互联网论坛4chan近日遭到黑客攻击,引发广泛关注。此次事件发生于本周二,受袭期间网站频繁宕机,社交媒体上亦有大量用户报告访问问题。值得注意的是,竞争对手留言板上的庆祝言论引发了进一步关注,其中一条消息声称,实施此次入侵的黑客已在4chan系统内潜伏超过一年之久。
网络上还出现了疑似4chan后台界面、源代码以及禁止用户模板的截图,这些内容通常仅限版主和特定授权用户访问。此外,泄露数据中还包括了一份据称是网站版主和“清洁工”(即拥有删除帖子权限但权力低于版主的用户)的身份信息清单。
此次事件不仅暴露了4chan的安全漏洞,还引发了对在线社区防护能力的广泛质疑。考虑到该平台一贯以匿名性和松散管理著称,此次数据泄露可能对论坛运营及用户体验造成深远影响。
百度公司安全负责人内网回应“开盒”事件
百度安全负责人陈洋在公司内网做出了回应说明,表示在接到举报后,已经展开了调查并完成公证取证,结果显示,谢广军女儿开盒事件数据并非从百度泄露。其表示,昨天接到一些举报信之后,我们也在内部成立调查组进行了严格的调查。从结果上看,确实不是谢广军干的,也不是从百度泄露的。此外,其还跟进寻找了数据泄露源头,发现多出自海外社群。且亲测了多个身边人,都可以查询到信息。我们在海外的Telegram电报群里面,找到了很多的这种社工库,通过社工库去查询微博上的一些人的信息,确实可以查到,而且好多信息都是免费的。
—— 凤凰网科技、21世纪经济报道
物联网设备公司 Mars Hydro 重大数据泄露涉及 27 亿条记录
由于数据库不受密码保护,专门从事室内种植和水培设备的中国深圳 Mars Hydro 公司发生了大规模数据泄露,涉及 27 亿条记录,包括 Wi-FI SSID 网络名称和密码、IP 地址、电子邮件地址以及所用智能手机的详细信息(以及它们是否支持 iOS 或 Android)。这不仅导致未经授权访问设备和网络的潜在威胁,而且还可能让网络攻击者有机会通过泄露的联系信息来监视通信和锁定用户。数据主要来自于用来控制部分产品的 Mars Pro 应用,虽然该应用程序的隐私政策表示它不会收集用户数据,但物联网设备在连接到用户网络时仍会传输信息。虽然关于泄露数据被恶意使用的证据很少,但风险始终存在。
—— wccftech
米高梅酒店以4500万美元和解数据泄露诉讼
美国米高梅国际酒店集团同意支付4500万美元,以和解数据泄露诉讼,这些数据泄露事件共泄漏了3700万名客户的个人信息。该案合并了针对两起安全事件提起的二十二起集体诉讼:2019年的数据泄露和2023年的勒索软件攻击。受害者的律师在地方法院文件中表示,两起数据泄露事件中,黑客都成功访问了米高梅的系统,并获取了可识别的客户数据,包括姓名、地址、电话号码、电子邮件地址、出生日期和护照号码。这4500万美元将根据受影响人员所窃取的信息,通过分级系统以75美元、50美元或20美元的形式发放给受影响人员。联邦法院已初步批准了该和解协议,最终听证会定于6月18日举行。
—— TheVerge
Oppo泰国证实发生数据泄露 否认涉贷款应用
中国手机企业 Oppo 的泰国经销商普思菲集团有限公司周五承认发生了数据泄露,并表示已于2024年12月13日向警方报告了这起事件。公司还向个人数据保护中心“鹰眼”提交了正式通知。调查仍在进行。“鹰眼”23日公布了暗网截图,显示有人在出售来自 Oppo 泰国的数据。泄露的数据总计超过165GB,包括客户和员工数据以及系统数据库等关键内部信息。卖家别名“SSL_Dragon”,要求2万美元价格出售这些数据。普思菲集团在声明中保证将全力配合相关部门加快调查,核实事实并密切关注事态发展。公司还澄清,此事与之前涉及贷款申请的争议完全无关。
—— 泰国《民族报》
