In diesem Blog -Beitrag haben wir die 22 bedeutendsten Verst??e gesammelt, die bereits 2017 stattfanden. Alle Berichte wurden von Chris Vickery durchgeführt - einem Datenverst??e, der sich mit Mackeeper zusammengetan hatte, um Berichte über die Sicherheits- und Datenverletzungen der ?hei?esten“ Sicherheits- und Datenverletzungen im Mackeeper -Blog zu erstellen.

Dies ist der zweite Beitrag in einer Reihe von Datenverletzungsberichten. Hier finden Sie das Archiv von Data Breach Reports 2016 .

Klicken Sie auf einen Datenlecknamen, um den Bericht zu lesen:

• MilitarySeep.org Breach
• World Wrestling Entertainment 3 Millionen E -Mail -Leck
• HARAK1R1 Der 0,2 Bitcoin Ransomware -Angriff
• Spasurgica: Leck
• Dolmetscher Unbegrenzt: Pers?nliche Daten von Mitarbeitern und Kunden lecken
• Das Telemarketing -Unternehmen leckt fast 400.000 sensible Dateien
• IndyCar -Datenleck
• PIP -Druck- und Marketingdienste Datenleck
• Umfangreiche Verletzung am Flughafen INTL
• Amazon AWS -Problem nimmt das Internet ab
• Mackeeper -Sicherheitsforscher erkennen sensible die Daten der Vereinigten Staaten Luftwaffe
• Schulhaus -Datenversto?
• Bericht: 313 Gro?e Datenbanken gingen an die B?rse
• Autofinanzierungsgesellschaft leckt 500.000 Kunden des Kunden online
• Globale Kommunikationssoftware: Eine gro?e Menge an Daten online
• Mexikanische Touristensteuerrückerstattungsfirma: Leck in Kundenunterlagen
• Mackeeper Research Center entdeckt das massive Elasticsearch -infizierte Malware -Botnetz
• Autoverfolgungsfirma leckt Hunderttausende von Aufzeichnungen online
• Verizon Wireless Mitarbeiter: Online -Exposition vertraulicher Daten
• Bericht: Der Virtual -Tastatur -Entwickler hat 31 Millionen Client -Aufzeichnungen durchgesickert
• Ashley Madisons private Bilder wurden viral
• Bericht: Cyberkriminale stehlen die W?hlerdatenbank des Bundesstaates Kalifornien

Wesentliche Lektüre und Werkzeuge:

• Mit dem Mac Security Guide tauchen Sie tiefer in die MacOS -Sicherheitseinstellungen ein
• Holen Sie sich einen Mac-Antivirus, der Ihren Mac in Echtzeit schützt
• Installieren Sie ein VPN für Mac, damit jedes Mal, wenn Sie das Internet nutzen
• Malware -Entfernungshandbuch für Mac -Besitzer zeigen Ihnen, wie Sie verschiedene Arten von Malware entfernen k?nnen
• So überprüfen Sie Ihren Mac for Malware Guide, wie Sie Malware entdecken und aus Ihrem Mac entfernen k?nnen
• Run war ich PWND, um zu überprüfen, ob Ihre E -Mails in einer Datenverletzung enthalten sind
• Verbringen Sie ein paar Minuten damit, unseren Leitfaden zu lesen, wie Sie eine Datenverletzung verhindern k?nnen

MilitarySeep.org Breach

MilitarySeep.org ist ein Patientenportal, in dem Benutzer ihre Konten erstellen, Behandlungsoptionen diskutieren und Fragen zu ihren Schlafst?rungen stellen k?nnen. Forscher des Mackeeper Security Research Center haben eine ?ffentlich zug?ngliche Mongo -Datenbank entdeckt, die die privaten medizinischen Daten von Tausenden von Milit?rveteranen enth?lt, die an Schlafst?rungen leiden.

Die Datenbank enthielt insgesamt 2 Gigs -Datenbank, die mehr als 1.300 Nachrichten (sensible Kommunikation zwischen Patienten und ?rzten) und personenbezogene Daten von mehr als 1.200 Benutzern, einschlie?lich ihrer Namen, E -Mails, pers?nlichen Mobilfunknummern, unverschlüsselten Passw?rtern und milit?rischer Geschichte/ Service -Rang, enthielt. Die sch?dlichsten Informationen sind die gespeicherten Notizen und Chat -Protokolle, bei denen Patienten Fragen zu sensiblen medizinischen Problemen stellen, die sie kennen und glauben, dass die Kommunikation vertraulich ist. Viele der E -Mail -Adressen sind us.Army.mil und wir k?nnen sowohl aktive als auch ehemalige Milit?rdienstmitglieder annehmen.

Die medizinische Privatsph?re ist sowohl für Bürger als auch für milit?rische Veteranen ?u?erst wichtig, und wenn Details zu ihren Diagnosen und Behandlungen ver?ffentlicht werden, kann dies ihre derzeitige Besch?ftigung, künftige Besch?ftigung, Sicherheitsüberprüfungen oder andere Bereiche ihres Lebens beeinflussen. Schlimmer noch schlimmer die Befürchtung, dass Arbeitgeber aufgrund ihrer durchgesickerten Krankenakten oder seiner Wahrscheinlichkeit einer Krankheit einen Antragsteller oder Arbeitnehmer diskriminieren k?nnten. Aus diesem Grund ist der Schutz der Krankenakten so wichtig und jeder Schritt für die Cybersicherheit muss unternommen werden.

Die Website ist bei Dr. Emerson Wickwire Ph.D. Und laut seiner pers?nlichen Website ?konzentrieren sich meine Forschungsinteressen auf Biobeha -Verhaltens -Schlafprozesse, einschlie?lich Schlaf als Therapie für K?rper und Gehirn, die h?ufigsten Schlafst?rungen, Schlaf in besonderen Bev?lkerungsgruppen und Verbreitung von Best Practices“.

Glücklicherweise wurde diese Datenbank nicht zum Opfer des Harak1r1 der 0,2 Bitcoin Ransomware - eines b?swilligen Schauspielers, der auf die ganze Welt auf ungeschützte MongoDB abzielt. Kurz nachdem wir E -Mail -Benachrichtigungen an die Datenbank gesendet hatten, wurde jedoch ohne Wort oder Kommentar der Entwickler geschlossen.

Wir m?chten uns bei Dissens von Databreaches.net für die Unterstützung bei der Deckung/Sicherung dieses Versto?es bedanken. Bitte lesen Sie hier ihre Geschichte.

Die Datenbank von MilitarySeep.org wurde nur einen Tag nach dem Infizieren von Tausenden von ?hnlich konfigurierten Mongo -Datenbanken entdeckt und alle Daten entfernt und L?segeld für 0,2 Bitcoin zur Wiederherstellung ihrer Dateien gehalten. Dieses unglückliche Datenleck hat m?glicherweise gerade ihre Daten vor dem L?schen des Bitcoin -Ransomware von Harak1r1 gespeichert. Anfang dieser Woche entdeckte das Mackeeper Research Center, dass eine Datenbank, die mit Emory Healthcare verbunden war, gesch?tzt wurde.

World Wrestling Entertainment leckt 3 Millionen E -Mails

World Wrestling Entertainment war auch als WWE bekannt. Obwohl Wrestling ihr Hauptaugenmerk ist, erzielen sie auch Einnahmen aus Filmen, Musik, Videospielen, Produktlizenz, direkten Produktverkauf und vielem mehr.

Diese Woche entdeckten Sicherheitsforscher von Mackeeper zwei offene und ?ffentlich zug?ngliche Amazon S3 -Eimer, die eine massive Fülle von Informationen enthielten, die von Drittanbietern speziell für WWE -Marketingzwecke gesammelt wurden. Wir sch?tzen, dass rund 12 Prozent aller Informationen (mehrere Gigabyte) auf den ??ffentlichen“ Zugang eingestellt waren und für jeden mit einer Internetverbindung zum Anzeigen und zum Herunterladen verfügbar waren.

Welche Daten WWE Leck enth?lt

Erstens des ungesicherten Amazon S3 -Bucket enthielt eine gro?e Gruppierung von E -Mails in TXT -Dateien. Die Daten stammten aus dem Jahr 2014-15 und enthielten die Namen, E-Mails, die physische Adresse und die Ergebnisse einer demografischen übersicht ihrer Fans von Fans, indem sie Bildung, Alter und Rasse, Alter und Geschlecht der Kinder bitten. Die Gesamtzahl von Aufzeichnungen betrug 3.065.805 und die Forscher prüfen, ob es Duplikate gab, und in der Stichprobe scheint es, dass sie alle einzigartig waren.

Datenfelder für 3M -Datens?tze:

Trotz aller Skripte und wohl inszenierten Spiele haben sie eine massive Fangemeinde und folgen. Allein in den Vereinigten Staaten wird WWE pro Woche von 15 Millionen Fans beobachtet und kündigten 2016 an, dass sie nach China expandieren, was ihnen eine potenzielle neue Fangemeinde von 1,4 Milliarden gibt!

Eines der mit ?ffentlichen Zugriff gespeicherten Archive enthielt auch eine Konfigurationsdatei mit einem anderen WWE-Bucket-Namen.

Der zweite Eimer war auch teilweise (rund 12-15 Prozent der Daten) für den ?ffentlichen Zugriff festgelegt und enthielt einen weiteren riesigen Teil der Marketing- und Kundendaten, einschlie?lich Abrechnungsdetails (Adressen, Benutzernamen usw.) von mehreren hunderttausenden europ?ischen Kunden ab 2016.

Die Dokumente enthielten auch Tabellenkalkulationen mit Social-Media-Nachverfolgung der WWE-Social-Media-Konten, wie YouTube mit w?chentlichen Gesamtsummen von Theaterlikationen, teilen, Kommentaren und einem detaillierteren überblick über die Verwaltung ihrer Social-Media- und Messfan-Fan-Interaktionen. Die Liste wurde sogar vom Land unterteilt, sodass man sich vorstellen kann, dass sie ihre Anzeigen oder lokalisierten Inhalte besser ansprechen k?nnen.

Es wurde auch ein gro?er Cache von Twitter -Posts gefunden, der als Suchergebnisse für bestimmte Schlüsselw?rter in Bezug auf WWE gespeichert wurde.

