回顾 | 2018上半年十大数据泄露事件

2018年才只过去了一半，但是已经被报道的一些数据泄露的规模是令人震惊的。你认为Facebook是最大的一个吗?请再猜一次。

[[235916]]

对于信息安全来说，六个月可以说是一段很长的时间，因此在2018年上半年出现了大量的数据泄露事件，也就不足为奇了。以下是我们汇总的2018年至今被披露的十起规模较大的数据泄露事件，其中包括事件的故事本身以及遭泄露数据的数量。

一、2018上半年十大数据泄露事件

10. Saks和 Lord & Taylor 

[[235917]]

• 泄露数据500万条
• 披露日期：2018年4月3日

3月底，安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告，宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下，Gemini Advisory公司对这些交易进行了追踪，并最终将这些交易归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后，采取了补救措施。但对于Bernadette Beekman来说，这还远远不够，他于2018年4月代表在2017年3月至2018年3月的黑客入侵期间在Lord&Taylor商店使用支付卡消费的所有客户提起了集体诉讼。在她的诉讼中，Beekman称Lord&Taylor“未能遵守安全标准，并在用于保护其客户的财务信息和其他隐私信息的安全措施上‘偷工减料’，而原本这些安全措施本可以防止或减轻安全漏洞所带来的影响。”

9. PumpUp

• 泄露数据600万条
• 披露日期：2018年5月31日

5月31日，ZDNet报道称，安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器，并且没有得到密码。该服务器属于健身应用程序PumpUp，它使得任何能够找到它的人都能访问大量的敏感用户数据，包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌，在某些情况下还包含未加密的信用卡数据，如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时，该公司并没有做出回应，但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前，已经暴露了多长的时间。

8. Sacramento Bee

[[235919]]

• 泄露数据1950万条
• 披露日期：2018年6月7日

今年2月，一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据，而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后，攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求，并删除了数据库，以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法，这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

7. Ticketfly

[[235920]]

• 泄露数据超过2700万条
• 披露日期：2018年6月7日

5月31日，Ticketfly遭遇了一次攻击，导致音乐会和体育赛事票务网站遭到破坏，并离线和中断一周。据报道，此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞，并要求其支付赎金。当遭到该公司的拒绝后，黑客劫持了Ticketfly网站，替换了它的主页，用一个包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等，涉及员工和用户)的页面。

6. Panera

[[235921]]

• 泄露数据3700万条
• 披露日期：2018年4月2日

4月2日，安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs，向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录，这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞，但他告诉Krebs，他的报告被驳回了。在此后的八个月里，Houlihan每个月都会检查一次这个漏洞，直到最终向Krebs披露。随后，Krebs在他的博客上公布了这些细节。在Krebs 的报告发布后，Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度，并表示受到影响的客户不到1万人，但据信真实数字高达3700万。

5. Facebook

[[235922]]

• 泄露数据至少8700万条(尽管可能还有更多)
• 披露日期：2018年3月17日

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻?当时，有报道称，一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息，该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息，但经过Facebook的确认，最初的估计实际上很低。今年 4月，该公司通知了在其平台上的8700万名用户，他们的数据已经遭到泄露。

不幸的是，随着对Facebook应用程序更深入的审查，看起来Cambridge Analytica丑闻可能只是冰山一角。6月27日，安全研究员Inti De Ceukelaire透露了另一个名为Nametests.com的应用程序，它已经暴露了超过1.2亿用户的信息。

4.  MyHeritage

[[235923]]

• 泄露数据超过9200万条
• 披露日期：2018年6月4日

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官，并透露他们在公司外的私人服务器上找到了一个标有“myheritage”的文件。在检查文件后，MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称，由于MyHeritage依赖第三方服务提供商来处理会员的付款，因此它也包含了他们的哈希密码，但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上，因此MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

3. Under Armour

[[235924]]

• 泄露数据5亿条
• 披露日期：2018年5月25日

3月25日，Under Armour获悉有人未经授权访问了MyFitnessPal平台，这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道(CNBC)在当时报道说，负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息，因为Under Armour对这些数据进行了分别处理。同时，它也没有损害社会安全号码或驾驶执照号码，因为服装制造商表示它并不会收集此类数据。

据信，超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

2. Exactis

• 泄露数据超过4亿条
• 披露日期：2018年6月26日

安全研究员Vinny Troia在2018年6月发现，总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息，其中包括数亿美国人和企业的详细信息。在撰写本文时，Exactis尚未确认受此事件影响的确切人数，但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实，此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息，在某些情况下包括极其敏感的细节，如孩子的姓名和性别。

1. Aadhaar

• 泄露数据11亿条
• 披露日期：2018年1月3日

今年1月份，论坛报业集团(Tribune News Service)的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务，记者可以输入任何一个Aadhaar号码(一个12位的唯一标识符，每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后，任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信，这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

二、其他值得注意的数据泄露事件

1. Strava

2017年11月，健身追踪应用程序Strava有意发布了一份包含1300万用户活动轨迹的“热图”。这张地图让我们了解了世界各地的人们是如何利用Strava来实现他们的健身目标的。但正如Bleeping Computer在1月底报道的那样，它也起到了意想不到的作用。联合冲突分析研究所(Institute for United Conflict analyst)的分析师Nathan Ruser于2018年1月发现，该地图显示了军事基地的位置。这是通过在已知军事设施所在的偏远地区展示人们的身体活动来发现的，其中包括美军基地以及土耳其和俄罗斯基地。

2. Health South East RHF

今年年初，挪威卫生安全部门HelseCERT检测到了异常的计算机活动。它最终将这种可疑行为追溯到了作为挪威四大区域医疗保健组织之一的Health South East RHF。根据Security Affairs的报道，HelseCERT发现这起攻击是由一群“专业的”和“高端的”攻击者发起的。

在HelseCERT披露此事件后，挪威卫生与护理部澄清说，该国采取了各种安全措施来解决这一问题。

受攻击影响的人数确切人数尚不清楚。但考虑到Health South East RHF的覆盖范围，可能有290万人(超过挪威总人口的一半)成为了事件的受害者。

3. [24]7.ai

4月4日，西尔斯控股公司(Sears Holding Corporation)和达美航空公司(Delta Airlines)都公布了属于数十万客户数据遭泄露的消息。这些数据是通过[24]7.ai的数据泄露而暴露出来的，这是一种提供在线聊天支持的第三方服务。

根据达美航空的声明，这起黑客入侵事件被认为发生在2017年9月26日至2017年10月12日期间，可能泄露了信用卡信息，但受影响的客户数量不详。该航空公司强调，没有其他信息(如护照、身份证或SkyMiles信息)受到影响。西尔斯估计，可能有少于10万名客户的信用卡信息在此次黑客入侵中被曝光。 一天后，零售商百思买(Best Buy)宣布，其一小部分客户可能也受到了此次事件的影响。

4. Orbitz

3月1日，Orbitz 发现 有人未经授权访问了它的一个遗留的旅行预订平台。这家在线旅行社认为，攻击者有能力查看某些敏感信息，包括客户姓名、出生日期、电话号码、电子邮箱地址、帐单地址、性别和支付卡信息。但没有证据表明这一事件暴露了客户的护照、旅行路线或社会安全号码。

根据彭博(Bloomberg)报道，黑客可能在2017年10月1日至2017年12月22日期间访问了88万名客户的支付卡详细信息。

三、令人不安的上半年

根据身份盗窃资源中心(ITRC)的2017年数据泄露总结报告，在2018年第一季度和第二季度遭泄露数据的数量已经超过了2017年全年遭泄露数据数量的总和。值得注意的是，本文所提供的数据泄露事件列表远远谈不上全面。在2018年上半年发生了许多其他的数据泄露事件，这意味着遭泄露数据的数量实际上要多得多。不过，也只有时间才能够证明这是否属实。