Categories
程式開發

2020年數據洩露第一期:盤點17起數據洩露事件


2020年數據洩露第一期:盤點17起數據洩露事件 1

DT時代,數據安全至上。

最近一兩年,數據洩露事件愈加頻繁,受影響的用戶不斷增加,少則數千萬,多達數億乃至十幾億。不僅個人,而且企業、組織機構和國家政府不斷陷入數據洩露。從金融、教育、醫療到科技,數據洩露涉及各行各業,影響深遠。以月為單位,我們盤點和統計當月公開披露的數據洩露事件。一方面,用事實提醒廣大網民,數據安全至關重要,關係到每個網民的切身利益,希望更多人能提高數據安全意識;另一方面,我們也希望為企業提供參考,進一步強化數據安全建設,做好用戶隱私保護。 (如果有更多建議,請於文末留言)

1.加密貨幣交易所Poloniex數據洩露

報導時間:1月2日

大致情況:

2019年12月30日,用戶收到一封來自Poloniex加密貨幣交易所的郵件。據悉,郵件告知用戶,公司發生數據洩露,包括用戶名、密碼等信息可能被洩露。該公司“強行”要求用戶重置密碼,保護用戶免受魚叉式網絡釣魚攻擊。

數據洩露類型:用戶名、密碼等

洩露原因:未知

後續:郵件通知用戶,要求用戶重置密碼

2.美國餐飲酒店公司Landry洩露客戶支付卡數據

報導時間:1月2月

大致情況:

據tripwire報導,餐飲、酒店和娛樂公司Landry通知客戶遭遇未經授權訪問的安全事件,可能會影響其支付卡數據。該公司透露,惡意軟件感染其支付處理系統,可能洩露服務員在廚房和酒吧的訂單輸入系統中誤刷的支付卡詳細信息。

數據洩露類型:信用卡的號碼、有效期、CVC碼和持卡人姓名等

洩露原因:網絡攻擊

後續:公司從系統中刪除惡意軟件,通知執法部門,並在計算機系統上實施新的安全措施,還為工作人員提供更多培訓。

3.日本愛情酒店搜索引擎HappyHotel數據洩露

2020年數據洩露第一期:盤點17起數據洩露事件 2

報導時間:1月6日

大致情況:HappyHotel.jp是一個類似於Booking.com的網站,它允許註冊用戶搜索和預定日本各地愛情酒店的房間。最近,它披露了一個安全漏洞,情況不容樂觀。根據其官網發布的消息,HappyHotel背後的公司Almex表示,去年12月22日,該公司檢測到其服務器未經授權訪問。據悉,黑客似乎已經掌握大量用戶敏感信息。

數據洩露類型:

姓名、電子郵件地址、登錄憑據(用戶名和密碼)、出生日期、性別信息、電話號碼、家庭地址和支付卡詳細信息等。

洩露原因:未經授權訪問

後續:HappyHotel.jp被暫時關閉

4.美國教育機構供應商Active Network數據洩露

報導時間:1月6日

大致情況:

近日,美國教育機構供應商Active Network宣布其為學校提供的會計軟件Blue Bear發現重大安全漏洞,大量用戶信息被洩露。據悉,Blue Bear雲系統是Active Network專門為學校定制,幫助學校管理相關的活動基金。在這次攻擊中,黑客先是獲得Blue Bear雲會計軟件系統的訪問權限,隨後植入一個軟件分離器,目的是收集用戶的支付卡數據。

數據洩露類型:

用戶姓名、支付卡號、支付卡到期日期、支付卡安全碼以及商店用戶名和密碼等

洩露原因:黑客攻擊

後續:調查此事,通知受影響的家長

5.在線零售商Focus Camera發生數據洩露

2020年數據洩露第一期:盤點17起數據洩露事件 3

報導時間:1月7日

大致情況:

在線零售商Focus Camera遭遇黑客攻擊,被Magecart集團注入惡意代碼,從而竊取用戶信用卡信息。據悉,Magecart是一個鬆散的攻擊組織,針對Ticketmaster、福布斯、英國航空公司(British Airways)、Newegg等公司發起過支付卡攻擊。一般來說,該組織通常會在一個web應用程序(通常是購物車)中插入虛擬信用卡分離器(也稱為formjacking),然後竊取信用卡信息,在黑市上出售。

數據洩露類型:

用戶姓名、電子郵件、電話號碼、地址(信用卡賬單地址、收貨地址)、信用卡信息(號碼、有效期、CVV碼)

洩露原因:黑客攻擊

後續:惡意代碼被移除

6.美國Alomere Health醫院發生信息洩露

報導時間:1月7日

大致情況:

