-
专挑执法机构下手!欧盟执法培训机构发生大规模数据泄露
欧盟执法培训机构(CEPOL)近日披露了一起大规模数据泄漏事件。该机构承认在2024年5月遭受的一次网络攻击中,导致近10万名参与CEPOL培训的个人数据可能被泄露。这起事件凸显执法机构正面临日益严峻的网络安全威胁。 泄露数据影响广泛 CEPOL是欧盟设在匈牙利布达佩斯的执法培训机构,旨在通过提高警察、边防官员、海关人员等执法人员的技能和知识,加强欧盟内部的执法合作与安全保障。 CEPOL在一份声明中透露,自2024年10月至年底,共向超过9.7万名受影响学员发送了通知。这些学员的个人数据被确认…
-
超过300万台未加密的邮件服务器暴露
目前,超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上,容易受到网络嗅探攻击。 IMAP和POP3是访问邮件服务器上邮件的两种方式。IMAP适用于从多个设备(如手机和笔记本电脑)查看邮件,因为它会将邮件保留在服务器上并在设备间同步。而POP3则会将邮件从服务器下载,使其仅能从下载的设备访问。 TLS安全通信协议有助于在通过客户端/服务器应用程序在互联网上交换和访问邮件时保护用户信息。然而,如果未启用TLS加密,用户的消息内容和凭证将以明文形式发送,容易受到窃听的网络嗅探…
-
2024年度十大数据泄漏事件
1月,安全研究人员Bob Diachenko发现一个大型数据集暴露在网上,该数据集数据量高达12TB,包含260亿条记录,腾讯、网易、领英、Adobe、优酷、推特等数十家全球知名互联网、软件公司的数据均在其中。 2月,安全研究人员Jeremiah Fowler发现全球网络服务提供商Zenlayer的云数据库可无需密码公开访问。数据库中包括了应用程序、仪表板、供应商、通知和安全性的日志记录,以及包含了授权人姓名和电子邮件等客户数据,数据量达3.8亿条记录。 3月,法国政府负责登记和协助失业者的部门…
-
80 万辆电动汽车及车主的客户数据被曝光
大众汽车软件公司 Cariad 披露了从约 80 万辆电动汽车收集的数据。这些信息可能与驾驶员姓名有关,并揭示车辆的精确位置。 亚马逊云存储中的数 TB 级大众客户详细信息数月来一直处于未受保护的状态,任何具有少量技术知识的人都可以跟踪驾驶员的动向或收集个人信息。 暴露的数据库包括大众、西雅特、奥迪和斯柯达汽车的详细信息,其中一些汽车的地理位置数据精确到几厘米。 精确地理位置数据 该公司代表告诉 BleepingComputer,由于 Cariad 在两个 IT 应用程序中的配置不正确,因此汽车…
-
某捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击
网络安全研究人员发现某捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示: “这些漏洞既影响 Reyee 平台,也影响 Reyee OS 网络设备。如果这些漏洞被利用,恶意攻击者可以在任何支持云的设备上执行代码,从而控制数以万计的设备。” 这家对物联网 (IoT) 供应商进行了深入研究的运营技术 (OT) 安全公司表示,它不仅发现了 10 个漏洞,还设计了一种名为“芝麻开…
-
超过 40万 患者暴露在成瘾治疗黑客中
美国成瘾中心 (AAC) 是一家营利性成瘾治疗连锁店,遭受了一起网络安全事件,暴露了 422,424 人的个人记录。 根据该公司发送给受影响人员的通知信,泄露的数据可能包括姓名、地址、电话号码、出生日期、病历编号和其他标识符。 ACC 表示,社会安全号码和健康保险信息也可能被泄露,但患者的治疗信息或支付卡数据没有被泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日“或前后”发现了一起网络安全事件,并表示立即展开调查。它通知了执法部门并聘请了第三方网络安全专家寻求帮助。 调查确定…
-
Postman 大量企业生产数据泄露,可直接接管后台
总结 TRIAD 团队利用 CloudSEK 的 XVigil,确定了不当使用 Postman 工作区(一种流行的基于云的 API 开发和测试平台)所产生的重大风险。 在本博客中,我们将介绍一些有趣但关键的事件,这些事件可能导致客户 PII 的大规模数据泄露、通过收购滥用组织拥有的合法服务、发起恶意活动等。 我们长达一年的调查发现,超过 30,000 个可公开访问的 Postman 工作区泄露了敏感信息。在大多数情况下,这些集合包括访问令牌、刷新令牌、第三方 API 密钥,甚至来自各种规模和不同…
-
浙江某软件公司存在电子政务数据泄露风险被行政处罚
12月24日,【浙江网警】公众号发布消息称,浙江台州公安机关在工作中发现,浙江某软件科技公司为政府部门提供软件开发、信息系统建设和运维等服务,在与台州当地政府部门合作期间,该公司搭建的数据库存在安全漏洞,数据库中承载的大量电子政务数据存在泄露风险,违反了《中华人民共和国数据安全法》,台州公安依法对该公司和公司负责人进行了行政罚款,并责令其依法依规履行数据安全保护义务。
-
知名AI公司云泄漏超1.29TB内部敏感数据
英国知名人工智能初创公司因配置错误的云存储系统,导致1.29TB数据和超过300万条记录被曝光。 据安全研究员Jeremiah Fowler发现并由Website Planet披露,这个未受保护的数据库据称属于Builder.ai。这是一家提供AI驱动软件开发平台的公司。该公司已获得4.5亿美元(约合人民币32.84亿元)的风险投资,其中包括2023年5月的D轮2.5亿美元融资。 泄露数据涉及个人信息和内部项目细节 暴露的数据库包含敏感数据和运营数据,这可能对Builder.ai的客户以及内部运…
-
Instant loan 应用程序泄露了近 3000 万个包含用户数据的文件
贷款申请人的私人信息宝库(包括国民身份证和账户对账单)没有得到保护,危及用户的账户。 9 月 16 日,Cybernews 研究团队在属于孟买金融科技公司 FatakPay 的 Amazon AWS S3 存储桶中发现了一个配置错误。 该公司通过其应用程序向个人提供即时贷款,该应用程序在 Google Play 商店的下载量已超过 100 万次。 该公司配置错误的存储桶没有密码,互联网上的任何人都可以公开访问。该文件夹内存储了超过 2700 万个文件,其中包含敏感的贷款申请人数据,包括了解您的客…