2018 年发生了一些大规模的数据泄露事件。新漏洞的消息如此频繁,以至于即使是非技术人员也开始担心他们的在线数据。许多公司增加了在线安全预算。但就成为网络攻击受害者的公司而言,互联网的整体安全态势几乎保持不变。尽管我们在安全解决方案的意识和可用性方面处于更好的位置。尽管如此,还有很多工作要做。
在所有网络攻击中,选择前 10 名数据泄露需要考虑许多参数。因此,此处的 10 大数据泄露列表考虑了以下因素:受影响的人数、组织的声誉、组织的安全状态以及对泄露的响应效率。
1. Aadhaar 漏洞
印度唯一身份识别局 (UIDAI) 在 2018 年遭遇违规,导致 Aadhar 卡(一种用作公民唯一标识符的卡)持有者的所有记录陷入困境。近11 亿人受到影响,他们的个人信息如电话号码、出生日期等受到影响。这些数据在 WhatsApp 上以每条记录 500 印度卢比的价格出售。 UIDAI和TRAI等有关当局最初一直否认发生任何此类事件,但后来考虑了此事。
还有一个有趣的事件是TRAI主席声称没有数据泄露。主席在一条推文中提供了他的手机号码,要求他找到他的地址和其他个人信息。很快,一些安全研究人员想出了他的所有信息,并将其发布在评论中。一个人甚至通过社交工程的一位客户支持主管在电子商务平台上从他的号码下订单。但是,目前尚不清楚这些数据是通过泄露的 Aadhaar 详细信息中的信息获得的,还是仅通过使用 OSINT 获得的。
2. 喜达屋违约
喜达屋是一家连锁酒店,其品牌归马里奥特国际所有。该公司在 2018 年发现,2014 年的数据泄露导致大约5 亿用户的数据被盗。这些数据包含个人信息,包括护照号码、电子邮件、电话号码、地址和信用卡号码。从 2014 年到 2018 年 9 月,攻击者可以访问该数据库。在此期间进行任何预订的几乎每个人都受到了违规的影响。
3. Exactis 漏洞
2018 年 6 月,一位名叫 Vinny Troia 的安全研究人员发现,总部位于美国的数据代理公司 Exactis 的一个数据库被泄露,使其公开。该数据库包含与大约3.4 亿用户相关的3 TB 数据。这些数据包含个人身份信息,例如姓名、电话号码和住址。虽然这些数据没有支付信息或政府身份信息。然而,个人数据涉及宗教信仰、政治取向、利益等约 30 个变量。由于该公司从多个来源收集数据,并且部分数据记录属于知名商人,因此 Exactis 面临着许多因违规而提起的诉讼。
4. Under Armour 漏洞
营养应用“MyFitnessPal”遭到黑客入侵,带有电子邮件和散列密码的个人信息被泄露。 1.5 亿用户受到影响。该公司表示,用户的付款信息仍然是安全的,因为该公司使用单独的渠道进行付款处理。该漏洞发生在 2 月下旬,并于 3 月被公司注意到。该公司表示,除了支付信息安全外,没有泄露任何敏感信息。它还表示,它不会像 SSN 那样存储政府身份。
5. Quora 漏洞
Quora是一个著名的知识和经验分享平台。该网站于 2018 年 12 月通知其用户,第三方未经授权访问了约1 亿用户的敏感数据。这些数据包含姓名、电子邮件、电话号码和散列密码。
6. MyHeritage 漏洞
MyHeritage 是一个在线家谱平台,可帮助人们根据 DNA 确定祖先并寻找亲属。 2018 年,一些研究人员在第三方服务器上发现了与 MyHeritage 用户相关的敏感数据。敏感数据主要包含大约9200 万用户的电子邮件和散列密码。公司经核实后通知用户,要求用户更改密码。
7. Facebook 违规
2018 年 10 月,Facebook 宣布其系统发生数据泄露,并从他们的帐户中注销了大约 9000 万人。攻击者利用“ view as ”功能中的一个漏洞来收集授权令牌,让他们能够完全了解用户数据。据估计,大约有5000 万用户的数据可能已被泄露。 Facebook 将这一预测作为自添加到网站以来使用“查看方式”功能的用户数量的基础。那些至少使用过一次并登录 Facebook 的人会被注销,以防止出现更多问题。
8. Elasticsearch 漏洞
Elasticsearch 是一个基于Java并使用名为 Lucene 的开源库的搜索引擎。该公司有三个配置错误的 IP 地址集群,这些集群将托管信息公开给公众。安全研究人员使用物联网搜索引擎 Shodan 来演示发现这些配置错误的服务器是多么容易。这些暴露了大约73 GB的用户数据,其中包括一般个人数据以及受影响用户的敏感数据。
9. 新蛋违规
安全解决方案公司 Volexity发现电子商店网站包含攻击者在某个时候注入的恶意 JavaScript 代码,该代码将用户数据发送到攻击者拥有的网站。为了避免引起怀疑,攻击者注册了一个网站,其域名包含“ newegg ”一词。他们还向网站提供了 SSL 证书以进一步融入。该公司在审核网站在结账过程中导入的 JS 文件时发现该代码可疑。为了确认这一点,他们对域进行了 Whois 检查,并对 SSL 证书颁发日期进行了检查。该公司于2018年9 月向公众披露了此次攻击事件,并怀疑约有5000 万用户的信用卡信息被泄露。
10. Panera Breach
Panera Bread 是一家在美国和加拿大拥有2000多家商店的面包店/咖啡馆连锁店。该公司于2018年4 月通知媒体,它最近修补了一个导致部分客户数据泄露的漏洞。它还表示,大约有40,000 条记录已被泄露。这是对名为“Krebs on Security”的博客上的一篇文章的回应,该文章声称一个易受攻击的端点已经泄露客户数据 8 个月,并且该漏洞最近才得到修复。博客文章还包括公司与首先通知公司有关泄漏的研究人员之间发生的电子邮件对话的屏幕截图。泄漏被怀疑破坏了比 Panera 声称的要多得多的记录。关于它的信息在 Pastebin 帖子上是公开的,因此很难预测确切的数字。尽管布赖恩·克雷布斯 (Brian Krebs),但作者写道,大约有3700 万。