2019年12大數(shù)據(jù)泄露事故
2019年12月24日
僅在2018年�,就有5億個(gè)人記錄被盜。到年底將竊取多少記錄?
根據(jù)《 2019年第三季度基于風(fēng)險(xiǎn)的數(shù)據(jù)違規(guī)快速查看報(bào)告》�����,截至9月底����,共有5183次違規(guī),暴露了79億條記錄��。與2018年第三季度報(bào)告相比�����,違規(guī)總數(shù)上升了33.3%���,暴露的記錄總數(shù)翻了一番多,上升了112%。
今年會是有記錄以來最糟糕的嗎?
12. ElasticSearch服務(wù)器漏洞– 1.08億條記錄
在2019年1月��,ZDnet報(bào)告說���,一個(gè)在線賭場集團(tuán)泄露了超過1.08億筆賭注的信息�,包括有關(guān)客戶個(gè)人信息�,存款和取款的詳細(xì)信息。數(shù)據(jù)從ElasticSearch服務(wù)器泄漏�,該服務(wù)器沒有密碼就可以在線暴露。ElasticSearch是公司安裝的便攜式高級搜索引擎����,用于改進(jìn)其Web應(yīng)用程序的數(shù)據(jù)索引和搜索功能。
發(fā)現(xiàn)服務(wù)器的安全研究員Justin Paine發(fā)現(xiàn)用戶數(shù)據(jù)包含很多敏感信息���,例如真實(shí)姓名����,家庭住址��,電話號碼�,電子郵件地址,生日��,站點(diǎn)用戶名,帳戶余額�,IP地址,瀏覽器和操作系統(tǒng)詳細(xì)信息�,上次登錄信息以及已玩游戲的列表。ZDnet報(bào)告說����,不清楚該服務(wù)器在網(wǎng)上暴露了多長時(shí)間,有多少用戶受到影響���,是否有其他人訪問了泄漏的服務(wù)器以及是否通知客戶其個(gè)人數(shù)據(jù)被暴露了���。
11. Canva數(shù)據(jù)泄露– 1.39億條記錄
2019年5月,《安全雜志》報(bào)道說�����,圖形設(shè)計(jì)工具網(wǎng)站Canva遭受數(shù)據(jù)泄露����,影響了1.39億用戶����。公開的數(shù)據(jù)包括客戶用戶名�����,真實(shí)姓名���,電子郵件地址,密碼以及城市和國家/地區(qū)信息���。此外����,在1.39億用戶中���,有7800萬用戶的Gmail地址與他們的Canva帳戶相關(guān)聯(lián)�。
據(jù)ZDnet稱���,負(fù)責(zé)此漏洞的黑客已在暗網(wǎng)上出售了9.32億用戶的數(shù)據(jù)���,這些數(shù)據(jù)是他們從全球44家公司中竊取的。
10. 中國求職者M(jìn)ongoDB數(shù)據(jù)泄露– 2.02億條記錄
2019年1月�����,網(wǎng)絡(luò)安全公司Hacken的網(wǎng)絡(luò)安全專家兼研究員Bob Diachenko發(fā)現(xiàn)了一個(gè)854 GB的MongoDB數(shù)據(jù)庫,其中包含202,730,434條有關(guān)中國求職者的記錄����。數(shù)據(jù)包含候選人的技能和工作經(jīng)驗(yàn),以及個(gè)人識別信息�����,例如電話號碼���,電子郵件地址���,婚姻狀況,政治傾向���,身高��,體重�,駕駛執(zhí)照信息��,薪資期望和其他高度個(gè)人數(shù)據(jù)���。
中國的一家分類廣告公司BJ.58.com告訴Diachenko��,數(shù)據(jù)來自第三方公司�����,該公司從許多專業(yè)站點(diǎn)收集數(shù)據(jù)����。迪亞琴科發(fā)現(xiàn)漏洞后約一周��,數(shù)據(jù)庫得到了保護(hù)��。
9. 印度公民MongoDB數(shù)據(jù)庫-2.75億條記錄
2019年5月�����,迪亞琴科再次透露他發(fā)現(xiàn)了一個(gè)MongoDB數(shù)據(jù)庫��,該數(shù)據(jù)庫暴露了275,265,298條包含高度PII的印度公民記錄���。該數(shù)據(jù)庫未受保護(hù)超過兩個(gè)星期���。
迪亞琴科說,托管在亞馬遜AWS上的可公開訪問的MongoDB數(shù)據(jù)庫包括姓名���,性別��,出生日期����,電子郵件,電話號碼�,學(xué)歷,專業(yè)信息(雇主��,工作經(jīng)歷����,技能和職能領(lǐng)域)以及當(dāng)前薪水等信息。
