2018年才只過去了一半,但是已經被報道的一些數據洩露的規模是令人震驚的。你認為Facebook是最大的一個嗎?
對於信息安全來說,六個月可以說是一段很長的時間,因此在2018年上半年出現了大量的數據洩露事件,也就不足為奇了。以下是我們彙總的2018年至今被披露的十起規模較大的數據洩露事件,其中包括事件的故事本身以及遭洩露數據的數量。
一、2018上半年十大數據洩露事件
10. Saks和 Lord & Taylor
洩露數據500萬條
披露日期:2018年4月3日
3月底,安全公司Gemini Advisory偶然發現了一個來自JokerStash黑客集團發佈的公告,宣稱已出售有關500萬張被盜信用卡和借記卡的數據。在各種金融機構的協助下,Gemini Advisory公司對這些交易進行了追蹤,並最終將這些交易歸因於Saks Fifth Avenue和Lord&Taylor的系統入侵。兩家百貨公司的共同所有者Hudson Bay在瞭解到這一事件之後,採取了補救措施。但對於Bernadette Beekman來說,這還遠遠不夠,他於2018年4月代表在2017年3月至2018年3月的黑客入侵期間在Lord&Taylor商店使用支付卡消費的所有客戶提起了集體訴訟。在她的訴訟中,Beekman稱Lord&Taylor“未能遵守安全標準,並在用於保護其客戶的財務信息和其他隱私信息的安全措施上‘偷工減料’,而原本這些安全措施本可以防止或減輕安全漏洞所帶來的影響。”
9. PumpUp
洩露數據600萬條
披露日期:2018年5月31日
5月31日,ZDNet報道稱,安全研究員Oliver Hough聯繫他們說發現了一臺暴露在互聯網上的後端服務器,並且沒有得到密碼。該服務器屬於健身應用程序PumpUp,它使得任何能夠找到它的人都能訪問大量的敏感用戶數據,包括用戶輸入的健康信息、照片以及用戶之間發送的私人消息。暴露的數據還包含Facebook訪問令牌,在某些情況下還包含未加密的信用卡數據,如卡號、到期日期和信用卡驗證值。
當ZDNet與PumpUp取得聯繫時,該公司並沒有做出回應,但它確實悄悄地對服務器實施了保護措施。目前尚不清楚該資產在受到保護之前,已經暴露了多長的時間。
8. Sacramento Bee
洩露數據1950萬條
披露日期:2018年6月7日
今年2月,一名匿名攻擊者截獲了由Sacramento Bee擁有並運營的兩個數據庫。其中一個IT資產包含加利福尼亞州州務卿提供的加州選民登記數據,而另一個則存儲了用戶為訂閱該報刊而提供的聯繫信息。在截獲了這些資源之後,攻擊者要求支付贖金以換取重新獲得對數據的訪問權限。Sacramento Bee最終拒絕了這一要求,並刪除了數據庫,以防止在將來這些數據庫在被利用來進行其他更多的攻擊。
根據Sacramento Bee的說法,這起黑客攻擊事件共暴露了5.3萬名訂閱者的聯繫信息以及1940萬加州選民的個人數據。
7. Ticketfly
洩露數據超過2700萬條
披露日期:2018年6月7日
5月31日,Ticketfly遭遇了一次攻擊,導致音樂會和體育賽事票務網站遭到破壞,並離線和中斷一週。據報道,此次攻擊事件背後的黑客先是警告Ticketfly存在一個漏洞,並要求其支付贖金。當遭到該公司的拒絕後,黑客劫持了Ticketfly網站,替換了它的主頁,用一個包含2700萬個Ticketfly賬戶相關信息(如姓名、家庭住址、電子郵箱地址和電話號碼等,涉及員工和用戶)的頁面。
6. Panera
洩露數據3700萬條
披露日期:2018年4月2日
