首页 > 舞弊新闻 >

盘点 | 2020上半年全球重大数据泄露事件

2020-06-19

默认标题_公众号封面首图_2020-06-19-0.png

以下文章来源于信息安全与通信保密杂志社 ,作者Cismag


大数据、互联网、5G的迅速发展,为人类带来无限发展机遇的同时却也催生了大量的信息泄露事件,在过去的 6 个月里,“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰,已造成重大损失。


信息安全与通信保密杂志社梳理了 2020年上半年度在世界各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。


image.png

image.png


新浪科技讯 1月3日上午消息,日前,中国裁判文书网公布了《陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书》。


经法院二审审理查明:2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。

image.png

PingWest品玩3月19日讯,近日,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

对此,微博安全总监罗诗尧回应表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”

同时,罗诗尧表示:“19年被刷的部分数据,内部突发现异常后马上堵住了口子。我们第一时间报了警,取证后把相关信息递到了警方,同时一直也在追查网上售卖信息的黑灰产。用户的隐私至关重要,尤其还是涉及到手机号。”

image.png

4月16日11时17分,有当地市民在胶州政务网反应,微信朋友圈中流传着出入胶州中心医院的数千人名单,涉及相关人员个人信息,已严重影响个人生活,并被谣传感染了新冠肺炎。

网传文件显示,就诊人员被列入12个胶州市街道和乡镇,内容包括姓名、电话、身份证号码、个人详细居住地址、就诊类型,共涉及6685人。

image.png

4月27日,哔哩哔哩视频网站拥有五百万粉丝的UP主“机智的党妹”发布消息称,自己被黑客勒索了,根据她的介绍是因为自己的视频素材被黑客盗取,对方要求支付“赎金”才愿意将素材还回来。

image.png

4月,河南财经政法大学、西北工业大学明德学院、重庆大学城市科技学院等高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。

此外,有类似遭遇的还包括湖北武汉、山东青岛、安徽滁州等多地的高校学生。企业冒用大学生信息偷税俨然成为行业潜规则,而受害的大学生因无就业经验,往往对此难以察觉,维权更是困难重重。

image.png

4月,有媒体报道,浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄露客户信息。其中,浙江岱山农商银行被银保监会罚款30万,泄露信息的内部员工被禁业三年。

南都记者注意到,类似泄露客户个人信息案件的“内鬼”多来自运营商、银行、物流等掌握大量个人信息的行业。在“净网2018”、“净网2019”、“净网2020”专项行动中,公安机关在侵犯公民个人信息案件中抓获各行业“内鬼”3000余名。

image.png

5月7日,江苏省南通市公安局公布,经过4个多月的缜密侦查,江苏南通、如东两级公安机关破获了一起特大“暗网”侵犯公民个人信息案,抓获犯罪嫌疑人27名,查获被售卖的公民个人信息数据5000多万条。这起案件也被公安部列为2019年以来全国公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件之一。

所谓“暗网”,是利用加密传输、P2P对等网络等,为用户提供匿名互联网信息访问的一类技术手段。“暗网”的最大特点是经过加密处理,普通浏览器和搜索引擎无法进入,且使用比特币作为交易货币,很难追查到使用者的真实身份和所处位置,受到互联网犯罪分子青睐。

image.png

6月,郑州西亚斯学院近两万名学生信息遭到泄露,包括姓名、身份证号、专业、宿舍门牌号等二十余项信息。事件发生后,多名学生反映收到骚扰电话。目前,学校称已报备公安机关,正在调查中。

今年4月以来,多地的多所高校频繁发生个人信息泄露事件。有专家指出,上述如此大规模的数据泄露很可能是学校的某个环节出现过失导致的,学校需承担相应责任。

image.png

image.png

1月20日,据外媒报道,某黑客组织在一个流行的黑客论坛上发布了一份涵盖515000 多台服务器、家庭路由器和物联网智能设备的远程登录Telnet凭据列表,内容包含每台设备的IP地址、以及Telnet服务的用户名和密码。


Telnet是一种远程访问协议,可用于在互联网上控制设备,允许用户登录进入远程主机系统。据了解,该列表是通过扫描整个Internet来查找暴露其Telnet端口的设备而编制的。研究人员表示,此次事件是迄今为止已知的最大Telnet密码泄漏事件。

image.png

2月11日,据外媒报道,近日由以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误可能潜在地暴露并损害了近650万以色列公民的个人资料。

据了解,此次泄漏是由Verizon Media以色列的前端开发人员Ran Bar-Zik发现并详细描述了这次泄露。目前Haaretz,Calcalist和Ynet等以色列当地媒体证实了Bar-Zik的发现,但是还不清楚在Bar-Zik发现和公开披露之前,暴露的服务器和数据是否被未经授权的人获取。

image.png

安全研究人员Jeremiah Fowler于1月30日发现了暴露的数据库,他在数据库中的找到了用户电子邮件地址,在确定了来源后,立即试图与雅诗兰黛取得联系。此次泄露总共涉及440,336,852条记录,其中包含大量的审计日志和电子邮件地址。

Fowler表示,暴露的数据包括以纯文本形式存在的电子邮件地址,来自@estee.com域的内部电子邮件地址也出现在数据库中。

image.png

据外媒报道,2月第三周,超1060万名住在米高梅国际度假(MGM Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。除了普通游客之外,遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。

根据外媒ZDNet的分析,今天被曝光的MGM数据转储包含了10,683,188名曾在MGM酒店住过的客人的个人详细信息。泄露的文件中包含了个人详细信息,诸如全名、家庭住址、电话号码、电子邮件和生日等。

image.png

航空圈讯 英国资讯委员会办公室(ICO)当地时间3月4日公布消息说,对国泰航空有限公司(Cathay Pacific Airways Limited)罚款50万英镑(约450万元人民币或者500万元港币),原因是该公司未能保护客户个人数据的安全。

ICO称,2014年10月至2018年5月期间,国泰航空的计算机系统缺乏适当的安全措施,导致客户的个人信息被泄露,其中111578人来自英国,而全球约940万人。

image.png

据外媒报道,3月,安全专家Bob Diachenko发现了一个疑似属于英国安全公司的一个不安全的Elasticsearch实例,其中包括在2012年到2019年之间和安全事件有关的50亿条记录。

根据Bob Diachenko的说法,在3月16日,他在公网发现了一个缺乏保护的Elasticsearch实例,根据SSL证书和反向DNS记录,发现这个Elasticsearch似乎是由一家英国安全公司所管理。而且特别讽刺的是,其中包括一个“数据泄露数据库”,收集了2012年至2019年期间大量被报道(或许还有未报道)的安全事件中的数据。

这个巨大的Elasticsearch由两个集合组成,一个包含了5,088,635,374条记录,另一个正实时更新,包含1500万条记录。被泄露的数据包括:哈希类型(显示密码的方式:MD5/哈希/纯文本等)、泄漏日期(年)、密码(哈希值或纯文本)、电子邮件、电子邮件域、泄漏源(某些显眼的泄漏源:Adobe,Last.fm,Twitter,LinkedIn,Tumblr,VK等)。

image.png

连锁酒店万豪国际4月宣布,它已受到第二次数据泄露的打击,该数据泄露暴露了“多达520万名客人”的个人详细信息。

该漏洞始于2020年1月中旬,并于2020年2月底被发现,其中包含了详细的联系方式,包括姓名、地址、出生日期、性别、电子邮件地址和电话号码。还披露了雇主名称、性别、住宿偏好和会员卡帐号。

image.png

据外媒报道,4月,网络安全公司Cyble发现,有2.67亿Facebook用户信息被盗,包括姓名、邮箱地址、电话、社会身份、性别等,这些信息在暗网上以仅600美元的价格出售。

目前,尚未清楚这些信息是如何在第一时间被泄露的,不过根据Cyble工作人员的说法,很可能是第三方API泄露或报废导致的。

虽然这次针对Facebook的攻击并不像此前Zoom一样对密码等敏感信息进行了窃取,但由于这些信息包含了用户的敏感资料,不法分子很有可能将其用于网络钓鱼诈骗或者发送垃圾邮件。

image.png

据外媒报道,5月,数据泄露和网络安全情报公司Under the Breach发现有黑客在黑客论坛出售超过1500万Tokopedia用户信息。要访问该数据,论坛用户需要支付8个网站积分,相当于€2.13(约合16元人民币)。黑客称这是2020年3月Tokopedia泄露的9100万数据的一部分。同时,该黑客也在出售完整的9100万用户数据集,售价5000美元。

Tokopedia是印度尼西亚最大的电商平台,也是访问量最大的印尼网站,有4700个雇员和9000万的活跃用户。Under the Breach称泄露的数据是一个PostgreSQL数据库,包含个人用户数据等信息。泄露的数据中最重要的是用户的邮箱地址、全名、生日、哈希的用户口令,一些账户中还含有MSISDN信息。

image.png

据外媒报道,5月,一家主营成人直播服务的公司便遭遇了有史以来最大规模的用户敏感数据。泄露数据包含用户姓名、性取向、支付记录、聊天记录、电子邮件信息、IP 地址和密码哈希等,总计多达 108.8 亿条记录。在泄露高达 7TB 用户敏感数据之前,CAM4 还没来得及关闭它的服务器。

这些敏感数据是由于一个不受保护的数据库集群而泄漏。CAM4 错误地配置了 Elasticsearch 集群,从而使一系列生产数据库不受在线保护,任何使用 Web 浏览器的人都可以访问。

image.png

据外媒报道,5月,研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。

AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。

image.png

据外媒报道,6月,黑客组织试图利用主题和插件中的已知漏洞从数百万个WordPress网站窃取数据库凭据。

WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,同时,用户也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,安装方式简单易用。

image.png

据IBM中国调研发现,源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因,所造成的代价也最惨重。恶意数据泄露平均给调研中的受访企业带来445万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。

这些数据泄露事件带来的威胁日益严重,在过去六年的调研期间,报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从42% 上升至51%(同比增长21%)。

此外,调研结果还显示,人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半(49%),分别给企业造成了平均350万美元和324万美元的损失。从人为和机器错误导致的数据泄露事件中可总结出改进方法,从而降低其发生的次数。比如对员工开展安全意识培训,进行技术投资,以及测试服务以尽早发现意外泄露事件端倪,从而进行有效预防或阻断。

IBM X-Force 威胁情报指数显示,云服务器配置不当是特别值得关注的数据泄露原因之一,这一原因在2018年曾导致9.9亿条记录被曝光,占全年记录数据丢失总数的43%。

过去14年,Ponemon Institute 一直在对导致数据泄露成本增加或减少的多项因素进行深入研究。研究表明,企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响。

去年的调研显示,数据泄露的平均生命周期为279天,即在事件发生后企业平均需要206天才能发现,另需73天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业,其数据泄露事件的总体成本可减少120万美元。

此外,关注于响应能力可帮助企业加快响应速度。建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措。采用这两项措施的企业,其数据泄露事件的总体平均成本要比二者皆无的企业少123万美元(前者为351万美元,后者为474万美元)。

本次调研还研究了不同行业和地区的数据泄露成本的差别,发现美国的数据泄露成本更高,平均可达819 万美元,是调研中全球受访企业平均水平的两倍多。在过去14年的调研中,美国的数据泄露成本增长了 130%,其2006年的调研结果为 354 万美元。

中东地区的受访企业指出,他们每次事件泄露的记录平均数量最多近4万条(全球平均值约为2.55万条)。此外,医疗保健组织已经连续第9年蝉联数据泄露损失排行榜冠军,平均成本接近650万美元,高出其他行业总体平均的60%。