2020年最大的十起数据泄露事件
2021-01-28
来源: 互联网安全内参
受新冠疫情影响和网络犯罪活动的肆掠,2020年网络攻击规模一直稳步增长,创下了新的网络犯罪高峰。
据统计,过去一年全球公开范围报告了3932起安全泄露事件,泄露的记录数量达到惊人的370亿条。相比之下,2019年全球泄露记录为151亿条。
在2020年发生的一系列数据泄露事件中,本文根据泄露规模选出了十大最严重事故。里边有少部分为公网数据库泄露,没有找到数据所有者,但导致了大量敏感数据在网络上快速扩散。另外,有一些违规事件可能实际发生在几年之前,但在2020年才被曝光。
Top 10. 未知(2.01亿条)
2020年1月,安全研究人员发现一个数据库,其中包含超过2亿条被暴露在公共互联网上的敏感个人记录。目前尚不确定这套暴露在外的数据库究竟归谁所有,其托管在Google Cloud服务器上,包含大量关于美国居民及其财产的高敏感度统计数据,例如姓名、地址、电子邮件地址、信用评级、收入、净值、房地产市场价值、投资偏好以及其他细节信息。
另外,目前无法判断是否已经有未授权方访问过这套数据集,但其中包含的信息确实极具价值。谷歌方面在收到警报的一个多月之后,才着手下线这台服务器。
Top 9. 微软(2.5亿条)
2020年1月,微软表示其用于存储客户支持分析结果的服务器发生数据泄露。此次事件发生在2019年12月,共涉及2.5亿条记录(包括电子邮件地址、IP地址以及客户支持案例的详细描述),所有数据在未经密码保护的情况下被意外公开。
这个泄露的数据库由5台ElasticSearch服务器组成,用于简化搜索操作。微软方面发现意外暴露源自安全规则的错误配置,并快速完成了修复工作。
Top 8. Wattpad (2.68亿条)
2020年6月,一个包含超过2.68亿条记录的数据库遭遇入侵。相关记录归属于加拿大的写作博客平台Wattpad,用户可以发布各类原创文章。恶意攻击者入侵了Wattpad的SQL数据库,其中包含用户账户凭证、电子邮件地址、IP地址以及其他敏感数据。事件曝光之后,该公司很快重置了用户密码。
Top 7. Broadvoice (3.5亿条)
2020年10月,有消息称美国VoIP服务供应商Broadvoice泄露超过3.5亿条客户记录,其中包括用户姓名、电话号码、通话记录以及留给医疗机构及金融服务公司的语音邮件。
由于配置错误,安全研究人员得以轻松访问该公司掌握的10套数据库,期间无需任何身份验证即可轻松访问。Broadvoice方面很快修复了安全漏洞,并将事件通报给相关法律部门。
Top 6. 雅诗兰黛(4.4亿条)
2020年1月,美国化妆品巨头雅诗兰黛一套未受保护的数据库将4.4亿条内部记录意外暴露在互联网上。发现这套未加密数据库的研究员表示,其中暴露的信息包括电子邮件地址、内部文档、IP地址以及该公司内部教育平台的相关信息。在发现问题后,该公司立即关闭了这套数据库。
Top 5. 新浪微博(5.38亿条)
据报道,中国最大的社交媒体平台新浪微博于2020年3月遭遇信息泄露,超过5.38亿用户的个人信息被摆在暗网及其他在线网站上公开销售。
泄露事件的具体发生时间尚不清楚,但据推测很可能将追溯至2019年。黑客方面声称,这些敏感数据(包括1.72亿用户的昵称、性别、居住地以及电话号码)是从官方平台抓取获得。
Top 4. Whisper (9亿条)
2020年3月,高人气秘密分享应用Whisper将9亿条用户记录暴露在网上。除了大量匿名文本以及与内容相关的元数据以外,泄露的信息还包括位置坐标及其他敏感数据。所有信息都可在未经密码保护的公共数据库上直接查看。一旦黑客掌握这些信息,很可能识别出特定用户的身份甚至实施勒索。在获悉事件之后,该公司很快关闭了数据访问通道。
Top 3. Keepnet Labs (50亿条)
2020年3月,总部位于英国的网络安全厂商Keepnet Labs遭遇网络违规事件。某承包商临时开放了一套数据库,其中包含此前在数据泄露调查中收集到的50亿个电子邮件地址与密码。
根据该公司的介绍,该公司主要业务就是收集历史违规数据并通知商业客户,帮助对方预防数据威胁。但为了加快执行流程,该公司在迁移ElasticSearch数据库时会临时将防火墙关闭10分钟。这个危险的决定导致安全研究人员能够通过不受保护的端口,以无需密码的方式轻松访问数据。
Top 2. Advanced Info Service (83亿条)
2020年5月,泰国最大的GSM手机运营商Advanced Info Service公司在获悉数据泄露事件后,被迫删除了一套数据库。一位安全研究员在网上发现了这套完全开放的ElasticSearch数据库,其中包含多达4 TB、总计83亿条互联网使用活动记录。这些DNS查询与Netflow数据等公开信息可被用于映射用户行为。现在,这套不慎暴露的数据库已经恢复安全状态。
Top 1. CAM4 (108.8亿条)
2020年3月,研究人员在成人视频直播网站CAM4上发现一台未受保护的ElasticSearch服务器,其中泄露的7 TB数据包含近110亿条记录。记录内容涵盖多种用户敏感信息,例如全名、电子邮件地址、性取向、聊天与电子邮件清单、密码哈希、IP地址以及付款记录等。目前数据库错误已被修复,但尚不清楚这些高度敏感的成人网站用户信息是否已经被黑客掌握。
收录于话题 #行业重大网络安全事件盘点12个下一篇盘点:八大行业重大网络安全事件(附报告)阅读原文阅读 254分享收藏赞在看1写下你的留言