Hôm nay Facebook tiết lộ một sự cố bảo mật khác thừa nhận rằng khoảng 100 nhà phát triển ứng dụng có thể đã truy cập vào dữ liệu người dùng trong một group Facebook nhất định không đúng cách, bao gồm tên và hình đại diện của họ.

Trong một bài đăng trên blog được công bố vào thứ ba, Facebook nói rằng các nhà phát triển ứng dụng đã truy cập trái phép thông tin này nhằm quản lý phương tiện truyền thông và ứng dụng video phát trực tuyến cho phép các quản trị viên trong nhóm có thể quản lý hiệu quả hơn và giúp cho các thành viên của họ có thể chia sẻ videos cho nhóm tương ứng.

Dành cho những người không biết, Facebook thực hiện một số thay đổi đối với nhóm API vào tháng 4 năm 2018, một tháng sau khi tiết lộ vụ bê bối của Cambridge Analytica, giới hạn các ứng dụng được tích hợp với một nhóm chỉ được truy cập thông tin, như là tên nhóm, số lượng thành viên và nội dung bài đăng.

Để có thể truy cập vào thông tin thêm như là tên và ảnh đại diện của thành viên liên quan đến hoạt động của nhóm, các thành viên của nhóm phải chọn tham gia.

Tuy nhiên, có vẻ như Facebook đã thất bại trong việc bảo vệ thông tin người dùng một lần nữa mặc dù công ty đã thay đổi các tham số truy cập nhóm API vào tháng 4 năm 2018.

Trong một cuộc đánh giá đang diễn ra, Facebook cho biết họ đã phát hiện ra các nhà phát triển của một số ứng dụng vẫn giữ được khả năng truy cập vào thông tin của thành viên trong nhóm Facebook từ nhóm API lâu hơn so với dự định của công ty.

Mặc dù Facebook không tiết lộ số lượng thành viên bị ảnh hưởng bởi vụ rò rỉ hoặc nếu như dữ liệu có liên quan đến các thông tin khác ngoài tên và ảnh đại diện, công ty đã đảm bảo với người dùng là đã dừng các truy cập trái phép đến dữ liệu và không tìm thấy bằng chứng lạm dụng.

“Mặc dù chúng tôi không tìm thấy bằng chứng lạm dụng, chúng tôi sẽ yêu cầu họ xóa bất kỳ dữ liệu của thành viên nào họ có thể giữ lại và chúng tôi sẽ tiến hành kiểm tra xem nó đã hoàn toàn bị xóa bỏ” công ty cho biết.

Facebook cũng tin rằng số lượng nhà phát triển thực sự truy cập vào dữ liệu này đã có phần nhỏ đi và đã giảm theo thời gian, vì theo họ nói rằng khoảng 100 nhà phát triển ứng dụng giữ quyền truy cập dữ liệu thông qua nhóm API trong vòng 18 tháng qua, “ít nhất 11 đối tác đã truy cập vào thông tin thành viên nhóm trong 60 ngày qua.”

Vào tháng 7, Facebook đã đồng ý trả một mức tiền phạt là 5 tỷ đô như một thỏa thuận với Ủy ban Thương mại Liên bang (FTC) về vụ lừa đảo Cambrige Analytica và đồng ý thỏa thuận 20 năm với FTC để thực thi các hướng dẫn mới về cách thức truyền thông xã hội xử lý quyền riêng tư và dữ liệu của họ.

Framwork mới theo thỏa thuận với FTC có nghĩa là có trách nhiệm và minh bạch hơn về cách chúng tôi xây dựng và bảo trì sản phẩm” theo như Facebook.

“Khi chúng tôi tiếp tục thực hiện chương trình này, chúng tôi hi vọng sẽ tìm thấy nhiều ví dụ để chúng tôi có thể cải thiện, thông qua sản phẩm của chúng tôi hay thay đổi cách truy cập dữ liệu. Chúng tôi cam kết cho công việc này và hỗ trợ mọi người trên nền tảng của chúng tôi.”

Trong những tin tức gần đây xung quanh gã khổng lồ truyền thông xã hội, Facebook đã kiện công ty giám sát di động NSO Group của Israel hồi cuối tháng trước vì liên quan đến việc hack người dùng WhatsApp, bao gồm các nhà ngoại giao, quan chức chính phủ, nhà hoạt động nhân quyền và nhà báo, sử dụng phần mềm gián điệp nổi tiếng có tên là Pegasus.

Nguồn thehackernews.com

Một máy chủ đặt tại TP Miami chứa thông tin chi tiết của hơn 20 triệu người gồm tên, tuổi và số điện thoại mà không có sự bảo vệ.

Những người dân sống tại Ecuador đều lo lắng trước số liệu này, trong đó có cả thông tin chi tiết của các cư dân hiện đã chết. Thông tin bị lộ ra bao gồm số thẻ căn cước, mã số thuế và họ tên của các thành viên trong gia đình.

Quốc gia Nam Mỹ này có dân số khoảng 17 triệu người, điều này có nghĩa là gần như mỗi người dân sinh sống tại Ecuador đều có thể bị ảnh hưởng.

Máy chủ trong nghi vấn thuộc sở hữu của Novaestrat, một công ty Ecuador, và sự thiếu sót hoạt động bảo vệ được công ty an ninh vpnMentor tiết lộ. Sự cố rò rỉ hiện đang được sửa chữa nhưng chưa rõ liệu có ai đã truy cập vào thông tin với mục đích xấu hay không.

