تیم تحقیقاتی امنیت سایبری vpnMentor ، به سرپرستی Noam Rotem و Ran Locar ، یک سطل نا امن AWS S3 را با بیش از 5.5 میلیون پرونده و بیش از 343 GB در اندازه کشف کرده اند که هنوز ناشناخته مانده است.
Timeline of Discovery and Reaction Owner
بعضی اوقات میزان نقض داده ها و صاحب اطلاعات آشکار است و این مسئله به سرعت حل می شود. اما این اوقات نادر است. بیشتر اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را در معرض نمایش قرار داده است.
شناخت یک نقض و تأثیر احتمالی آن ، دقت و زمان زیادی را می طلبد. ما برای انتشار گزارش های دقیق و قابل اعتماد بسیار تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن آنها را می فهمد.
برخی از طرف های تحت تأثیر این حقایق را انکار می کنند ، به تحقیقات ما اعتراض نمی کنند و یا تأثیر آن را تحت تأثیر قرار نمی دهند. بنابراین ، ما باید کاملاً دقیق باشیم و مطمئن شویم که هرچه پیدا کردیم صحیح و درست است.
در این مورد ، پس از چند روز تحقیق ، ما این احتمال را شناسایی کردیم که داده متعلق به InMotionNow باشد و متعاقباً با آن تماس بگیریم شرکت با یافته های ما . اگرچه اکنون سطل نا امن S3 بسته نشده است ، اما هیچ کس از این شرکت تاکنون به تلاش های ما برای دستیابی به این هدف پاسخ نداد ، بنابراین ما قادر به تأیید مالکیت نیستیم.
- تاریخ کشف: 20 دسامبر 2019
- تاریخ InMotionNow (صاحب اطلاعات در نظر گرفته شده) به این موضوع اطلاع داد: 26 دسامبر 2019
- تاریخ آمازون اطلاع داد: 29 دسامبر 2019 ، 7 ژانویه سال 2020 و 30 ژانویه سال 2020
- سطل خرما بسته شد: 17 فوریه 2020
- تاریخ شرکت های دیگر اعلام شده: 16 مارس 2020
پروفایل های شرکت
در این مورد خاص ، تیم تحقیق ما قادر نبود بدون سایه تردید کسی را بررسی کند. دقیقاً ، اطلاعات در معرض اطلاعات را در اختیار دارد. به همین دلیل ، ما تصمیم گرفته ایم که بسیار مهم است که به مردم اطلاع دهیم که داده های آنها و کدام داده ها به دلیل عدم رویه های استاندارد امنیت سایبری آسیب پذیر شده اند.
تحقیقات ما ما را به این فرض رساند كه InMotionNow صاحب داده ها است. ما به آنها رسیدیم و هیچ کس پاسخ نداد ، و هیچ نشان مشخصی در سطل در معرض آن وجود نداشت. با این حساب ، ما را شامل می کنیم و کلیه شرکت هایی را که داده های آنها در سطل پیدا شده است . اگر این امر در واقع به InMotionNow تعلق داشته باشد ، آنها می دانند چه کسی اطلاعات را افشا می کند ، و اگر اینگونه نباشد ، شرکت ها می توانند خودشان را بررسی کنند. تیم ما در 16 مارس 2020 نیز به این شرکت ها رسیده است.
InMotionNow یک شرکت نرم افزاری مدیریت پروژه است که از سال 1999 شروع به کار کرد و مقر آن در نزدیکی رالی ، کارولینای شمالی است. آنها دارای استانداردهای امنیتی سازگار با FDA ، با هدف عمودی مشتریان هدف خود هستند.
در اینجا یک لیست غیر جامع از شرکت هایی وجود دارد که مواد بازاریابی آنها در سطل S3 نا امن یافت شده است:
شرکت سایبر امنیت ISC2.org داده های متعددی نیز در این نقض درج شده بود.
شرکت بیمه Brotherhood Mutual ، که در درجه اول به مؤسسات مذهبی در سراسر ایالات متحده خدمت می کند.
دانشگاه هایی مانند ایالت کنت در اوهایو و Purdue در ایندیانا [ ، همچنین مجموعه ای از پرونده ها و اطلاعات موجود در سطل S3 وجود دارد.
هتل و کازینو Potawatomi در میلواکی ، ویسکانسین.
شرکت الکترونیکی مصرفی ، زاگ (ZAGG) ، که طراحی می کند و لوازم جانبی تلفن همراه تولید می کند.
سازمان غیرانتفاعی ، موسسه آزادی انجمن ، که آزادی های اصلاح اول ایالات متحده را برای همه فراهم می کند.
