国内机构重大数据泄露案例

本文作者：补天漏洞响应平台、360安服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心

国内机构重大数据泄露案例

一、内部威胁

（一）某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息

2018年1月，某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看：某社区卫生服务中心工作人员徐某，掌握了某市“妇幼信息某管理系统”市级权限账号密码，利用职务之便，多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前，他累计非法下载新生婴儿数据50余万条，贩卖新生婴儿信息数万余条。

值得注意的是，在该案中，徐某仅是某市某社区卫生服务中心工作人员，却掌握了某市“妇幼信息某管理系统”市级权限账号密码。

从卫生系统“内鬼”徐某到公开出售信息的黄某，多名犯罪嫌疑人层层转手，组成了一条长长的新生婴儿信息倒卖链条。

（二）某员工私自转让公司权限给朋友，致使30余万条医生数据泄露

2018年2月，某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看：武某任职某企业管理咨询（上海）有限公司广州分公司移动医疗顾问一职，拥有公司某应用系统的工作权限，通过其手机二维码可进入系统，内有大量医生信息。出于朋友情面和同情心理，遂把上述权限给了卢谋。

获得权限后，卢某找来“计算机技术很好”的大学舍友温某，卢某指使温某利用该权限通过计算机技术进入应用系统后台，盗取系统内的医生信息。

截至2016年10月11日，被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。

庆幸的是，被抓获时，温某尚未把爬取到的医生信息交给卢某。

（三）合作公司员工泄露防伪数据700万条，某知名酒企损失超百万

2018年2月，某警方侦破了知名酒被仿造的案件。从防伪数据泄露的源头来看：蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理，在2014年4月至2016年9月期间，曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据，并将窃取出来的数据泄露给蔡某刚。

据法院审理查明，被蔡某拿披露数据量共计700余万条（可制作成700万瓶能够通过防伪溯源验证的假冒酒）。

但随着泄密事件发生，某知名酒企只得向其他公司重新采购防伪密管系统，并将原有防伪标签升级为安全芯片防伪标签，同时废弃前期采购的4.3万余枚防伪标签。据计算，防伪数据库的泄露直接导致该酒企经济损失约105.7万元。

（四）某地方公务员利用职务之便，泄露82万条公民信息

2018年3月，某法院审理了某地方公务员窃取信息案件。从公民个人数据泄露的源头来看：朱某任职于某机关单位。从2010年起，朱某利用职务便利，应朋友刘某、王某的要求，超越职权下载了一些公民个人信息，并将这些信息分别提供给他们使用，造成大量的公民个人数据泄露。

经统计，2010年4月至2016年9月，朱某向刘某提供公民个人信息70余万条，2011年11月至2016年7月，朱某向王某提供公民个人信息12余万条。

（五）某科技公司内鬼窃取500余万条个人信息，并在网上售卖

此后，8人团伙在网上贩卖出售公民信息，数量达500余万条，容量达60G。目前，8名犯罪嫌疑人全部归案。

二、外部威胁

（一）某手机厂商称：4万消费者的信用卡数据泄露

该手机厂商证实：网上支付系统遭入侵。攻击者针对其中一个系统发动攻击并将恶意脚本注入支付页面代码中窃取用户付款时输入的信用卡信息，该恶意脚本能直接从消费者浏览器窗口中捕获完整的信用卡信息，包括信用卡号、到期日期和安全代码。

然而，该手机厂商认为通过所保存的信用卡、PayPal账户或者“经由PayPal通过信用卡”方法购买手机的消费者并未受影响。

（二）北京某教育网站遭入侵，攻击者窃取7万余元

所以，朱某在网上注册成为北京某教育科技公司网上商城的会员，利用网站漏洞进入服务器后台，对余额进行修改，打开提现功能。从2016年11月至2017年3月这几个月间，他多次从商城提现，共窃取7万余元。

（三）多家美容医院的客户信息被窃取

2018年7月，某警方侦破了一起盗窃、贩卖美容整形医院客户信息的案件，在美容整形医院网站上植入木马，侵入服务器，盗取客户信息，层层转手后贩卖给其他美容整形医院。

从美容整形医院客户数据泄露的源头来看：苏某与蒋某制作木马病毒后，假扮美容客户向医院客服咨询，将病毒链接藏匿在整形需求图片上，发送给工作人员。工作打开图片时，服务器被植入木马，客户隐私资料即被盗取。

（四）某知名酒店集团5亿条数据泄露

事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露，目前还无法完全得知到细节。

售卖的数据分为三个部分：

2）酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿人身份证信息；

8月底，暗网上出现了某知名集团旗下多个连锁酒店客户信息数据的交易行为，数据标价8个比特币，约等于人民币35万人民币，数据泄露涉及到1.3亿人的个人信息及开房记录。9月19日消息，窃取华住旗下酒店数据信息嫌疑人已经被上海警方抓获。

（五）“XX驿站”一千万条快递数据被非法窃取

截至破案，遭非法窃取的快递数据超过1000万条

（六）某知名酒店数据库遭入侵，5亿顾客信息或泄露

国外各行业信息泄露案例

一、IT信息企业

（一）因AWS存储桶配置不当引起的信息泄露：

1.上万印度板球球员个人信息泄露

2018年5月，Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的AmazonS3存储桶。从数据的内容来看，它们似乎归属于印度板球管理委员会（BoardofControlforCricketinIndia，BCCI）。

2.本田汽车泄露敏感数据

2018年5月30日，Kromtech安全中心再次披露了本田汽车公司（HONDA）在印度的子公司——本田印度（HondaIndia）因不安全AWSS3存储桶泄露了超过5万名客户的个人详细信息。

3.环球唱片被爆泄露敏感数据

2018年5月30日，Kromtech安全中心披露了成立于1912年的全球音乐巨头——环球唱片（UniversalMusicGroup，UMG）因为受到其承包商的牵连，暴露了自己的内部FTP凭证、数据库跟密码和AWS配置详细信息，包括访问密钥和密码。

在与环球唱片取得联系后，该公司迅速进行了回应并解决了问题。

4.S3存储桶配置错误，暴露52.7万美国选民个人信息

5.销售背锅！AWS官方人员导致GoDaddy数据泄漏

2018年8月，UpGuard网络风险小组近日发现了重大的数据泄露，涉及的文件似乎描述了在亚马逊AWS云上运行的GoDaddy基础设施，并采取了保护措施，防止将来有人利用该信息。泄露的这些文件放在公众可访问的亚马逊S3存储桶中，包括成千上万个系统的基本配置信息以及在亚马逊AWS上运行那些系统的定价选项，包括不同情况下给予的折扣。泄露的配置信息包括主机名、操作系统、“工作负载”（系统干什么用的）、AWS区域、内存和CPU规格等更多信息。实际上，这些数据直接泄露了一个规模非常大的AWS云基础设施部署环境，各个系统有41个列以及汇总和建模数据，分成总计、平均值及其他计算字段。还似乎包括GoDaddy从亚马逊AWS获得的折扣。

6.美国软件公司AgentRun意外泄露众多保险公司客户个人敏感信息

2018年5月，据外媒ZDNet报道，美国软件公司AgentRun在最近意外暴露了成千上万保单持有人的个人敏感信息，而究其原因是因为一个未加密的AmazonS3存储桶。

ZDNet指出，不安全的存储桶没有使用密码保护，任何人都可以对其进行访问。该AmazonS3存储桶包含了大量的缓存数据，涉及数千名不同保险公司客户的个人敏感信息，包括类似Cigna和SafeCoInsurance这样的大型保险公司的客户，遭泄露的信息可能包括保险单文件、健康和医疗信息、各种证件的扫描件以及一些财务数据。

（二）澳大利亚16岁高中生数次入侵苹果服务器，下载90G文件

据悉，该少年在黑客界颇为有名。在发动攻击时，他使用了VPN和其他工具来避免被追踪。但百密一疏，该少年使用的MacBook笔记本电脑的序列号被苹果服务器所记录。

（三）德国托管服务商DomainFactory大量客户数据遭外泄

（四）芬兰某公共服务网站数据泄露，超过13万芬兰公民受影响

2018年4月，据芬兰媒体SvenskaYle的报道，芬兰通信管理局（FICORA）于2018年4月6日通过自己的网站向所有芬兰公民发出警告称，一个由赫尔辛基新企业中心（“HelsinginUusyrityskeskus”）负责维护的网站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻击，大约有13万用户的账户用户名和密码被窃取，同时被窃取的还包括其他一些机密信息。从受害者数量来看，这将是该国有史以来发生的第三大数据泄露事件。

FICORA表示，该网站并没有对存储的任何信息进行加密，无论是用户名还是密码都采用明文形式进行储存，这使得网络犯罪分子更容易利用它们。由于用户名和密码是以明文形式泄露的，因此赫尔辛基新企业中心董事会主席JarmoHykyvaara建议，如果有用户在其他信息系统或网络服务使用了相同用户名和密码，应该立即对这些密码进行修改。而一旦Liiketoimintasuunnitelma网站重新恢复上线，还应该立即对该网站的账户密码进行修改。

（五）联想的一台笔记本失窃了：它拥有成千上万名员工的姓名、月薪、银行账号

2018年12月，联想公司通知亚太区员工：一台存储有众多员工未加密数据的办公笔记本失窃！里面有成千上万名员工的工资单信息，包括亚太区员工的姓名、月薪和银行账号。

根据外媒披露，新加坡一名联想员工由公司发放的一台笔记本电脑失窃；要命的是，里面有亚太区成千上万员工的一大堆未经加密的工资单数据。

关于这次重大事故的细节是联想工作人员告诉称，他们对这个严重的错误感到困惑不解。联想已向员工发去了道歉信，承认这个重大的安全问题。

（六）数千台Etcd服务器可任意权限访问，暴露750MB密码和密钥

（七）英国电商软件FashionNexus爆漏洞，多个品牌网站140万购物者隐私泄露

（八）云泄露最前线：

1.“不设防”的MongoDB暴露6600万条数据

2018年12月，安全研究人员发现，超过6600万数据在一个没有保护的数据库中，只要知道网址任何人都可以访问，而这些数据似乎来自LinkedIn个人资料。数据缓存包括可识别用户的个人详细信息，可帮助攻击者创建难以识别的网络钓鱼攻击。

目前研究人员无法确定该数据库的所有者，但该数据库现在已不再在线，但并不排除它再次出现在网络上的可能性。

2.Adapt.io123GB数据可公开访问

3.FIESP近两亿条记录泄露

11月12日，Hacken公司的安全专家在使用Binaryedge.io平台审核可公开访问的Elasticsearch数据库的搜索结果时，发现了似乎是由巴西圣保罗州工业联合会（FIESP）编制的个人信息记录。FIESP隶属于巴西国家产业联合会，包括133个商业协会，涵盖13万个行业，这些行业占巴西国内生产总值（GDP）的42％。

二、政府机构

（一）法国外交部称紧急联络人信息数据库遭黑客入侵

目前，这一安全漏洞已得到修复。该部还在事件发生72小时内联系了法国数据监管机构CNIL。

2010年，法国外交和欧洲事务部就创建了一项名为“阿丽亚娜”（Ariane）的紧急服务——如果你打算前往不安全的国家时，可以在“阿丽亚娜”平台上进行登记，将这一信息告诉外交和欧洲事务部。这样一来，你就会收到安全简报，如果当地有危机发生，法国外交和欧洲事务部将会联系你，而且会保存紧急联络人信息，以防你在出境时遇到了意外情况。

此次被泄露就是“阿丽亚娜”平台，保存紧急联络人信息的数据库。

（三）美国政府网站HealthCare.gov被黑，7.5万人敏感信息泄露

2018年10月，负责HealthCare.gov网站的机构称他们在一个与HealthCare.gov交互的政府计算机系统中发现了一起黑客攻击行为，导致大约7.5万人的敏感个人数据遭到泄露。

（四）印度国家生物特征库Aadhaar疑似数据泄漏

Aadhaar目前拥有着世界上最大的生物识别数据库，已经收集了超过十亿印度公民的虹膜扫描和指纹。随后，印度唯一身份认证管理局（UniqueIdentificationAuthorityofIndia，UIDAI）却重申Aadhaar“依然安全可靠”，并将安全漏洞的报告驳回，称其为“不负责任”和“远离真相”

（五）印度某政府网站意外泄露大量公民敏感信息，目前仍未修复

2018年4月，安全研究员SrinivasKodali报告了一起数据泄露事件，受影响的是一个隶属印度安得拉邦的政府网站。根据Kodali的描述，遭泄露的数据包括Aadhaar号码、银行分行、IFSC代码和帐号、姓名、地址、身份证号码、手机号码、配给卡号码、职业、宗教信仰和种姓信息。

（六）印度全民个人信息遭泄漏，售价不足6英镑！

2018年1月根据印度《论坛报》(Tribune)进行的调查显示，超过10亿印度公民的个人资料（包括指纹和虹膜等生物识别信息）正在在线出售，售价不足6英镑。

这些数据是存储在世界上最大的国营生物识别数据库——Aadhaar中。同时在线出售的还有可用于生成虚假Aadhaar卡的软件。此前，印度政府认为，Aadhaar项目将帮助把大量的印度公民纳入数字经济之中，会对印度的社会发展产生广泛的意义，下令强制该国公民必须在2017年12月31日之前将Aadhaar号码与自己的银行账户、手机号码、保险账户、永久性账号卡（PANCard）以及其他服务绑定起来。但有批评者认为，该系统的好处被夸大了，并正在面临不断增长的安全风险。

三、电信运营商

（一）T-Mobile又泄露超过200万客户数据

其实，在2016年6月份时已经发生了一起数据泄露事件，T-Mobile的一名员工在T-Mobile捷克共和国窃取了超过150万的客户记录，以便出售以获取利润，最终使得捷克共和国警方介入调查。但该公司表示，数据泄露是被其中一名员工窃取，该员工在尝试销售数据时被捕获。

（二）Voxox短信数据库遭泄，暴露短信认证安全问题

一家位于加州圣地亚哥的通信公司Voxox，由于服务器没有密码保护，导致任何知道该去哪儿窥视的人都能看到近乎实时的短信数据流。驻柏林的安全研究员塞巴斯蒂安·考尔（SébastienKaul）发现，Voxox的一个二级域名指向了这个无遮无拦的服务器。更糟糕的是，这个在亚马逊Elasticsearch上运行的数据库还配置了Kibana前端，使得其中的数据易于读取、浏览以及按照姓名、手机号码和短信内容进行检索。

此安全失误导致一个庞大的数据库遭到泄露，该数据库中的数千万条短信中包含了密码重置链接、双因素认证代码以及快递通知等等。

在TechCrunch发出问询后，Voxox已将数据库脱机。在关闭时，该数据库上似乎拥有年初以来的逾2600万条短信。不过，我们可以从数据库的可视化前端查看到平台每分钟处理的短信数量，它表明实际的数字可能更高。

（三）电信巨头加拿大贝尔公司数据又被泄，近10万用户受影响

（四）泰国最大的4G移动运营商TrueMoveH遭遇数据泄露

2018年4月，泰国最大的4G移动运营商TrueMoveH遭遇数据泄露，AWS上46000人的数据被直接曝光在网上，包括驾驶执照和护照，以及身份证件的扫描件等。

安全研究人员NiallMerrigan发现数据泄露问题之后，试图将此问题告知TrueMoveH，但运营商没有回应。Merrigan透露，该AWS存储桶包含总计32GB的46,000条记录。

（五）俄罗斯电信公司意外暴露数千名富豪客户个人信息

2018年1月，据路透社（Reuters）报道，数千名在一家区域互联网服务提供商完成注册的莫斯科富人可能已经暴露了他们的个人信息，这其中就包括他们的姓名、家庭住址和手机号码等。

（六）黑进TalkTalk公司的两黑客分别被判1年、10个月

2018年11月，两名来自英格兰斯塔福德郡塔姆沃思的男子因参与2015年TalkTalk公司黑客攻击事件而被判入狱。据悉，21岁的康纳·奥尔索普（ConnorAllsopp）与23岁的马修·汉利（MatthewHanley）两人已对黑客指控认罪。奥尔索普被判处8月的监禁，而汉利被判处12月的监禁。

（七）美国电信巨头Comcast爆漏洞，暴露2650万用户个人信息

2018年8月，研究员发现ComcastXfinity无意中暴露了超过2650万名用户的家庭住址和社会安全号码。隶属于这家全美第二大互联网服务提供商的在线客户门户网站上被发现存在两个此前未被报告的漏洞，这使得即使是不具备太多专业技能的黑客也可以很容易地访问这些敏感信息。

在BuzzFeedNews向Comcast报告了这项调查结果之后，该公司对漏洞进行了修复。Comcast发言人DavidMcGuire告诉BuzzFeedNews：“我们迅速对这些问题进行了调查，在几个小时内我们修复了这两个漏洞，消除了研究人员所描述的潜在威胁。我们非常重视用户的安全，目前没有证据表明漏洞曾被用来攻击Comcast的客户。”

（八）瑞士电信证实80万数据被盗，涉全国1/10公民信息

（九）西班牙电信Telefónica存漏洞，可暴露数百万用户的完整个人数据

Telefónica表示，他们在接到这一通知后，立即对该漏洞进行了修复。另外，也向有关当局进行了报告。而ElEspanol称，因为该漏洞而可能遭到泄露的数据包括用户的个人身份信息和支付卡信息，并且漏洞极其易于利用，即使是不具备高技术水平的入侵者也能够访问对它们进行访问。

有专家表示，“Telefónica作为全球十大电信公司之一，收入超过530亿美元。令人惊讶的是，Telefónica用户的数据居然可以轻松下载为未加密的电子表格。”

（十）印度国有运营商BSNL内网遭入侵，4.7万员工个人信息随意浏览

2018年3月，根据《印度经济时报(TheEconomicTimes,ET)》及多家国外媒体的报道，法国安全研究人RobertBaptiste声称已获得了印度国有电信运营商BharatSancharNigamLimited（BSNL）内部网络数据库的访问权，该数据库包含超过4.7万名员工的详细信息。

Baptiste已通过Twitter与BSNL进行了接触，并通知了他们关于这个问题。该公司的IT团队与他进行了讨论，最终确认了问题的严重性。目前，大部分漏洞已经被修复，而一些网站也已经被删除。

据Baptiste反馈，这个问题最初是由印度安全研究员SaiKrishnaKothapalli在两年前报道的，但在当时并没有得到BSNL的答复。

四、互联网

（十一）Facebook披露严重漏洞：黑客可控制5000万用户账号

2018年9月，Facebook周五宣布，该公司发现了一个安全漏洞，黑客可利用这个漏洞来获取信息，而这些信息原本可令黑客控制约5000万个用户账号。在披露这一消息之前，Facebook股价已经下跌了1.5%左右，消息传出后进一步走低，到收盘时下跌2.59%报164.46美元，盘中一度触及162.56美元的低点。

Facebook发布博文称，该公司的工程团队发现，黑客在Facebook的“ViewAs”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞，是因为该公司在9月16日注意到用户活动大增。Facebook表示将暂时关闭ViewAs功能，将对其安全性进行审查。Facebook表示已通知美国联邦调查局（FBI）和爱尔兰数据保护委员会（IrishDataProtectionCommission）等执法机关，目的是解决任何有关一般数据保护条例（GDPR）的问题。

（十二）Facebook严重漏洞调查：2900万用户数据失窃，易受针对性钓鱼影响

2018年10月13日，Facebook周五宣布，网络攻击者利用一个自动程序窃取了Facebook约2900万个账户的数据。该公司表示，将在未来几天向受影响用户发送信息，告知他们在攻击中被访问了哪些类型的信息。

据介绍，攻击者从1400万用户中获取了个人资料的详细信息，如出生日期、雇主、教育历史、宗教信仰、使用的设备类型、跟踪的页面以及最近的搜索和位置登记。对于其他1500万用户，入侵仅限于姓名和联系方式。此外，攻击者还可以看到约40万用户的帖子和好友列表。

根据今年5月欧盟颁布的“通用数据保护条例”，Facebook必须在得知妥协后72小时内发出通知。Facebook的主要欧盟数据监管机构爱尔兰数据保护专员上周对这起泄密事件展开了调查。包括美国康涅狄格州和纽约州在内的其他司法管辖区的有关部门也在调查这起袭击事件。

（十三）Facebook隐私泄露人数上升至8700万，用户主要集中在美国

由CambridgeAnalytica大数据分析公司所引发的Facebook用户数据大面积泄漏事件目前仍在发酵，尽管Facebook方面已经公布一系列措施已改善用户数据安全管理，但关于此事件的调查仍在进行中。

（十四）Facebook又泄露700万用户个人照片，可能面临16亿美元罚款

电子隐私信息中心(ElectronicPrivacyInformationCenter)执行董事马克-罗滕贝格(MarcRotenberg)称，这一安全入侵事件可能会让Facebook违反它在2011年与美国贸易监管机构签署的一项协议，该协议要求Facebook改善其隐私做法，否则将面临罚款。

（十五）谷歌关闭个人版Google+：因50万用户数据遭到曝露

谷歌称，公司今年3月就已发现这个漏洞并推出补丁加以修复，并表示没有证据表明用户数据被滥用，也并无证据表明任何开发者明知或利用了这个漏洞。

受此影响，谷歌母公司Alphabet股价下跌1.02%，报收于1155.92美元。

（十六）Google+再曝严重漏洞影响5250万用户，将被提前关闭

（十七）供应商产品感染恶意软件，致使Ticketmaster英国网站客户信息泄露

（十八）黑客售8万个Facebook用户信息：每个账号售价10美分

2018年11月，据BBC报道，黑客称其已经窃取和公布了至少8.1万个Facebook用户账号的私人信息，并以每个账号10美分的价格出售其所盗取的数据。

此次黑客事件最早是在今年9月曝光的，当时一名昵称为“FBSaler”的用户在一个英语在线论坛上发布帖子称：“我们出售Facebook用户的个人信息。我们的数据库里有1.2亿个账号。”随后，网络安全公司DigitalShadows代表BBC进行了调查，并确认被在线发布的8.1万多个账号中包含了用户私人信息。

（十九）美版“知乎”Quora遭黑客入侵：1亿用户数据裸奔

2018年12月，据报道，美国社交问答Quora网站称，该公司已经聘请“顶尖数字法证和安全公司”，并且已经上报执法部门。他们上周五发现其用户数据遭到身份不明的第三方非法获取。亚当在博客中表示，大约1亿Quora用户可能有大量信息遭到泄露，包括：帐号信息、公开内容和活动，以及非公开内容和活动。

Quora表示，匿名提交问题和答案的用户不会受此影响，因为Quora并没有存储任何与匿名用户有关的信息。

（二十）全球最大同性社交软件Grindr存漏洞，可泄露用户信息及位置

2018年3月，美国NBC的一份报道称，一款名为Grindr的交友应用程序存在两个安全问题，它可以暴露超过300万用户的信息，包括那些选择不共享这些信息的人的位置数据。

Grindr为全球最大的同性社交网站，今年1月初被北京昆仑万维科技股份有限公司收购，其拥有的用户超过几百万遍布234个国家。

（二十一）社交新闻网站Reddit遭黑客攻击，2007年之前的备份数据泄漏

（二十二）实时聊天供应商被黑，致使西尔斯、达美航空、百思买用户信用卡泄漏

2018年4月，美国百货连锁公司西尔斯(Sears)、达美航空(DeltaAirlines)以及百思买(BestBuy)因共用的软件提供商被黑而导致客户的支付卡详情遭暴露。

这家被黑的公司位于美国加州圣荷西，提供多种客户支持服务，包括实时聊天系统和人工智能聊天机器人等。

达美航空公司表示，攻击者设法窃取的信息包括持卡人姓名、地址、卡号、CVV号码以及有效期。但该公司虽然并未说明受影响的乘客人数有多少，但表示攻击者并未获得访问护照或政府身份详情的权限，同时也未获得访问托管在SkyMiles计划中的数据的权限。

（二十三）亚马逊解雇擅自向第三方商家披露用户信息的员工

根据发送给消费者的通知，亚马逊已经提醒购物者但表示并不需要采取更改密码等措施。公司并没有披露受影响消费者数量。

（二十四）亚马逊因“技术错误”泄漏部分客户信息，包含姓名、邮件地址

五、交通物流

（二十五）38万笔用户支付信息失窃，英国航空公司道歉

2018年9月，英国航空公司7日为乘客信息失窃道歉，承诺将赔偿遭受经济损失的用户。英国政府已知道这起“网络攻击”，正调查事件经过。

英航董事长克鲁斯告诉记者，黑客作案手法“极其复杂”，为英航在线运营20多年来所未见。黑客没有破坏英航加密系统，而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。

（二十六）澳洲最大汽车共享服务公司GoGet被黑客入侵，会员信息惨遭泄漏

2018年2月，GoGet公司向其客户发出警告，称他们的车辆预定系统在去年遭到了黑客的入侵，在去年7月27日之前注册的会员个人信息已经遭到泄露。

GoGet是澳大利亚首家，也是规模最大的一家汽车共享服务公司，业务覆盖澳洲五大主要城市，这包括：悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。

（二十七）航运巨头马士基旗下子公司近半员工个人信息泄漏

2018年3月，根据《丹麦海军时报（MaritimeDanmark）》的报道，航运公司SvizterAustralia有大约500人受到了数据泄露事件的影响，而遭到泄露的个人信息可能包括税务档案号码、亲属详情以及退休金账户信息。

Svitzer的通信主管NicoleHolyer表示，该公司在今年3月1日收到了警告后阻止了黑客的电子邮件盗窃行为。另根据Holyer的说法，该公司使用由第三方电子邮件服务提供商托管的服务，目前该公司已经向提供商送达了法院命令，以向调查人员提供访问权限。

（二十八）美国邮政局修复API漏洞，6000万用户个人信息或受影响

2018年11月，据报道，美国邮政局（USPS）周三发布补丁修补了一个API漏洞。攻击者可在该API的“帮助”下，利用任何数量的“通配符”搜索参数获取其他用户的大量数据：从用户名、账号到实际地址和联系方式等等。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户，大约有6000万美国邮政用户受该安全漏洞影响。

根据KerbsonSecurity的报道，这个漏洞在一年前由一名独立的安全研究员首次发现，该研究员随后告知了美国邮政局，然而从未获得任何回复，直到上周Krebs以该研究员名义联系了美国邮政局。

（二十九）南非再次遭遇数据泄露：近100万公民个人信息网上曝光

继2017年南非遭遇一起大规模的数据泄露事故，2018年5月，这个国家又发生了一起数据泄露，导致93.4万人的个人记录在网络上被曝光。本次曝出的数据，涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。

南非eNATIS驾照人数统计（2017年3月）

在专家帮助下，外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关。被泄露的数据库，是在一个公共网络服务商上被发现的，系统属于一家处理南非电子交通罚款的公司。

（三十）尼日利亚最大航空公司ArikAir云泄露大量乘客数据

2018年11月初，据尼日利亚当地媒体《优质时报（PremiumTimes）》报道，尼日利亚国内最大的航空公司ArikAi公布的数据显示，该航空公司的大量乘客数据因为一个没有得到保护的亚马逊S3存储桶暴露在了网上。

根据Cloudflare的安全主管JustinPaine的说法，日前他在日常扫描活动中发现了一个包含大量CSV文件的亚马逊S3存储桶，而这些敏感文件很可能归ArikAir航空公司所有。

（三十一）欧洲铁路系统遭遇黑客攻击，大量旅客数据泄露

2018年5月，旅行网站欧洲铁路（RailEurope）公司向客户发布通告表示，有黑客入侵了该公司的机票预定网站，或已窃取了大量敏感数据。欧洲铁路北美有限公司（RENA）表示，因此次黑客事件可能泄露客户的个人信息包括：

除此之外，某些注册用户的用户名与密码也可能遭遇外泄。更令人担忧的是，黑客已经在RENA系统当中驻留近三个月之久。RENA在2018年2月16日与银行联系时，开始意识到其欧洲铁路网站可能存在问题，直到5月才确认该泄露事件。

（三十二）英国航空承认最近发生的网络攻击比想象中还要糟糕

2018年10月，据外媒报道，英国航空公司(BritishAirways)证实，发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。

虽然现在还没有证据表明黑客将银行卡信息用于不法活动，但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。

（三十三）中东打车巨头Careem被黑，1400万乘客信息失窃

该数据泄露事件涉及到的用户包括55.8万名司机和1400万乘客。Careem目前在全球13个国家运营，覆盖90个城市。Careem曾宣布其在土耳其和巴基斯坦等国处于市场领先地位。

六、教育

（三十四）加拿大亚岗昆学院服务器感染恶意软件，超过11万条记录泄露

该学院已经确认了4568名个人，包括学生和校友，可能遭泄露的数据包括出生日期和家庭住址。另有106931名个人，包括学生、校友以及现任和前任员工，可能遭泄露的信息是一些公开的非敏感信息。学院已经就此事通知了安大略省信息和隐私专员以及渥太华警察局。

（三十五）教育网站存漏洞，俄罗斯1400万大学毕业生个人信息泄漏

俄罗斯技术社区网站Habrahabr上，一名昵称为NoraQ的用户（黑客）2018年1月29日发文称，1400万名俄罗斯大学毕业生信息泄露。俄罗斯总人口数量约为1.46亿，即十分之一俄罗斯人的信息泄露。泄漏信息包括姓名、出生日期、个人账户的保险号码、纳税人识别号码、电子邮件地址等，文件大小约为5GB。

NoraQ在俄罗斯联邦教育科学联督局服务网站上发现了一个SQL注入漏洞，通过这个漏洞他下载了上述1400万名毕业生信息。

（三十六）全美最大公立网校FLVS遭遇数据泄露，近37万师生受影响

FLVS成立于1997年，是全美第一所也是最大的一所公立虚拟学校。FLVS表示，他们的IT人员在2月曾发现一台服务器存在严重的配置错误问题，这导致该服务器对于黑客来说是“完全开放”的。

目前，FLVS已经将此事通报给了政府执法部门。除此之外，FLVS还将会为受影响的师生提供为期一年的年度免费信用监控服务。

（三十七）数据泄露影响超过1000万公民，马来西亚教育部SAPS系统紧急下线

2018年6月，据马来西亚媒体MalayMail报道，在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后，由马来西亚教育部推出的学校考试分析系统（SitemAnalisisPeperiksaanSekolah，SAPS）被迫紧急下线。

报道指出，一位要求匿名的读者在上周五晚向MalayMail爆料称，教育部此前无视他的警告，迫使他不得不向媒体寻求帮助。之后，他向马来西亚计算机紧急响应小组（MyCERT）进行了通报。MyCERT在周六中午对MalayMail出了回应，该系统之后也在同一天被下线。

（三十八）因员工发错邮件，普渡大学2.6万名学生详细信息暴露

2018年5月，美国印第安纳州西拉法叶市的普渡大学（PurdueUniversity）发生了一起数据泄露事件，恰恰就只是因为一名工作人员一不小心犯下的一个低级错误导致的。据报道，在这起数据泄露事件中，所涉及的数据超过2.6万条。

在解释这一事件时，普渡大学助理法律顾问TrentKlingerman表示，该校的一名工作人员原本计划是要发送一份与财政援助计划有关的宣传手册，但无意中将包含学生个人信息的表格发送给了学生的家长。邮件附件是一个Excel文件，包含了超过2.6万名学生的数据。

七、金融

（三十九）AWS存储桶泄露50.4GB数据，美国消费金融巨头受影响

2018年3月，云安全厂商UpGuard公司网络风险小组发现一批由于AmazonWebServices（简称AWS）S3存储桶未受保护而泄露的50.4GB数据。经证实，此AWS存储桶属于云商务智能（简称BI）与分析厂商Birst公司。

这50.4GB数据涉及Birst公司主要客户CapitalOne（一家位于弗吉尼亚州麦克莱恩市的金融服务巨头，亦为全美第八大商业银行），包含CapitalOne网络基础设施配置信息以及Birst公司的设备技术信息。

（四十）Delta、Sears供应商遭网络攻击，数十万名客户信用卡信息可能曝光

目前，联邦执法部门、银行以及IT安全公司正在对这一安全事件进行调查。而Sears和Delta都分别开设了针对此事件的客户通道，前者开通了一个客户咨询热线，后者设立了一个专用解答网页delta.com/response。

（四十一）NAS配置不当，保险公司大量敏感数据泄露

2018年1月19日，UpGuard网络风险研究主任ChrisVickery留意到了美国马里兰联合保险协会（MDJIA），因为他发现了属于该保险协会的一个联网存储（NAS）设备，该设备通过一个开放端口与互联网连接，而它内含与协会IT运营的重要敏感数据。因存储设备的错误配置，将数千客户的信息泄露到网上。

（四十二）PayPal旗下移动支付服务Venmo默认公开用户交易信息（已遭滥用）

2018年7月，一名隐私提倡者HangDoThiDuc发布最新调查结果表示，多数Venmo交易被记录在任何人均可访问的一个公共API中，原因是Venmoapp的默认设置为所有用户设置为“公开”。他通过这一隐私策略查询VenmoAPI并下载了该公司所有2017年的公开交易记录，总计207,984,218条。

除非用户特别更改了这个值，否则他们通过Venmo转账app做出的所有交易都被记录且任何人均可通过Venmo公共API遭访问。通过这个API暴露的数据包括发送人和收款方的姓和名、Venmo头像、交易日期、交易留言、交易类型等。据悉，Venmo是一款仅在美国使用的移动支付应用，于2009年推出。2013年，Venmo成为PayPal子公司。

（四十三）澳大利亚联邦银行遗失了1200万条用户银行数据

2018年5年，外媒BuzzFeed报道，澳大利亚第一大商业银行澳大利亚联邦银行（CBA）证实，包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带，在一次数据中心转运任务中被其分包商Fuji-Xerox丢失。其中至少包含1200万名用户的银行交易数据。

当银行意识到这起事件时，其委托三方统计公司毕马威（KPMG）进行过一次独立的剖析调查，以了解具体情况，并通知了澳大利亚信息专员办公室（OAIC）。毕马威（KPMG）在调查后发现存储带很有可能已被处置，很难寻回。

（四十四）超2万张银行卡数据在暗网兜售，几乎涵盖巴基斯坦国内所有银行

2018年11月，据巴基斯坦GEO电视台报道，几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响，而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局（FIA）网络犯罪部门负责人的证实。

根据俄罗斯网络安全公司Group-IB最近发布的一份报告，其在暗网上发现一批数据，包含了超过2万张巴基斯坦银行卡的详细信息，而这些数据归属于在该国运营的“大多数银行”的客户。巴基斯坦PakCERT的专家认为，这些数据是通过银行客户的刷卡行为获得的。这些支付卡数据正在暗网出售，售价从100美元至160美元不等。

（四十五）黑进上百家美国企业窃取1500万张信用卡记录，三名乌克兰黑客被捕

2018年8月，据外媒报道，三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到，该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍，这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC（美证券交易委员会）投诉文件展开。

现在，DmytroFedorov、FedirHladyr、AndriiKolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。

2018年11月，汇丰银行（美国）通知客户10月4日至10月14日期间发生了数据泄露，攻击者访问了访问该金融机构的在线账户。

为应对安全漏洞，汇丰银行的美国子公司暂停了在线账户访问以防止滥用。数据泄露后，汇丰银行加强了个人网上银行的认证流程，增加了额外的安全保障。

（四十七）加拿大两家银行遭黑客勒索，9万名客户信息被盗

（四十八）离职员工窃取客户联系人名单，SunTrust银行150万客户信息泄露

2018年4月，美国SunTrust银行证实，在一名离职员工偷窃了该公司的客户联系人名单之后，超过150万名客户的个人信息可能已经因此遭到泄露。

Rogers表示，SunTrust银行正在积极配合第三方安全专家和执法部门进行事件调查。尽管调查工作仍在在进行中，但出于对客户负责，SunTrust银行正在主动通知约150万名客户。

（四十九）美国征信公司信息泄露事件升级，新增240万受害者

2018年3，据报道，美国征信公司伊奎法克斯(Equifax)表示，关于2017年9月曝出的1.4亿用户个人信息泄露事件，近日又发现另外240万名受害者。

伊奎法克斯称，之前未发现新的受害客户，是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。该公司还表示，将会通知这些用户，并为他们提供防盗保护和信用报告监控服务。

（五十）新蛋网用户信用卡数据泄漏：恶意代码已侵入约1个月

有安全研究人员发现，黑客将15行恶意盗刷代码植入新蛋网支付页面，从8月14月-9月18日，代码一直存在。这种恶意代码从用户手中窃取信用卡数据，传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户，只是目前还不清楚移动端用户是否已经受到影响。安全研究人员指出，攻击新蛋网的方式十分巧妙，伪装极好，与英国航空公司（BritishAirways）信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。

（五十一）智利1.4万信用卡资料被黑客组织盗取

2018年7月，根据智利政府公布的消息，黑客盗取了智利约1.4万张信用卡的资料，并将这些资料公布在社交媒体上。

据报道，在这起案件中，黑客公布了信用卡卡号、有效期限及安全码，受攻击影响的银行包括桑坦德银行(Santander)、伊塔乌银行(Itau)、丰业银行(Scotiabank)和智利银行(BancodeChile)，这些银行已通知客户遭入侵一事。

智利政府的银行监管机构表示，这起袭击行动是黑客组织“影子经纪人”(ShadowBrokers)展开的，该组织因入侵美国国家安全局(NSA)而闻名。

（五十二）DarkOverlord黑客发布了第一批“秘密”911文件

他们已经从一家为保险公司HiscoxSyndicaresLtd.提供咨询服务的律师事务所窃取到文件。事后，律师事务所与黑客组织达成了赎回协议，并确定对方按协议缴纳赎金即可拿回全部数据。但是，该律师事务所并未履行诺言，向执法部门进行了报告。

八、军事

（五十三）超过两万名美国海军陆战队队员个人资料遭意外泄露

（五十四）美空军“死神”无人机文件泄露

（五十五）女童子军信息泄露事件中2800名成员个人信息外泄

据女童子军分部（GSOC）称，该账户之前用于为女童子军成员安排出行，因此，黑客可通过访问该账户获取个人数据。经确认，黑客或已窃取部分成员姓名、出生日期、家庭住址、保险单号及健康病历。专家警告，外泄信息可能被用来进行基于社会工程学的网络攻击。

（五十七）英国空军遭遇黑客攻击，F-35隐形战机数据疑泄露

英国《每日邮报》2018年8月6日报道，英国皇家空军F-35B战机的部分信息已经泄露！英国计划从美国购买138架该型战机，皇家空军和海军航空兵都将装备。

然而，英国皇家空军一名女军人的手机约会应用软件Tinder账户被黑客入侵，黑客在获取她的信息后，开始以她的身份与一名男同事（空军）联系，聊起了两个月前刚抵达英国的F-35A隐身战机。

尽管这名女军人很快就发现自己的账号被盗用了，但还是晚了。从黑客与那名男同事的聊天记录来看，黑客非常得心应手用各种语言陷阱，从那名男同事那里套取了F-35B战机的部分信息，其中不乏机密信息。

（五十八）中东地区政军企高层遭钓鱼间谍攻击，攻击者已收集逾30GB数据

2018年5月，根据Lookout安全公司发布的报告，攻击者使用“StealMango”等监控软件工具成功地攻陷政府、军方、医疗等人员的移动设备，已经收集了超过30G的受攻陷数据，包括通话记录、音频记录、设备位置信息以及文本信息。某钓鱼攻击活动通过自定义监控软件感染安卓设备，从多个国家尤其是中东地区的高层提取数据。

Lookout公司表示，约100台独立设备遭针对性监控活动的影响，包括政府官员、军方人员的设备，以及位于巴基斯坦、阿富汗、印度、伊拉克和阿联酋等地的活动家。其它国家如美国和德国的官员数据也遭收集。

九、生活服务

（五十九）GDPR施行后，英国电子零售商DixonsCarphone公布严重数据泄露事件

2018年6月，英国家喻户晓的手机零售商DixonsCarphone宣布，正在调查“对公司所持有的某些数据的越权访问”。该公司指出该越权访问“试图攻陷CurrysPCWorld和DixonsTravel商店中其中一个处理系统中的590万张卡”，“以及包含非金融个人数据的120万个记录，如姓名、地址或邮件地址”。

这可能是英国历史上发生的规模最大的数据泄露事件。

如果整个事件被按GDPR规定处理，那么ICO可能会对DixonsCarphone开出全球年收入总额的4%的罚单。去年，该公司的年销售总额为105亿英镑（折合140亿美元）。根据GDPR开出的罚单可能达到数亿英镑。

（六十）阿迪达斯可能泄漏了数百万美国消费者信息，官方称正在调查

（六十一）法国眼镜连锁店Opticalcenter因泄露用户数据被罚25万欧元

2018年6月，据《费加罗报》报道，法国眼镜连锁店Opticalcenter因泄露用户数据，被法国独立机构信息与自由委员会(Cnil)罚款25万欧元(约合人民币188.66万元)，该金额创造了Cnil最高罚款记录。

据悉，法国2016年颁布的个人信息数据保护法使得Cnil的惩罚权限，由15万欧元上调至300万欧元；而GDPR，让这一数字上调至2000万欧元和营业额的4%。

（六十二）健康应用PumpUp服务器未设密码，超过600万用户个人信息暴露

（六十三）酒店预订软件FastBooking被黑，数百家酒店旅客入住和支付信息泄露

2018年6月，数百家酒店的旅客个人详情和支付卡数据被盗，而数据是从巴黎公司FastBooking被盗的。该公司向全球100个国家的4000多家酒店出售酒店预订软件。

（六十四）美国Chili’s连锁餐厅支付系统被黑，用户支付卡信息遭破坏

Chili’s当前正与一个外部取证技术团队合作，以尽快确定信息缺口的性质及全部范围。与此同时，以最快速度向顾客发布了通知，承诺尽可能提供欺诈解决和信用监控服务，还给出了详细具体的参考安全建议。

（六十五）美国连锁餐厅Applebee被黑，160多家门店POS系统支付信息泄漏

RMH透露，这起事件是在2月13日被发现的。在得知潜在事件后，RMH立即展开了调查并获得了网络安全取证公司的帮助。根据公告显示，事件影响了位于阿拉巴马州、亚利桑那州、佛罗里达州等14州的160多家Applebee餐厅，这几乎代表了RMH拥有和经营的所有餐馆。

（六十六）美国奢侈品巨头SaksFifthAvenue遭黑客攻击，500万张银行卡信息被盗

GeminiAdvisory指出，由于Saks的客户是高收入群体，因此被盗的银行卡对于欺诈者而言价值尤高，因为高收入群体的支付卡盗用情况难以检测。

（六十七）美国线上旅行社Orbitz遭遇黑客攻击，88万客户个人资料或已泄露

2018年3月22日，据国外综合新闻平台PhocusWire的报道，美国在线旅游巨头Expedia旗下的在线旅行社Orbitz公司在本周二公开宣布称，其在线旅游预定平台存在一个严重的安全漏洞，而这个漏洞可能会使得大约88万名Orbitz客户面临数据泄露风险。

根据Expedia的说法，这个漏洞是该公在司对Orbitz的商业合作伙伴Travelocity运行的平台进行调查时发现的，而Orbitz平台和该平台处于相同的环境中。

（六十八）美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月

安全研究人员已在去年8月通知了该公司。当被问及到在2017年8月进行通报后直到现在以来，是否看到有任何迹象表明Panerabread曾试图解决这个问题时，Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾客记录，但该网站索引的增量客户数据表明，这个数字可能高于700万。

（六十九）内鬼作祟！可口可乐承认8000名员工的个人信息被泄漏

2018年5月25日，据外媒BleepingComputer报道，可口可乐公司本周对外宣布了一起数据泄露事件，他们在前员工的个人硬盘中，发现了大量现有员工的个人数据，而这些数据，是该前员工从可口可乐违规挪用的。

（七十）纽约9家B&BHG餐厅遭恶意软件感染，顾客支付卡数据泄漏

2018年7月，据多家国外媒体报道，B&BHG酒店集团（B＆BHospitalityGroup）证实该集团在纽约市运营的9家餐厅所配备的销售终端（POS）被发现感染了恶意软件。初步调查结果显示，此次黑客入侵发生在2017年3月1日至2018年5月8日之间，黑客可能已经偷走了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息。

第三方网络风险管理平台公司CyberGRX的首席执行官FredKneip表示：“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平，这一点对于销售终端解决方案提供商来说尤其重要，因为他们能够访问所有的支付数据。”

（七十一）新西兰网盘Mega上万帐号密码遭泄露，被公开在VirusTotal上

2018年7月17日，据外媒ZDNet报道，Mega——这家于新西兰成立并提供在线云存储和文件托管服务的公司，目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供，涉及超过15,500条用户名、密码和文件名的数据。

这份文本文件最早由DigitaSecurity公司的首席研究官和联合创始人PatrickWardle于6月份在恶意软件分析VirusTotal上发现，而这份文件是在几个月前由一名据称在越南的用户上传的。

（七十二）云泄露最前线：巴西订阅视频服务SkyBrasil暴露32.7万用户信息

虽然Castro发现了这一事件后通知了SkyBrasil，公司随后也对数据库进行了密码保护；但其服务器至少从10月中旬就开始在Shodan上被编入索引，目前还不清楚数据库的访问者数量。

（七十三）知名运动品牌UnderArmour1.5亿用户数据被泄露，称不涉及敏感信息

2018年3月30日，据报道，本周四，美国著名运动装备品牌UnderArmour称有1.5亿MyFitnessPal用户数据在上个月被泄露了，MyFitnessPal是一款UnderArmour旗下的食物和营养主题应用。

（七十四）珠宝电商MBM公司130万客户信息泄漏，内含明文密码

2018年3月18日，据雷锋网报道，MBM公司被德国安全公司KromtechSecurity的研究人员抓住了小辫子。研究人员在不安全的亚马逊S3存储桶中发现了该公司的MSSQL数据库备份文件。

最初，研究者怀疑这些数据归沃尔玛所有，因为这个存储桶被命名为“walmartsql”，不过后来他们通过分析后发现，这些数据的主人其实是MBM公司。在对泄露文档作了进一步评估后他们发现，这里容纳了超过130万人（准确来说是1314193人）的私人敏感数据。这些数据包含个人住址、email地址、IP地址和邮政编码，许多客户的密码甚至直接用明文显示，毫无安全性可言。

安全专家支招称，直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定，没有对密码进行加密更是不可饶恕。

十、物联网

（七十五）俄罗斯视频监控公司iVideon数据泄露，涉及超过82万名用户个人信息

2018年5月14日，Kromtech安全中心的研究人员在最近发现，一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护，并向公众开放。

（七十六）神乎其神！北美某赌场因联网鱼缸漏洞被黑，客户信息全泄露

2018年4月17日，据报道，网络安全公司Darktrace的首席执行官NicoleEgan在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。

十一、医疗卫生

（七十七）MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据

2018年8月，据BleepingComputer报道，一个MongoDB数据库被发现可以通过互联网公开访问，其中包含了超过200万（2,373,764）墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

这个数据库是由安全研究员BobDiachenko通过Shodan发现的，Shodan是一个搜索引擎，可以搜索所有联网设备，而不仅限于Web服务器。当被发现时，这个数据库完全暴露在互联网上，任何人都可以对其访问和编辑，因为它没有设置密码。“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道，从那以后就开始被广泛报道……不安全的数据库仍然大量暴露在互联网上，此类数据库至少有54,000个。”

（七十八）澳大利亚SAHealth医院意外暴露7200名儿童个人资料

2018年8月7日，据报道，澳大利亚SAHealth在其官方网站上发布了一篇新闻稿，称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院（WomensandChildrensHospital）因工作人员操作失误，意外暴露了约7200名儿童的医疗记录和个人资料。其中，包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料。

根据SAHealth的说法，这些数据早在2005年就已经可以被公众通过互联网访问，直到在上周三有患者的父母在线注意到这些数据后，医院方面才得知了这一事件。这也意味着，这些数据已经在线暴露近13年！

（七十九）美国医疗保健公司BlueSpringsFamilyCare近4.5万条患者记录遭泄露

2018年7月31日，最近的新闻报道显示，BlueSpringsFamilyCare遭遇了勒索软件攻击，而被落入攻击者手里的数据达到了近4.5（44,979）万条。

在该公司的一封公开信中指出，攻击者可能获得了各种患者记录信息，这至少包括：患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊断和驾驶执照/身份证号码。

公开信还透露，2018年5月公司曾遭受勒索软件攻击。BlueSpringsFamilyCare表示，他们已经与另一家电子健康记录提供商达成合作协议，而这个新的合作伙伴会对所有健康数据进行加密保护。

（八十）美国医疗公司LifeBridgeHealth泄露近50万患者个人信息

2018年5月22日，根据《巴尔的摩太阳报（BaltimoreSun）》在本周二刊登的一则报道，LifeBridgeHealth公司日前向近50万位患者发出通知称，他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。

根据LifeBridgeHealth官方的说法，这一事件最初是在今年3月份被发现的，当时他们在一台服务器上发现了恶意软件，而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。

LifeBridgeHealth通过电子邮件告知患者，根据第三方安全公司的调查结果来看，数据泄露最初开始于2016年9月27日，遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。

（八十一）美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录

2018年4月，KrebsOnSecurity在上周五（4月20日）了解到，MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患。该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的，但事实证明任何互联网用户都可以对其进行访问。

（八十二）挪威过半人口医疗数据疑遭泄漏，攻击者“高阶且专业”

2018年1月19日，挪威当地媒体报道称，负责管理挪威东南部地区医院的机构HealthSouth-EastRHF宣布网站遭泄露事件，超过290万用户，超过挪威（总人口520万）一半的人口可能受影响。该组织表示，挪威医疗部门的计算机紧急响应中心HelseCERT发现来自HealthSouth-East计算机网络的可疑流量；一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。

（八十三）为防止再次发生泄漏事件，新加坡公共医疗领域电脑暂时“断网”

2018年7月23日，新加坡卫生部称，公共医疗机构使用的电脑已暂停接入互联网，防止类似新加坡保健服务集团（新保集团）数据库遭网络攻击事件再度发生。

据了解，新保集团数据库6月底开始遭网络攻击，大约150万名病人个人资料失窃，新加坡总理李显龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取，新加坡政府已成立独立调查委员会调查此事。

（八十四）英国知名药妆店Superdrug近2万名顾客个人信息遭泄露

2018年8月24日，据报道，有黑客在本周一（8月20日）联系了英国知名药妆店Superdrug，称他们已经获得了大约2万名Superdrug顾客的详细个人信息。作为证据，黑客还向Superdrug展示了386名顾客的个人信息记录。

（八十五）遭遇网络钓鱼攻击，美国奥古斯塔大学医疗中心泄露41.7万份记录

2018年8月21日，据报道，奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息，以及他们的医疗和健康记录。对于其中一些受害者来说，遭泄露的数据还可能包含财务记录和社会安全号码。

根据该校网站上最新发布的安全通知来看，攻击发生在2017年9月10日至11日。最初，该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而，在今年，他们意识到约有41.7万份记录因此遭到泄露。

奥古斯塔大学已经准备向每一名受害者发送个人电子邮件，以通知他们有关此次事件，并为社会安全号码遭到泄露的人提供为期一年的免费信用监控服务。

（八十六）优步270万用户信息被黑客盗取，遭英国监管机构罚款38.5万英镑

2018年11月27日，优步（Uber）近日被英国媒体曝光：旗下约270万英国用户个人信息在2016年被黑客盗取，而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客，因此被英国监管机构重罚38.5万英镑。

目前，ICO正在对案件进行进一步的调查。该办公室还指出，已经在优步的系统中发现了一系列可获得数据的安全漏洞，黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息，已掌握了2016年10月和11月被攻击的犯罪事实。

十二、制造业

（八十七）巴西最大工业协会被指数据泄露，数千万个人信息可互联网访问

2018年11月，据报道，白帽黑客生态系统HackenProof的安全研究员鲍勃·迪亚琴科（BobDiachenko）称其发现了三个包含个人记录的数据库，可通过Elasticsearch搜索引擎访问这些记录。最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日。

（八十八）史上最严重数据车祸：100+车厂机密全曝光，通用丰田特斯拉统统中招

2018年7月22日，据报道，加拿大汽车供应商LevelOne被UpGuard的研究员ChrisVickery发现，该厂商的数据后门大开，黑客可轻松访问其100多家合作伙伴车厂的机密文件。这100多家车厂，从通用汽车、菲亚特克莱斯勒、福特、丰田，大众到特斯拉，都名列其中。

而被泄露的数据，从车厂发展蓝图规划、工厂原理、制造细节，到客户合同材料、工作计划，再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息，共计157千兆字节，包含近47,000个文件。在反复检查过程中，ChrisVickery确认，通过LevelOne的文件传输协议rsync，可以无障碍访问上述所有隐私数据。

（八十九）特斯拉起诉前员工：黑进内部生产系统盗取并泄露机密数据

2018年6月，据美国内华达州联邦法庭公布的诉讼文件显示，特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普（MartinTripp），称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。

据诉讼文件显示，该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统，偷取大量数据并交给第三方，还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

特里普开发的恶意软件安装在了三台不同员工的电脑上，所以在他离开特斯拉后，还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。

十三、其他

（九十）国泰航空940万名乘客个人数据被盗，包含出行地点数据

另外，国泰航空还指出，有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。但是，没有密码遭到泄露。

这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍，因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。

（九十一）丽笙酒店集团遭遇数据泄露，官方称受影响会员不足10%

（九十二）开发者安全预警：数万Jenkins暴露在网上，已发现大量敏感数据

2018年1月23日，研究人员表示，没有利用任何漏洞，就在互联网上发现了暴露2.5万个Jenkins实例，从这些实例中发现了不少大型公司泄露了敏感证书和日志文件，这都可能会引发数据泄露事件。

Jenkins是最受欢迎的开源自动化服务器，由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建，测试和部署其应用程序，在全球拥有超过133,000个活跃安装实例，用户超过100万。

上述2.5万个实例中，10-20％的实例存在配置错误，这些错误配置的实例，大多也都泄露了敏感信息，包括专用源代码库的证书，部署环境的证书（例如用户名、密码、私钥和AWS令牌）以及包括凭证和其他信息的作业日志文件敏感数据。

（九十三）澳大利亚国家绝密文件被卖二手店

2018年2月1日，澳大利亚政府的某人决定卖掉两个尘封已久的文件柜卖掉，因为他们丢掉了文件柜钥匙；随后买家用一把电钻打开了柜——连续五届政府在储藏柜放着的文件。

最终，这些文件辗转到达澳大利亚广播公司(ABC)的手中，这家媒体目前正在发布他们认为安全的资料。ABC披露的文档中包括Rudd政府如何计划资助澳大利亚已引发争议的国家宽带网络(NBN)的机密简讯。该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。

（九十四）3500万美国选民记录黑客论坛有售

号称有600万选民的威斯康辛州，选民记录价格为1.25万美元。其他州的选民信息报价在几千美元，到几百美元不等。卖家承诺，每周都会在从州政府线人处收到信息时更新选民登记数据。令人匪夷所思的是，售卖信息刚贴出来几小时后，论坛上就出现了众筹购买该选民记录的活动。

（九十五）GoogleGroups配置不当，一大波财富500强公司敏感信息遭泄露

2018年6月，KennaSecurity公司研究员指出，由于GoogleGroup配置出错，导致数千家组织机构的某些敏感信息被泄露。这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。根据样本统计，约31%的GoogleGroups会导致泄露数据。

独立研究员BrainKrebs上周五发布分析结果表示，“除了泄露个人信息和金融数据外，配置错误的GoogleGroups账户有时候还公开检索关于组织机构本身的大量信息，包括员工使用手册链接、人员配备计划、宕机和应用bug报告以及其他内部资源。

研究人员指出，“鉴于这种信息的敏感特征，可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”

（九十六）MongoDB可公开访问，美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

Kars4Kids是一家成立于1994年的慈善机构，总部设在美国新泽西州莱克伍德，将其大部分收益都捐赠给了Oorah，一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

（九十七）MongoDB配置不当，近70万美国运通印度分公司客户联系信息遭泄露

2018年11月，据外媒ZDNet报道，近70万名美国运通（Amex）印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上。

大约在三个星期以前，国际网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问，而且没有设置密码。

（九十八）MongoDB数据库配置不当，数万Bezop代币用户个人信息泄露

2018年4月，据报道，网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库，其中包含了超过25,000名Bezop用户的详细个人信息，其中一部分是6,500名Bezop（BEZ）加密货币的投资者，剩余部分则单单只是Bezop代币的接收者。

数据库所存储的这些信息与Bezop团队在年初开始运行的“赏金计划”有关。在此期间，该团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。

（九十九）半年186家！日企机密文件大量被“晒”百度文库

熟悉中国法律的律师分部悠介表示，在中国泄露企业营业机密也属于违法行为，不过只有受害金额较大等情况下才会适用刑事处罚。另外，由于要证明网上的投稿使企业蒙受严重损失十分困难，因此很难通过刑事处罚来遏制这种行为。

（百）美国大数据营销公司因失误泄露2TB隐私信息，涉2.3亿人

2018年6月28日，据Wired报道，本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击，而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内。