T-Mobile 因2021年数据泄露再次遭到起诉
华盛顿州正在起诉电信运营商 T-Mobile,指控其未能解决网络安全漏洞,导致黑客泄露全国7900万人的个人数据。美国华盛顿州总检察长鲍勃·弗格森周一提起的消费者保护诉讼源于2021年3月开始的一次网络攻击,攻击直到8月 T-Mobile 披露数据泄露时才被发现。诉讼文件声称,T-Mobile 未能解决公司多年来意识到的某些安全漏洞,也没有正确通知受漏洞影响的两百多万华盛顿居民。诉讼指控 T-Mobile 淡化了数据泄露严重性,此次泄露曝光了现有、以前和潜在客户的个人信息。诉讼要求对2021年数据泄露事件中受影响的用户进行赔偿,并要求法院下令使其网络安全实践符合行业标准,同时提高未来数据泄露的透明度和沟通能力。
—— TheVerge
亚马逊公司确认员工数据遭遇泄露
根据亚马逊公司发表的声明,亚马逊11日证实了员工数据泄露,这些数据已发布在黑客论坛上。根据 Breach Forums 上的帖子,这些数据包括员工姓名、工作联系信息以及工作地点,共有超过 280 万行数据。帖子称数据来源是云数据管理工具套件 MOVEit。亚马逊发言人在电邮中表示:“亚马逊和 AWS 系统仍然很安全,我们没有遇到安全事件。我们接到通知,我们的一家物业管理供应商发生了安全事件,影响了包括亚马逊在内的多家客户。涉及的亚马逊信息只有员工的工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。”亚马逊表示,该供应商已经修复了潜在的安全漏洞。
—— 404media
万豪同意在多次数据泄露后支付5200万美元的和解金
万豪同意向49个州和华盛顿特区支付5200万美元的和解金,以解决2014年至2020年期间发生的一系列数据泄露事件 ,这些事件影响了超过3.34亿客户。作为另一项协议的一部分,联邦贸易委员会还要求万豪及其子公司喜达屋酒店及度假村国际集团实施一项信息安全计划,以解决数据泄露指控。在2020年发现的一起事件中,黑客从马里兰州巴尔的摩 BWI 机场万豪酒店窃取了约20GB的员工和客户数据。 这些数据包括机密业务文档和客户付款信息,包括信用卡授权表。作为和解协议的一部分,万豪同意向所有美国客户提供一种方法,要求删除与其电子邮件地址或会员奖励账号相关的任何个人信息。
—— TheVerge
基因检测公司 23andMe 同意支付三千万美元以和解大规模数据泄露诉讼
23andMe 将支付3000万美元,以和解一起因数据泄露而影响690多万客户的集体诉讼。该基因检测机构将赔偿受影响的客户,并为他们提供三年的安全监控计划。23andMe 去年10月披露了数据泄露事件,12月才确认整体影响。使用 DNA 亲属功能的客户可能通过此次泄露事件泄露了姓名、出生年份和祖先信息等信息。当时该公司将此次黑客攻击归咎于撞库攻击。今年1月,客户在旧金山法院提起集体诉讼,指控该公司未能保护他们的隐私。拟议的和解方案仍需得到法官批准。
—— TheVerge
国家公共数据公司承认其在一次大规模数据泄露事件中泄露了美国社保号码
国家公共数据 (NPD) 是一家转售收集的个人数据以进行背景调查的公司,该公司已确认发生了数据泄露,泄露了姓名、社会安全号码、实际地址等信息。据报道,暗网论坛的发帖者几个月来一直在宣传和分享据称是该公司系统被入侵而窃取的数据,但 NPD 并未对此发表任何声明或回应。最后,该公司本周发布了一个安全事件页面,确认了部分细节:“据信,该事件涉及第三方恶意行为者,其于2023年12月下旬试图入侵数据,并可能在今年4月和今年夏季泄露某些数据。涉嫌泄露的信息包括姓名、电子邮件地址、电话号码、社会保险号和邮寄地址。”据报道,此次泄密涉及29亿条数据,涉及人数尚不清楚。
—— Theverge