信息來源：今日頭條

僅在2018年，就有5億個人記錄被盜。到年底將竊取多少記錄?

根據(jù)《 2019年第三季度基于風(fēng)險的數(shù)據(jù)違規(guī)快速查看報告》，截至9月底，共有5183次違規(guī)，暴露了79億條記錄。與2018年第三季度報告相比，違規(guī)總數(shù)上升了33.3%，暴露的記錄總數(shù)翻了一番多，上升了112%。

今年會是有記錄以來最糟糕的嗎?

1. ElasticSearch服務(wù)器漏洞– 1.08億條記錄

在2019年1月，ZDnet報告說，一個在線賭場集團(tuán)泄露了超過1.08億筆賭注的信息，包括有關(guān)客戶個人信息，存款和取款的詳細(xì)信息。數(shù)據(jù)從ElasticSearch服務(wù)器泄漏，該服務(wù)器沒有密碼就可以在線暴露。ElasticSearch是公司安裝的便攜式高級搜索引擎，用于改進(jìn)其Web應(yīng)用程序的數(shù)據(jù)索引和搜索功能。

發(fā)現(xiàn)服務(wù)器的安全研究員Justin Paine發(fā)現(xiàn)用戶數(shù)據(jù)包含很多敏感信息，例如真實(shí)姓名，家庭住址，電話號碼，電子郵件地址，生日，站點(diǎn)用戶名，帳戶余額，IP地址，瀏覽器和操作系統(tǒng)詳細(xì)信息，上次登錄信息以及已玩游戲的列表。ZDnet報告說，不清楚該服務(wù)器在網(wǎng)上暴露了多長時間，有多少用戶受到影響，是否有其他人訪問了泄漏的服務(wù)器以及是否通知客戶其個人數(shù)據(jù)被暴露了。

2. Canva數(shù)據(jù)泄露– 1.39億條記錄

2019年5月，《安全雜志》報道說，圖形設(shè)計工具網(wǎng)站Canva遭受數(shù)據(jù)泄露，影響了1.39億用戶。公開的數(shù)據(jù)包括客戶用戶名，真實(shí)姓名，電子郵件地址，密碼以及城市和國家/地區(qū)信息。此外，在1.39億用戶中，有7800萬用戶的Gmail地址與他們的Canva帳戶相關(guān)聯(lián)。

據(jù)ZDnet稱，負(fù)責(zé)此漏洞的黑客已在暗網(wǎng)上出售了9.32億用戶的數(shù)據(jù)，這些數(shù)據(jù)是他們從全球44家公司中竊取的。

3. 中國求職者M(jìn)ongoDB數(shù)據(jù)泄露– 2.02億條記錄

2019年1月，網(wǎng)絡(luò)安全公司Hacken的網(wǎng)絡(luò)安全專家兼研究員Bob Diachenko發(fā)現(xiàn)了一個854 GB的MongoDB數(shù)據(jù)庫，其中包含202,730,434條有關(guān)中國求職者的記錄。數(shù)據(jù)包含候選人的技能和工作經(jīng)驗(yàn)，以及個人識別信息，例如電話號碼，電子郵件地址，婚姻狀況，政治傾向，身高，體重，駕駛執(zhí)照信息，薪資期望和其他高度個人數(shù)據(jù)。

中國的一家分類廣告公司BJ.58.com告訴Diachenko，數(shù)據(jù)來自第三方公司，該公司從許多專業(yè)站點(diǎn)收集數(shù)據(jù)。迪亞琴科發(fā)現(xiàn)漏洞后約一周，數(shù)據(jù)庫得到了保護(hù)。

4. 印度公民MongoDB數(shù)據(jù)庫-2.75億條記錄

2019年5月，迪亞琴科再次透露他發(fā)現(xiàn)了一個MongoDB數(shù)據(jù)庫，該數(shù)據(jù)庫暴露了275,265,298條包含高度PII的印度公民記錄。該數(shù)據(jù)庫未受保護(hù)超過兩個星期。

迪亞琴科說，托管在亞馬遜AWS上的可公開訪問的MongoDB數(shù)據(jù)庫包括姓名，性別，出生日期，電子郵件，電話號碼，學(xué)歷，專業(yè)信息(雇主，工作經(jīng)歷，技能和職能領(lǐng)域)以及當(dāng)前薪水等信息。

5. 第三方Facebook應(yīng)用程序數(shù)據(jù)泄露– 5.4億條記錄

2019年4月，UpGuard安全研究人員透露，有兩個第三方開發(fā)的Facebook應(yīng)用程序數(shù)據(jù)集已暴露于公共互聯(lián)網(wǎng)中。一個數(shù)據(jù)庫來自墨西哥的媒體公司Cultura Colectiva，重達(dá)146 GB，其中有5.4億條記錄詳細(xì)記錄了評論，喜歡，反應(yīng)，帳戶名，F(xiàn)acebook ID等。

研究人員說，另一個第三方應(yīng)用“ At the Pool”通過Amazon S3存儲桶公開訪問了公共互聯(lián)網(wǎng)。該數(shù)據(jù)庫備份包含用于用戶信息的列，例如用戶名ID，朋友，喜歡，音樂，電影，書籍，照片，事件，組，簽到，興趣，密碼等。

6. Dream Market Breach– 6.2億條記錄

2月，《The Register》報道說，從16個被黑網(wǎng)站竊取的大約6.17億個在線帳戶詳細(xì)信息正在暗網(wǎng)中出售。以下帳戶數(shù)據(jù)庫正在Dream Market上出售：

（1）Dubsmash (162 million)

（2）MyFitnessPal (151 million)

（3）MyHeritage (92 million)

（4）ShareThis (41 million)

（5）HauteLook (28 million)

（6）Animoto (25 million)

（7）EyeEm (22 million)

（8）8fit (20 million)

（9）Whitepages (18 million)

（10）Fotolog (16 million)

（11）500px (15 million)

（12）Armor Games (11 million)

（13）BookMate (8 million)

（14）CoffeeMeetsBagel (6 million)

（15）Artsy (1 million)

（16）DataCamp (700,000)

根據(jù)該報告，樣本帳戶記錄主要包括帳戶持有人姓名，電子郵件地址和密碼。這些密碼是經(jīng)過哈希處理或單向加密的，必須經(jīng)過破解才能使用。顯示的其他信息取決于站點(diǎn)，包括位置個人詳細(xì)信息和社交媒體身份驗(yàn)證令牌。

7. “Collection #1”數(shù)據(jù)違規(guī)– 7.73億條記錄

一月份，特洛伊·亨特(Troy Hunt)宣布他已經(jīng)找到了一組電子郵件地址和密碼，總計2,692,818,238行，其中包括來自數(shù)千個不同來源的許多不同的個人數(shù)據(jù)泄露。總共有1,160,253,228個電子郵件地址和密碼的唯一組合。唯一電子郵件地址總計772,904,991。唯一密碼總計21,222,975。

多個人與Hunt取得聯(lián)系，并指示他前往云服務(wù)MEGA上的文件收集，該服務(wù)包含12,000多個單獨(dú)的文件和超過87GB的數(shù)據(jù)。此外，他還指向了一個流行的黑客論壇，該論壇正在發(fā)布數(shù)據(jù)。在文件中，亨特找到了自己的個人數(shù)據(jù)，例如他多年以前使用的電子郵件地址和密碼。

8. Verifications.io數(shù)據(jù)泄露– 8.08億條記錄

4月，Diachenko和安全研究員Vinny Troia報告說，他們已經(jīng)找到了一個可公開訪問的MondoDB數(shù)據(jù)庫，該數(shù)據(jù)庫包含150 GB的詳細(xì)營銷數(shù)據(jù)。該數(shù)據(jù)庫歸電子郵件驗(yàn)證公司Verifications.io所有，并在Diachenko與該公司聯(lián)系的同一天被下線。

該數(shù)據(jù)庫包含四個單獨(dú)的數(shù)據(jù)集合，總計808,539,939條記錄。Diachenko說，其中最大的部分名為“ mailEmailDatabase”，并且其中包含三個文件夾：

（1）電子郵件記錄(計數(shù)：798,171,891條記錄)

（2）emailWithPhone(計數(shù)：4,150,600條記錄)

（3）businessLeads(計數(shù)：6,217,358條記錄)

9. 首次美國數(shù)據(jù)泄露– 8.85億條記錄

7月，美國最大的房地產(chǎn)所有權(quán)保險公司第一美國金融公司(First American Financial Corp.)的數(shù)據(jù)泄漏暴露了8.85億個人的交易記錄。根據(jù)美國記者兼調(diào)查記者布萊恩·克雷布斯(Brian Krebs)的說法，《第一美國人》泄露了2003年以來與抵押交易相關(guān)的數(shù)億份文件。

記錄包括銀行帳號和對帳單，抵押和稅務(wù)記錄，社會保險號，電匯收據(jù)和駕駛執(zhí)照圖像。Krebs說，使用Web瀏覽器的任何人都無需身份驗(yàn)證即可獲得這些記錄。

10. TrueDialog數(shù)據(jù)泄露–超過10億條記錄

本周早些時候，vpnMentor，Noam Rotem和Ran Locar的網(wǎng)絡(luò)安全專家研究人員詳細(xì)介紹了美國通信公司TrueDialog數(shù)據(jù)庫泄漏的發(fā)現(xiàn)。TrueDialog總部位于美國德克薩斯州奧斯汀，為大型和小型企業(yè)創(chuàng)建SMS解決方案，目前與990多家手機(jī)運(yùn)營商合作，在全球擁有超過50億用戶。

研究人員說，由Microsoft Azure托管并在美國Oracle Marketing Cloud上運(yùn)行的TrueDialog數(shù)據(jù)庫包含604 GB的數(shù)據(jù)。其中包括近10億個高度敏感的數(shù)據(jù)條目。包含在數(shù)百萬條SMS消息中的敏感數(shù)據(jù)包括但不限于：

（1）收件人，TrueDialog帳戶所有者和TrueDialog用戶的全名

（2）訊息內(nèi)容

（3）電子郵件地址

（4）收件人和用戶的電話號碼

（5）發(fā)送消息的日期和時間

（6）已發(fā)送郵件的狀態(tài)指示器，例如已讀回執(zhí)，答復(fù)等。

（7）TrueDialog帳戶詳細(xì)信息

11. Orvibo泄漏的數(shù)據(jù)庫– 20億條記錄

7月，Rotem和Locar發(fā)現(xiàn)了一個與Orvibo Smart Home產(chǎn)品鏈接的開放數(shù)據(jù)庫，公開了超過20億條記錄。根據(jù)研究人員的說法，運(yùn)行IoT平臺的Orvibo聲稱擁有大約一百萬用戶，其中包括使用Orvibo智能家居設(shè)備連接房屋，酒店和其他企業(yè)的私人用戶。

數(shù)據(jù)泄露影響了來自世界各地的用戶。Rotem和Locar為中國，日本，泰國，美國，英國，墨西哥，法國，澳大利亞和巴西的用戶找到了日志。

他們首先于6月16日通過電子郵件聯(lián)系了Orvibo，并在未收到公司的消息后在公司上發(fā)了推文，提醒他們注意違規(guī)行為。該數(shù)據(jù)庫開放了兩個多星期。包括的數(shù)據(jù)類型：

（1）電子郵件地址

（2）密碼

（3）帳戶重置代碼

（4）精確的地理位置

（5）IP地址

（6）用戶名

（7）用戶身份

（8）姓

（9）家庭ID

（10）智能設(shè)備

（11）訪問帳戶的設(shè)備

（12）安排信息

12. 社交媒體資料數(shù)據(jù)泄漏– 40億條記錄

十月份，Diachenko和Troia在不安全的服務(wù)器上發(fā)現(xiàn)了向公眾公開并易于訪問的大量數(shù)據(jù)，其中包含4 TB的PII，即大約40億條記錄。Troia和Diachenko表示，所有數(shù)據(jù)集中的唯一身份人員總數(shù)已超過12億，這是有史以來單一來源組織最大的數(shù)據(jù)泄露事件之一。泄漏的數(shù)據(jù)包含姓名，電子郵件地址，電話號碼，LinkedIN和Facebook個人資料信息。

發(fā)現(xiàn)的包含所有信息的ElasticSearch服務(wù)器未受保護(hù)，可通過Web瀏覽器訪問。無需密碼或任何形式的身份驗(yàn)證即可訪問或下載所有數(shù)據(jù)。報告說，使這種數(shù)據(jù)泄漏獨(dú)特的原因在于，它包含的數(shù)據(jù)集似乎來自兩個不同的數(shù)據(jù)充實(shí)公司。

亨特(Hunt)在泄漏中發(fā)現(xiàn)了他的信息，他說：“我發(fā)現(xiàn)這種具有暴露性質(zhì)的數(shù)據(jù)的重復(fù)主題越來越激怒了數(shù)據(jù)收集者以數(shù)據(jù)所有者(即我)的方式獲取和使用個人信息不同意。這與人們可能選擇的發(fā)布數(shù)據(jù)渠道的公開程度無關(guān)，而是關(guān)于數(shù)據(jù)在預(yù)期范圍之外的使用?！?