2018年,全球共登记了2263起泄露机密信息的公开案件。 86% 的事件中个人数据和支付信息遭到泄露,即约 7,3 亿条用户数据记录。 日本加密货币交易所 Coincheck 由于其客户的在线钱包被盗而损失了 534 亿美元。 这是报告的最大损失金额。
2019年的统计数据仍未知。 但已经有不少耸人听闻的“泄密”,这令人悲伤。 我们决定回顾今年年初以来讨论最多的泄密事件。 正如他们所说,“还会有更多”。
18月XNUMX日:收集基地
18 月 XNUMX 日,媒体开始报道在公共领域发现的数据库 有密码的邮箱(包括来自俄罗斯的用户)。 该数据库是多年来积累的约两千个不同站点的泄露数据库的集合。 因此它被称为 Collection #1。 从规模来看,它是历史上第二大被黑地址数据库(第一个数据库是 1 年出现的 2013 亿雅虎用户档案)。
很快我们就发现,Collection #1 只是最终落入黑客手中的数据阵列的一部分。 信息安全专家还发现了其他2至5个“集合”,总体积为845GB。 尽管某些登录名和密码已经过时,但数据库中的几乎所有信息都是最新的。
网络安全专家 Brian Krebs 联系了出售档案的黑客,发现 Collection #1 已经有大约两三年了。 据黑客称,他还出售更新的数据库,容量超过 XNUMX TB。
11月16日:XNUMX家主要网站用户数据泄露
The Register 11 月 XNUMX 日版 Dream Market交易平台出售主要互联网服务620亿用户的数据:
- Dubsmash(162 亿)
- MyFitnessPal(151 亿)
- 我的遗产(92 万)
- 分享此(41 万)
- 高级外观(28 万)
- 阿尼莫托 (25 万)
- EyeEm(22 万)
- 8fit(20万)
- 白页(18 万)
- 照片记录(16 万)
- 500 像素(15 万)
- 装甲游戏(11 万)
- BookMate(8万)
- 咖啡遇见百吉饼(6 万)
- 艺术气息(1 万)
- 数据营 (700)
攻击者索要大约20万美元购买整个数据库;他们还可以单独购买每个站点的数据档案。
所有网站都在不同时间遭到黑客攻击。 例如,照片门户 500px 报道称泄露发生在 5 年 2018 月 XNUMX 日,但直到包含数据的档案出现后才为人所知。
数据库 电子邮件地址、用户名和密码。 然而,有一个令人高兴的事实:密码大多以某种方式加密。 也就是说,要使用它们,你首先得绞尽脑汁地解密数据。 不过,如果密码很简单,那么很有可能被猜到。
25 月 XNUMX 日:MongoDB 数据库暴露
25 月 XNUMX 日,信息安全专家 Bob Dyachenko online,一个不安全的 150GB MongoDB 数据库,包含超过 800 亿条个人数据记录。 该档案包含电子邮件地址、姓氏、性别和出生日期信息、电话号码、邮政编码和地址以及 IP 地址。
有问题的数据库属于Verifications IO LLC,该公司从事电子邮件营销。 它的服务之一是检查公司电子邮件。 有关有问题数据库的信息一出现在媒体上,该公司的网站和数据库本身就变得无法访问。 随后,Verifications IO LLC 的代表表示,该数据库不包含来自该公司客户的数据,而是通过开源补充的。
10 月 XNUMX 日:Facebook 用户数据通过 FQuiz 和 Supertest 应用程序泄露
The Verge 10 月 XNUMX 日版 Facebook 对两名乌克兰开发商 Gleb Sluchevsky 和 Andrei Gorbachev 提起诉讼。 他们被指控盗窃用户的个人数据。
开发人员创建应用程序来进行测试。 这些程序安装了收集用户数据的浏览器扩展。 2017-2018 年间,FQuiz 和 Supertest 等四个应用程序窃取了约 63 万用户的数据。 主要来自俄罗斯和乌克兰的用户受到影响。
21 月 XNUMX 日:数亿 Facebook 密码未加密
21月XNUMX日,记者布莱恩·克雷布斯报道 Facebook 长期以来一直存储着数百万个未加密的密码。 该公司大约 20 名员工可以查看 200 至 600 亿 Facebook 用户的密码,因为它们以纯文本格式存储。 一些 Instagram 密码也包含在这个不受保护的数据库中。 很快社交网络本身将正式 信息。
