信息泄漏无处不在,简直防不慎防!
Facebook违规收集个人信息 被罚120万欧元
根据西班牙数据保护监管部门(AEPD)的指控,Facebook涉嫌违规收集个人信息,其行为违反了当地的信息保护法,因此被判罚120万欧元。
AEPD调查后指出,Facebook在未明确指出用途的情况下收集了当地网民的性别、个人喜好、浏览行为、宗教信仰、意识型态等数据信息,并将这些个人信息作为广告推送的依据使用,严重地侵犯了西班牙的信息保护法。
调查显示,Facebook所收集的信息相当广泛,包括用户浏览到嵌有Facebook点赞图标的第三方网站、访问过Facebook的非注册用户,甚至包括没有登录Facebook的用户浏览行为等等。
AEPD认为Facebook并未清楚地交待数据收集的方式与用途,只提供一些简单的例子,还收集了用户与该平台或其他第三方网站互动的数据信息,同样没有清楚地向用户披露。
据AEPD表述,关键的是即使用户删除了自己的帐号,Facebook仍会保留该用户信息17个月,也是违反了当地信息保护法的。
Instagram被黑 600万用户信息被兜售
被曝这批被泄露的用户信息可能来自于Instagram API的漏洞,包括用户的电话号码、电子邮件,目前骇客已在网络上进行兜售,并开放付费搜寻特定用户,如明星、政治人物、运动员等个人信息。
众所周知,Instagram(照片墙)是一款运行在移动端上的社交应用,其能够通过一种快速、有趣的方式将随时抓拍下的图片在朋友间分享。不过随着上周Instagram承认其API出现了可导致攻击者获取用户电话或电子邮件的漏洞后,从Instagram泄露出的600万用户个人信息也随之暴露在互联网上。
据悉,在窃取到的600万用户信息中,包括了政治人物、影视明星、运动员以及一些媒体界名人。攻击者甚至表示已成立了一个专门的网站,可供有兴趣的人士通过电话号码或电子邮件对信息进行搜索,而每搜索一次的价格为10美元。
为了证明其拥有这些数据,攻击者首先展示了1000名用户的个人资料给媒体,而外媒随机用这些所提供的电子邮件帐号申请Instagram,发现的确都已被用来注册Instagram。对此,Instagram紧急发出安全通告,承认出现可用来获取一些用户个人账户信息的漏洞,但并无密码外泄。
据Instagram技术总监Mike Krieger表示,目前该站已迅速修补了漏洞,并与执法机构合作,虽然无法确认数据泄露的规模,但比例应该不高。如果按照Instagram拥有7亿用户来看,预计大约有8.5%的用户信息遭到泄露。
警惕电子邮件安全 超7亿Email密码已被窃
电子邮件(Email)是当代工作中的常用工具,而针对电子邮件展开的攻击并不少见,现在安全研究人员发现全球有超过7.1亿个电子邮件帐号,被一个电邮机器人掌握,并散布含有银行木马程序的垃圾邮件。
由于该电邮机器人采用自动化攻击,一旦窃得电邮帐号密码后,会再利用偷到的帐号密码,转寄出新的垃圾邮件、恶意程序,来偷取新的电邮密码。在不断重复的操作下,竟造成如此庞大数量的电邮被入侵。
鉴于目前电子邮件往往和Facebook、Twitter或其他网络服务进行绑定,如注册这些服务要输入电子邮件帐号,而一般人为了好记,常将电子邮件密码与其他服务设定相同的密码,因此一旦电邮帐号密码遭窃,其他服务也跟着遭骇客入侵。
对此,安全专家建议面对电子邮件和其他网络账户应该采用不同的密码,防止上述情况发生,也可以开启双重验证功能进行防护。
同时,如果收到地址不明的电子邮件千万不要打开,里面很可能包含病毒、恶意程序来诱惑收件人点击。当然为了避免Email遭骇客入侵,安装可靠的杀毒软件,对恶意程序进行过滤也是必要手段之一。
手机换屏、换零件 恶意入侵分分钟实现
随着智能手机的普及,一旦手机出现了问题,拿去送修、更换零件已变得非常普遍。不过根据以色列安全研究人员现在发现,当前的手机系统对于各种零部件有着很高的信任度。使用者在维修手机时,骇客可以轻松更换上恶意零件,导致密码被窃或手机镜头被操控等入侵事件发生。
研究人员表示,现在有不少手机零部件制造商在生产手机的触控屏幕、方向感应器、无线充电控制器、NFC传感器等等,而各种零件的驱动程序被预设为可被信任的,因此这些零部件和手机处理器之间的通讯很少被检测,显然让骇客有了可乘之机。
以最常维修的手机零件——屏幕为例,研究人员发现花费大约10美元就可制作触控屏幕控制器并实施恶意功能。在实验中,研究人员进行了两种攻击行为。一是触控注入攻击,让触控屏幕模仿使用者的输入并收集敏感信息。二是缓冲区溢出攻击,可让骇客拓展权限。
而联合实施两种攻击后,甚至能在标准的Android固件上发起各种端到端的攻击行动,包括窃取使用者所输入的密码或金融信息,拍摄照片或影片后通过电子邮件传送给骇客,还能自动下载未经使用者授权的程序等等,危害极大。
由于骇客能利用攻击将手机屏幕熄灭,导致手机使用者完全不知道自己的设备已遭受了攻击。而且通过恶意零部件展开的各种攻击,手机上的安全防护程序往往无法察觉,即使恢复手机的出厂设置、远程删除或是固件更新,都无法有效防范,因为该恶意零部件依旧存在于设备上。
因此,如何实现对硬件级别零部件的安全监管与内部通信检测,显然已成为一个新的安全课题。据悉,研究人员已将相关研究提交给了Google。
警惕工控网攻击 工业路由器爆出漏洞
当前,网络攻击手法不断翻新,网络安全环境不断恶化,甚至工控网络也被不法黑客所觊觎。2016年底乌克兰电网遭受恶意软件攻击,致使大量居民断电。而国外一家水务公司的网络控制器被攻击,这些设备却管控着用于水处理的有毒化学物质。。。工控网络被袭击的威胁可见一斑。
目前安全研究人员发现,被广泛用于能源、制造、商业设施等领域的数款Westermo工业路由器存在着高危漏洞,令这些工控网络随时可遭受不法黑客的攻击。根据外媒报道,Westermo旗下的MRD-305-DIN、MRD-315、MRD-355和MRD-455工业路由器固件中存在编号为CVE-2017-5816的硬编码漏洞,可暴露SSH和证书及其相关私钥。不仅能导致攻击者进行中间人攻击,并解密流量,还可获得提升设备访问权限的管理员证书。
与本文内容相关的文章:
0 留言