信息來源：51cto

2018年才只過去了一半，但是已經(jīng)被報(bào)道的一些數(shù)據(jù)泄露的規(guī)模是令人震驚的。你認(rèn)為Facebook是最大的一個(gè)嗎?請(qǐng)?jiān)俨乱淮巍?

對(duì)于信息安全來說，六個(gè)月可以說是一段很長(zhǎng)的時(shí)間，因此在2018年上半年出現(xiàn)了大量的數(shù)據(jù)泄露事件，也就不足為奇了。以下是我們匯總的2018年至今被披露的十起規(guī)模較大的數(shù)據(jù)泄露事件，其中包括事件的故事本身以及遭泄露數(shù)據(jù)的數(shù)量。

一、2018上半年十大數(shù)據(jù)泄露事件

10. Saks和 Lord & Taylor

• 泄露數(shù)據(jù)500萬(wàn)條
• 披露日期：2018年4月3日

3月底，安全公司Gemini Advisory偶然發(fā)現(xiàn)了一個(gè)來自JokerStash黑客集團(tuán)發(fā)布的公告，宣稱已出售有關(guān)500萬(wàn)張被盜信用卡和借記卡的數(shù)據(jù)。在各種金融機(jī)構(gòu)的協(xié)助下，Gemini Advisory公司對(duì)這些交易進(jìn)行了追蹤，并最終將這些交易歸因于Saks Fifth Avenue和Lord&Taylor的系統(tǒng)入侵。兩家百貨公司的共同所有者Hudson Bay在了解到這一事件之后，采取了補(bǔ)救措施。但對(duì)于Bernadette Beekman來說，這還遠(yuǎn)遠(yuǎn)不夠，他于2018年4月代表在2017年3月至2018年3月的黑客入侵期間在Lord&Taylor商店使用支付卡消費(fèi)的所有客戶提起了集體訴訟。在她的訴訟中，Beekman稱Lord&Taylor“未能遵守安全標(biāo)準(zhǔn)，并在用于保護(hù)其客戶的財(cái)務(wù)信息和其他隱私信息的安全措施上‘偷工減料’，而原本這些安全措施本可以防止或減輕安全漏洞所帶來的影響?！?

9. PumpUp

• 泄露數(shù)據(jù)600萬(wàn)條
• 披露日期：2018年5月31日

5月31日，ZDNet報(bào)道稱，安全研究員Oliver Hough聯(lián)系他們說發(fā)現(xiàn)了一臺(tái)暴露在互聯(lián)網(wǎng)上的后端服務(wù)器，并且沒有得到密碼。該服務(wù)器屬于健身應(yīng)用程序PumpUp，它使得任何能夠找到它的人都能訪問大量的敏感用戶數(shù)據(jù)，包括用戶輸入的健康信息、照片以及用戶之間發(fā)送的私人消息。暴露的數(shù)據(jù)還包含F(xiàn)acebook訪問令牌，在某些情況下還包含未加密的信用卡數(shù)據(jù)，如卡號(hào)、到期日期和信用卡驗(yàn)證值。

當(dāng)ZDNet與PumpUp取得聯(lián)系時(shí)，該公司并沒有做出回應(yīng)，但它確實(shí)悄悄地對(duì)服務(wù)器實(shí)施了保護(hù)措施。目前尚不清楚該資產(chǎn)在受到保護(hù)之前，已經(jīng)暴露了多長(zhǎng)的時(shí)間。

8. Sacramento Bee

• 泄露數(shù)據(jù)1950萬(wàn)條
• 披露日期：2018年6月7日

今年2月，一名匿名攻擊者截獲了由Sacramento Bee擁有并運(yùn)營(yíng)的兩個(gè)數(shù)據(jù)庫(kù)。其中一個(gè)IT資產(chǎn)包含加利福尼亞州州務(wù)卿提供的加州選民登記數(shù)據(jù)，而另一個(gè)則存儲(chǔ)了用戶為訂閱該報(bào)刊而提供的聯(lián)系信息。在截獲了這些資源之后，攻擊者要求支付贖金以換取重新獲得對(duì)數(shù)據(jù)的訪問權(quán)限。Sacramento Bee最終拒絕了這一要求，并刪除了數(shù)據(jù)庫(kù)，以防止在將來這些數(shù)據(jù)庫(kù)在被利用來進(jìn)行其他更多的攻擊。

