2020 年数据泄露第一期：盘点 17 起数据泄露事件

DT 时代，数据安全至上。

最近一两年，数据泄露事件愈加频繁，受影响的用户不断增加，少则数千万，多达数亿乃至十几亿。不仅个人，而且企业、组织机构和国家政府不断陷入数据泄露。从金融、教育、医疗到科技，数据泄露涉及各行各业，影响深远。以月为单位，我们盘点和统计当月公开披露的数据泄露事件。一方面，用事实提醒广大网民，数据安全至关重要，关系到每个网民的切身利益，希望更多人能提高数据安全意识；另一方面，我们也希望为企业提供参考，进一步强化数据安全建设，做好用户隐私保护。（如果有更多建议，请于文末留言）

1.加密货币交易所 Poloniex 数据泄露

报道时间：1 月 2 日

大致情况：

2019 年 12 月 30 日，用户收到一封来自 Poloniex 加密货币交易所的邮件。据悉，邮件告知用户，公司发生数据泄露，包括用户名、密码等信息可能被泄露。该公司“强行”要求用户重置密码，保护用户免受鱼叉式网络钓鱼攻击。

数据泄露类型：用户名、密码等

泄露原因：未知

后续：邮件通知用户，要求用户重置密码

2.美国餐饮酒店公司 Landry 泄露客户支付卡数据

报道时间：1 月 2 月

大致情况：

据 tripwire 报道，餐饮、酒店和娱乐公司 Landry 通知客户遭遇未经授权访问的安全事件，可能会影响其支付卡数据。该公司透露，恶意软件感染其支付处理系统，可能泄露服务员在厨房和酒吧的订单输入系统中误刷的支付卡详细信息。

数据泄露类型：信用卡的号码、有效期、CVC 码和持卡人姓名等

泄露原因：网络攻击

后续：公司从系统中删除恶意软件，通知执法部门，并在计算机系统上实施新的安全措施，还为工作人员提供更多培训。

3.日本爱情酒店搜索引擎 HappyHotel 数据泄露

报道时间：1 月 6 日

大致情况：HappyHotel.jp 是一个类似于 Booking.com 的网站，它允许注册用户搜索和预定日本各地爱情酒店的房间。最近，它披露了一个安全漏洞，情况不容乐观。根据其官网发布的消息，HappyHotel 背后的公司 Almex 表示，去年 12 月 22 日，该公司检测到其服务器未经授权访问。据悉，黑客似乎已经掌握大量用户敏感信息。

数据泄露类型：

姓名、电子邮件地址、登录凭据（用户名和密码）、出生日期、性别信息、电话号码、家庭地址和支付卡详细信息等。

泄露原因：未经授权访问

后续：HappyHotel.jp 被暂时关闭

4.美国教育机构供应商 Active Network 数据泄露

报道时间：1 月 6 日

大致情况：

近日，美国教育机构供应商 Active Network 宣布其为学校提供的会计软件 Blue Bear 发现重大安全漏洞，大量用户信息被泄露。据悉，Blue Bear 云系统是 Active Network 专门为学校定制，帮助学校管理相关的活动基金。在这次攻击中，黑客先是获得 Blue Bear 云会计软件系统的访问权限，随后植入一个软件分离器，目的是收集用户的支付卡数据。

数据泄露类型：

用户姓名、支付卡号、支付卡到期日期、支付卡安全码以及商店用户名和密码等

泄露原因：黑客攻击

后续：调查此事，通知受影响的家长

5.在线零售商 Focus Camera 发生数据泄露

报道时间：1 月 7 日

大致情况：

在线零售商 Focus Camera 遭遇黑客攻击，被 Magecart 集团注入恶意代码，从而窃取用户信用卡信息。据悉，Magecart 是一个松散的攻击组织，针对 Ticketmaster、福布斯、英国航空公司（British Airways）、Newegg 等公司发起过支付卡攻击。一般来说，该组织通常会在一个 web 应用程序（通常是购物车）中插入虚拟信用卡分离器（也称为 formjacking），然后窃取信用卡信息，在黑市上出售。

数据泄露类型：

用户姓名、电子邮件、电话号码、地址（信用卡账单地址、收货地址）、信用卡信息（号码、有效期、CVV 码）

泄露原因：黑客攻击

后续：恶意代码被移除

6.美国 Alomere Health 医院发生信息泄露

报道时间：1 月 7 日

大致情况：

美国明尼苏达州 Alomere Health 医院被曝发生数据泄露。据悉，本次泄露暴露 49351 名患者的个人和医疗信息。而泄露原因则是该医院的两名员工的电子邮件账户遭到入侵。据了解，Alomere Health 是位于美国明尼苏达州亚历山大市的一家普通医疗外科医院，曾获得医疗机构认证计划（HFAP）的认可，拥有 III 级创伤中心，并两次被汤森路透评为百佳医院之一。

泄露数据类型：

患者姓名、地址、出生日期、病历号、健康保险信息以及诊断和治疗详细信息

泄露原因：未经授权访问

后续：医院提升员工电子邮件的安全，增加安全防护、员工培训

7.CheckPeople 的中国服务器暴露了 5625 万美国居民信息

报道时间：1 月 10 日

大致情况：

据悉，一名代号为 Lynx 的白帽黑客发现，一个包含 5625 万美国公民个人信息的数据库在网上公开。而该数据库属于 CheckPeople.com 网站，并且数据库被绑定在一个拥有中国 IP 地址的服务器上。

数据泄露类型：

当前和曾用地址、电话号码、电子邮件地址、亲属姓名，在某些情况下甚至有犯罪记录

泄露原因：未知

后续：未知

8.美国数据经纪商 LimeLeads 泄露 4900 万条用户记录

报道时间：1 月 15 日

大致情况：

据 Security Affairs 报道，美国数据经纪商 LimeLeads 的 4900 万条用户记录在一个黑客论坛上被出售，这些数据在 Elasticsearch 服务器上公开。该公司错误配置 Elasticsearch 服务器，并无意将其在线公开，允许任何人访问其内容。

数据泄露类型：

全名、职务、用户电子邮件、雇主或公司名称、公司地址、城市、州、邮政编码、电话号码、网站 URL、公司总收入以及公司的预计雇员人数。

泄露原因：数据库配置错误

后续：未知

9.澳大利亚 P&N 银行发生数据泄露

报道时间：1 月 15 日

影响人数：10 万

大致情况：

据悉，西澳大利亚州 P&N Bank 在服务器升级期间遭遇网络攻击，发生数据泄露。作为西澳大利亚州最大银行，该银行提供储蓄、贷款产品、保险和财务规划服务，拥有 14 家分行。本次攻击中，该银行客户关系管理系统中的个人信息和敏感账户信息被泄露。黑客从网络攻击中窃取 10 万西澳大利亚人的信息。

数据泄露类型：

客户姓名、年龄、居住地址、电子邮件地址、电话号码、客户编号、银行帐号及帐户余额

泄露原因：黑客攻击

后续：银行关闭漏洞源，并与其他机构合作调查此事

10.加拿大网上药店 PlanetDrugsDirect 客户信息泄露

报道时间：1 月 15 日

影响人数：近 40 万

大致情况：

1 月 15 日，有媒体报道，加拿大网上药店 PlanetDrugsDirect 通过电子邮件通知客户发生数据泄露事故。通知称，数据泄露可能影响客户的个人敏感信息和财务信息。据悉，PlanetDrugsDirect 的客户数量大约为 40 万，本次的泄露数据包括姓名、住址、电子邮件地址等。PlanetDrugsDirect 称事故处于调查中，将尽快向客户提供更多详细信息。

泄露数据类型：

姓名、家庭住址、电子邮件地址、电话号码、支付信息和医疗信息

泄露原因：未知

11.PussyCash 遭遇数据泄露

报道时间：1 月 15 日

大致情况：

VPN Mentor 的安全研究者表示，他们在 PussyCash 位于弗吉尼亚州的亚马逊 S3 bucket 发现一起数据泄露，包含 19.95GB 的可见数据。作为一个会员制网站，PussyCash 的母公司 IML SLU 还拥有 ImLive 等成人网站品牌。本次数据泄露曝光了超过 87.5 万个文件中的 4000 多组个人数据，非常严重。仅在网络聊天平台 ImLive 上，就拥有 6600 万注册会员，更别提其他数十个网站。

数据泄露类型：

全名、生日、出生地、公民身份、籍贯、护照 / 身份证件号码、护照签发日 / 有效期、注册性别、证件照、个人签名、父母全名、指纹等敏感信息

泄露原因：未知

后续：未知

12.美国儿童服装品牌 Hanna Andersson 数据泄露

报道时间：1 月 20 日

大致情况：

据悉，美国著名儿童服装制造及在线零售商 Hanna Andersson 披露一起数据泄露事件，其在线购物平台遭受 Magecart 攻击，黑客部署了恶意代码，窃取客户近两个月的付款信息。

数据泄露类型：

姓名、购物地址、信用卡账单地址、信用卡号码、CVV 码等

泄露原因：黑客攻击

后续：公司的在线购物平台被保护起来并被加固，公司还协助执法部门进行调查

13.乌克兰政府招聘官网发生求职人员信息泄露

报道时间：1 月 21 日

大致情况：

乌克兰政府招聘门户官网近日被曝出信息泄露事件。据悉，乌克兰网络联盟非营利组织的一名成员率先发现数据泄漏事件，并将其报告给国家安全与国防委员会。乌克兰官员表示，公开的信息包括密码副本和其他一些文件。