4月2日,安全研究員Dylan Houlihan聯繫了調查信息安全記者Brian Krebs,向他講述了他在2017年8月向Panera Bread報告的一個漏洞。該漏洞導致Panerabread.com以明文洩露客戶記錄,這些數據可以通過自動化工具進行抓取和索引。Houlihan試圖向Panera Bread報告這個漏洞,但他告訴Krebs,他的報告被駁回了。在此後的八個月裡,Houlihan每個月都會檢查一次這個漏洞,直到最終向Krebs披露。隨後,Krebs在他的博客上公佈了這些細節。在Krebs 的報告發布後,Panera Bread暫時關閉了起網站。
儘管該公司最初試圖淡化此次數據洩露事件的嚴重程度,並表示受到影響的客戶不到1萬人,但據信真實數字高達3700萬。
5. Facebook
洩露數據至少8700萬條(儘管可能還有更多)
披露日期:2018年3月17日
誰能忘記2018年3月令人震撼的Facebook數據洩露醜聞?當時,有報道稱,一家名為Cambridge Analytica的數據分析公司通過一個應用程序收集了5000萬Facebook用戶的個人信息,該應用程序詳細描述了用戶的個性、社交網絡以及在平臺上的參與度。儘管Cambridge Analytica公司聲稱它只擁有3000萬用戶的信息,但經過Facebook的確認,最初的估計實際上很低。今年 4月,該公司通知了在其平臺上的8700萬名用戶,他們的數據已經遭到洩露。
不幸的是,隨著對Facebook應用程序更深入的審查,看起來Cambridge Analytica醜聞可能只是冰山一角。6月27日,安全研究員Inti De Ceukelaire透露了另一個名為Nametests.com的應用程序,它已經暴露了超過1.2億用戶的信息。
4. MyHeritage
洩露數據超過9200萬條
披露日期:2018年6月4日
一名安全研究員於6月4日聯繫了在線家譜平臺MyHeritage的首席信息安全官,並透露他們在公司外的私人服務器上找到了一個標有“myheritage”的文件。在檢查文件後,MyHeritage的官員確認該資產包含了在2017年10月26日之前已註冊MyHeritage的所有用戶的電子郵箱地址。該公司發佈的一份聲明稱,由於MyHeritage依賴第三方服務提供商來處理會員的付款,因此它也包含了他們的哈希密碼,但不包含支付信息。由於該服務將家譜和DNA數據存儲在與存儲電子郵箱地址的服務器不同的服務器上,因此MyHeritage表示沒有理由相信這些信息已經被暴露或受到損壞。
3. Under Armour
洩露數據5億條
披露日期:2018年5月25日
3月25日,Under Armour獲悉有人未經授權訪問了MyFitnessPal平臺,這是一個用於跟蹤用戶飲食和鍛鍊情況的平臺。美國全國廣播公司財經頻道(CNBC)在當時報道說,負責此次黑客入侵的犯罪分子訪問了用戶的用戶名、電子郵件地址和哈希密碼。但沒有暴露用戶的付款信息,因為Under Armour對這些數據進行了分別處理。同時,它也沒有損害社會安全號碼或駕駛執照號碼,因為服裝製造商表示它並不會收集此類數據。
據信,超過1.5億MyFitnessPal用戶的信息在數據洩露中受到了損害。
2. Exactis
洩露數據超過4億條
披露日期:2018年6月26日
安全研究員Vinny Troia在2018年6月發現,總部位於佛羅里達州的市場營銷和數據聚合公司Exactis已將一個數據庫暴露在可公開訪問的服務器上。該數據庫包含2TB的信息,其中包括數億美國人和企業的詳細信息。在撰寫本文時,Exactis尚未確認受此事件影響的確切人數,但Troia表示他能夠找到近3.4億條個人記錄。他還向Wired證實,此事件暴露了消費者的電子郵箱地址、實際地址、電話號碼以及一系列的其他個人信息,在某些情況下包括極其敏感的細節,如孩子的姓名和性別。
1. Aadhaar
洩露數據11億條
披露日期:2018年1月3日
