📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
英国零售集团合作社集团(Co-op)的首席执行官周三表示,在 4 月的一次网络攻击中,黑客窃取了该公司所有客户的个人数据。
合作社集团首席执行官希琳·库里 - 哈克(Shirine Khoury-Haq)告诉英国广播公司新闻(BBC News),黑客复制了该公司 650 万会员的名单,但合作社集团在黑客能用勒索软件锁定其系统之前关闭了网络。
会员数据包括姓名、地址和联系信息。
4 月合作社集团的此次数据泄露事件,是针对英国零售业的大规模黑客攻击行动的一部分。在这一系列攻击中,玛莎百货也有数量不明的客户数据被盗,哈罗德百货则遭遇了未遂网络攻击。
这些网络攻击被归咎于 “分散蜘蛛”(Scattered Spider)—— 这是一个主要由年轻黑客组成的团体,他们利用欺骗手段,诱使公司的 IT 服务台授予他们访问网络的权限。
7 月初,英国当局逮捕了 4 名据称与这些零售网络攻击有关联的人员,其中包括一名 20 岁的女性、两名 19 岁的男性和一名 17 岁的青少年。这四人被指控犯有黑客攻击、敲诈勒索以及作为有组织犯罪集团成员参与犯罪等罪名。
据报道,自这些网络攻击以来,黑客已将目标转向航空和运输业以及保险公司 —— 这些行业存储着大量消费者的数据。
目前尚不清楚合作社集团的数据泄露事件将造成多少损失。据一家零售业新闻媒体报道,黑客攻击发生时,合作社集团没有购买网络安全保险,这可能导致该公司承担沉重的财务成本。
LexisNexis 表示,一个“未经授权的第三方”在 12 月访问了其记录。
数据分析公司 LexisNexis Risk Solutions 表示,正如 TechCrunch 早些时候报道的那样,它遭受了一次泄露事件,可能暴露了超过 364,000 人的姓名、社会安全号码、联系信息和驾驶执照号码。
在向缅因州提交的一份通知中,LexisNexis 表示,“未经授权的第三方”通过第三方软件开发平台访问了其数据。
泄露发生在 12 月 25 日,但 Lexis Nexis 直到 2025 年 4 月 1 日才发现,并且才刚刚开始通知人们。该公司表示,一旦发现违规行为,它“立即展开了调查”并“通知了执法部门”,并补充说所暴露的信息类型“因受影响的个人而异”。
LexisNexis 发言人詹妮弗·里奇曼 (Jennifer Richman) 告诉 TechCrunch,攻击者通过该公司的 GitHub 帐户获取了这些数据。
LexisNexis 和 GitHub 都没有立即回应置评请求。
通过添加登录别名,并停止使用「你现有的登录邮箱」来登入该微软帐号,以防止爆破的发生。
订阅 newsletter 第一时间获得 博客 内容更新
各位尽快为微软帐号「添加2FA」或者直接启用「无密码帐号」吧,安全中心每天一堆尝试登录的记录,IP来自世界各地。
可以在 https://account.live.com/ 的 「安全」 - 「登录活动」 看到该记录
我先前添加过2FA,这几个月微软的Authenticator 天天弹出尝试登录的验证。
上个月我直接开了无密码帐号,后来的验证请求相对减少了。应该是发现只能通过Authenticator请求才能登录,所以放弃了。
你可以在 「安全」 - 「账户」 - 「管理登录方式」 页面 「添加2FA/开启无密码帐号」
完成操作后,建议在该页面底部找到「从所有位置注销 」,并执行一次。
万一你的帐号被成功爆破,OneDirve被不法分子添加了不雅照片(Child Abuse),可能还会导致被封禁。
在 Telegram 创始人被指控允许Telegram应用程序为犯罪提供便利几周后,印度最大的健康保险公司 Star Health 的被盗客户数据(包括来自印度最大的健康保险公司 Star Health 的医疗报告)可以通过 Telegram 上的聊天机器人公开访问。
据称是聊天机器人创建者的人告诉一位安全研究人员,该研究人员提醒路透社注意这个问题,数百万人的私人详细信息被出售,可以通过要求聊天机器人泄露来查看样本。
在 Star Health and Allied Insurance 给路透社的一份声明中表示,它已向地方当局报告了涉嫌未经授权的数据访问。它表示,初步评估显示“没有广泛的泄露”,并且“敏感的客户数据仍然是安全的”。
使用聊天机器人,路透社能够下载保单和索赔文件,其中包含姓名、电话号码、地址、税务详情、身份证副本、测试结果和医疗诊断。
