知識星球來自:ITPUB(id:itpuber)
2018年已經過了一大半,在過去的8個月裡,“資料洩露”的字眼總是活躍在我們眼前,全球各地深受資料洩露事件的困擾,已造成數以萬計的損失。據《2018資料洩露損失研究》評估顯示,大型資料洩露代價高昂,百萬條記錄可致損失4000萬美元,5000萬條記錄可致損失3.5億美元。遭遇資料洩露事件的公司企業平均要損失386萬美元,同比去年增加了6.4%。
根據全球各地頻發的資料洩露事件,整理了2018年上半年度的10起國內外影響最大的資料洩露事件,希望以此引起廣大網友對資料安全的重視。
1.Aadhaar
洩密指數:★★★★★
洩密數量:10億條
事件時間:2018年1月3日
事件回顧:
今年1月份,印度10億公民身份資料庫Aadhaar被曝遭網路攻擊,該資料庫除了名字、電話號碼、郵箱地址等之外還有指紋、虹膜紀錄等極度敏感的資訊。
印度Tribune報道指出,他們能夠透過一個WhatsApp匿名群組花上500盧比就能獲得訪問該資料庫的一個賬號。透過輸入任何一個Aadhaar號碼(一個12位的唯一識別符號,每個印度公民會使用到它)檢索印度唯一身份識別管理局(UIDAI)儲存的關於被查詢公民的諸多型別的資訊。這些資料包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用後,任何人都可以透過該軟體列印某個Aadhaar號碼歸屬者的身份證。
2.Facebook
洩密指數:★★★☆☆
洩密數量:超過8700萬條
事件時間:2018年3月17日
事件回顧:
今年3月,一家名為Cambridge Analytica的資料分析公司透過一個應用程式收集了5000萬Facebook使用者的個人資訊,該應用程式詳細描述了使用者的個性、社交網路以及在平臺上的參與度。儘管Cambridge Analytica公司聲稱它只擁有3000萬使用者的資訊,但經過Facebook的確認,最初的估計實際上很低。今年 4月,該公司通知了在其平臺上的8700萬名使用者,他們的資料已經遭到洩露。
不幸的是,隨著對Facebook應用程式更深入的審查,看起來Cambridge Analytica醜聞可能只是冰山一角。6月27日,安全研究員Inti DeCeukelaire透露了另一個名為Nametests.com的應用程式,它已經暴露了超過1.2億使用者的資訊。
3.Panera
洩密指數: ★★☆☆☆
洩密數量:3700萬條
事件時間:2018年4月2日
事件回顧:
4月2日,安全研究員DylanHoulihan聯絡了調查資訊保安記者Brian Krebs,向他講述了他在2017年8月向Panera Bread報告的一個漏洞。該漏洞導致Panerabread.com以明文洩露客戶記錄,這些資料可以透過自動化工具進行抓取和索引。Houlihan試圖向Panera Bread報告這個漏洞,但他告訴Krebs,他的報告被駁回了。在此後的八個月裡,Houlihan每個月都會檢查一次這個漏洞,直到最終向Krebs披露。隨後,Krebs在他的部落格上公佈了這些細節。在Krebs 的報告釋出後,Panera Bread暫時關閉了起網站。
儘管該公司最初試圖淡化此次資料洩露事件的嚴重程度,並表示受到影響的客戶不到1萬人,但據信真實數字高達3700萬。
4.UnderArmour
洩密指數:★★★★☆
洩密數量:1.5億條
事件時間:2018年5月25日
事件回顧:
3月25日,美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal使用者資料被洩露了,MyFitnessPal是一款Under Armour旗下的食物和營養主題應用,以跟蹤使用者每天消耗的卡路里、設定運動標的、整合來自其他運動裝置的資料、分享運動成果到社交平臺而受到廣大歡迎。
據該公司稱,此次資料洩露事件影響到的使用者資料包括使用者名稱、郵箱地址、和加密的密碼,但並沒有涉及到使用者的社會安全號碼(Social Security numbers)、駕駛證號、和銀行卡號等隱私資訊。
5.MyHeritage
洩密指數:★★★★☆
洩密數量:超過9200萬條
事件時間:2018年6月4日
事件回顧:
6月4日,MyHeritage的安全管理員收到一位研究人員發來的訊息稱,其在該公司外部的一個私有伺服器上發現了一份名為《myheritage》的檔案,裡麵包含了9228萬個MyHeritage帳號的電子郵件地址和加密密碼。在檢查檔案後,MyHeritage的安全管理員確認該資產包含了在2017年10月26日之前已註冊MyHeritage的所有使用者的電子郵箱地址。
隨後該公司釋出的一份宣告稱,由於MyHeritage依賴第三方服務提供商來處理會員的付款,駭客破解了密碼機制,獲得雜湊密碼,但不包含支付資訊。服務將家譜和DNA資料儲存在與儲存電子郵箱地址的伺服器不同的伺服器上,該公司表示,沒有證據表明檔案中的資料被駭客利用。
