1) Saks和 Lord & Taylor
披露日期:2018年4月3日
3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下,Gemini Advisory公司对这些交易进行了追踪,并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后,采取了补救措施。但对于Bernadette Beekman来说,这还远远不够,他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中,Beekman称Lord&Taylor“未能遵守安全标准,并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’,而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”
2)PumpUp
披露日期:2018年5月31日
5月31日,ZDNet报道称,安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器,并且没有得到密码。该服务器属于健身应用程序PumpUp,它使得任何能够找到它的人都能访问大量的敏感用户数据,包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌,在某些情况下还包含未加密的信用卡数据,如卡号、到期日期和信用卡验证值。
当ZDNet与PumpUp取得联系时,该公司并没有做出回应,但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前,已经暴露了多长的时间。
3) Sacramento Bee
泄露数据1950万条
披露日期:2018年6月7日
今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。
根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。
4)Ticketfly
泄露数据超过2700万条
披露日期:2018年6月7日
5月31日,Ticketfly遭遇了一次攻击,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页,用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)的页面。
5)Panera
泄露数据3700万条
披露日期:2018年4月2日
4月2日,安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs,向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录,这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞,但他告诉Krebs,他的报告被驳回了。在此后的八个月里,Houlihan每个月都会检查一次这个漏洞,直到最终向Krebs披露。随后,Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后,Panera Bread暂时关闭了起网站。
尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。
6)Facebook
泄露数据至少8700万条(尽管可能还有更多)
披露日期:2018年3月17日
谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。
不幸的是,随着对Facebook应用程序更深入的审查,看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日,安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序,它已经暴露了超过1.2亿用户的信息。
7) MyHeritage
泄露数据超过9200万条
披露日期:2018年6月4日
一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官,并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后,MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称,由于MyHeritage依赖第三方服务提供商来处理会员的付款,因此它也包含了他们的哈希密码,但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上,因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。
8)Under Armour
泄露数据5亿条
披露日期:2018年5月25日
3月25日,Under Armour获悉有人未经授权访问了MyFitnessPal平台,这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说,负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息,因为Under Armour对这些数据进行了分别处理。同时,它也没有损害社会安全号码或驾驶执照号码,因为服装制造商表示它并不会收集此类数据。
据信,超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。
9)Exactis
泄露数据超过4亿条披露日期:2018年6月26日
安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。
10)Aadhaar
泄露数据11亿条
披露日期:2018年1月3日
今年1月份,论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务,记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。
据消息,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。
令人不安的上半年根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告,在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。
值得注意的是,本文所提供的数据泄露事件列表远远谈不上全面。除此之外,还发生了许多其他的数据泄露事件,这意味着遭泄露数据的数量实际上要多得多。数据安全已经成为重中之重,在这个大数据时代,该如何保障我们数据的安全。