1.印度支付应用BHIM因配置错误,泄露数百万用户信息
印度移动支付应用程序Bharat Interface for Money (BHIM) 存在安全漏洞,泄露数百万印度用户的个人数据和财务数据。4月23日,vpnMentor研究人员发现,该应用存放数据的Amazon Web Services S3存储桶因为配置错误,导致可以被公开访问。此次泄露的文件包括扫描Ardaar卡(印度身份证)、种姓证书、专业和教育证书、用作居住证明的照片、与印度所得税服务相关的永久帐号(PAN)卡以及开设BHIM账户所需的所有文件,泄露个人信息包括姓名、出生日期、年龄,性别、家庭住址、种姓身份、宗教信仰、生物特征详细信息、指纹扫描、身份证照片以及政府计划和社会保障服务的身份证号码。研究人员表示,在数星期后第二次联系了印度的CERT后,该漏洞才被修复。
2.REvil勒索英国Elexon失败后,泄露其1280个文件
黑客团伙REvil于两周前对英国公司Elexon发起勒索软件攻击,在索要赎金失败后,将窃取的1280个文件以缓存的形式发布在其网站上。这些文件包括Elexon员工护照的文件和商业保险申请表。Elexon在5月中旬遭到网络攻击时表示,其已经确定了根本原因并正在采取措施恢复其IT系统,因此并未支付赎金。目前,Elexon并未回应The Register的置评请求,The Register表示如果此次泄露的数据是真实的,REvil的行为可以看作是计划失败后的复仇。
3.苹果发布安全更新,修复unc0ver越狱漏洞
6月1日,苹果发布了多个产品的安更新,在针对iOS 13.5.1和iPadOS 13.5.1的更新中修复了unc0ver越狱漏洞,其被跟踪为CVE-2020-9859,目前尚未发布MITER / NVD条目。苹果公司表示,因为该漏洞为内存处理漏洞并且多个PoCs已经被披露超过一个星期,所以这个漏洞可能会让攻击者使用内核特权执行任意代码,并建议用户立刻更新。除此之外,此次更新还包括针对macOS Catalina 10.15.5中同一漏洞的多次更新的补充更新2020-003,用于Apple Watch和TV设备的watchOS 6.2.6和tvOS 13.4.6的更新,以及用于Apple Watch的watchOS 6.2.6安全更新。
4.社交视频应用Mitron存在漏洞,可导致账户接管
安全研究员Rahul Kankrale在Mitron应用程序中发现使用Google登录功能存在问题,可导致账户接管。该应用中在用户允许访问配置文件信息时不创建私有身份验证令牌,所以,只要知道用户id就可以轻松地接管该帐户,而该id在页面源中公开显示。目前,还没有可用的补丁程序修复此漏洞,研究人员尝试与开发人员联系但是没有成功。因此,目前该漏洞仍未修复,其PoC现已批露,因此所有用户都容易受到黑客攻击。Mitron在Google Play商店中有超过500万用户,研究人员建议用户停止使用此应用以保护隐私和安全。
5.仅5月份就报告了105起数据泄露事件,泄露88亿条数据
网络风险和隐私管理解决方案提供商IT Governance发布了一份数据泄露事件清单,该公司仅5月份就统计了105起事件,这些事件总共泄露了超过88亿条记录。其中较大的一次数据泄露事件来自泰国AIS移动运营商,其DNS查询和NetFlow日志数据库暴露,泄露83亿条记录。对事件原因进行分类,其中39起因为网络攻击,37起因为数据泄露,17起因为勒索软件攻击,6起因为内部威胁或其他类型的网络事件。该公司表示,这些数字只是非常保守的估计,因为它仅反映出公开报告的事件,还有一些未知事件。
6.研究发现数据泄露后只有三分之一的用户更改密码
卡内基梅隆大学安全与隐私研究所(CyLab)研究人员发表了一项研究,表明只有大约三分之一的用户会在数据泄露后更改其密码。该研究不是基于调查数据,而是基于实际的浏览器流量。研究小组通过搜集于2017年1月至2018年12月之间249名参与者的家用计算机的信息进行分析,收集的数据包括网络流量、登录网站的密码以及存储在浏览器中的密码。研究人员表示,在这249个用户中有63个用户遭到了数据泄露,其中只有21位(33%)更改了密码,而在这21位用户中,只有15位在数据泄露公告发布后的三个月内更改密码,并且只有9位(三分之一)根据密码的log10转换强度将其更改为更强的密码。
