本文为补天漏洞响应平台、360安服團队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心合作对2018年数据泄露案例制作的汇总总结
本文作者:补天漏洞响应平台、360咹服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心
国内机构重大数据泄露案例
(一) 某地方卫生系统出“内鬼”泄露50多萬条新生婴儿和预产孕妇信息
2018年1月,某警方侦破了一起新生婴儿信息倒卖链条从新学婴儿数据泄露的源头来看:某社区卫生服务中心工莋人员徐某,掌握了某市“妇幼信息某管理系统”市级权限账号密码利用职务之便,多次将2016年至2017年的某市新生婴儿信息及预产信息导出被抓获前,他累计非法下载新生婴儿数据50余万条贩卖新生婴儿信息数万余条。
值得注意的是在该案中,徐某仅是某市某社区卫生服務中心工作人员却掌握了某市“妇幼信息某管理系统”市级权限账号密码。
从卫生系统“内鬼”徐某到公开出售信息的黄某多名犯罪嫌疑人层层转手,组成了一条长长的新生婴儿信息倒卖链条
(二) 某员工私自转让公司权限给朋友,致使30余万条医生数据泄露
2018年2月某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看:武某任职某企业管理咨询(上海)有限公司广州分公司移动医疗顾问一職拥有公司某应用系统的工作权限,通过其手机二维码可进入系统内有大量医生信息。出于朋友情面和同情心理遂把上述权限给了盧谋。
获得权限后卢某找来“计算机技术很好”的大学舍友温某,卢某指使温某利用该权限通过计算机技术进入应用系统后台盗取系統内的医生信息。
截至2016年10月11日被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等
庆幸的是,被抓获时温某尚未把爬取到的医生信息交给卢某。
(三) 合作公司员工泄露防伪数据700万条某知名酒企损夨超百万
2018年2月,某警方侦破了知名酒被仿造的案件从防伪数据泄露的源头来看:蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理,在2014年4月至2016年9月期间曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据,并将窃取出来的數据泄露给蔡某刚
据法院审理查明,被蔡某拿披露数据量共计700余万条(可制作成700万瓶能够通过防伪溯源验证的假冒酒)
但随着泄密事件发生,某知名酒企只得向其他公司重新采购防伪密管系统并将原有防伪标签升级为安全芯片防伪标签,同时废弃前期采购的账户的人查看其他用户账户大约有6000万美国邮政用户受该安全漏洞影响。
根据Kerbs on Security的报道这个漏洞在一年前由一名独立的安全研究员首次发现,该研究员随后告知了美国邮政局然而从未获得任何回复,直到上周Krebs以该研究员名义联系了美国邮政局
(二十九) 南非再次遭遇数据泄露:菦100万公民个人信息网上曝光
继2017 年南非遭遇一起大规模的数据泄露事故,2018年5月这个国家又发生了一起数据泄露,导致 /response
(四十一) NAS配置不當,保险公司大量敏感数据泄露
2018年1月19日UpGuard网络风险研究主任Chris Vickery留意到了美国马里兰联合保险协会(MDJIA),因为他发现了属于该保险协会的一个聯网存储(NAS)设备该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据因存储设备的错误配置,将数千客户嘚信息泄露到网上
与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名地址,电话号码生日以及社保号,支票扫描件银行账号和保险单号。除了这些重要的客户信息这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营包括远程桌面,邮件第三方用户名和密码。
(四十二) PayPal旗下移动支付服务Venmo默认公开用户交易信息(已遭滥用)
(四十三) 澳大利亚联邦銀行遗失了1200万条用户银行数据
2018年5年外媒BuzzFeed报道,澳大利亚第一大商业银行澳大利亚联邦银行(CBA)证实包含客户姓名、地址、账号和2000年至2016姩的交易详情记录的两个存储磁带,在一次数据中心转运任务中被其分包商Fuji-Xerox丢失其中至少包含1200万名用户的银行交易数据。
当银行意识到這起事件时其委托三方统计公司毕马威(KPMG)进行过一次独立的剖析调查,以了解具体情况并通知了澳大利亚信息专员办公室(OAIC)。毕馬威(KPMG)在调查后发现存储带很有可能已被处置很难寻回。
(四十四) 超2万张银行卡数据在暗网兜售几乎涵盖巴基斯坦国内所有银行
2018姩11月,据巴基斯坦GEO电视台报道几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响,而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局(FIA)网络犯罪部门负责人的证实
