• 用户数据
    【美国】Monster称第三方公开了用户数据,但没有告诉任何人 近日,网上发现了一个公开的网站服务器,该服务器存储求职者的简历,其中包括招聘网站Monster的简历。 该服务器包含2014年和2017年求职者的简历,其中许多包括电话号码和家庭住址等私人信息,还包括电子邮件地址和一个人以前的工作经验。 在我们审查的文件中,大多数用户位于美国。 目前还不知道有多少文件被暴露,但是在2017年5月的一个文件夹中发现了数千份简历。在暴露的服务器上找到的其他文件包括工作的移民文件,Monster没有收集。 Monster首席隐私官迈克尔·琼斯(Michael Jones)发布的公司声明称,该服务器由一位未具名的招聘客户所拥有,不再有效。被迫时,该公司拒绝透露招聘客户的姓名。 该公司表示,“怪物安全团队已经意识到可能存在暴露并向招募公司通报了这一问题。”他补充说,暴露的服务器在8月报告后不久就得到了保护。 虽然不再可以直接从公开的Web服务器访问数据,但在搜索引擎缓存的结果中可以找到数百份简历和其他文档。 但Monster没有警告用户这种暴露,并且只有在安全研究人员向TechCrunch提醒此事后才承认用户数据。 “购买Monster数据访问权限的客户 - 候选简历和简历 - 成为数据的所有者,并负责维护其安全性,”该公司表示。“由于客户是这些数据的所有者,因此他们全权负责在发生客户数据库泄露事件时向受影响方发出通知。” 根据当地数据泄露通知法,公司有义务通知州检察长,其州内的大量用户受到影响。虽然Monster没有义务披露监管机构的风险,但一些公司即使在涉及第三方时也会主动警告其用户。 公司警告其用户发生第三方违规行为的情况并不少见。今年早些时候,黑客从第三方支付处理器美国医疗收集机构获取数百万张信用卡后,其客户 - LabCorp和Quest Diagnostics - 承认安全失效。 Monster表示,由于曝光发生在客户系统上,因此Monster“无法”识别或确认受影响的用户。 以上由AI翻译,仅供参考! 作者:Zack Whittaker 文章、图片来源:https://techcrunch.com/2019/09/05/monster-exposed-user-data-years/
    用户数据
    2019年09月06日
  • 用户数据
    哎!!京东12G用户数据外泄,京东官方承认:源于2013年安全漏洞 网络时代,安全切切不可大意!京东这样很不好!   最近,一个12G的数据包开始流通。 其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,数据多达数千万条。黑市上的买卖双方皆称,这些数据来自京东,一本财经报道了这一消息。 京东今日在微信公号中承认了这个事实。并表示,3年前数据外泄之后,“确实仍有极少部分用户并未及时升级账号安全,至今依然存在一定风险。” 京东称,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到影响,导致大量数据泄露。 京东官方还称,在Struts 2的安全问题发生后,就完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。” 京东试图澄清,这个问题并非京东独有,“2013年,据乌云平台漏洞报告,Struts 2安全漏洞可让黑客直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,作为网站开发的底层模板使用。” 据业内人士称,这12G数据已被销售多次,“至少有上百个黑产者手里掌握了数据”,“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”暂且很难确认是“内鬼”所为还是“黑客盗取”。 业内人士称,大部分数据外泄后,黑客会先进行“洗库”,登录账户将有价值的内容清洗一遍,比如将游戏账户里的虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。 第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。 这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能取得原密码。业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。 可瞬间破解的账号,一般只占3-5%。记者尝试根据12G数据包中的用户名和破解的密码登陆,确实大部分可登陆京东账户。登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。 “黑客拿到这些数据,还可进行撞库操作”,业内人士称。 “撞库”是一个黑产专业术语——就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。伤害值最高的,就是撞进一些金融账户,直接将资金转走。 一个公开的数字是,中国互联网协会称,仅去年一年,中国网民因信息泄露问题,导致的损失是805亿人民币。 数据之痛,已成切肤之痛。
    用户数据
    2016年12月11日