Guntrader 中的漏洞:英国枪支销售网站的 CRM 数据库遭到破坏,111,000 名用户的信息在线泄露
犯罪分子侵入了一个用于买卖枪支的 Gumtree 风格的网站,利用一个 111,000 个条目的数据库窃取了来自英国各地枪支商店使用的 CRM 产品的部分信息。本周早些时候,Guntrader 泄露事件导致 Guntrader.uk 买卖网站及其电子枪支商店注册产品的 SQL 数据库被盗,该产品由约 111,000 名用户组成,日期为 2016 年至今年 7 月 17 日。该数据库包含姓名、手机号码、电子邮件地址、用户地理位置数据,以及包括 bcrypt 哈希密码在内的更多信息。这不仅严重侵犯了 Guntrader 的隐私,也严重侵犯了其用户:英国持牌枪支社区的成员。信息安全业务 Coalfire 的英国医学博士 Andrew Barratt 在数据库被转储到 RaidForums 网站后对其进行了分析。他告诉 The Register :“我怀疑这可能是一种偷车式攻击。看着攻击者在论坛上发布的回应,我感觉很直接,[它]完全没有针对性,有点像'哈哈,我们拉了另一个网站'然后就像,哦,哇。” Guntrader 发言人 Simon Baseley 告诉 The Register,Guntrader.uk 已于 7 月 21 日向所有受数据泄露影响的用户发送电子邮件,并于昨天发布了进一步更新。 “信息专员办公室在发现漏洞后的数小时内收到通知,此后我们一直与他们和其他相关机构合作,以减轻这可能对 Guntrader 用户产生的任何影响。”在撰写本文时,Baseley 没有回答关于为什么 Guntrader 的网站没有关于黑客的信息的问题。
Guntrader 与 Gumtree 大致相似:用户在网站上发布广告及其联系方式,以便潜在购买者可以取得联系。枪支商店(在英国称为“注册枪支经销商”或 RFD)也可以使用 Guntrader 的集成枪支登记产品,该产品标榜提供“端到端加密”和“每日备份”,使其成为(因此 Guntrader 声称) )“当今市场上最安全可靠的枪支登记系统。”英国枪支法规定,枪支的每次转让(出售、送修、赠与、借出等)都必须记录,其中绝大多数还必须在发生时向警方报告。这是一个耗时的过程,尤其是对于每天进行大量转移的枪支商店。 Guntrader 旨在通过其结合的 CRM 和库存管理产品实现繁琐的管理方面的自动化,该产品还与其网站接口。该产品向警察枪支许可部门自动生成电子邮件,其中包含法律要求的数据。这些电子邮件似乎并未在被盗数据库中捕获。还包括付款日志,Coalfire 的 Barratt 解释说,虽然没有包括信用卡号,但付款数据表中包含了一些看起来像 SHA-256 哈希字符串的东西。其他付款信息仅限于通过该网站宣传的步枪和霰弹枪的价格。射击运动网站的报道表明,Guntrader 将客户网站上的 iframe 归咎于入口点。我们已经要求提供更多关于此的信息,如果 Guntrader 回复我们,我们将更新这篇文章。尽管该数据库似乎包含 RFD 电子登记册和警方转移通知的副本,但 Barratt 的分析表明情况并非如此。他告诉 The Register:“在 CRM 表中没有证据表明该对应关系似乎已被删除......我怀疑该产品的工作方式是在交易发生时,它只是生成该消息并通知当地 [警察] 部队动态”而不保留记录。