سازمان هایی که تحت تأثیر انواع مقررات صنعت بهداشت قرار گرفتند ، مهم نبودند. د آنها شامل می شوند ، اما محدود به این موارد نیستند:
ژنتیک بی شمار (MYGN) – شرکت آزمایش ژنتیک و بیماری.
Health Performance – ارائه دهنده تجهیزات و تجهیزات فیزیوتراپی.
نمونه ای از داده ها مدخل ها
در اینجا لیستی از داده هایی که تیم تحقیق ما یافته و توانسته است شناسایی کند:
Data Impacted
- گزارش های تحلیلی
- ارائه های داخلی ، از جمله:
- استراتژی شرکت
- مبلغ درآمد سالانه [19659030] تعداد مشتری فعلی
- مطالب آموزشی
- درخواست مشتری داخلی ، از جمله:
- نام درخواست کننده
- نام پروژه و جزئیات
- استراتژی های بازاریابی و وثیقه
- برچسب های محصول
- هوش تجاری
- لیست های پستی با PII مربوطه
لیست اهدا کنندگان دانشگاه ، از جمله:
- نام کامل
- ایمیل های شخصی و کاری
- شماره های تلفن مستقیم
- ] اعتبارنامه (د gree، school، year)
- مبلغ اهدا شده
فهرست اهدا کنندگان دانشگاه
کشورهایی که تحت تأثیر قرار گرفته
این کشورهایی هستند که در ما مشتریانی را یافتیم که در نقض داده ها گنجانده شده اند ، اما ما پرونده ای را باز نکردیم و این امکان وجود دارد که تعداد بیشتری مشتری در کشورهای اضافی وجود داشته باشد که تحت تأثیر قرار گرفتند.
- فرانسه
- ایالات متحده آمریکا
تأثیر نقض اطلاعات
اطلاعات محرمانه
موارد حاوی این نقض اطلاعات اغلب اطلاعات خصوصی و / یا محرمانه را در نگه می دارد. وعده تأسیسات و سیستمهای ایمن ، نقاط فروش اصلی مشتریانی مانند ارتش و زنجیره تأمین آن است – و نقض آن ضمانت نه تنها عدم موفقیت در خدمات است ، بلکه بالقوه خطر امنیتی را در کنار آن قرار می دهد.
سرقت هویت
دانستن نام کامل ، تولد ، و ، بله ، حتی سابقه حبس یک فرد می تواند اطلاعات کافی را به مجرمان برای سرقت هویت آن شخص فراهم کند.
سرقت هویت همیشه به معنای این نیست که دزد ادعا می کنند که آنها یک فرد خاص در زندگی واقعی هستند؛ همچنین به آنها اجازه می دهد تا درگیر تقلب در اعتبار شوند ، حساب بانکی خود را تخلیه کنند و در برابر کلاهبرداری علیه خانواده ، دوستان و سایر همدستان قربانی سرقت هویت شرکت کنند.
نقض حق چاپ
هرکسی که دسترسی داشته باشد تعداد بیشماری از اسناد دارای حق نسخه برداری موجود در این سطل S3 می تواند به راحتی آنها را بارگیری کند بدون اینکه هزینه مطالب آنها را بپردازد و همچنین آنها را به طور غیرقانونی بارگیری در یک شبکه تورنت ، به صورت رایگان در دسترس همه.
Fraud
ترکیبی از مواد مارک تجاری و لیست های تماس باعث می شود که هر کسی که دارای انگیزه های مخرب است ، مرتکب تقلب شود. می توان صدور گواهینامه های کاذب از دانشگاه ها ، و توجه به دانش خودی را برای به دست آوردن اعتبار کاذب ممکن است.
جاسوسی شرکت ها
کامل ورود به سیستم های رمزگذاری نشده برای مدیران به نظر می رسد که در این موجود است نقض . از دست دادن کنترل این دسترسی می تواند منجر به گرفتن مجرمان سایبری در حساب های و به دست آوردن اطلاعات غیر محرمانه در مورد فروشگاه ها ، کارمندان و مشتریان شود.
مشاوره از متخصصان
شرکتی که این سطل را در اختیار دارد می تواند. اگر اقدامات امنیتی اساسی برای محافظت از سطل S3 را انجام داده باشد ، به راحتی از این نقض داده خودداری کرده اید. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:
- سرورهای خود را ایمن کنید.
- قوانین دسترسی مناسب را اجرا کنید.
- هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، روی اینترنت نگذارید.
هر شرکتی می تواند آنرا تکرار کند. همان مراحل ، بدون توجه به اندازه آن برای راهنمایی بیشتر درباره نحوه محافظت از مشاغل خود ، راهنمای ما برای تأمین امنیت وب سایت و پایگاه داده آنلاین از هکرها را بررسی کنید.
تهیه یک سطل باز S3
] لازم به ذکر است که سطلهای S3 با باز و در معرض دید عموم عیب و نقص AWS نیستند. آنها معمولاً نتیجه خطا توسط صاحب سطل هستند. آمازون دستورالعمل های مفصلی را در اختیار کاربران AWS قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن سازند و آنها را در خصوصی نگه دارند.
در مورد این سطل S3 نا امن ، سریعترین راه برای رفع این خطا این است:
- سطل را تهیه کنید. پروتکل های احراز هویت خصوصی و اضافه کردن.
- بهترین روش های دسترسی و احراز هویت AWS را دنبال کنید.
- لایه های محافظ بیشتری را به سطل S3 اضافه کنید تا محدودیت های بیشتری را برای افرادی که می توانند از هر نقطه ورودی به آن دسترسی داشته باشند محدود کنید.
نقض داده
اگر فکر می کنید ممکن است اطلاعات شخصی یا شرکتی خود را در مورد این سطل S3 نا امن داشته باشید – و نگران این هستید که چگونه این نقض می تواند روی شما یا سایر آسیب پذیری های داده ها تأثیر بگذارد ، راهنمای کامل ما برای حفظ حریم خصوصی آنلاین را بخوانید برای کمک به بهتر محافظت در اینترنت در آینده. این روش های مختلفی را برای شما نشان می دهد که مجرمان سایبری کاربران اینترنت را هدف قرار می دهند و مراحلی را که می توانید برای ایمن ماندن بردارید ، انجام می دهد.
همچنین می توانید از VPN برای مخفی کردن داده های جمع آوری شده توسط صاحب این سطل استفاده کنید. یک VPN آدرس IP و کشور محل اقامت شما را نقاب می کند ، حتی اگر اطلاعات شما در معرض دید شما باشد ، یک لایه محافظت اضافه نیز به شما می دهیم.
چگونه و چرا ما نقض آن را کشف کردیم
تیم تحقیقاتی vpnMentor سطل تنظیم شده کشف شده را کشف کرد. به عنوان بخشی از یک پروژه نقشه برداری گسترده وب . محققان ما از اسکن پورت برای بررسی بلوک های خاص IP استفاده می کنند و سوراخ های باز سیستم را برای نقاط ضعف آزمایش می کنند. آنها هر سوراخ را برای فاش شدن داده ها بررسی می کنند.
وقتی تخلف داده ها را می یابند ، از تکنیک های تخصصی برای تأیید هویت صاحب سطل S3 استفاده می کنند . سپس شرکت را نسبت به نقض هشدار می دهیم. در صورت امکان ، ما به کسانی که تحت تأثیر این نقض قرار گرفته اند نیز هشدار می دهیم.
ما توانستیم به سطل S3 دسترسی پیدا کنیم زیرا کاملاً نا امن و بدون رمزگذاری بود . با استفاده از یک مرورگر وب ، این تیم می تواند به کلیه پرونده های میزبانی شده در سطل دسترسی داشته باشد.
هدف از این پروژه نقشه برداری وب کمک به ایمن تر کردن اینترنت برای همه کاربران است. به عنوان هکرهای اخلاقی ، ما هنگام کشف اشکالات در امنیت آنلاین آنها به عنوان یک شرکت اطلاع رسانی خواهیم کرد.
با این حال ، این اخلاق نیز به این معنی است که ما نیز مسئولیت وظیفه خود را برعهده داریم. . این امر به ویژه در مورد نقض داده های این شرکت صادق است که حاوی چنین اطلاعات عظیم و خصوصی است.
درباره ما و گزارش های قبلی
vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس طرفدار پاداش است که می کوشد در حالی که به سازمان های مربوط به محافظت از داده های کاربران خود آموزش می دهد ، به جامعه آنلاین کمک کند تا از خود در برابر تهدیدات سایبری دفاع کند. مشتریان آن همچنین اخیراً فاش کردیم که یک شرکت متعلق به هتل های بزرگ هتل های زنجیره ای AccorHotels بیش از 1 ترابایت از اطلاعات مهمانان را در معرض دید شما قرار داده است. همچنین ممکن است بخواهید گزارش نشت VPN ما و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.