Gro?e Unterhaltungsunternehmen teilen diese Art von Dingen nie ?ffentlich, daher ist es eine seltene Sichtweise darauf, wie die WWE Big Data verwendet, um ihre Fangemeinde und die von ihnen produzierten Inhalte zu verstehen.

Beide Eimer wurden innerhalb weniger Stunden nach dem Versenden von Benachrichtigungsnachrichten an die E -Mails der im ersten Eimer gefundenen E -Mails der WWE Corp -Entwickler gesichert. Es wurden jedoch keine Antwort oder Feedback darauf eingehen, wie lange diese Daten aufgedeckt wurden, wie viele Kunden ihre Info ausgesetzt hatten und wie viele IP -Adressen inzwischen auf die Datenbank zugegriffen haben.

Obwohl es sich um eine globale Unterhaltungsorganisation handelt, ist nur sehr wenig über die inneren Arbeiten hinter den Kulissen des privaten Unternehmens bekannt. Nach einigen Sch?tzungen wird der WWE im Wert von bis zu 4 Milliarden US -Dollar gesch?tzt. Viele der Ordner waren geschützt und erlaubten keinen externen Zugriff. Es waren keine Informationen zu den Wrestlern oder Mitarbeitern zug?nglich, aber das Leck von Lüfter-E-Mails, Namen und anderen Daten ist ein Weckruf von Cybersicherheit.

Diese Nachricht folgt auf eine Reihe von Hacks, an denen die durchgesickerten Nacktfotos der WWE Divas beteiligt sind, und sogar eines Sex -Tape -Skandals, an dem der britische Superstar Paige beteiligt ist. Auch Hacked waren WWE -Stars Maryse, Victoria und Alexia Bliss.

Achtung - Teile dieses Artikels k?nnen zur Ver?ffentlichung verwendet werden, wenn ordnungsgem?? verwiesen wird, und das Mackeeper Security Research Center wird ein Guthaben erteilt.

Ein weiteres Opfer von Harak1r1 Die 0,2 Bitcoin Ransomware

Wie Sie vielleicht wissen, sind Krankenakten in den USA nach Bundes- und Landesrecht geschützt. Krankenh?user, ?rzte und Versicherer k?nnen sich bei Online -Unterlagen mit gro?en Geldbu?en und Strafen auswirken. Am 30. Dezember 2016 entdeckte das Mackeeper Security Research Center eine fehl konfigurierte Mongo -Datenbank, in der Hunderttausende von scheinbar Patientenakten und anderen sensiblen Informationen enthielt.


Die IP wurde in Google Cloud und Ergebnisse für Domainnamen gehostet, die in dieser Adresse (Reverse IP) gehostet werden, identifizierte das Emory Brain Health Center. Am 3. Januar 2017, als das Forschungsteam zurückging, um die Daten zu überprüfen, wurde festgestellt, dass die Datenbank ein Opfer des Harak1r1 der 0,2 Bitcoin Ransomware geworden war.


Diese nicht-traditionelle L?segeldmethode nimmt die Daten der Opfer tats?chlich auf und beseitigt sie, bis das L?segeld bezahlt wird. Die Daten werden vollst?ndig aus der Datenbank ausgel?scht und werden nicht einfach wie die meisten g?ngigen Arten von Ransomware -Angriffen verschlüsselt. Siehe Details hier.


Im ursprünglichen Scan der Datenbank durch das Mackeeper Security Research Center schien die gesch?tzte Anzahl der exponierten Datens?tze mehr als 200 Tausend zu betr?gt! Sie waren in die folgenden Dateinamen und Datens?tze eingebrochen:

• 'Clinicworkflow' enthielt 6.772 Aufzeichnungen (medizinische Aufzeichnungsnummer, Adresse, Geburtsdatum, Name, Nachname)
• 'Orthop?die' enthielt 31.482 Aufzeichnungen (Vorname, Nachname, medizinische Aufzeichnungsnummer, Adresse, E -Mail)
• 'Orthopaedics2' enthielt 157.705 Datens?tze (Handy, Vorname, Nachname, Adresse, E -Mail)
• 'Orthoworkflow' enthielt 168.354 Datens?tze (Handy, Vorname, Nachname, Geburtsdatum, Adresse, E -Mail)

Die folgende Nachricht wurde in der Datenbank gefunden:

Textbeispiel für Datens?tze und Datenerfassung, die jetzt vom Harak1r1 extrahiert wurde. Dieses Beispiel wurde vor dem Entfernen der Daten genommen.

Die gro?e Frage: Wenn die vom Mackeeper Security Research Center entdeckte Datenbank tats?chlich zu Emory Healthcare geh?rte. Haben sie die richtigen Schritte unternommen, um ihre Kunden und die Beh?rden über diesen Datendiebstahl und Versto? zu informieren?


In Zusammenarbeit mit Dissens von DataBeaches.net haben wir uns an mehrere Kontakte gewandt, um die Verbindung zur Emory Healthcare zu identifizieren oder einen Kommentar darüber zu erhalten, wie sie ihre Daten wiederherstellen oder Patienten benachrichtigen.

Spasurgica: Kanadische Plastische Chirurgie leckt die Aufzeichnungen der Kunden

Die Dateien enthielten vor und nach Bildern von Brustvergr??erung, Implantaten und Reduzierung. Spasurgica bietet auch Labialreduktion, Fettabsaugung und eine breite Palette plastischer Chirurgie -Optionen, die viele Kunden privat wünschen. Die Bilder, Beschreibungen und die Krankengeschichte jedes Patienten geben einen enormen Blick darauf, welche Art von Daten durchgesickert wurden. Dies sind nicht nur Hausadressen und medizinische Unterlagen, dies sind intime Bilder von den K?rpern des Patienten. Es gab auch Zugriff auf unverschlüsselte Textdateien, die Benutzernamen und Passw?rter für Konten, Drucker und andere geschützte kennwortgeschützte Anmeldungen enthielten.

Das Mackeeper -Team ist dankbar von Dissens von Databreaches.net, der an dieser Untersuchung teilgenommen hat und dazu beigetragen hat, Dr. Mohamed Elmaraghys Büro über das Leck zu informieren. Der Zugang wurde inzwischen geschlossen und ist nicht mehr ?ffentlich verfügbar. Wir haben noch nie von Spasurgica geh?rt, obwohl mehrere Benachrichtigungs -E -Mails sofort nach der Entdeckung gesendet wurden.

Lesen Sie hier mehr über ihre Geschichte.

Netzwerkinfrastrukturkennw?rter im Klartext.

Das Archiv des Patientenbilders enthielt Hunderte von Bildern.

Die Namen der Patienten sind mit den Bildern verbunden.

Krankenakten k?nnen ?u?erst privat und sensibel sein. Dies ist nur ein Beispiel für eines der Tausenden von gescannten oder faxen Dateien, die einem Patienten zeigt, der nicht nur teilte, wie ihre Eltern gestorben sind, und jedes gro?e medizinische Problem, mit dem sie konfrontiert war, sondern auch Details zur Kokainabh?ngigkeit enthielt. Drogenabh?ngigkeit und Gesundheitsakten k?nnen leider die Besch?ftigung beeinflussen oder wie Arbeitgeber Mitarbeiter mit privaten Erkrankungen oder Herausforderungen betrachten.

Das kanadische Recht schützt Patienten in Datenlecks

Laut der Website der Informations- und Datenschutzbeauftragten von Ontario gibt es einen strikten Prozess bezüglich des Diebstahls oder Lecks privater medizinischer Daten. Im Rahmen des Gesetzes über pers?nliche Gesundheitsinformationen von 2004 (PHIPA) sind ?rzte verpflichtet, die pers?nlichen Gesundheitsinformationen ihrer Patienten vertraulich zu halten. PHIPA bietet auch eine gesetzliche Verpflichtung gegenüber ?rzten, Informationspraktiken aufrechtzuerhalten und einzuhalten, die die pers?nlichen Gesundheitsinformationen ihrer Patienten vor Diebstahl, Verlust oder nicht autorisierter Verwendung oder Offenlegung schützen. Wenn pers?nliche Gesundheitsinformationen von nicht autorisierten Personen gestohlen, verloren oder zugegriffen werden.

Das Gesetz erfordert Eind?mmung und Benachrichtigung:

Bei einer Verletzung des Datenschutzes gibt es zwei Priorit?ten, die sofort angegangen werden müssen:

• Eind?mmung: Identifizieren Sie den Umfang des potenziellen Versto?es und ergreifen Sie die erforderlichen Schritte, um ihn einzud?mmen.
  Benachrichtigung: Betroffene Personen müssen so bald wie m?glich benachrichtigt werden.
• Untersuchung und Behebung: Sobald der Versto? einged?mmt und die betroffenen Parteien benachrichtigt werden, müssen Sie eine interne Untersuchung durchführen.

***

Dolmetscher unbegrenzte personenbezogene Datenlecks

Das Ger?t enthielt die privaten Informationen (unsere Sch?tzung betr?gt 4.500 Datens?tze) von Kunden, Mitarbeitern, Gehaltsdaten, Sozialversicherungsnummern, E -Mails und viel sensibleren Daten im Klartext als Teil von Excel -Tabellenkalkulationen und .txt -Dateien.

Zu den speziellen Ordnern geh?rten alle Serverzugriffsdetails, alle E -Mail -Anmeldungen und Passw?rter für fast jeden Mitarbeiter.

Der technische Administrator der Website ist in der WHOIS -Registrierung aufgeführt, und es gab eine Menge pers?nlicher Dokumente auf dem Ger?t, das zum IT -Manager geh?rt.

In der Regel sollten Sozialversicherungsnummern niemals in einem klaren Textdokument gespeichert werden und in Kombination mit Namen, Adressen, E -Mails und anderen identifizierbaren Informationen, die Cyberkriminelle mit allen Informationen zur Verfügung stellen.

Die von Mackeeper -Forschern entdeckten Daten hatten sogar die Anzahl der Geldübersetzer, die im Vorjahr mit dem Unternehmen verdient wurden. Dieses eine Dokument enth?lt genügend Informationen, mit denen Kriminelle gef?lschte Steuererkl?rungen einreichen, Kredite oder andere Betrugsformen abrufen k?nnen.

Unbegrenzte Dolmetscher bieten übersetzungsdienste wie die Interpretation vor Ort, Video, Telefon und eine Reihe anderer Dienste an. Laut ihrer Website ?fungieren wir als? Matchmaker “und finden Sie den am besten geeigneten Sprachdienst, der Ihren Anforderungen entspricht. Ihr Kundenprofil umfasst Unternehmen wie Google, Boeing, Postal Service United States und andere.

