1月13日消息，美国湾景资产管理公司（Bayview Asset Management）因数据泄露事件及涉嫌未能充分配合事后监管调查，被罚款2000万美元（约合人民币1.46亿元）。 湾景总部位于佛罗里达州科勒尔盖布尔斯，旗下拥有多家抵押贷款服务公司。根据美国州银行监管机构会议（CSBS）于1月8日发布的声明，该公司在信息技术实践中存在漏洞，并在2021年发生了一起影响580万客户的数据泄露事件。CSBS指出，当监管机构索取相关信息时，湾景未能有效配合。 CSBS表示，此次调查由加利福尼亚州、马…

2024年，公安部部署开展了“净网2024”等专项行动，合肥公安网安部门坚持守网有责、守网尽责，对严重危害网络秩序和群众权益的突出违法犯罪发起凌厉攻势。截至12月底，全市共侦破涉网案件3100余起，以实际行动切实维护了网络空间安全。 1月13日，合肥警方对外公布了10起合肥公安网安部门打击网络违法犯罪典型案例。：   1、2024.1.14非法控制计算机信息系统案 2024年1月，包河区某科技有限公司短视频剪辑平台被注入JS代码获取后台管理权限，造成企业重大财产损失。 公安机关对案件开展侦查 ，…

欧盟执法培训机构（CEPOL）近日披露了一起大规模数据泄漏事件。该机构承认在2024年5月遭受的一次网络攻击中，导致近10万名参与CEPOL培训的个人数据可能被泄露。这起事件凸显执法机构正面临日益严峻的网络安全威胁。 泄露数据影响广泛 CEPOL是欧盟设在匈牙利布达佩斯的执法培训机构，旨在通过提高警察、边防官员、海关人员等执法人员的技能和知识，加强欧盟内部的执法合作与安全保障。 CEPOL在一份声明中透露，自2024年10月至年底，共向超过9.7万名受影响学员发送了通知。这些学员的个人数据被确认…

目前，超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上，容易受到网络嗅探攻击。 IMAP和POP3是访问邮件服务器上邮件的两种方式。IMAP适用于从多个设备（如手机和笔记本电脑）查看邮件，因为它会将邮件保留在服务器上并在设备间同步。而POP3则会将邮件从服务器下载，使其仅能从下载的设备访问。 TLS安全通信协议有助于在通过客户端/服务器应用程序在互联网上交换和访问邮件时保护用户信息。然而，如果未启用TLS加密，用户的消息内容和凭证将以明文形式发送，容易受到窃听的网络嗅探…

1月，安全研究人员Bob Diachenko发现一个大型数据集暴露在网上，该数据集数据量高达12TB，包含260亿条记录，腾讯、网易、领英、Adobe、优酷、推特等数十家全球知名互联网、软件公司的数据均在其中。 2月，安全研究人员Jeremiah Fowler发现全球网络服务提供商Zenlayer的云数据库可无需密码公开访问。数据库中包括了应用程序、仪表板、供应商、通知和安全性的日志记录，以及包含了授权人姓名和电子邮件等客户数据，数据量达3.8亿条记录。 3月，法国政府负责登记和协助失业者的部门…

网络安全研究人员发现某捷网络开发的云管理平台存在多个安全漏洞，可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示： “这些漏洞既影响 Reyee 平台，也影响 Reyee OS 网络设备。如果这些漏洞被利用，恶意攻击者可以在任何支持云的设备上执行代码，从而控制数以万计的设备。” 这家对物联网 (IoT) 供应商进行了深入研究的运营技术 (OT) 安全公司表示，它不仅发现了 10 个漏洞，还设计了一种名为“芝麻开…

美国成瘾中心 （AAC） 是一家营利性成瘾治疗连锁店，遭受了一起网络安全事件，暴露了 422,424 人的个人记录。 根据该公司发送给受影响人员的通知信，泄露的数据可能包括姓名、地址、电话号码、出生日期、病历编号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据没有被泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日“或前后”发现了一起网络安全事件，并表示立即展开调查。它通知了执法部门并聘请了第三方网络安全专家寻求帮助。 调查确定…

总结 TRIAD 团队利用 CloudSEK 的 XVigil，确定了不当使用 Postman 工作区（一种流行的基于云的 API 开发和测试平台）所产生的重大风险。 在本博客中，我们将介绍一些有趣但关键的事件，这些事件可能导致客户 PII 的大规模数据泄露、通过收购滥用组织拥有的合法服务、发起恶意活动等。 我们长达一年的调查发现，超过 30,000 个可公开访问的 Postman 工作区泄露了敏感信息。在大多数情况下，这些集合包括访问令牌、刷新令牌、第三方 API 密钥，甚至来自各种规模和不同…

英国知名人工智能初创公司因配置错误的云存储系统，导致1.29TB数据和超过300万条记录被曝光。 据安全研究员Jeremiah Fowler发现并由Website Planet披露，这个未受保护的数据库据称属于Builder.ai。这是一家提供AI驱动软件开发平台的公司。该公司已获得4.5亿美元（约合人民币32.84亿元）的风险投资，其中包括2023年5月的D轮2.5亿美元融资。 泄露数据涉及个人信息和内部项目细节 暴露的数据库包含敏感数据和运营数据，这可能对Builder.ai的客户以及内部运…

贷款申请人的私人信息宝库（包括国民身份证和账户对账单）没有得到保护，危及用户的账户。 9 月 16 日，Cybernews 研究团队在属于孟买金融科技公司 FatakPay 的 Amazon AWS S3 存储桶中发现了一个配置错误。 该公司通过其应用程序向个人提供即时贷款，该应用程序在 Google Play 商店的下载量已超过 100 万次。 该公司配置错误的存储桶没有密码，互联网上的任何人都可以公开访问。该文件夹内存储了超过 2700 万个文件，其中包含敏感的贷款申请人数据，包括了解您的客…