在测试机器人时,路透社下载了 1,500 多个文件,其中一些文件的最新日期为 2024 年 7 月。
“如果这个机器人被关闭,请留意,几个小时内就会有另一个机器人可用,”欢迎信息中写道。
这些聊天机器人后来被标记为“骗局”,并警告用户已将其举报为可疑机器人。路透社于 9 月 16 日与 Telegram 分享了聊天机器人的细节,在 24 小时内,发言人雷米·沃恩 (Remi Vaughn) 表示,它们已被“删除”,并要求在出现更多聊天机器人时通知。
“明确禁止在 Telegram 上分享私人信息,一旦发现就会被删除。版主结合使用主动监控、AI 工具和用户报告,每天删除数百万条有害内容。
此后,又出现了新的聊天机器人,继续提供 Star Health 数据。
Star Health 表示,一名身份不明的人于 8 月 13 日联系了该公司,声称可以访问其部分数据。该保险公司已向其家乡泰米尔纳德邦的网络犯罪部门和联邦网络安全机构 CERT-In 报告了此事。
“未经授权获取和传播客户数据是非法的,我们正在积极与执法部门合作解决这种犯罪活动。Star Health 向其客户和合作伙伴保证,他们的隐私对我们来说至关重要,“它在声明中说。
像 Ticketmaster 一样,AT&T 的数据显示被第三方云服务商偷走了。这些数据包括 2022 年六个月的通话记录。
AT&T 周五早上透露,一次网络攻击暴露了“几乎所有”用户的通话记录和短信,这些用户包括使用 AT&T 网络的虚拟运营商(如 Cricket、Boost Mobile 和 Consumer Cellular)的客户。这次泄露涉及 2022 年 5 月 1 日至 2022 年 10 月 31 日期间的数据,以及 2023 年 1 月 2 日“极少数”客户的记录。
AT&T 发言人 Alex Byers 向《The Verge》确认,威胁行为者通过公司在第三方云平台 Snowflake 的账户获取了信息,这类似于之前影响到 Ticketmaster 和桑坦德银行的数据泄露事件。AT&T 在四月份首次发现这一安全漏洞,但据 TechCrunch 报道,一位 FBI 发言人证实,“AT&T、FBI 和司法部曾两次同意推迟通知公众和客户,理由是‘可能对国家安全和/或公共安全构成风险’。”
被盗的数据包括客户互动的电话号码,Byers 告诉 The Verge,此次泄露还包括“那些通话/短信的次数以及特定天或月的通话总时长。”
如果有一种公司你绝对不希望看到它被黑客攻击,那就是拥有驾照等照片身份证件的身份验证服务公司——但是这似乎正是 AU10TIX 所发生的事情。
这家网络安全公司的过去或现在的客户包括 PayPal、Coinbase、X、TikTok、Uber、LinkedIn、Upwork 和 Fiverr..
据 404 Media 报道,AU10TIX 不小心泄露了其管理员凭证,这让黑客能够访问大量的个人数据。
根据 404 Media 获取的截图和数据,AU10TIX 在网上暴露了一组管理凭证长达一年多,这可能让黑客有机会访问那些敏感数据
这些凭证允许访问一个记录平台,而该平台包含了与上传身份证件的特定人员相关的数据链接,Hussein 展示道。可访问的信息包括这些人的姓名、出生日期、国籍、身份证号,以及上传的文件类型,比如驾照。接着的一个链接则包含了身份证件的图片,其中有些是美国驾照。
这些被泄露的凭证似乎属于公司的一位网络管理员。
404 Media 下载了这些凭证,发现这个名字与在 LinkedIn 上列出的 AU10TIX 网络运营中心经理的名字一致。文件中包含大量员工使用的密码和各种服务的认证令牌,包括 Salesforce 和 Okta 的工具,以及日志服务本身。
尽管已经接到问题警告,但公司还是没有立即封锁访问权限。
404 Media 首次联系 AU10TIX 进行评论是在 6 月 13 日。大约一周后,AU10TIX 表示:“你们提到的事件发生在 18 个月前。经过彻底调查,确定员工凭证当时被非法访问,并已立即撤销。”然而,Hussein 表示,该登录平台的凭证在本月仍然有效。当 404 Media 将此信息反馈给 AU10TIX 时,该公司表示将在凭证首次在 Telegram 上曝光一年多后停用相关系统。
公司声称没有个人数据被获取,但考虑到这些凭证是在大多数黑客使用的 Telegram 频道中共享的,并且已经使用了一年多,这说法似乎有些可疑。
