2024 开年首炸:7084万个邮箱账号、1 亿个密码信息泄漏;|程序员发现Bug遭开发商否认后客户数据泄露被判罚3000欧元
2024-1-22 10:3:43 Author: 黑白之道(查看原文) 阅读量:81 收藏

2024 开年首炸:7084万个邮箱账号、1 亿个密码信息泄漏

IT之家 1 月 20 日消息,安全研究人员发现了有史以来最大的密码泄露事件之一,包含 7084 万个电子邮件地址以及超过 1 亿个密码凭证,至少有超过 40 万 Have I Been Pwned(HIBP)用户受到影响。
热门漏洞通知服务 HIBP 所有者特洛伊・亨特(Troy Hunt)近日发布博文,表示在暗网上发现了超大规模的泄漏数据集,被称为 Naz.API 列表。

研究人员表示该数据集已经在暗网上流出至少 4 个月时间,IT之家附上相关信息如下:

319 个文件,共计 104GB

70840771 个电子邮件地址

427308 名个人 HIBP 用户受到影响

65.03% 的地址已加入 HIBP(基于 1K 随机样本集)

这些数据来自“窃取者日志”,或者换句话说,上述数据集是恶意软件入侵设备之后收集而来。这些数据来源于现已不复存在的 illicit.services 网站,该网站以提供他人数据搜索结果而闻名。

亨特称,这次泄露的数据集包含近 7100 万个独特的电子邮件地址,其中超过三分之一的电子邮件地址在之前的泄露事件中从未出现过。

好消息是,特洛伊-亨特和他的团队已经在 HIBP 中对所有电子邮件地址进行了搜索,并将所有密码上传到了 Pwned Passwords。

IT之家附上网站链接,你可以查询你的邮箱账号是否存在安全风险。

程序员发现Bug遭开发商否认后客户数据泄露被判罚3000欧元

2024年1月19日,据报道1月17日,德国于利希地方法院宣布了一项最新判决结果:“一位独立程序员帮助一家零售公司检查软件问题时,发现此软件存在一个导致近70万买家数据会暴露的重大漏洞”为此,该名程序员联系了开发这款软件的公司,却遭软件开发商矢口否认,随后他与一名科技博主将这一漏洞公之于众,受到了广泛的关注。令人没想到的是,后来软件开发商将相关软件进行了下线处理后,也向警方举报了该名程序员,并称之为‘黑客’

由于这种情况,这名程序员现因未经授权访问第三方计算机系统和刺探数据(根据《德国刑法典》(StGB)中所谓的黑客条款202a应受到惩罚)而被处以3,000 欧元(约2.3万元)的罚款,同时还必须支付诉讼费用。”

最初这一事件发生在2021年6月,德国一家名为Modern Solution公司发生严重的数据泄露事件,其软件存在的安全漏洞导致70万终端用户受到了影响。

根据资料显示,德国Kaufland超市、电子商务公司 Otto、互联网金融企业Check24和比价网站Idealo等公司为小型零售商提供了一个在线平台,方便小型零售商可以在这些网站上提供商品并进行售卖。

作为一家接口服务商,Modern Solution 帮助不想或不能直接连接到平台本身的零售商,并在此过程中将平台的界面与想要通过在线市场销售商品的零售商各自的商品管理系统连接起来。简单来看,Modern Solution 帮助这些小的零售商将其商品管理系统连接到Otto、Kaufland和 Check24等大公司的在线市场上,同时也保护平台上这些客户的数据。

然而彼时外媒披露的这一漏洞,能够查看自2018年夏季以来该平台上的所有交易信息,即谁从哪个零售商、何时购买了什么商品,包括姓名、地址,乃至银行卡等。泄露事件爆出后,也引起了当地市场的广泛关注,在查证之后,几个大型公司接连出面安抚用户,其中互联网金融企业Check24表示,作为安全措施的一部分,他们只使用电子邮件别名,因此不会传递银行详细信息或实际电子邮件地址等个人信息。因此,该公司的客户不会受到数据泄露的影响。

紧接着,追责问题,众人也发现数据泄露是发生在服务提供商Modern Solution身上,而探其背后,揭晓这一漏洞的是一名程序员。

2021年6月,一家零售商发现他使用的软件产生过多日志消息,填充了整个数据库,于是便花钱聘请这名程序员来帮他们解决问题,也让他有权查看安装在服务器上的软件。起初这名程序员在排查问题时以为,这家零售商服务器上的软件连接的是Modern Solution公司的一个数据库,而这个数据库只为这一家零售商服务,只包含客户一家的数据。

然而不久之后,该程序员发现了不对劲,因为这一数据库包含的信息要多得多,而他随即也发现Modern Solution公司提供的软件通过互联网与其公司在 Gladbeck 城市的服务器建立了MySQL连接。后来他惊觉,数据库中包含了Modern Solution公司所有其他客户的数据以及其网上商店所有最终客户的数据。

不过,据后来这名程序员的代理律师称,“当他发现自己可以访问其他客户的数据时,他立即断开了数据库连接。”

而回归当时,在发现问题之后,这位程序员第一时间找到了自己熟知的电子商务界知名博主Mark Steier简单地透露了自己的发现。Mark Steier也建议这名程序员首先向 Modern Solution 公司报告他的发现。第二天早上,这名程序员向Modern Solution报告了该漏洞,并提醒对方应该在三天内修复这个漏洞。

不过,后来程序员向媒体透露,他被粗暴地拒绝了,Modern Solution 公司否认存在漏洞。另一边,他发现Modern Solution将存在漏洞的系统下线处理。既然漏洞已经修复,程序员和这位博主决定迅速向公众通报。博主 Steier 在发稿前,再次要求Modern Solution公司发表声明,但遭到拒绝。

随后Modern Solution以程序员刺探数据、窃取数据和违反联邦数据保护法等罪名向警局报了案。

文章来源 :IT之家、CSDN

精彩推荐



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650586083&idx=1&sn=5acace08a91bdf1b80c19efc5f331331&chksm=82adc6d0a64d77fb13b86fd43a198af28ca757762bffc94bb11d965988794c7694ed2dd6853e&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh