信息来源于网络
细嗅如蔷薇,防患于未然。
1月
3万名澳大利亚公务员个人信息被盗,包括工作邮件、电话和职位名称。(网络攻击)
一家名为Voipo的互联网语音服务提供商通信提供商被爆泄露了价值数十亿美元的客户数据。Voipo提供面向住宅和商用的电话服务,并且支持云端控制。迄今已有 700 万通话和600 万短信纪录、以及其它包含未加密密码的内部文档被泄露。
Twitter出现了一条关于超过2亿份简历数据泄露的推文。这些简历全部来自中国,内容非常详细,包括姓名、电子邮箱、电话、性别、婚姻状况、政治面貌、工作技能、工作经历等。
俄克拉何马州证监会泄露数据高达3TB,包含数百万个敏感的政府文件和FBI调查报告。此外,还有十万雇员的社会保险号、姓名和地址,远程访问工作站的凭证以及通信记录。
一家数据收集德语网站分两次公布了收集到的数据信息,第一次包括7.7亿唯一邮件ID,以及2200万用户名和口令。第二次包括22亿用户名和口令,以及845GB失窃数据。(网上收集)
一个未做口令保护的ES数据库暴露在网上,包括社会保险号、姓名、电话、地址、信用记录,以及银行贷款等51G的敏感数据。(缺乏安全措施)
2月
一位程序员对媒体表示,阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成至少 40 家以上企业的 200 多个项目代码泄露,其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴 ecarx 等知名企业。
邮件验证服务公司Verification.io的一个150GB的MongoDB数据库暴露在互联网,共8.08亿条记录。其中包含电子邮件、生日、电话、地址、员工信息、IP地址、业务信息以及其它纯文本记录。该公司经营地址可能在爱沙尼亚,此事发生后, Verification.io的域名已不再运营。(配置错误)
一份包含从16个网站盗窃的6.17亿个在线账户在暗网售卖,标价近价值2万美元的比特币。
国内某人脸识别公司发生大规模数据泄露事件。超过250万人的680万条记录泄露,其中包括身份证信息,人脸识别图像及捕捉地点等。
瑞典医疗服务承包商MediCall将一份包含270万电话记录时长约17万小时的数据库曝露在公网,该数据库记录了2013年以来拨打的医疗咨询电话,无需任何认证即可通过浏览器访问。
一个4.4GB大小包含200多万记录的ES数据库曝露在AWS上,这是一份道琼斯观察列表,包括政治曝光人物、政府制裁目录、高级罪犯及其相关联人员,以及联邦机构所做的记录等信息。
3月
https://www.computing.co.uk/ctg/news/3072008/unprotected-mongodb-databases-expose-details-of-millions-of-accounts-on-six-social-platforms-in-china
一个没有口令保护的MongoDB邮件数据库曝露在网上,该数据库150GB大小,四个分离的数据集包含8亿多条记录。
软件制造商Citrix发布声明称遭到黑客攻击,存储在其企业网络中约6-10TB敏感数据被泄露,泄露文件主要与美国联邦调查局(FBI)、NASA、沙特阿拉伯国有石油公司有关,包含电子邮件通信内容、网络共享文件及用于项目管理和采购的其他服务。(网络攻击)
Facebook承认把“数百万计”的用户口令未经加密的曝露在Facebook的几个内部系统上,但并无口令被滥用的证据显示。(内部疏忽)
美国应急管理部承认,错误的把230万遭受到飓风、火灾幸存者的银行信息与个人信息发给了承包商。(内部疏忽)
丰田公司承认其一台存储310万客户信息的服务器被非法访问,数据包括姓名、地址、生日、职业以及其他信息。