Wir haben zusammen mit Zack Whittaker von Zdnet an diesem Fall gearbeitet, der sich an den Pr?sidenten des Unternehmens wenden und ihn über den Vorfall aufmerksam machte (unsere ersten Benachrichtigungen, die per E -Mail an den IT -Manager des Unternehmens gesendet wurden, wurden unbemerkt. Das Ger?t wurde isoliert. Das Unternehmen sucht einen Anwalt und ein Sicherheitsprüfungsunternehmen von Drittanbietern. Aber das Unternehmen wird die Menschen - die übersetzer - über die Exposition informieren.

Die Daten wurden "vier bis sechs Monate" gestreamt, sagte er.

Sie k?nnen Zack'sStory bei ZDNET lesen.

Das Telemarketing -Unternehmen leckt fast 400.000 sensible Dateien

Forscher des Mackeeper Security Research Center haben mit mehreren hunderttausend verfügbaren Dateien zu einer der gr??ten Entdeckungen gemacht. Die Dateien geh?ren zu einem umstrittenen Marketingunternehmen Vici Marketing LLC in Florida und umfassen Tausende von Audioaufnahmen, bei denen Kunden ihre Namen, Adressen, Telefonnummer, Kreditkartennummern, Lebenslaufnummern und mehr angeben. Im Jahr 2009 erkl?rte sich Vici Marketing LLC bereit, 350.000 US -Dollar für die Beilegung einer Beschwerde des Generalstaatsanwalts in Florida zu zahlen, dass das Unternehmen gestohlene Verbraucherinformationen erhalten habe und keine ordnungsgem??en Schritte unternahm, um sicherzustellen, dass die Daten zu Recht erfasst wurden. Die Forscher haben best?tigt, dass sie trotz der Geldstrafe und der Strafen keine Kunden- oder Unternehmensdaten gesichert haben und es eine Datumsspanne von Aufnahmen gibt, die mehrere Jahre zurückreichen. Im Rahmen der Vereinbarung: Wenn die Bestimmungen der einstweiligen Verfügung verletzt werden, k?nnte Vici einer Zivilstrafe von 1 Million US -Dollar unterliegen.


In jedem Anruf gibt es genügend Informationen, um Cyberkriminelle alles zu bieten, was sie ben?tigen, um die Kreditkarteninformationen zu stehlen oder eine breite Palette von Verbrechen zu begehen. Einige der Aufzeichnungen warnen Kunden nicht, dass die Anrufe aufgezeichnet oder gespeichert werden. Elf Staaten verlangen die Zustimmung jeder Partei zu einem Anruf oder einem Gespr?ch, um die Aufzeichnung rechtm??ig zu machen. Diese "Zweiparteieneinverst?ndnisergesetze" wurden in Kalifornien, Connecticut, Florida, Illinois, Maryland, Massachusetts, Montana, New Hampshire, Pennsylvania und Washington verabschiedet.


Unsachgem??e Datenspeicher oder falsch konfigurierte Datenbanken k?nnen den gro?en und kleinen Unternehmen in den Unternehmen passieren, aber für ein Unternehmen, das bereits einen hohen Preis gezahlt hat und Gegenstand regulatorischer Verst??e war, scheint es, als würden sie die Cybersicherheit ernst nehmen. In dem Fall von 2009, in dem sie beschuldigt wurden, gestohlene Verbraucherinformationen erhalten zu haben, behauptete Robby Birnbaum, dass "wir keinen Beweis dafür haben". Nach den Bestimmungen der Siedlung von 2009 ist VICI dauerhaft untersagt, Daten ohne Due -Diligence zu erfassen oder zu verwenden, indem Daten von rechtswidrigen oder fragwürdigen Herkunft, Zugriff auf und verwenden Daten für das Telemarketieren von Verbrauchern ohne Hintergrund Due Diligence und rechtswidriges Telemarketing verwendet.


Die Dateien, die die Mackeeper -Sicherheitsforscher entdeckt haben, enth?lt Hunderttausende von Aufzeichnungen und es k?nnten mehrere Wochen dauern, bis sie alle durchlaufen werden. Es ist unklar, ob die sensiblen Daten von den Dritten verkauft oder erworben werden. Forscher haben eine 28 -GB -Kopie des Backups für überprüfungszwecke heruntergeladen und werden die ?ffentlich verfügbaren Dokumente nach Abschluss des Falls sicher l?schen. Mackeeper arbeitet eng mit den Strafverfolgungsbeh?rden und der US -Heimatschutzsicherung zusammen, in F?llen, in denen Daten Teil einer strafrechtlichen oder zivilrechtlichen Untersuchung werden. Zu diesem Zeitpunkt gibt es kein mutma?liches Fehlverhalten, als bis zu 17.649 Audioaufnahmen mit Kreditkartennummern und privaten Kundendateien zu hinterlassen.


Es gibt auch 375.368 Audioaufnahmen, die als "kalte Anrufe" qualifiziert werden k?nnen, wobei einige derjenigen auch pers?nliche Informationen enthalten.


Das Internet voller Beschwerden darüber, wie Vici Marketing LLC betrieben oder behauptet, und Vorwürfe ehemaliger Mitarbeiter. Bei der Suche nach Kundenbewertungen und Mitarbeitern Kommentare haben wir einen Blog -Beitrag entdeckt, in dem beschrieben wird, wie Vici den Kunden ein Werbegeschenk geben würde, wenn sie nur für den Versand bezahlen. Sie boten Skin DM/Rejuvaglow -Creme an, die 3,95 US -Dollar kosten und kosteten 92,61 USD, nachdem alles vorbei war. Ein ehemaliger Mitarbeiter namens Justin Tyme sagt:

Bis der Verbraucher erkennt, was passiert ist, dass er bereits über 100 US -Dollar oder mehr in H?he von mehr als 100 US -Dollar entspricht. Wenn der Kunde eine Rückerstattung anruft, k?nnen sie sich anh?ren, als ob Sie sie nicht bekommen k?nnen, indem sie ihnen anbieten, die Produkte zu behalten und ihnen nur teilweise Rückerstattungen zu geben. Ich bin mir sicher, dass es einige von Ihnen gibt, die das Produkt an den Absender zurückgegeben und die Sendungen verweigert haben, oder? Und wenn Sie anrufen, um nach Ihrer Rückerstattung zu fragen, dass Sie einen nicht haben k?nnen, weil Sie das Produkt nicht richtig zurückgesandt haben und es nicht wieder in das Lagerhaus verarbeitet wurde !!! Die gleiche Person, die Ihnen sagt, dass dies in Ihrem Konto deutlich erkennen kann, dass das Produkt erfolgreich zurückgegeben wurde, sie jedoch ?keine RMA“ markieren, sodass das Unternehmen Ihr Geld nicht zurückgeben kann.


Obwohl wir die Behauptungen ehemaliger Mitarbeiter nicht überprüfen k?nnen, erz?hlen viele der Online -Beschwerden dieselbe Geschichte und beschreiben genau die gleichen Verkaufs- und Abrechnungsmethoden.

IndyCar -Datenleck

Die Mehrheit dieser Backups scheint lediglich betriebsbereit zu sein, aber was die Anmeldeinformationen für IndyCar -Mitarbeiter sowie die 200K -Benutzerkonten mit Feldern wie E -Mail, physischer Adresse, Erster und Nachname, Passwort -Hash, Benutzername, Sicherheitsfragen und Antwort, Geburtsdatum und Geschlecht auff?llt. Was im Wesentlichen den Fund eine Identit?tsdiebstahl -Schatzkammer macht.

Es ist wichtig darauf hinzuweisen, dass das IndyCar Bulletin Board diese Konten seitdem im Ruhestand stammen. Es ist also nicht erforderlich, Ihr IndyCar -Forum -Login -Passwort zu ?ndern. Wenn Sie jedoch die Art von Person sind, die Passw?rter wiederverwendet (und es ist eine Schande, dass es sich bei den meisten Personen befindet), sollten Sie alle Konten zurücksetzen, die m?glicherweise dasselbe Passwort verwenden. Wenn b?swillige Leute auf diesen Datensatz stie?en, k?nnten sie diese Passw?rter entschlüsseln und versuchen, sie jetzt auf Ihren anderen Online -Konten zu verwenden.

Das führt mich zu etwas, das ich mir eine Weile gefragt habe: Warum halten Unternehmen an Passwort-Hashes, lange nachdem die zugeh?rige Site geschlossen wurde? Das ist nichts als die Haftung. Sie gef?hrden Kunden für keinen Gewinn. Indycar gab absolut nichts zu gewinnen, indem es an diesen Passwort -Hashes festgehalten wurde. Und jetzt sind sie mit negativen PR konfrontiert, da die Situation an Rennfans ausgeht.

Ich kann nur annehmen, dass die Anw?lte und Risikomanagementleute, die für IndyCar arbeiteten, nicht wissen, dass ein nicht mehr existierender Forum-Anmeldungen gespeichert wurden. Es ist nicht so, wie diese Arten von Menschen ihre Arbeit behalten. Wenn Sie dies lesen und das Risiko in einem gro?en Unternehmen verwalten, sollten Sie Ihren IT -Mitarbeitern zwei wichtige Fragen wirklich stellen:

1. Was speichern wir?
2. Brauchen wir es wirklich?

PIP -Druck- und Marketingdienste Datenleck

Der Gro?teil von 400 GB Server ist dem Entwerfen von Dateien und Bildern im Zusammenhang mit dem Druckgesch?ft bestimmt. Die empfindlichsten Informationen sind in den Ordnern ?Outlook Archive“ und ?Scans“ enthalten. Diese enthalten rund 50 GB gescannte Dokumente in Bezug auf Gerichtsverfahren, Krankenakten, bekannte Unternehmen und Prominente. Es gibt ein Korrespondenzarchiv, in dem die Kunden des Unternehmens Manager auffordern, Kopien der beigefügten Dokumente zu erstellen. Dieses Archiv enth?lt mehr als 2.200 Nachrichten und einige von ihnen verfügen über Kreditkartennummern und Rechnungsdetails im Klartext.

