Tag: Cybersecurity

SPR数据泄露超过半年 80万选民个资仍在网上销售

SPR数据泄露超过半年 80万选民个资仍在网上销售

今年5月,我们就曾报导选举委员会发生个资数据泄漏事件;在该事件中,一个多达80万大马民众个资的数据库在网络上出售。然而,如今事件已过去半年之久,该数据库却仍在网上寻获。 https://twitter.com/acaiijawe/status/1590269859270889473 这些个资包括大马民众的身份证、名字、电邮、电话号码、生日和地址,甚至还有民众手持身份证自拍的验证照片。 同时,该泄漏共波及80万2259名大马人,整个数据库大小为67GB;卖家以2000美元(约8780令吉)的价格出售这些数据,并通过加密货币交易。 https://twitter.com/TheFuturizts/status/1590899237772234754 据了解,这些数据来自MySPR网站;在落实自动登记选民制前,大马人需到该网站登记为选民。 总体而言,当大马民众要在登记为选民时,就会通过MySPR Daftar系统在网上进行登记。 民众须在登记过程中填写详细的个资,并提供身份证以及手持身份证的照片,以用于电子验证(eKYC)目的。 虽然现在已落实自动登记,但MySPR的系统仍因某些需求而存在,如让选民更改投票地址或登记邮寄选票等。 值得注意的是,4月份就已泄漏的数据库如今仍存在网络上,且卖家直到本周还在售卖这些个资。 考虑到数据泄漏事件已发生半年之久,这确实让人感到担忧。 最让人担心的莫过于卖家和买家都可获得大量个资及身份证号码,甚至还能使用民众手持身份证的自拍照;不法之徒可能会滥用上述资料申请产品和服务。

遭网络钓鱼攻击 Dropbox:没有密码被窃取

遭网络钓鱼攻击 Dropbox:没有密码被窃取

文件托管平台Dropbox透露,他们最近成为了网络钓鱼攻击的目标,骇客们成功地窃取了他们储存在Github的一些代码。 不过,他们也表示,没有任何内容、密码或支付信息被泄漏,而且他们很快解决了该问题。 Dropbox指出,他们在今年10月14日接到Github发出的通知,Github发现了一些可疑的情况。 然后,他们检查了一下,发现有骇客假装成另一家软件公司CircleCI,并成功登录Github帐号。 该骇客随后设法访问了Dropbox开发人员使用的一些代码和API密钥,以及一些数据,包括Dropbox员工、当前和过去的用户、销售线索和供应商的数千个姓名和电邮。 “我们最近成为网络钓鱼攻击的目标,骇客成功访问了我们储存在GitHub的一些代码。他们没有成功窃取任何内容、密码或支付信息,该问题也很快被解决。 我们的核心应用程序和基础设施也没有受到影响,因为要访问这些代码需要通过严格的限制和管制。我们相信用户要承担的风险会很小。”——Dropbox 一旦Dropbox发现他们的Github帐号被骇客入侵,他们的安全团队立即采取行动,阻止骇客访问他们的数据。 他们还审查了他们的安全日志,以确保没有用户的数据被滥用的情况。 之后,Dropbox开始通知所有受影响的用户,以及与第三方鉴证专家合作,以核实他们发现的情况,然后向当局报告该事件。 Dropbox已经向他们的用户道歉,并表示他们将加快采用WebAuthn(这是一个可以更好地验证正确用户的凭证管理API),以减少成为网络钓鱼攻击目标的风险。 Dropbox表示,若Dropbox用户发现自己的帐号出现可疑的情况,可以点击这里向他们报告。 【资料来源】

