Tag: Data Leak

最近有几家公司发生数据泄露事件，包括马电讯（TM）、Carousell、亚航（airasia）和马银行（Maybank）。 马电讯表示，他们发现出现数据泄露事件后，共有25万名Unifi Mobile用户受影响。 Carousell的系统也被骇客入侵，共有260万名用户受影响；亚航的资料外泄是因为被勒索软件攻击；马来亚银行用户的资料最近也被外泄。 在他们当中的大多数人都否认公司的系统被骇客入侵。但是，随着数据泄露事件不断增加，我们认为我们的个人数据不再是个人隐私。 那么，我们可以做什么来保护我们的个人数据呢？ 检查你的个人资料是否已被泄露 你可以做的第一件事是检查自己的个人资料是否已被泄露。 你可以在HaveIBeenPwned.com，输入你的电邮或电话号码来查看自己的个人资料是否已被泄露。 如果你发现你的电邮或电话号码被外泄了，你可以在同一个网站上查看你数据被泄露的情况。 更改密码 假设你发现你的帐号被骇客入侵了，你必须更改你的密码。如果你的密码已经超过12个月没换了，那么可以换密码了。 HaveIBeenPwned建议你使用像1Password这样的密码管理器，来管理自己的密码，不过该密码管理器需要付费。 如果你想要使用既免费又容易操作的密码管理器，你可以选择Google Password Manager或BitWarden。 他们还建议你在不同的平台上使用不同的密码，因为如果一个平台发生数据泄露事件，并且没有对密码进行加密，那么骇客就更容易在其他平台上，尝试使用相同的用户名和密码登录帐号。 警惕诈骗和网络钓鱼 一旦诈骗分子知道你的名字、身份证号码、电话号码和地址后，他们就有办法让你更容易上当受骗。 因此，在此提醒大家警惕通过电邮、短讯、电话和其他方式进行的网络钓鱼诈骗。切勿点击电邮和短讯中的链接。 ...

日前，被指是数据外泄“受害者”之一的马来亚银行（Maybank）发文告指出 ，随着与第三方进行调查完成后，该指控是不实的且错误的。 以下是Maybank文告全文： 在我们对第三方查证有关客户数据外泄指控的调查结束后，Maybank可以确认这些指控是错误的。 我们向客户保证，所有数据依旧受保护和保密的，没有任何客户数据外泄，我们会继续将网络安全和数据保护措施放在第一位，因为客户数据保护对Maybank至关重要。——Maybank 马来亚银行还保证，客户数据依然受保护和保密的，没有客户数据被外泄，当局强调继续优先考量安全和数据保护措施。 根据卖家在线上论坛提供的样本数据显示，所谓 “Maybank”数据库包含180万项记录，包括姓名、未定义的12位数字、电话号码和完整地址，没有支付或登录细节，如用户名、密码或卡号。 通讯和数码部周五（30日）发文告指出，泄露数据库包含无效的Maybank银行户头号码，因此即使拥有完整名单也无法使用列出的12位数字进行任何交易。 该部还在大马网络安全局（Personal Data Protection Department）的支持下，通过个人数据保护部门对数据泄露情况进行调查，通讯和多媒体委员会（MCMC）已被指示封锁提供该数据库的网站。 通讯和数码部部长法米说，个人数据保护是他优先要解决的问题之一，他在推文指出，他将在下周与个人资料保护局（JPDP）深入研究2010年个人资料保护法令（709法令）拟议修正案。 不久前，Astro也对数据泄露的指控展开调查，当局随后发文告指出，当局所持有的客户信息都没有被外泄；然而，马电讯（TM）证实大约25万名Unifi Mobile客户的个人数据被泄露，包括姓名、电邮和电话号码，受影响的客户已通过电邮获得通知。

