在2018年泄漏调查的第一部分中,我检查了上半年最重要的数据泄漏,现在是第二部分的时候了。
如前所述,本次审查仅包括世界范围内主要的信息泄漏案件,事件发生的月份不是通过发生的时间来表示,而是通过披露(公开发布)的时间来表示。
让我们看看下半年如何度过...
七月
时尚关系
个人数据泄露了由Fashion Nexus及其White Room Solutions子公司提供服务的130万英国在线时尚商店(Jaded London,AX Paris,Elle Belle Attire,Perfect Handbags,Dirty Little Style Bitch和Traffic People等品牌)的买家。 。
名称,出生日期,电话号码,电子邮件地址,MD5和SHA-1密码散列均受到影响。
梅西百货
美国零售商梅西百货(Macy's)已警告在该零售商网站上拥有帐户的客户,未知人士可以访问这些帐户。
输入帐户后,攻击者会收到客户数据,例如全名,地址,电话号码,电子邮件地址,出生日期,支付卡号和有效期。
一级机器人与控制
用于远程备份和文件同步的rsync程序配置错误,导致丰田,特斯拉,通用,福特,大众等许多汽车制造商泄露了157 GB的机密信息。
该数据由加拿大机器人制造公司Level One Robotics and Controls公开提供。
装配线流程图,车间计划和布局,机器人配置,人员访问申请表,保密协议,一级机器人和控制部门员工的个人数据和文件(驾驶执照,护照),发票,合同和银行信息。
新加坡健康
在新加坡,从2015年5月1日到2018年7月4日,黑客入侵了访问SingHealth诊所网络的患者数据库。
超过150万人的姓名,地址,性别,种族,出生日期被盗。
此外,还有16万个药物处方数据被盗。
西班牙电信
攻击者利用了西班牙最大的电信运营商Telefonica的计算机网络的漏洞,并设法获取了数百万客户的所有个人数据。 西班牙电信是世界上十大电信公司之一。
泄漏的数据包括姓名,联系信息,联系电话,付款数据,以及包含通信服务标准账单的所有内容。
西班牙电信的客户数据很容易以未加密的电子表格(CSV)格式下载。
跳时
Timehop服务从社交网络收集“内存”,发现有2100万用户的数据泄漏。
社交网络上的用户名,电子邮件地址和授权令牌泄漏。
少数条目包括姓名,电话号码和电子邮件地址,稍大一些的条目包括姓名和电话号码,更大的条目包括姓名和电子邮件地址。
通过损害管理员帐户访问云计算环境的可能性,可以实现此泄漏。
八月
华竹酒店集团
中国酒店的数据泄露影响了约1.3亿人。
华住酒店集团管理公司拥有的13家酒店受到客户个人数据泄露的影响。
艾比
属于ABBYY的一位客户的192 GB MongoDB数据库文件可免费获得,其中包含超过20万个扫描文档。
数据库包含合同,保密信息保密协议,信件,内部文件和其他使用OCR ABBYY认可的文件。
数据信任
得克萨斯州1,480万选民的数据可以公开获得。 德克萨斯州共有1930万选民登记。 大约16 GB的数据库文件仅保留在打开的服务器上。
该数据库最初由服务于共和党的分析公司Data Trust编译。
T型车
美国移动运营商T-Mobile的200万个帐户泄漏了个人数据(姓名,电子邮件地址,邮政地址等)。
数据泄漏是由Apple在线商店和负责检查用户帐户的T-Mobile服务器之间的交互代码错误引起的。 验证功能允许数据用户输入无数次的支票,这使攻击者可以枚举PIN码和社会安全号码的后4位。
九月
脸书
Facebook正式确认了5000万个帐户的数据泄漏,而多达9000万个帐户可能受到影响。
由于Facebook代码中至少有三个漏洞,黑客能够访问这些帐户的所有者的个人资料。
除了Facebook本身之外,那些使用该社交网络的帐户进行身份验证(单一登录)的服务也遭受了损失。
阿里巴巴集团
阿里巴巴集团旗下成员菜鸟网络窃取了超过1000万条包含用户名,电话号码和邮件号码的记录。
据发现,攻击者安装了将个人数据窃取到条形码扫描仪中的恶意软件。 然后,被盗的数据在黑市上转售。
Veeam软件
在亚马逊云的开放访问中,发现了属于Veeam的MongoDB数据库。
200 GB的数据库包含4.45亿条记录,其中包含名称,电子邮件地址,在某些情况下还包括IP地址。 收集了2013年至2017年期间的数据。
十月
谷歌
Google+社交网络的API错误使开发人员可以访问50万用户的数据,例如:登录名,电子邮件地址,工作地点,出生日期,个人资料照片等。
Google声称,可以访问API的438个开发人员中没有一个知道此错误,也无法使用它。
储蓄银行
互联网上的一个开放档案库是一个包含Sberbank文件的文件,其中包含有关软件开发和操作流程集成的正式文档,尤其是有关银行系统性能检查的数据。
此外,带有Active Directory上传的CSV文件已公开可用,其中包含大约420,000 Sberbank员工的姓名和电子邮件地址。
Sberbank本身不认为此事件是泄漏。 但是,该银行将该事件通知了欧洲委员会,因为其中包括欧盟公民的数据。
十一月
Quora
Quora社会知识共享服务报告了1亿个用户帐户的数据泄漏。
发现了对服务系统的外部渗透,其结果是:名称,电子邮件地址,哈希密码,来自连接网络(Facebook,Google)的数据; 公开内容,包括问题,答案,评论,积极的声音; 非公开内容,包括答案要求,用户之间的对应关系,否定票。
万豪酒店
万豪国际说,黑客已经可以访问万豪酒店部门-喜达屋酒店的数据库,其中包含2014年至今的客户个人数据。
总计,使用喜达屋酒店服务向5亿客人泄漏了数据,其中3.27亿泄漏的条目包含护照号码,电子邮件地址,邮政地址,在某些情况下甚至是银行卡详细信息。
美国运通印度
美国运通支付系统通过免费提供的MongoDB数据库泄露了230万印度客户的个人数据。
该数据库包含标识符Aadhaar(印度公民的唯一标识符),姓名,电子邮件地址,地址,亲戚姓名,帐号。
十二月
尼西科技
中国公司Nixi Technology生产了用于创建动画3D化身的Boomoji移动应用程序,该公司已关闭两个Elasticsearch数据库,其中包含面向全球530万iOS和Android版本Boomoji用户的个人数据。
除了直接提供给应用程序用户的数据(用户名,年龄,性别,国家,电话型号,甚至是教育机构的名称)之外,数据库还包含其通讯录的1.25亿联系人(从电话中复制)以及37.5万的所在地历史。用户。
法国外交部
12月5日,身份不明的人可以访问包含联系人(姓名,电子邮件地址和电话号码)的数据库,以备不时之需,所有(54万)公民都已在阿丽亚娜系统中注册。
阿丽亚娜(Ariane)是一项于2010年创建的在线服务,该服务使前往“不安全”国家的法国公民可以将这个国家的外交事务部通知该国。
数据与线索
美国选民的个人数据再次泄漏。 Elasticsearch开放数据库包含将近6000万条记录,其中包含名字,姓氏,电子邮件地址,家庭地址,电话号码和IP地址。 数据总量超过73 GB。
数据库的所有者很可能是加拿大公司Data&Leads,负责收集和处理数据。
天空巴西
在免费访问的Elasticsearch数据库中找到了巴西付费电视和移动互联网运营商Sky Brasil的3200万客户的姓名,地址,密码,电话和其他个人数据。
冻结专业商店
苏格兰在线滑雪设备商店Freeze Pro Shop已泄露了400万条包含其客户的个人数据(姓名,电子邮件地址,邮政地址,电话号码和订单详细信息)的记录,从而使Elasticsearch数据库可公开获得。
谷歌
另一个Google+漏洞将数据泄漏给5250万用户。
该漏洞允许应用程序从用户个人资料接收信息(姓名,电子邮件地址,性别,出生日期,年龄等),即使该数据是私人的也是如此。 另外,通过一个用户的个人资料,可以从其他用户接收数据。
有关个别数据泄漏案例的常规新闻很快就会在“ 信息泄漏 ”频道上发布。