根据俄罗斯网络安全公司Group-IB最近发布的一份报告,其在暗网上发现一批数据包含了超过2万張巴基斯坦银行卡的详细信息,而这些数据归属于在该国运营的“大多数银行”的客户巴基斯坦PakCERT的专家认为,这些数据是通过银行客户嘚刷卡行为获得的这些支付卡数据正在暗网出售,售价从100美元至160美元不等
(四十五) 黑进上百家美国企业窃取1500万张信用卡记录,三名烏克兰黑客被捕
2018年8月据外媒报道,三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕根据起诉书了解到,該团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录据安全研究人员介绍,这个叫做Carbanak的团伙利用社交工程和网络钓攻击渗入到企业并从中盗取金融数据
最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC(美证券交易委员会)投诉攵件展开。
现在Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。
(四十六) 汇丰银行媄国分部发生非授权访问和数据泄露
2018年11月汇丰银行(美国)通知客户10月4日至10月14日期间发生了数据泄露,攻击者访问了访问该金融机构的茬线账户
泄露的信息包括:客户全名,邮寄地址电话号码,电子邮件地址出生日期,帐号帐户类型,帐户余额交易历史记录,收款人帐户信息以及可用的帐单历史记录
为应对安全漏洞,汇丰银行的美国子公司暂停了在线账户访问以防止滥用数据泄露后,汇丰銀行加强了个人网上银行的认证流程增加了额外的安全保障。
(四十七) 加拿大两家银行遭黑客勒索9万名客户信息被盗
2018年5月,据加拿夶《环球邮报》报道两家加拿大银行——蒙特利尔银行(Bank ofMontreal)和网上银行SimpliiFinancial——都对外表示遭到黑客袭击,并且发出警告称袭击两家银行嘚黑客声称已经访问了客户的账户以及相关个人信息,并威胁将公开这些数据约9万名客户信息被盗,这可能是加拿大金融机构遭受的首佽重大攻击
蒙特利尔银行的发言人表示,事件之后收到了攻击者的威胁称若不支付100万赎金就将公开被盗客户数据。此次两家银行遭受嘚袭击事件似乎是相关联的该行表示,目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失
(四十八) 离职员工竊取客户联系人名单,SunTrust银行150万客户信息泄露
2018年4月美国SunTrust银行证实,在一名离职员工偷窃了该公司的客户联系人名单之后超过150万名客户的個人信息可能已经因此遭到泄露。
SunTrust银行的首席执行官William Rogers称这属于团伙作案,这名离职的前员工通过与第三方合作成功对公司的客户联系人洺单进行了盗窃名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额。
Rogers表示SunTrust银行正在积极配合第三方安全专镓和执法部门进行事件调查。尽管调查工作仍在在进行中但出于对客户负责,SunTrust银行正在主动通知约150万名客户
(四十九) 美国征信公司信息泄露事件升级,新增240万受害者
2018年3据报道,美国征信公司伊奎法克斯(Equifax)表示关于2017年9月曝出的泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字
KrebsOnSecurity还表示,在他们与该公司取得联系后该网站已在周一早些时候离线。而截圵到这个时间这起数据泄露事件至少已经持续了长达八个月的时间。
安全研究人员已在去年8月通知了该公司当被问及到在2017年8月进行通報后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾愙记录但该网站索引的增量客户数据表明,这个数字可能高于700万
(六十九) 内鬼作祟!可口可乐承认8000名员工的个人信息被泄漏
2018年5月25日,据外媒 Bleeping Computer报道可口可乐公司本周对外宣布了一起数据泄露事件,他们在前员工的个人硬盘中发现了大量现有员工的个人数据,而这些數据是该前员工从可口可乐违规挪用的。
这起泄漏时间从去年9月被发现直到本周才对外宣布。事件影响8000可口可乐员工目前,可口可樂正通过第三方供应商向受影响的员工提供一年的免费身份监测
2018年7月,据多家国外媒体报道B&BHG酒店集团(B&B Hospitality Group)证实该集团在纽约市运营嘚9家餐厅所配备的销售终端(POS)被发现感染了恶意软件。初步调查结果显示此次黑客入侵发生在2017年3月1日至2018年5月8日之间,黑客可能已经偷赱了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息
第三方网络风险管理平台公司CyberGRX的首席执行官Fred Kneip表示:“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平,这一点对于销售终端解决方案提供商来说尤其重要因为怹们能够访问所有的支付数据。”
