12月10日报道,仅在2018年,就有5亿个人记录被盗。根据《2019年第三季度基于风险的数据违规快速查看报告》,截至9月底,共有5183次违规,暴露了79亿条记录。与2018年第三季度报告相比,违规总数上升了33.3%,暴露的记录总数上升了112%。
下面是2019年十大数据泄露事件:
1.中国求职者MongoDB泄露2.02亿条记录
2019年1月,网络安全公司Hacken的专家兼研究员Bob Diachenko发现了一个854 GB的MongoDB数据库,其中包含2亿多条有关中国求职者的记录。数据包含候选人的技能和工作经验,以及个人识别信息,例如电话号码、电子邮件地址、婚姻状况、政治倾向、身高、体重、驾驶执照信息、薪资期望和其他高度个人数据。
2.印度公民MongoDB数据库泄露2.75亿条记录
2019年5月,Diachenko再次透露他发现了一个MongoDB数据库,该数据库暴露了2.7亿多条包含高度PII(个人识别信息)的印度公民记录。该数据库未受保护超过两个星期。
3.第三方Facebook应用程序数据泄露5.4亿条记录
2019年4月,UpGuard安全研究人员透露,有两个第三方开发的Facebook应用程序数据集已暴露于公共互联网中。一个数据库来自墨西哥的媒体公司Cultura Colectiva,重达146 GB,其中有5.4亿条记录详细记录了评论、喜欢、反应、用户名、Facebook ID等。
研究人员说,另一个第三方应用“At the Pool”通过Amazon S3存储桶暴露在公共互联网中。该数据库包含用户信息,例如用户名ID、朋友、音乐、电影、书籍、照片、密码等。
4.梦想市场(Dream Market)在暗网出售6.2亿条记录
2月,据《The Register》报道,从16个被黑网站窃取的大约6.17亿个在线帐户详细信息正在暗网中出售。以下帐户数据库正在Dream Market上出售:
l Dubsmash(1.62亿)
l MyFitnessPal(1.51亿)
l MyHeritage(9200万)
l ShareThis(4100万)
l HauteLook(2800万)
l Animoto (2500万)
l EyeEm(2200万)
l 8fit(2000万)
l Whitepages(1800万)
l Fotolog(1600万)
l 500px(1500万)
l Armor Games(1100万)
l BookMate(800万)
l CoffeeMeetsBagel(600万)
l Artsy(100万)
l DataCamp (70万)
根据该报告,帐户记录主要包括帐户持有人姓名、电子邮件地址和密码。这些密码是经过哈希处理或单向加密的,必须经过破解才能使用。
5.“Collection #1”数据违规泄露7.73亿条记录
1月,特洛伊·亨特(Troy Hunt)找到了一组电子邮件地址和密码,总计约2.7亿行,其中包括来自数千个不同来源的许多不同的个人数据泄露。总共有1.16亿个电子邮件地址和密码。
6.Verifications.io数据泄露8.08亿条记录
4月,安全研究员 Diachenko和Vinny Troia报告说,他们找到了一个可公开访问的MondoDB数据库,该数据库包含150GB的详细营销数据。该数据库归电子邮件验证公司Verifications.io所有。该数据库包含四个单独的数据集合,总计8.08亿条记录。
7.First American数据泄露8.85亿条记录
7月,美国最大的房地产所有权保险公司第一美国金融公司(First American Financial Corp.)数据泄漏了8.85亿个人的交易记录。根据美国记者布莱恩·克雷布斯(Brian Krebs)的说法,其泄露了2003年以来与抵押交易相关的数亿份文件。记录包括银行帐号和对帐单、抵押和税务记录、社会保险号、电汇收据和驾驶执照图像。
8.TrueDialog数据泄露超过10亿条记录
TrueDialog总部位于美国德克萨斯州奥斯汀,为大型和小型企业创建SMS解决方案,目前与990多家手机运营商合作,在全球拥有超过50亿用户。
vpnMentor、Noam Rotem和Ran Locar的研究人员表示,由Microsoft Azure托管并在美国Oracle Marketing Cloud上运行的TrueDialog数据库包含604 GB的数据。其中包括近10亿个高度敏感的数据条目。包含在数百万条SMS消息中的敏感数据包括但不限于:
l 收件人、TrueDialog帐户所有者和TrueDialog用户的全名;
l 讯息内容;
l 电子邮件地址;
l 收件人和用户的电话号码;
l 发送消息的日期和时间;
l 已发送邮件的状态指示器,例如已读回执,答复等;
l TrueDialog帐户详细信息。
9.Orvibo数据库泄漏20亿条记录
7月,研究人员Rotem和Locar发现了一个与Orvibo Smart Home产品链接的开放数据库,公开了超过20亿条记录。运行IoT平台的Orvibo声称拥有大约100万用户,其中包括使用Orvibo智能家居设备连接房屋、酒店和其他企业的私人用户。
数据泄露影响了来自世界各地的用户。Rotem和Locar为中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西的用户找到了日志。该数据库开放了两个多星期。包括的数据类型:
l 电子邮件地址
l 密码
l 帐户重置代码
l 精确的地理位置
l IP地址
l 用户名
l 用户身份
l 姓
l 家庭ID
l 智能设备
l 访问帐户的设备
l 安排信息
10.社交媒体资料数据泄漏40亿条记录
10月,Diachenko和Troia在不安全的服务器上发现了向公众公开并易于访问的大量数据,其中包含4 TB的PII,即大约40亿条记录。Troia和Diachenko表示,所有数据集中的唯一身份人员总数已超过12亿,这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名、电子邮件地址、电话号码、LinkedIN和Facebook个人资料信息。
来源:GDPR
https://gdpr.report/news/2019/12/10/privacy-top-ten-data-breaches-of-2019/