根據(jù)Sacramento Bee的說法，這起黑客攻擊事件共暴露了5.3萬(wàn)名訂閱者的聯(lián)系信息以及1940萬(wàn)加州選民的個(gè)人數(shù)據(jù)。

7. Ticketfly

• 泄露數(shù)據(jù)超過2700萬(wàn)條
• 披露日期：2018年6月7日

5月31日，Ticketfly遭遇了一次攻擊，導(dǎo)致音樂會(huì)和體育賽事票務(wù)網(wǎng)站遭到破壞，并離線和中斷一周。據(jù)報(bào)道，此次攻擊事件背后的黑客先是警告Ticketfly存在一個(gè)漏洞，并要求其支付贖金。當(dāng)遭到該公司的拒絕后，黑客劫持了Ticketfly網(wǎng)站，替換了它的主頁(yè)，用一個(gè)包含2700萬(wàn)個(gè)Ticketfly賬戶相關(guān)信息(如姓名、家庭住址、電子郵箱地址和電話號(hào)碼等，涉及員工和用戶)的頁(yè)面。

6. Panera

• 泄露數(shù)據(jù)3700萬(wàn)條
• 披露日期：2018年4月2日

4月2日，安全研究員Dylan Houlihan聯(lián)系了調(diào)查信息安全記者Brian Krebs，向他講述了他在2017年8月向Panera Bread報(bào)告的一個(gè)漏洞。該漏洞導(dǎo)致Panerabread.com以明文泄露客戶記錄，這些數(shù)據(jù)可以通過自動(dòng)化工具進(jìn)行抓取和索引。Houlihan試圖向Panera Bread報(bào)告這個(gè)漏洞，但他告訴Krebs，他的報(bào)告被駁回了。在此后的八個(gè)月里，Houlihan每個(gè)月都會(huì)檢查一次這個(gè)漏洞，直到最終向Krebs披露。隨后，Krebs在他的博客上公布了這些細(xì)節(jié)。在Krebs 的報(bào)告發(fā)布后，Panera Bread暫時(shí)關(guān)閉了起網(wǎng)站。

盡管該公司最初試圖淡化此次數(shù)據(jù)泄露事件的嚴(yán)重程度，并表示受到影響的客戶不到1萬(wàn)人，但據(jù)信真實(shí)數(shù)字高達(dá)3700萬(wàn)。

5. Facebook

• 泄露數(shù)據(jù)至少8700萬(wàn)條(盡管可能還有更多)
• 披露日期：2018年3月17日

誰(shuí)能忘記2018年3月令人震撼的Facebook數(shù)據(jù)泄露丑聞?當(dāng)時(shí)，有報(bào)道稱，一家名為Cambridge Analytica的數(shù)據(jù)分析公司通過一個(gè)應(yīng)用程序收集了5000萬(wàn)Facebook用戶的個(gè)人信息，該應(yīng)用程序詳細(xì)描述了用戶的個(gè)性、社交網(wǎng)絡(luò)以及在平臺(tái)上的參與度。盡管Cambridge Analytica公司聲稱它只擁有3000萬(wàn)用戶的信息，但經(jīng)過Facebook的確認(rèn)，最初的估計(jì)實(shí)際上很低。今年 4月，該公司通知了在其平臺(tái)上的8700萬(wàn)名用戶，他們的數(shù)據(jù)已經(jīng)遭到泄露。

不幸的是，隨著對(duì)Facebook應(yīng)用程序更深入的審查，看起來Cambridge Analytica丑聞可能只是冰山一角。6月27日，安全研究員Inti De Ceukelaire透露了另一個(gè)名為Nametests.com的應(yīng)用程序，它已經(jīng)暴露了超過1.2億用戶的信息。

4.  MyHeritage

• 泄露數(shù)據(jù)超過9200萬(wàn)條
• 披露日期：2018年6月4日

一名安全研究員于6月4日聯(lián)系了在線家譜平臺(tái)MyHeritage的首席信息安全官，并透露他們?cè)诠就獾乃饺朔?wù)器上找到了一個(gè)標(biāo)有“myheritage”的文件。在檢查文件后，MyHeritage的官員確認(rèn)該資產(chǎn)包含了在2017年10月26日之前已注冊(cè)MyHeritage的所有用戶的電子郵箱地址。該公司發(fā)布的一份聲明稱，由于MyHeritage依賴第三方服務(wù)提供商來處理會(huì)員的付款，因此它也包含了他們的哈希密碼，但不包含支付信息。由于該服務(wù)將家譜和DNA數(shù)據(jù)存儲(chǔ)在與存儲(chǔ)電子郵箱地址的服務(wù)器不同的服務(wù)器上，因此MyHeritage表示沒有理由相信這些信息已經(jīng)被暴露或受到損壞。

3. Under Armour

• 泄露數(shù)據(jù)5億條
• 披露日期：2018年5月25日

3月25日，Under Armour獲悉有人未經(jīng)授權(quán)訪問了MyFitnessPal平臺(tái)，這是一個(gè)用于跟蹤用戶飲食和鍛煉情況的平臺(tái)。美國(guó)全國(guó)廣播公司財(cái)經(jīng)頻道(CNBC)在當(dāng)時(shí)報(bào)道說，負(fù)責(zé)此次黑客入侵的犯罪分子訪問了用戶的用戶名、電子郵件地址和哈希密碼。但沒有暴露用戶的付款信息，因?yàn)閁nder Armour對(duì)這些數(shù)據(jù)進(jìn)行了分別處理。同時(shí)，它也沒有損害社會(huì)安全號(hào)碼或駕駛執(zhí)照號(hào)碼，因?yàn)榉b制造商表示它并不會(huì)收集此類數(shù)據(jù)。

據(jù)信，超過1.5億MyFitnessPal用戶的信息在數(shù)據(jù)泄露中受到了損害。

2. Exactis

• 泄露數(shù)據(jù)超過4億條
• 披露日期：2018年6月26日

安全研究員Vinny Troia在2018年6月發(fā)現(xiàn)，總部位于佛羅里達(dá)州的市場(chǎng)營(yíng)銷和數(shù)據(jù)聚合公司Exactis已將一個(gè)數(shù)據(jù)庫(kù)暴露在可公開訪問的服務(wù)器上。該數(shù)據(jù)庫(kù)包含2TB的信息，其中包括數(shù)億美國(guó)人和企業(yè)的詳細(xì)信息。在撰寫本文時(shí)，Exactis尚未確認(rèn)受此事件影響的確切人數(shù)，但Troia表示他能夠找到近3.4億條個(gè)人記錄。他還向Wired證實(shí)，此事件暴露了消費(fèi)者的電子郵箱地址、實(shí)際地址、電話號(hào)碼以及一系列的其他個(gè)人信息，在某些情況下包括極其敏感的細(xì)節(jié)，如孩子的姓名和性別。

1. Aadhaar

• 泄露數(shù)據(jù)11億條
• 披露日期：2018年1月3日

今年1月份，論壇報(bào)業(yè)集團(tuán)(Tribune News Service)的記者為WhatsApp上匿名賣家提供的一項(xiàng)出售登錄憑證的服務(wù)支付了500盧比。通過這項(xiàng)服務(wù)，記者可以輸入任何一個(gè)Aadhaar號(hào)碼(一個(gè)12位的唯一標(biāo)識(shí)符，每個(gè)印度公民會(huì)使用到它)檢索印度唯一身份識(shí)別管理局(UIDAI)存儲(chǔ)的關(guān)于被查詢公民的諸多類型的信息。這些數(shù)據(jù)包括姓名、住址、照片、電話號(hào)碼和電子郵箱地址。在向賣家額外支付300盧比的費(fèi)用后，任何人都可以通過該軟件打印某個(gè)Aadhaar號(hào)碼歸屬者的身份證。