今年1月份,論壇報業集團(Tribune News Service)的記者為WhatsApp上匿名賣家提供的一項出售登錄憑證的服務支付了500盧比。通過這項服務,記者可以輸入任何一個Aadhaar號碼(一個12位的唯一標識符,每個印度公民會使用到它)檢索印度唯一身份識別管理局(UIDAI)存儲的關於被查詢公民的諸多類型的信息。這些數據包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用後,任何人都可以通過該軟件打印某個Aadhaar號碼歸屬者的身份證。
據信,這起數據洩露事件已經損害了在印度註冊的11億公民的個人信息。
二、其他值得注意的數據洩露事件
1. Strava
2017年11月,健身追蹤應用程序Strava有意發佈了一份包含1300萬用戶活動軌跡的“熱圖”。這張地圖讓我們瞭解了世界各地的人們是如何利用Strava來實現他們的健身目標的。但正如Bleeping Computer在1月底報道的那樣,它也起到了意想不到的作用。聯合衝突分析研究所(Institute for United Conflict analyst)的分析師Nathan Ruser於2018年1月發現,該地圖顯示了軍事基地的位置。這是通過在已知軍事設施所在的偏遠地區展示人們的身體活動來發現的,其中包括美軍基地以及土耳其和俄羅斯基地。
2. Health South East RHF
今年年初,挪威衛生安全部門HelseCERT檢測到了異常的計算機活動。它最終將這種可疑行為追溯到了作為挪威四大區域醫療保健組織之一的Health South East RHF。根據Security Affairs的報道,HelseCERT發現這起攻擊是由一群“專業的”和“高端的”攻擊者發起的。
在HelseCERT披露此事件後,挪威衛生與護理部澄清說,該國採取了各種安全措施來解決這一問題。
受攻擊影響的人數確切人數尚不清楚。但考慮到Health South East RHF的覆蓋範圍,可能有290萬人(超過挪威總人口的一半)成為了事件的受害者。
3. [24]7.ai
4月4日,西爾斯控股公司(Sears Holding Corporation)和達美航空公司(Delta Airlines)都公佈了屬於數十萬客戶數據遭洩露的消息。這些數據是通過[24]7.ai的數據洩露而暴露出來的,這是一種提供在線聊天支持的第三方服務。
根據達美航空的聲明,這起黑客入侵事件被認為發生在2017年9月26日至2017年10月12日期間,可能洩露了信用卡信息,但受影響的客戶數量不詳。該航空公司強調,沒有其他信息(如護照、身份證或SkyMiles信息)受到影響。西爾斯估計,可能有少於10萬名客戶的信用卡信息在此次黑客入侵中被曝光。 一天後,零售商百思買(Best Buy)宣佈,其一小部分客戶可能也受到了此次事件的影響。
4. Orbitz
3月1日,Orbitz 發現 有人未經授權訪問了它的一個遺留的旅行預訂平臺。這家在線旅行社認為,攻擊者有能力查看某些敏感信息,包括客戶姓名、出生日期、電話號碼、電子郵箱地址、帳單地址、性別和支付卡信息。但沒有證據表明這一事件暴露了客戶的護照、旅行路線或社會安全號碼。
根據彭博(Bloomberg)報道,黑客可能在2017年10月1日至2017年12月22日期間訪問了88萬名客戶的支付卡詳細信息。
三、令人不安的上半年
根據身份盜竊資源中心(ITRC)的2017年數據洩露總結報告,在2018年第一季度和第二季度遭洩露數據的數量已經超過了2017年全年遭洩露數據數量的總和。值得注意的是,本文所提供的數據洩露事件列表遠遠談不上全面。大數據時代,可以知道世界上任何一個角落上發生的事。但也增加了我們信息洩露的風險,如何預防信息被輕易洩露出去,我們需要做什麼?加米穀大數據整理了幾條預防信息洩露的建議給大家:
在2018年上半年發生了許多其他的數據洩露事件,這意味著遭洩露數據的數量實際上要多得多。不過,也只有時間才能夠證明這是否屬實。
閱讀更多 加米穀大數據 的文章