日前，有报导指出，网上有一个涵盖1300万名大马人详细资料数据被出售，实际上，在同一个线上论坛还声称有一个从Unifi网站收集了270万条条目的数据库，以及Unifi网站后台的管理权限。 这是相当严重的问题，马电讯（TM） 随后发文告确认是数据泄露的受害者。 根据该公司的说法，当局发现出现数据泄露事件后，共有25万248名Unifi Mobile用户受影响，包括个人用户和中小企业。 他们补充，外泄的资料类型包括客户姓名、电话号码和电邮，并没有其他信息被泄露。 我们再看看网上出售的数据，它似乎包含Unifi Bebas预付配套的付款详情，如客户姓名、电邮、电话号码，以及为预付配套支付的金额。 据悉，数据泄露事件似乎在近期发生，因为在泄露的列表中还有2022年12月24日完成付款的详情，当中有用户曾询问卖家数据是否包括任何密码，唯卖家没有回答，似乎与马电讯文告相应。 马电讯还指出，该数据泄露事件已受到控制，当局采取措施将受影响的潜在风险降至最低，此外还通知了受影响的用户，同时向有关当局汇报此事。 如果你是Unifi Mobile用户，但是没有收到任何马电讯的信息，那么，你就是没有受到任何影响，当局还说，在增加更多安全措施时，客户不会受到服务中断的影响。 大家可以详细阅读马电讯的完整文告： 马电讯已经意识到数据泄露问题（仅限联系信息），共有25万248名Unifi Mobile用户受影响。 “经过调查后，马电讯发现遭泄露的数据涉及客户姓名、电话号码和电邮，没有其他信息泄露。” 马电讯确认，这情况已受到控制并采取应对措施，将对25万248名客户的潜在风险降至最低，同时已通知受影响的客户，未收到通知者则不受影响。 该公司已经向国家网络协调和管制中心（NC4）、个人资料保护局（JPDP）和大马通讯及多媒体委员会汇报此事。 “虽然已采取额外的安全措施控制风险和保护客户，但我们希望告知客户，此事件没有出现任何个服务中断问题。” 马电讯将继续密切关注情况并进行额外评估，客户受促在接受来自未知方的通讯时采取额外的防范措施，随时保护个人线上信息。

最近有报导称有3个单位涉及1300万用户资料外泄，且这些数据目前在网络论坛上出售；该数据库的卖家还声称，这些用户数据来自马来亚银行、选委会及Astro。 对此，Astro发声明表示，他们已经被告知涉嫌未经授权共享某些客户信息。 然而，经过调查后，Astro说他们客户的机密信息没被泄露；但该公司补充，他们仍在进行调查，如果有进一步消息，将提供更多详情。 “Astro已经被告知发生了一起涉嫌未经授权分享我们客户的某些信息的事件。“ “根据我们的调查，Astro相信，我们所持有的客户的机密信息没有受到损害；客户的机密信息安全对我们而言极为重要，我们已经采取必要的安全措施来保护客户数据。” 据数据卖家出示的“Astro用户数据”列表显示，其中出示了客户的全名及其身份证号码、三个电话号码和完整地址等详细信息。 据悉，数据库拥有Astro的350万条记录，另外还有180万条来自马来亚银行，以及720万条来自选委会。 不过，Astro 并不是唯一一家发表声明的公司。 马来亚银行此前表示，他们正在认真对待数据泄露指控，并且还在调查该问题，同时还声称他们没有遇到数据泄露事件；你可点击这里查看马来亚银行的回应。

3单位（马来亚银行、选委会及Astro）传出1300万用户资料外泄一事后，马来亚银行（Maybank）就此事发声明称，该银行正认真对待数据泄露指控，并着手调查指控是否属实。 目前，马来亚银行表示尚未发生任何数据泄露事件，并强调，该银行采取了强有力的网络安全和数据保护措施来保护其数据和系统的安全、隐私和完整性。 以下是马来亚银行的声明全文： 马来亚银行非常重视这些客户数据泄露的指控，并正在调查该指控是否属实，因为我们没有经历过数据泄露事件。本行重申，我们采取了强有力的网络安全和数据保护措施，以保障其数据和系统的安全、隐私和完整性。 据网络卖家提供的数据样本显示，“马来亚银行”的列表包括姓名、未定义的12位数字、电话号码和完整地址。 同时，列表上没有付款细节，包括卡号、用户名或密码。 通讯及数码部长法米已指示大马网络安全机构以及个人资料保护局，调查此事是否属实，然后依法处理。 为遏制金融机构诈骗案，大马国家银行推出了几项必须在明年实施的新安全措施。 马来亚银行宣布，将在2023年6月前完全从基于SMS的OTP迁移到 Secure2U。 对于激活新设备或迁移到新手机，马来亚银行已强制规定12小时的冷静期，这将为户头持有人提供了额外的时间，以便在账户从未经授权的设备上登录时采取行动。

