摘要:最近,它披露了一個安全漏洞,情況不容樂觀。當前和曾用地址、電話號碼、電子郵件地址、親屬姓名,在某些情況下甚至有犯罪記錄。

DT 時代,數據安全至上。

最近一兩年,數據泄露事件愈加頻繁,受影響的用戶不斷增加,少則數千萬,多達數億乃至十幾億。不僅個人,而且企業、組織機構和國家政府不斷陷入數據泄露。從金融、教育、醫療到科技,數據泄露涉及各行各業,影響深遠。以月爲單位,我們盤點和統計當月公開披露的數據泄露事件。一方面,用事實提醒廣大網民,數據安全至關重要,關係到每個網民的切身利益,希望更多人能提高數據安全意識;另一方面,我們也希望爲企業提供參考,進一步強化數據安全建設,做好用戶隱私保護。(如果有更多建議,請於文末留言)

1. 加密貨幣交易所 Poloniex 數據泄露

報道時間:1 月 2 日

大致情況:

2019 年 12 月 30 日,用戶收到一封來自 Poloniex 加密貨幣交易所的郵件。據悉,郵件告知用戶,公司發生數據泄露,包括用戶名、密碼等信息可能被泄露。該公司“強行”要求用戶重置密碼,保護用戶免受魚叉式網絡釣魚攻擊。

數據泄露類型:用戶名、密碼等

泄露原因:未知

後續:郵件通知用戶,要求用戶重置密碼

2. 美國餐飲酒店公司 Landry 泄露客戶支付卡數據

報道時間:1 月 2 月

大致情況:

據 tripwire 報道,餐飲、酒店和娛樂公司 Landry 通知客戶遭遇未經授權訪問的安全事件,可能會影響其支付卡數據。該公司透露,惡意軟件感染其支付處理系統,可能泄露服務員在廚房和酒吧的訂單輸入系統中誤刷的支付卡詳細信息。

數據泄露類型:信用卡的號碼、有效期、CVC 碼和持卡人姓名等

泄露原因:網絡攻擊

後續:公司從系統中刪除惡意軟件,通知執法部門,並在計算機系統上實施新的安全措施,還爲工作人員提供更多培訓。

3. 日本愛情酒店搜索引擎 HappyHotel 數據泄露

報道時間:1 月 6 日

大致情況:HappyHotel.jp 是一個類似於 Booking.com 的網站,它允許註冊用戶搜索和預定日本各地愛情酒店的房間。最近,它披露了一個安全漏洞,情況不容樂觀。根據其官網發佈的消息,HappyHotel 背後的公司 Almex 表示,去年 12 月 22 日,該公司檢測到其服務器未經授權訪問。據悉,黑客似乎已經掌握大量用戶敏感信息。

數據泄露類型:

姓名、電子郵件地址、登錄憑據(用戶名和密碼)、出生日期、性別信息、電話號碼、家庭地址和支付卡詳細信息等。

泄露原因:未經授權訪問

後續:HappyHotel.jp 被暫時關閉

4. 美國教育機構供應商 Active Network 數據泄露

報道時間:1 月 6 日

大致情況:

近日,美國教育機構供應商 Active Network 宣佈其爲學校提供的會計軟件 Blue Bear 發現重大安全漏洞,大量用戶信息被泄露。據悉,Blue Bear 雲系統是 Active Network 專門爲學校定製,幫助學校管理相關的活動基金。在這次攻擊中,黑客先是獲得 Blue Bear 雲會計軟件系統的訪問權限,隨後植入一個軟件分離器,目的是收集用戶的支付卡數據。

數據泄露類型:

用戶姓名、支付卡號、支付卡到期日期、支付卡安全碼以及商店用戶名和密碼等

泄露原因:黑客攻擊

後續:調查此事,通知受影響的家長

5. 在線零售商 Focus Camera 發生數據泄露

報道時間:1 月 7 日

大致情況:

在線零售商 Focus Camera 遭遇黑客攻擊,被 Magecart 集團注入惡意代碼,從而竊取用戶信用卡信息。據悉,Magecart 是一個鬆散的攻擊組織,針對 Ticketmaster、福布斯、英國航空公司(British Airways)、Newegg 等公司發起過支付卡攻擊。一般來說,該組織通常會在一個 web 應用程序(通常是購物車)中插入虛擬信用卡分離器(也稱爲 formjacking),然後竊取信用卡信息,在黑市上出售。

數據泄露類型:

用戶姓名、電子郵件、電話號碼、地址(信用卡賬單地址、收貨地址)、信用卡信息(號碼、有效期、CVV 碼)

泄露原因:黑客攻擊

後續:惡意代碼被移除

6. 美國 Alomere Health 醫院發生信息泄露

報道時間:1 月 7 日

大致情況:

美國明尼蘇達州 Alomere Health 醫院被曝發生數據泄露。據悉,本次泄露暴露 49351 名患者的個人和醫療信息。而泄露原因則是該醫院的兩名員工的電子郵件賬戶遭到入侵。據瞭解,Alomere Health 是位於美國明尼蘇達州亞歷山大市的一家普通醫療外科醫院,曾獲得醫療機構認證計劃(HFAP)的認可,擁有 III 級創傷中心,並兩次被湯森路透評爲百佳醫院之一。