一场数据泄露事件可能影响多达 5.6 亿个 Ticketmaster 账户,Santander 银行也确认受到了影响,这可能是由于对一家名为 Snowflake 的公司的云存储账户的攻击所致。据 Bleeping Computer 报道,网络安全公司 Hudson Rock 的调查显示,一名不法分子通过使用一名 Snowflake 员工的被盗凭证,获得了对 Ticketmaster 和 Santander 的访问权限。
根据 Hudson Rock 的说法,黑客使用这些凭证绕过了认证服务 Okta,然后生成会话令牌,从 Snowflake 获取了大量信息。除了 Ticketmaster(该公司在周五晚上公开承认了这一漏洞)和Santander 银行,Hudson Rock 还表示,黑客可能已经访问了数百个其他 Snowflake 客户。一些使用该云存储服务的主要品牌包括 AT&T、惠普、Instacart、DoorDash、NBCUniversal 和万事达卡。
据 Bleeping Computer 报道,参与此次事件的威胁行为者似乎是一个名为 ShinyHunters 的黑客组织,他们试图在暗网上以 50 万美元的价格出售 Ticketmaster 的数据。ShinyHunters 还声称对 Santander 的数据泄露事件负责,并将据称属于超过 3000 万客户的信息进行出售。
美国最大运营商 AT&T 遭遇大规模数据泄露事件,涉超 7000 万客户信息
美国最大运营商 AT&T(美国电话电报公司)当地时间周六宣布,正在调查一起大规模客户数据泄露事件,涉及约 760 万当前客户和 6540 万前客户的个人信息,数据被泄露到暗网上。
初步分析显示,泄露的数据约来自 2019 年或更早时期,内容包含客户姓名、电子邮件、出生日期等信息,以及社会安全号码,但不包含财务信息。AT&T 的声明称,截至目前,该事件尚未对公司运营产生重大影响,泄露源头尚未确定,AT&T 已经重置了数百万客户的账户密码。
via 匿名
🗒 标签: #隐私 #数据泄露
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
美国最大运营商 AT&T(美国电话电报公司)当地时间周六宣布,正在调查一起大规模客户数据泄露事件,涉及约 760 万当前客户和 6540 万前客户的个人信息,数据被泄露到暗网上。
初步分析显示,泄露的数据约来自 2019 年或更早时期,内容包含客户姓名、电子邮件、出生日期等信息,以及社会安全号码,但不包含财务信息。AT&T 的声明称,截至目前,该事件尚未对公司运营产生重大影响,泄露源头尚未确定,AT&T 已经重置了数百万客户的账户密码。
via 匿名
Roku公司透露,黑客通过一次安全漏洞获取了15,363个账户的访问权限以及储存的信用卡信息,这一消息最初由Bleeping Computer报道。Roku在发送给客户的通知中表示,黑客获取了登录信息,并尝试在“少数”情况下购买流媒体订阅服务。
Roku表示,黑客很可能通过之前第三方服务数据泄露事件获取了账户信息。这种攻击被称为“凭证填充”,黑客会获取在数据泄露中暴露的电子邮件和密码,然后尝试将这些组合用于其他服务。一旦他们成功进入一个账户,黑客就会更改一些账户的登录信息,从而完全控制这些账户。
如果账户里保存了信用卡信息,黑客还可以在Roku上为Netflix、Max、Paramount Plus、Hulu、Peacock、Disney Plus等服务购买订阅。《Bleeping Computer》还发现,黑客们在一个黑客市场上以每个账户大约50美分的价格出售这些偷来的信息。
幸运的是,这次Roku账户泄露并没有暴露社会保障号码、完整的支付账户号码或出生日期。Roku表示,他们已经通过要求受影响用户重置密码来“保护账户不再遭受未授权访问”。同时,他们也在努力取消并退款那些未经授权的购买。
两周内,X第二次努力控制明星的裸照在平台上传播。
周三,就在又一起名人形象丑闻疯传之际,X在免费聊天应用中冲上排名第一。
周三,“Drake video”这个标签成为了美国的热门话题,此前有一段视频在twitter上流传,用户猜测这是说唱歌手德雷克半裸的性行为。
这件事发生在X努力阻止另一张色情名人照片传播不到两周之后。1月下旬,人工智能生成的泰勒·斯威夫特(Taylor Swift)的假裸照在该平台上流传,导致该公司一度屏蔽了对这位艺术家名字的所有搜索。
个人隐私的安全,和青少年的健康成长,能否兼得?
