记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。
发布时间:2020-09-17 11:44 | 阅读:5730 | 评论:0 | 标签:数据泄露 网络安全 伊朗 信息泄露 美国 入侵

美军背景公司被爆在500多款APP中植入跟踪软件,涉数亿用户

果然是满嘴道德仁义,一肚子见不得人的“猫腻”。 近日,美国频频借国家安全、信息泄露之名,行打压中国科技企业之实。谁想这贼喊捉贼的旧把戏,却因为一家背景非常特殊的美国小公司,彻底暴露了。 当地时间8月7日,《华尔街日报》报道称,一家与美国国防和情报界有联系的美国小公司,已经将其软件植入到超过500款移动应用程序中,使其能够追踪全球数亿用户的位置数据。   报道称,私营公司买卖位置数据的情况虽不在少数,但与美国国安机构密切相关的企业直接收集此类数据,这是不寻常的。 这家位于弗吉尼亚州的美国小公司名叫Anomaly Six,由两名有情报背景的美国退伍军人创办。
发布时间:2020-08-10 17:24 | 阅读:13339 | 评论:0 | 标签:业界快讯 信息泄露 美军 美国 app

14万条学生个人信息泄露,教育行业信息安全引关注

教育信息化的推进,让大量学生、教师的个人信息以及各类重要数据被聚集,这些信息数据如果没有保护好,很容易发生大规模的数据泄露。这不,在6月就有媒体报导了两起泄露大量学生个人信息的事件。 1、14万条学生个人信息泄露 近日据央视报道,江苏无锡江阴市市场监督管理局在对某教育培训机构进行监督检查时,执法人员发现几十个标注了江阴各个中小学名称的EXCEL表,涵盖了江阴市绝大部分中小学学生和家长的信息资料,包括学生姓名、性别、所在学校、年级、班级、学生家庭地址、家长姓名及电话等个人信息14万余条。
发布时间:2020-07-08 14:13 | 阅读:12711 | 评论:0 | 标签:信息安全 信息泄露 信息防泄漏 泄露

任天堂确认16万Switch用户账户泄露

近日CS:GO等热门网络游戏发生源码泄露后,游戏行业的违规事件似乎进入了频发期。在大量用户抱怨他们账户被黑客入侵之后,本周五上午,任天堂(Nintendo)证实,本月初的一次黑客入侵至少泄露了16万个Switch用户账户。根据任天堂的说法,使用Nintendo Network ID(NNID)登录的160,000个用户账户可能已受到此漏洞的影响。自4月初以来,攻击者一直在利用其NNID旧登录系统来入侵用户账户。任天堂没有提供有关攻击者如何访问NNID账户的更多详细信息,只是提及该账户的密码是“通过除服务以外的其他方式非法获取的”。
发布时间:2020-04-26 17:53 | 阅读:20068 | 评论:0 | 标签:行业动态 首页动态 Switch用户 任天堂 信息泄露 泄露

服务器端请求伪造(SSRF)攻击导致大量科技、工业和媒体组织信息泄露

摘要服务器端请求伪造(SSRF)是一个Web应用程序漏洞,可将攻击者的请求重定向到防火墙后的内部网络或本地主机。由于使用了元数据API,因此SSRF对云服务构成了特殊的威胁,这些元数据API允许应用程序访问底层云基础架构的信息,例如配置、日志和凭据。原本只能在本地访问这些元数据API,但SSRF漏洞使得这些内容可以从网络进行访问。另外,此类漏洞也绕过了容器的沙箱保护。可以说,SSRF无疑为内部网络侦查、横向移动甚至是远程代码执行打开了一扇新的大门。默认情况下,容器中的应用程序可以直接访问其主机上的元数据API,从而实现一种特殊的容器逃逸方式。
发布时间:2019-12-06 13:25 | 阅读:34214 | 评论:0 | 标签:业务安全 SSRF 信息泄露

网红、大V、明星的隐私信息大量被泄露!走过路过不要错过,买不买没关系,到屋里瞧一瞧!

