2019年十大数据泄露事件

12月10日报道，仅在2018年，就有5亿个人记录被盗。根据《2019年第三季度基于风险的数据违规快速查看报告》，截至9月底，共有5183次违规，暴露了79亿条记录。与2018年第三季度报告相比，违规总数上升了33.3％，暴露的记录总数上升了112％。

下面是2019年十大数据泄露事件：

1．中国求职者MongoDB泄露2.02亿条记录

2019年1月，网络安全公司Hacken的专家兼研究员Bob Diachenko发现了一个854 GB的MongoDB数据库，其中包含2亿多条有关中国求职者的记录。数据包含候选人的技能和工作经验，以及个人识别信息，例如电话号码、电子邮件地址、婚姻状况、政治倾向、身高、体重、驾驶执照信息、薪资期望和其他高度个人数据。

2．印度公民MongoDB数据库泄露2.75亿条记录

2019年5月，Diachenko再次透露他发现了一个MongoDB数据库，该数据库暴露了2.7亿多条包含高度PII（个人识别信息）的印度公民记录。该数据库未受保护超过两个星期。

3．第三方Facebook应用程序数据泄露5.4亿条记录

2019年4月，UpGuard安全研究人员透露，有两个第三方开发的Facebook应用程序数据集已暴露于公共互联网中。一个数据库来自墨西哥的媒体公司Cultura Colectiva，重达146 GB，其中有5.4亿条记录详细记录了评论、喜欢、反应、用户名、Facebook ID等。

研究人员说，另一个第三方应用“At the Pool”通过Amazon S3存储桶暴露在公共互联网中。该数据库包含用户信息，例如用户名ID、朋友、音乐、电影、书籍、照片、密码等。

4．梦想市场（Dream Market）在暗网出售6.2亿条记录

2月，据《The Register》报道，从16个被黑网站窃取的大约6.17亿个在线帐户详细信息正在暗网中出售。以下帐户数据库正在Dream Market上出售：

l  Dubsmash（1.62亿）

l  MyFitnessPal（1.51亿）

l  MyHeritage（9200万）

l  ShareThis（4100万）

l  HauteLook（2800万）

l  Animoto （2500万）

l  EyeEm（2200万）

l  8fit（2000万）

l  Whitepages（1800万）

l  Fotolog（1600万）

l  500px（1500万）

l  Armor Games（1100万）

l  BookMate（800万）

l  CoffeeMeetsBagel（600万）

l  Artsy（100万）

l  DataCamp (70万)

根据该报告，帐户记录主要包括帐户持有人姓名、电子邮件地址和密码。这些密码是经过哈希处理或单向加密的，必须经过破解才能使用。

5．“Collection #1”数据违规泄露7.73亿条记录

1月，特洛伊·亨特（Troy Hunt）找到了一组电子邮件地址和密码，总计约2.7亿行，其中包括来自数千个不同来源的许多不同的个人数据泄露。总共有1.16亿个电子邮件地址和密码。

6．Verifications.io数据泄露8.08亿条记录

4月，安全研究员 Diachenko和Vinny Troia报告说，他们找到了一个可公开访问的MondoDB数据库，该数据库包含150GB的详细营销数据。该数据库归电子邮件验证公司Verifications.io所有。该数据库包含四个单独的数据集合，总计8.08亿条记录。

7．First American数据泄露8.85亿条记录

7月，美国最大的房地产所有权保险公司第一美国金融公司（First American Financial Corp.）数据泄漏了8.85亿个人的交易记录。根据美国记者布莱恩·克雷布斯（Brian Krebs）的说法，其泄露了2003年以来与抵押交易相关的数亿份文件。记录包括银行帐号和对帐单、抵押和税务记录、社会保险号、电汇收据和驾驶执照图像。

8．TrueDialog数据泄露超过10亿条记录

TrueDialog总部位于美国德克萨斯州奥斯汀，为大型和小型企业创建SMS解决方案，目前与990多家手机运营商合作，在全球拥有超过50亿用户。

vpnMentor、Noam Rotem和Ran Locar的研究人员表示，由Microsoft Azure托管并在美国Oracle Marketing Cloud上运行的TrueDialog数据库包含604 GB的数据。其中包括近10亿个高度敏感的数据条目。包含在数百万条SMS消息中的敏感数据包括但不限于：

l  收件人、TrueDialog帐户所有者和TrueDialog用户的全名；

l  讯息内容；

l  电子邮件地址；

l  收件人和用户的电话号码；

l  发送消息的日期和时间；

l  已发送邮件的状态指示器，例如已读回执，答复等；

l  TrueDialog帐户详细信息。

9．Orvibo数据库泄漏20亿条记录

7月，研究人员Rotem和Locar发现了一个与Orvibo Smart Home产品链接的开放数据库，公开了超过20亿条记录。运行IoT平台的Orvibo声称拥有大约100万用户，其中包括使用Orvibo智能家居设备连接房屋、酒店和其他企业的私人用户。

数据泄露影响了来自世界各地的用户。Rotem和Locar为中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西的用户找到了日志。该数据库开放了两个多星期。包括的数据类型：

l  电子邮件地址

l  密码

l  帐户重置代码

l  精确的地理位置

l  IP地址

l  用户名

l  用户身份

l  姓

l  家庭ID

l  智能设备

l  访问帐户的设备

l  安排信息

10．社交媒体资料数据泄漏40亿条记录

10月，Diachenko和Troia在不安全的服务器上发现了向公众公开并易于访问的大量数据，其中包含4 TB的PII，即大约40亿条记录。Troia和Diachenko表示，所有数据集中的唯一身份人员总数已超过12亿，这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名、电子邮件地址、电话号码、LinkedIN和Facebook个人资料信息。

来源：GDPR

https://gdpr.report/news/2019/12/10/privacy-top-ten-data-breaches-of-2019/