历史上从未有过如此不稳定的时期,大规模数据泄露事件此起彼伏,并且呈现出持续上升的趋势。为了警示企业数据保护的重要性,防止再次发生数据被盗的问题,我们编制了一份历史上最大的70起数据泄露事件清单。
正如您所看到的,即使是Facebook、LinkedIn和Twitter这样的知名公司也很容易受到数据泄露事件的影响。
按影响排名的70个最大的数据泄露事件
每一次数据泄露事件都揭示了导致数百万条个人数据记录被曝光的错误。
1.CAM4数据泄露
日期:2020年3月
影响:108.8亿条记录
被泄露的记录包括以下敏感信息:
许多暴露的电子邮件地址都与云存储服务有关。如果黑客对这些用户成功发起网络钓鱼攻击,他们就可以更深入地获取个人照片和商业信息。
由于黑客肆无忌惮地连接被破坏的数据库,受影响的用户可能会在未来许多年内成为勒索和诽谤企图的受害者。
2.雅虎(Yahoo)数据泄露(2017年)
日期:2017年10月
影响:30亿个账户
雅虎(Yahoo)披露,2013年8月一群黑客的违规行为使10亿个账户遭到泄露。在这种情况下,安全问题和答案也被泄露,增加了身份盗窃的风险。2016年12月14日,雅虎(Yahoo)在谈判将自己出售给Verizon时首次报告了该漏洞。雅虎(Yahoo)要求所有受影响的用户更改密码,并重新输入未加密的安全问题和答案,以便重新加密。
然而,到2017年10月,雅虎(Yahoo)将用户账户的估值更改为30亿。一项调查显示,用户的明文密码、支付卡数据和银行信息没有被盗。尽管如此,这仍然是这种类型最大的数据泄露事件之一。
3.Aadhaar数据泄露
日期:2018年3月
影响:11亿人
2018年3月,存储在世界上最大的生物识别数据库中的超过10亿印度公民的个人信息可以在线购买。
这次大规模数据泄露事件是由一家国有公用事业公司运行的系统数据泄露造成的。该漏洞允许访问Aadhaar持有人的私人信息,暴露了他们的姓名、唯一的12位身份证号码和银行详细信息。
泄露的信息类型包括几乎所有印度公民的照片、拇指指纹、视网膜扫描和其他识别细节。
4.阿里巴巴数据泄露
日期:2022年7月
影响:11亿用户
2022年年中,中国电子商务巨头阿里巴巴遭受了一次重大数据泄露,其中客户数据包括:
总共有超过23TB的数据从阿里巴巴的云托管服务器中被泄露出来,阿里云也是中国最大的公共云服务提供商。该漏洞最初是由一名黑客通过在线论坛宣布的,他声称拥有上海警察的信息,其数据就托管在阿里云上。阿里巴巴及其创始人马云在处理极其敏感的政府信息时,却让关键服务器完全不受保护,因此受到了大量批评。
这并不是阿里巴巴的第一次数据泄露事件,因为就在一年前,第三方开发者曾泄露了阿里巴巴的购物网站淘宝上抓取的用户数据。同样,超过10亿用户被曝光,尽管该开发者和他的雇主被判处三年监禁,但阿里巴巴表明,他们在进入2022年之后继续采取宽松的安全措施。
5.第一美国集团(FAF)数据泄露
日期:2019年5月
影响:8.85亿用户
据报道,2019年5月,第一美国集团(FAF)泄露了8.85亿用户的敏感记录,这些记录可以追溯到16年前,包括银行账户记录、社会保障号码、电汇交易和其他抵押贷款文件。
泄露是由于网站配置错误导致的,允许公众在不需要任何身份验证的情况下查看敏感信息。由于第一美国集团(FAF)的记录是连续的,任何人都可以增加或减少URL中的数字,以快速查看其他客户的记录。尽管发生了大规模泄露,但没有关于任何客户信息被盗或被用于恶意目的的报告。
6.Verifications.io数据泄露
日期:2019年2月
影响:7.63亿用户
7.领英(LinkedIn)数据泄露(2021年)
日期:2021年6月
影响:7亿用户