还记得2017年Instagram 600万名人账号信息泄漏的事件吗?2017年8月底,小天后赛琳娜(Selena Gomez)的IG帐号(Instagram)被黑客入侵,导致其前男友贾斯汀比伯的裸照被曝光。当大家以为事件已经结束的时候,紧接着Instagram被证实出现了严重漏洞问题,导致600万账号信息泄露,其中就有很多加V认证过的名人用户账号。超4900万条Instagram名人账户数据再一次被泄漏!根据最新的报道,Instagram位于AWS存储桶上的一个大型数据库由于保护不当,任何没有访问权限的人都可以访问它。目前,由该漏洞造成的损失和危害还在评估当中。
发布时间:2019-05-21 17:25 | 阅读:92014 | 评论:0 | 标签:事件 信息泄露

Twitter用户密码明文保存漏洞的安全警示

阅读: 20前段时间,美国大型社交网络平台Twitter和Facebook均爆出信息泄露事件。这些安全事件的背后究竟发生了什么,作为普通用户应该如何防范,作为开发人员又应该从这次事件中吸取什么经验教训呢?5月3日,美国大型社交网络平台Twitter向所有用户发布提醒,称此前存在重大漏洞,导致用户密码以明文形式保存在内部日志中,并建议所有用户更换密码。该事件是在美国另一个大型社交网站Facebook大规模信息数据泄露事件发生之后的另一起安全事件,有一位网友评论道:“Twitter这是用实力替正处于风口浪尖的Facebook挡了一刀,然而他们牺牲的都是用户的隐私,威胁的都是用户的安全”。
发布时间:2018-06-01 15:05 | 阅读:139277 | 评论:0 | 标签:安全意识 facebook Twitter 信息泄露 漏洞

卡巴斯基针对应用内第三方广告泄漏用户信息的调查分析

在目前发生的许多网络攻击中,很大一部分原因是因为用户在非官方的渠道下载了经过恶意改造的应用。所以经验告诉我们,只要在使用官方应用商店里的评级很高的流行应用时,它们就一定是安全的。其实这种想法只是部分正确的,之所以说对,是因为通常这些官方应用商店里的应用程序是在开发时考虑到安全性并且已经由应用商店的安全团队进行审查。但之所以不全对,是因为卡巴斯基实验室的研究人员发现,由于第三方SDK的缘故,许多流行的应用程序都会将用户数据泄露在网络中,而广告SDK通常是这方面的重灾区。
发布时间:2018-04-24 12:20 | 阅读:118127 | 评论:0 | 标签:Web安全 信息泄露

【RSA2018】数据安全 | DBMS插件型数据加密产品技术要点分析

阅读: 15数据安全是RSA大会近年来关注的重点。随着大数据、人工智能和物联网技术的发展,如何能够有效的保护个人隐私,保护企业敏感数据不被泄露,已经成为越来越多的安全厂商关注的重点。来自韩国的CubeOne提供了一种基于DBMS加密防护的安全解决方案,适用于存储重要信息(个人信息)的大容量DB。文章目录数据安全需求与日俱增产品技术要点绿盟数据安全解决方案数据安全需求与日俱增除了本次大会创新沙盒冠军BIGDATA以外,从本次RSA大会参展的数据安全方案提供商来看,有传统数据安全防护方案提供类厂商(如PKWARE),也有更专注于提供数据安全防护方案的厂商(如CubeOne)。
发布时间:2018-04-19 20:15 | 阅读:199326 | 评论:0 | 标签:技术前沿 rsa2018 信息泄露 数据安全 加密

因信息数据被泄露,这家公司为此付出了高昂代价!

因为员工信息数据被泄露,这家公司被自己的员工集体告了上法庭,最后该公司被判决向数千名员工支付赔偿金,这到底是怎么回事呢?我们一起来看看 员工信息被泄露,集体状告东家 遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。
发布时间:2018-03-23 18:10 | 阅读:134094 | 评论:0 | 标签:安全前沿 信息泄露 数据防泄露

数据泄露的又一途径:在线翻译

9月前,翻译还没有什么存在感——至少从信息安全的角度看来如此。将一种语言的内容转化成另一种并不在CSO列出的高危数据之列。但之后,挪威新闻机构NRK报道了世界上最大的油气公司之一——挪威国家石油公司(Statoil)的数据泄露事件。据NRK的报道,Statoil公司460亿美元的业务往来使用了translate.com,一个免费在线工具,用来翻译“解雇通知、裁员与外包计划、密码、代码信息和合同等”。当大学教授Lise Lyngsnes Randeberg用谷歌搜索Statoil的时候,却检索到了部分该公司使用translate.com翻译的信息内容。
发布时间:2017-11-22 09:05 | 阅读:172578 | 评论:0 | 标签:牛闻牛评 translate.com 信息泄露 在线翻译 翻译管理软件