PIP Printing- und Marketing Services, Aprinting und Design Company ist eine preisgekr?nte Druck- und Produktionsfirma, die in den USA über Franchise-Standorte verfügt und RANKSAMONG-Unternehmer-Franchise 500.

Dies ist nur ein weiteres Beispiel dafür, wie digital unser Leben geworden ist und sogar etwas so Einfaches, wie das Druckdokumenten sensible Daten der Kunden aufzudecken. Mackeeper Security empfiehlt jedem Unternehmen, das sensible Kundendaten empf?ngt und speichert, jeden m?glichen Schritt, um sie zu sichern und zu schützen.

Zu den sensiblen Daten: Dokumente ehemaliger amerikanischer professioneller Fu?ballspieler mit Daten geh?rten NFL -Renteninformationen, Sozialversicherungsnummer, S und einige medizinische Informationen; Tausende vertrauliche Dateien von Larry Flynts Hustler Hollywood -Einzelhandelsgesch?ften. Die Dateien stammen aus dem Jahr 2010 und umfassen HR -Dokumentation, interne Untersuchungen, Verkaufszahlen, Ziele sowie Gewinn- und Verlustanweisungen für jedes Gesch?ft.

Zeigt uns erneut die Gefahren eines gro?en oder kleinen Unternehmens, das ihre Daten online nicht ordnungsgem?? sicheret. Lecks k?nnen mehr als nur peinlich sein, wenn sie vertrauliche Verkaufsdaten und interne Kommunikation aufdecken.

Wichtiger Hinweis

Die vom Mackeeper Security Research Center entdeckten Informationen waren ?ffentlich verfügbar und es ist kein Passwort erforderlich, um auf die Daten zuzugreifen.

Erstens erschien es Ende Oktober 2016 auf unserem Radar. Trotz unserer Versuche, die Druckerei zu benachrichtigen, wurden unsere Anrufe und E -Mails nie ernsthaft angesprochen. Wir haben auch einen Anruf bei der Rezeptionistin aufgezeichnet, der sich seltsam benahm und nicht bereit war, die Informationen weiter zu übertragen.

Wir danken Tomspring von ThreatPost, der in diesem Fall unterstützt und seine eigenen Untersuchungen durchgeführt hat. Weitere Details finden Sie in seiner Geschichte zu ThreatPost: https: //tveatpost.com/printing-and-marketing-firm-leak-high-profile-customers-data/123530/

Umfangreiche Verletzung am Flughafen INTL

Der undichte Datensatz enth?lt alles, von sensiblen TSA -Untersuchungsschreiben bis hin zu Sozialversicherungsnummern der Mitarbeiter, Netzwerkkennw?rtern und 107 Gigabyte E -Mail -Korrespondenz. Bis ich am vergangenen Dienstag das Management der Einrichtung mitteilte, bestand ein echtes Risiko für die Sicherheit dieses US -Flughafens.

Dies ist eine wichtige Fallstudie, wie Gesch?ftspraktiken zu Datenverletzungen führen k?nnen. Laut den anwesenden Materialien stellt die Hafenbeh?rde von New York & New Jersey die Verwaltung von Stewart International an ein privates Unternehmen namens Avports ab. Dieses Unternehmen stellt sich dann mit einem alleinigen IT-Typ zusammen, der nur zwei- oder dreimal im Monat vor Ort ist.

Sie k?nnen nicht erwarten, dass eine Person eine Infrastruktur für Flughafennetze pflegt. Dies ist ein Rezept für Sicherheitslücken. Dies ist ein klassisches Beispiel dafür, was mit der Privatisierung schief gehen kann. Gemeinnützige Unternehmen haben jeden Anreiz, allzu oft Einnahmen vor Best Practices zu priorisieren.

Dies wird durch die Leistung der Avports -Vorf?lle betont. In einer Branche auf der Ebene des Flughafens Management muss jeder Mitarbeiter zumindest flüchtige Datenverletzungsausbildung haben. Die erste Person, mit der ich bei Avports gesprochen habe, war sehr nett zu mir, aber irgendwann fragte mich, ob dies ?bis morgen warten k?nnte“.

Die Antwort auf diese Frage ist nein. Wenn Ihr Unternehmen die von der Regierung erstellte Dokumente mit Phrasen wie ?Vertraulich“, ?nur für offizielle Verwendung“ und ?nicht autorisierte Ver?ffentlichung zu einer zivilrechtlichen Strafe oder anderer Ma?nahmen“ und anderer Ma?nahmen “durchnimmt, k?nnen Sie nicht einfach bis morgen warten. Es erfordert sofortige Handlung.

Anf?ngliche Antwort

Ich war etwas erleichtert, als ein Avports -COO mich ein paar Minuten sp?ter gegen 12 Uhr Pacific US -Zeit zurückrief. Er versicherte mir, dass ich in Kürze von ihren IT -Mitarbeitern h?ren würde, um die Situation weiter zu untersuchen und zu beheben.

Dreieinhalb Stunden sp?ter hatte ich von niemandem geh?rt und die Datenverletzung war noch lebendig. Ich beschloss, die Hafenbeh?rde anzurufen. Sie wiesen mich an, das Stewart -Terminal anzurufen, und gaben eine Telefonnummer an. W?hrend dieses n?chsten Anrufs wurde der exponierte Port des Servers an die Terminalbetreiber in die Au?enwelt geschlossen. Es ist nicht bekannt, ob dies ein zuf?lliges Zeitpunkt war oder nicht, da die Terminal -Jungs behaupteten, ihre Abteilung kann eine solche ?nderung nicht vornehmen.

Der It -Typ

Ein paar Stunden sp?ter, gegen 19 Uhr Pacific, erhielt ich endlich einen Anruf vom IT -Typ. Das Gespr?ch nahm einen ersten Abschwung. Er teilte mir mit, dass ich ein Verbrechen begangen habe, indem ich diese Daten heruntergeladen habe und die Analogie des Einbruchs und Stehlens von Gegenst?nden aus jemandem zu Hause verwendet hatte (was nicht weiter von der Wahrheit entfernt war).

Glücklicherweise wurde das Gespr?ch ausschlie?t, als ich ihm erkl?rte, dass meine Handlungen in keiner Weise kriminell waren. Das Ger?t wurde so konfiguriert, dass diese Dateien ohne einen einzelnen Benutzernamen, Kennwort oder eine andere Authentifizierungsma?nahme ?ffentlich verteilt wurden. Unabh?ngig von der Absicht war diese Maschine im Wesentlichen als ?ffentlicher Webserver.

M?gliche Erkl?rungen

Wie ist das passiert? Hier sind einige Hinweise - der IT -Typ, mit dem ich gesprochen habe, teilte mir mit, dass der Flughafen vor einigen Monaten mit einer Backup -Software experimentiert hatte, die als ShadowProtect bekannt ist. Ich wurde darüber informiert, dass ein Teil des Prozesses das ?ffnen von Port 873 in der Firewall beinhaltete und dass der Schattenstrom -Dienst, Teil von ShadowProtect, einen Aspekt des Remote -Synchronisationsdienstes (RSYNC) verwendet hat. Dies ist genau das, was mir in diesem Gespr?ch gesagt wurde.

Das mag ein bisschen ein roter Hering sein und nur ein Teil des Puzzles. Innerhalb der Backups konnte ich eine E -Mail -Kette finden, die darauf hinwies, dass Avports im M?rz 2016 mindestens ein Buffalo Terastation Backup Nas -Ger?t gekauft hat.

Diejenigen von Ihnen, die mit meiner Arbeit Schritt halten, k?nnen sich an diese gleichen Marke und das Modell des NAS -Ger?ts im Mittelpunkt eines kürzlich gemeldeten Ameriprise -Finanzdatenverletzungen erinnern. Tats?chlich habe ich mehrere andere Erkenntnisse in jüngster Zeit mit diesem speziellen Ger?t vorgenommen.

Meine Hypothese ist, dass es m?glicherweise eine Standard?ffnung von Port 873 für eine Reihe von Büffel -Terastationen geben kann. Denken Sie daran, dass Port 873 w?hrend eines Teils des Experiments mit ShadowProtect absichtlich auf der Firewall von Stewart International er?ffnet worden war.

Die aktuelle Arbeitstheorie ist, dass diese beiden Faktoren ein Breach -Szenario ausrichteten und zu einem Breach -Szenario führten. Aber all dies wirft die Frage auf: Würde eine solche Kontrolle auftreten, wenn Avports auch einen Vollzeit-IT-Typ bei Stewart einsetzt?

Sie bekommen, wofür Sie bezahlen, auch darin.

Weitere Informationen finden Sie im ZDNET -Artikel.

***

Achtung -Porten dieses Artikels k?nnen zur Ver?ffentlichung verwendet werden, wenn ordnungsgem?? verwiesen wird und der Mackeeper -Sicherheitsforscher Chris Vickery, dem Mackeeper -Sicherheitsforscher, zugeordnet wird .

Amazon AWS -Problem nimmt das Internet ab

Es ist immer noch nicht klar, was das Problem mit den Diensten war. Darüber hinaus bestehen das Problem weiterhin und wirkt sich teilweise auf die auf der Ostküsten basierenden Websites aus. Wie Amazon auf seinem offiziellen Twitter -Konto sagt: ?S3 hat eine hohe Fehlerraten. Wir arbeiten hart daran, sich zu erholen.“

AWS ist ein Amazon Cloud -Speicherdienst, der bei so gro?en Unternehmen wie Netflix, Adobe Systems, Airbnb, BMW usw. beliebt ist. Mackeeper ist auch auf AWS angewiesen, um den Betrieb reibungslos zu halten. Aber die Anzahl der kleinen Unternehmen, die AWS verwenden, ist schwer vorstellbar.

Sie k?nnen die neuesten Fixes -Updates im Amazon Service Health Dashboard überprüfen.

