的摄像头网络,新爱公司积累了数百万的脸部指纹和车牌,其网站声称这些数据 “安全地存储 “在其服务器上。

    但事实并非如此。

    安全研究员Anurag Sen在中国的一个阿里巴巴托管的服务器上发现了该公司暴露的数据库,并请求TechCrunch帮助报告新爱的安全漏洞。

    森说,该数据库包含了令人震惊的信息量,而且与日俱增,包括数以亿计的记录和新爱公司拥有的几个域名上托管的图像文件的完整网址。但是,数据库和托管的图像文件都没有密码保护,任何知道去哪里找的人都可以通过网络浏览器访问。

    该数据库包括高分辨率人脸照片的链接,包括进入建筑工地的建筑工人和办公室的访客,以及其他个人信息,如个人的姓名、年龄和性别,还有居民身份证号码,这是中国对国民身份证的回应。该数据库还有由新安公司在停车场、车道和其他办公室入口处的摄像头收集的车辆牌照记录。

    —— Techcrunch

  • 中国敏感数据被大量泄露

    WSJ:中国敏感数据暴露量居世界之最,美国屈居第二

    中国政府为了保护敏感数据建立了网络安全和数据保护制度,其严格程度在全球数一数二。然而尽管采取了这些措施,一个跨境地下市场还是围绕着中国公民的数据交易如火如荼地发展起来。
    这些数据中有很大一部分来自中国政府的另一个大型安全项目:庞大的监控网络。

    本月早些时候,在一个颇为热门的网络犯罪论坛上,一名匿名用户挂出了从上海警方窃取的约10亿中国公民的数据进行出售。这是历史上最大的信息窃取案之一,包含极为敏感的数据,例如身份证号码、犯罪记录以及详细的案件摘要,例如强奸和家庭暴力指控等。

    此后,《华尔街日报》又发现了几十个中国数据库,这些数据库在网上的网络犯罪论坛和拥有数千名用户的Telegram社区出售,有时也是免费的。根据《华尔街日报》的审查,其中四个被盗的数据库包含可能来自政府的数据,而其他几个数据库则被宣传为包含政府数据。

    据追踪此类数据库的服务机构LeakIX称,中国还有数万个数据库仍然暴露在互联网上,没有任何安全保障,数据总量超过700TB,是所有国家中最大的数据量。

    公安部、中国网信办和上海市政府没有对评论请求作出回应。

    所有国家都在努力保持其数据的保护。LeakIX的分析显示,美国仅次于中国,有近540TB的数据在公共互联网上被公开。然而,中国的独特之处在于其暴露数据的全面性和敏感性–这是中国将来自政府和企业的多种信息流集中在国营监控平台上的结果。

    —— 华尔街日报

  • B站用户信息泄露疑似包含UID和手机号

    B站2亿余条用户账号、手机号疑泄露,部分用户账号确认真实

    7月6日,一张在暗网叫卖2.2亿余条B站用户信息的截图在网上流传,泄露数据疑似包括用户账号(UID)和手机号,价格为0.5比特币或17.72以太币。截至发稿,B站尚未对此作出回应。

    截图显示,帖子发布于7月6日凌晨,帖主称“中国youtube【哔哩哔哩】数据泄露2.3MM”,数量具体为221,223,698条,包括UID和手机号。除了在帖子里展示的少量数据,帖主还提供了总计超过50万行的样本数据。

    南都记者随机选取了部分样本数据进行核实,发现UID基本上都能对应B站账号,从三位数到九位数都有。对应的手机号则有些是空号,有些可以打通,但暂未证实手机号与UID指向同一用户。

    —— 南方都市报

  • 公司表示用户数据没有被泄露

    公司表示用户数据没有被泄露

    学习通否认用户数据被泄漏,称已报警。

    “排查十余小时,未发现用户信息泄漏证据”

  • Telegram群组聊天记录泄露

    黑客预告将发布137.21GB的Telegram群组聊天记录。黑客声称这些信息是通过TG的一个未被发现的漏洞获取的,即使不加入群组也可以获得一个特定用户加入群组的列表以及最近的信息。