趋势科技提醒:不法分子已经盯上了你的生物识别信息

近日,一家国外机构宣布破解iPhone X上的Face ID,研究人员只需要获取人面部的清晰图像,就可以伪造出骗过Face ID的“通行证”,而随着破解技术的进一步完善,骗过人脸识别、进而窃取受害者信息的手段可能将会更加简单。这种风险可不是杞人忧天,现在很多软件在使用的过程中都要求消费者摄制完整的面部信息,并将其发送到指定的服务器,一旦其数据库被不法分子攻破,将很可能带来巨大的潜在风险。不法分子更可能使用的方式是在正规应用中加入恶意代码,进行重新打包,或是直接制作全新的恶意软件。当受害者下载这些恶意软件之后,不法分子会提示受害者必须录入指纹、面部等识别信息之后才能正常使用。
发布时间:2017-11-22 09:05 | 阅读:145918 | 评论:0 | 标签:厂商供稿 信息泄露 恶意软件 生物识别信息

暗网系列之:新兴市场管理员经验不足,大量交易站点的真实IP地址暴露

背景介绍 今年夏天,美国、俄罗斯、荷兰的执法部门撤除了暗网上排名前三的非法交易市场,之后执法人员又陆续跟踪并清除了多个活跃的暗网市场,这些暗网站点服务器由于配置不当致使服务器的真实IP泄露。在暗网环境下,泄露真实的IP地址意味着执法人员可以跟踪到具体的服务器,并进一步追查到网站的经营者及大部分用户的真实身份。 研究人员喜欢追踪暗网入口 在过去的两个月中,一个安全研究员(化名“Sh1ttyKids”)发现暗网市场中的一些网站暴露了自己真实的IP地址,其中一些是从事违法交易的站点。
发布时间:2017-11-18 23:45 | 阅读:168773 | 评论:0 | 标签:文章 观点 信息泄露 暗网市场 犯罪形势

凛冬将至,异鬼来袭,你的长城筑好了吗?

阅读: 46经历了整整六季的“凛冬将至”预言,这一季看来预言真要应验了。想到异鬼军团马上就要发动强势进攻,真是替北境捏(兴)一(奋)把(异)汗(常)!这不,守夜军团的将士们已经整装待发。“绝境长城”也在冰雪中中严阵以待。“绝境长城”300英里长,700英里高,位于七大王国的北端边疆。“绝境长城”不仅由玄冰和巨石建成,它的根基还刻有古老的咒语,有着强大的魔法以保护人类免受墙外异鬼侵扰。只要它屹立不倒,异鬼就无法入侵。

发现Google内网漏洞 拿到5000美元

研究人员从谷歌手中赚到5000美元奖金,因为在这家科技巨头的内网系统登录页面发现了一个信息泄露漏洞。 谷歌员工到公司后第一件事是什么?很可能是登录“moma”——谷歌内网登录页面login.corp.google.com。这个页面就是让奥地利研究员大卫·温德赚到谷歌漏洞奖励的脆弱谷歌服务。 该登录页面很简单,但每次被访问都会从 static.corp.google.com加载一个随机镜像。多次尝试失败后,温德通过在该URL后添加随机字符串,成功产生了一个404错误页面。
发布时间:2017-05-21 06:50 | 阅读:160506 | 评论:0 | 标签:牛闻牛评 信息泄露 漏洞奖励 谷歌 漏洞

易出错、不安全,却不可避免 这就是现在的面部识别技术

想预见未来?不如想象一下装载了所有人面孔的数据库吧! 面部识别技术代表了警方和政府重要的不可避免的识别方法。不幸的是,这东西基本上没有监管,容易出错,且不安全。 上个月美国国会众议院监督及政府改革委员会举行的一场听证会上,议长杰森·查菲茨承认了面部识别技术的潜在价值,但也表达了对其使用方式的担忧。 查菲茨称,该技术十分容易出错,FBI面部识别搜索中1/7的结果都是错误的,尽管正确的匹配图像就在数据库中,还是把无辜的人给推出来了。政府保护该数据的能力也值得怀疑。 “我不相信他们能保证这些信息的安全。” 问题焦点在于:美国公民能否避免受制于公共面部识别扫描,以及哪些法律来监管这种系统。
发布时间:2017-04-03 19:15 | 阅读:157550 | 评论:0 | 标签:牛闻牛评 FBI 信息泄露 法律监管 面部识别

