2019年12大數據泄露事故
2019年12月24日
僅在2018年�,就有5億個人記錄被盜��。到年底將竊取多少記錄?
根據《 2019年第三季度基于風險的數據違規快速查看報告》��,截至9月底,共有5183次違規��,暴露了79億條記錄��。與2018年第三季度報告相比����,違規總數上升了33.3%���,暴露的記錄總數翻了一番多���,上升了112%�����。
今年會是有記錄以來最糟糕的嗎?
12. ElasticSearch服務器漏洞– 1.08億條記錄
在2019年1月���,ZDnet報告說����,一個在線賭場集團泄露了超過1.08億筆賭注的信息,包括有關客戶個人信息���,存款和取款的詳細信息。數據從ElasticSearch服務器泄漏�,該服務器沒有密碼就可以在線暴露。ElasticSearch是公司安裝的便攜式高級搜索引擎���,用于改進其Web應用程序的數據索引和搜索功能。
發現服務器的安全研究員Justin Paine發現用戶數據包含很多敏感信息��,例如真實姓名����,家庭住址,電話號碼�����,電子郵件地址����,生日,站點用戶名����,帳戶余額����,IP地址����,瀏覽器和操作系統詳細信息,上次登錄信息以及已玩游戲的列表�����。ZDnet報告說�����,不清楚該服務器在網上暴露了多長時間,有多少用戶受到影響,是否有其他人訪問了泄漏的服務器以及是否通知客戶其個人數據被暴露了。
11. Canva數據泄露– 1.39億條記錄
2019年5月,《安全雜志》報道說�,圖形設計工具網站Canva遭受數據泄露���,影響了1.39億用戶����。公開的數據包括客戶用戶名��,真實姓名���,電子郵件地址����,密碼以及城市和國家/地區信息�����。此外��,在1.39億用戶中,有7800萬用戶的Gmail地址與他們的Canva帳戶相關聯。
據ZDnet稱����,負責此漏洞的黑客已在暗網上出售了9.32億用戶的數據�,這些數據是他們從全球44家公司中竊取的�����。
10. 中國求職者MongoDB數據泄露– 2.02億條記錄
2019年1月����,網絡安全公司Hacken的網絡安全專家兼研究員Bob Diachenko發現了一個854 GB的MongoDB數據庫�,其中包含202,730,434條有關中國求職者的記錄。數據包含候選人的技能和工作經驗�,以及個人識別信息���,例如電話號碼��,電子郵件地址,婚姻狀況��,政治傾向��,身高�,體重����,駕駛執照信息,薪資期望和其他高度個人數據。
中國的一家分類廣告公司BJ.58.com告訴Diachenko,數據來自第三方公司���,該公司從許多專業站點收集數據。迪亞琴科發現漏洞后約一周,數據庫得到了保護�。
9. 印度公民MongoDB數據庫-2.75億條記錄
2019年5月����,迪亞琴科再次透露他發現了一個MongoDB數據庫���,該數據庫暴露了275,265,298條包含高度PII的印度公民記錄���。該數據庫未受保護超過兩個星期�����。
迪亞琴科說�,托管在亞馬遜AWS上的可公開訪問的MongoDB數據庫包括姓名����,性別����,出生日期,電子郵件�,電話號碼����,學歷����,專業信息(雇主,工作經歷�����,技能和職能領域)以及當前薪水等信息��。
8. 第三方Facebook應用程序數據泄露– 5.4億條記錄
2019年4月����,UpGuard安全研究人員透露�,有兩個第三方開發的Facebook應用程序數據集已暴露于公共互聯網中。一個數據庫來自墨西哥的媒體公司Cultura Colectiva���,重達146 GB,其中有5.4億條記錄詳細記錄了評論��,喜歡���,反應��,帳戶名���,Facebook ID等�。
研究人員說���,另一個第三方應用“ At the Pool”通過Amazon S3存儲桶公開訪問了公共互聯網����。該數據庫備份包含用于用戶信息的列,例如用戶名ID���,朋友,喜歡�,音樂����,電影����,書籍,照片�����,事件�����,組���,簽到��,興趣,密碼等。
7. Dream Market Breach– 6.2億條記錄
2月���,《The Register》報道說,從16個被黑網站竊取的大約6.17億個在線帳戶詳細信息正在暗網中出售��。以下帳戶數據庫正在Dream Market上出售:
根據該報告�����,樣本帳戶記錄主要包括帳戶持有人姓名,電子郵件地址和密碼。這些密碼是經過哈希處理或單向加密的����,必須經過破解才能使用����。顯示的其他信息取決于站點��,包括位置個人詳細信息和社交媒體身份驗證令牌�。
6. “Collection #1”數據違規– 7.73億條記錄
一月份��,特洛伊·亨特(Troy Hunt)宣布他已經找到了一組電子郵件地址和密碼����,總計2,692,818,238行�,其中包括來自數千個不同來源的許多不同的個人數據泄露??偣灿?,160,253,228個電子郵件地址和密碼的唯一組合����。唯一電子郵件地址總計772,904,991�����。唯一密碼總計21,222,975�����。