应对飙升诈骗案 政府拨RM7300万强化网络安全 

应对飙升诈骗案 政府拨RM7300万强化网络安全 

为应对我国日益剧增的网络威胁,财政部长东姑扎夫鲁今日提呈2023年财案时宣布,政府将拨款7300万令吉加强国内的网络安全。 回顾一下,仅在今年一年内,我们就报导了许多与网络威胁相关的新闻,包括选举委员会选民登记网站的2250万国人数据泄露事件、骇客入侵电子钱包,及多宗涉及骇客入侵的诈骗案。 东姑扎菲鲁表示:“政府将拨出7300令吉继续提升我国网络安全,以加强对网络威胁的监测、检测和报告,这将包括建立网络取证系统的能力。” 他补充,政府将采取措施打击网络欺诈,包括设立国家诈骗应对中心(NSRC) 或国际诈骗应对中心,该中心将会于本月开始运作。 同时,该中心将与马来西亚皇家警察、国家银行、通讯及多媒体委员会、国家金融犯罪防制中心及金融机构的合资企业合作,根据投报封锁账户并对犯罪分子采取行动。 东姑扎菲鲁还提到,政府也会加强网络银行安全,这意味银行机构将停止使用基于短信的一次性密码 (OTP) 进行高风险交易,这项举措已由国行在9月初落实。 此外,政府还会为民众提供平台,以举报涉嫌网络诈骗犯罪分子的社交账户或号码;国行宣布,金融机构须为客户设立专门的热线电话,投报金融诈骗事件。 设立专门的平台以报告可疑的账户或号码,将有助于诈骗事件发生前进行打击。 最后,政府还会加强民众对金融和数码的意识水平,以降低国人成为诈骗案受害者的风险;惟东姑扎菲鲁没具体说明会如何提高认知。

改密码后其他设备仍显示登录  推特出现安全漏洞

改密码后其他设备仍显示登录  推特出现安全漏洞

推特可能是目前最大的社交媒体网站之一,但这并没阻止它出现自身的安全问题;推特最近遇到的麻烦涉及影响推特密码重置事件。 据推特表示,该平台有一个漏洞,即使用户重设密码,其推特账户仍在其他设备上保持登录状态。 基本上,如果你在一台设备上修改了推特密码,但若其他设备也登录了推特,即使你修改密码,其他设备仍会保持登录状态。 可以理解的是,这是一件非常糟糕的事情,因为如果用户因帐户安全受到损害而重置密码,任何有权限的不法之徒仍然可以访问它。 https://twitter.com/TwitterSupport/status/1572661999296978944 推特表示,该漏洞是去年更改密码系统时出现,此后已得到修复。他们还直接通知用户,表示他们能够识别谁会受到影响,并让用户退出推特,且提示他们再次登录。 如果你突然发现账户已经登出,这可能就是原因。不过要注意的是,这只取决于推特是否能确定你是否受到影响,所以如果你从去年曾修改密码,则你可能需要检查一账户当前登录的位置以确保安全。 另外,若你认为自己受到影响,也可注销其他所有其他开放会话账户以确保安全;你可进入推特的“设置”页面,然后转到“安全和帐户访问”进行设置。 在那里,你需要点击“应用程序和设备”,然后选择“设备”,你就能看到当前的活跃推特账号,以及目前登录的所有其他设备。 如果其中出现你无法识别的设备,则可以选择退出除正在使用的设备之外的所有其他登入。 你可点击这里以查看更多有关密码重置错误的完整部落格文章。

iPay88数据泄漏存安全隐忧 KiplePay免费帮涉及用户换新卡

iPay88数据泄漏存安全隐忧 KiplePay免费帮涉及用户换新卡

网络支付网关平台iPay88上周遭遇网络安全漏洞问题后,马来西亚国家银行 (BNM)已指示各银行立即通知受影响持卡人,以进一步保护他们免受诈骗或未经授权的交易风险。 据了解,银行确实已开始联系用户;电子钱包和Visa预付卡供应商KiplePay也正式就此发表声明。 KiplePay表示,鉴于最近的第三方支付网关供应商发生数据泄漏事故,他们已开始通知受影响的持卡人,以采取额外的保护措施。 KiplePay代表接受采访时表示,该公司已确认会为受数据泄露影响的用户免费更换新卡。 若你是KiplePay用户,则可通过Kiple APP提出请求,或联系客户热线(+603 3000 8929)及电邮至[email protected]更换新卡。 补发新卡预计需要14个工作天,且在电子钱包或户头中扣除的更换费用也会在同一时间退款。 KiplePay首席执行员Ricky Lew表示:“我们有责任告知用户任何风险,以作为保障客户利益的预防措施。” “同时,我们将认真对待安全和合规措施,以符合BNM的政策、指令和必要的安全标准,并希望向我们的用户、商户和商业伙伴保证,我们的服务完整性没有受到影响。 “另外,我们也加强了我们的安全和欺诈监测措施,以检测和防止任何可疑的交易活动,并继续保护KiplePay用户。” 当然,受iPay88网络安全漏洞的不仅是KiplePay用户,你的银行可能已就你的银行卡数据可能被泄露一事与你联系;一旦接获通知,你则应该到银行更换新的银行卡。 同时,你也需要留意银行的任何通知,并检查您的卡上是否有任何不规则或未经授权的交易。

