AICon议程上新60%,阿里国际、360智脑、科大讯飞、蔚来汽车分享大模型探索与实践 了解详情
写点什么

2020 年数据泄露第一期:盘点 17 起数据泄露事件

  • 2020-03-29
  • 本文字数:4870 字

    阅读完需:约 16 分钟

2020年数据泄露第一期:盘点17起数据泄露事件


DT 时代,数据安全至上。


最近一两年,数据泄露事件愈加频繁,受影响的用户不断增加,少则数千万,多达数亿乃至十几亿。不仅个人,而且企业、组织机构和国家政府不断陷入数据泄露。从金融、教育、医疗到科技,数据泄露涉及各行各业,影响深远。以月为单位,我们盘点和统计当月公开披露的数据泄露事件。一方面,用事实提醒广大网民,数据安全至关重要,关系到每个网民的切身利益,希望更多人能提高数据安全意识;另一方面,我们也希望为企业提供参考,进一步强化数据安全建设,做好用户隐私保护。(如果有更多建议,请于文末留言)

1.加密货币交易所 Poloniex 数据泄露

报道时间:1 月 2 日


大致情况:


2019 年 12 月 30 日,用户收到一封来自 Poloniex 加密货币交易所的邮件。据悉,邮件告知用户,公司发生数据泄露,包括用户名、密码等信息可能被泄露。该公司“强行”要求用户重置密码,保护用户免受鱼叉式网络钓鱼攻击。


数据泄露类型:用户名、密码等


泄露原因:未知


后续:邮件通知用户,要求用户重置密码

2.美国餐饮酒店公司 Landry 泄露客户支付卡数据

报道时间:1 月 2 月


大致情况:


据 tripwire 报道,餐饮、酒店和娱乐公司 Landry 通知客户遭遇未经授权访问的安全事件,可能会影响其支付卡数据。该公司透露,恶意软件感染其支付处理系统,可能泄露服务员在厨房和酒吧的订单输入系统中误刷的支付卡详细信息。


数据泄露类型:信用卡的号码、有效期、CVC 码和持卡人姓名等


泄露原因:网络攻击


后续:公司从系统中删除恶意软件,通知执法部门,并在计算机系统上实施新的安全措施,还为工作人员提供更多培训。

3.日本爱情酒店搜索引擎 HappyHotel 数据泄露


报道时间:1 月 6 日


大致情况:HappyHotel.jp 是一个类似于 Booking.com 的网站,它允许注册用户搜索和预定日本各地爱情酒店的房间。最近,它披露了一个安全漏洞,情况不容乐观。根据其官网发布的消息,HappyHotel 背后的公司 Almex 表示,去年 12 月 22 日,该公司检测到其服务器未经授权访问。据悉,黑客似乎已经掌握大量用户敏感信息。


数据泄露类型:


姓名、电子邮件地址、登录凭据(用户名和密码)、出生日期、性别信息、电话号码、家庭地址和支付卡详细信息等。


泄露原因:未经授权访问


后续:HappyHotel.jp 被暂时关闭

4.美国教育机构供应商 Active Network 数据泄露

报道时间:1 月 6 日


大致情况:


近日,美国教育机构供应商 Active Network 宣布其为学校提供的会计软件 Blue Bear 发现重大安全漏洞,大量用户信息被泄露。据悉,Blue Bear 云系统是 Active Network 专门为学校定制,帮助学校管理相关的活动基金。在这次攻击中,黑客先是获得 Blue Bear 云会计软件系统的访问权限,随后植入一个软件分离器,目的是收集用户的支付卡数据。


数据泄露类型:


用户姓名、支付卡号、支付卡到期日期、支付卡安全码以及商店用户名和密码等


泄露原因:黑客攻击


后续:调查此事,通知受影响的家长

5.在线零售商 Focus Camera 发生数据泄露


报道时间:1 月 7 日


大致情况:


在线零售商 Focus Camera 遭遇黑客攻击,被 Magecart 集团注入恶意代码,从而窃取用户信用卡信息。据悉,Magecart 是一个松散的攻击组织,针对 Ticketmaster、福布斯、英国航空公司(British Airways)、Newegg 等公司发起过支付卡攻击。一般来说,该组织通常会在一个 web 应用程序(通常是购物车)中插入虚拟信用卡分离器(也称为 formjacking),然后窃取信用卡信息,在黑市上出售。


数据泄露类型:


用户姓名、电子邮件、电话号码、地址(信用卡账单地址、收货地址)、信用卡信息(号码、有效期、CVV 码)


泄露原因:黑客攻击


后续:恶意代码被移除

6.美国 Alomere Health 医院发生信息泄露

报道时间:1 月 7 日


大致情况:


美国明尼苏达州 Alomere Health 医院被曝发生数据泄露。据悉,本次泄露暴露 49351 名患者的个人和医疗信息。而泄露原因则是该医院的两名员工的电子邮件账户遭到入侵。据了解,Alomere Health 是位于美国明尼苏达州亚历山大市的一家普通医疗外科医院,曾获得医疗机构认证计划(HFAP)的认可,拥有 III 级创伤中心,并两次被汤森路透评为百佳医院之一。


泄露数据类型:


患者姓名、地址、出生日期、病历号、健康保险信息以及诊断和治疗详细信息


泄露原因:未经授权访问


后续:医院提升员工电子邮件的安全,增加安全防护、员工培训

7.CheckPeople 的中国服务器暴露了 5625 万美国居民信息

报道时间:1 月 10 日


大致情况:


据悉,一名代号为 Lynx 的白帽黑客发现,一个包含 5625 万美国公民个人信息的数据库在网上公开。而该数据库属于 CheckPeople.com 网站,并且数据库被绑定在一个拥有中国 IP 地址的服务器上。


数据泄露类型:


当前和曾用地址、电话号码、电子邮件地址、亲属姓名,在某些情况下甚至有犯罪记录


泄露原因:未知


后续:未知

8.美国数据经纪商 LimeLeads 泄露 4900 万条用户记录

报道时间:1 月 15 日


大致情况:


据 Security Affairs 报道,美国数据经纪商 LimeLeads 的 4900 万条用户记录在一个黑客论坛上被出售,这些数据在 Elasticsearch 服务器上公开。该公司错误配置 Elasticsearch 服务器,并无意将其在线公开,允许任何人访问其内容。


数据泄露类型:


全名、职务、用户电子邮件、雇主或公司名称、公司地址、城市、州、邮政编码、电话号码、网站 URL、公司总收入以及公司的预计雇员人数。


泄露原因:数据库配置错误


后续:未知

9.澳大利亚 P&N 银行发生数据泄露

报道时间:1 月 15 日


影响人数:10 万


大致情况:


据悉,西澳大利亚州 P&N Bank 在服务器升级期间遭遇网络攻击,发生数据泄露。作为西澳大利亚州最大银行,该银行提供储蓄、贷款产品、保险和财务规划服务,拥有 14 家分行。本次攻击中,该银行客户关系管理系统中的个人信息和敏感账户信息被泄露。黑客从网络攻击中窃取 10 万西澳大利亚人的信息。


数据泄露类型:


客户姓名、年龄、居住地址、电子邮件地址、电话号码、客户编号、银行帐号及帐户余额


泄露原因:黑客攻击


后续:银行关闭漏洞源,并与其他机构合作调查此事

10.加拿大网上药店 PlanetDrugsDirect 客户信息泄露

报道时间:1 月 15 日


影响人数:近 40 万


大致情况:


1 月 15 日,有媒体报道,加拿大网上药店 PlanetDrugsDirect 通过电子邮件通知客户发生数据泄露事故。通知称,数据泄露可能影响客户的个人敏感信息和财务信息。据悉,PlanetDrugsDirect 的客户数量大约为 40 万,本次的泄露数据包括姓名、住址、电子邮件地址等。PlanetDrugsDirect 称事故处于调查中,将尽快向客户提供更多详细信息。


泄露数据类型:


姓名、家庭住址、电子邮件地址、电话号码、支付信息和医疗信息


泄露原因:未知

11.PussyCash 遭遇数据泄露


报道时间:1 月 15 日


大致情况:


VPN Mentor 的安全研究者表示,他们在 PussyCash 位于弗吉尼亚州的亚马逊 S3 bucket 发现一起数据泄露,包含 19.95GB 的可见数据。作为一个会员制网站,PussyCash 的母公司 IML SLU 还拥有 ImLive 等成人网站品牌。本次数据泄露曝光了超过 87.5 万个文件中的 4000 多组个人数据,非常严重。仅在网络聊天平台 ImLive 上,就拥有 6600 万注册会员,更别提其他数十个网站。


数据泄露类型:


全名、生日、出生地、公民身份、籍贯、护照 / 身份证件号码、护照签发日 / 有效期、注册性别、证件照、个人签名、父母全名、指纹等敏感信息


泄露原因:未知


后续:未知

12.美国儿童服装品牌 Hanna Andersson 数据泄露

报道时间:1 月 20 日


大致情况:


据悉,美国著名儿童服装制造及在线零售商 Hanna Andersson 披露一起数据泄露事件,其在线购物平台遭受 Magecart 攻击,黑客部署了恶意代码,窃取客户近两个月的付款信息。


数据泄露类型:


姓名、购物地址、信用卡账单地址、信用卡号码、CVV 码等


泄露原因:黑客攻击


后续:公司的在线购物平台被保护起来并被加固,公司还协助执法部门进行调查

13.乌克兰政府招聘官网发生求职人员信息泄露

报道时间:1 月 21 日


大致情况:


乌克兰政府招聘门户官网近日被曝出信息泄露事件。据悉,乌克兰网络联盟非营利组织的一名成员率先发现数据泄漏事件,并将其报告给国家安全与国防委员会。乌克兰官员表示,公开的信息包括密码副本和其他一些文件。


数据泄露类型:全名、地址、身份证件扫描、护照扫描件、文凭和其他毕业文件。


泄露原因:未知


后续:官方称“漏洞被修复”

14.微软泄露 2.5 亿条客户支持记录和 PII(个人验证信息)

报道时间:1 月 23 日


大致情况:


一名研究者 Bob Diachenko 发现一个未受保护的数据库,它拥有超过 2.5 亿客户支持记录和 PII。微软确认,由于数据库的错误配置,其客户服务和支持(CSS)记录在网上公开。微软已经解决此问题,并采取措施防止类似事情再次发生。


数据泄露类型:用户电子邮件地址、IP 地址、位置、CSS 声明和案例的描述、案例编号、解决方案和备注等


泄露原因:数据库配置错误


后续:问题被解决

15.THSuite 公司泄露大量大麻用户信息

报道时间:1 月 23 日


大致情况:


外媒披露,美国用于医疗和休闲大麻药房的数据库支持销售系统 THSuite 发生数据泄露,影响 3 万名用户。据悉,VPNMentor 研究团队在网上发现一个不安全的 Amazon S3 bucket,该数据库为 THSuite 所有。研究人员称,本次事件泄露了美国大麻用户的敏感信息,超过 85000 个文件被暴露。


数据泄露类型:姓名、出生日期、电话号码、家庭地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据等


泄露原因:公开的数据库


后续:数据库被关闭

16.SextPanther 网站发生数据泄露

报道时间:1 月 25 日


大致情况:


总部位于美国亚利桑那州的 SextPanther 遭遇严重数据泄露,导致成千上万人的隐私信息被曝光。据悉,SextPanther 是一个成人网站,它在一个公开的亚马逊 AWS 存储桶中存储了近 1.1 万的身份证明文件,无需输入密码,即可公开访问。泄露的信息包括姓名、家庭住址、出生日期等。


数据泄露类型:


姓名、家庭住址、出生日期、生物识别特征、照片,甚至护照、驾驶执照、以及社保账号


泄露原因:未知


后续:该存储库被保护,公司进行调查

17.Wawa 发生大规模数据泄露

报道时间:1 月 28 日


大致情况:


据 ZDNet 报道,超过 3000 万美国人的支付卡详细信息被黑客挂在网上出售。据悉,信用卡数据来自 Wawa,它是美国一家便利店公司。此前一个月,Wawa 披露一起重大泄露事件,公司承认黑客在其 POS 系统植入恶意软件。恶意软件会收集使用信用卡或借记卡在便利店和加气站购物的用户的信息。本次泄露涉及该公司的 860 家便利店。


数据泄露类型:支付卡信息


泄露原因:恶意软件


后续:恶意软件被删除


根据公开不完全统计,2020 年 1 月发生 17 起数据泄露事件。从受泄露影响的人数看,跨度大,少则几万人,多则千万,比如美国 Alomere Health 医院的信息泄露影响近 5 万人,而微软则泄露 2.5 亿条客户支持记录和 PII(个人验证信息);其次,泄露数据内容详细,维度多,颗粒度细,例如美国数据经纪商 LimeLeads 的数据泄露涉及 12 种个人信息。


从泄露原因来看,除部分原因未知外,有 6 起数据泄露源于黑客攻击,涉及教育、金融、在线零售和酒店行业。此外,3 起是因为数据库配置错误,2 起数据泄露源于未经授权访问。


针对本月数据泄露事件,深圳网安集团副总工程师黄伟杰认为:


近年来,企业数据泄漏事件层出不穷,大有愈演愈烈的趋势,究其原因大概有以下几个方面:


(一)企业数字化转型后,大量业务互联网化,用户业务数据和个人数据被在线统一收集、交易和存储,一旦网络安全保障能力和数据防护意识不足的话,容易受到黑客的攻击入侵,窃取数据。