Viele Internetnutzer haben jedoch den Diensten für lustig festgestellt und Amazon Ratschl?ge gegeben:

Mackeeper -Sicherheitsforscher erkennen sensible die Daten der Vereinigten Staaten Luftwaffe

Die Forscher entdeckten eine Fülle sensibler Dokumente, die Personal durch Berechtigung und Zugriffsberichte umfassten, die die Namen, die Rang und die sozialen Sicherheitsnummern von mehreren hundert Servicemitgliedern enthielten. Am Ende jeder Seite befindet sich ein Hinweis, der lautet:

"Im Rahmen des Datenschutzgesetzes von 1974 müssen Sie die durch dieses System abgerufenen Personalinformationen schützen. Die Offenlegung von Informationen unterliegt Titel 5, United"

Das schockierendste Dokument war eine Tabelle mit offenen Ermittlungen, die den Namen, der Rang, den Ort und eine detaillierte Beschreibung der Anschuldigungen enthielten. The investigations range from discrimination and sexual harassment to more serious claims. One example is an investigation into a Major General who is accused of accepting $50ka year from a sports commission that was supposedly funneled into the National Guard. There were many other details from investigations that neither the Air Force or those being investigated would want publically leaked.

There is a file that contains Defense Information Systems instructions for encryption key recovery. This is a comprehensive step-by-step guide of how to regain access to an encryption key and all of the urls where someone can request information regarding a Common Access Card (CAC) and Public Key Infrastructure (PKI). The possible danger of leaking the email addresses and personal information of senior military officials is that through social engineering and other methods, bad actors could potentially gain access.

Among the sensitive documents was a scanned image of the Lieutenant's JPAS account (Joint Personnel Adjudication System) from the Department of Defence. This included the login URL, user ID, and Password to access the system. JPAS accounts are only provisioned for authorized individuals and we can assume there would be classified information to anyone who would access the account. The database also included a copy of the North Atlantic Treaty Organization (NATO) Information Security Training Manual and many other documents that may or may not be publically available.


The device has since been taken offline and it is unclear if anyone other than members of the MacKeeper Research Team had access to the files or how long they were available.

Please see more details on the story in Zack's feature at ZDnet: https://www.zdnet.com/article/leaked-us-military-files-exposed/

Schoolhouse data breach

Schoolzilla, a student data warehousing platform, made the all-too-common mistake of configuring their cloud storage (an Amazon S3 bucket) for public access. I discovered the bucket after noticing a few other unsecured buckets related to the Tableau data visualization platform. There was an exposed “sz.tableau” bucket, so I started looking for other “sz” iterations. That's when I came across “sz-backups”, which turned out to be the main repository for Schoolzilla's database backups.

I downloaded several of the production backups, the largest was titled “Web_Data_FULL” and weighed in at 12 gigs. After loading them into a local MSSQL instance I did some review and concluded that this was most likely real student data and did indeed come from Schoolzilla. The possibility of a false-flag operation is always in the back of my head (a scenario in which an unscrupulous company creates a false data breach that appears to originate from a competitor).

Schoolzilla was quick to respond when I submitted a data breach notification ticket. They secured the data and opened dialogue with me to learn the full extent of the issue. I applaud their incident response. This was the first situation of its kind for them and they reacted professionally. It must have been grueling for the CEO to phone each client and relay the unpleasant news, but they did it within only a few days of my report.

Additionally, Schoolzilla understood the problem and took responsibility. They did not try to shoot the messenger or claim that I had somehow “hacked” them. That's worth an extra-large gold star on the board for them.

Unlike most reports, I do not have any redacted screenshots to share for this one. The sheer volume of private student data, including scores and social security numbers for children, convinced me that it should be purged from my storage in an expedited fashion. I did however seek guidance from the US Department of Education before overwriting my copies just in case they wanted them preserved for any investigatory purposes. Unfortunately, the Department's voicemail box is currently full and I could not leave a message.

A message from Schoolzilla's CEO regarding the situation can be found here: https://schoolzilla.com/commitment-information-security/

Information for editors:

The MacKeeper Security Research Center was established in Dec 2015 with the goal of helping to protect data, identifying data leaks and following a responsible disclosure policy. Our mission is to make the cyber world safer by educating businesses and communities worldwide. Many of our discoveries have been covered in major news and technology media, earning the MacKeeper Security Research Center a reputation as one of the fastest-growing cyber data security departments.

Auto financing company leaks 500K of customer's info online

As part of our research on publicly available Amazon AWS S3 buckets, MacKeeper Security Researchers discovered yet another repository, (mis)configured for public access, which contained 88 megabytes of spreadsheet documents in *.csv format with names of hundreds of auto dealerships around the United States.

Upon further investigation we were able to identify what appeared to be customer purchase information (such as full names, address, zip,last 4 SSN digits), credit scores (FICO auto scores), year, makes, and models. Once it was clear this was automotive financing data we found the name of who we believed were associated with the exposed data.

The files allegedly belong to Alliance Direct Lending Corporation, an automobile finance company in that refinances auto loans or uses a network of dealers to match with pre-qualified buyers.

The leaked data contained 124 files (each of them containing from 5 to 10 thousand records, which brings us to 550K - 1M customer details in total), with financing records broken down by dealerships and 20 audio recordings of customers agreeing to auto loans or refinancing of auto loans. These consent calls were the customers agreeing that they understood they were getting an auto loan, confirming that the information was correct and true. They included the customers' name, date of birth, social security numbers, and phone numbers. These calls were in both English and Spanish.

A member of MacKeeper Security Research called and spoke with an IT administrator who looked at the url of the publically accessible data and confirmed that it appeared to belong to Alliance Direct Lending. When searching online for Alliance Direct Lending it appears that they really dohave a solid reputation and nearly all of the reviews are positive, but data breaches can and do happen. This is yet another wake up call for anyone dealing with financial data, social security numbers, or other sensitive data to audit your data often. One simple misconfiguration could allow your entire organization's data storage publically available online to anyone looking for it.

Did anyone else see this data?

It is unclear if anyone other than security researchers accessed it or how long the data was exposed. According to the bucket properties, it was last modified on Dec 29, 2016. It contained 210 public items and 790 private ones (not available but listed) - logs. The IT Administrator claimed that it had only recently been leaked and was not was not up for long. He thanked us for the notification and the data was secured very shortly after the notification call.

The danger of this information being leaked is that cyber criminals would have enough to engage in identity theft, obtain credit cards, or even file a false tax return. Alliance Direct Lending is based in California where the law requires notification of a breach when a California resident's unencrypted personal information is compromised. California was the first state in the US to require notification of security breaches (its law became effective in 2003).

Information for editors:

The MacKeeper Security Research Center was established in Dec 2015 with the goal of helping to protect data, identifying data leaks, and following responsible disclosure policy. Our mission is to make the cyber world safer by educating businesses and communities worldwide. Many of our discoveries have been covered in major news and technology media, earning the MacKeeper Security Research Center a reputation as one of the fastest-growing cyber data security departments.

Troy Hunt did a great job describing all details about that, so this is why I have reached out to him first to see if this dump is something special.

After running a sample set at his HIBP project, Troy identified 243,692,899 unique emails, with almost every single address is already in HIBP, mostly centred around the big incidents.

And while it is not the news itself, the availability of this data almost publicly (I mean, unprotected MongoDB equals publicly) is alarming.

During our research, we were surprised to see as many as 313 large databases, with a size over 1GB, with several terabytes of data, hosted in the US, Canada, and Australia.

The database in question is hosted on a cloud-based IP, and it is unclear who actually owns it. We sent notification emails to the hosting provider, but usually, it is not the quickest way to shut it down.

After a series of 'ransomware' attacks targeted on MongoDBs left without authorization in the beginning of this year, I was not sure if somebody still uses early versions of Mongo where default configuration is possible. It appears that “Eddie” did.

Database is 75 gigs in size and containsdata structured in a readable json format which included at least 10 previously leaked sets of data from LinkedIn, Dropbox, Lastfm, MySpace, Adobe,Neopets. RiverCityMedia, 000webhost, Tumblr, Badoo,Lifeboat etc.

The lesson here is simple: most likely, your password is already there and somebody might be trying to use this just now. So isn't that a good time to change it now?

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Research Center.

313 large databases went public

Troy Hunt did a great job describing all details about that, so this is why I have reached out to him first to see if this dump is something special.

After running a sample set at his HIBP project, Troy identified 243,692,899 unique emails, with almost every single address is already in HIBP, mostly centred around the big incidents.

And while it is not a news itself, the availability of this data almost publicly (I mean, unprotected MongoDB equals publicly) is alarming.


During our research, we were surprised to see as many as 313 large databases, with size over 1GB, with several terabytes of data, hosted in US, Canada and Australia.


The database in question is hosted on a cloud-based IP, and it is unclear who actually owns it. We sent notification email to the hosting provider, but usually it is not the quickest way to shut it down.


After a series of 'ransomware' attacks targeted on MongoDBs left without authorization in the beginning of this year, I was not sure if somebody still uses early versions of Mongo where default configuration is possible. It appears that “Eddie” did.


Database is 75 gigs in size and containsdata structured in readable json format which included at least 10 previously leaked sets of data from LinkedIn, Dropbox, Lastfm, MySpace, Adobe,Neopets. RiverCityMedia, 000webhost, Tumblr, Badoo,Lifeboat etc.


The lesson here is simple: most likely, your password is already there and somebody might be trying to use this just now. So isn't that a good time to change it now?

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Research Center.

Global communication software left a massive amount of data online

Online communication has become a vital part of today's business environment and it is essential that business owners have tools and analytics to gauge efficiency, communication, and a range of data sets. One of the top companies that provide cloud-based unified communications has just leaked more than 600GB of sensitive files online.

The MacKeeper Security Center has discovered not just one but two cloud-based file repositories (AWS S3 buckets with public access) that appear to be connected to the global communication software and service provider BroadSoft, Inc. They have created an infrastructure for cloud unified communications tools that can be service provider hosted or cloud-hosted by BroadSoft. The publically traded company has over 600 service providers across 80 countries and supports millions of subscribers according to their website. Their partners are some of the biggest names in the communication business, telecom, media, and beyond, including Time Warner Cable, AT&T, Sprint, Vodafone among many other well-known companies. When 25 of the worlds top 30 service providers by revenue all use BroadSofts infrastructure and with so many subscribers it is easy to see that this data leak could have a massive reach.

BroadSoft business applications

• UC-One = single, integrated business communications solution
• Team-One = chat, take notes, track tasks and share files in organized workspaces.
• Also provides access to Google, Drive, Salesforce and other apps? Team-One is integrated with over 50 other popular apps.
• CC-One= omni-channel, cloud contact center solution that uses predictive analytics to lower operating costs and improve business performance.
• Hub =unified experience, bringing together BroadSoft Business and cloud apps

Other BroadSoft Business Platforms include BroadWorks, BroadCloud, Carrier, PaaS, Reseller, BroadSoft Mobility.