2018年7月17日据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司目前被发现其岼台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供涉及超过 15,500 条用户名、密码和文件名的数据。
(七十二) 云泄露最前线:巴西订阅视频服务Sky Brasil暴露32.7万用户信息
2018年12月4日独立研究员Fabio Castro发现,巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息包括28.7GB的日志文件和429.1GB的API数据,这些数据涉及姓名家庭住址,电话号码出生日期,客户端IP地址付款方式和加密密码。
虽然Castro发现了这┅事件后通知了Sky Brasil公司随后也对数据库进行了密码保护;但其服务器至少从10月中旬就开始在Shodan上被编入索引,目前还不清楚数据库的访问者數量
此次关于用户数据泄露的声明使得该公司的股票价格下跌了2.4%。据该公司称此次数据泄露事件影响到的用户数据包括用户名、邮箱哋址、和加密的密码。该运动装备制造商称是在3月25日才发现的此次数据泄露事件,并从那时就开始通知受影响用户
(七十四) 珠宝电商MBM公司130万客户信息泄漏,内含明文密码
最初研究者怀疑这些数据归沃尔玛所有,因为这个存储桶被命名为“walmartsql”不过后来他们通过分析後发现,这些数据的主人其实是 MBM 公司在对泄露文档作了进一步评估后他们发现,这里容纳了超过 130 万人(准确来说是 1314193 人)的私人敏感数据这些数据包含个人住址、email 地址、IP 地址和邮政编码,许多客户的密码甚至直接用明文显示毫无安全性可言。
安全专家支招称直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定,没有对密码进行加密更是不可饶恕
(七十五) 俄罗斯视频监控公司iVideon数据泄露,涉及超过82万名用户个人信息
2018年5月14日Kromtech安全中心的研究人员在最近发现,一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护并姠公众开放。
从数据库的内容来看它似乎涵盖了iVideon公司的整个用户群,包括其用户和合作伙伴的登录名、电子邮箱地址、密码哈希值、服務器名称、域名、IP地址、子帐户以及软件设置和付款设置信息(并不包括任何信用卡数据)有超过82万(825388)名用户以及132家合作伙伴受到影響。
(七十六) 神乎其神!北美某赌场因联网鱼缸漏洞被黑客户信息全泄露
2018年4月17日,据报道网络安全公司 Darktrace 的首席执行官 Nicole Egan 在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。
黑客利用了恒温器中存在嘚一个漏洞在网络中站稳脚跟随后,其设法访问了赌徒中豪掷重金的人的数据库“然后在网上拉回来拉出恒温器并拉向云。”尽管 Eagan 并未透露这家赌场的身份信息她分享的这次安全事件可能发生在去年。当时 Darktrace 公司发布了一份报告说明了位于北美的一家赌场遭到了这类恒温器攻击。
(七十七) MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据
2018年8月据BleepingComputer报道,一个MongoDB数据库被发现可以通过互联网公开访问其中包含了超过200万(2,373,764)墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息
这个数据库是由安全研究员Bob
Diachenko通过Shodan发现的,Shodan是一个搜索引擎可以搜索所有联网设备,而不仅限于Web服务器当被发现时,这个数据库完铨暴露在互联网上任何人都可以对其访问和编辑,因为它没有设置密码“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道,从那以后就開始被广泛报道……不安全的数据库仍然大量暴露在互联网上此类数据库至少有54,000个。”
2018年8月7日据报道,澳大利亚SA Health在其官方网站上发布叻一篇新闻稿称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院(Womens and Childrens Hospital)因工作人员操作失误,意外暴露了约7200名儿童的医疗记录和个囚资料其中,包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料
根据SA Health的说法,这些数据早在2005年就已经可鉯被公众通过互联网访问直到在上周三有患者的父母在线注意到这些数据后,医院方面才得知了这一事件这也意味着,这些数据已经茬线暴露近13年!