（吉隆坡30日讯）通讯与数码部长法米法兹里下令两个机构，调查最近发生的银行、选委会以及Astro有1300万用户资料外泄一事。 这两个机构是大马网络安全机构（CyberSecurity Malaysia）以及个人资料保护局。 法米是在推特被用户Pendakwah Teknologi标签，要求他介入用户资料外泄问题时，如是回复有关网民。 “这是严重的指控，所涉及的资料很庞大。” “我将会要求大马网络安全机构以及个人资料保护局调查此事是否属实，然后依法处理。” Pendakwah Teknologi在推特分享一则讯息，标题是“马来亚银行、选委会及Astro的1300万”。 该推文附有很多图片，显示上述单位的用户资料包括名字、地址、电话号码等。 首次当部长的法米上任后，就承诺会严厉打击个人资料外泄的问题。——《精彩大马》

最近有报导称，共有500万名亚航乘客个人数据和员工信息因勒索软件攻击而被泄漏；同时，亚航已于周四（24日）通过证券交易所针对此事发表回应。 亚航在回应《The Edge》和《The Star》 的声明中表示，上述网络攻击主要针对冗余系统，并没影响到他们的关键系统。 声明补充，该公司已采取一切措施，立即解决这一数据事件，并防止今后发生此类事件。 亚航还表示，这对公司的运营和财务没造成任何影响。 虽然亚航保证其关键系统和运营不受影响，但仍没解决涉及500万乘客数据泄漏的问题，更没有提到网络攻击的影响；同时，航空公司也没确认或否认是否有任何个人数据被泄露。 据DataBreaches称，亚航是Daixin Team勒索软件攻击的受害者，Daixin Team设法获得了两个包含500万条乘客记录的CSV文件。 回顾一下，上述网络攻击发生于11月11和12日；Daixin Team声称，亚航没有尝试就赎金数额进行谈判。 Daixin Team发言人告诉DataBreaches，他们避免了锁定与飞行设备有关的关键文件，这是他们避免加密或销毁任何可能危及生命东西的一部分。 需要注意的是，勒索软件攻击可能会对航空公司造成重大破坏，进而导致数百甚至数千名乘客滞留。 据Akamai称，亚太地区71%的机构已经支付了10万至100万美元的赎金。

电子商务平台Carousell在10月14日（上周五）发生数据泄露事件，一个包含260万名用户联系方式的数据库，在线上论坛以1000美元（约4638令吉）价格出售。 根据亚洲新闻台（Channel News Asia）报导，该电商平台已在周五（10月21日）通过电邮通知受影响的用户。 从上述资料显示，卖家将会售卖5份数据，截至10月18日（星期二）已成功卖出两份， 该数据的大小为2GB，包含550万项纪录，但经过过滤后，仅有260万项纪录有唯一性的电邮纪录。 卖家还提供包含1000项纪录的样本数据，根据数据显示，它似乎涵盖大马和印尼的用包括用户创建日期、用户名字、名字、姓氏、电邮地址、电话、国家，还有追随者和关注者数量 。 AsiaOne报导指出，在一次系统迁移过程中出现了一个错误，并利用第三方获得了未经授权的访问权，因此，数据被泄露了。 Carousell表示，该漏洞已经被修复，并保证没有信用卡或付款相关信息被泄露。 由于泄露数据包含联系信息，它极有可能被用于垃圾邮件和网络钓鱼。 Carousell说，当局已经联系了所有受影响的用户，并建议他们注意任何钓鱼邮件或短信，不要回应任何要求提供密码等信息。 另外，我们已经联系Carousell，以了解更多关于数据泄露对大马用户的影响。 【资料来源、2】

在过去几年里，我国的个资数据泄露事件不断发生，但迄今为止，它们仅限于网上难以找到的地方。 然而上周末，一名推特用户透露，在某个新网站，允许任何人查询大马人的个人详细资料。 推特用户@Redz1112指出，网上有一个开源的情报工具，显然可让大家搜索大马人的个人资料，例身份证号码、地址、投票详情、电话和车辆拥有权历史，甚至陆路交通局或警察罚单等。 他还说：“该网站所使用的资料，看似与不久前被泄露国民登记局（JPN）数据库相同。” We have a fucking situation.There’s an OSINT tool already out in the clearnet thats using the ...