2019 年数据泄露全年盘点,让人“触目惊心”

2019 年数据泄露全年盘点,让人“触目惊心”

时间:2020-01-09 15:36 作者:admin 点击:
阅读模式 14:39:51 InfoQ

作者丨万佳

2019 年,数据泄露引发全民关注。上至国家政府,下至公民、企业,都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府,数据泄露涉及许多行业。并且,受数据泄露影响的用户范围广泛,类型多样,既有网站注册用户、大学员工、医疗患者,也有艾滋病感染者、警察、孕妇等。

最近一两年,数据泄露事件愈加频繁,受影响用户不断扩大,少则数千万,多达数亿乃至十几亿。 当笔者撰写此文时,一个 Elasticsearch 数据库泄露,包括 27 亿个电子邮件地址,其中 10 亿个密码是以简单的明文存储,涉及国内多家互联网公司。

根据 IBM 的数据泄露年度研究,如果将通知成本、调查、损失控制和修复的相关费用,以及监管部门罚款和诉讼考虑在内,那么数据泄露的平均成本高达 392 万美元。比如,2018 年闹得沸沸扬扬的 Facebook 数据泄露一事,Facebook2019 年以 50 亿美元与美国 FTC 和解。对于上市公司,数据泄露一旦公开,可能导致涉事公司平均股价应声下跌 7.27%,而股价低迷在随后几年将成为现实。据 FireEye 估计,面对网络攻击或数据泄露,只有不到一半的组织已经做好了准备。

因此,我们盘点 2019 年最大的 10 起数据泄露事件,试图得到一些更深的认识。

2019 数据泄露 TOP10 TOP10:Canva 1.39 亿用户数据泄露

报道时间: 5 月 24 日

大致情况:

5 月 24 日,一名自称 GnosticPlayers 的黑客声称窃取了澳大利亚网站 Canva 的 1.39 亿用户数据。据悉,黑客窃取的数据包括用户姓名、用户名、电子邮件地址、城市国家信息,其中 6100 万用户的哈希密码,其他用户的信息还有用于登陆的 Google 令牌。有 7800 万用户使用了 Gmail 地址。Canva 证实它的数据库遭到非法访问,表示尚未发现账号被入侵,出于谨慎考虑它已经鼓励用户更改密码。

Canva 是一个非常受欢迎的平面设计服务,在 Alexa 排名 200 以内。

数据类型: 姓名、用户名、电子邮件地址、位置信息等

泄露原因: 黑客窃取

后续: 公司通知用户更改密码

TOP9:Dubsmash 1.62 亿用户数据泄露

报道时间: 2 月 12 日

大致情况:

2 月 13 日,据 Register 报道,有近 6.17 亿个在线账户的详细信息在暗网上出售,这些账户是黑客从 16 个网站上窃取的。其中,数据泄露最多的是 Dubsmash,有 1.62 亿账户信息被泄露。

据悉,Dubsmash 公司创立于 2014 年,在其应用程序上,用户可以进行对嘴型表演,题材覆盖了卡通动画以及电影和广告短片等,短片录制完成后,可以分享给他人。

数据类型: 用户姓名、ID、电子邮件地址、用户名、密码等

泄露原因: 黑客窃取

后续: 数据被黑客出售

TOP8:2.02 亿中国求职者个人信息泄露

报道时间: 1 月 10 日

大致情况:

1 月 10 日,HackenProof 安全研究员 Bob Diachenko 发现,MongoDB 数据库中有超过 2.02 亿中国求职者的详细简历信息已在网上被公布,疑似第三方应用泄露。据悉,这份数据库存储的 2.02 亿简历中包含 202730434 条记录,信息非常详细,总计 854GB。

数据类型:求职者姓名、身高、体重、地址、出生日期、电话号码、电子邮件地址、政治倾向、技能、工作经历、工资预期、婚姻状况、驾驶执照号码、专业经验和职业期望

泄露原因: 数据库配置错误

后续: 事件披露后不久,该数据库被加入保护机制

TOP7:Zynga2.18 亿游戏玩家数据泄露

报道时间: 10 月 1 日

大致情况:

一名巴基斯坦黑客声称声称入侵移动社交游戏公司 Zynga。这位黑客设法突破由 Zynga 开发的流行字谜游戏“Words with Friends”,并未经授权访问超过 2.18 亿用户的庞大数据库。数据泄露影响所有今年 9 月 2 日及之前注册游戏的安卓和 iOS 游戏玩家。此事被披露后,Zynga 承认数据泄露。

据悉,Zynga 市值超过 50 亿美元,是全球最成功的社交游戏开发商之一,拥有超过 10 亿美元的热门在线游戏集合,包括 FarmVille、Words With Friends、Zynga Poker、Mafia Wars 和 Caf World 等。

数据类型: 姓名、电子邮件地址、登录 ID、密码、密码重置令牌(如果有)、电话号码(如果有)、Facebook ID(如果已连接)、Zynga 帐户 ID

泄露原因: 黑客入侵

后续: 该公司与执法部门联系,并采取措施保护用户账户

TOP6:2.75 亿印度公民个人信息泄露

报道时间: 5 月 1 日

大致情况:

5 月 1 日,据外媒 Security Discovery 报道,他们发现一个未经保护和公开索引的 MongoDB 数据库,其中包括 275265298 条印度公民个人信息记录。这个数据库本身托管在亚马逊 AWS 上,没有泄露源或从属关系的标签,反向 DNS 也没有显示任何结果。

数据类型: 印度公民姓名、电子邮件地址、性别、出生日期、电话号码、教育详细信息、就业详细信息(工资、专业技能、雇主历史记录等)

泄露原因: 黑客窃取

后续: 外媒反馈给印度 CERT 团队

TOP5:Cultura Colectiva 5.4 亿数据泄露

报道时间: 4 月 3 日

大致情况:

4 月 3 日,有安全人员发现两个 Facebook 集成应用的数据集,这些应用不受保护地在 Amazon S3 服务器上存储。其中一个应用来自名为 Cultura Colectiva 的墨西哥公司,该公司存储了 146 GB 大小的用户数据,总计超过 5.4 亿条记录。研究人员通知了 Cultura Colectiva 和亚马逊网络服务部门,让他们知道数据公开曝光这件事。第一封电子邮件通知在今年 1 月 10 日发出,然而直到 4 月份,数据库才得到保障。

数据类型: Facebook 用户 ID、账户名、评论和喜欢的内容

泄露原因: 数据库配置错误

后续: 数据库得到很快保护

TOP4:16 家国外网站 6.2 亿用户数据泄露

报道时间: 2 月 13 日

大致情况:

2 月 13 日,据国外媒体 The Register 独家披露,一个名为 Dream Market 的暗网市场正在出售 6.2 亿用户信息,交易通过比特币转账,打包售价不高于 2 万美元。该卖家宣称这些数据来自 16 个被攻击的网站:

Dubsmash(1.62 亿)、MyFitnessPal(1.51 亿)、MyHeritage(9200 万)、ShareThis(4100 万)、HauteLook(2800 万)、Animoto(2500 万)、EyeEm(2200 万),8fit(2000 万)、Whitepages(1800 万)、Fotolog(1600 万)、500px(1500 万)、Armor Games(1100 万)、BookMate(800 万)、CoffeeMeetsBagel(600 万)、Artsy(100 万) 和 DataCamp(70 万)。

数据类型: 账户持有人姓名、电子邮件地址、位置、密码、社交媒体身份验证信息等

泄露原因: 黑客攻击

后续: 在暗网被贩卖

TOP3:First American Financial Corporation 8.85 亿数据泄露

报道时间: 5 月 24 日

大致情况:

5 月 24 日,独立安全记者 Brian Krebs 透露,美国房地产和产权保险巨头 First American 8.85 亿份敏感客户财务记录被泄露。据悉,这些记录可以追溯到 2003 年,而且任何人都可以进行访问。Krebs 称攻击者如果知道该公司文档的 url 格式,就可以通过输入以 “000000075” 开头的任何记录号,调出相关客户材料。

数据类型: 姓名、社会安全号码、电话号码、电子邮件、地址、驾照、银行账号和对账单、抵押贷款和税务文件,以及电汇收据

泄露原因: IDOR 漏洞

后续: 公司关闭网站,禁止外部对该应用程序的访问,内部进行审查

TOP2:Verifications.io 9.8 亿数据泄露

报道时间: 3 月 7 日

大致情况:

3 月 7 日,Security Discovery 安全研究人员 Bob Diachenko 披露一个可公开访问的 MongoDB 数据库,包含 982864972 条记录。据悉,这些记录包含 7.98 亿的电子邮件记录、超过 400 万备注了电话号码的 E-mail 地址、以及超过 600 万条被识别为 商业线索 的信息。

数据类型: 姓名、地址、电子邮件地址、出生日期、电话号码、传真号码、性别、IP 地址、邮政编码

泄露原因: 数据库配置错误而暴露于网上

后续: 网站脱机,公司称已对数据库做好保护

TOP1:Elasticsearch 27 亿数据泄露

报道时间: 12 月 4 日

大致情况:

12 月 4 日,国外网络安全研究人员发现一个 Elasticsearch 数据库泄露,包括 27 亿个电子邮件地址,其中 10 亿个密码都是以简单的明文存储。据悉,大多数被盗邮件域名来自中国邮件提供商,涵盖腾讯、新浪、和网易等。另外,雅虎、Gmail 以及一些俄罗斯的邮件域名也受到影响。

数据类型: 电子邮件地址、密码等

泄露原因: 未知

后续: 12 月 9 日,该数据库被禁止访问

数据泄露原因分析

截至笔者撰写此文,上述是 2019 年 TOP 10 数据泄露事件。它们有两大特点: 一是泄露数据惊人,动辄亿级,且受影响用户数巨大。 更夸张的是,甚至有几十亿的数据泄露。

二是泄露数据内容详细,维度多,颗粒度细 。以 2.02 亿中国求职者个人信息泄露为例, 泄露数据维度有 15 种,几乎包含了其他人想知道的“所有信息”。如果这些信息被不法分子所利用,可以生出“无穷祸患”。

当然,这 10 起数据泄露虽然被视为“TOP 10”,但是过少的数据泄露事件无法揭示更多信息。因此,笔者进一步统计了 2019 年媒体公开报道的数据泄露事件( 注: 因个人收集渠道有限,难免有遗漏,欢迎读者补充 )

数据泄露统计

2019 年,笔者从公开渠道统计出数据泄露事件一共有 43 件,如上表。