iPay88在5月发生网络安全漏洞 至今才公告银行卡资料或已外泄

iPay88在5月发生网络安全漏洞 至今才公告银行卡资料或已外泄

如果你通常是使用非接触式支付方式,你可能已经使用了iPay88,但是你没有意识到这件事。iPay88是大马最大的支付网关平台之一,为整个大马和地区的大量商家提供销售点(POS)解决方案。 因此,iPay88发生网络安全漏洞,顾客的银行卡数据可能已经被泄漏,这是件令人担心的事情。 iPay88表示,他们在今年5月31日发现了该问题后,就开始调查,并找来网络安全专家处理此事。 iPay88还表示,自7月20日以来,没有发现其他可疑活动,并且有新的措施来防止进一步的事件发生。此外,他们已经和有关当局合作,以便解决该问题。 使用iPay88的主要公司包括Shopee、KK Mart、 Senheng、 SenQ、Nandos、 Machines等。 以下是他们的声明完整内容: “iPay88发生了一起网络安全漏洞事件,卡的数据可能已经被泄漏。发现问题后,我们立即于2022年5月31日开始调查,并请来了网络安全专家来处理这个问题。如今问题已经解决,自2022年7月20日以来,没有发现进一步的可疑活动。为了确保卡资料的安全持续受到保障,我们已经实施了各种新的措施和控制方法,来加强系统的安全性,以避免再次发生网络安全事件。目前调查正在进行中,我们与当局和相关单位就此事进行密切合作,并会实时分享更多进展和细节。所有金融机构的合作伙伴都已被告知,并让他们知道最新进展。我们将继续密切关注事态发展,确保持卡人数据受到保护。”——  iPay88 然而,从他们发布的声明来看,引发的问题要比答案还多。首先,iPay88的声明没有透露到底有多少客户和商家受到这次数据泄漏的影响。 此外,班底谷国会议员法米法兹也想知道,既然早在5月就知道有安全漏洞,那么iPay88为什么要花这么长时间才公布此事。 他说,既然已经知道数据泄漏是在5月开始发生,并持续到7月,但是,iPay88仍然在办活动和进行促销活动,例如与Atome合作,并参加2022年八打灵再也创业节(2022 PJ Startup Festival),而客户仍然被蒙在鼓里。 This is ...

马上更新Chrome浏览器!谷歌:漏洞已被骇客利用

马上更新Chrome浏览器!谷歌:漏洞已被骇客利用

Google Chrome仍是目前全球最受欢迎的互联网浏览器,超过2/3的人都选择它作为首先的上网方式;这不仅意味Chrome存在许多安全漏洞,且不法之徒利用这些漏洞的情况也让用户感到担忧。 正如谷歌在其Chrome博客中指出的那样,他们最近为该浏览器的安卓、ChromeOS和Windows版本发布了一些更新,即安卓版的Chrome 103(103.0.5.060.71)以及ChromeOS和Windows版的103.0.5060.114。 该更新带有常规的安全修复和补丁,但其中一个安全修复与其他的不同。 具体来说,一个存在于WebRTC组件名为CVE-2022-2294的漏洞,会导致基于堆缓冲区溢出。 Avast威胁情报团队的Jan Vojtesek是于本月早些时候发现了该漏洞,且认为这是个“零日漏洞”,这是Chrome浏览器仅在今年就面临的第四个此类安全问题。 谷歌写道,他们已得知出现了针对CVE-2022-2294漏洞的攻击程序。 目前,关于 CVE-2022-2294 的详情并不多,因为谷歌会限制它们,直到大多数Chrome用户更新他们的浏览器。 我们知道的是,堆缓冲区溢出不仅会导致程序崩溃,还会让骇客利用崩溃来绕过安全并执行代码。 对于将Google Chrome作为日常浏览器的用户而言,应尽快将其更新到最新版本。 至于安卓设备,它通常会自行更新,但你也能前往 Google Play 商店手动更新。 对于Windows用户,你可单击 ...