数据泄露类型：全名、地址、身份证件扫描、护照扫描件、文凭和其他毕业文件。

泄露原因：未知

后续：官方称“漏洞被修复”

14.微软泄露 2.5 亿条客户支持记录和 PII（个人验证信息）

报道时间：1 月 23 日

大致情况：

一名研究者 Bob Diachenko 发现一个未受保护的数据库，它拥有超过 2.5 亿客户支持记录和 PII。微软确认，由于数据库的错误配置，其客户服务和支持（CSS）记录在网上公开。微软已经解决此问题，并采取措施防止类似事情再次发生。

数据泄露类型：用户电子邮件地址、IP 地址、位置、CSS 声明和案例的描述、案例编号、解决方案和备注等

泄露原因：数据库配置错误

后续：问题被解决

15.THSuite 公司泄露大量大麻用户信息

报道时间：1 月 23 日

大致情况：

外媒披露，美国用于医疗和休闲大麻药房的数据库支持销售系统 THSuite 发生数据泄露，影响 3 万名用户。据悉，VPNMentor 研究团队在网上发现一个不安全的 Amazon S3 bucket，该数据库为 THSuite 所有。研究人员称，本次事件泄露了美国大麻用户的敏感信息，超过 85000 个文件被暴露。

数据泄露类型：姓名、出生日期、电话号码、家庭地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据等

泄露原因：公开的数据库

后续：数据库被关闭

16.SextPanther 网站发生数据泄露

报道时间：1 月 25 日

大致情况：

总部位于美国亚利桑那州的 SextPanther 遭遇严重数据泄露，导致成千上万人的隐私信息被曝光。据悉，SextPanther 是一个成人网站，它在一个公开的亚马逊 AWS 存储桶中存储了近 1.1 万的身份证明文件，无需输入密码，即可公开访问。泄露的信息包括姓名、家庭住址、出生日期等。

数据泄露类型：

姓名、家庭住址、出生日期、生物识别特征、照片，甚至护照、驾驶执照、以及社保账号

泄露原因：未知

后续：该存储库被保护，公司进行调查

17.Wawa 发生大规模数据泄露

报道时间：1 月 28 日

大致情况：

据 ZDNet 报道，超过 3000 万美国人的支付卡详细信息被黑客挂在网上出售。据悉，信用卡数据来自 Wawa，它是美国一家便利店公司。此前一个月，Wawa 披露一起重大泄露事件，公司承认黑客在其 POS 系统植入恶意软件。恶意软件会收集使用信用卡或借记卡在便利店和加气站购物的用户的信息。本次泄露涉及该公司的 860 家便利店。

数据泄露类型：支付卡信息

泄露原因：恶意软件

后续：恶意软件被删除

根据公开不完全统计，2020 年 1 月发生 17 起数据泄露事件。从受泄露影响的人数看，跨度大，少则几万人，多则千万，比如美国 Alomere Health 医院的信息泄露影响近 5 万人，而微软则泄露 2.5 亿条客户支持记录和 PII（个人验证信息）；其次，泄露数据内容详细，维度多，颗粒度细，例如美国数据经纪商 LimeLeads 的数据泄露涉及 12 种个人信息。

从泄露原因来看，除部分原因未知外，有 6 起数据泄露源于黑客攻击，涉及教育、金融、在线零售和酒店行业。此外，3 起是因为数据库配置错误，2 起数据泄露源于未经授权访问。

针对本月数据泄露事件，深圳网安集团副总工程师黄伟杰认为：

近年来，企业数据泄漏事件层出不穷，大有愈演愈烈的趋势，究其原因大概有以下几个方面：

（一）企业数字化转型后，大量业务互联网化，用户业务数据和个人数据被在线统一收集、交易和存储，一旦网络安全保障能力和数据防护意识不足的话，容易受到黑客的攻击入侵，窃取数据。

（二）部分企业为提高自身的市场竞争力，精准定向向用户推销业务，通过从黑客或窃取者手上购买、交易等不法方式，获取大量用户数据。

（三）个人信息隐私保护、数据安全保护等法律法规不完善，不法犯罪分子有恃无恐，而仍然有很多企业未真正重视和履行网络安全保障义务。

可以说，随着数据的价值体现越来越明显，数据的需求日益增大，有需求就有市场，数据泄漏可能成为一种常态，建议国家监管机构尽快推出相关法律，加强数据贩卖、窃取的违法犯罪行为的打击力度；作为企业则建议提高数据防护与个人数据隐私保护意识，增大相关资源投入，提升数据安全保障水平。