(二)部分企业为提高自身的市场竞争力,精准定向向用户推销业务,通过从黑客或窃取者手上购买、交易等不法方式,获取大量用户数据。


(三)个人信息隐私保护、数据安全保护等法律法规不完善,不法犯罪分子有恃无恐,而仍然有很多企业未真正重视和履行网络安全保障义务。


可以说,随着数据的价值体现越来越明显,数据的需求日益增大,有需求就有市场,数据泄漏可能成为一种常态,建议国家监管机构尽快推出相关法律,加强数据贩卖、窃取的违法犯罪行为的打击力度;作为企业则建议提高数据防护与个人数据隐私保护意识,增大相关资源投入,提升数据安全保障水平。


2020-03-29 07:009161
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 355.2 次阅读, 收获喜欢 1799 次。

关注

评论 2 条评论

发布
用户头像
那我们作为互联网用户如何保护自己的信息安全呢?
2020-03-29 08:20
回复
提高个人数据安全意识。之后,我会出一篇有实操性的文章,到时可以看看。
2020-03-29 10:33
回复
没有更多了
发现更多内容

FreeRTOS记录(八、用软件定时器?还是硬件定时器?)

矜辰所致

软件定时器 FreeRTOS 9月月更

SpringBoot源码 | refreshContext方法解析

六月的雨在InfoQ

源码 springboot 源码阅读 9月月更 refreshContext

百度App Android启动性能优化-工具篇

百度Geek说

android 性能优化 企业号九月金秋榜

关关难过关关过!2022年BAT面试通关秘籍:面前规划+面试题集+简历优化+面经分享等!

收到请回复

Java 云计算 开源 架构 编程语言

手把手教大家编译 flowable 源码

江南一点雨

Java workflow flowable

从零到一构建完整知识体系,阿里最新SpringBoot原理最佳实践真香

程序员小毕

Java spring 源码 面试 SpringBoot 2

阿里大佬力荐6篇实战文档:JVM+多线程+Kafka+Redis+Nginx+MySQL,你确定不看?

收到请回复

Java 云计算 开源 架构 编程语言

全新演绎!美团内部疯传Spring Boot速成手册也太香了叭!

收到请回复

Java 云计算 开源 架构 编程语言

亿级日志队列回放性能测试初探

FunTester

预约直播 | 大规模稀疏模型演进与DeepRec

阿里云大数据AI技术

开源项目 AI技术 模型稀疏训练

关于用户 email 邮件地址是否允许有加号的问题

汪子熙

typescript 正则表达式 邮件 9月月更 输入校验

华为云快成长直播ERP专场,以数据驱动企业智慧变革

科技怪咖

推荐|海泰国密通信安全解决方案 助力用户实现安全合规

电子信息发烧客

京东金融客户端用户触达方式的探索与实践

京东科技开发者

京东 用户 用户触达 widget 推送

为什么阿里人成长速度极快?看完他们 Java 架构进化笔记,值得学习

Java-fenn

Java 程序员 java面试 Java学习 Java面试题

算法基础(二)| 高精度算法详解

timerring

算法 9月月更

“双减”一年,如何让教育回归本质?

旺链科技

区块链 产业区块链 企业号九月金秋榜 教培行业

重磅!阿里首推内部“SpringCloudAlibaba项目文档”这细节讲解,封神!

收到请回复

Java 云计算 开源 架构 编程语言

HUAWEI DevEco Testing注入攻击测试:以攻为守,守护OpenHarmony终端安全

OpenHarmony开发者

OpenHarmony

“大厂”角力移动办公系统市场,钉钉和企微向左、WorkPlus向右

WorkPlus

面试造火箭!连续轰炸50问,我却靠这些"java复习宝典"一一攻克!

收到请回复

Java 云计算 开源 架构 编程语言

Paper Time|开放式时空大数据助力智能公交路线规划

OceanBase 数据库

漏洞修复实用指南

SEAL安全

开源 漏洞 安全漏洞 漏洞修复 开源漏洞

【指针内功修炼】字符指针 + 指针数组 + 数组指针 + 指针参数(一)

Albert Edison

C语言 二维数组 9月月更 指针数组 数组指针

变革加速,博睿数据赋能“中国智造”转型升级

博睿数据

可观测性 智能运维 博睿数据

华为云快成长直播间大数据&AI专场,加速经济物联网智能化提升

科技怪咖

小红书自研小程序:电商体验与效果优化的运行时体系设计

小红书技术REDtech

小程序 前端 小程序运行时

一文带你体验MRS HetuEngine如何实现跨源跨域分析

华为云开发者联盟

大数据 后端 企业号九月金秋榜

高并发之缓存

源字节1号

软件开发

阿里云张新涛:连接产业上下游,构建XR协作生态

阿里云弹性计算

交互 XR 视觉计算 沉浸式体验

如何设计企业级数据埋点采集方案?

字节跳动数据平台

数据分析 用户增长 埋点 数据应用 埋点设计

2020年数据泄露第一期:盘点17起数据泄露事件_安全_万佳_InfoQ精选文章