标有“数据丢失”的条目

第1 / 2页

第一美国金融公司数据记录泄漏

克雷布斯关于安全的观点是报告房地产产权保险公司First American Financial Corp.的大量数据泄露。

“产权保险代理机构从买卖双方收集各种各样的文件,包括社保号,驾驶执照,对账单,如果你是一个小公司,甚至内部的公司文件。你给他们提供各种各样的私人信息,你希望这些信息都是保密的。”

Shoval分享了First American最近一次交易给他的一个文件链接,它引用了一个创纪录的数字,9位数长,日期为2019年4月。通过在他的链接中按任意方向的数字修改文档号,可以得到同一日期和时间之前或之后其他人的记录,表明文件编号可能是按顺序发布的。

网站上最早的文件编号——000000075——引用了2003年的房地产交易。从那里,随着记录号的每次向前增加,文档上的日期越来越接近实时。

这不是一个不常见的漏洞:没有安全性的文档,“保护”通过一个唯一的序列号,很容易猜测。

克雷布斯没有证据表明有人收集了所有这些数据,但这不是重点。该公司在一份声明中说:“起初,美国,安全性,隐私和保密是最重要的,我们致力于保护客户的信息。”这显然不是真的;对于公司来说,安全和隐私可能是非常低的优先级。这是基本的东西,像第一美国公司这样的公司。应该为他们糟糕的安全措施负责。

5月28日发布,2019年上午9:59查看评论

遗留在使用过的笔记本电脑上的个人数据

一个最近实验在使用过的笔记本电脑和智能手机上发现了各种各样的个人数据。

这并不奇怪。Simson Garfinkel表演了相同的实验2003,得到了类似的结果。

发布于3月26日,2019年6点24分查看评论

你的个人资料已被窃取

在一个优秀的博客文章,布莱恩·克雷布斯(Brian Krebs)清楚地表达了我一段时间以来一直在说的话:

同样,对于个人而言,接受两个不幸和严酷的现实是值得的:

现实#1:坏人已经获得了你可能认为应该保密的个人数据点,但事实并非如此,包括你的信用卡信息,社会安全号码,母亲的娘家姓,出生日期、地址,以前的地址,电话号码,是的,甚至包括你的信用档案。

现实#2:你与公司共享的任何数据点都很可能最终会被黑客入侵,丢失,泄露,偷窃或出售——通常不是你自己的错。如果你是美国人,这意味着(至少在目前)当事情发生时,你对此事的追索权是有限的或是零的。

[…]

一旦你拥有了这两个事实,你意识到期待另一家公司来保护你的安全是一件蠢事,相反,更有意义的是集中精力做你能做的一切来主动防止身份窃贼,恶意黑客或其他游手好闲者滥用访问这些数据。

他的建议很好。

发布于12月6日,2018年上午7:33查看评论

组织的毁灭和虚假信息

在过去的几年里,黑客入侵组织网络的破坏性影响,窃取机密数据,并且出版的一切都已经很清楚了。这件事发生在民主党全国委员会,来索尼,致国家安全局,给网络武器制造商黑客团队,到网上通奸网站艾希礼麦迪逊,以及巴拿马逃税律师事务所Mossack丰

这种攻击方式被称为组织阿霉素。黑客们,在某些情况下,个人和其他国家,都是为了表明自己的政治观点秘密,有时还包括犯罪信息。他们泄露的文件就是这样做的,让每个人都看到组织的尴尬。

在所有这些例子中,这些文件是真实的:电子邮件对话,还是秘密的产品细节,战略文件,工资信息,和其他所有的事情。但是,如果黑客在发布文件之前更改了文件呢?这是组织doxing的下一步——而且效果可能更糟。

把你所有的脏衣服都公之于众是一回事。对于某些人来说,把一些不真实的东西扔进去是完全不同的。

最近,俄罗斯已经开始使用伪造文件作为更广泛的虚假信息运动的一部分,特别是在瑞典与北约建立军事伙伴关系方面,俄罗斯入侵乌克兰。

伪造数千份或更多的文件很难完成,但是在实际的缓存中插入一个伪造文件要容易得多。攻击可能是某种微妙的东西。也许一个匿名发表另一个国家外交电报的国家想要影响第三国,因此增加了一些关于第三国的特别令人震惊的对话。或者下一个窃取并发布电子邮件的黑客来自气候变化研究人员发明了一堆超顶级的信息,以使他的政治观点更加强大。或者也可以是个人问题:有人把朋友修改过的数千名用户的电子邮件发送出去,相对的,或情人。