據(jù)信，這起數(shù)據(jù)泄露事件已經(jīng)損害了在印度注冊(cè)的11億公民的個(gè)人信息。

二、其他值得注意的數(shù)據(jù)泄露事件

1. Strava

2017年11月，健身追蹤應(yīng)用程序Strava有意發(fā)布了一份包含1300萬(wàn)用戶活動(dòng)軌跡的“熱圖”。這張地圖讓我們了解了世界各地的人們是如何利用Strava來實(shí)現(xiàn)他們的健身目標(biāo)的。但正如Bleeping Computer在1月底報(bào)道的那樣，它也起到了意想不到的作用。聯(lián)合沖突分析研究所(Institute for United Conflict analyst)的分析師Nathan Ruser于2018年1月發(fā)現(xiàn)，該地圖顯示了軍事基地的位置。這是通過在已知軍事設(shè)施所在的偏遠(yuǎn)地區(qū)展示人們的身體活動(dòng)來發(fā)現(xiàn)的，其中包括美軍基地以及土耳其和俄羅斯基地。

2. Health South East RHF

今年年初，挪威衛(wèi)生安全部門HelseCERT檢測(cè)到了異常的計(jì)算機(jī)活動(dòng)。它最終將這種可疑行為追溯到了作為挪威四大區(qū)域醫(yī)療保健組織之一的Health South East RHF。根據(jù)Security Affairs的報(bào)道，HelseCERT發(fā)現(xiàn)這起攻擊是由一群“專業(yè)的”和“高端的”攻擊者發(fā)起的。

在HelseCERT披露此事件后，挪威衛(wèi)生與護(hù)理部澄清說，該國(guó)采取了各種安全措施來解決這一問題。

受攻擊影響的人數(shù)確切人數(shù)尚不清楚。但考慮到Health South East RHF的覆蓋范圍，可能有290萬(wàn)人(超過挪威總?cè)丝诘囊话?成為了事件的受害者。

3. [24]7.ai

4月4日，西爾斯控股公司(Sears Holding Corporation)和達(dá)美航空公司(Delta Airlines)都公布了屬于數(shù)十萬(wàn)客戶數(shù)據(jù)遭泄露的消息。這些數(shù)據(jù)是通過[24]7.ai的數(shù)據(jù)泄露而暴露出來的，這是一種提供在線聊天支持的第三方服務(wù)。

根據(jù)達(dá)美航空的聲明，這起黑客入侵事件被認(rèn)為發(fā)生在2017年9月26日至2017年10月12日期間，可能泄露了信用卡信息，但受影響的客戶數(shù)量不詳。該航空公司強(qiáng)調(diào)，沒有其他信息(如護(hù)照、身份證或SkyMiles信息)受到影響。西爾斯估計(jì)，可能有少于10萬(wàn)名客戶的信用卡信息在此次黑客入侵中被曝光。 一天后，零售商百思買(Best Buy)宣布，其一小部分客戶可能也受到了此次事件的影響。

4. Orbitz

3月1日，Orbitz 發(fā)現(xiàn) 有人未經(jīng)授權(quán)訪問了它的一個(gè)遺留的旅行預(yù)訂平臺(tái)。這家在線旅行社認(rèn)為，攻擊者有能力查看某些敏感信息，包括客戶姓名、出生日期、電話號(hào)碼、電子郵箱地址、帳單地址、性別和支付卡信息。但沒有證據(jù)表明這一事件暴露了客戶的護(hù)照、旅行路線或社會(huì)安全號(hào)碼。

根據(jù)彭博(Bloomberg)報(bào)道，黑客可能在2017年10月1日至2017年12月22日期間訪問了88萬(wàn)名客戶的支付卡詳細(xì)信息。

三、令人不安的上半年

根據(jù)身份盜竊資源中心(ITRC)的2017年數(shù)據(jù)泄露總結(jié)報(bào)告，在2018年第一季度和第二季度遭泄露數(shù)據(jù)的數(shù)量已經(jīng)超過了2017年全年遭泄露數(shù)據(jù)數(shù)量的總和。值得注意的是，本文所提供的數(shù)據(jù)泄露事件列表遠(yuǎn)遠(yuǎn)談不上全面。在2018年上半年發(fā)生了許多其他的數(shù)據(jù)泄露事件，這意味著遭泄露數(shù)據(jù)的數(shù)量實(shí)際上要多得多。不過，也只有時(shí)間才能夠證明這是否屬實(shí)。