6.Ticketfly
洩密指數:★★☆☆☆
洩密數量:超過2700萬條
事件時間:2018年6月3日
事件回顧:
5月31日,美國票務巨頭Ticketfly遭遇駭客攻擊勒索,導致音樂會和體育賽事票務網站遭到破壞,並離線和中斷一週。據報道,此次攻擊事件背後的駭客先是警告Ticketfly存在一個漏洞,並要求其支付贖金。當遭到該公司的拒絕後,駭客劫持了Ticketfly網站,替換了它的主頁。
據駭客IsHaKdZ表示,他手中擁有完整的資料庫,裡麵包含2700萬個Ticketfly賬戶相關資訊(如姓名、家庭住址、電子郵箱地址和電話號碼等,涉及員工和使用者)。
7.Sacramento Bee
洩密指數:★★☆☆☆
洩密數量:1950萬條
事件時間:2018年6月7日
事件回顧:
今年2月,一名匿名攻擊者截獲了由SacramentoBee擁有並運營的兩個資料庫。其中一個IT資產包含加利福尼亞州州務卿提供的加州選民登記資料,而另一個則儲存了使用者為訂閱該報刊而提供的聯絡資訊。在截獲了這些資源之後,攻擊者要求支付贖金以換取重新獲得對資料的訪問許可權。Sacramento Bee最終拒絕了這一要求,並刪除了資料庫,以防止在將來這些資料庫在被利用來進行其他更多的攻擊。
根據Sacramento Bee的說法,這起駭客攻擊事件共暴露了5.3萬名訂閱者的聯絡資訊以及1940萬加州選民的個人資料。
8.AcFun
洩密指數: ★★☆☆☆
洩密數量:800 萬條
事件時間:2018年6月14日
事件回顧:
6月14日凌晨,國內著名網站彈幕影片網站 AcFun(A 站)在官網釋出 《關於AcFun 受駭客攻擊致用戶資料外洩的公告》稱,該網站曾遭遇駭客攻擊,近千萬條使用者資料已發生外洩,其中包括使用者ID、暱稱以及加密儲存的密碼等資料均遭洩露。
其實早在今年 3 月份,暗網論壇中就有人公開出售 AcFun 的一手使用者資料,數量高達 800 萬條,而價格僅為12000元,平均 1 元能買到 800 條。而在AcFun 釋出此次資料洩露公告之前,暗網中也早有人兜售其 Shell 和內網許可權,主要賣點就是資料量大以及日流量高。
9.圓通
洩密指數:★★★★★
洩密數量:10億條
事件時間:2018年6月19日
事件回顧:
6月19日,一位ID為“f666666”的使用者在暗網上開始兜售圓通10億條快遞資料,該使用者表示售賣的資料為2014年下旬的資料,資料資訊包括寄(收)件人姓名,電話,地址等資訊,10億條資料已經經過去重處理,資料重覆率低於20%,並以1比特幣打包出售。
並且該使用者還支援使用者對資料真實性進行驗貨,但驗貨費用為0.01比特幣(約合431.98元),驗貨資料量為100萬條。此驗貨資料是從10億條資料裡隨機抽選的,每條資料完全不同,也就是說使用者只要花430元人民幣即可購買到100萬條圓通快遞的個人使用者資訊,而10億條資料則需要43197元人民幣。
10.華住旗下多個連鎖酒店開房資訊
洩密指數:★★★★★
洩密數量:5億條
事件時間:2018年8月28日
事件回顧:
華住旗下多個連鎖酒店開房資訊資料正在暗網出售,受到影響的酒店,包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等,洩露資料總數更是近 5億!
從網路上流傳的截圖可以看出,駭客目前正在資料資訊如下,有幾大數字值得我們註意:
1. 華住官網註冊資料,包括姓名、手機號、郵箱、身份證號、登入密碼等,共 53 G,大約1.23 億條記錄;
2. 酒店入住登記身份資訊,包括姓名、身份證號、家庭住址、生日、內部 ID 號,共 22.3 G,約 1.3 億人身份證資訊;
3. 酒店開房記錄,包括內部ID賬號,同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID賬號、房間號、消費金額等,共66.2 G,約 2.4 億條記錄;
資料之齊全,令人咋舌。
發帖人聲稱,所有資料脫庫時間是 8 月 14 日,每部分資料都提供 10000 條測試資料。所有資料打包售賣 8 比特幣,按照當天匯率約約合 37 萬人民幣。而經過媒體報道之後,該發帖人稱要減價至 1 比特幣出售……
據研究人員表示,此次洩露的原因是華住公司程式員將資料庫連線方式及密碼上傳到 GitHub 導致的。而資料庫資訊是20天前傳到了Github上,而駭客拖庫是在14天前,駭客很可能是利用此資訊實施攻擊並拖庫.
資訊化時代的今天,面對資料洩露事件的層出不窮,國家,企事業單位,個人都應提高對資料安全的重視,加強對自身資料的保護措施。
●編號695,輸入編號直達本文
●輸入m獲取文章目錄
Linux學習
更多推薦《18個技術類公眾微信》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。
