由于服务器错误配置,5万澳大利亚员工信息遭泄露
自从红十字会泄密以来,已有近50,000名澳大利亚员工的个人信息泄露。
报告指出,由于亚马逊S3桶的错误配置,多达48720条的职工个人记录被第三方承包商在网上曝光,职工行业涉及政府机构,银行和公用事业。曝光文件的信息包括全名,密码,身份证号,电话号码和电子邮件地址以及工人工资和消费情况的详细情况。 但是iTnews 报道说大部分的信用卡号码已经过期或注销。
保险公司AMP的情况最不乐观,25000个职工的消费情况遭到泄露。澳洲的公用事业公司UGL有17000条记录曝光,财政部的3000名员工、澳大利亚选举委员会的1470名员工、全国残疾保险机构的300名员工和荷兰合作银行的1500名员工的信息,也都受到了影响。
“当澳大利亚网络安全中心意识到这个处境时,他们立即联系了外部承包商,与他们合作修复漏洞来确保信息安全。”总理和内阁部人士告诉iTnews,“现在信息已经得到有效的保护,澳大利亚网络安全中心和受影响的政府机构一直在与外部承包商合作,来应对后续情况,确保信息安全。”
云服务器错误配置的情况越来越常见,导致数据泄露事件频发。其中最严重的一起是发生在六月 ---- 美国防务承包商 Booz Allen Hamilton 泄露了存储在亚马逊S3存储库中的60,000多份美国防务部的文件。
“云计算是一种日益流行的集中存储和获取数据的方式,往往为企业提供了更便宜、更安全和更具弹性化的平台。但是,它们的配置往往非常简单。”新思科技的安全顾问伊恩·阿什沃思通过邮件谈到,“ 连接互联网和广泛访问的特点要求他们在安装和授权方面更加用心,确保正确配置了访问和控制权限。允许用户访问最敏感的数据或服务的两项基本措施是认证和正确的授权级别。尤其是处理个人身份信息和付款细节时,应当采用额外的存储保护措施以便提供全面的分层安全体系结构。”
来源:infosecurity
本文由看雪翻译小组 fyb波 编译
大众化的usb声卡驱动内置的root证书存在安全隐患
Savitech的 USB声卡驱动程序安装包将在Windows可信根证书存储区中安装一个root CA证书,这让人想起了2015年和2016年的Superfish和eDellRoot事件。
用户通常将这些驱动程序作为单独的包安装,但它们也被绑定到各种产品的安装软件中。
Savitech是一家为各种各样的设备制造音频和视频驱动器的公司。根据RSA安全研究员肯特·巴克曼的说法,他发现了在Savitech的根证书安装过程中——只有该公司的USB声卡驱动安装包才会安装根证书。
该驱动程序提供给硬件供应商,以支持通过USB端口运行的具有音频功能的设备。像AsusTek,EMC,Intos,Creek Audio以及其他一些厂商在他们的产品中部署了Savitech的USB音频驱动程序。
用户需要手动删除根证书
Savitech承认其错误。一位公司发言人表示,他们在Windows XP系统上添加了支持驱动程序签名的根证书。
Windows的后续版本不需要该驱动程序,为了用户安全,该公司决定放弃其产品的XP支持。
Savitech发言人说:“我们已经从2017年3月31日发布的标准软件包v2.8.0.3之后的软件包中删除了安装SAVITECH证书的代码。”
虽然Savitech的USB音频驱动程序包2.8.0.3及更高版本不再安装这个根证书,但这些新版本也不会删除之前安装过的此证书。用户必须从Windows可信的根存储库中删除根证书。
建议用户搜索并删除以下两个Savitech的根证书。这里有一些指令。
1 2 3 4 5 6 7 8 | SaviAudio root certificate #1 有效期:2012年5月31日星期四至2036年12月30日星期二 序列号:579885 da6f791eb24de819bb2c0eeff0 指纹:cb34ebad73791c1399cb62bda51c91072ac5b050 SaviAudio root certificate #2 有效期:2015年12月31日星期四至2036年12月30日星期二 序列号:972 ed9bce72451bb4bd78bfc0d8b343c 指纹:23 e50cd42214d6252d65052c2a1a591173daace5 |
目前用户还没有任何直接的危险。但如果黑客或其他人窃取了Savitech的私钥,用来管理其驱动程序安装的根证书版本,那么它可能会变得灾难性。
这让人想起Superfish和eDellRoot事件
联想和戴尔都曾在Superfish和eDellRoot事件中使用笔记本电脑的根证书。联想的私钥遭到了泄露,这使得数百万用户面临被拦截HTTPS网络流量的危险。美国联邦贸易委员会对联想的失误展开了调查,并最终于今年早些时候与个人电脑制造商达成了350万美元的和解协议。
目前还没有证据表明有人入侵了Savitech的私钥,但用户应该删除证书,以确保安全。
一旦遭到窃取,该证书就可以用来签署恶意软件。最近发表的一篇学术论文强调了代码签名证书的使用越来越多,恶意软件可以借此来绕过安全扫描仪。
一份Venafi公司的报告里说过在暗网上发现了此类证书的地下市场,它们的平均价格为1200美元/证书,相当于一份假护照、两支手枪、6个假驾照、12个被黑客攻击的电子邮件账户、48个DDoS攻击,或者320个被盗信用卡的详细信息。
来源:bleepingcomputer
本文由看雪翻译小组 SWM 编译
文章摘自微信公众号:看雪学院
亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露
某跨境电商疑遭大面积用户信息泄露,50名用户被骗80余万元
黑客再次入侵川普酒店:信用卡支付数据泄露