Barratt 还警告说,在线共享的数据库副本中含有恶意软件,警告射手不要自行下载以检查他们的信息是否在其中(本文末尾提供了更多建议)。英国射击与保护协会通讯副主任加里杜兰告诉 The Register :“可能需要一段时间才能了解这次违规行为的全部影响。我们希望进行全面调查以提供详细信息,但我们不知道不需要调查的结果来告诉我们,这种违规行为对射手来说是一个重大问题。”他补充说:“最好的建议是让枪支拥有者保持警惕并意识到他们的个人和家庭安全。BASC 正在与国家犯罪局合作,以确保我们能够向我们的成员简要介绍最新信息。如果人们发现任何可疑情况,应立即通知警方。”全国步枪协会和英国射击运动委员会都知道这一黑客行为。公众对本周举行全国步枪协会年度锦标赛的比斯利营地国家射击中心的黑客事件的看法很严峻,因为一些竞争对手意识到他们的个人数据已被骗子获取。有些人摆出一副勇敢的样子,其中一个人对你的记者打趣道:“他们开始激怒枪支拥有者?真的吗?”您可以通过访问 Have I Being Pwned 并输入您的电子邮件地址来检查您的数据是否包含在黑客中。 HIBP 是由 Microsoft 区域主管 Troy Hunt 运营的受信任资源。如果您是一名射手,请不要试图从网上流传的各个地方自行下载该数据库。如果您已经这样做了,请对您打开文件的任何设备运行完整的防病毒扫描。如果您不确定这意味着什么,请向精通技术的朋友或亲戚寻求帮助。
Coalfire 的 Barrett 表示,由此产生的最有意义的安全风险来自入室盗窃,尽管他指出英国所有合法拥有的枪支和猎枪都存放在警方批准的大型保险箱中,并开玩笑说犯罪分子需要“等离子切割机”才能闯入安全存储。如果您在 Guntrader 上使用的密码与在其他网站上使用的密码相同,请立即更改。众所周知,犯罪分子会针对其他流行网站(例如电子邮件服务、网上银行)测试被盗的用户名和登录信息,以查看它们是否有效。虽然 bcrypt 在信息安全世界中被广泛认为是一种缓慢破解的密码加密和散列算法,但它并非无懈可击。这尤其适用于如果您是据称数据在泄露数据库中的公众人物之一。 ® Cloudflare 猛烈抨击 AWS 出口费用以说服网络巨头加入其折扣数据俱乐部 Cloudflare 周五指责竞争对手亚马逊网络服务大幅加价并阻碍客户数据可移植性,尽管它邀请这家云服务巨头加入其被称为折扣数据计划的折扣数据计划带宽联盟。 “AWS 的带宽定价太高了,”首席执行官马修·普林斯 (Matthew Prince) 通过 Twitter 表示。 “而且当他们的客户将流量发送到对等网络时,他们在行业中独树一帜。” Cloudflare 全球基础设施高级副总裁 Prince 和 Nitin Rao 在一篇博客文章中详细阐述了这一说法,称 AWS 向客户收取的费用比其成本高出几个数量级,并嘲笑其母公司的使命声明,即亚马逊努力“提供我们的服务”。以尽可能低的价格为客户提供服务……”
继续阅读 Alphabet 对产品的传奇承诺,我们迫不及待地想看看其机器人业务 Intrinsic 取得了什么成就 Alphabet 今天推出了其最新的科技初创公司 Intrinsic,旨在构建为工业机器人提供动力的商业软件。我们被告知,Intrinsic 将专注于为制造业中使用的工业机器人开发软件控制工具。它的论点是,人类不得不手动编程和调整机器人一举一动的时代已经结束,由于人工智能的进步和训练技术的飞跃,机械机器人应该更加自主和智能。这可以让机器人更容易指挥——给他们一个任务,他们会弄清楚细节——而且更高效——人工智能可以找出实现其目标的最佳方式。继续阅读本周错误 Google 修复了 Chrome OS 版本 91.0.4472.165 中的一个错误,该错误于周一出现并阻止了一些用户登录他们的系统。