数据被分为两次泄露,最初暴露了5亿用户,然后是第二次泄露,黑客“上帝用户”吹嘘说,他们正在出售一个7亿个领英(LinkedIn)的数据。
黑客公布了包含100万条记录的样本,以确认漏洞的合法性。这些数据包括以下内容:
黑客利用领英(LinkedIn)的API抓取了数据。
领英(LinkedIn)声称,由于个人信息没有被泄露,因此这次事件不是“数据泄露”,而只是通过被禁止的数据抓取违反了他们的服务条款。
了解数据泄露和数据泄漏之间的区别。
但泄露的数据足以引发大量的网络攻击,这使得该事件在很大程度上被归类为数据泄露。
8.Facebook数据泄露(2019年)
日期:2019年4月
影响:5.33亿用户
该公司的数据库于2021年4月在暗网上被免费泄露,为最初于2019年泄露的数据增加了新一波的犯罪曝光。这使得Facebook成为2021年被黑客入侵的最大公司之一。
9.雅虎(Yahoo)数据泄露(2014年)
日期:2014年
影响:5亿个账户
雅虎(Yahoo)早在2014年就意识到了这个漏洞,采取了一些初步的补救措施,但未能进一步调查。大约两年后,在该公司被盗的数据库据称在黑市上出售后,雅虎(Yahoo)才公开披露这一漏洞。
10.喜达屋(Starwood)数据泄露
日期:2018年11月
影响:5亿客人
被曝光的信息包括姓名、联系信息、护照号码、喜达屋贵宾客人号码、旅行信息和其他个人信息。万豪集团认为,超过1亿客户的信用卡和借记卡号码,以及到期日等财务信息被盗,尽管该公司不确定攻击者是否能够解密信用卡号码。
11.AdultFriendFinder数据泄露
日期:2016年10月
影响:4.122亿个账户
2016年10月,黑客在六个数据库中收集了20年的数据,其中包括成人约会和娱乐公司AdultFriendFinderNetwork的用户姓名、电子邮件地址和密码。FriendFinder网络包括AdultFriendFinder、Penthouse.com、Cams.com、iCams.com和Stripshow.com等网站。
大多数密码仅受薄弱的SHA-1算法保护,这意味着在LeakedSource.com于11月14日发布对整个数据集的分析时,其99%的密码已被破解。
12.MySpace数据泄露
日期:2013年6月
影响:3.6亿个账户
2013年6月,大约3.6亿个MySpace账户被一名俄罗斯黑客入侵,但该事件直到2016年才被公开披露。被泄露的信息包括账户信息,如所有者列出的姓名、用户名和出生日期。
在2013年至2016年期间,任何获得这些泄露信息的人都可能接管任何Myspace账户。此后,这家前社交媒体网络巨头已经宣布2013年之前设置的所有账户密码无效。
13.Exactis数据泄露
日期:2018年6月
影响:3.4亿人
14.推特(Twitter)数据泄露(2018年)
日期:2018年5月
影响:3.3亿用户
15.网易数据泄露
日期:2015年10月
影响:2.34亿用户
2015年10月,网易遭受了数据泄露事件,影响了数亿订阅者。虽然有证据表明这些数据是合法的(许多用户在数据中确认了他们的密码),但很难进行重点验证。
泄露的信息包括电子邮件地址和纯文本密码。
16.Socialarks(笨鸟社交)数据泄露
日期:2021年1月
影响:2亿条记录
中国初创公司Socialarks(笨鸟社交)在2021年通过其不安全的ElasticSearch数据库遭受了巨大的数据泄露。
Sociallarks的服务器没有密码保护,没有加密,它是公开暴露的资产。这种致命的组合意味着任何了解服务器IP地址的人都可以访问泄露的敏感数据,而这正是所发生的事情。
被入侵的数据库存储了超过2亿Facebook、Instagram和Linkedin用户的数据。
笨鸟社交泄露的数据包括:
17.深根分析(DeepRootAnalytics)数据泄露
日期:2017年6月
影响:2亿美国选民
代表共和党全国委员会(RNC)工作的公司深根分析(DeepRootAnalytics)访问了2亿选民的记录。这些数据包括1.1TB的选民个人身份信息(PII),包括姓名、地址和出生日期。
访问的数据还包含基于Reddit帖子活动的全面选民分析,可用于预测某人将如何对特定问题进行投票。
被入侵的数据库是由UpGuard网络研究团队发现的。
18.CourtVentures数据泄露
日期:2013年10月
影响:2亿条个人记录
信用卡监控公司Experian的子公司CourtVentures被入侵,泄露了2亿条个人记录。
黑客经营着一家销售个人身份信息的企业,并出售他在数据泄露事件中获取的信用卡号码和社会保障号码。
黑客冒充来自新加坡的私家侦探,说服员工放弃对内部数据库的访问,从而实现了渗透。
Experian在2020年遭受了另一次入侵,当时一名自称是Experian客户的威胁行为者说服员工出于营销目的放弃客户信息。
这些事件使Experian获得了金融服务行业中遭受最大数据泄露的声誉。
19.领英(LinkedIn)数据泄露
日期:2012年6月
影响:1.65亿用户
2012年6月,领英(LinkedIn)披露发生了数据泄露事件,但当时的密码重置通知表明,只有650万个账户受到影响。领英(LinkedIn)从未确认过实际数字,在2016年,我们了解到原因:高达1.65亿个用户账户被泄露,包括1.17亿个密码。
这一披露促使其他服务机构梳理他们的领英(LinkedIn)数据,并迫使自己的用户更改任何匹配的密码(感谢Netflix在这一问题上的带头作用)。为什么领英(LinkedIn)在四年内没有进一步调查最初的违规行为,或通知超过1亿受影响的用户,这一点没有得到回答。
20.Dubsmash数据泄露
日期:2018年12月
影响:1.62亿用户
2018年12月,Dubmash遭遇数据泄露,暴露了1.62亿个电子邮件地址、用户名和DBKDF2密码。2019年,这些数据出现在暗网上进行销售,并被更广泛地传播。
21.Adobe数据泄露
影响:1.52亿账户
2013年10月,1.53亿个Adobe账户被入侵。泄露的数据包含内部ID、用户名、电子邮件、加密密码和明文密码提示。加密功能薄弱,许多密码很快被解析为纯文本,密码提示增加了损坏,使许多用户的密码很容易被猜到。
22.MyFitnessPal数据泄露
日期:2018年2月
影响:1.5亿用户
23.Equifax数据泄露
日期:2017年9月
影响:1.48亿人
24.eBay数据泄露
日期:2014年2月/3月
影响:1.45亿用户
25.Canva数据泄露
影响:1.37亿用户
2019年5月,澳大利亚企业Canva(一个在线平面设计工具)遭受了数据泄露,影响了1.37亿用户。暴露的数据包括作为bcrypt存储的电子邮件地址、姓名、用户名、城市和密码。
Canva确认了这一事件,通知了用户,并提示他们更改密码和重置OAuth账户。这一事件是澳大利亚最大的数据泄露事件之一。
26.Heartland支付系统数据泄露
日期:2008年3月
影响:1.34亿张信用卡被曝光
在数据泄漏发生时,Heartland每月为175,000家商家处理超过1亿笔信用卡交易。2009年1月,Visa和万事达卡通知Heartland可疑交易时,发现了这一漏洞。攻击者利用已知的漏洞来执行SQL注入攻击。
该公司为欺诈性付款支付了约1.45亿美元的赔偿金。
27.Apollo数据泄露
日期:2018年7月
影响:1.26亿用户
2018年7月,Apollo将一个包含数十亿数据点的数据库公开曝光。该数据的一个子集被发送到HaveIBeenPwned,其中有1.26亿个电子邮件地址。完整的数据集包括个人身份信息(PII),如姓名、电子邮件地址、工作地点、担任的角色和位置。
28.Badoo数据泄露
日期:2013年7月
影响:1.12亿用户
2013年6月,来自社交网站Badoo的数据泄露事件被传播。该漏洞包含1.12亿个电子邮件地址和PII,如姓名、出生日期和密码。
29.CapitalOne数据泄露
影响:1.06亿个信用卡号码
2013年7月,CapitalOne发现其客户记录出现安全漏洞,暴露了其客户的个人信息,包括信用卡数据、社会安全号码和银行账户号码。
30.Evite数据泄露
日期:2013年8月
影响:1.01亿用户
31.Quora数据泄露
影响:1亿用户
受欢迎的问答网站Quora在2018年遭受了攻击,被泄漏了高达1亿用户的个人数据。
泄露的数据类型包括个人信息,如姓名、电子邮件地址、加密密码、链接到Quora的用户账户,以及用户发布的公开问题和答案。没有证据表明,匿名发布的问题和答案受到漏洞的影响。
32.VK数据泄露
日期:2012年1月
影响:9300万用户
33.MyHeritage数据泄露
影响:9200万用户
MyHeritage数据泄露,影响了超过9200万个用户账户。该漏洞发生在2017年10月,但直到2018年6月才被披露。一位安全研究人员在私人服务器上发现了一个文件,其中包含电子邮件地址和加密密码。MyHeritage的安全团队证实,该文件的内容影响了9200万用户,但没有发现任何证据表明攻击者曾使用过这些数据。MyHeritage因及时调查并向公众披露漏洞的细节,赢得了赞誉。
34.优酷数据泄露
日期:2016年12月
中国领先的在线视频平台优酷暴露了9200万个用户账户和MD5密码。
35.Rambler数据泄露
日期:2014年3月
影响:9100万用户
Rambler(俄罗斯雅虎)的9100万个账户被在线交易,其中包含用户名(构成Rambler电子邮件的一部分)和纯文本密码。
36.Facebook数据泄露(2018年)
影响:8700万用户
剑桥分析公司从剑桥大学的数据科学家亚历山大-科根(AleksandrKogan)那里获得了数据,他使用一个名为“这是你的数字生活”的应用程序收集数据。此次泄露事件中最具争议的一点是,用户不欣赏或不同意将一款看似无害的生活方式应用程序的数据用于政治用途。
37.Dailymotion数据泄露
影响:8500万用户
38.Anthem数据泄露
日期:2015年2月
影响:7880万客户和前客户个人信息被盗
2015年2月,美国医疗保险公司Anthem子公司的一名用户点击了一封网络钓鱼电子邮件,该电子邮件允许攻击者访问:
这次袭击还通过Anthem网络影响了其他品牌,包括BlueCross、BlueShield、Amerigroup、Caremore和Unicare。当黑客从Anthem服务器窃取信息时,该漏洞在数周内没有被发现,也没有被检测到。尽管数据没有被要求加密,但Anthem仍因未能保护用户数据而遭到强烈反对。
39.Dropbox数据泄露
日期:2012年中
影响:6900万用户
2012年年中,Dropbox遭遇了数据泄露,暴露了6800万条记录,其中包含电子邮件地址和密码。
40.tumblr数据泄露
日期:2013年2月
影响:6600万用户
2013年2月,tumblr遭受了数据泄露,暴露了6500万个账户。该漏洞包括电子邮件地址和SHA1密码。
41.Uber数据泄露
日期:2016年底
影响:5700万Uber用户和60万司机的个人信息被曝光
2016年底,Uber获悉,两名黑客能够访问Uber应用程序5700万用户的姓名、电子邮件地址和手机号码。他们还获得了60万名Uber司机的驾驶执照号码。此外,黑客能够访问Uber的GitHub账户,在那里他们找到了Uber的亚马逊网络服务证书。
42.家得宝数据泄露
日期:2014年9月
影响:5600万客户的信用卡信息
家得宝公司宣布,其POS(销售点)系统被一个定制的恶意软件感染,该恶意软件冒充防病毒软件,影响了家得宝美国和加拿大的客户。经过调查,网络执法部门发现,网络犯罪分子最有可能通过第三方供应商入侵了家得宝的服务器,这使得他们能够在近五个月内窃取支付信息,而不被发现。
在这次攻击和造成超过1.8亿美元的损失后,家得宝公司承诺投资网络安全,以更好地保护敏感的财务数据。大部分的损失包括向受影响的个人、信用卡公司、银行和诉讼的支付。
43.TJX数据泄露
日期:2005年7月
影响:4560万个卡号
TJX是美国和全世界的服装和家庭时尚低价零售商,其支付系统之一被入侵,暴露了超过4500万张信用卡和借记卡号码。这些漏洞发生在2005年7月至2007年1月,是在几波违规事件中被盗用的。
44.AshleyMadison数据泄露
日期:2015年7月
影响:3200万用户
被确定为ImpactTeam的黑客团体泄露了社交网站AshleyMadison的3500万条用户记录。
黑客要求其母公司AvidLifeMedia在30天内关闭AshleyMadison和姐妹网站EstabendmentMen,以避免泄露的记录发布。
AvidLifeMedia未能遵守约定,导致Pastebin上出现了一波又一波的分类数据泄露,被曝光的用户名单包括军队和政府成员。
以下记录包含在访问的数据中:
ImpactTeam声称,该漏洞很容易实现,几乎没有任何安全问题可以绕过。
45.Plex数据泄露
日期:2022年8月
影响:2000万用户
流媒体平台Plex遭受了数据泄露,影响了大约2000万的用户。在这次网络攻击中,以下类型的敏感信息被泄露:
在给用户的电子邮件中,Plex向用户保证,所有被泄露的密码都是按照最佳网络安全做法进行加密和保护的。
46.Bonobos数据泄露
影响:1230万条记录
男子服装店Bonobos在2021年遭遇数据泄露,因为一名网络犯罪分子破坏了其包含客户数据的备份服务器。
以下几类数据被访问,总数达1230万条:
该数据库没有连接到Bonobo的私人数据,这些数据被隔离以进行保护。但攻击者仍然可以利用被盗信息。
在被盗数据被丢弃在黑客论坛上后,一名攻击者声称发现了158,000个SHA-256密码,但剩下的用SHA-512加密的密码却无法被破解。
47.MGMGrand数据泄露
日期:2020年2月
影响:1060万客户
黑客从MGMGrand酒店获得了超过1000万条访客记录。这些记录暴露了酒店客人的联系信息,包括贾斯汀·比伯、推特首席执行官杰克·多西和政府官员。
MGMGrand酒店保证,在这次漏洞中没有暴露任何财务或密码数据。
48.Optus数据泄露
日期:2022年9月
影响:980万客户
网络犯罪分子进入了Optus的内部网络,获得了与980万客户有关的客户数据库。被泄露的数据最早可以追溯到2017年,包括以下类型的信息:
子数据集还包括街道地址、驾驶执照和护照号码。
49.Medibank数据泄露
日期:2022年11月
影响:970万条记录
一名网络犯罪分子利用从暗网上窃取的特权凭证,进入了Medibank的内部系统。在找到该公司敏感的客户数据资源后,黑客部署了一个脚本来自动窃取数据。当渗透完成时,200GB的客户数据从Medibank被盗,影响了970万客户。
受损的记录包括:
50.Easyjet数据泄露
日期:2020年5月
影响:900万客户
一次高度复杂的网络攻击泄露了Easyjet航空900万客户的数据。
漏洞中访问的数据包括:旅行详细信息、电子邮件地址,以及2208名客户的完整信用卡信息。
由于客户信用卡信息被泄露,这次网络攻击致使Easyjet违反《通用数据保护条例》的行为,这可能导致其赔付全球年营业额4%的罚款。
51.123RF数据泄露
日期:2020年11月
影响:830万条记录
图片库网站中最具性价比的商业图片素材供应商123RF的830万条数据库记录被复制并发布在黑客论坛上进行销售。
被泄露的数据包括:
ImagineGroup(123RF母公司)保证,此次漏洞中没有任何财务信息被获取,并且所有用户密码都已加密。
然而,数据泄露调查员BleepingComputer使用在线MD5破解工具成功地将许多账户的密码转换为纯文本。
虽然这一漏洞没有直接暴露财务信息,但如果被入侵的用户在注册123RF时重复使用他们的Paypal密码,他们将面临很高的财务被盗风险。
52.Twitch数据泄露
日期:2021年10月
影响:700万用户
Twitch是一家亚马逊旗下的公司,其几乎整个代码库都遭到了破坏。事件的确切影响尚未得到证实,但鉴于其泄露的深度,它有可能影响到Twitch的所有用户。
125GB的敏感数据通过匿名论坛4chan上的种子链接发布。
敏感数据泄露包括:
大多数网络犯罪分子在入侵后都会将窃取的数据发布出售,但这位身份不明的网络犯罪分子很可能使用了代理服务器,并且对金钱收益不感兴趣。相反,他们的目标是呼吁大规模破坏,以打击Twitch。
53.万豪酒店(Marriott)数据泄露
影响:520万客人
万豪酒店(Marriott)再次成为客人记录泄露的受害者。3月31日,该公司宣布多达520万条记录被泄露。虽然被破坏的记录的确切名单尚未得到确认,但以下客人记录被泄露了:
万豪酒店(Marriott)在其新闻稿中表示,此次黑客攻击并没有泄露密码、支付卡信息、身份证、驾驶执照号码或会员卡密码。
54.尼曼(NeimanMarcus)数据泄露
日期:2021年9月
影响:480万客户
该漏洞影响了近310万张支付卡和虚拟礼品卡,其中超过85%的卡已过期或不再有效。
在得知这一事件后,尼曼(NeimanMarcus)联系了自2020年5月以来没有更改过密码的客户,敦促他们立即更改密码。
该事件凸显了在不同网站使用相同密码的危险性。如果不遵循这种网络安全最佳实践,一次泄露就可能导致受害者遭受多次泄露。
55.MeetMindful数据泄露
影响:228万用户
美国相亲网站MeetiMindful被一位名叫ShinyHunters的知名黑客入侵。
用户之间的个人信息没有被泄露,但以下私人信息被曝光:
56.Pixlr数据泄露
影响:190万用户
臭名昭著的网络犯罪“ShinyHunters”将在线照片编辑器Pixlr的190万用户记录数据库泄露到一个暗网黑客论坛上。
泄露的数据包括:
这些数据是在123RF数据泄露事件发生时被盗的。
57.TackleWarehouseLLC、RunningWarehouseLLC、TennisWarehouseLLC和SkateWarehouseLLC数据泄露
影响:180万人
四家在线体育商店遭到网络攻击,导致包括信用卡数据在内的高度敏感的客户信息被盗。
数据泄露于2021年12月由一家代表每家体育商店的律师事务所披露。10月15日,受影响的网站发现了数据泄露事件。
以下网站受到影响:
具体的安全漏洞和促进该漏洞的攻击方法尚未披露,但据推测,访问是通过数据库漏洞实现的。
以下数据在此次网络攻击中被泄露:
在撰写本文时,尚不清楚被盗的信用卡号码是否完整。黑客仍然可以用复杂的暴力破解方法进行解密。
无论谁对这次漏洞负有责任,都可能因其安全疏忽而遭受严厉的监管后果。
58.海逸酒店(HarbourPlazaHotel)数据泄露
日期:2022年2月
影响:120万条记录
香港海逸酒店(HarbourPlazaHotel)的住宿预订数据库遭到破坏,影响了约120万客户。
59.格拉夫(Graff)数据泄露
日期:2021年11月
影响:110万条记录
英国的珠宝及钟表品牌格拉夫(Graff)遭受了数据泄露,使其许多知名客户受到影响。俄罗斯网络犯罪组织Conti对此次涉及部署勒索软件的攻击负责。
在窃取格拉夫(Graff)的敏感数据并加密其内部系统后,Conti开始在暗网上发布一些被盗记录,并承诺只有在支付了高达1000万英镑的赎金后才会停止。
为了证明他们没有虚张声势,Conti在暗网上发布了11000条记录,根据俄罗斯网络犯罪分子的说法,这只占被盗记录总数的1%。
被盗数据包括客户姓名、地址、发票、收据和信用记录。
据报道,受此次漏洞影响的一些高知名度的客户包括:
60.洛杉矶联合学区(LAUSD)
影响:1000所学校/600,000名学生/500GB的数据
在教育行业有史以来最大的数据泄露事件之一,洛杉矶联合学区(LAUSD)遭到了俄罗斯犯罪黑客组织ViceSociety的袭击。这次攻击影响了美国第二大学区的1000多所学校和60万名学生。勒索软件攻击发生在劳动节周末,使洛杉矶校区的官员无法访问重要数据,包括:
61.Zoom数据泄露
日期:2020年4月
影响:50万用户
当Zoom注册在2020年4月接近疫情高峰时,黑客入侵了50万个账户,并在暗网上出售或免费发布。
然后发起了一系列填充攻击,以破坏剩余的账户。
62.Slickwraps数据泄露
影响:37万用户
如果Slickwraps听取了白帽黑客的警告,强调该公司糟糕的网络安全状况,这种漏洞就可以避免。在被忽视后,黑客在一个媒体帖子中重复了他的警告。
Slickwraps仍然无视这些警告。
第二名黑客实际上破坏了Slickwraps糟糕的防御系统,并在给超过37万名客户的电子邮件中宣布了他们对网络安全的自满。
让我们希望在经历了如此动荡的历史之后,SlickWraps最终加强了他们的网络安全框架。
Slickwraps公司漏洞的电子邮件
63.麦哲伦健康服务(MagellanHealth)数据泄露
影响:365,000名患者
财富500强公司麦哲伦健康服务(MagellanHealth)是一次复杂的勒索软件攻击的受害者,超过365,000名患者记录被泄露。
被泄露的数据中包括患者社会保障号码、W-2信息和员工身份证号码。
64.任天堂(Nintendo)数据泄露
影响:30万账户
以下信息被曝光:
账户密码
虽然不清楚黑客是如何访问账户的,但据推测,弱密码是罪魁祸首。为了防止进一步的违规行为,任天堂发布了一条推文,要求会员启用2步身份验证。
65.Mailfire数据泄露
日期:2020年9月
影响:100,000个用户
Mailfire是成人约会网站和电子商务网站使用的电子邮件营销软件,其数据库被泄露,暴露了70多个网站的个人用户记录。
该漏洞是通过Mailfire不安全的Elasticsearch服务器发生的。一旦被入侵,黑客就从推送到Mailfire客户端的通知中访问了获得3.2亿条记录。
曝光的记录包括成人约会网站成员之间的私人对话,以及以下个人身份信息:
除了网站成员的个人信息外,这次数据泄露还暴露了许多编造女性个人资料的诈骗交友网站。
66.AntheusTecnologia数据泄露
影响:76,000枚指纹
专门开发指纹识别系统的巴西生物识别公司AntheusTecnologia的服务器遭到破坏,可能会暴露76,000条指纹记录。
被访问的数据由230万个数据点组成,这些数据点可以进行反向工程,以重新创建每个原始指纹。
67.SolarWinds数据泄露
影响:18,000家企业
2020年3月,来自俄罗斯的民族国家黑客入侵了一个DLL文件,该文件与SolarWinds的猎户座平台的软件更新有关。供应链攻击影响了多达18,000名SolarWinds客户,其中包括六个美国政府部门。
这次攻击直到2020年12月才被发现。
这一事件推动了乔·拜登的《网络安全行政命令》,该命令现在强制所有组织加强其供应链安全工作。
据悉,黑客还对FireEye网络攻击负责,导致其RedTeam评估工具被盗,这是FireEye开发的一套工具,用于发现任何组织内的网络攻击漏洞。
鉴于FireEye的客户基础包括政府机构,人们进一步推测,这些红队评估工具使美国政府数据泄露成为可能,网络安全专家将这次攻击称为国家安全历史上最大的漏洞。
受害者的名单还在不断增加,如果要检查您是否受到影响,您应该对每个供应商进行彻底的风险评估。
68.飞马航空(Pegasus)数据泄露
日期:2022年3月
影响:6.5TB的数据
一个配置错误的AWS存储桶导致属于土耳其航空公司飞马航空(Pegasus)的2300万个文件被盗。安全漏洞是由安全公司SafetyDetectives发现的。
AWS存储桶配置错误意味着任何人都可以免费访问此数据库,包括近400个带有纯文本密码和密钥的文件。
当曝光被报道时,飞马航空(Pegasus)没有发现数据泄露的证据。然而,当AWS存储桶仍然配置错误时,网络犯罪分子可能已经秘密地泄露了暴露的数据。
69.菲律宾竞选委员会(COMELEC)数据泄露
日期:2022年1月
影响:60GB的数据
一个黑客组织破坏了菲律宾竞选委员会(COMELEC)的安全系统,泄露了60GB选民的敏感信息。
这些信息的深度可能使网络犯罪分子绘制出菲律宾选举系统的完整内部运作图,为国家安全层面更具破坏性的后续攻击铺平了道路。
被泄露的数据包括投票计票机(VCM)的用户名和PINS。
70.MailChimp数据泄露
日期:2022年4月
影响:100个客户
在一次成功的社交工程攻击后,网络犯罪分子获得了内部客户支持和账户管理团队使用的工具的权限,Mailchimp成为数据泄露的受害者。然而,这个最初的漏洞只是整个网络攻击计划的初步阶段。
在拼命搜索存储在Mailchimp内部工具中的客户端电子邮件列表时,网络犯罪分子终于找到了他们要找的东西——硬件加密货币钱包Trezor客户的电子邮件列表。
然后,网络犯罪分子向整个客户名单发送了一封非常令人信服的网络钓鱼电子邮件,声称发生了严重的安全事件,需要紧急下载Trezor应用程序的补丁版本。
当点击这个链接时,用户会被引导到一个与Trezor网站几乎没有区别的恶意网站。为了访问这个欺诈性应用程序,用户需要提交他们的恢复种子,用于恢复对加密钱包的访问的有序单词列表。
调查仍在进行中,因此这次网络钓鱼攻击的全部影响尚不清楚。在网络钓鱼电子邮件中,网络犯罪分子声称106,852个账户被泄露。这个数字可能代表网络钓鱼活动中目标的电子邮件账户总数,但还没有得到证实。
目前可以确认的是,在网络攻击的最初阶段,大约有100个Mailchimp客户账户被攻破。
这一网络事件凸显了一些网络钓鱼攻击者所具有的可怕复杂能力。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室邮政编码:100080
为了得到我们网站最好的体验效果,我们建议您升级到最新版本的InternetExplorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.