8. 第三方Facebook應(yīng)用程序數(shù)據(jù)泄露– 5.4億條記錄
2019年4月�����,UpGuard安全研究人員透露���,有兩個(gè)第三方開發(fā)的Facebook應(yīng)用程序數(shù)據(jù)集已暴露于公共互聯(lián)網(wǎng)中�。一個(gè)數(shù)據(jù)庫來自墨西哥的媒體公司Cultura Colectiva��,重達(dá)146 GB,其中有5.4億條記錄詳細(xì)記錄了評論���,喜歡�,反應(yīng)����,帳戶名�����,F(xiàn)acebook ID等�����。
研究人員說�,另一個(gè)第三方應(yīng)用“ At the Pool”通過Amazon S3存儲桶公開訪問了公共互聯(lián)網(wǎng)。該數(shù)據(jù)庫備份包含用于用戶信息的列��,例如用戶名ID�����,朋友�,喜歡,音樂,電影��,書籍��,照片����,事件,組���,簽到���,興趣,密碼等���。
7. Dream Market Breach– 6.2億條記錄
2月���,《The Register》報(bào)道說,從16個(gè)被黑網(wǎng)站竊取的大約6.17億個(gè)在線帳戶詳細(xì)信息正在暗網(wǎng)中出售���。以下帳戶數(shù)據(jù)庫正在Dream Market上出售:
根據(jù)該報(bào)告����,樣本帳戶記錄主要包括帳戶持有人姓名,電子郵件地址和密碼�。這些密碼是經(jīng)過哈希處理或單向加密的,必須經(jīng)過破解才能使用�����。顯示的其他信息取決于站點(diǎn)����,包括位置個(gè)人詳細(xì)信息和社交媒體身份驗(yàn)證令牌���。
6. “Collection #1”數(shù)據(jù)違規(guī)– 7.73億條記錄
一月份��,特洛伊·亨特(Troy Hunt)宣布他已經(jīng)找到了一組電子郵件地址和密碼��,總計(jì)2,692,818,238行�����,其中包括來自數(shù)千個(gè)不同來源的許多不同的個(gè)人數(shù)據(jù)泄露�����?�?偣灿?,160,253,228個(gè)電子郵件地址和密碼的唯一組合���。唯一電子郵件地址總計(jì)772,904,991�。唯一密碼總計(jì)21,222,975���。
多個(gè)人與Hunt取得聯(lián)系�����,并指示他前往云服務(wù)MEGA上的文件收集��,該服務(wù)包含12,000多個(gè)單獨(dú)的文件和超過87GB的數(shù)據(jù)���。此外,他還指向了一個(gè)流行的黑客論壇�,該論壇正在發(fā)布數(shù)據(jù)。在文件中�����,亨特找到了自己的個(gè)人數(shù)據(jù)�����,例如他多年以前使用的電子郵件地址和密碼。
5. Verifications.io數(shù)據(jù)泄露– 8.08億條記錄
4月���,Diachenko和安全研究員Vinny Troia報(bào)告說�����,他們已經(jīng)找到了一個(gè)可公開訪問的MondoDB數(shù)據(jù)庫���,該數(shù)據(jù)庫包含150 GB的詳細(xì)營銷數(shù)據(jù)。該數(shù)據(jù)庫歸電子郵件驗(yàn)證公司Verifications.io所有���,并在Diachenko與該公司聯(lián)系的同一天被下線。
該數(shù)據(jù)庫包含四個(gè)單獨(dú)的數(shù)據(jù)集合��,總計(jì)808,539,939條記錄��。Diachenko說�,其中最大的部分名為“ mailEmailDatabase”,并且其中包含三個(gè)文件夾:
電子郵件記錄(計(jì)數(shù):798,171,891條記錄)
emailWithPhone(計(jì)數(shù):4,150,600條記錄)
businessLeads(計(jì)數(shù):6,217,358條記錄)
4. 首次美國數(shù)據(jù)泄露– 8.85億條記錄
7月����,美國最大的房地產(chǎn)所有權(quán)保險(xiǎn)公司第一美國金融公司(First American Financial Corp.)的數(shù)據(jù)泄漏暴露了8.85億個(gè)人的交易記錄。根據(jù)美國記者兼調(diào)查記者布萊恩·克雷布斯(Brian Krebs)的說法���,《第一美國人》泄露了2003年以來與抵押交易相關(guān)的數(shù)億份文件�����。
