美国多个赌博网站泄露 1.08 亿条信息 包括支付卡资料
网络安全研究人员贾斯汀·潘恩(Justin Paine)说,这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。
ElasticSearch是一个搜索引擎,企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络,用来处理公司机密信息,信息不会泄露在网上。
上周,潘恩发现一些敏感信息,这些信息来自在线赌博门户网站。虽然开放的服务器只有一台,但是里面的数据相当庞大,来自数个网络域名。
经过一番分析,潘恩认定这些域名全都用来运营网络赌场,用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光,里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。
参考链接:https://www.t00ls.net/articles-49800.html
没有更多的隐私:2.02亿私人简历暴露(一月份最大的数据泄露)
2月28日,Hacken.io网络风险研究总监兼诈骗平台HackenProof的Bob Diachenko分析了BinaryEdge搜索引擎的数据流,并确定了一个开放且不受保护的MongoDB实例:
Shodan搜索结果中也出现了相同的IP :
经过仔细检查,一个854 GB大小的MongoDB数据库无人看管,无需密码/登录验证,无需查看和访问中国求职者超过2亿份非常详细的简历。
202,730,434条记录中的每条记录不仅包含候选人的技能和工作经验,还包括他们的个人信息,如手机号码,电子邮件,婚姻,子女,政治,身高,体重,驾驶执照,识字水平,工资等。期望等等。
参考链接:https://www.t00ls.net/articles-49783.html
纽约联邦储备银行协助孟加拉国诉讼黑客网络抢劫案
纽约联邦储备银行协助孟加拉国诉讼黑客网络抢劫案据路透社纽约报道,纽约联邦储备银行周五表示,它将就孟加拉国银行起诉一家菲律宾银行以挽回损失的做法提供“技术援助”。三年前,身份不明的黑客从该银行在美国中央银行的账户中偷走了8100万美元。纽约联邦储备银行和孟加拉国央行在一份联合声明中表示,这项援助包括“与菲律宾有关机构或政党联合召开会议,大力鼓励他们协助追回被盗资金”。
参考链接:https://www.cnbeta.com/articles/tech/815011.htm
与Facebook犯同样的错 谷歌也违规收集用户数据
Facebook并非是唯一一家滥用苹果“企业证书”( Enterprise Certificate)系统的主要科技公司,有媒体报道称,谷歌也在自家与Facebook“Research”相似的应用中滥用了企业证书。“企业证书”的目标是在一家企业内部使用,不面向公众,但在苹果撤回Facebook使用的证书后,谷歌被发现也存在同样的问题,涉及它发布的一款被称作“Screenwise Meter”的应用。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号