历经四年、四位首相任期、脱离欧盟和疫情两大事件后,英国的《在线安全法案》(Online Safety Act)终于在今年的10月26日获得通过。
今年新的《在线安全法案》通过,英国通讯管理局(Ofcom)获得了更多权力和职能,遂将色情网站年龄验证计划再度提上日程。根据法案,如果网站或APP未能“确保儿童通常不会在其服务中遇到色情内容”,便可能被处以最高1800万英镑(约合人民币1.61亿元)或其全球收入10%的罚款(以较高者为准)。
12月5日,Ofcom发布新闻稿,给出了一系列可供各方参考并遵守的方针草案。他们将在即日起就这些方针进行咨询,并在2025年初确定最终指南。
其中提到,银行或网络运营商,可以在提供服务时确认用户年满18岁,或要求用户提供仅适用于18岁及以上人士的信用卡的详细信息(前提是经用户同意)。
具体的色情服务提供商,可以要求用户上传带照片的身份证件(驾照或护照),亦或者让网站使用“人脸年龄估计”技术,确定用户年满18岁。
人脸信息属于敏感数据,毕竟在泄露后没办法轻易修改。Ofcom在新闻稿中承诺,所有年龄保证方法均须遵守英国隐私法;且人脸识别并非唯一验证用户身份的可取方案。如果人脸识别估计用户年龄小于25岁,可以通过其他的替代方法进行第二次年龄检查。
Ofcom也做过调查,声称绝大多数调查者普遍支持色情网站年龄验证。尽管也有52%观看过在线色情内容的成年人,担心数据保护问题;42%的成年人害怕色情网站“共享个人信息”。
Ofcom在线安全负责人吉尔•怀特黑德(Gill Whitehead)在接受外媒Verge采访时承认,网络安全从不存在“灵丹妙药”。但她认为,只要这些措施能够在阻止儿童意外接触成人内容时帮上忙,那就是值得的:
“我认为法律和科技公司保护用户安全的注意义务,是更广泛措施的一部分。这些措施包括教育、包括家长与儿童的对话。所有这些事情可以共同努力,真正帮助保护儿童的上网安全。”
康卡斯特旗下的Xfinity公司披露了一起数据泄露事件,黑客得以获取大量客户信息。
获得的Xfinity客户的数据“可能”包括用户名、散列密码、真实姓名、联系信息、出生日期、社会保险号的后四位数字以及安全问题和答案……
Xfinity表示,这些数据是通过上个月发现的思杰漏洞获得的。
2023年10月10日,思杰宣布Xfinity和全球数千家其他公司使用的软件存在漏洞。Citrix于2023年10月23日发布了额外的缓解指导。Xfinity迅速修补并缓解了其系统中的Citrix漏洞。然而,在10月25日的例行网络安全演习中,Xfinity发现了可疑活动,并随后确定,在2023年10月16日至10月19日期间,未经授权访问其内部系统,这是该漏洞的结果。
Xfinity通知了联邦执法部门,并对事件的性质和范围展开了调查。11月16日,Xfinity确定这些信息可能是被获取的。在对受影响的系统和数据进行了进一步审查后,Xfinity于2023年12月6日得出结论,范围内的客户信息包括用户名和散列密码;对于某些客户,可能还包含其他信息,例如姓名、联系信息、社会安全号码的最后四位数字、出生日期和/或秘密问题和答案。然而,数据分析仍在继续。
泄露周海媚病历的医务人员已被行拘
12月12日晚,周海媚工作室微博发布声明确认,著名港星周海媚女士已于12月11日因病去世,年仅57岁。
就在讣告发布不久,一张疑似周海媚的电子病历拍摄照片在网上热传,详细记载了周海媚在北京顺义区某医院的就医信息,13日,涉事医院宣传科一名工作人员向媒体证实了该份病历的真实性。
14日上午,平安北京顺义进行了情况通报:公安分局查处一起散布他人隐私案件。经查,12月11日,符某某(男,36岁)利用其在顺义区某医院工作的便利,出于炫耀目的,将一名病患的个人病历拍照发至微信群,导致信息扩散,造成恶劣社会影响。目前,顺义公安分局已将符某某依法行政拘留。
🗒 标签: #隐私 #数据泄露
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