記錄包括銀行帳號和對帳單���,抵押和稅務(wù)記錄����,社會保險(xiǎn)號�,電匯收據(jù)和駕駛執(zhí)照圖像。Krebs說���,使用Web瀏覽器的任何人都無需身份驗(yàn)證即可獲得這些記錄��。
3. TrueDialog數(shù)據(jù)泄露–超過10億條記錄
本周早些時(shí)候����,vpnMentor�,Noam Rotem和Ran Locar的網(wǎng)絡(luò)安全專家研究人員詳細(xì)介紹了美國通信公司TrueDialog數(shù)據(jù)庫泄漏的發(fā)現(xiàn)。TrueDialog總部位于美國德克薩斯州奧斯汀�,為大型和小型企業(yè)創(chuàng)建SMS解決方案,目前與990多家手機(jī)運(yùn)營商合作���,在全球擁有超過50億用戶��。
研究人員說��,由Microsoft Azure托管并在美國Oracle Marketing Cloud上運(yùn)行的TrueDialog數(shù)據(jù)庫包含604 GB的數(shù)據(jù)���。其中包括近10億個(gè)高度敏感的數(shù)據(jù)條目�。包含在數(shù)百萬條SMS消息中的敏感數(shù)據(jù)包括但不限于:
2. Orvibo泄漏的數(shù)據(jù)庫– 20億條記錄
7月�,Rotem和Locar發(fā)現(xiàn)了一個(gè)與Orvibo Smart Home產(chǎn)品鏈接的開放數(shù)據(jù)庫,公開了超過20億條記錄�����。根據(jù)研究人員的說法�,運(yùn)行IoT平臺的Orvibo聲稱擁有大約一百萬用戶���,其中包括使用Orvibo智能家居設(shè)備連接房屋��,酒店和其他企業(yè)的私人用戶�����。
數(shù)據(jù)泄露影響了來自世界各地的用戶�。Rotem和Locar為中國,日本����,泰國,美國���,英國��,墨西哥���,法國,澳大利亞和巴西的用戶找到了日志��。
他們首先于6月16日通過電子郵件聯(lián)系了Orvibo�,并在未收到公司的消息后在公司上發(fā)了推文,提醒他們注意違規(guī)行為���。該數(shù)據(jù)庫開放了兩個(gè)多星期�����。包括的數(shù)據(jù)類型:
電子郵件地址
密碼
帳戶重置代碼
精確的地理位置
IP地址
用戶名
用戶身份
姓
家庭ID
智能設(shè)備
訪問帳戶的設(shè)備
安排信息
1. 社交媒體資料數(shù)據(jù)泄漏– 40億條記錄
十月份����,Diachenko和Troia在不安全的服務(wù)器上發(fā)現(xiàn)了向公眾公開并易于訪問的大量數(shù)據(jù),其中包含4 TB的PII��,即大約40億條記錄���。Troia和Diachenko表示��,所有數(shù)據(jù)集中的唯一身份人員總數(shù)已超過12億�����,這是有史以來單一來源組織最大的數(shù)據(jù)泄露事件之一����。泄漏的數(shù)據(jù)包含姓名���,電子郵件地址,電話號碼�����,LinkedIN和Facebook個(gè)人資料信息。
發(fā)現(xiàn)的包含所有信息的ElasticSearch服務(wù)器未受保護(hù)��,可通過Web瀏覽器訪問����。無需密碼或任何形式的身份驗(yàn)證即可訪問或下載所有數(shù)據(jù)。報(bào)告說�����,使這種數(shù)據(jù)泄漏獨(dú)特的原因在于�,它包含的數(shù)據(jù)集似乎來自兩個(gè)不同的數(shù)據(jù)充實(shí)公司。
亨特(Hunt)在泄漏中發(fā)現(xiàn)了他的信息�����,他說:“我發(fā)現(xiàn)這種具有暴露性質(zhì)的數(shù)據(jù)的重復(fù)主題越來越激怒了數(shù)據(jù)收集者以數(shù)據(jù)所有者(即我)的方式獲取和使用個(gè)人信息不同意���。這與人們可能選擇的發(fā)布數(shù)據(jù)渠道的公開程度無關(guān)���,而是關(guān)于數(shù)據(jù)在預(yù)期范圍之外的使用?���!?/p>
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