How the leak happened

The problem is that the repository was configured to allow public access and exposed extremely sensitive data in the process. They used Amazon's cloud but misconfigured it by leaving it accessible. Amazon AWS buckets are protected by default but somehow were left publically available. It is most likely that they were forgotten by engineers and never closed the public configuration. This would allow anyone with an internet connection to access extremely sensitive documents. Not only could they access the documents but any “Authenticated Users” could have downloaded the data from the URL or using other applications. With no security in place just a simple anonymous login would work.

This leak shows once again just how insecure data can be when improper security settings are used. In this instance the same mistake leaked the data and information of potentially millionsof BroadSofts customers and that their partners service. This is not unique to BroadSoft and happens to companies big and small, but what does stand out is the size and scope of their business. Their infrastructure and portfolio of applications is used by millions of customers and many of them had their data exposed. It is unclear if BroadSoft will be notifying affected customers of this data exposure or if the partner companies who use their infrastructure will.

How it was discovered

In July MacKeeper Security researchers discovered an Amazon S3 cloud-based data repository that was connected to the WWE (World Wrestling Entertainment) hosted on the public 'wwe-test' S3 domain. This raised the flag that many administrators could potentially open a back up for testing and never close it. After the discovery researchers began testing other variations of the '-test' suffix and came across 2 of the connected repositories (one using the underscore sign '_' - not recommended by Amazon). Searching for the test resporsities is how it was discovered and we can only assume there are many more cloud-based data leaks actively available that started out as a testing ground, but were never secured.

On Aug 29th a security notice was sent to engineers based in BroadSofts Indian office (Bangalore) whose email communications was found in the repository. He replied “Who gave you my contact and it does not belong to us”. Then ironically one of the two repositories was closed to public access almost immediately after the notification. This would logically conclude that engineers may have been trying to do damage control by denying that the 600GB of data belonged to Broadsoft or their clients.

The second bucket was quickly secured only after a notification email to Charter-related people was sent.

What the leak contained

In short, the repository contained a massive amount of sensitive information and researchers estimate It would take weeks to fully sort through all of the data. The most potentially damaging discovery was the fact that it contained internal development information such as SQL database dumps, code with access credentials, access logs, and more. These are all things that should not be publicly available online. The two repositories contained thousands and thousands of records and reports for a number of Broadsoft clients with Time Warner Cable (TWC) appearing to be the most prominent and including applications like Phone 2 Go, TWC app, WFF etc.

Much of the internal development data apparently saved by Broadsoft engineers related to Time Warner Cable, Bright House Networks (BHN/Charter). For example “User Profile Dump, 07-07-2017” text file contains more than 4 million records, spanning the time period 11-26-2010 - 07-07-2017, with Transaction ID, user names, Mac addresses, Serial Numbers, Account Numbers, Service, Category details, and more. Other databases also have billing addresses, phone numbers etc. for hundreds of thousands of TWC customers.

Bob Diachenko, chief communications officer, MacKeeper Security Center:

The threat and risk

Cyber criminals and state-sponsored espionage is a real threat to major corporations, businesses of all sizes, and individuals. We see more and more examples of how bad actors use leaked or hacked data for a range of crimes or other unethical purposes. One example is the infamous Yahoo email breach and the belief that it was used to identify dissidents, trade secrets, and gather other sensitive data. The bottom line is that data is valuable and there will always be someone looking for it. Improperly securing data is just as bad if not worse because it was preventable. BroadSoft accidentally leaked not only customer and partner data but also internal credentials that criminals could have easily used to monitor or access their network and infrastructure.

The MacKeeper Security Research Center has downloaded the contents of the repository for verification purposes and it is unclear if anyone else has had access to the data.

As we continue to see more and more cloud leaks appear it reminds us that companies large and small must conduct regular audits to secure their data. Misconfiguration of cloud-based storage repositories that allow public or semi-public access can result in a devastating data leak that requires no hacking or password. The MacKeeper Security Team is dedicated to identifying threats and vulnerabilities and helping to secure them or bring attention that will help make data more secure online.

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

UPDATE: The article has been updated to reflect that no evidence except a similar report name was identified to mention AMC among affected companies.

Mexican tourist tax refund company leaks customer records

Have you been to Mexico in the last year as a tourist and applied for a tax refund on the money you spent while shopping there? If you have, chances are your passport, credit card, or other identification might have been leaked online. The MacKeeper Security Research Center has discovered a misconfigured database with nearly half a million customer files that were left publically accessible. These tourists traveled from around the world to enjoy Mexico's beaches, warm weather, historical sites, or cities and had their private data exposed in the process.

The database appears to be connected with MoneyBack, a leading provider of tax refund (value-added tax refund or sales tax refund) services for international travelers in Mexico.

MoneybBack is part of Prorsus Capital SAPI de CV, a Mexican Investment Fund. The most dangerous aspect of this discovery is the massive amount of data totaling more than 400GB.

How MoneyBack works

They have created a network of affiliate stores who offer the tax refund as a type of discount to lower the final purchase price of certain goods tourists buy. These refunds would make sense for luxury jewelry, gold, and diamonds that cost many thousands of dollars. According to MoneyBack's General Director Danielle Van Der Kwartel “International travelers can receive an 8.9% refund of the total amount they spend when shopping at any of the 6,500 MONEYBACK affiliated stores”. They also claim to provide service in more than 98% of Mexico's air and maritime points of departure and have 55 offices, airport booths, cruise ports, and shopping mall locations.

MoneyBack works closely with travel agents by providing training on its services to help them promote the tax refunds to their clients traveling to Mexico. It seems to be a profitable business and encourages shoppers to spend more but are customers really saving that much money? Some credit card companies charge 3% foreign transaction fees and it is unclear what fees MoneyBack charges customers or the travel agent commissions. There are some complaints online about the bureaucracy of the Mexican Government taking up to 6 months to disburse refunds. Are the savings worth it?

How the leak happened

During a routine security audit, MacKeeper Security Researchers discovered a misconfigured CouchDB that allowed public access to the data via browser. Those who follow cybersecurity news may remember that in early 2017 10% of CouchDB servers were victims of ransomware because of the same misconfiguration. Although MoneyBack is based in Mexico the hosting and IP address is located in the United States. The database was publically accessible and required no password protection or other authentication to view or download MoneyBack's entire repository.

Bob Diachenko, chief security communications officer, MacKeeper Security Center:

What was leaked and who is affected?

Researchers identified passports from all over the world who used MoneyBack's services. Among the top passports identified were citizens of the US, Canada, Argentina, Colombia, Italy, and many more. It appears to be every client that has used their services between 2016 and 2017.

• Over 300 GB database in size
• 455,038 Scanned Doccuments (Passports, IDs, Credit Cards, Travel Tickets & More)
• 88,623 unique passport numbers registered or scanned

Mexico has a booming tourism industry despite travel warnings to certain areas, a history of gang violence and kidnappings. It was estimated that the country welcomed a record 35 million international tourists in 2016. Many tourists who will be buying expensive items on their vacation likely love the idea that they can have a portion of the sales taxes returned, but is it worth having your data exposed online?

How Tax-Free Shopping in Mexico works?

Tax-free sounds great but their are some restrictions. Tourists must spend at least 1200 pesos ($67 USD) on Mexican goods (this does not apply to services such as hotel stays and food expenses). Tourists must also enter and leave Mexico by sea or air. The minimum purchase per store is 1,200 pesos with electronic payment and cash purchases can not exceed 3,000 pesos ($168 USD). Another issue to consider is that you will have to file yourself with the bureaucracy Mexican Tax Authorities or give your personal information, credit card, and identification to a 3rd party company such as MoneyBack.

• Tourists need to shop at an affiliated store with “Tax Free shopping”.
• They must ask for an official invoice with the stores tax id number
• When tourists leave the airport or by ship there are Tax Free booths, they can visit one of the offices, or several other ways to submit their tax paperwork.
• Although they estimate 40 days to receive a refund complaints state up to 6 months.

The danger of this data?

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

***

Attention - Portions of this article may be used for publication if properly referenced and credit is given to MacKeeper Security Center.

MacKeeper Research Center discovers massive Elasticsearch infected malware Botnet

One of our recent researches was focused on the publicly accessible Elasticsearch (ES) nodes and we discovered suspicious indices names that didnot have any relations to Elasticsearch file structure.

Among the many “red flags” some of the file names referenced to AlinaPOS and JackPOS malware. These are the type of POS (Point-of-Sale) malware that attempts to scrape credit card details using a range of different techniques. As an example of how this malware is so effective, JackPOS attempts to trick the system that it is java or a java utility. It can copy itself directly into the %APPDATA% directory or into a java based sub-directory inside %APPDATA%. JackPOS uses the MAC address as a bot ID and can even encode the stolen credit card data to go undetected as it is extracted. This malware first became widespread in 2012, but it is still effective today and available for sale online.

In 2014 the family tree looked as follows:

Today the picture is much worse and much more widespread.

Despite some security warnings and industry-related news, It appears POS malware has been out of the headlines for a while, but the danger is still there for millions of cardholders. Kromtech researchers started looking for any updates about that specific type of malware and the status of files being distributed on unsuspecting servers. What surprised researchers is that there are new and updated versions of the malware that are currently for sale to anyone.

At Cybercrime tracker https://cybercrime-tracker.net/index.php?search=alina we've seennew samples of these malware types and low detection rate by the most popular AntiVirus engine (tested with VirusTotal).

Even for the relatively old C&C servers hosting sites (Command and Control servers), there is not enough information to flag the real risks. The VirusTotal URL Scanner indicated that only 6 of the antivirus engines and website scanners out of the 65 available were able to identify the new versions of the POS Malware.

Why did it happen?

The lack of authentication allowed the installation of malware on the Elasticsearch servers. The public configuration allows the possibility of cyber criminals to manage the whole system with full administrative privileges. Once the malware is in place criminals could remotely access the resources of the server and even launch a code execution to steal or completely destroy any saved data the server contains.

In our case, a bunch of AWS-hosted Elasticsearch instances was under attackfor malicious use. Moreover,every infected ES Server became a part of a bigger POS Botnet with Command and Control (C&C) functionalityfor POS (point-of-sale) malware clients. These clients are collecting, encrypting and transferring credit card information stolen from POS terminals, RAM memory or infected Windows machines.