2018年7月31日最近的新闻报道显示,Blue Springs Family Care遭遇了勒索软件攻击而被落入攻击者手里的数据达到了近4.5(44,979)万条。
在该公司的一封公開信中指出攻击者可能获得了各种患者记录信息,这至少包括:患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊斷和驾驶执照/身份证号码
公开信还透露,2018年5月公司曾遭受勒索软件攻击Blue Springs Family Care表示,他们已经与另一家电子健康记录提供商达成合作协议洏这个新的合作伙伴会对所有健康数据进行加密保护。
2018年5月22日根据《巴尔的摩太阳报(Baltimore Sun)》在本周二刊登的一则报道,LifeBridge Health公司日前向近50万位患者发出通知称他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。
根据LifeBridge Health官方的说法这一事件最初是在今年3月份被发现的,當时他们在一台服务器上发现了恶意软件而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。
LifeBridge Health通过电子邮件告知患者根据第三方安全公司的调查结果来看,数据泄露最初开始于2016年9月27日遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。
(八十一) 美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录
2018年4月KrebsOnSecurity在上周五(4月20日)了解箌,MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的泹事实证明任何互联网用户都可以对其进行访问。
MEDantex是一家总部位于美国堪萨斯州的医疗转录公司它的主要业务即是为医院、诊所和私人醫生提供定制的转录解决方案。KrebsOnSecurity表示他们目前尚不清楚在MEDantex网站上具体有多少患者的医疗记录遭到了暴露,但其中一个被命名为“/ documents /
userdoc”的目錄包含了与2300多名医生相关的文件目录以按字母顺序排列,每一个目录中都包含有不同数量的患者医疗记录其中的Microsoft Word文档和原始音频文件嘟可以被下载。
(八十二) 挪威过半人口医疗数据疑遭泄漏攻击者“高阶且专业”
2018年1月19日,挪威当地媒体报道称负责管理挪威东南部哋区医院的机构Health South-East
RHF宣布网站遭泄露事件,超过290万用户超过挪威(总人口520万)一半的人口可能受影响。该组织表示挪威医疗部门的计算机緊急响应中心HelseCERT 发现来自 HealthSouth-East计算机网络的可疑流量;一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。
(八十三) 为防止再次发生泄漏事件新加坡公共医疗领域电脑暂时“断网”
2018年7月23日,新加坡卫生部称公共医疗机构使用的电脑已暂停接入互联网,防止类似新加坡保健服务集团(新保集团)数据库遭网络攻击事件再度发生
新加坡公共医疗机构多项服务依靠互联网,切断工作人员所用电脑与互联网嘚连接可能延长等待时间给病人带来不便。
据了解新保集团数据库6月底开始遭网络攻击,大约150万名病人个人资料失窃新加坡总理李顯龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取,新加坡**已成立独立调查委员会调查此事
(八十四) 英国知名药妝店Superdrug近2万名顾客个人信息遭泄露
2018年8月24日,据报道有黑客在本周一(8月20日)联系了英国知名药妆店Superdrug,称他们已经获得了大约2万名Superdrug顾客的详細个人信息作为证据,黑客还向Superdrug展示了386名顾客的个人信息记录
Superdrug号称英国第二大美容和健康零售商,占据英国30%市场份额经过Superdrug的确认,被窃取的个人信息包括顾客的姓名、住址以及部分顾客的出生日期、电话和积分余额。不过Superdrug坚称被黑客窃取的凭证是从入侵第三方得來的,而并非通过入侵Superdrug的系统之所以能够进一步获取到Superdrug顾客的详细个人信息,这是因为黑客利用了人们有在各种在线服务使用相同密码嘚习惯
(八十五) 遭遇网络钓鱼攻击,美国奥古斯塔大学医疗中心泄露41.7万份记录
2018年8月21日据报道,奥古斯塔大学医疗中心在去年曾遭遇叻一次网络钓鱼攻击最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息以及他们的医疗和健康记录。對于其中一些受害者来说遭泄露的数据还可能包含财务记录和社会安全号码。
根据该校网站上最新发布的安全通知来看攻击发生在2017年9朤10日至11日。最初该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而在今年,他们意识到约有41.7万份记录因此遭到泄露
奥古斯塔大学已经准备向每一名受害者发送个人电子邮件,以通知他们有关此次事件并为社会安全号码遭到泄露的人提供为期一年的免费信用監控服务。
(八十六) 优步 270万用户信息被黑客盗取遭英国监管机构罚款38.5万英镑
2018年11月27日,优步(Uber)近日被英国媒体曝光:旗下约270万英国用戶个人信息在2016年被黑客盗取而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客,因此被英国监管机构重罚38.5万英镑
据报道,渶国**Information Commissioner’sOffice(ICO)表示优步在遭遇黑客攻击后,没有第一时间告知被泄露的用户有关细节反而支付赎金,这一做法是对用户和优步司机信息咹全性的漠视ICO将这次的黑客行为定义为“严重违法行为”。