国外安全研究者在中国网络上发现了一个带有180万女性信息的数据库。该数据库包含了年龄、地址、电话、婚姻状态,甚至有一个“适孕状态”的属性。这180万女性平均年龄32岁,年龄最大为95岁,最小为15岁;并且89%未婚,10%离异,1%丧偶。
4月
微软Asure云上的一个未确定权属且未经保护的数据库暴露,影响占美国65%近8000万美国家庭。这个24GB数据量的数据库,家庭成员的全名、婚姻状况、收入、年龄等高度敏感信息。(配置错误)
Android网络热点搜寻应用程序WiFi Finder被曝泄露了200多万个网络的WiFi密码。数据库中的每条记录都包含了WiFi网络名称、精确的地理位置、基本服务集标识符(BSSID)和明文存储的网络密码。(配置错误)
研究人员发现了八个不安全的数据库泄露了约6000万条领英用户信息记录。总大小为229 GB,具体信息包含ID、个人资料网址、工作经历、教育经历、住址、技能、其他社交个人资料以及个人资料上次更新的时间,甚至还包含受害者在注册领英帐户时使用的电子邮件地址。
一个在伊朗运营的专车服务公司的数据库泄露,大量伊朗司机的敏感信息,总泄漏量超过670万条记录。暴露的记录中包括驾驶员的名字和姓氏,SSN(10位伊朗身份证号码),电话号码和发票日期。(配置错误)
世界第二大液化石油气营销商印度Indane公司被曝发生数据泄露事件。此次泄露的数据规模达到700万条,泄露的用户数据包括消费者姓名、地址、邮件、手机号码等;泄露的经销商信息包括银行账号、银行名称、绑定银行的收集号码等。(缺乏安全措施)
5月
医疗偿债公司AMCA两个最大客户,1960万患者数据被未授权访问,包括社会保险号、银行账户、信用与医疗信息,并波及到其他21家医疗机构至少2440万人。泄露事件发生后,AMCA申请破产保护。(供应链)
医疗机构Quest Diagnostics网站被黑客攻击,盗走1190万的客户数据。包括社会保险码、银行账户、信用卡号,以及医疗记录等。(网络攻击)
图片社交网站Instagram,一个在AWS上的数据库可无口令访问,4900万大V级用户的信息泄露,包括个人简介、图片、粉丝数、地理位置、邮件、电话等联系方式。(配置错误)
在线图形设计工具网站Canva约1.39亿注册用户信息被盗,包括用户名、真实姓名、邮件、所在城市/国家等。(网络攻击)
6月
数据整合与大数据管理公司在AWS S3存储桶上至少1TB以上的数据曝露,包括邮件、业务文档、员工OneDrive账户、口令、市场与销售合同等信息。Attunity为全球50强企业服务,客户超过2000家企业。(配置错误)
美国国海关和边境保护局 (CBP) 发现一家技术分包商擅自将车牌扫描图像和驾驶员照片复制到自己的网络中,从而被黑客入侵并成功窃取。此次被盗文件达数百GB,包括ERP数据、HR记录、内部电子邮件、数据库、文档和客户端详细信息、商业计划、财务数据、备份、音乐以及个人信息等。(供应链第)
7月
AWS一名前雇员非正常访问到1亿美国公民和6百万加拿大居民的个人信息。包括姓名、地址、出生日期、信用评级、支付记录等信息,以及在美国Capital One申请信用卡的个人数据,申请时间最早可追溯到2005年。包括14万人的社会保险号和8万信用卡用户的银行账户数据。(漏洞及配置错误)
全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。国内共有18家凯悦酒店可能会受到此次数据泄露事件的影响。
美国迈阿密和其他一些城市警方约1TB的警察执勤时所拍摄的随身摄像数据在暗网流传。影像数据的记录时间可追溯到2018年。
在线教育平台K12.com数据库在互联网上曝露,近700万学生的个人信息泄露,包括姓名、电子邮件地址、出生日期、性别、学校、账户身份验证密钥和其他内部数据。美国1100多个学区使用K12。(配置错误)