Old C&C interface used by POS malware is displayed below (taken fromhttps://blog.malwaremustdie.org/2014/02/cyber-intelligence-jackpos-behind-screen.html)

We checked with Shodan (our commonly used IoT search engine which returnsservice banners with meta-data of the server) how many systems on the internet have similar signs of infection.

As of today, there are nearly 4000 infected Elasticsearch servers, and about 99% of them are hosted on Amazon.

Why are nearly all of the Elasticsearch servers hosted by Amazon Web Services?

Amazon Web Services provides customers with a free T2 micro (EC2 / Elastic Compute Cloud) instance with up to 10 Gb of disk space. These T2 instances are designed for operations that don't use the full CPU for general purpose workloads, such as web servers, developer environments, and small databases. The problem is that on the T2 micro, you can set only versions 1.5.2 and 2.3.2.

The Amazon hosting platform gives users the possibility to configure the Elasticsearch cluster just in few clicks, but usually, people skip all security configuration during the quick installation process. This is where a simple mistake can have big repercussions and in this case it did by exposing a massive amount of sensitive data.

Kromtech Security Researchers discovered similar file structures on Shodan.io for Elastic Search Services. Then they compared the modification time of suspicious files on these infected Elasticsearch Servers and made some logical conclusions:

• There are different packages of C&C malware, ie servers were infected multiple times
• Different packages can be related to different Botnets (because POS malware was seen selling not only on Darknet but on public domains as well)
• There is a lot of servers infected, for the same packages on different servers the time of infection could be different due to periodical scans and Botnets network expansion
• Nearly 99% of infected servers are hosted on Amazon Web Services
• 52% of infected servers run Elastic Search 1.5.2 version, 47% - 2.3.2 version, and 1% for other versions.
• Recent infections were made at the end of August 2017

The following table represents Kromtech Security Centers findings and the attack distribution of the infected AWS instances through vulnerabilities in the Elasticsearch Server and the Amazon security configuration:

Kromtech Security Center highly recommend you to take the following actions required for effective incident response:

1. Check your log files on all servers in your infrastructure
2. Check connections and traffic
3. Make a snapshot/backup of all running systems
4. Extract samples of malware and provide it to us for further analysis (security@kromtech.com)
5. Reinstall all compromised systems, otherwise, you need to clean up all suspicious processes, check your systems with antivirus and also monitor your system during next 3 months for any anomaly connection
6. Install latest Elastic patch or completely reinstall it
7. Close all non-used ports from external access, or white-list only trusted IPs

Here are also some recommendations from Elastic Search site that need to be taken:https://www.elastic.co/what-is/elastic-stack-security

Vulnerability types in ELK

Infographics for infected ES Servers:

The following graph represents vulnerable versions of Elasticsearch Servers used by attackers to distribute and control malware through vulnerable or misconfigured Elasticsearch Servers:

Auto tracking company leaks hundreds of thousands of records online

Have you ever heard of the term SVR? The “SVR” stands for “stolen vehicle records.” The MacKeeper Security Center has discovered a repository connected to the vehicle recovery device and monitoring company SVR Tracking. And this is what we'll cover in this article.

In 2017 researchers found an Amazon AWS S3 bucket (public cloud-based storage) that happened to be misconfigured and left publically available. This breach exposed information on their customers and the reseller network, along with the device attached to the cars.

The repository we mentioned above had records of over half of a million logins and passwords, emails, IMEIs of GPS devices, VIN (vehicle identification number), and other information collected on their devices like customers or auto dealerships. What's curious, the exposed database also had the data where the tracking unit was hidden precisely in the car.

What was discovered?

A Backup Folder called “accounts” held the record of 540,642 ID numbers, information about accounts including many plates and VINs, hashed passwords, IMEI numbers, emails, and more.

• 71,996 (02/2016)
• 64,948 (01/2016)
• 58,334 (12/2015
• 53,297 (11/2016
• 51,939 (10/2016)
• 41,018 (9/2016)
• 35,608 (8/2016)
• 31,960 (7/2016)
• 31,054 (6/2016)
• 29,144 (5/2016)
• 38,960 (4/2016)
• 32,384 (3/2016)
• 116 GB of Hourly Backups
• 8.5 GB of Daily Backups from 2017
• 339 documents called “l(fā)ogs” that contained data from a wider date range of 2015-2017 UpdateAllVehicleImages, SynchVehicleStatus, maintenance records.
• Document with information on the 427 dealerships that use their tracking information.

The number of devices could be much higher because many of the resellers or clients had multiple devices for tracking.

If you feel at risk, learn how to act after a data breach occurred.

Detailed tracking 24hrs a day, even if the car is not stolen or missing

This software tracks wherever the vehicle has been during the last 120 days. What is even more terrifying is that all of the visited places are marked and pinpointed to the map. In addition to that, there's a feature showing anyone who has login credentials the best locations and stops where the car has been. The so-called “recovery mode” pinpoints every 2 minutes and creates zone notifications. With a 99% successful recovery rate being a great result, user logins and passwords for hundreds of unsuspecting drivers are leaked online?

According to their website “The SVR Tracking service enables lot owners to locate and recover their vehicles with live, real-time tracking and provides stop verification, enabling them to determine potential locations for their vehicles. Alerts will flag owners, making them aware of events of interest. The application dashboard provides real-time graphs and detailed vehicle data suited to tighter control and accurate measurements of vehicle activity.”

One can access the software on any device connected to the internet device (desktop, laptop, mobile, or tablet). The satellite locates the tracking unit and sends the data to its servers using the GPRS Data Network. Think of the potential dangers if cybercriminals find out a car's location by just logging in with the publicly available credentials and stealing that vehicle?

Shortly after sending the responsible disclosure note, the bucket has been secured, however, no words from the company.

In 2012 there were an estimated 721,053 automobiles stolen in the United States.

Verizon wireless employee exposed confidential data online

On September 20th, MacKeeper Security researchers discovered publicly accessible Amazon AWS S3 bucket containing around 100MB of data attributing to internal Verizon Wireless system called DVS (Distributed Vision Services).

DVS is the middleware and centralized environment for all of Verizon Wireless (the cellular arm of VZ) front-end applications, used to retrieve and update the billing data.

Although no customers data are involved in this data leak, we were able to see files and data named "VZ Confidential" and "Verizon Confidential", some of which contained usernames, passwords and these credentials could have easily allowed access to other parts of Verizon's internal network and infrastructure.

Another folder contained 129 Outlook messages with internal communications within Verizon Wireless domain, again, with production logs, server architecture description, passwords and login credentials.

Upon analyzing the content of the repository, we identified the alleged owner of the bucket and sent responsible notification email on September 21st. Shortly after that, online archive has been took down and it has been later confirmed that the bucket was self-owned by Verizon Wireless engineer and it did not belong or managed by Verizon.

What the repository contained:

• Admin user info that could potentially allow access to other parts of the network
• Command notes, logs including
• B2B payment server names and info
• Internal PowerPoints showing VZ infrastructure, with server IPs, marked as “Verizon Wireless Confidential and Proprietary information”
• Global router hosts
• 129 saved Outlook messages with access info and internal communications

Damage control or denial?

Verizon had $126.0 billion in consolidated revenues in 2016 and it seems like they would not leave the keys to the front door of their data servers or network out for anyone? In the corporate world any bad news can affect stock prices or other aspects of the business. However, if these files were not sensitive, why not make this information open-source or publically available? access to production logs, scripts, instructions, and administrative credentials to protected areas of Verizon's internal infrastructure.

In the aftermath of the Equifax data leak it is easy to be skeptical considering that they waited 5 months to inform regulators or the public. Then remember that Equifax executives sold off stock before the price drop. It is not out of line to consider when someone has been approached with a data leak that they might deny it. As security researchers we often hear that data was not sensitive or that it was production or test data, when it is clearly not.

Bob Diachenko, chief security communications officer, MacKeeper:

Alex Kernishniuk, VP of strategic alliances, MacKeeper:

Report: virtual keyboard developer leaked 31 million client records

The MacKeeper team has discovered a massive amount of customer files leaked online and publically available. Researchers were able to access the data and details of 31,293,959 users. The misconfigured MongoDB database appears to belong to Ai.Type a Tel Aviv-based startup that designs and develops a personalized keyboard for mobile phones and tablets for both Android and iOS devices.

Ai.Type was founded in 2010 and According to their site, their flagship product for Android was downloaded about 40 million times from the Google Play store and the numbers of downloads and user bases are rapidly growing. They plan to integrate Matching Bots as a user types their conversation and that their Ai type keyboard will soon offer a “Bots Discovery Platform” Via Keyboard. There was also a notice of a name change from Ai.Type to Bots Matching Mobile Keyboard in the coming year.

Giving up data for personalized services and apps

Consumers give up more data than ever before in exchange for using services or applications. The scary part is that companies collect and use their personal data in ways they may not know. The concept is where people willing to provide their digital in exchange for free or lower-priced services or products. A study from the Annenberg School for Communication at the University of Pennsylvania concluded that a majority of Americans do not think the trade-off of their data for personalized services is a fair deal.

Once that data is gone users have little to no knowledge of what is done with their personal data. Why would a keyboard and emoji application need to gather the entire data of the user's phone or tablet? Based on the leaked database they appear to collect everything from contacts to keystrokes. This is a shocking amount of information on their users who assume they are getting a simple keyboard application.

How the data leak occurred and what it contained

Ai.Type accidentally exposed their entire 577GB Mongo-hosted database to anyone with an internet connection. This also exposed just how much data they access and how they obtain a treasure trove of data that average users do not expect to be extracted from their phone or tablet.

MongoDB is a common platform used by many well-known companies and organizations to store data, but a simple misconfiguration could allow the database to be easily exposed online. One flaw is that the default settings of a MongoDB database would allow anyone with an internet connection to browse the databases, download them, or even worst-case scenario to even delete the data stored on them.

Summary of what the database contained:

Client registration

Client files that included the personal details of 31,293,959 users who installed ai.type virtual keyboard. This is highly sensitive and identifiable information.

Zum Beispiel:

phone number, the full name of the owner, device name and model, mobile network name, SMS number, screen resolution, user languages enabled, Android version, IMSI number (international mobile subscriber identity used for interconnection), IMEI number (a unique number given to every single mobile phone), emails associated with the phone, country of residence, links and the information associated with the social media profiles (birthdate, title, emails etc.) and photo (links to Google , Facebook etc.), IP (if available), location details (long/lat).