I used a business center in another country once and was instantly asked to complete verification with google. How is using a vpn any different? The only time I’m tripped a security measure was trying to pay with paypal on an Argentina server. ما خوشحالیم که نسخه رسمی برنامه لینوکس خود را اعلام کنیم ، که به عنوان یک پروژه منبع باز در Github موجود است. برنامه خط فرمان مبتنی بر پروتکل WireGuard® است و دارای ویژگی های حیاتی فراوانی برای محافظت از حریم شخصی دیجیتالی شماست. سریعترین تجربه VPN را در لینوکس با پروتکل جدید WireGuard تجربه کنید ، که ما از آن پشتیبانی می کنیم. روی همه سرورها یا دودویی prebuild را بارگیری کنید یا برنامه را مستقیماً از منبع وارد کنید. CLI از ویژگیهای اساسی برای پیکربندی اتصال VPN شما ، از جمله تقسیم تونلینگ ، Kill Switch و مدیریت DNS پشتیبانی می کند. نسخه ها با Golang 1.14 ساخته شده اند. Golang باینری های کاملاً کاملی تولید می کند که فقط به glibc و libpthread بستگی دارد. چنین باینری باید در همه توزیع های لینوکس ، یعنی Debian ، Fedora یا Ubuntu اجرا شود. این سیستم از چندین معماری پشتیبانی می کند (x86-64 ، ARM ، MIPS ، RISC، S390) ، بنابراین امکان پیکربندی VPN در دستگاه های تعبیه شده یا روتر امکان پذیر است. این پروژه با منبع آزاد و تحت مجوز GPLv2 مجاز است. بنابراین ، جامعه توسعه دهنده می تواند در این پروژه مشارکت داشته باشد و راه حل هایی را در بالای آن ایجاد کند. جزئیات اجرای WireGuard در اطلاعیه اولیه مشخص شده است ، می تواند مورد ارزیابی و تأیید عموم باشد. می توانید دستورالعمل های مفصلی را در README در Github بیابید. مراحل اساسی عبارتند از: CLI هنوز در مرحله بتا عمومی است و ممکن است خطاهای پیش بینی نشده اتفاق بیفتد. با نامزد انتشار ، ما قصد داریم اسکریپت های نصب ساده را منتشر کنیم و آموزش های اضافی در مورد چگونگی استفاده بهینه از برنامه ارائه دهیم. I’m interested in getting a premium one, however, I dont know if I’m the right consumer. I get the larger corporates are selling our information, but what about average Joe’s like myself. Do we need it for regular stuff? What are the benefits, drawbacks, etc? Do videos run faster/slower, gaming ping faster/slower, etc? این وظیفه ما است که از حریم شخصی کاربران خود محافظت کنیم و بیش از هر چیز دیگر. و با توجه به قانون جدید امنیت ملی وضع شده در هنگ کنگ و در نتیجه قوانین صادرات رمزگذاری ، ما راحت نیستیم که کاربران IPVanish بتوانند به یک نقطه پایانی در منطقه وصل شوند. بلافاصله مؤثر ، ما سرورهای VPN هونگ کنگ خود را از بین بردیم و عملیات را به حالت تعلیق درآوردیم. ما می دانیم که این تصمیم یک گام ضروری برای ادامه حمایت از آزادی کاربران در هنگ کنگ است. به همین دلیل است در 30 ژوئن ، چین قانون امنیتی جدیدی را در هنگ کنگ وضع کرد که استقلال منطقه را از بین می برد و گفتار آزاد را جرم می بخشد. از طریق 66 ماده با زبان مبهم ، قانون امنیتی هنگ کنگ کلیه اقدامات جدائی ، براندازی ، تروریسم و تبانی با نیروهای خارجی را جرم شمرده می شود. قانون جدید همچنین ، منطقه را که گاه محکوم به آزادی آنلاین است ، پشت همان محدودیت های اینترنت سخت حاکم بر سرزمین اصلی چین قرار داده است. با این تغییر قانونی ، متأسفانه ما باید هنگ کنگ و چین را به عنوان یکی در نظر بگیریم. قانون امنیت ملی هنگ کنگ سانسور و نظارت بر قوانین را در مورد گفتار آنلاین که بسیار فراتر از مرزهای چین است اعمال می کند. علاوه بر قدرت های جدید برای رهگیری ارتباطات و به دست آوردن دارایی ها از طریق نظارت بدون ضمانت ، پلیس اکنون می تواند سیستم عامل ها و ارائه دهندگان خدمات آنلاین را از سراسر جهان سفارش دهد تا داده های کاربر را تحویل دهند. به کاربران IPVanish که در هنگ کنگ ساکن هستند: شما حمایت جدی خود را دارید. رفع سخت افزار ما مانع از ارائه خدمات VPN به شما نخواهد شد. ما همچنان در زمینه حفظ حریم خصوصی و آزادی شما قهرمان خواهیم شد و محیطی امن را برای فعالیت آنلاین خود فراهم خواهیم کرد. اگر هر گونه سؤال یا عوارضی از طرف این ماجرا بوجود آمد ، لطفا با تیم پشتیبانی مشتری ما تماس بگیرید. [19659010] Be safe .don’t belive VPN :privacy آیا همه ما می توانیم قبول کنیم که برنامه های تلفن هوشمند برای رایانه های لوحی وحشتناک به نظر می رسند؟ حتی در iPad ، جایی که اپل تلاش زیادی برای بهبود تجربه کرده است ، برنامه های iPhone "مضاعف" به نظر می رسند. تبلت های Android و کاربران Chromebook خوشحال می شوند ، Spotify در حال به روزرسانی است تا بتواند از یک برنامه کشیده به چیزی که صفحه نمایش شماست منتقل شود. اولین بار توسط پلیس آندروید مشاهده شد ، آخرین به روزرسانی Spotify برای رایانه های لوحی اندرویدی و Chromebook کپی مشابه است. از برنامه iPad آن است. این معنا می یابد؛ چرا آشفتگی با یک چیز خوب؟ این واقعیت که برای رسیدن به یک مرحله نهایی ، ده ماه طول کشید ، بخشی است که ما را زیر سؤال می برد. به جای اینکه یک برنامه کشیده شده با هم قرار بگیرد ، اکنون شما آلبوم هنری بزرگتری کسب می کنید ، دسترسی آسان به Spotify وصل کنید تا بلندگوهای موسیقی خود را انتخاب کنید. ، و دکمه های عقب و پرش قابل مشاهده است. این قسمت آخر ممکن است مهمترین تغییر در همه باشد. همانطور که پلیس آندروید خاطرنشان می کند ، برنامه کامل نیست. برخی از اهداف لمسی هنوز بسیار ناچیز هستند ، اما این پیشرفت چشمگیر نسبت به آنچه قبلاً داشتید. به نظر می رسد که این به روزرسانی در حال استفاده است ، زیرا هنوز رابط کاربری جدید را نمی بینیم. اما امیدوارم همه به زودی آن را دریافت کنند. از طریق پلیس آندروید Hi All, I understand the importance of having a VPN, because lots of people in my country were getting warnings about their ‘streaming’ or ‘downloading’ habits. I’ve heard from a friend that if you log into a uni or work email/service and not log out (kept signed in), they can track your browser searches. I was wondering if this is true? I noticed that when I was using a VPN, I was still signed into my uni email and I may have been looking at some unsavoury things. I was also able to access certain material online because I was still signed into the university. How likely am I going to get an email from IT?
Why does vpn use not trip google/paypal etc security measures unless it’s used for a long time?
معرفی hid.me VPN برای لینوکس
ویژگی های VPN در لینوکس
چه سیستم عامل پشتیبانی می شود
اعتماد به کد
نحوه اتصال
veş.me token sample.hideservers.net veş.me اتصال sample.hideservers.net آینده چه می شود؟
Help me understand VPN
سرورهای VPN هنگ کنگ در پاسخ به قانون امنیت ملی حذف شدند
قانون امنیت هنگ کنگ آزادی آنلاین را از بین می برد
امیدواریم تا امروز تأثیر کاربران را به حداقل برسانیم. ، 15 ژوئیه ، 2020 ، IPVanish تمام سرورهای VPN را که از لحاظ جسمی در هنگ کنگ قرار دارند ، از بین برد ، این امر بر اتصالات ایجاد شده به شهر تأثیر خواهد گذاشت. اگرچه ما از اختلال احتمالی پشیمان می شویم و این ممکن است باعث شود مشتریانی که به آن سرورهای خاص وابسته هستند ، توجه داشته باشیم که امنیت شخصی مهمتر از راحتی است. لیست های سرور در برنامه های ما بصورت خودکار بروزرسانی می شوند ، اما دستگاه هایی که به صورت دستی به یک سرور هنگ کنگ متصل هستند نیاز به پیکربندی مجدد در یک مکان دیگر دارند. ما شما را تشویق می کنیم از سرورهای VPN ما در نزدیکی سنگاپور استفاده کنید ، منطقه ای که در آن انتظار داریم منابع ما را افزایش دهد تا مشکلات ظرفیت احتمالی را جبران کند.
Be safe .don’t belive VPN :privacy
Spotify در تبلت های Android و Chromebooks Anymore یک چشم انداز نیست – بررسی Geek
Hypothetical question. Can my university track me by me logging into work email/service?
نحوه تغییر کشور IP