网络攻击难预防  网安机构:即时应对和恢复更重要

网络攻击难预防  网安机构:即时应对和恢复更重要

与世界其他地区一样,大马人越来越依赖互联网和数码技术;人们大量时间在网络上,这使我们成为网络犯罪份子的潜在目标。 多年来,网络威胁变得越发复杂,并对个人、企业和国家安全构成严重风险。 根据趋势科技公司(Trend Micro Incorporated)的数据,马来西亚的大多数组织认为,由于信息和通信技术(ICT)的日益复杂和进步,网络安全状况变得更加具有挑战性,他们将在未来12个月内遭到攻击。 所以问题归结为:马来西亚准备好应对即将到来的网络威胁了吗? 为此,《Malay Mail》访问大马网络安全机构(CSM)首席执行员阿米鲁丁,以了解更多信息。 阿米鲁丁表示,由于互联网的性质不断变化,没有百分之百安全的网络威胁之说。 他说,无论一个国家或组织在网络安全方面多么强大,遭受攻击只是时间问题。 最重要的是要为任何攻击做好准备 "最好是假设罪犯最终会突破组织的网络防御。一个组织最重要的行动是制定战略和实施网络安全,以减少网络攻击带来的影响。” “一旦受到攻击,知道如何行动和恢复或反弹是至关重要的,马来西亚的许多组织仍有很大的改进(空间)。” 根据网络事件参考中心(Cyber999)的数据,常见的威胁是欺诈、网络骚扰、入侵、恶意代码和内容相关。 2022年5月,CSM下属的大马电脑紧急应变小组(MyCERT)报告了3057起网络事件。 阿米鲁丁说,有必要确保一个安全、有弹性和可信赖的网络环境,以维持进步和繁荣。 他补充,我们需要一个更加创新、积极主动和适应性强的安全方法来应对这种情况。 "此外,我们的方法还必须具有适应性、动态性和创新性,涵盖人员、流程和技术。” 我们还需要加强公共-私营-学术界的伙伴关系以及国家、双边、区域和国际合作。 他告诉《Malay ...

跨平台提供在线保护 新版Microsoft Defender电脑手机都可用

跨平台提供在线保护 新版Microsoft Defender电脑手机都可用

如果你是Windows长期用户,那可能会对“Defender”这个名字感到熟悉,它是系统内置的防病毒和反恶意软件。自Windows 10推出后,它或多或少被Windows Security取代,但这并不是Defender的终结。 事实上,美国微软总部Redmond现已推出新的Microsoft Defender for Individuals,这是一款适用于Windows、iOS、Android 和macOS的跨平台在线安全应用程序。 新的Microsoft Defender应用程序,是基于微软的企业安全产品中使用的Microsoft Defender for Endpoint 技术所构建。 它本质上是一个简化的在线安全应用程序,在你可能使用的所有设备上提供在线保护。 你能在主要的集中式仪表板上管理和查看你当前的所有安全保护措施;这里有关于你应该做的事情的提示和建议,以提高你的在线安全,并与你可能已经拥有的任何防病毒保护(如如 Norton 或 McAfee)一起使用。 至于为什么微软决定推出新的 ...

推特用户盛传有网站可公开查阅大马民众个资

推特用户盛传有网站可公开查阅大马民众个资

在过去几年里,我国的个资数据泄露事件不断发生,但迄今为止,它们仅限于网上难以找到的地方。 然而上周末,一名推特用户透露,在某个新网站,允许任何人查询大马人的个人详细资料。 推特用户@Redz1112指出,网上有一个开源的情报工具,显然可让大家搜索大马人的个人资料,例身份证号码、地址、投票详情、电话和车辆拥有权历史,甚至陆路交通局或警察罚单等。 他还说:“该网站所使用的资料,看似与不久前被泄露国民登记局(JPN)数据库相同。” We have a fucking situation.There’s an OSINT tool already out in the clearnet thats using the ...

Page 2 of 3 1 2 3

Recommended

No Content Available