盘点近年来十大数据泄露事件;雅虎30亿用户的账户信息被泄露;解决数据安全最根本的方法是利用IPFS&Filecoin分布式存储
盘点近年来十大数据泄露事件
近年来,人们在享受数字时代的各种便利时,也难以摆脱数据风险所带来的各种担忧。虽然互联网的安全性越来越高,但是令人咋舌的信息泄露事件依然持续发生。
数据泄露是指有意或无意地将安全性、私人性或机密性信息泄露给不受信任的环境。这种现象的其他术语还包括:非故意信息披露、数据泄漏、信息泄漏和数据溢出。
数据泄露事件包括与有组织犯罪、政治活动人士或国家政府有关的“黑帽”(black hat)或个人为获取某种个人利益而进行黑客攻击,以及对使用过的计算机设备或数据存储媒体和无法破解的来源的粗心处理。
因此,我们就来盘点近年来的十大数据泄露事件。这些事件涉及数量之大,影响之广,都值得更深入地关注。
十大数据泄露事件
十、Capital One
日期:2019年7月
影响:1亿消费者
Capital One是一家美国银行控股公司,专门从事信用卡,汽车贷款,银行和储蓄帐户,它是美国最大的银行之一,并已成为专注于技术的银行。
2019年7月的一次数据泄露事件使美国1亿消费者的信用卡申请受影响。其中有14万份申请包含着申请人的社会安全号码,8万份申请中包含相关的银行账户信息。信用卡申请所需的姓名、地址、电话号码等通通被泄露。此次事件使得信用评分、信用限额和信用余额也都受到了影响。据《华尔街日报》报道,Capital One也因此被罚款8000万美元。
九、Canva
日期:2019年5月
影响:1.39亿用户
2019年5月,澳大利亚图形设计工具网站Canva遭受了一次黑客的攻击,导致1.39亿用户的电子邮件地址、用户名等详细信息被泄露。Canva后来检测到黑客的攻击,关闭了其数据泄露服务器,使用bcrypt算法处理了此次事故。该公司在确认了事件后通知用户,也及时敦促用户更改密码并重置OAuth令牌。
八、Under Armour
日期:2018年3月
影响:1.5亿用户
运动服品牌Under Armour在2015年以4.75亿美元的价格收购了MyFitnessPal,这是一个用于跟踪饮食和运动活动的网站和移动应用程序。
Under Armour于2018年3月宣布,其子公司MyFitnessPal的1.5亿用户信息被未经授权的一方获取,这些账户信息包括用户名,电子邮件地址和哈希密码。事件发生后,Under Armour通过电子邮件和应用通知MyFitnessPal社区,提出了众多的建议和应当采取的步骤。
尽管该违规行为并未暴露出特别敏感的用户数据,但用户数量众多,而且这种情况也使其股票在盘后交易中下跌了近4%。
七、Zynga
日期:2019年9月
影响:2.18亿用户
手机游戏开发商Zynga曾是Facebook游戏领域的巨头,如今仍是手机游戏领域的佼佼者,在全球拥有数百万玩家。2019年9月,一个名为Gnosticplayers的巴基斯坦黑客声称入侵了Zynga的玩家数据库,并获得了在此注册的2.18亿个帐户。Zynga随后证实,Facebook和Zynga帐户的电子邮件地址, SHA-1哈希密码,电话号码以及用户ID被盗。
这一数据泄露事件似乎只影响了安装Android或iOS版本的Words With Friends、Draw Something或已不复存在的OMGPOP平台的手机玩家。Zynga也并未明确说明漏洞窗口。然而,鉴于OMGPOP于2013年就已关闭,1.7亿的用户数量是Zynga当时玩家总数(约6800万)的两倍多。因此,这款游戏发行以来的所有帐号可能都遭到了破坏。
六、巴西卫生部网站
日期:2020年12月
影响:2.43亿巴西人
由于保存在巴西卫生部网站源代码中的证书编码较易解码,因此至少超过2.43亿巴西人的个人信息在网络上被泄露。Estadão报告说,这些数据包括人们的全名、地址和电话号码。根据世界银行的数据,其中在世和已故人群的记录都存在。因为根据数据显示,2019年巴西的人口超过2.11亿,比报告的可能获取的记录数量少了3200万。
Estadão报告说,卫生部网站在其源代码中将编码后的访问凭证存储到个人信息数据库中。但是,登录名和密码是使用Base64来编码的,该编码格式易于解码。任何人都可以使用快捷键或在菜单中访问任何网站的源代码,并找到这些加密的凭据,从而对它们进行解码以访问其中的个人记录。
五、Facebook
日期:2021年4月
影响:5.33亿账户
据安全研究人员阿隆•加尔(Alon Gal)称,来自106个国家的超过5.33亿Facebook用户的个人信息已被免费在线泄漏。其中包括超67万的国内用户记录。事件起因在于2020年的漏洞,该漏洞使用户能够使用Telegram机器人来利用Facebook系统。此漏洞导致在低级黑客论坛上,以几欧元的价格就能轻松买到这些数据。
四、国际万豪酒店
日期:2018年11月
影响:5亿客户
国际万豪酒店经营者的喜达屋顾客预订数据库被黑客入侵,称泄露了5亿客户的个人信息。这包括五亿名顾客的姓名、地址、电子邮件地址、生日、电话号码、性别等内容。也有部分客人的付款卡号和有效期受到影响。2018年11月30日,消息公布后,万豪国际美股盘前跌逾5%。英国当局随后也对万豪公司处以1.23亿美元的罚款。
三、耳语
日期:2020年3月
影响:9亿用户
Whisper是一款匿名的智能手机应用程序,可向陌生人袒露真心话。多年来,它一直在不经意间通过公共在线数据库公开用户的敏感信息。2020年3月,网上出现一个未受保护的数据库。尽管该应用程序不收集姓名,但该数据库包含了超过9亿用户的昵称、年龄、种族、性别和位置数据。大量的未成年人会使用耳语,美国安全研究人员Ehrlich 也称,这极大地违反了在网上用以保护儿童的道德规范。
二、TrueDialog
日期:2019年12月
影响:10亿用户
美国通信公司TrueDialog的数据库与该公司业务的方方面面都息息相关,里边包含大量敏感信息,并且不存在密码,任何人都可以获得数据库里的内容。
于是在2019年12月份,数据库泄露了数千万条SMS短信以及超过10亿用户的个人信息。受影响的信息包括收件人,账户持有者和用户的姓名等详细信息。攻击者也可以利用内部系统错误以及http请求和响应来获得灵感,换角度进行攻击。
一、雅虎
日期:2017年10月
影响:30亿用户
雅虎和调查方曾表示,“得到国家资助的黑客”发动了攻击,导致30亿用户的账户信息被泄露。这个数字在2016年12月的初步调查中还只是10亿,当时就已认为“超过10亿个用户帐户”可能是受到了雅虎漏洞的影响。
这一起事件直接导致雅虎会面对40多个联邦或地方法庭的诉讼,让本就处在低谷的雅虎无力回天。
数据泄露是如何发生的
数据泄露的产生原因有时可以追溯到故意攻击。然而,它也很容易由个人疏忽或公司基础架构中的缺陷造成。
发生数据泄露的方法如下:
1.偶然的内幕
一名员工在没有适当授权权限的情况下读取他人计算机内的文件。该访问是无意的,但是,由于未经授权的人查看了该数据,因此可认为该数据已被泄露。
2.恶意内幕
此人有意访问并有可能共享数据,旨在对个人或公司造成伤害。即便此人可能拥有使用数据的合法授权,但其目的是通过恶意方式使用信息。
3.设备丢失或被盗
一个未加密的包含敏感信息的任何东西- -和解锁笔记本电脑或外部硬盘驱动器去错过。
4.恶意外部罪犯
这些是利用各种攻击媒介从网络或个人收集信息的黑客。