盤點 | 2018年數據泄露事故Top10
無法撤回的2018,他們都說有點喪。安全行業同樣不讓人省心。
“全世界的企業可以分為兩種:一種數據已經泄露的和一種將要發生數據泄露的企業。”
天下熙熙皆為利來,天下攘攘皆為利往。沒有破不了的盾,數據永遠不會安全。
2018年雖然沒有出現像2017年那樣造成全球人民恐慌的勒索病毒,但遭媒體曝光的數據泄露事件數量遠遠超過往年,個人敏感數據遭泄露的人數以億計算。
盡管數據泄露事件層出不窮,仍然有很多組織任由自己的數據庫不加防護地暴露在外。
就在小編寫稿之際,我司安全人員曝出國內某知名安全公司官網存在SQL注入漏洞,如果遭到惡意利用就會導致數據庫全泄露(已私下通知對方修復)。
連安全公司都不安全了?還有誰能來保護我們的網絡安全?
在數不勝數的泄露事故中,我們精選了年度十起規模最大、影響最深的數據泄露事件。
#10 Panera
受害人數:3700萬
泄露目標:PaneraBread.com網站的注冊帳戶
泄露內容:姓名、郵箱、地址、生日、信用卡賬號后四位
大致時間:公布于2018年4月
事件經過:Panera Bread是北美最大的面包連鎖品牌。2017年8月,曾有網絡安全專家對Panera發出安全警告,他們的網站存在客戶數據泄露情況,但直到8個月后,Panera的IT團隊才承認數據泄露并采取應對措施。
#9 Newegg電商平臺
受害人數:5000萬
泄露目標:Newegg在線消費者
泄露內容:信用卡賬號
大致時間:2018年8月14日-9月18日
事件經過:網絡犯罪團伙Magecart在Newegg網站上注入了信用卡略讀代碼。每當消費者在線購買東西時,支付信息會直接發送到Magecart的C&C(命令和控制服務器)上。
#8 Elasticsearch
受害人數:8200萬(5700萬個人用戶數據,2600萬企業數據)
泄露目標:用戶信息與商業交易
泄露內容:個人用戶信息包括姓名、電子郵件、郵寄地址、電話號碼、IP地址、就職單位、職位;企業信息包括單位名稱、公司詳細信息、郵政編碼、地址、經緯度,、電話、網址、電子郵件地址、員工數量、營業額等。
大致時間:發現于2018年11月14日
事件經過:ElasticSearch是一個基于Lucene的全文搜索引擎,被眾多程序員追捧的神器之一。由于缺乏定期的數據庫安全審計,導致有心人士趁機復制和竊取所有數據。有網絡安全專家認為,他們已經將無人防守的數據庫的來源追溯到一家數據管理公司,但據說該公司已經關閉。
#7 Facebook
受害人數:8700萬
泄露目標:Facebook用戶
泄露內容:個人資料、政治傾向、好友信息、私人消息
大致時間:公布于2018年9月
事件經過:2018年兩次Facebook的泄露事件均源于Cambridge Analytica這家數據收集公司在未經許可的情況下非法收集用戶信息,且出于政治動機——即影響2016年美國總統競選活動。雖然這次泄露事件發生在幾年前,但直到今年才被發現和報道。
#6 MyHeritage
受害人數:9200萬
泄露目標:MyHeritage用戶
泄露內容:郵箱地址、加密密碼
大致時間:公開于2018年6月
事件經過:網絡安全研究人員于2018年6月對MyHeritage發出安全警告,發現外部服務器上存有敏感的MyHeritage信息。該公司確認信息真實性后立即發布通告,提醒用戶立即更改密碼,所有在2017年10月26日之前注冊的帳戶都存在泄露風險。
#5 Quora(美版知乎)
受害人數:1億
泄露目標:Quora用戶
泄露內容:姓名、電子郵箱、加密密碼、個人資料
大致時間:公開于2018年12月3日
事件經過:12月3日,美國知名問答社區 Quora 發公告稱,1億用戶數據因為第三方黑客惡意攻擊而遭到泄露,其中包括用戶的郵箱、姓名和被加密的密碼,以及他們在網站上分享的內容。
#4 Under Armour旗下健身應用
受害人數:1.5億
泄露目標:MyFitnessPal用戶
泄露內容:姓名、電子郵箱、加密密碼
大致時間:2018年2月下旬
事件經過:美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal用戶數據被泄露了,MyFitnessPal是一款在蘋果和谷歌應用商店中很受歡迎的應用,跟蹤用戶每天消耗的卡路里、設置運動目標、集成來自其它運動設備的數據,還可以分享運動成果到類似Facebook這樣的社交平臺上。此次關于用戶數據泄露的聲明使得該公司的股票價格盤后下跌了2.4%。
#3 Exactis
受害人數:3.4億(2.3億消費者數據,1.1億企業數據)
泄露目標:互聯網個人和企業用戶
泄露內容:數據種類超過400類,包括電話號碼、電子郵箱、郵寄地址、興趣愛好、年齡、宗教信仰、寵物情況等。
大致時間:2018年6月
事件經過:美國市場營銷公司Exactis采集了大約3.4億條記錄,大小約2TB,可能涵蓋了2.3億人的個人數據,幾乎是全美的上網人口。Exactis此次的信息泄露并不是黑客撞庫引起或者其它惡意攻擊,而是他們自己的服務器沒有防火墻加密,直接暴露在公共的數據庫查找范圍內。
#2 喜達屋酒店
受害人數:5億
泄露目標:喜達屋酒店消費者
泄露內容:姓名、電子郵箱、郵寄地址、電話號碼、護照號碼、帳戶信息、出生日期、性別、旅行信息、住宿信息、信用卡信息等。
大致時間:2018年9月10日,但泄露真正發生時間可追溯到2014年。
事件經過:與很多其它官方違規聲明一樣,這家萬豪旗下的連鎖酒店發布了一份稱其服務器遭受“未授權訪問”的聲明,一個顧客預訂數據庫被黑客入侵,可能有約5億顧客的信息泄露。該消息公布后,萬豪國際酒店股價在當天盤前交易中一度下跌逾5%。
#1 Aadhaar印度國家身份認證系統
受害人數:11億
泄露目標:印度公民
泄露內容:Aadhaar號碼、姓名、電子郵箱、住址、電話號碼以及照片
大致時間:2017年8月—2018年1月
事件經過:2018年1月4日,印度鄉村企業家 Bharat Bhushan Gupta爆料說,有人在移動社交工具WhatsApp上向他推銷Aadhaar數據庫,購買之后,Aadhaar數據庫確實為他提供了大量意想不到的用戶信息。
如果擔心我的密碼已經泄露怎么辦?
更改與發生泄露帳戶密碼相同的所有密碼,同時也應該從中吸取不應重復使用相同密碼的上網習慣。
以一句自己喜歡的名言并加上特殊字符等方式作為密碼,強度相對更高。
任何情況都不能將雙因素認證中的密碼告知他人。
警惕銀行和保險公司的可疑短信和郵件。