8月
医疗影像与通信系统PACS由于老旧协议,缺乏安全措施,致使2400万患者数据和7.37亿张影像曝露在网上。(缺乏安全措施)
全球知名网站托管商Hostinger一台数据服务器遭到未经授权访问,影响1400万Hostinger用户。此次泄露的数据库包括用户的注册邮箱、散列密码、用户名、真实姓名、家庭住址以及手机号码等。
生物识别平台BioStar2超过2780万记录泄露,数据量达23GB,包括指纹、人脸识别和用户图片、未加密的用户名和口令,以及员工数据等。
汽车交易公司Dealer Leads的一个数据量为413GB的ES数据库在其网站上可被公开访问,包括买家信息、贷款交易、访问者日志IP等1.98亿条记录。(配置错误)
一台包含Facebook用户4.19亿个电话号的数据库在网上曝露,且没有设置口令。其中美国1.33亿用户,英国1800万用户,越南5000万用户。(缺乏安全措施)
9月
游戏巨头世嘉再次曝出信息泄露事件,其猜词游戏“Words with Friends”的2.18亿玩家姓名、电子邮件、电话、口令(哈希)和FacebookID泄露。
厄瓜多尔一个错误配置的ES数据库曝露在网上,该数据库有18GB的数据量,2080万个人数据记录。包括全名、性别、生日、出生地、家庭与邮件地址、教育程度、结婚日期、死亡日期等详细信息,均由一个10位的国家身份号标识。
一个存有2000万条俄罗斯公民纳税记录的ES数据库可公开访问,数据包括纳税人姓名、地址、居留身份、护照号码、电话号码、税号、雇主姓名及其电话号,以及纳税额等。
10月
旅行及住宿预订系统Autoclerk的数据库泄露,数据量大小为179G。其中包括美国政府和军事人员的个人详细信息,以及他们过去和将来前往世界各地的旅行安排。
11月
Facebook一名员工由于把存有公司员工信息的硬盘拉在汽车上而被小偷偷走。员工信息括雇员姓名,银行明细,薪水,奖金数字,股票信息以及社会安全号码的后四位。(内部疏忽)
美国短信服务商TrueDialog,ES数据库约10亿条高度敏感数据暴露在公网,可用浏览器直接访问。数据包括电子邮件、用户名、短信内容、明文口令,以及base64加密口令(可轻易破解)。
一个收集了从Twitter/Facebook/LinkedIn等社交媒体平台信息的ES数据库在暗网上出现,该服务器中包含了近 30 亿 PDL 用户记录,近 12 亿唯一人员和 6.5 亿唯一电子邮件地址。
12月
加拿大最大的医疗测试提供商“LifeLabs”,遭到勒索软件攻击,1500万个人信息可能暴露,包括姓名、地址、邮件、客户登录凭证、医疗卡号和测试结果。(勒索软件攻击)
总部设在中国的电子商务网站Lightinthebox.com,1.3TB的服务器日志与用户数据可用普通浏览器直接访问。数据包括用户电子邮件、IP地址、居住国家,以及访问页面等。(配置错误)
研究人员在美国的一个托管服务中心发现了一个可公开访问的ES数据库,包括了27 亿个电子邮件地址,和10 亿个明文存储的口令,以及每个电子邮件地址的 MD5,SHA1 和 SHA256 散列。(配置错误)
本田汽车一个错误配置的ES数据库,可在不进行身份验证的情况下访问。因此暴露了约26,000个车主记录,包括客户的全名,电子邮件地址,电话号码,邮寄地址,车辆型号和型号,车辆VIN,协议ID以及本田车辆的各种服务信息。(配置错误)
菲律宾加油站便利连锁店Wawa,发现支付卡信息泄露,涉及其850家店面的消费者信用卡和借记卡的卡号、有效日期、客户姓名泄露。(网络攻击)
《纽约时报》公开称其获得了一份迄今为止有史以来规模最大、最敏感的数据。该数据存储了华盛顿、纽约、旧金山和洛杉矶等地1200万名手机用户超过500亿个位置信息。通过位置信息,可准确识别并勾勒出手机使用者的活动范围。