想象一下试图向媒体解释,急于公布文件中最糟糕的细节,除了这封特别的邮件,一切都是准确的。或者那个备忘录。工资文件是正确的,只有一个条目。或者维基解密上公布的秘密客户名单是正确的,只是有一个不准确的补充。这是不可能的。谁会相信你?没有一个人。你无法证明。

长期以来,在互联网上伪造文件一直很容易。创建新的很容易,修改旧的。很容易改变文档的创建日期,或者照片的位置信息。再多做点工作,PDF文件和图像可以更改。这些变化将无法检测。在许多方面,令人惊讶的是,这种操纵以前从未见过。我的猜测是,泄露文档的黑客没有使数据转储变得比以前更糟的次要动机,而民族国家也刚刚卷入了泄露文件的事件。

各大报纸都尽力核实他们从消息来源获得的泄密文件的真实性。他们只出版他们知道是真实的。报纸咨询专家,还要注意取证。他们与政府进行了紧张的对话,试图让他们核实他们实际上不允许承认存在的秘密文件。这是可能的,因为新闻媒体与政府有着持续的关系,他们关心的是他们得到了正确的结果。在很多情况下,这两件事都不是真的,还有很多没有独立验证就泄露文档的方法。

没有人在谈论这个,但每个人都需要警惕这种可能性。迟早,窃取组织数据的黑客会在发布数据之前对其进行更改。如果这些伪造品没有受到质疑,被黑客攻击的情况可能会变得更糟,或者从文件中得出错误的结论。当有人说他们被指控写的文件是伪造的,至少应该听取他们的论点。

这篇文章之前出现在TheAtlantic.com上。

发布于9月14日,2016年6月21日上午查看评论

SynoLocker勒索软件需要比特币

由Synology公司生产的网络连接存储设备正在受到攻击,他们的数据加密了,通过ransomware需求量为解密密钥支付350美元的比特币(通过Tor匿名支付)。此时此刻,没有补丁。

8月4日发布,2014年下午4:55查看评论

高盛要求删除电子邮件

高盛将会法院要求谷歌追溯删除一封意外发送的电子邮件。

违约发生在6月23日,包括“高度机密的经纪账户信息”。高盛上周五在曼哈顿一家纽约州法院提起的诉讼中表示。

[…]

戈德曼说,承包商打算通过电子邮件发送她的报告,其中包含客户端数据,一个“GS.com”账户,而是发送给一个类似的名字,不相关的“gmail.com”帐户。

该银行表示,它无法取回该报告,也无法从Gmail账户所有者那里得到回应。它说谷歌的“事件反应小组”的一名成员6月26日报道说,没有法院命令,电子邮件不能删除。

“紧急救济是必要的,以避免不必要的、大规模侵犯高盛客户隐私的风险,为了避免对高盛造成不必要的名誉损害,银行说。

“相比之下,谷歌面临的仅仅是截取一封邮件带来的小小不便——毫无疑问,这封邮件是错误发送的。”它补充道。

编辑后添加(7/7):谷歌删除未读邮件,不用等待法院的命令。

7月3日,2014年上午5:46查看评论

不寻常的电子投票机威胁模型

老鼠有摧毁了几十台电子投票机通过吃电缆。如果在投票之后,但在计算之前,老鼠们把机器调零,那会是一个更好的故事。但他们似乎只是在储藏室里吃了这些机器。

电动汽车存放在一个预先指定的坚固房间内,该房间靠近小麦批发市场,老鼠显然是在这里安家的。

有一个贯穿安全的通用线程,在那里高科技的低技术系统替代品有新的和意想不到的故障。

编辑后添加(5/14):这篇文章说这只是一个潜在的威胁其中一个正在处理。

发布于5月2日,2014年下午2时查看评论

良好备份的重要性

谢天谢地,不经常发生:

一名被判二级谋杀罪的美国男子将接受新的审判,原因是电脑病毒破坏了法庭记录。

1月17日,2012年7月31日上午7点31分查看评论

恢复被入侵的Gmail帐户

长(但写得很好,很有趣)故事有人的Gmail账户被黑掉了并最终恢复。关于基本上支持免费云服务的安全性,有许多有趣的经验。

1月13日发布,2012年12点58分查看评论

云计算

今年大肆宣传的IT概念是云计算。也称为软件即服务(SaaS)。云计算是通过互联网运行软件并通过浏览器访问它。Salesforce.com客户管理软件就是一个例子。谷歌文档也是如此。如果你相信炒作,云计算是未来的趋势。

但是,除了炒作,云计算不是什么新鲜事。这是20世纪60年代分时度假模式的现代版本,最终被个人电脑的兴起所扼杀。这就是多年来hotmail和gmail所做的,这是社交网站,远程备份公司,以及远程邮件过滤公司,如MessageLabs。任何IT外包——网络基础设施,安全监控,远程托管——是云计算的一种形式。

旧的分时度假模式兴起是因为电脑价格昂贵且难以维护。现代的计算机和网络非常便宜,但它们仍然很难维护。随着网络速度的加快,让别人来做艰苦的工作又容易多了。计算机已经成为一种实用工具;用户更关心结果而不是技术细节,所以技术逐渐淡入背景。

但是安全呢?把你的邮件放在Hotmail的服务器上不是更危险吗?你在谷歌的电子表格,你在Facebook上的个人对话,你们公司在salesforce.com上的销售前景如何?好吧,是和不是。

IT安全与信任有关。你必须信任你的CPU制造商,你的硬件,操作系统和软件供应商——以及ISP。其中任何一个都会破坏你的安全:破坏你的系统,腐败的数据,允许攻击者访问系统。我们花了几十年的时间来处理针对软件漏洞的蠕虫和rootkit。我们担心被感染的芯片。但最终,我们别无选择,只能盲目地信任我们使用的IT提供者的安全性。

Saas将信任边界向前移动了一步——现在您还必须信任您的软件服务供应商——但是它不会从根本上改变任何事情。这只是我们需要信任的另一个供应商。

有一个关键的区别。当计算机在您的网络中时,您可以使用其他安全系统(如防火墙和IDSs)来保护它。您可以构建一个有弹性的系统,即使您必须信任的供应商可能没有您想要的那么值得信任,该系统也可以正常工作。对于任何外包模式,不管是云计算还是其他什么,你不能。你必须完全信任你的外包商。你不仅要相信外包商的安全,但它的可靠性,它的可用性,以及业务连续性。

您不希望您的关键数据被打开一些突然消失的云计算机因为它的主人破产了。你不希望你使用的公司被卖给你的直接竞争对手。你不想让公司偷工减料没有警告,因为时间紧迫。或者提高价格,然后拒绝让你取回你的数据。这些事情可能发生在软件供应商身上,但结果并没有那么激烈。

有两种不同类型的云计算客户。第一家只为这些服务支付象征性的费用,并免费使用它们来交换广告:Gmail和Facebook。这些客户对其外包商没有影响力。你可能会失去一切这样的公司谷歌亚马逊不会花很多时间去关心别人。第二类客户为这些服务支付了相当高的费用:到Salesforce.com,MessageLabs网络公司管理,等等。这些客户有更多的杠杆作用,前提是他们正确地写下服务合同。尽管如此,什么都不能保证。

信任是一个和人性一样古老的概念,解决办法和以前一样。小心你信任的人,小心你信任他们的东西,小心你有多信任他们。外包是计算的未来。最终我们会解决这个问题,但你不想在这过程中成为受害者。

这篇文章最初出现在里面监护人

编辑后添加(6/4):另一个意见

编辑添加(6/5):A反驳。和一个道歉为了反驳的语气。我谈论云计算的原因是记者和浏览者一直在问我。我觉得这件事有点牵扯进来。

编辑后加入(6/6):在电脑,自由,和隐私会议上周,Bob Gellman说(,通过他,值得一读)云计算中最重要的九个词是:“服务条款”,“位置,的位置,地点:“和“提供者,供应商,提供者”--基本上我也这么说。你需要确保你注册的服务条款是你可以接受的。您需要确保提供者的位置不受任何您无法忍受的法律约束。你需要确保你的供给者是你愿意合作的人。基本上,如果你要给别人你的数据,你需要信任他们。

6月4日,2009年上午6:14查看评论

2

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性