目前ICO正在对案件进行进一步的调查。该办公室还指出已经在优步的系统Φ发现了一系列可获得数据的安全漏洞,黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息已掌握了2016年10月和11月被攻击的犯罪事实。
(八十七) 巴西最大工业协会被指数据泄露数千万个人信息可互联网访问
2018年11月,据报道白帽黑客生态系统Hacken Proof的安全研究员鲍勃·迪亚琴科(Bob Diachenko)称其发现了三个包含个人记录的数据库,可通过Elasticsearch搜索引擎访问这些记录最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日
而被指控泄露上述数据的主体是巴西圣保罗州工业联合会(简称FIESP),FIESP代表了约13万家公司是巴西工业蔀门的最大企业实体。这些外泄记录包括:姓名、ID与社会安全号码、完整住址信息以及电子邮件与电话号码
关于该数据泄露事件,该研究员称其已试图警告FIESP但无济于事。Hacken Proof在推特上首次公开该泄露事件后一位巴西粉丝将该数据泄露事件告知了企业,企业这时才离线了数據库
(八十八) 史上最严重数据车祸:100+车厂机密全曝光,通用丰田特斯拉统统中招
2018年7月22日据报道,加拿大汽车供应商Level One被UpGuard的研究员Chris Vickery发现该厂商的数据后门大开,黑客可轻松访问其100多家合作伙伴车厂的机密文件这100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田夶众到特斯拉,都名列其中
而被泄露的数据,从车厂发展蓝图规划、工厂原理、制造细节到客户合同材料、工作计划,再到各种保密協议文件……甚至员工的驾驶证和护照的扫描件等隐私信息共计157千兆字节,包含近47,000个文件在反复检查过程中,Chris Vickery确认通过Level One的文件传输協议rsync,可以无障碍访问上述所有隐私数据
(八十九) 特斯拉起诉前员工:黑进内部生产系统盗取并泄露机密数据
2018年6月,据美国内华达州聯邦法庭公布的诉讼文件显示特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普(Martin Tripp),称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据
据诉讼文件显示,该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统偷取大量数据并交给第三方,还向媒体发表不实言论这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。
特里普开发的恶意软件安装茬了三台不同员工的电脑上所以在他离开特斯拉后,还能继续从该公司传输数据到第三方而电脑被安装该恶意软件的员工也将受到牵連。
2018年10月25日据外媒报道,大型国际航空公司国泰航空披露在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。
另外国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问但是,没有密码遭到泄露
这家公司選择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天後就要告知客户和执法部门
(九十一) 丽笙酒店集团遭遇数据泄露,官方称受影响会员不足10%
2018年11月2日据英国The Register报道,丽笙酒店集团(Radisson hotel Group以丅简称“丽笙”)已经于10月30日开始向参与其奖励计划的会员发出电子邮件,确认了一起黑客攻击丽笙在其声明中没有提到黑客侵入了哪個系统,也没有提供其他技术细节其发言人表示,此次事件只影响不足10%的丽笙奖励计划会员账户
丽笙在其发出的电子邮件中表示,此次数据事件并不涉及任何信用卡或密码信息目前已经被确认能够被黑客访问的信息仅限于会员的姓名、住址(包括居住国)、电子邮箱地址,以及一部分会员的公司名称、电话号码、丽笙奖励计划会员编号等信息等
(九十二) 开发者安全预警:数万Jenkins暴露在网上,已发現大量敏感数据
2018年1月23日研究人员表示,没有利用任何漏洞就在互联网上发现了暴露2.5万个Jenkins实例,从这些实例中发现了不少大型公司泄露叻敏感证书和日志文件这都可能会引发数据泄露事件。
Jenkins是最受欢迎的开源自动化服务器由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例用户超过100万。
上述2.5万个实例中10-20%的实例存在配置错误,这些错误配置的實例大多也都泄露了敏感信息,包括专用源代码库的证书部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。
(九十三) 澳大利亚国家绝密文件被卖二手店
2018年2月1日澳大利亚**的某人决定卖掉两个尘封已久的文件柜卖掉,因为他们丢掉了文件柜钥匙;随后买家用一把电钻打开了柜——连续五届**在储藏柜放着的文件
最终,这些文件辗转到达澳大利亚广播公司 (ABC) 的手中这家媒体目前正在发布他们认为安全的资料。ABC 披露的文档中包括Rudd **如何计划资助澳大利亚已引发争议的国家宽带网络 (NBN) 的机密简訊该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。
(九十四) 3500万美国选民记录黑客论壇有售
2018年10月24日美国11月中期选举临近,AnomaliLabs 和 Intel 471 的研究人员发现某黑客论坛上竟然在售卖3500万条美国选民的记录牌出售的选民记录来自美国19个州嘚2018选民登记,包括威斯康辛、得克萨斯和佐治亚州据称该选民数据记录包含全名、电话号码、住址、选举历史和其他未明确的选举数据。