多個人與Hunt取得聯系,并指示他前往云服務MEGA上的文件收集,該服務包含12,000多個單獨的文件和超過87GB的數據�。此外,他還指向了一個流行的黑客論壇�,該論壇正在發布數據�。在文件中��,亨特找到了自己的個人數據���,例如他多年以前使用的電子郵件地址和密碼�。
5. Verifications.io數據泄露– 8.08億條記錄
4月��,Diachenko和安全研究員Vinny Troia報告說����,他們已經找到了一個可公開訪問的MondoDB數據庫,該數據庫包含150 GB的詳細營銷數據����。該數據庫歸電子郵件驗證公司Verifications.io所有����,并在Diachenko與該公司聯系的同一天被下線�����。
該數據庫包含四個單獨的數據集合��,總計808,539,939條記錄。Diachenko說�,其中最大的部分名為“ mailEmailDatabase”����,并且其中包含三個文件夾:
電子郵件記錄(計數:798,171,891條記錄)
emailWithPhone(計數:4,150,600條記錄)
businessLeads(計數:6,217,358條記錄)
4. 首次美國數據泄露– 8.85億條記錄
7月��,美國最大的房地產所有權保險公司第一美國金融公司(First American Financial Corp.)的數據泄漏暴露了8.85億個人的交易記錄���。根據美國記者兼調查記者布萊恩·克雷布斯(Brian Krebs)的說法,《第一美國人》泄露了2003年以來與抵押交易相關的數億份文件��。
記錄包括銀行帳號和對帳單�����,抵押和稅務記錄����,社會保險號��,電匯收據和駕駛執照圖像��。Krebs說,使用Web瀏覽器的任何人都無需身份驗證即可獲得這些記錄����。
3. TrueDialog數據泄露–超過10億條記錄
本周早些時候��,vpnMentor,Noam Rotem和Ran Locar的網絡安全專家研究人員詳細介紹了美國通信公司TrueDialog數據庫泄漏的發現����。TrueDialog總部位于美國德克薩斯州奧斯汀�����,為大型和小型企業創建SMS解決方案,目前與990多家手機運營商合作��,在全球擁有超過50億用戶��。
研究人員說���,由Microsoft Azure托管并在美國Oracle Marketing Cloud上運行的TrueDialog數據庫包含604 GB的數據����。其中包括近10億個高度敏感的數據條目�。包含在數百萬條SMS消息中的敏感數據包括但不限于:
2. Orvibo泄漏的數據庫– 20億條記錄
7月����,Rotem和Locar發現了一個與Orvibo Smart Home產品鏈接的開放數據庫��,公開了超過20億條記錄。根據研究人員的說法�����,運行IoT平臺的Orvibo聲稱擁有大約一百萬用戶,其中包括使用Orvibo智能家居設備連接房屋,酒店和其他企業的私人用戶�。
數據泄露影響了來自世界各地的用戶�。Rotem和Locar為中國�,日本,泰國���,美國,英國��,墨西哥�����,法國����,澳大利亞和巴西的用戶找到了日志��。
他們首先于6月16日通過電子郵件聯系了Orvibo,并在未收到公司的消息后在公司上發了推文,提醒他們注意違規行為�。該數據庫開放了兩個多星期�。包括的數據類型:
電子郵件地址
密碼
帳戶重置代碼
精確的地理位置
IP地址
用戶名
用戶身份
姓
家庭ID
智能設備
訪問帳戶的設備
安排信息
1. 社交媒體資料數據泄漏– 40億條記錄
十月份���,Diachenko和Troia在不安全的服務器上發現了向公眾公開并易于訪問的大量數據�����,其中包含4 TB的PII�����,即大約40億條記錄。Troia和Diachenko表示����,所有數據集中的唯一身份人員總數已超過12億����,這是有史以來單一來源組織最大的數據泄露事件之一��。泄漏的數據包含姓名����,電子郵件地址���,電話號碼��,LinkedIN和Facebook個人資料信息�����。
發現的包含所有信息的ElasticSearch服務器未受保護����,可通過Web瀏覽器訪問。無需密碼或任何形式的身份驗證即可訪問或下載所有數據���。報告說,使這種數據泄漏獨特的原因在于�,它包含的數據集似乎來自兩個不同的數據充實公司��。
亨特(Hunt)在泄漏中發現了他的信息,他說:“我發現這種具有暴露性質的數據的重復主題越來越激怒了數據收集者以數據所有者(即我)的方式獲取和使用個人信息不同意�。這與人們可能選擇的發布數據渠道的公開程度無關�,而是關于數據在預期范圍之外的使用���?����!?/p>
江蘇國駿為您提供全面可信的信息安全服務
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