Phonebook and contact records

6,435,813 records that contained data collected from users' contact books, including names (as entered originally) and phone numbers, in total more than 373 million records scraped from registered users' phones, which include all their contacts saved/synced on linked Google account.

Additionally, user data from a folder titled 'old database' that contained 753,456 records were also available.

There was a range of other statistics like the most popular users' Google queries for different regions. Data like average messages per day, words per message, age of users, words_per_day': 0.0, 'word_per_session and a detailed look at their customers.

To avoid the negative consequences of such events, learn how to secure yourself against data breaches.

Ashley Madison's private picture went viral

Ashley Madison, the online cheating site that was hacked two years ago, is still exposing its users' data. This time, it is because of poor technical and logical implementations.

As a result, approximately 64% of Ashley Madison (AM) private, often explicit, pictures are accessible. This access can often lead to trivial deanonymization of users who had an assumption of privacy and opens new avenues for blackmail, especially when combined with last year's leak of names and addresses.

Let's look at how "Sarah" and "Jim," two hypothetical users on AM, can have their privacy broken.
AM has two types of pictures, public and private, neither of which are required. Public pictures are viewable by any AM user. Private pictures are secured by a "key." Sarah can send her key to Jim so he can see her pictures. Jim can request Sarah's key, requiring her explicit approval. Sarah can also revoke Jim's key, restricting his access.

This structure makes sense but, two issues open the door to problems:

• By default, AM will automatically share Sarah's key with Jim if he shares his key with her.
• Pictures can be accessed, without authentication, by directly accessing its URL

To protect her privacy, Sarah created a generic username, unlike any others she uses and made all of her pictures private. She has denied two key requests because the people did not seem trustworthy. Jim skipped the request to Sarah and simply sent her his key. By default, AM will automatically give Jim Sarah's key.

That's right, Jim can now see all of Sarah's private pictures, rated (aka explicit) and non-rated.
Wie passiert das? When adding a picture, the box to share your private pictures is already checked. If you keep this box checked, it will apply the same setting to additional pictures of the same type (public or private).

There are two issues with this implementation. First, few understand the implications nor think through the way it could be exploited. Second, as Steve Gibson would put it, is the "tyranny of the default." As he explains it, "whatever the default settings are, most of the time that's what they end up being forever." People will simply click through the options, leaving them as recommended. The only way to change this configuration is to go deep into the settings page.

Let's go back to our metaphorical users. Sarah will at least get an email saying that she received Jim's key and can go to AM to validate the interaction and revoke the key Jim was given.

During testing, less than 1% of users revoked their key after it had been given. It is our assumption that this means that most users do not understand the impact of this policy. We believe it is far less likely that users who go through the effort to distinguish between public and private photos are ok with any random AM user seeing their private pictures.

Those that revoked their key, access is now denied.

Actually, that's not 100% true. Once Jim is granted access to Sarah's pictures, he is able to see the link, eg https://photo-cdn.ashleymadison.com/[picture_name] . Not only can he access the picture, with this link, anyone can access the picture without authentication, AM user or not. While the picture URL is too long to brute-force (32 characters), AM's reliance on "security through obscurity" opened the door to persistent access to users' private pictures, even after AM was told to deny someone access.

Data leakage


In order to prove the validity of this issue, we wrote a program to iterate through all IDs, aka profile numbers, (0-99,999,999) and gave a private key to a random sample of users that had private pictures. Based on this random sampling:

• 26% of users had private pictures
• 64% of users accounts that had private pictures automatically returned their key

AM's parent company, Ruby, also controls two other sites, Established Men and Cougar Life. Both of these sites also have automatic key exchange and require no authentication to directly access picture URLs; however, they at least force a user to pick if they want to enable sharing by default instead of defaulting it on and requiring a user to uncheck the box.

Implications

The implications of these issues are many.

• At the core, pictures that AM users entrusted them to securely store are exposed.
• Users can be victims of blackmail. AM users were blackmailed last year, after a leak of users' email addresses and names and addresses of those who used credit cards. Some people used "anonymous" email addresses and never used their credit card, protecting them from that leak. Now, with a high likelihood of access to their private pictures, a new subset of users are exposed to the possibility of blackmail.
• These, now accessible, pictures can be trivially linked to people by combining them with last year's dump of email addresses and names with this access by matching profile numbers and usernames.
• Exposed private pictures can facilitate deanonymization. Tools like Google Image Search or TinEye can search the internet to try to find the same picture, including on social media sites like Facebook, Instagram, and Twitter. This sites often have your real name, connecting your AM account to your identity. Some users also include their first name in their username, eg Sarah1234. With your name, age, location, and now pictures, it can be easy to search Facebook or Google for a matching profile.

Empfehlungen

• Remove automatic pictures sharing or adjust its logic. In our opinion, Sarah should have to explicitly give Jim permission to her private pictures.AM's parent company does not agree and sees the automatic key exchange as an intended feature.
• Limit key exchanges. If you limit how many keys a user can send out, you decrease the speed with which they can exploit automatic key sharing across the user base.AM's parent company has completed this.
• Restrict right-click functionality in the web page. While this is not perfect, it at least raises the difficulty in saving or stealing private pictures.
• Add authentication to all AM photos. Having pictures accessible, unauthenticated, is negligent.
• Only allow 1 user account per email address. We were able to create 7 user accounts under the same email address, which lowered the difficulty of conducting the scan of user accounts.

For more recommendations on keeping your data secure on the web, check out these tips on how to protect your privacy online.

Report: cybercriminals steal voter database of the State of California

If there is one thing that the 2016 US election has taught us it is that the entire electoral process needs to be revamped and a more uniform secure process. There have been several high-profile leaks of voter data in recent months but in this case the entire voting population of California has had their information taken by cyber criminals.

In early December, MacKeeper security researchers discovered an unprotected instance of MongoDBdatabasethat appear to have contained voter data. The database named 'cool_db' contained two collections and was available for anybody with Internet connection to view and/or edit.

One was a manually crafted set of voter registration data for a local district and the other appeared to contain the entire state of California with 19,264,123 records,allopen for public access.

According to the LA Times California had 18.2 million registered voters in 2016 so this would logically be a complete list of their records.

MacKeeper researchers were unable to identify the owner of the database or conduct a detailed analysis due to the fact that the database has been deleted by cyber criminals and there is a ransom note demanding 0.2 bitcoin ($2,325.01 at the time of discovery).

We were able to analyze the stats data we saw in our report (metadata on total number of records, uptime, names of the collection etc.), as well as 20-records sample extracted from the database shortly before it has been wiped out and ransom note appeared.

Ransomware and stolen data

In January 2017 a 27k or roughly a quarter of MongoDB databases left open to the internet were hit by ransomware and again in September 2017 three groups of hackers wiped out an estimated 26,000 MongoDB databases. The cyber criminals demanded that the owners of those databases pay around $650 USD in the cryptocurrency BitCoin to regain their data. It is still unknown just how that stolen data was used or how many people paid to have it returned, and if it was even returned after the cybercriminals received the money.

Back in January MacKeeper Security came up with the initiative to help those who suffered an attack.Read more about last year 'massacre' here.

It is unclear who exactly compiled the database in questionor the ownership, but researchers believe that this could have been a political action committee or a specific campaign based on the unofficial title of the repository ("cool_db”), but this is only a suspicion. Political firms assist campaigns in building voter profiles. This information of California voters is governed by state law that dictates what kind of information can be released, and for what purposes.

The danger of a state voter database leak

In this case security researchers were able to bring awareness to millions of California citizens that their data was not only publicly leaked online, but also that cyber criminals have stolen it for ransom. State voter registration databases store detailed information on each registered voter in the state, as required by federal law.

The criminals used ransomware to wipe out the voter data and likely backed it up on a server making it even riskier. Once in the hands of cyber criminals, this voter data could end up for sale on the “Dark Web”. If this were an official database, deleting parts of that data could affect someones voting process.

What the database contained?

The 4GB collectioncontained data structured with the following rows:

• Stadt:
• Rei?verschluss:
• StreetType:
• LastName:
• HouseFractionNumber
• RegistrationMethodCode
• State: CA
• Phone4Exchng:
• MailingState: CA
• E-Mail:
• Phone3Area:
• Phone3NumPart:
• Status: A
• Phone4Area:
• StreetName:
• FirstName:
• StreetDirSuffix:
• RegistrantId:
• Phone1NumPart:
• UnitType:
• Phone2NumPart:
• VoterStatusReasonCodeDesc: Voter Requested
• Bezirk:
• PrecinctNumber:
• PlaceOfBirth:
• Phone1Exchng:
• AddressNumberSuffix:
• ExtractDate: 2017-05-31
• Language: ENG
• Dob:
• Geschlecht:
• MailingCountry:
• AssistanceRequestFlag
• MailingCity:
• MiddleName:
• AddressNumber:
• StreetDirPrefix:
• RegistrationDate:
• PartyCode:
• Phone1Area:
• Suffix:
• NonStandardAddress:
• Phone4NumPart:
• CountyCode:
• MailingAdd3:
• MailingAdd2:
• MailingAdd1:
• UnitNumber:
• Phone2Exchng:
• NamePrefix:
• _id: ObjectId
• MailingZip5:
• Phone2Area:

The “Extract Date” is most likely is the indicator of when the database has been compiled. It appears to have been created on May 31st, 2017.

The purpose of the second much larger collection in the database, named '22GB appears to be the complete California voter registration records. It contains a massive 409,449,416 records in total.

The format and information in the document titled “22GB”

• ExtractDate: '2017-05-31',
• 'Bezirk':
• 'RegistrantId':
• 'CountyCode':,
• 'DistrictName':
• '_id': ObjectId

Bob Diachenko, head of communications, MacKeeper Security Center:

Here are the transactions for the wallet in the ransom note
https://www.blockchain.com/btc/address/1EPA6qXtthvmp5kU82q8zTNkFfvUknsShS

The database has been taken down since the initial discovery. Secretary of State of California was aware of the leak and "was looking into it", however, at the time of publication we did not receive any official statement.

Read more guides:

• What to Do If Your Data Was Leaked in a Data Breach
• How to Remove Personal Information from the Internet

Das obige ist der detaillierte Inhalt vonArchiv für Datenversto?berichte - 2017. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!