https://cybersecuritynews.com/yahoo-data-leak/
3.1.2.拉脱维亚政府文档管理系统遭重大数据泄露
2月19日,拉脱维亚政府使用的文档管理系统Lietvaris遭遇了一次重大数据泄露事件,导致数百万条记录被泄露。这些记录存储在不受保护的Elasticsearch集群中,包括公民的名字、姓氏、国民身份证和家庭住址等敏感信息。
来源:
https://cybernews.com/security/lietvaris-platform-leak-exposed-millions-records/
3.1.3.得克萨斯临床研究公司泄露160万人敏感医疗记录
2月20日,一家位于得克萨斯州达拉斯的临床研究公司DM Clinical Research的数据库被曝出配置错误,且未加密、未设置密码保护或安全认证,导致它可以被在线公开访问。该数据库中存储超过160万人的敏感个人医疗记录,包含大量个人和医疗信息,如姓名、出生日期、联系方式、疫苗接种情况和当前用药等,甚至包括关于COVID-19疫苗不良反应、医生姓名以及个人是否怀孕或采取避孕措施的记录。
来源:
https://hackread.com/clinical-research-firm-expose-us-medical-survey-records/
3.1.4.Zacks Investment Research疑遭1200万账户数据泄露
2月13日,一家提供数据驱动投资见解的美国公司Zacks Investment Research(Zacks)疑似在2024年6月遭遇了数据泄露事件,导致大约1200万个账户的敏感信息被泄露。这些信息包括全名、用户名、电子邮件地址、实际地址和电话号码等。
来源:
https://www.bleepingcomputer.com/news/security/hacker-leaks-account-data-of-12-million-zacks-investment-users/
3.1.5.27亿条物联网数据泄露,98%物联网设备未曾加密
近日,网络安全研究人员Jeremiah Fowler发现了一个没有任何密码保护或加密措施的数据库,这个公开可访问的数据库包含27亿条记录,总数据量达到1.17 TB。包含了全球售出的物联网设备的日志、监控记录和错误报告,具体内容包括:Wi-Fi SSID(网络名称)和明文密码;IP地址、设备ID、MAC 地址和操作系统详细信息(iOS/Android);API 令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。此次事件与中国植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。
来源:
https://hackread.com/1tb-data-leak-expose-billions-iot-grow-light-records/
4.1.1.聚焦“个人信息删除权”上海网信约谈一批App运营者
2月26日,上海市网信办依法约谈吉米猫英语、美职篮英雄、帕为患者、上海都市旅游卡、遇见市北、专家门诊、云尚心理、车轮-掌上车服务等在沪App运营者,针对2月19日公开发布的《国家网信办依法集中查处一批侵害个人信息权益的违法违规App》通报中指出的“无用户账号注销功能、未提供有效的用户账号注销功能、为用户账号注销设置不合理条件”等问题,提出整改指导意见,要求企业立即改正相关问题,切实保障好用户个人信息删除权,并举一反三开展自查自纠,全面制定、完善内部管理制度和操作规程,同时加强《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规的学习和培训。
来源:
https://www.thepaper.cn/newsDetail_forward_30267077
4.1.2.国家网信办依法集中查处一批侵害个人信息权益的违法违规App
近期,针对广大人民群众反映强烈的App未公开收集使用规则、未按法律规定提供删除或更正个人信息功能等问题,国家网信办依据《个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规,依法依规查处“开个密室馆”等82款违法违规App。国家网信办相关负责人表示,将依法强化个人信息保护领域监督管理,坚决维护人民群众个人信息权益,不断提升网络空间法治化水平。
https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
4.1.3.仿冒DeepSeek官方App的手机木马病毒被捕获
近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(virus.cverc.org.cn)在我国境内捕获发现针对我国用户的仿冒我国国产人工智能大模型“DeepSeek”官方APP的安卓平台手机木马病毒。用户一旦点击运行仿冒APP,该APP会提示用户“需要应用程序更新”,并诱导用户点击“更新”按钮。用户点击后,会提示安装所谓的“新版”DeepSeek应用程序,实际上是包含恶意代码的子安装包,并会诱导用户授予其后台运行和使用无障碍服务的权限。
https://baijiahao.baidu.com/s?id=1824297120874554421&wfr=spider&for=pc
4.2.1.新型攻击“nRootTag”可将15亿部iPhone变为免费追踪器
安全研究人员在苹果的“Find My(查找我的)”网络中发现了一个新的蓝牙跟踪漏洞——被称为“nRootTag”的攻击利用苹果的基础设施,将几乎任何支持蓝牙的计算机或智能手机转变为无形的跟踪信标。全球有超过 15 亿台活跃的苹果设备受此影响,攻击可能使世界上最大的设备定位网络成为未经授权的监控武器。该攻击通过利用苹果的“查找我的”网络,将非苹果设备变为无需root访问权限的隐秘追踪信标。该攻击利用了蓝牙低功耗(BLE)协议,对全球隐私构成了前所未有的威胁。
来源:
https://www.freebuf.com/vuls/423102.html
4.2.2.手机监控应用严重漏洞曝光 数百万用户隐私数据面临泄露风险
近日,研究人员发现在手机监控应用Cocospy和Spyic中存在一个严重的漏洞,导致数百万用户的设备未经授权被这些应用程序秘密监控,个人数据被暴露。该漏洞允许未经授权的访问,从而获取这些应用程序收集的消息记录、通话日志、照片和其他敏感信息。此外,它还泄露了注册使用这些服务监控他人的用户的电子邮件地址。
来源:
https://www.scworld.com/brief/security-flaw-in-phone-monitoring-apps-exposes-data-of-millions
4.2.3.谷歌Play商店发现勒索型安卓恶意软件,已被下载10万次
网络安全公司CYFIRMA研究人员近日发现,安卓恶意软件SpyLend通过谷歌Play商店的"简化理财“应用程序已被下载了10万次。该恶意软件伪装成金融工具,以轻易获取贷款诱骗用户,要求过度权限访问通讯录、通话记录、短信、照片和位置信息。一旦安装,它就能访问照片、视频和通讯录,并捕获剪贴板数据以窃取敏感信息。这款恶意应用使用亚马逊EC2上的自定义C2服务器,其管理面板使用英语和中文。该恶意软件利用API访问文件、通讯录、通话记录、短信和已安装应用。操作该威胁的人员使用窃取的数据进行勒索和敲诈,他们被发现将受害者的照片编辑成假裸照,以勒索付款。目前该应用在报道发布时仍可在谷歌Play上下载。
来源:
https://securityaffairs.com/174540/malware/spylend-android-malware-100k-downloard.html
4.2.4.因非法获取用户数据,苹果在韩被罚24.5亿韩元
近日,韩国个人信息保护委员会(PIPC)宣布,对苹果公司和韩国移动支付平台卡卡奥支付(Kakao Pay)因非法获取和传输用户数据的行为进行处罚。其中,苹果公司被处以24.5亿韩元(约合1240.9万元人民币)的罚款,而卡卡奥支付则面临59.68亿韩元(约合3022.8万元人民币)的罚款。据PIPC调查,卡卡奥支付在未经用户明确同意的情况下,向苹果公司提供了约4000万用户的个人信息。这些信息包括用户的唯一识别码、手机号码、电子邮件地址等敏感数据,以及与资金不足可能性相关的24项数据。
来源:
https://www.guancha.cn/GongSi/2025_02_27_766502.shtml
浙公网安备 33010502006954号 