网络安全法后企业的一些变化

去年通过的《中华人民共和国网络安全法》已经有一段时间,作为我国第一部全面规范网络空间安全秩序的基础性法律,国家首次对网络运营者进行个人信息收集、存储、处理、使用和转让等行为作出明确规定;对于未履行网络安全义务的企业,也将根据相关规定罚款警告,情节严重的则被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
发布时间:2017-03-08 01:40 | 阅读:145281 | 评论:0 | 标签:微信公众号 信息泄露 网络安全法

学习手册:信息泄露事件忖量

阅读: 151随着企业信息化的发展,在日常工作中,信息系统已逐渐成为不可或缺的工具和手段。利用信息化技术打破地域之间的阻碍,同时还会产生大量如客户资料、财务报表、研发数据等关乎企业核心竞争力的机密信息。然而网络强大的开放性和互通性,同时催生了商业泄密等信息安全事件,信息防泄漏成为企业越来越关注的焦点。

怎样为企业挑选正确的EDR解决方案

尽管黑客的动机一如既往——钱、信息、更多的钱,他们的攻击方法却变得愈加复杂、具侵略性,且更难以阻止。终端检测与响应(EDR)解决方案,如今已成为公司企业确保尽可能不受攻击威胁伤害的紧迫需求。 EDR解决方案数年前便已出现,但由于能感染终端中数个系统的勒索软件的兴起,EDR解决方案如今开始获得越来越多的关注。勒索软件的大量出现,迫使企业安全团队重新评估现有安全解决方案,认识到立即部署EDR的重要性。 传统反病毒解决方案虽然也很重要,却不足以保护企业终端免受攻击。另外,传统反病毒解决方案只能封锁已知威胁,一旦威胁是未识别的,便很有可能穿透防护。
发布时间:2016-10-09 04:15 | 阅读:123030 | 评论:0 | 标签:技术产品 EDR 传统反病毒 信息泄露

赎金软件肆虐 多家金融投资机构遭勒索

之前在暗网市场上活跃一时的“黑领主(DarkOverlord)”黑客团伙如今又犯案了,这次的受害者是西园资本投资银行,若不支付赎金,将面临数据被泄风险。 最近,一家加利福尼亚州投资银行,西园资本银行,深受威胁侵害——黑客团伙渗漏了他们的数据库。黑客组织名为“黑领主”,宣称若不支付赎金,就将继续公开银行的敏感信息。 信息已被泄露 然而,作为该团伙没在虚张声势的证明,部分文件已被公开,其中就包括该银行5位客户的社会安全号。被公开的信息中还包括有保密条款、股票发行、某些演示文档和保密合同。 该团伙提供的样本数据的截图 事后审查中,黑客之所以能侵入,是因为其网络安全中存在漏洞。
发布时间:2016-10-05 04:00 | 阅读:116618 | 评论:0 | 标签:牛闻牛评 信息泄露 勒索软件 西园资本 黑领主

个人信息泄露的危害到底离你有多远?

虽然自己已经回答过这类问题,还写这篇文章是因为我收集了资料后稍微系统的整理了一下。 多图预警 大纲 国内个人信息泄露程度 信息泄露的危害离你有多远 保护个人信息的常用方法 参考资料 一 ,国内个人信息泄露程度 因为近十几年来,国家互联网飞速发展,国内网民直线上升(2015年网民规模已经达到6.88亿),开设的大大小小的网站也越来越多(域名总数3102万个)。但是正如你所见,网站多且庞杂,他们有一个普遍的弱点——安全建设差。而这些庞杂的大小网站储存的个人信息量却是惊人的。 网络安全这东西本该是互联网建设之中的重中之重,但是真正来说互联网安全上升到国家层面是近几年的事。
发布时间:2016-08-18 19:45 | 阅读:165102 | 评论:0 | 标签:网络安全 个人信息 信息泄露 公共WiFi 数据泄露 社工库 网站漏洞 补卡攻击 防止撞库

数据脱敏如何解决电商信息泄露?

