安全研究人員發現並回報LocationSmart免費網路展示工具的API漏洞可能會讓手機洩露美國電信公司用戶的即時定位資訊。與此同時,另一家公司Securus Technologies也在早些時候據報遭受駭客入侵,竊取了全美執法人員2,800份憑證。該公司據報曾經使用LocationSmart的服務功能將行動網路用戶資料出售或洩露給密西西比警長辦公室。
[延伸閱讀:專家說:智慧手機定位追蹤能夠強化企業安全]
LocationSmart網站讓潛在客戶在網路上可以利用免費展示工具輸入自己的姓名、電子郵件地址和電話號碼來追踪行動設備的大致位置。會寄送一封簡訊到所提供電話號碼來取得權限ping最近的基地台以進行追蹤,在同意後會寄送簡訊給用戶提供Google地圖上的約略經緯度。
[延伸閱讀:身份竊盜和你的個人資料價值]
中國智慧型手機廠商OnePlus證實其線上付費系統爆出信用卡資料外洩事件。起因於oneplus.net用戶投訴在官方網站購物後,信用卡遭到盜刷。這起資料外洩事件影響了2017年11月中至2018年1月11日間在網站上輸入資料的4萬名使用者。
經過調查,OnePlus在網站的付款網頁程式碼中發現了會竊取輸入資料的惡意腳本。不過駭客如何入侵網站則尚不清楚。被竊的資料包括了完整的信用卡資訊:卡號、到期日和安全碼。OnePlus在這之後移除了惡意腳本,將受感染伺服器隔離並強化相關的系統基礎架構。
這起事件並不會影響使用PayPal並經由PayPal進行信用卡交易的使用者。現在OnePlus已經暫停信用卡付款選項,但是仍然接受透過PayPal的交易。與此同時,OnePlus也經由電子郵件來聯繫可能受到影響的使用者,並建議他們向銀行回報信用卡出現盜刷的狀況。
類似OnePlus這樣的資料外洩事件讓私人記錄和其他敏感資料面臨被竊的風險。這不僅影響到企業,還影響了個人資料可能被盜的人。網路犯罪份子可以去存取網路來竊取本地端檔案或遠端繞過網路安全防護來竊取資料。
OnePlus資料外洩事件跟 2014年1月針對Target的攻擊相似,那時駭客入侵賣場網路並感染所有的銷售端點機器。被竊的資料包括PIN碼、姓名和銀行資料,從而讓4,000萬張金融簽帳卡和信用卡面臨盜用的風險。信用卡資料對網路犯罪分子很有價值,因為這些資料用來盜刷獲利,也可以利用個人資料來進行詐騙、身份竊盜甚至是勒索。竊來的個人和財務資料也可以在深層網路內的地下市場批售。
如果你擔心自己成為資料外洩的受害者,可以執行以下四個動作:
英國典當公司Cash Converters發出警告電子郵件給客戶,坦承自己成為資料外洩的受害者,可能洩漏了包括客戶名稱、密碼、寄送地址、財務資料和其他個人詳細資訊的敏感資料。不過信用資料已經被證實沒有受到影響。
入侵已經退役的Cash Converters網站來竊取客戶資料
這家連鎖當鋪讓人們能夠拿珠寶和電子產品等物品換錢。該公司表示這起事件源於攻擊者入侵已經退役的Cash Converters網站來竊取客戶資料。這個在今年九月被新網站取代的舊網站可以讓使用者線上購買公司的產品。竊賊寄送了勒索郵件給Cash Converters,警告他們如不支付贖金就會公布資料。
Cash Converts公告他們現在正與英國執法單位合作來解決此資料外洩問題。還提到他們現在的新網站更加安全,同時在開發過程中也進行了安全漏洞測試。作為預防措施,該公司還強制替所有英國客戶進行密碼重置。此外,也通知使用者在發現任何可疑事項時要回報給Cash Converters或英國反詐騙組織Action Fraud。
徹底測試網站是否存在漏洞或安全缺陷,包含較舊的網站
雖然資料外洩攻擊和潛在資料暴露風險(特別是經由漏洞攻擊)最近變得越來越普遍,很大部分的原因是能夠用來獲利,組織還是可以利用經過驗證的方法來保護客戶資料。這包括了徹底測試網站是否存在任何可被犯罪分子利用的漏洞或安全缺陷。對於較舊的網站來說更是如此,因為其所使用的舊技術可能較不安全,或是在開發時就缺乏安全性考量。企業還必須制定緊急應變措施來以防萬一。這包括任命一位聯絡人,制定披露策略以及資料外洩事件發生時對內對外如何應對的動員計劃。
如何保護資料免於可能的攻擊?
更新及修補線上儲存資料的公司資產所有的相關軟體
最有效保護客戶資料的方法或許是更新及修補線上儲存資料的公司資產所有的相關軟體 – 無論是作業系統、網站開發工具還是網頁伺服器,更新有助於防止造成資料外洩事件的漏洞攻擊。
還依賴舊軟體和設置的組織可以考慮使用虛擬修補技術,它可以保護舊系統對抗漏洞攻擊。它具備入侵防禦技術,有助於防止漏洞攻擊。全面性的安全產品可以提供虛擬修補技術,就像是趨勢科技Deep Security,能夠為全球數百萬台的實體、虛擬和雲端伺服器提供安全防護。
@原文出處:Hackers Steal Information from UK-based Pawnbroker Cash Converters Website
你的手機有上鎖嗎? 無論是指紋鎖、密碼鎖或是面部解鎖,一般手機用戶都是為了手機內部個資加以防護。那麼你知道近期層出不窮的恐攻事件可能讓用戶處心積慮的防護毀於一旦嗎?
數日前,英國曼徹斯特自殺炸彈客在演唱會現場引爆炸彈導致22人死亡。事件發生後,英國太陽報報導數名英國內閣官員的言論,表示為了國家安全,政府可能推動法案強制企業交出加密的資料以利偵辦。假若法案通過,可能會從Whatsapp或Facebook等具有社群聊天功能的軟體著手,並重創社會對社交軟體現有的信任。 繼續閱讀
雅虎公司(Yahoo! Inc.)於上月22日證實5億用戶資料遭駭客竊取,截至目前為止,2016年已經有至少三起駭客攻擊事件:五月時,一名駭客宣稱持有3.6億個MySpace用戶的email帳號。同月網路上又傳出駭客兜售1.17億個LinkedIn帳號。相隔三個月不到,今年八月,雲端儲存公司Dropbox傳出6,000多萬帳戶遭竊取。
面對一波未平一波又起的駭客攻擊,除了期許大公司們提升資料庫的資安,身為一般使用者,應該如何捍衛自己的網路安全呢?
其實一英文網站HaveIbeenPwned可以利用Email或帳號查詢帳號是否曾遭受駭客攻擊。網站中也同時羅列曾經遭受到駭客攻擊的網站清單。以下是使用HaveIbeenPwned的簡易教學,動手檢查一下自己常用的帳號吧!
進入HaveIbeenPwned首頁,你將看到一欄搜尋列,在此填入你要檢查的Email或使用者名稱,幾秒內你就可以知道你的帳密曾於哪些網站遭受攻擊。
若帳號安全無虞,搜尋結果會顯示綠色~ 繼續閱讀