在 2019 年除了加密勒索軟件繼續肆虐,伺服器資料外洩的情況同樣值得關注,數以十億人因為雲端設定失當、黑客入侵或差勁的保安習慣,當中更不乏大家熟識的名字,以下將會列出 10 宗 2019 年度十大資料外洩事故。
10. 「Collection 1 – 4」數億登入資料流落暗網
年初在一個知名的地下黑客討論區出現 7.73 億條電郵地址和密碼的資料,這些登入資料被稱為「Collection #1」,總共 87GB 數據,當中外洩的資料可追溯到 2010 年有名的 Yahoo 資料外洩事故,這是有史以來其中一次最大型的帳戶資料外洩事故,而其後出現了「Collection 2 – 4」,最終在今年 2 月有來自 38 家公司總共 8.4 億個帳號記錄在暗網上出售。
9. AMCA 供應鏈資料外洩
美國的 American Medical Collection Agency 在今年夏天遭黑客入侵,事件牽涉 2.01 千萬名病人,具個人識別能力的資料,例如:姓名、地址、出生日期和付費資料等全部外洩,3 家倚靠其服務的化驗所因而受害,他們包括 1.2 千萬名Quest Diagnostics的病人、7.7 百萬名 LapCorp 及 40 萬名 OPKO Health 的病人。
8. Capital One 牽涉 1 億美國用戶
在今年 7 月,Capital One 因為雲端錯誤設定,讓黑客有機可乘可以存取信貸申請、社會保障號碼和銀行帳號等資料,是其中一宗最大的金融服務資料外洩個案,事件涉及 1 億美國和 600 萬加拿大客戶,隨後 FBI 拘捕了一名前 Amazon Web Service 工程師,因為她在 GitHub 上自誇其資料盜竊而事敗。
7. Facebook 的資料外洩年
Facebook 今年被資料外洩纏身,包括在 12 月含有名稱、電話號碼和用戶 ID 的資料庫被黑客入侵,事件涉及 2.67 億名用戶,資料可能在 Facebook 限制 API 存取電話別碼或其他資料前被盜,在今年 9 月,一個公開伺服器內發現外洩數以億計 Facebook 用戶的電話號碼,在 4 月研究人員分別發現兩個資料庫含有 Facebook 帳號和個人資料。
6. 厄瓜多爾全民資料
在今年 9 月,資料外洩影響整個厄瓜多爾的市民,從一個公開的資料庫內,找到豐富、詳細的厄瓜多爾市民生活資料,資料由市場分析公公司從公共服務中收集。那些資料讓黑客可以與其他資料進行對照,從而仔細觀看個人的生活,事件涉及 2 千萬名從厄瓜多爾政府登記名為 Aeade 協會和厄瓜多爾國家銀行的客戶。
5. 12 億社交媒體資料
與厄瓜多爾的情況相似,12 月在一個公開的 Elasticsearch 伺服器內發現 12 億個社交媒體,包括 Facebook 、LinkedIn,包括姓名、個人和工作電郵地址、電話號碼、Twitter 和 Github 網址及其他數據,憑著這些數據可以從多角度觀察一名用戶,包括他們的工作和教育歷史,這些資料全部未受到保護,無需登入就能夠存取資料,而這些數據連結到 People Data Labs (PDL) 和 OxyData[.]io。
4. Imperva 保安專家的雲端錯誤設定
網絡保安公司 Imperva 因為雲端的錯誤設定,讓黑客能夠盜取和使用 Amazon Web Services 的管理 API 金鑰到公司產品其中一個帳號,黑客使用 Imperva 的 Cloud Web Application Firewall 產品存取資料庫並快照儲存的電郵、密碼、客戶 API 金鑰和 TLS 金鑰等,雖然最新資料已是 2017 年 9 月,但盜取 API 金鑰和 SSL容許攻擊者攻破公司的加密並直接存取公司的應用程式。
3. Sprint 洩露 26 萬電訊用戶電話帳單
AT&T、Verizon 和 T-Mobile 的承包商 Sprint 因為雲端的錯誤設定,令 26 萬名電訊用戶的資料在互聯網上公開,其中主要是 Sprint 的客戶和其他轉台的人士,帳單包括客戶名稱、地址、電話號碼和過往的付費紀錄等等。
2. Magecart 集團專攻付費卡資料
Magecart 是一個專門掠奪付費卡資料的集團,由不同成員所組成,他們使用相同的手法行事,已有大量受害者。攻擊者會使用虛擬信用卡讀取工具放入電子商貿的結帳頁面,受影響的公司橫跨不同行業,當中不乏大家熟識的名字,包括 Forbes 的雜誌訂閱網站。
1. Equifax 解決方案震驚消費者
Equifax 就 2017 年資料外洩的相關聯邦及州調查決定支付 7 億美元作結,事件牽涉 1.5 億名用戶,7 億美元中包括為受影響客戶提供 3 億美元的信用監察服務,向 48 個美國州郡支付 1.75 億和 1 億美事罰款,不過有部份受害者認為解決方案不公平,並且聯署反對該解決方案,認為該解決方案對只有少量賠償會流到真正受害者手中。
資料來源:Threat Post