2018年上半年十起数据泄露事件回顾

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

2018年上半年十起数据泄露事件回顾

2018年才只过去了一半,但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

对于信息安全来说,六个月可以说是一段很长的时间,因此在2018年上半年出现了大量的数据泄露事件,也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件,其中包括事件的故事本身以及遭泄露数据的数量。

10) Saks和 Lord & Taylor

  • 泄露数据500万条
  • 披露日期:2018年4月3日

3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9)PumpUp

  • 泄露数据600万条
  • 披露日期:2018年5月31日

5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。

8) Sacramento Bee

  • 泄露数据1950万条
  • 披露日期:2018年6月7日

今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7)Ticketfly

  • 泄露数据超过2700万条
  • 披露日期:2018年6月7日

5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。

6)Panera

  • 泄露数据3700万条
  • 披露日期:2018年4月2日

4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

5)Facebook

  • 泄露数据至少8700万条(尽管可能还有更多)
  • 披露日期:2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。

不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。

4) MyHeritage

  • 泄露数据超过9200万条
  • 披露日期:2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3)Under Armour

  • 泄露数据5亿条
  • 披露日期:2018年5月25日

3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。

据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2)Exactis

  • 泄露数据超过4亿条
  • 披露日期:2018年6月26日

安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

1)Aadhaar

  • 泄露数据11亿条
  • 披露日期:2018年1月3日

今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。不过,也只有时间才能够证明这是否属实。

CE安全网

发表评论

您必须登录才能发表评论!