Chrome OS 会自动下载更新,但在重新启动之前不会应用它们,因此只有那些重新启动 Chromebook 以摄取强制输入的损坏更新的人才会受到影响。本周早些时候,这家互联网巨头在其 Google Workplace 状态页面上表示:“我们的工程团队发现 Chrome OS 91.0.4472.165 存在问题。该版本的推出已停止。”继续阅读更新 大约 10% 的 Rackspace 员工,主要是在美国,本周收到一封不受欢迎的电子邮件,通知他们被解雇了。并不是说不需要他们所做的工作。在周三提交给美国证券交易委员会的一份文件中,Rackspace 透露,85% 的被裁职位将由“离岸服务中心”的工人来填补。据推测,这将是工资较低和劳动法更加宽松的地方。 Rackspace 表示:“劳动力再平衡是对公司运营进行更广泛战略审查的一个组成部分,旨在更有效地将公司资源与其在高增长领域的业务重点保持一致。”继续阅读
欢迎回到本周的另一个愚蠢的概要,为那些喜欢轻松愉快的人准备的。让我们面对现实,谁不呢?继续阅读虽然今天的 Windows 可能比一条 20 年前的内裤上有更多的漏洞,但微软仍在继续为即将到来的迭代 Windows 11 进行预览。在获得集成 Teams 的兴奋之后,本周早些时候,构建 22000.100 照常营业,昨晚发布给 Dev Channel Insiders。本周的修改都是为了安抚那些可能因 HiveNightmare 最近的到来而紧张的用户。继续阅读开源音频编辑器 Audacity 本周在 GitHub 上发布道歉,以回应完全可以预见的平台隐私政策的愤怒。
更新后的隐私政策伴随着道歉,其中团队坚称只是被误解了,查看消息来源就会表明其意图。 “我们对原始隐私政策文件造成的重大沟通失误深表歉意,”它说。它对实际文档本身并不后悔这一事实似乎让许多用户感到震惊。继续阅读 一对经营小型电子商务出版物的美国夫妇已对 eBay 提起法律诉讼,指控该公司“协同努力恐吓、威胁杀害、折磨、恐吓、跟踪和沉默”他们,以掩盖他们的报道。这些指控——在本周向美国马萨诸塞州地方法院提起的诉讼中提出——是一个长期存在的案件的最新章节,该案件已经导致许多前雇员认罪,这被称为“eBay网络跟踪案”。代表 EcommerceBytes 所有者行事的律师表示,EcommerceBytes 是一家涵盖由记者 Ina 和 David Steiner 经营的电子商务行业的在线贸易出版物,他们表示恐吓非常严重,他们担心自己的生命安全。继续阅读
最近,一位 Reg 读者*在 Vulture (virtual) Towers 与我们联系,他们在网上发现了一些奇怪的东西——一个页面隐藏在亚马逊网站上访问量很少的“法律政策”部分,其中包含所有“非详尽”列表。公司持有的商标。该列表非常庞大:821 个商标,按字母顺序排列,完全没有上下文或解释。乍一看,内容可能令人费解,或者会引起对其目的的幻想。当简单地从纯文本单词列表中拔出时,很难辨别“6PM”、“BAG O'CRAP”或“MAD DOGS”的目的。继续阅读 CityFibre 以 4500 万英镑的德比部署工作的分包商在付款纠纷中威胁要“撕毁停机坪” 帮助在德比街道下铺设光纤电缆的承包商威胁要废弃他们的工作并“撕毁他们铺设的停机坪”——除非他们得到报酬。 Construction Enquirer 的一份报告称,在付款行之后,分包商还关闭了工具。
正在为数字基础设施公司 CityFibre 铺设电缆,该公司斥资 4500 万英镑在德比安装数字基础设施。继续阅读印度储备银行(RBI)的一位官员今天表示,印度可能会推出一种数字货币。在 Vidhi 法律政策中心智囊团举行的小组讨论中,印度储备银行副行长 T Rabi Shankar 描述了中央银行数字货币(CBDC)对印度的潜在影响,包括更顺畅的国际交易和对波动的保护。在谈到印度是否需要 CBDC 时,Shankar 说:“重要的是,所有中央银行都必须参与 CBDC 安排并在内部有效协调,以真正最大限度地发挥 CBDC 的巨大潜力。”继续阅读 The Register - 技术社区的独立新闻和观点。部分情况发布