“喂?您好! 我是聚美优品的客服小美,您购买的XX品牌XX颜色的衣服已经断货,现为您办理退款服务,请您配合我进行操作。”当电话那头清楚的说出购物订单信息,您是否已经对客服的身份深信不疑,开始按照她的指导输入银行卡号、验证码?此时,您的财产已危机重重。8月3日,有媒体报道“多名聚美优品用户信息疑被泄露 假客服行骗金额达20万”。继携程、ebay、大麦网等用户信息泄漏事件之后,电商平台的数据安全问题再惹争议。此次骗局的原理很简单,骗子从某种渠道获取近期电商用户的订单信息,冒充客服诱骗用户在假的网址上进行银行卡操作,神不知鬼不觉的让用户自己把钱转到了骗子的账户。
发布时间:2016-08-10 17:01 | 阅读:138177 | 评论:0 | 标签:牛闻牛评 信息泄露 数据库脱敏

793万客户信息泄露样本技术分析与防护方案

阅读: 5日本知名旅行社JTB公司2016年6月14日宣称,在他们的服务器受到攻击后,经历了大规模的数据泄露。初步报告表明,在JTB公司预定旅行的793万人的个人预定信息可能被曝光。泄露的数据中含有敏感的个人信息,包括客户的姓名、家庭住址和电子邮件地址。当地媒体日本时报透露,护照信息在攻击中也遭受泄漏,包括4300多个可用的护照号码。 时间线跟踪如图1所示:攻击路径概要如图2所示:]2 攻击路径概要官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动,一位公司的员工打开了一个被一种被称作PlugX的极其隐蔽的木马感染的电子邮件附件, 从而渗透到公司的数据服务器。

日本JTB被攻击 700万人信息泄露

阅读: 2802016/06/15,日本最大的旅行社JTB股份有限公司宣布自己受到了未知黑客的攻击,多达793万份客户个人信息可能被窃取。攻击者伪装了一份供应商的机票邮件,诱使员工打开附件压缩包中的PDF文件,进而让攻击者得以植入木马,实施信息窃取动作。编者注:以下内容翻译自日经computer 的ITpro。

信息泄露之拖库撞库思考(3)

阅读: 72某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。 内容导航1、登录认证的防撞库设计(1)生物特征识别及认证(2)第二信道认证(3)独特的行为策略(行为指纹)(4)使用登录图灵2、登录的撞库攻击识别、监控在系统中加强对撞库的识别和监控,是防范和处置撞库攻击的最佳实践方法和必要手段。笔者认为可以从 “身份”、“ 行为”两个角度出发,构建适合企业自身业务的防撞库措施。

信息泄露之拖库撞库思考(2)

阅读: 160某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。
发布时间:2016-06-09 08:25 | 阅读:220527 | 评论:0 | 标签:运维安全 信息泄露 拖库 拖库 技术 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库 数据库拖库

信息泄露之拖库撞库思考(1)

阅读: 16某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。 什么是拖库、撞库?拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。
发布时间:2016-05-24 08:10 | 阅读:135580 | 评论:0 | 标签:技术分享 信息泄露 拖库 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库

7成网民信息泄露 给日常生活造成很大影响

10年前,网络还没深入我们的生活,10年后,网络已经和我们的生活密不可分,给我们带来了极大的便利,但也给我们带来了很大的困扰,个人信息泄露的危害已经影响了我们的日常生活。22日,中国互联网协会发布的《中国网民权益保护调查报告(2015)》显示,中国网民信息泄露问题“非常严重”,7成网民信息泄露。 前不久重庆市的小吴刚购置了新房,可是接踵而至的各种骚扰电话却让她平添了几分忧虑。“我们家买房子以后,总是接到各种装修公司的电话,有的时候一天甚至能接到十来个,可是我都不知道这些公司是从哪里得到我的电话的。”小吴说道。 在现实生活中,像小吴一样面临这种困扰的人不在少数。
发布时间:2016-04-27 18:50 | 阅读:176562 | 评论:0 | 标签:业界 信息泄露

短网址服务可能泄露你的敏感信息

来自Cornell Tech的安全研究员Vitaly Shmatikov和Martin Georgiev发现,如果web短网址服务采用了可预测性的操作,就可能会泄露网站的敏感信息。专家们分析了主流的短网址服务,其中包括Google、Bit.ly和微软。他们发现,通过枚举短网址,可以发现网络上的敏感信息。比如,研究人员就发现了指向微软OneDrive文件夹(未经过加密)的短网址。Shmatikov在一篇博文中提到:“由bit.ly和goo.gl以及类似的服务,因为太短可以被暴力枚举和扫描。我们的扫描结果发现了一大堆微软OneDrive账户,以及里面的私人文档。
发布时间:2016-04-21 18:10 | 阅读:106298 | 评论:0 | 标签:数据安全 信息泄露 敏感信息 短网址

ADS

标签云

本页关键词