12月12日晚,周海媚工作室微博发布声明确认,著名港星周海媚女士已于12月11日因病去世,年仅57岁。
就在讣告发布不久,一张疑似周海媚的电子病历拍摄照片在网上热传,详细记载了周海媚在北京顺义区某医院的就医信息,13日,涉事医院宣传科一名工作人员向媒体证实了该份病历的真实性。
14日上午,平安北京顺义进行了情况通报:公安分局查处一起散布他人隐私案件。经查,12月11日,符某某(男,36岁)利用其在顺义区某医院工作的便利,出于炫耀目的,将一名病患的个人病历拍照发至微信群,导致信息扩散,造成恶劣社会影响。目前,顺义公安分局已将符某某依法行政拘留。
根据泄露的警方文件、白宫备忘录以及美国参议员罗恩-怀登(Ron Wyden)写给司法部的信中透露的信息,所有这些都证实了数百万美国人正在被监视。调查显示,联邦、州和地方执法部门一直在参与监视数百万美国公民,而且这种情况已经持续了十多年。
该计划被称为"数据分析服务"(DAS),用于追踪犯罪分子的通话记录,以及他们的朋友、家人的朋友和其他一些甚至不在嫌疑人名单上的人的通话记录。该程序以前被称为 Hemisphere,它在 AT&T 的帮助下捕获通话数据,而 AT&T 恰好是美国最大的运营商之一。
相关报道:Galaxy S22 Ultra创造了历史,因为它被用来通过卫星拨打世界上第一个语音电话。
《连线》(Wired)查阅的一份白宫备忘录还提到,总统办公室为该计划提供了超过 600 万美元的援助,这样使用 AT&T 基础设施拨打的电话就可以顺利录音。运营商发言人金-哈特(Kim Hart)拒绝就 DAS 发表评论,并提到了公司将如何遵守法律要求。
不过,这并不是我们第一次听说 DAS 计划。早在 2013 年,前总统奥巴马就停止了对该计划的资助。然而,在唐纳德-特朗普宣誓就职后,该计划又恢复了资助,并在 2021 年重新启动。遗憾的是,在现任政府的领导下,该计划的资助再次启动。
《连线》(Wired)撰写了一份完整、全面的报告,介绍了 DAS 计划的运作方式以及 AT&T 在该计划中的参与情况,以下是报告原文:
https://www.wired.com/story/hemisphere-das-white-house-surveillance-trillions-us-call-records/
在阅读了报告本身和相关内容后,我发现自己并没有想象中那么惊讶。这让我想起了肖恩-帕克在《社交网络》中说过的一句话:"私人行为是过去时代的遗物"。
"虽然 DAS 是在一个专门针对贩毒的项目下进行管理的,但北加州地区情报中心(NCRIC)泄露的一份文件显示,达利市和奥克兰等地的地方警察机构要求 DAS 提供数据,用于处理似乎与毒品无关的未决案件。"
"报告中还提到了一些例子,警方要求获得 DAS 数据,只是为了通过监视受害者的密友来确定嫌疑人和受害者的身份。文件还显示,DAS 计划的范围远远大于美国邮政局的检查员以及纽约惩教署的假释官接受培训的情况。
Facebook的母公司Meta因隐私泄露被罚款13亿美元
据《华尔街日报》消息人士称,Facebook隐私泄露事件导致母公司Meta被罚款13亿美元 - 这是有史以来因违反欧洲严格的GDPR隐私法而被征收的最大金额。这一消息预计将于今天晚些时候正式公布。
罚款也引发了人们对美国脸书用户隐私的质疑,因为罚款是因为让欧洲公民暴露在适用于美国用户的宽松规则之下…
🗒 标签: #Meta #Facebook #隐私
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
据《华尔街日报》消息人士称,Facebook隐私泄露事件导致母公司Meta被罚款13亿美元 - 这是有史以来因违反欧洲严格的GDPR隐私法而被征收的最大金额。这一消息预计将于今天晚些时候正式公布。
罚款也引发了人们对美国脸书用户隐私的质疑,因为罚款是因为让欧洲公民暴露在适用于美国用户的宽松规则之下…
