信息來(lái)源：今日頭條

僅在2018年，就有5億個(gè)人記錄被盜。到年底將竊取多少記錄?

根據(jù)《 2019年第三季度基于風(fēng)險(xiǎn)的數(shù)據(jù)違規(guī)快速查看報(bào)告》，截至9月底，共有5183次違規(guī)，暴露了79億條記錄。與2018年第三季度報(bào)告相比，違規(guī)總數(shù)上升了33.3%，暴露的記錄總數(shù)翻了一番多，上升了112%。

今年會(huì)是有記錄以來(lái)最糟糕的嗎?

1. ElasticSearch服務(wù)器漏洞– 1.08億條記錄

在2019年1月，ZDnet報(bào)告說(shuō)，一個(gè)在線賭場(chǎng)集團(tuán)泄露了超過(guò)1.08億筆賭注的信息，包括有關(guān)客戶個(gè)人信息，存款和取款的詳細(xì)信息。數(shù)據(jù)從ElasticSearch服務(wù)器泄漏，該服務(wù)器沒(méi)有密碼就可以在線暴露。ElasticSearch是公司安裝的便攜式高級(jí)搜索引擎，用于改進(jìn)其Web應(yīng)用程序的數(shù)據(jù)索引和搜索功能。

發(fā)現(xiàn)服務(wù)器的安全研究員Justin Paine發(fā)現(xiàn)用戶數(shù)據(jù)包含很多敏感信息，例如真實(shí)姓名，家庭住址，電話號(hào)碼，電子郵件地址，生日，站點(diǎn)用戶名，帳戶余額，IP地址，瀏覽器和操作系統(tǒng)詳細(xì)信息，上次登錄信息以及已玩游戲的列表。ZDnet報(bào)告說(shuō)，不清楚該服務(wù)器在網(wǎng)上暴露了多長(zhǎng)時(shí)間，有多少用戶受到影響，是否有其他人訪問(wèn)了泄漏的服務(wù)器以及是否通知客戶其個(gè)人數(shù)據(jù)被暴露了。

2. Canva數(shù)據(jù)泄露– 1.39億條記錄

2019年5月，《安全雜志》報(bào)道說(shuō)，圖形設(shè)計(jì)工具網(wǎng)站Canva遭受數(shù)據(jù)泄露，影響了1.39億用戶。公開(kāi)的數(shù)據(jù)包括客戶用戶名，真實(shí)姓名，電子郵件地址，密碼以及城市和國(guó)家/地區(qū)信息。此外，在1.39億用戶中，有7800萬(wàn)用戶的Gmail地址與他們的Canva帳戶相關(guān)聯(lián)。

據(jù)ZDnet稱，負(fù)責(zé)此漏洞的黑客已在暗網(wǎng)上出售了9.32億用戶的數(shù)據(jù)，這些數(shù)據(jù)是他們從全球44家公司中竊取的。

3. 中國(guó)求職者M(jìn)ongoDB數(shù)據(jù)泄露– 2.02億條記錄

2019年1月，網(wǎng)絡(luò)安全公司Hacken的網(wǎng)絡(luò)安全專家兼研究員Bob Diachenko發(fā)現(xiàn)了一個(gè)854 GB的MongoDB數(shù)據(jù)庫(kù)，其中包含202,730,434條有關(guān)中國(guó)求職者的記錄。數(shù)據(jù)包含候選人的技能和工作經(jīng)驗(yàn)，以及個(gè)人識(shí)別信息，例如電話號(hào)碼，電子郵件地址，婚姻狀況，政治傾向，身高，體重，駕駛執(zhí)照信息，薪資期望和其他高度個(gè)人數(shù)據(jù)。

中國(guó)的一家分類廣告公司BJ.58.com告訴Diachenko，數(shù)據(jù)來(lái)自第三方公司，該公司從許多專業(yè)站點(diǎn)收集數(shù)據(jù)。迪亞琴科發(fā)現(xiàn)漏洞后約一周，數(shù)據(jù)庫(kù)得到了保護(hù)。

4. 印度公民MongoDB數(shù)據(jù)庫(kù)-2.75億條記錄

2019年5月，迪亞琴科再次透露他發(fā)現(xiàn)了一個(gè)MongoDB數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)暴露了275,265,298條包含高度PII的印度公民記錄。該數(shù)據(jù)庫(kù)未受保護(hù)超過(guò)兩個(gè)星期。

迪亞琴科說(shuō)，托管在亞馬遜AWS上的可公開(kāi)訪問(wèn)的MongoDB數(shù)據(jù)庫(kù)包括姓名，性別，出生日期，電子郵件，電話號(hào)碼，學(xué)歷，專業(yè)信息(雇主，工作經(jīng)歷，技能和職能領(lǐng)域)以及當(dāng)前薪水等信息。

5. 第三方Facebook應(yīng)用程序數(shù)據(jù)泄露– 5.4億條記錄

2019年4月，UpGuard安全研究人員透露，有兩個(gè)第三方開(kāi)發(fā)的Facebook應(yīng)用程序數(shù)據(jù)集已暴露于公共互聯(lián)網(wǎng)中。一個(gè)數(shù)據(jù)庫(kù)來(lái)自墨西哥的媒體公司Cultura Colectiva，重達(dá)146 GB，其中有5.4億條記錄詳細(xì)記錄了評(píng)論，喜歡，反應(yīng)，帳戶名，F(xiàn)acebook ID等。

研究人員說(shuō)，另一個(gè)第三方應(yīng)用“ At the Pool”通過(guò)Amazon S3存儲(chǔ)桶公開(kāi)訪問(wèn)了公共互聯(lián)網(wǎng)。該數(shù)據(jù)庫(kù)備份包含用于用戶信息的列，例如用戶名ID，朋友，喜歡，音樂(lè)，電影，書籍，照片，事件，組，簽到，興趣，密碼等。

6. Dream Market Breach– 6.2億條記錄

2月，《The Register》報(bào)道說(shuō)，從16個(gè)被黑網(wǎng)站竊取的大約6.17億個(gè)在線帳戶詳細(xì)信息正在暗網(wǎng)中出售。以下帳戶數(shù)據(jù)庫(kù)正在Dream Market上出售：

（1）Dubsmash (162 million)

（2）MyFitnessPal (151 million)

（3）MyHeritage (92 million)

（4）ShareThis (41 million)

（5）HauteLook (28 million)

（6）Animoto (25 million)

（7）EyeEm (22 million)

（8）8fit (20 million)

（9）Whitepages (18 million)

（10）Fotolog (16 million)

（11）500px (15 million)

（12）Armor Games (11 million)

（13）BookMate (8 million)

（14）CoffeeMeetsBagel (6 million)

（15）Artsy (1 million)

（16）DataCamp (700,000)

根據(jù)該報(bào)告，樣本帳戶記錄主要包括帳戶持有人姓名，電子郵件地址和密碼。這些密碼是經(jīng)過(guò)哈希處理或單向加密的，必須經(jīng)過(guò)破解才能使用。顯示的其他信息取決于站點(diǎn)，包括位置個(gè)人詳細(xì)信息和社交媒體身份驗(yàn)證令牌。

7. “Collection #1”數(shù)據(jù)違規(guī)– 7.73億條記錄

一月份，特洛伊·亨特(Troy Hunt)宣布他已經(jīng)找到了一組電子郵件地址和密碼，總計(jì)2,692,818,238行，其中包括來(lái)自數(shù)千個(gè)不同來(lái)源的許多不同的個(gè)人數(shù)據(jù)泄露?？偣灿?,160,253,228個(gè)電子郵件地址和密碼的唯一組合。唯一電子郵件地址總計(jì)772,904,991。唯一密碼總計(jì)21,222,975。

多個(gè)人與Hunt取得聯(lián)系，并指示他前往云服務(wù)MEGA上的文件收集，該服務(wù)包含12,000多個(gè)單獨(dú)的文件和超過(guò)87GB的數(shù)據(jù)。此外，他還指向了一個(gè)流行的黑客論壇，該論壇正在發(fā)布數(shù)據(jù)。在文件中，亨特找到了自己的個(gè)人數(shù)據(jù)，例如他多年以前使用的電子郵件地址和密碼。

8. Verifications.io數(shù)據(jù)泄露– 8.08億條記錄

4月，Diachenko和安全研究員Vinny Troia報(bào)告說(shuō)，他們已經(jīng)找到了一個(gè)可公開(kāi)訪問(wèn)的MondoDB數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含150 GB的詳細(xì)營(yíng)銷數(shù)據(jù)。該數(shù)據(jù)庫(kù)歸電子郵件驗(yàn)證公司Verifications.io所有，并在Diachenko與該公司聯(lián)系的同一天被下線。

該數(shù)據(jù)庫(kù)包含四個(gè)單獨(dú)的數(shù)據(jù)集合，總計(jì)808,539,939條記錄。Diachenko說(shuō)，其中最大的部分名為“ mailEmailDatabase”，并且其中包含三個(gè)文件夾：

（1）電子郵件記錄(計(jì)數(shù)：798,171,891條記錄)

（2）emailWithPhone(計(jì)數(shù)：4,150,600條記錄)

（3）businessLeads(計(jì)數(shù)：6,217,358條記錄)

9. 首次美國(guó)數(shù)據(jù)泄露– 8.85億條記錄

7月，美國(guó)最大的房地產(chǎn)所有權(quán)保險(xiǎn)公司第一美國(guó)金融公司(First American Financial Corp.)的數(shù)據(jù)泄漏暴露了8.85億個(gè)人的交易記錄。根據(jù)美國(guó)記者兼調(diào)查記者布萊恩·克雷布斯(Brian Krebs)的說(shuō)法，《第一美國(guó)人》泄露了2003年以來(lái)與抵押交易相關(guān)的數(shù)億份文件。

記錄包括銀行帳號(hào)和對(duì)帳單，抵押和稅務(wù)記錄，社會(huì)保險(xiǎn)號(hào)，電匯收據(jù)和駕駛執(zhí)照?qǐng)D像。Krebs說(shuō)，使用Web瀏覽器的任何人都無(wú)需身份驗(yàn)證即可獲得這些記錄。

10. TrueDialog數(shù)據(jù)泄露–超過(guò)10億條記錄

本周早些時(shí)候，vpnMentor，Noam Rotem和Ran Locar的網(wǎng)絡(luò)安全專家研究人員詳細(xì)介紹了美國(guó)通信公司TrueDialog數(shù)據(jù)庫(kù)泄漏的發(fā)現(xiàn)。TrueDialog總部位于美國(guó)德克薩斯州奧斯汀，為大型和小型企業(yè)創(chuàng)建SMS解決方案，目前與990多家手機(jī)運(yùn)營(yíng)商合作，在全球擁有超過(guò)50億用戶。

研究人員說(shuō)，由Microsoft Azure托管并在美國(guó)Oracle Marketing Cloud上運(yùn)行的TrueDialog數(shù)據(jù)庫(kù)包含604 GB的數(shù)據(jù)。其中包括近10億個(gè)高度敏感的數(shù)據(jù)條目。包含在數(shù)百萬(wàn)條SMS消息中的敏感數(shù)據(jù)包括但不限于：

（1）收件人，TrueDialog帳戶所有者和TrueDialog用戶的全名

（2）訊息內(nèi)容

（3）電子郵件地址

（4）收件人和用戶的電話號(hào)碼

（5）發(fā)送消息的日期和時(shí)間

（6）已發(fā)送郵件的狀態(tài)指示器，例如已讀回執(zhí)，答復(fù)等。

（7）TrueDialog帳戶詳細(xì)信息

11. Orvibo泄漏的數(shù)據(jù)庫(kù)– 20億條記錄

7月，Rotem和Locar發(fā)現(xiàn)了一個(gè)與Orvibo Smart Home產(chǎn)品鏈接的開(kāi)放數(shù)據(jù)庫(kù)，公開(kāi)了超過(guò)20億條記錄。根據(jù)研究人員的說(shuō)法，運(yùn)行IoT平臺(tái)的Orvibo聲稱擁有大約一百萬(wàn)用戶，其中包括使用Orvibo智能家居設(shè)備連接房屋，酒店和其他企業(yè)的私人用戶。

數(shù)據(jù)泄露影響了來(lái)自世界各地的用戶。Rotem和Locar為中國(guó)，日本，泰國(guó)，美國(guó)，英國(guó)，墨西哥，法國(guó)，澳大利亞和巴西的用戶找到了日志。

他們首先于6月16日通過(guò)電子郵件聯(lián)系了Orvibo，并在未收到公司的消息后在公司上發(fā)了推文，提醒他們注意違規(guī)行為。該數(shù)據(jù)庫(kù)開(kāi)放了兩個(gè)多星期。包括的數(shù)據(jù)類型：

（1）電子郵件地址

（2）密碼

（3）帳戶重置代碼

（4）精確的地理位置

（5）IP地址

（6）用戶名

（7）用戶身份

（8）姓

（9）家庭ID

（10）智能設(shè)備

（11）訪問(wèn)帳戶的設(shè)備

（12）安排信息

12. 社交媒體資料數(shù)據(jù)泄漏– 40億條記錄

十月份，Diachenko和Troia在不安全的服務(wù)器上發(fā)現(xiàn)了向公眾公開(kāi)并易于訪問(wèn)的大量數(shù)據(jù)，其中包含4 TB的PII，即大約40億條記錄。Troia和Diachenko表示，所有數(shù)據(jù)集中的唯一身份人員總數(shù)已超過(guò)12億，這是有史以來(lái)單一來(lái)源組織最大的數(shù)據(jù)泄露事件之一。泄漏的數(shù)據(jù)包含姓名，電子郵件地址，電話號(hào)碼，LinkedIN和Facebook個(gè)人資料信息。

發(fā)現(xiàn)的包含所有信息的ElasticSearch服務(wù)器未受保護(hù)，可通過(guò)Web瀏覽器訪問(wèn)。無(wú)需密碼或任何形式的身份驗(yàn)證即可訪問(wèn)或下載所有數(shù)據(jù)。報(bào)告說(shuō)，使這種數(shù)據(jù)泄漏獨(dú)特的原因在于，它包含的數(shù)據(jù)集似乎來(lái)自兩個(gè)不同的數(shù)據(jù)充實(shí)公司。

亨特(Hunt)在泄漏中發(fā)現(xiàn)了他的信息，他說(shuō)：“我發(fā)現(xiàn)這種具有暴露性質(zhì)的數(shù)據(jù)的重復(fù)主題越來(lái)越激怒了數(shù)據(jù)收集者以數(shù)據(jù)所有者(即我)的方式獲取和使用個(gè)人信息不同意。這與人們可能選擇的發(fā)布數(shù)據(jù)渠道的公開(kāi)程度無(wú)關(guān)，而是關(guān)于數(shù)據(jù)在預(yù)期范圍之外的使用?！?