钉钉用户数据库疑似泄露

钉钉用户数据库疑似泄露 有黑客在论坛出售钉钉用户的数据，信息包含用户图片的链接以及联系人姓名、地址、电子邮件、电话和有关工作绩效的详细信息。 该包总大小为626mb，压缩后为2.1 mb。黑客称由于在导出过程中连接被切断，他没有获取到整个数据库。

黑客出售 4 亿 Twitter 用户数据库

黑客出售 4 亿 Twitter 用户数据库 一名用户名的用户在黑客论坛兜售 4 亿 Twitter 用户的数据库，声称是利用 Twitter API 的漏洞抓取的，包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本，排在最前面的是美国民主党议员 AOC（Alexandria Ocasio-Cortez）。黑客还建议 Twitter 或马斯克（Elon Musk）花钱购买该数据库，威胁他们将会面临因数亿用户数据被抓取而面临欧盟的 GDPR 巨额罚款，表示如果 Twitter 购买的话将会停止出售。黑客利用的是今年早些时候已经修补的漏洞，上个月一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享，最新披露的数据规模则包含了绝大部分 Twitter 用户。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

网传加密货币交易所Bitfinex泄露40万名用户数据 不过看起来只是黑客在忽悠

网传加密货币交易所Bitfinex泄露40万名用户数据 不过看起来只是黑客在忽悠 今天 USDT 发行商 Tether 首席执行官兼 Bitfinex 首席技术官 Paolo Ardoino 发文回应此事，Bitfinex 初步调查认为此次所谓的数据泄露可能只是黑客宣传的手段之一。经过调查泄露的样本数据库包含 22500 条电子邮件地址 (即账号) 和密码，问题在于 Bitfinex 不使用明文存储密码并且更不会以明文形式存储 2FA 信息。数据比对则发现这 22500 条电子邮件中有 5000 条与 Bitfinex 用户记录匹配，如果数据真是从 Bitfinex 泄露的则匹配率应该为 100%。另外黑客在 4 月 25 日通过地下黑客论坛发布数据库相关消息并给出关联方 7 天时间处理，然而 Bitfinex 任何社交媒体或官方渠道都没有收到勒索信息。Paolo Ardoino 还透露 Bitfinex 平台的 KYC 认证信息具有严格的速率限制，不允许批量下载，因此黑客即便入侵了 Bitfinex 也不可能获得超过 40 万名用户的 KYC。最值得注意的一点是黑客在其订阅频道中通过 Bitfinex 事件进行宣传，推广他们的黑客工具，购买这样一份工具只需要 299 美元，所以从目前已知信息来看，有很大概率是黑客通过批量收集的一些电子邮件地址拼凑的数据库用来宣传，最终目的是为了出售工具。但有 5000 条地址匹配也可以说明币圈的数据泄露问题比较严重，如果只是批量从互联网上收集电子邮件，碰到 Bitfinex 用户的概率极低，因此这些数据有可能是其他交易所泄露或黑客通过其他工具专门收集的。建议币圈用户在注册各类账号时最好使用不同的电子邮件地址并使用随机生成的高强度密码再配合 2FA 验证措施，这样有助于提高账户安全性。 ... PC版： 手机版：

#互联网观察 #隐私▎搜狗输入法：用户数据被窃听

#互联网观察 #隐私 ▎搜狗输入法：用户数据被窃听 来自多伦多大学的公民实验室报告指出，通过分析搜狗输入法的 Windows、Android 和 iOS 版本，发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞，包含敏感数据（例如包含用户击键的数据）的网络传输可以被网络窃听者破译，从而知晓用户在键入时键入的具体内容。 ▎沟通时间线 实验室在5月31日向腾讯报告了此漏洞，但有趣的是，腾讯在第一次回复该漏洞时指出：“此问题不存在低或低安全风险”，而在18小时后又回复“抱歉，之前的回复有误，我们正在处理这个漏洞，请不要公开，非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。 研究人员在与腾讯沟通时遭遇了一些困难，原因是他们的电子邮件域（citizenlab.ca）在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS，以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。 ▎评估总结 搜狗输入法，一个拥有超过4.5亿用户的应用程序，未能正确保护传输的敏感数据，例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS（传输层安全）来轻易避免，而不是使用“自制”加密。 尽管现在已经解决了报道的漏洞，但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着，来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕，因为输入的内容可能包括敏感或个人信息。 由ChtGPT阅读文档并总结，频道 @AppDoDo

TikTok 难以兑现承诺 仍与中国母公司共享美用户数据

TikTok 难以兑现承诺 仍与中国母公司共享美用户数据 TikTok 表示已隔离美国用户数据，并斥资15亿美元建立一个代号为“德克萨斯计划”的部门来进行监督。该部门旨在让美国议员相信这款流行的视频分享应用是安全的。但根据其现任和前任员工以及《华尔街日报》看到的内部文件，该公司管理人员有时会指示员工在不通过官方渠道的情况下，与公司其他部门的同事以及字节跳动的员工共享数据。这些数据有时包括用户的电子邮件、生日和IP地址等私人信息。这些知情人士表示，字节跳动在中国的员工会频繁更新 TikTok 算法，以至于“德克萨斯计划”部门的员工很难检查每一个变化，他们担心即使有问题也发现不了。 、

黑客要价 2.13 美元，兜售 260 万语言学习平台多邻国用户数据

黑客要价 2.13 美元，兜售 260 万语言学习平台多邻国用户数据 近日有黑客在暗网论坛上兜售 260 万多邻国用户数据，其中包含用户账号名称、真实姓名、电子邮件地址等相关内部数据。 这些数据最早于 2023 年 1 月在 Breached 黑客论坛上出售，要价 1500 美元，随后相关帖子被关闭。VX-Underground 随后发现又有黑客在 Falcon Feeds 论坛上兜售这些数据，要价 8 个论坛站点积分，价值仅为 2.13 美元。 开发者 Troy Hunt 已经将 260 万多邻国用户数据整合到网站，使用多邻国的用户可以点击，检查个人信息是否被泄露。来源 ， 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot