去年,黑客利用用戶的漏洞和全球疫情帶來的經濟破壞,比以往任何時候都更加活躍。
網絡攻擊的數量每年都在穩定增長,而2020年又是網絡犯罪高峰的一年。根據基于風險的安全性報告,僅在2020年的前三個季度中,公開報告了2953個違規事件,使暴露記錄的數量達到了驚人的360億。相比之下,2019年全年共有151億條記錄被泄露。
nordvpn的數字隱私專家DanielMarkuson解釋說:“仍在持續的大流行徹底改變了人們的工作,購物,交流和娛樂方式。”“我們的生活不得不轉移到網上,使我們留下更多的數字足跡,這吸引了所有類型的詐騙者,欺詐者和黑客,他們正在尋找可利用的安全漏洞。”
2020年全球最大數據泄露事件
在2020年發生的大量數據泄露事件中,nordvpn專家從數據量上選擇了九大最大漏洞。該列表包括泄漏數據庫,這些泄漏數據庫本身并不一定會遭到破壞,但會向公眾公開敏感數據。下面概述的某些數據泄露可能在幾年前發生,但僅在2020年才浮出水面。
1. 未知(2.01億)
1月份,安全研究人員發現了一個數據庫,其中包含2億多在線暴露的敏感個人記錄。擁有者不確定的泄露數據庫存儲在GoogleCloud服務器上,由有關美國居民及其財產的高度敏感的個人和人口統計數據組成,包括姓名,地址,電子郵件地址,信用等級,收入,凈值,房地產市場價值,投資偏好設置和其他明確的細節。是否有未授權方訪問數據集仍然是未知的,該數據集被認為是網絡犯罪分子的金礦。Google接到了有關此案的警報,一個多月后,暴露的服務器脫機。
2. 微軟(2.5億)
2020年1月,微軟披露了其存儲客戶支持分析的服務器上的數據泄露。該漏洞發生在2019年12月.2.5億個條目(包括電子郵件地址,IP地址和支持案例詳細信息)在沒有密碼保護的情況下意外在線暴露。泄漏數據庫由五個ElasticSearch服務器組成,用于簡化搜索操作。錯誤配置的安全規則被歸咎于意外的服務器暴露,Microsoft迅速修復了該漏洞。
3. Wattpad(2.68億)
到2020年6月,數據庫超過了2.68億條記錄的數據庫被破壞,該記錄屬于Wattpad,這是加拿大的網站和應用程序,作家可以使用該程序發布用戶生成的新故事。惡意行為者破壞了Wattpad的SQL數據庫,該數據庫包含用戶帳戶憑據,電子郵件地址,IP地址和其他敏感數據。事件發生后,該公司重置了其用戶密碼。
4. Broadvoice(3.5億)
2020年10月,有消息傳出,美國VoIP服務提供商Broadvoice暴露了超過3.5億條客戶記錄,例如姓名,電話號碼和通話記錄,包括留給醫療機構和金融服務公司的語音郵件。由于存在配置錯誤,安全研究人員可以輕松訪問屬于該公司的10個數據庫,從而使它們無需進行任何身份驗證即可打開。Broadvoice修復了安全漏洞,并已將事件通知了相關的法律部門。
5. 雅詩蘭黛(4.4億)
2020年1月,美國化妝品巨頭雅詩蘭黛(EstéeLauder)的未受保護數據庫包含在線公開的4.4億條內部記錄。發現未加密數據庫的研究人員說,暴露的信息包括電子郵件地址,內部文檔,IP地址以及其他屬于公司擁有的教育平臺的信息。一旦意識到這一問題,該公司便關閉了數據庫。
6. Whisper(9億)
2020年3月,有消息傳出,流行的秘密共享應用Whisper使得9億條用戶記錄在線暴露。匿名的自白和與這些帖子相關的所有元數據,包括位置坐標和其他敏感信息,都可以在非密碼保護的數據庫上公開查看,如果被黑客訪問,則可能導致用戶身份識別和勒索。在公司被告知該事件之后,將刪除對數據的訪問。
7. KeepnetLabs(50億)
2020年3月,總部位于英國的網絡安全公司KeepnetLabs發生了一次網絡事件,承包商在此事件中臨時暴露了一個數據庫,其中包含來自先前數據泄露的50億個電子郵件地址和密碼。據威脅情報公司稱,該公司收集歷史違規數據以通知其業務客戶,以防其數據受到威脅,該公司正在遷移ElasticSearch數據庫并禁用防火墻約10分鐘以加快該過程。這個危險的決定使安全研究人員可以通過不受保護的端口在沒有密碼的情況下訪問數據。
8. 高級信息服務(83億)
2020年5月,泰國最大的GSM手機運營商AdvancedInfoService被迫在涉嫌數據泄露后刪除了其中一個數據庫。一位安全研究人員在網上找到了一個開放的ElasticSearch數據庫,其中包含4TB的互聯網使用數據,即83億條記錄。DNS查詢和Netflow數據等待坐信息可以用于映射用戶的互聯網活動。現在,泄漏的數據庫是安全的。
9. CAM4(108.8億)
2020年3月,研究人員發現成人視頻流網站CAM4的未受保護的ElasticSearch服務器,該服務器泄漏了7TB的數據,即近110億條記錄。公開的記錄包括用戶敏感信息,例如全名,電子郵件地址,性取向,聊天和電子郵件對應的成績單,密碼哈希,IP地址和付款日志。數據庫錯誤已修復,但是,是否有黑客訪問成人站點成員的高度敏感信息(通常更愿意保持匿名)仍然未知。
