如果新闻中经常出现“泄漏”、“泄露数据”和“漏洞”这些词,那就不仅仅是你自己了。重大数据泄露的频率正在增加,根据个人信息失窃资源中心统计,预计2017泄露事件将超过1500起。这比2016年度增长了37%,而且今年本身就是个人信息泄露的最高纪录年。
尽管大多数数据泄露都是小规模和可控的,但今年出现了少数严重的安全事故。以下是2017年度最大规模的数据被盗和数据泄露事件。
1.Equifax
Equifax,美国四大信用报告机构之一。Equifax在9月份透露,网络犯罪分子已经渗透到他们的网络中。漏洞泄露了一亿四千三百万美国人的数据,基本上包括了美国的每一个成年人。泄露的信息包括姓名、社会保险号码、生日、地址,在某些情况下还包括驾照号码。
更糟糕的是,约209000名消费者的信用卡号码和182000人的信用报告纠纷相关文件也被曝光。
作为回应,Equifax为所有的美国人提供一套身份盗窃保护服务,不管他们是否受到了影响。这些服务包括高达一百万美元的身份盗窃保险和社会保险号码监控,对2018年1月31日之前注册的任何人都是免费的。(虽然我们怀疑这些身份盗窃保护服务的有效性,并不推荐别人购买。)
2.Uber
这一数据泄露实际上发生在2016。但由于Ube之前的普遍不光彩,我们直到今年11月才知道这件事。已泄露的数据包括五千万名优步客户的姓名、电子邮件地址和电话号码。大约七百万名司机的个人资料也被曝光,其中包括大约600000个驾照号码。
黑客首先访问了Uber工程师使用的一个私人GitHub网站,从而成功地窃取了数据。从那里,他们获得了Uber的AMS(亚马逊云计算平台服务)登录凭据,并访问了个人数据。然后黑客利用这些数据敲诈Uber。为了掩盖这起事件,优步高管向黑客支付了100000美元,用于删除数据并保持沉默。
这起事件是在Uber新任CEO Dara Khosrowshahi发现并向监管部门报告后才被曝光的。
在一篇博文中,Khosrowshahi说:“这一切都不应该发生,我也不会找借口。”
3.Edmodo
不是只有成年人才会把他们的信息泄露出去。五月份,Motherboard公司报告称,社会学习平台Edmodo被黑了,该服务由教育工作者和学生使用,大约有七千八百万用户,一名名为“nclay”的黑客声称,他获得了其中七千七百万人的账户数据。
这些数据是在黑暗网络上出售的,但是很明显,一个主要用来分配作业和创建课程计划的网站的帐户并不是特别有价值的。黑客将整个数据库的价格定在略高于1000美元。
4.Verizon
您是否在2017年前六个月致电过Verizon客户服务?那么你的数据可能就在无意中暴露出来了。
ZDNet报告称,总部位于以色列的Nice Systems公司未能确保一个Amazon S3存储服务器的安全,里面包含一千四百万Verizon客户记录,导致客户姓名、手机号码和帐户PIN均被泄露。
幸运的是,Verizon能够在其他人访问数据之前保护数据。在CNBC一份声明中,Verizon发言人说“我们已经证实,除了Verizon或其供应商之外,只有一位研究员才能进入云存储区,他让我们注意到了这个问题。换句话说,Verizon或者Verizon的客户信息没有丢失或被盗。”
5.Deep Root Analytics
数据分析公司Deep Root Analytics是由共和党全国委员会承包的,它披露了一亿九千八百万名公民的公开数据。这意味着每三个美国人中就有两个受到影响。公开的信息包括姓名、生日、电话号码,以及最令人不安的选民登记细节。
这个漏洞是由安全研究员Chris Vickery在6月12日发现。他的分析显示,该公司的数据库存储在亚马逊的云服务器上,没有密码保护,时间大约有两周。任何人都有能力下载这1.1TB的数据。
6.SONIC汽车快餐店
数百万名只想点芝士汉堡和奶昔的顾客可能无意中把他们的信用卡信息给了小偷。
快餐连锁店Sonic承认,餐厅的支付系统数目不详,客户的信用卡信息也遭到了破坏。安全研究员Brian Krebs发现被盗的信用卡号码流入了地下市场,网络罪犯在那里买卖敏感的金融数据。
7.所有的WiFi设备
2017,我们还发现,从本质上讲,通过WiFi网络传输的所有数据都是脆弱的。计算机科学家Mathy Vanhoef宣布WPA 2加密协议中的漏洞使WiFi网络无需登录凭据即可访问。黑客们可以通过利用密钥重装攻击(KRACK)来访问WiFi数据。目前还不清楚是否使用这种方法窃取了任何数据,但该漏洞自WiFi开始以来就一直存在。
幸运的是,在发现问题后不久,各大科技公司就开始发布补丁。本月初苹果公司为所有的iPhone修复了这个安全漏洞。一些路由器制造商已经发布了最新的固件,以防止KRACK攻击。
数据泄露的数量或者规模都在不断上涨,这表明我们所面临的风险正在超过企业采取安全措施的保护能力。除非公司能够改善其安全态势,否则防止数据泄露造成严重损害的责任将落在个人身上。
*参考来源:Malwarebytes LABS,FB小编Andy编译
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。