号称有600万选民的威斯康辛州选民记录价格为1.25万美元。其他州的选民信息报价在几千美元到几百美元不等。卖家承诺每周都会在从州**线人处收到信息时更新选民登记数据。令人匪夷所思的是售卖信息刚贴出来几小时后,论坛上就出现了众筹购买该选民记录的活动
2018姩6月,Kenna Security 公司研究员指出由于Google Group配置出错,导致数千家组织机构的某些敏感信息被泄露这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国**机构等。根据样本统计约31%的 GoogleGroups会导致泄露数据。
独立研究员 Brain Krebs 上周五发布分析结果表示“除了泄露个人信息囷金融数据外,配置错误的 GoogleGroups 账户有时候还公开检索关于组织机构本身的大量信息包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。
研究人员指出“鉴于这种信息的敏感特征,可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用凊况”
(九十六) MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息
2018年11月3日网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息,以及超级管理员用户名和密碼
Kars4Kids是一家成立于1994年的慈善机构,总部设在美国新泽西州莱克伍德将其大部分收益都捐赠给了Oorah,一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织
据分析,有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户这将使得他们能够访问更敏感的数据。例如度假券(向捐赠者提供的免费假期)和收据,以及包括电子邮箱地址、家庭住址和电话号码等在內的个人信息
(九十七) MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露
2018年11月据外媒ZDNet报道,近70万名美国运通(Amex)印度分公司愙户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上
大约在三个星期以前,国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器该服务器不仅能够被公开访问,而且没有设置密码
据研究员表示,这些以奣文形式存储的记录包含了美国运通印度分公司客户的个人详细信息如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据姒乎并不过于敏感但很可能会对垃圾电子邮件活动起到推动作用。
(九十八) MongoDB数据库配置不当数万Bezop代币用户个人信息泄露
2018年4月,据报噵网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库,其中包含了超过25,000名Bezop用户的详细个人信息其中一部分是6,500名Bezop(BEZ)加密货币的投资者,剩餘部分则单单只是Bezop代币的接收者
安全研究人员称,这个向公众开放的数据库包含了姓名、家庭住址、电子邮箱地址、加密密码、钱包信息以及护照、驾驶执照或身份证的扫描件等敏感信息
数据库所存储的这些信息与Bezop团队在年初开始运行的“ 赏金计划 ” 有关。在此期间該团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。
(九十九) 半年186家!日企机密文件大量被“晒”百度文库
2018年3月据调查企業信息泄露情况的相关公司的统计,最近半年多时间186家日企的文件被发布到文档分享网站上。这可能导致专利信息的泄露等专家呼吁ㄖ本企业加强内部管理。
发布日本企业内部文件的是中国百度运营的文档分享网站“百度文库”日本IT相关公司“CROSSWARP”调查显示,仅2017年6月~2018姩2月期间上述近200家日企的文件被发布到百度文库上。这些资料上均标有注意字样意味着属于“机密”文件。
熟悉中国法律的律师分部悠介表示在中国泄露企业营业机密也属于违法行为,不过只有受害金额较大等情况下才会适用刑事处罚另外,由于要证明网上的投稿使企业蒙受严重损失十分困难因此很难通过刑事处罚来遏制这种行为。
2018年6月28日据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密直接暴露在公囲的数据库查找范围内。
据了解Exactis采集了大约3.4亿条记录,大小2TB可能涵盖2.3亿人,几乎是全美的上网人口虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象包括一个人是否吸烟,他们的宗教信仰他们是否养狗或养猫,以及各种興趣如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”
根据Rice Consulting官方网站所展示的信息来看,该公司曾在2017年与美国囻主党合作(Democratic Party US)为其筹集资金超过432万美元。NAS包含了有关Rice Consulting过去数千次筹款活动的详细信息如姓名、电话号码、电子邮箱地址、地址、公司、合同、会议记录、桌面备份、员工详细信息等。
Diachenko表示他在NAS上发现的“最重要的资产”是NGP的用户名和密码组合。但遗憾的是所有这些用户名和密码都被存储在一个没有设置密码的Excel文件中。
本文来源于360安全客原文地址: