根據《 2019年第三季度基於風險的資料違規快速檢視報告》,截至9月底,共有5183次違規,暴露了79億條記錄。與2018年第三季度報告相比,違規總數上升了33.3%,暴露的記錄總數翻了一番多,上升了112%。今年會是有記錄以來最糟糕的嗎?作者:包工頭突圍
12. ElasticSearch伺服器漏洞– 1.08億條記錄
在2019年1月,ZDnet報告說,一個線上賭場集團洩露了超過1.08億筆賭注的資訊,包括有關客戶個人資訊,存款和取款的詳細資訊。資料從ElasticSearch伺服器洩漏,該伺服器沒有密碼就可以線上暴露。ElasticSearch是公司安裝的行動式高階搜尋引擎,用於改進其Web應用程式的資料索引和搜尋功能。
發現伺服器的安全研究員Justin Paine發現使用者資料包含很多敏感資訊,例如真實姓名,家庭住址,電話號碼,電子郵件地址,生日,站點使用者名稱,帳戶餘額,IP地址,瀏覽器和作業系統詳細資訊,上次登入資訊以及已玩遊戲的列表。ZDnet報告說,不清楚該伺服器在網上暴露了多長時間,有多少使用者受到影響,是否有其他人訪問了洩漏的伺服器以及是否通知客戶其個人資料被暴露了。
11. Canva資料洩露– 1.39億條記錄
2019年5月,《安全雜誌》報道說,圖形設計工具網站Canva遭受資料洩露,影響了1.39億使用者。公開的資料包括客戶使用者名稱,真實姓名,電子郵件地址,密碼以及城市和國家/地區資訊。此外,在1.39億使用者中,有7800萬用戶的Gmail地址與他們的Canva帳戶相關聯。
據ZDnet稱,負責此漏洞的黑客已在暗網上出售了9.32億使用者的資料,這些資料是他們從全球44家公司中竊取的。
10. 中國求職者MongoDB資料洩露– 2.02億條記錄
2019年1月,網路安全公司Hacken的網路安全專家兼研究員Bob Diachenko發現了一個854 GB的MongoDB資料庫,其中包含202,730,434條有關中國求職者的記錄。資料包含候選人的技能和工作經驗,以及個人識別資訊,例如電話號碼,電子郵件地址,婚姻狀況,政治傾向,身高,體重,駕駛執照資訊,薪資期望和其他高度個人資料。
中國的一家分類廣告公司BJ.58.com告訴Diachenko,資料來自第三方公司,該公司從許多專業站點收集資料。迪亞琴科發現漏洞後約一週,資料庫得到了保護。
9. 印度公民MongoDB資料庫-2.75億條記錄
2019年5月,迪亞琴科再次透露他發現了一個MongoDB資料庫,該資料庫暴露了275,265,298條包含高度PII的印度公民記錄。該資料庫未受保護超過兩個星期。
迪亞琴科說,託管在亞馬遜AWS上的可公開訪問的MongoDB資料庫包括姓名,性別,出生日期,電子郵件,電話號碼,學歷,專業資訊(僱主,工作經歷,技能和職能領域)以及當前薪水等資訊。
8. 第三方Facebook應用程式資料洩露– 5.4億條記錄
2019年4月,UpGuard安全研究人員透露,有兩個第三方開發的Facebook應用程式資料集已暴露於公共網際網路中。一個數據庫來自墨西哥的媒體公司Cultura Colectiva,重達146 GB,其中有5.4億條記錄詳細記錄了評論,喜歡,反應,帳戶名,Facebook ID等。
研究人員說,另一個第三方應用“ At the Pool”通過Amazon S3儲存桶公開訪問了公共網際網路。該資料庫備份包含用於使用者資訊的列,例如使用者名稱ID,朋友,喜歡,音樂,電影,書籍,照片,事件,組,簽到,興趣,密碼等。
7. Dream Market Breach– 6.2億條記錄
2月,《The Register》報道說,從16個被黑網站竊取的大約6.17億個線上帳戶詳細資訊正在暗網中出售。以下帳戶資料庫正在Dream Market上出售:
Dubsmash (162 million)MyFitnessPal (151 million)MyHeritage (92 million)ShareThis (41 million)HauteLook (28 million)Animoto (25 million)EyeEm (22 million)8fit (20 million)Whitepages (18 million)Fotolog (16 million)500px (15 million)Armor Games (11 million)BookMate (8 million)CoffeeMeetsBagel (6 million)Artsy (1 million)DataCamp (700,000)根據該報告,樣本帳戶記錄主要包括帳戶持有人姓名,電子郵件地址和密碼。這些密碼是經過雜湊處理或單向加密的,必須經過破解才能使用。顯示的其他資訊取決於站點,包括位置個人詳細資訊和社交媒體身份驗證令牌。
6. “Collection #1”資料違規– 7.73億條記錄
一月份,特洛伊·亨特(Troy Hunt)宣佈他已經找到了一組電子郵件地址和密碼,總計2,692,818,238行,其中包括來自數千個不同來源的許多不同的個人資料洩露。總共有1,160,253,228個電子郵件地址和密碼的唯一組合。唯一電子郵件地址總計772,904,991。唯一密碼總計21,222,975。
多個人與Hunt取得聯絡,並指示他前往雲服務MEGA上的檔案收集,該服務包含12,000多個單獨的檔案和超過87GB的資料。此外,他還指向了一個流行的黑客論壇,該論壇正在釋出資料。在檔案中,亨特找到了自己的個人資料,例如他多年以前使用的電子郵件地址和密碼。
5. Verifications.io資料洩露– 8.08億條記錄
4月,Diachenko和安全研究員Vinny Troia報告說,他們已經找到了一個可公開訪問的MondoDB資料庫,該資料庫包含150 GB的詳細營銷資料。該資料庫歸電子郵件驗證公司Verifications.io所有,並在Diachenko與該公司聯絡的同一天被下線。
該資料庫包含四個單獨的資料集合,總計808,539,939條記錄。Diachenko說,其中最大的部分名為“ mailEmailDatabase”,並且其中包含三個資料夾:
電子郵件記錄(計數:798,171,891條記錄)emailWithPhone(計數:4,150,600條記錄)businessLeads(計數:6,217,358條記錄)4. 首次美國資料洩露– 8.85億條記錄
7月,美國最大的房地產所有權保險公司第一美國金融公司(First American Financial Corp.)的資料洩漏暴露了8.85億個人的交易記錄。根據美國記者兼調查記者布萊恩·克雷布斯(Brian Krebs)的說法,《第一美國人》洩露了2003年以來與抵押交易相關的數億份檔案。
記錄包括銀行帳號和對帳單,抵押和稅務記錄,社會保險號,電匯收據和駕駛執照影象。Krebs說,使用Web瀏覽器的任何人都無需身份驗證即可獲得這些記錄。
3. TrueDialog資料洩露–超過10億條記錄
本週早些時候,vpnMentor,Noam Rotem和Ran Locar的網路安全專家研究人員詳細介紹了美國通訊公司TrueDialog資料庫洩漏的發現。TrueDialog總部位於美國德克薩斯州奧斯汀,為大型和小型企業建立SMS解決方案,目前與990多家手機運營商合作,在全球擁有超過50億使用者。
研究人員說,由Microsoft Azure託管並在美國Oracle Marketing Cloud上執行的TrueDialog資料庫包含604 GB的資料。其中包括近10億個高度敏感的資料條目。包含在數百萬條SMS訊息中的敏感資料包括但不限於:
收件人,TrueDialog帳戶所有者和TrueDialog使用者的全名訊息內容電子郵件地址收件人和使用者的電話號碼傳送訊息的日期和時間已傳送郵件的狀態指示器,例如已讀回執,答覆等。TrueDialog帳戶詳細資訊2. Orvibo洩漏的資料庫– 20億條記錄
7月,Rotem和Locar發現了一個與Orvibo Smart Home產品連結的開放資料庫,公開了超過20億條記錄。根據研究人員的說法,執行IoT平臺的Orvibo聲稱擁有大約一百萬使用者,其中包括使用Orvibo智慧家居裝置連線房屋,酒店和其他企業的私人使用者。
資料洩露影響了來自世界各地的使用者。Rotem和Locar為中國,日本,泰國,美國,英國,墨西哥,法國,澳洲和巴西的使用者找到了日誌。
他們首先於6月16日通過電子郵件聯絡了Orvibo,並在未收到公司的訊息後在公司上發了推文,提醒他們注意違規行為。該資料庫開放了兩個多星期。包括的資料型別:
電子郵件地址密碼帳戶重置程式碼精確的地理位置IP地址使用者名稱使用者身份姓家庭ID智慧裝置訪問帳戶的裝置安排資訊1. 社交媒體資料資料洩漏– 40億條記錄
十月份,Diachenko和Troia在不安全的伺服器上發現了向公眾公開並易於訪問的大量資料,其中包含4 TB的PII,即大約40億條記錄。Troia和Diachenko表示,所有資料集中的唯一身份人員總數已超過12億,這是有史以來單一來源組織最大的資料洩露事件之一。洩漏的資料包含姓名,電子郵件地址,電話號碼,LinkedIN和Facebook個人資料資訊。
發現的包含所有資訊的ElasticSearch伺服器未受保護,可通過Web瀏覽器訪問。無需密碼或任何形式的身份驗證即可訪問或下載所有資料。報告說,使這種資料洩漏獨特的原因在於,它包含的資料集似乎來自兩個不同的資料充實公司。
亨特(Hunt)在洩漏中發現了他的資訊,他說:“我發現這種具有暴露性質的資料的重複主題越來越激怒了資料收集者以資料所有者(即我)的方式獲取和使用個人資訊不同意。這與人們可能選擇的釋出資料渠道的公開程度無關,而是關於資料在預期範圍之外的使用。”