美國明尼蘇達州Alomere Health醫院被曝發生數據洩露。據悉,本次洩露暴露49351名患者的個人和醫療信息。而洩露原因則是該醫院的兩名員工的電子郵件賬戶遭到入侵。據了解,Alomere Health是位於美國明尼蘇達州亞歷山大市的一家普通醫療外科醫院,曾獲得醫療機構認證計劃(HFAP)的認可,擁有III級創傷中心,併兩次被湯森路透評為百佳醫院之一。

洩露數據類型:

患者姓名、地址、出生日期、病歷號、健康保險信息以及診斷和治療詳細信息

洩露原因:未經授權訪問

後續:醫院提升員工電子郵件的安全,增加安全防護、員工培訓

7.CheckPeople的中國服務器暴露了5625萬美國居民信息

報導時間:1月10日

大致情況:

據悉,一名代號為Lynx的白帽黑客發現,一個包含5625萬美國公民個人信息的數據庫在網上公開。而該數據庫屬於CheckPeople.com網站,並且數據庫被綁定在一個擁有中國IP地址的服務器上。

數據洩露類型:

當前和曾用地址、電話號碼、電子郵件地址、親屬姓名,在某些情況下甚至有犯罪記錄

洩露原因:未知

後續:未知

8.美國數據經紀商LimeLeads洩露4900萬條用戶記錄

報導時間:1月15日

大致情況:

據Security Affairs報導,美國數據經紀商LimeLeads的 4900萬條用戶記錄在一個黑客論壇上被出售,這些數據在Elasticsearch服務器上公開。該公司錯誤配置Elasticsearch服務器,並無意將其在線公開,允許任何人訪問其內容。

數據洩露類型:

全名、職務、用戶電子郵件、雇主或公司名稱、公司地址、城市、州、郵政編碼、電話號碼、網站URL、公司總收入以及公司的預計僱員人數。

洩露原因:數據庫配置錯誤

後續:未知

9.澳大利亞P&N銀行發生數據洩露

報導時間:1月15日

影響人數:10萬

大致情況:

據悉,西澳大利亞州P&N Bank在服務器升級期間遭遇網絡攻擊,發生數據洩露。作為西澳大利亞州最大銀行,該銀行提供儲蓄、貸款產品、保險和財務規劃服務,擁有14家分行。本次攻擊中,該銀行客戶關係管理系統中的個人信息和敏感賬戶信息被洩露。黑客從網絡攻擊中竊取10萬西澳大利亞人的信息。

數據洩露類型:

客戶姓名、年齡、居住地址、電子郵件地址、電話號碼、客戶編號、銀行帳號及帳戶餘額

洩露原因:黑客攻擊

後續:銀行關閉漏洞源,並與其他機構合作調查此事

10.加拿大網上藥店PlanetDrugsDirect客戶信息洩露

報導時間:1月15日

影響人數:近40萬

大致情況:

1月15日,有媒體報導,加拿大網上藥店PlanetDrugsDirect通過電子郵件通知客戶發生數據洩露事故。通知稱,數據洩露可能影響客戶的個人敏感信息和財務信息。據悉,PlanetDrugsDirect的客戶數量大約為40萬,本次的洩露數據包括姓名、住址、電子郵件地址等。 PlanetDrugsDirect稱事故處於調查中,將盡快向客戶提供更多詳細信息。

洩露數據類型:

姓名、家庭住址、電子郵件地址、電話號碼、支付信息和醫療信息

洩露原因:未知

11.PussyCash 遭遇數據洩露

2020年數據洩露第一期:盤點17起數據洩露事件 4

報導時間:1月15日

大致情況:

VPN Mentor的安全研究者表示,他們在PussyCash位於弗吉尼亞州的亞馬遜S3 bucket發現一起數據洩露,包含19.95GB的可見數據。作為一個會員製網站,PussyCash的母公司IML SLU還擁有ImLive 等成人網站品牌。本次數據洩露曝光了超過87.5萬個文件中的4000多組個人數據,非常嚴重。僅在網絡聊天平台 ImLive 上,就擁有 6600 萬註冊會員,更別提其他數十個網站。

數據洩露類型:

全名、生日、出生地、公民身份、籍貫、護照 / 身份證件號碼、護照簽發日 / 有效期、註冊性別、證件照、個人簽名、父母全名、指紋等敏感信息

洩露原因:未知

後續:未知

12.美國兒童服裝品牌Hanna Andersson數據洩露

報導時間:1月20日

大致情況:

據悉,美國著名兒童服裝製造及在線零售商Hanna Andersson披露一起數據洩露事件,其在線購物平台遭受Magecart攻擊,黑客部署了惡意代碼,竊取客戶近兩個月的付款信息。

數據洩露類型:

姓名、購物地址、信用卡賬單地址、信用卡號碼、CVV碼等

洩露原因:黑客攻擊

後續:公司的在線購物平台被保護起來並被加固,公司還協助執法部門進行調查

13.烏克蘭政府招聘官網發生求職人員信息洩露

報導時間:1月21日

大致情況:

烏克蘭政府招聘門戶官網近日被曝出信息洩露事件。據悉,烏克蘭網絡聯盟非營利組織的一名成員率先發現數據洩漏事件,並將其報告給國家安全與國防委員會。烏克蘭官員表示,公開的信息包括密碼副本和其他一些文件。

數據洩露類型:全名、地址、身份證件掃描、護照掃描件、文憑和其他畢業文件。

洩露原因:未知

後續:官方稱“漏洞被修復”

14.微軟洩露2.5億條客戶支持記錄和PII(個人驗證信息)

報導時間:1月23日

大致情況:

一名研究者Bob Diachenko發現一個未受保護的數據庫,它擁有超過2.5億客戶支持記錄和PII。微軟確認,由於數據庫的錯誤配置,其客戶服務和支持(CSS)記錄在網上公開。微軟已經解決此問題,並採取措施防止類似事情再次發生。

數據洩露類型:用戶電子郵件地址、IP地址、位置、CSS聲明和案例的描述、案例編號、解決方案和備註等

洩露原因:數據庫配置錯誤

後續:問題被解決

15.THSuite公司洩露大量大麻用戶信息

報導時間:1月23日

大致情況:

外媒披露,美國用於醫療和休閒大麻藥房的數據庫支持銷售系統THSuite發生數據洩露,影響3萬名用戶。據悉,VPNMentor研究團隊在網上發現一個不安全的Amazon S3 bucket,該數據庫為THSuite所有。研究人員稱,本次事件洩露了美國大麻用戶的敏感信息,超過85000個文件被暴露。

數據洩露類型:姓名、出生日期、電話號碼、家庭地址、電子郵件地址、醫療身份證號碼、使用過的大麻、價格、數量和收據等

洩露原因:公開的數據庫

後續:數據庫被關閉

16.SextPanther網站發生數據洩露

報導時間:1月25日

大致情況:

總部位於美國亞利桑那州的SextPanther遭遇嚴重數據洩露,導致成千上萬人的隱私信息被曝光。據悉,SextPanther是一個成人網站,它在一個公開的亞馬遜AWS 存儲桶中存儲了近1.1萬的身份證明文件,無需輸入密碼,即可公開訪問。洩露的信息包括姓名、家庭住址、出生日期等。

數據洩露類型:

姓名、家庭住址、出生日期、生物識別特徵、照片,甚至護照、駕駛執照、以及社保賬號

洩露原因:未知

後續:該存儲庫被保護,公司進行調查

17.Wawa發生大規模數據洩露

報導時間:1月28日

大致情況:

據ZDNet報導,超過3000萬美國人的支付卡詳細信息被黑客掛在網上出售。據悉,信用卡數據來自Wawa,它是美國一家便利店公司。此前一個月,Wawa披露一起重大洩露事件,公司承認黑客在其POS系統植入惡意軟件。惡意軟件會收集使用信用卡或借記卡在便利店和加氣站購物的用戶的信息。本次洩露涉及該公司的860家便利店。

數據洩露類型:支付卡信息

洩露原因:惡意軟件

後續:惡意軟件被刪除

根據公開不完全統計,2020年1月發生17起數據洩露事件。從受洩露影響的人數看,跨度大,少則幾萬人,多則千萬,比如美國Alomere Health醫院的信息洩露影響近5萬人,而微軟則洩露2.5億條客戶支持記錄和PII(個人驗證信息);其次,洩露數據內容詳細,維度多,顆粒度細,例如美國數據經紀商LimeLeads的數據洩露涉及12種個人信息。

從洩露原因來看,除部分原因未知外,有6起數據洩露源於黑客攻擊,涉及教育、金融、在線零售和酒店行業。此外,3起是因為數據庫配置錯誤,2起數據洩露源於未經授權訪問。

針對本月數據洩露事件,深圳網安集團副總工程師黃偉傑認為:

近年來,企業數據洩漏事件層出不窮,大有愈演愈烈的趨勢,究其原因大概有以下幾個方面:

(一)企業數字化轉型後,大量業務互聯網化,用戶業務數據和個人數據被在線統一收集、交易和存儲,一旦網絡安全保障能力和數據防護意識不足的話,容易受到黑客的攻擊入侵,竊取數據。

(二)部分企業為提高自身的市場競爭力,精准定向向用戶推銷業務,通過從黑客或竊取者手上購買、交易等不法方式,獲取大量用戶數據。

(三)個人信息隱私保護、數據安全保護等法律法規不完善,不法犯罪分子有恃無恐,而仍然有很多企業未真正重視和履行網絡安全保障義務。

可以說,隨著數據的價值體現越來越明顯,數據的需求日益增大,有需求就有市場,數據洩漏可能成為一種常態,建議國家監管機構盡快推出相關法律,加強數據販賣、竊取的違法犯罪行為的打擊力度;作為企業則建議提高數據防護與個人數據隱私保護意識,增大相關資源投入,提升數據安全保障水平。