Facebook 负责工程、安全和隐私的副总裁佩德罗·卡纳瓦蒂 (Pedro Canahuati) 表示,未加密存储密码的问题已经得到解决。 一般来说,Facebook 登录系统的设计目的是使密码不可读。 该公司没有发现任何证据表明未加密的密码被不当访问。
21 月 XNUMX 日:丰田客户数据泄露
XNUMX月底,日本汽车制造商丰田 黑客成功窃取了多达 3,1 万公司客户的个人数据。 21月XNUMX日,丰田贸易部门和五个子公司的系统遭到黑客攻击。
该公司没有透露哪些客户的个人数据被盗。 不过,她表示,攻击者无法获取有关银行卡的信息。
21 月 XNUMX 日:EIS 网站上公布利佩茨克地区患者的数据
21月XNUMX日,“患者控制”公众运动的积极分子 利佩茨克州卫生局在EIS网站上发布的信息中,提供了患者的个人数据。
政府采购网站上发布了多起提供紧急医疗服务的拍卖:病人必须被转移到地区外的其他机构。 这些描述包含有关患者的姓氏、家庭住址、诊断、ICD 代码、个人资料等信息。 令人难以置信的是,仅去年一年,患者数据就被公开发布了不下八次(!)。
利佩茨克州卫生部门负责人尤里·舒尔舒科夫表示,内部调查已经启动,并将向公布数据的患者道歉。 利佩茨克地区检察官办公室也开始调查这一事件。
04 月 540 日:XNUMX 亿 Facebook 用户数据泄露
信息安全公司UpGuard 超过 540 亿 Facebook 用户的数据已公开。
在墨西哥数字平台 Cultura Colectiva 上发现了带有评论、点赞和帐户名的社交网络成员的帖子。 在现已停用的 At the Pool 应用程序中,姓名、密码、电子邮件地址和其他数据均可用。
10月XNUMX日:莫斯科地区救护车患者数据在网上泄露
在莫斯科地区的紧急医疗救助站(EMS),大概。 执法机构开始对事件报告进行预调查检查。
在其中一个文件托管服务上发现了一个 17,8 GB 的文件,其中包含有关莫斯科地区救护车呼叫的信息。 文件包含呼叫救护车的人的姓名、联系电话、呼叫团队的地址、呼叫的日期和时间,甚至患者的病情。 梅季希、德米特罗夫、多尔戈普鲁德内、科罗廖夫和巴拉希哈居民的数据遭到泄露。 据推测,该基地是由乌克兰黑客组织的活动人士建造的。
12月XNUMX日:央行黑名单
央行反洗钱黑名单中的银行客户数据 12 月 120 日。 我们正在谈论来自大约 115 万客户的信息,这些客户根据打击洗钱和资助恐怖主义的法律 (XNUMX-FZ) 被拒绝提供服务。
该数据库的大部分由个人和个体企业家组成,其余为法人实体。 对于个人来说,数据库包含有关他们的全名、出生日期、序列号和护照号码的信息。 关于个人企业家 - 全名和 INN,关于公司 - 名称、INN、OGRN。 其中一家银行向记者非正式承认,名单中包括真正被拒绝的客户。 该数据库涵盖26年2017月6日至2017年XNUMX月XNUMX日的“refuseniks”。
15月XNUMX日:数千名美国警察和联邦调查局雇员的个人数据公布
一个网络犯罪团伙成功侵入了多个与美国联邦调查局相关的网站。 她还在互联网上发布了数十份文件,其中包含数千名警察和联邦特工的个人信息。
利用公开可用的漏洞,攻击者设法访问与匡蒂科(弗吉尼亚州)联邦调查局学院相关的协会的网络资源。 关于它 TechCrunch的。
被盗档案包含美国执法部门和联邦官员的姓名、地址、电话号码、电子邮件和职位信息。 总共大约有 4000 个不同的条目。
25 月 XNUMX 日:Docker Hub 用户数据泄露
网络犯罪分子获得了全球最大容器镜像库 Docker Hub 的数据库访问权限,导致约 190 万用户的数据遭到泄露。 该数据库包含用于自动化 Docker 构建的 GitHub 和 Bitbucket 存储库的用户名、密码哈希值和令牌。
Docker 中心管理 26 月 25 日星期五晚间,用户向我们通报了这一事件。 根据官方信息,XNUMX 月 XNUMX 日,数据库遭到未经授权的访问。 该事件的调查尚未完成。
你还可以记得不久前与Doc+的故事 关于哈布雷,不愉快 公民向交警和 FSSP 付款以及他描述的其他泄密事件 .
作为结论
政府机构、社交网络和大型网站上存储的数据的不安全性以及盗窃的规模令人恐惧。 令人遗憾的是,泄密已变得司空见惯。 许多个人数据已被泄露的人甚至不知道这一点。 如果他们知道的话,他们将不会采取任何措施来保护自己。
来源: habr.com