泄露數據類型:

患者姓名、地址、出生日期、病歷號、健康保險信息以及診斷和治療詳細信息

泄露原因:未經授權訪問

後續:醫院提升員工電子郵件的安全,增加安全防護、員工培訓

7.CheckPeople 的中國服務器暴露了 5625 萬美國居民信息

報道時間:1 月 10 日

大致情況:

據悉,一名代號爲 Lynx 的白帽黑客發現,一個包含 5625 萬美國公民個人信息的數據庫在網上公開。而該數據庫屬於 CheckPeople.com 網站,並且數據庫被綁定在一個擁有中國 IP 地址的服務器上。

數據泄露類型:

當前和曾用地址、電話號碼、電子郵件地址、親屬姓名,在某些情況下甚至有犯罪記錄

泄露原因:未知

後續:未知

8. 美國數據經紀商 LimeLeads 泄露 4900 萬條用戶記錄

報道時間:1 月 15 日

大致情況:

據 Security Affairs 報道,美國數據經紀商 LimeLeads 的 4900 萬條用戶記錄在一個黑客論壇上被出售,這些數據在 Elasticsearch 服務器上公開。該公司錯誤配置 Elasticsearch 服務器,並無意將其在線公開,允許任何人訪問其內容。

數據泄露類型:

全名、職務、用戶電子郵件、僱主或公司名稱、公司地址、城市、州、郵政編碼、電話號碼、網站 URL、公司總收入以及公司的預計僱員人數。

泄露原因:數據庫配置錯誤

後續:未知

9. 澳大利亞 P&N 銀行發生數據泄露

報道時間:1 月 15 日

影響人數:10 萬

大致情況:

據悉,西澳大利亞州 P&N Bank 在服務器升級期間遭遇網絡攻擊,發生數據泄露。作爲西澳大利亞州最大銀行,該銀行提供儲蓄、貸款產品、保險和財務規劃服務,擁有 14 家分行。本次攻擊中,該銀行客戶關係管理系統中的個人信息和敏感賬戶信息被泄露。黑客從網絡攻擊中竊取 10 萬西澳大利亞人的信息。

數據泄露類型:

客戶姓名、年齡、居住地址、電子郵件地址、電話號碼、客戶編號、銀行帳號及帳戶餘額

泄露原因:黑客攻擊

後續:銀行關閉漏洞源,並與其他機構合作調查此事

10. 加拿大網上藥店 PlanetDrugsDirect 客戶信息泄露

報道時間:1 月 15 日

影響人數:近 40 萬

大致情況:

1 月 15 日,有媒體報道,加拿大網上藥店 PlanetDrugsDirect 通過電子郵件通知客戶發生數據泄露事故。通知稱,數據泄露可能影響客戶的個人敏感信息和財務信息。據悉,PlanetDrugsDirect 的客戶數量大約爲 40 萬,本次的泄露數據包括姓名、住址、電子郵件地址等。PlanetDrugsDirect 稱事故處於調查中,將盡快向客戶提供更多詳細信息。

泄露數據類型:

姓名、家庭住址、電子郵件地址、電話號碼、支付信息和醫療信息

泄露原因:未知

11.PussyCash 遭遇數據泄露

報道時間:1 月 15 日

大致情況:

VPN Mentor 的安全研究者表示,他們在 PussyCash 位於弗吉尼亞州的亞馬遜 S3 bucket 發現一起數據泄露,包含 19.95GB 的可見數據。作爲一個會員制網站,PussyCash 的母公司 IML SLU 還擁有 ImLive 等成人網站品牌。本次數據泄露曝光了超過 87.5 萬個文件中的 4000 多組個人數據,非常嚴重。僅在網絡聊天平臺 ImLive 上,就擁有 6600 萬註冊會員,更別提其他數十個網站。

數據泄露類型:

全名、生日、出生地、公民身份、籍貫、護照 / 身份證件號碼、護照簽發日 / 有效期、註冊性別、證件照、個人簽名、父母全名、指紋等敏感信息

泄露原因:未知

後續:未知

12. 美國兒童服裝品牌 Hanna Andersson 數據泄露

報道時間:1 月 20 日

大致情況:

據悉,美國著名兒童服裝製造及在線零售商 Hanna Andersson 披露一起數據泄露事件,其在線購物平臺遭受 Magecart 攻擊,黑客部署了惡意代碼,竊取客戶近兩個月的付款信息。

數據泄露類型:

姓名、購物地址、信用卡賬單地址、信用卡號碼、CVV 碼等

泄露原因:黑客攻擊

後續:公司的在線購物平臺被保護起來並被加固,公司還協助執法部門進行調查

13. 烏克蘭政府招聘官網發生求職人員信息泄露

報道時間:1 月 21 日

大致情況:

烏克蘭政府招聘門戶官網近日被曝出信息泄露事件。據悉,烏克蘭網絡聯盟非營利組織的一名成員率先發現數據泄漏事件,並將其報告給國家安全與國防委員會。烏克蘭官員表示,公開的信息包括密碼副本和其他一些文件。

數據泄露類型:全名、地址、身份證件掃描、護照掃描件、文憑和其他畢業文件。

泄露原因:未知

後續:官方稱“漏洞被修復”

14. 微軟泄露 2.5 億條客戶支持記錄和 PII(個人驗證信息)

報道時間:1 月 23 日

大致情況:

一名研究者 Bob Diachenko 發現一個未受保護的數據庫,它擁有超過 2.5 億客戶支持記錄和 PII。微軟確認,由於數據庫的錯誤配置,其客戶服務和支持(CSS)記錄在網上公開。微軟已經解決此問題,並採取措施防止類似事情再次發生。

數據泄露類型:用戶電子郵件地址、IP 地址、位置、CSS 聲明和案例的描述、案例編號、解決方案和備註等

泄露原因:數據庫配置錯誤

後續:問題被解決

15.THSuite 公司泄露大量大麻用戶信息

報道時間:1 月 23 日

大致情況:

外媒披露,美國用於醫療和休閒大麻藥房的數據庫支持銷售系統 THSuite 發生數據泄露,影響 3 萬名用戶。據悉,VPNMentor 研究團隊在網上發現一個不安全的 Amazon S3 bucket,該數據庫爲 THSuite 所有。研究人員稱,本次事件泄露了美國大麻用戶的敏感信息,超過 85000 個文件被暴露。

數據泄露類型:姓名、出生日期、電話號碼、家庭地址、電子郵件地址、醫療身份證號碼、使用過的大麻、價格、數量和收據等

泄露原因:公開的數據庫

後續:數據庫被關閉

16.SextPanther 網站發生數據泄露

報道時間:1 月 25 日

大致情況:

總部位於美國亞利桑那州的 SextPanther 遭遇嚴重數據泄露,導致成千上萬人的隱私信息被曝光。據悉,SextPanther 是一個成人網站,它在一個公開的亞馬遜 AWS 存儲桶中存儲了近 1.1 萬的身份證明文件,無需輸入密碼,即可公開訪問。泄露的信息包括姓名、家庭住址、出生日期等。

數據泄露類型:

姓名、家庭住址、出生日期、生物識別特徵、照片,甚至護照、駕駛執照、以及社保賬號

泄露原因:未知

後續:該存儲庫被保護,公司進行調查

17.Wawa 發生大規模數據泄露

報道時間:1 月 28 日

大致情況:

據 ZDNet 報道,超過 3000 萬美國人的支付卡詳細信息被黑客掛在網上出售。據悉,信用卡數據來自 Wawa,它是美國一家便利店公司。此前一個月,Wawa 披露一起重大泄露事件,公司承認黑客在其 POS 系統植入惡意軟件。惡意軟件會收集使用信用卡或借記卡在便利店和加氣站購物的用戶的信息。本次泄露涉及該公司的 860 家便利店。

數據泄露類型:支付卡信息

泄露原因:惡意軟件

後續:惡意軟件被刪除

根據公開不完全統計,2020 年 1 月發生 17 起數據泄露事件。從受泄露影響的人數看,跨度大,少則幾萬人,多則千萬,比如美國 Alomere Health 醫院的信息泄露影響近 5 萬人,而微軟則泄露 2.5 億條客戶支持記錄和 PII(個人驗證信息);其次,泄露數據內容詳細,維度多,顆粒度細,例如美國數據經紀商 LimeLeads 的數據泄露涉及 12 種個人信息。

從泄露原因來看,除部分原因未知外,有 6 起數據泄露源於黑客攻擊,涉及教育、金融、在線零售和酒店行業。此外,3 起是因爲數據庫配置錯誤,2 起數據泄露源於未經授權訪問。

針對本月數據泄露事件,深圳網安集團副總工程師黃偉傑認爲:

近年來,企業數據泄漏事件層出不窮,大有愈演愈烈的趨勢,究其原因大概有以下幾個方面:

(一)企業數字化轉型後,大量業務互聯網化,用戶業務數據和個人數據被在線統一收集、交易和存儲,一旦網絡安全保障能力和數據防護意識不足的話,容易受到黑客的攻擊入侵,竊取數據。

(二)部分企業爲提高自身的市場競爭力,精準定向向用戶推銷業務,通過從黑客或竊取者手上購買、交易等不法方式,獲取大量用戶數據。

(三)個人信息隱私保護、數據安全保護等法律法規不完善,不法犯罪分子有恃無恐,而仍然有很多企業未真正重視和履行網絡安全保障義務。

可以說,隨着數據的價值體現越來越明顯,數據的需求日益增大,有需求就有市場,數據泄漏可能成爲一種常態,建議國家監管機構儘快推出相關法律,加強數據販賣、竊取的違法犯罪行爲的打擊力度;作爲企業則建議提高數據防護與個人數據隱私保護意識,增大相關資源投入,提升數據安全保障水平。

相關文章