Tuy nhiên, Công ty vpnMentor cho biết dữ liệu của mọi người bị lộ ra có thể gặp nguy cơ lừa đảo. “Một phe gian xảo có khả năng truy cập vào dữ liệu bị rò rỉ có thể thu thập đủ thông tin để tiếp cận tài khoản ngân hàng và làm nhiều điều xấu hơn” – đại diện công ty cho biết.

Người phát ngôn Văn phòng Tổng chưởng lý Ecuador cho biết thông tin chi tiết của 7 triệu trẻ em đã bị lộ. Nhân viên chính quyền bất ngờ đột nhập vào nhà của William Roberto G, giám đốc Công ty Novaestrat hôm 16-9.

Tổng thống Ecuador Lenin Moreno cho biết ông sẽ ban hành luật nhằm đảm bảo nghiêm ngặt tình trạng an ninh dữ liệu. Theo Bộ trưởng Nội vụ Paula Romo, những người có trách nhiệm sẽ phải chịu tội. Bà nói: “Thông tin mà chúng tôi nhận được rất nghiệm trọng”.

Theo các nhà nghiên cứu, thông tin cá nhân của ông Julian Assange, nhà sáng lập và giám đốc người Úc của trang WikiLeaks là một số dữ liệu nằm trong máy chủ. Chính phủ Ecuador đã cho phép ông nhập quốc tịch sau gần 7 năm ở lại đại sứ quán Ecuador ở London. Tuy nhiên, tư cách công dân của ông Assange đã bị đình chỉ hồi tháng 4-2019.

Nguồn nld.com.vn

KYC (Know Your Customer) là quá trình xác minh danh tính của các thành viên nhằm giúp cho hệ thống tuân thủ luật chống rửa tiền (AML) và bảo vệ hệ thống trước các hành vi phạm pháp.

Kẻ tấn công chưa rõ danh tính đe dọa công ty cryptocurrency exchange lớn nhất thế giới sẽ tiết lộ thông tin của 10.000 người dùng nếu công ty không trả 300 Bitcoin Bitcoin, tương đương với gần 3,5 triệu đô la theo giá trị trao đổi ngày nay.

Mặc dù tính xác thực của vụ hack chưa được xác nhận nhưng một số hình ảnh của các cá nhân đang giữ identity card, chẳng hạn như hộ chiếu và ID cử tri, đã được lan truyền trên các kênh trực tuyến khác nhau.

Để đối phó với vụ việc, Binance vừa đưa ra một tuyên bố chính thức hôm nay xác nhận rằng “một cá nhân chưa xác định danh tính đã đe dọa và quấy rối chúng tôi, yêu cầu 300 BTC để đổi lấy việc giữ lại 10.000 bức ảnh có sự tương đồng với dữ liệu của Binance KYC”.

Binance cho biết công ty vẫn đang điều tra tính hợp pháp của những hình ảnh đó và đã từ chối trả tiền chuộc, do đó hacker bắt đầu phân phối dữ liệu trực tuyến và cho các phương tiện truyền thông.

Những hình ảnh được phát tán

Có vẻ như kẻ tấn công đã tạo ra một nhóm Telegram, đã thu hút hơn 10.000 người và chia sẻ hơn 400 hình ảnh của những người cầm hộ chiếu và giấy tờ tùy thân từ Pháp, Thổ Nhĩ Kỳ, Hoa Kỳ, Nhật Bản, Nga và các quốc gia khác trên thế giới.

Tuy nhiên, theo Binance, hình ảnh được đăng lên nhóm Telegram của kẻ tấn công thiếu digital watermark mà trao đổi sử dụng cho thông tin nội bộ của nó, làm tăng thêm nghi ngờ về tính xác thực.

Binance cũng cho biết thêm rằng đánh giá ban đầu của họ về các hình ảnh bị rò rỉ cho thấy tất cả chúng dường như được xác định là từ tháng 2 năm 2018 khi sàn giao dịch “ký hợp đồng với nhà cung cấp bên thứ ba để xác minh KYC nhằm xử lý khối lượng yêu cầu cao tại thời điểm đó.”

“Hiện tại, chúng tôi đang điều tra với nhà cung cấp bên thứ ba để biết thêm thông tin. Chúng tôi đang tiếp tục điều tra và sẽ thông báo cho bạn”, công ty cho biết thêm.

“Các cơ quan thực thi pháp luật có liên quan đã được liên lạc, và chúng tôi sẽ hợp tác chặt chẽ với họ để theo đuổi người này.“

Ngoài ra, sàn giao dịch cũng cung cấp phần thưởng trị giá 25 bitcoin, trị giá hơn 290.000 USD cho bất kỳ ai cung cấp thông tin liên quan đến danh tính của kẻ tống tiền.

Giám đốc điều hành Binance Changpeng Zhao cũng đã đưa ra một tuyên bố trên Twitter kêu gọi người dùng không rơi vào FUD “rò rỉ KYC” (fear, uncertainty, doubt – sợ hãi, không chắc chắn, nghi ngờ), nói rằng công ty hiện đang xem xét vấn đề và sẽ sớm cập nhật cho người dùng.

Nguồn: Vietsunshine.com.vn

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA