2018 年超过 10 亿人的数据遭到破坏

内容

从信用卡掠夺到漏洞和“泄漏”后端,我们将回顾 2018 年全球面临的最严重和最严重的数据泄露事件。

英国航空公司(380,000 个账户)

8 月 21 日至 9 月 5 日期间进行的 380,000 笔交易在英国航空公司 (BA) 网站和应用程序上遭到入侵。 攻击者访问了客户的姓名、地址、电子邮件和付款详细信息。 该航空公司向乘客保证,护照和旅行细节仍然安全。

这次攻击中使用的技术就像“信用卡浏览”的数字版本。 它允许黑客在将用户信息输入数据输入表单时复制用户信息。 此类攻击往往针对安全性较差的公司。

在这种情况下,黑客在 BA 的预订页面中发现了漏洞,注入恶意代码,并将客户数据即时发送到自己的服务器。 这次攻击没有涉及黑客侵入服务器,这就是为什么他们只能在非常特定的时间范围内收集信息以及为什么他们获得航空公司通常不存储的数据,例如信用卡 CVV 号码。

Google+(500,000 个帐户)

最近在 Google+ 平台中发现的一个漏洞使第三方开发人员可以访问 500,000 个帐户,其中包括用户的全名、出生日期、性别、个人资料照片、职业,甚至是他们居住的地方。

令人惊讶的是,这个漏洞已经三年没有被发现了。 最终,当谷歌发现它并对其进行修补时,他们决定不通知公众,因为他们担心会像剑桥分析那样发生另一起丑闻。 谷歌表示,有 438 个应用程序可以访问敏感信息,但没有证据表明开发人员滥用了这些数据。

与其他社交媒体平台不同,Google+ 难以吸引新用户。 随着最新的数据泄露,他们决定现在是完全关闭平台的时候了。

Ticket Fly,由 Eventbrite 拥有(2700 万个账户)

活动票务网站 Ticket Fly 被一名自称 IsHaKdZ 的网络犯罪分子入侵,他从 2700 万个账户中窃取了数据。 黑客侵入了 Ticket Fly 的系统,并用“V 字仇杀队”电影中的图像替换了其主页,该图像描绘了虚构的英国无政府主义者,他抗议并与法西斯政府作斗争。

然后,他向 Ticket fly 索要一个比特币赎金,并警告他们,他们的安全性很差,威胁要在他下一次攻击后发布数据库。 然而,即使黑客破坏了美国发生的许多事件,该公司仍拒绝与黑客交谈或支付赎金。

黑客从未公开发布过数据,但 华盛顿邮报 记者与黑客交谈并确认数据是真实的。 尽管遭到破坏,该网站在大约一周内恢复并运行。

优步(5700 万用户)

这家革命性的出租车公司也不能幸免于黑客攻击。 2016 年 11 月,黑客访问了 Uber 的云服务器并下载了近 3500 万用户的数据,包括他们的全名、电话号码、电子邮件地址以及他们首次注册该服务的位置。

如果这发生在两年前,为什么我们现在要谈论这个? 因为优步把它扫到了地毯下,没有通知它的客户(还有 370 万司机的行程总结、每周付款,甚至驾驶执照号码也被曝光)。 相反,优步向黑客支付了 100,000 美元的赎金,称其为“漏洞赏金”,并等了一年才开始监控受影响的账户。

与用户缺乏沟通以及未能遵循“漏洞赏金奖励计划”的程序导致优步在英国收到 1.48 亿美元的巨额罚款,金额为 385,000 英镑。 信息专员的调查主任 Office 英国,Steve Eckersley 说:

“这不仅是优步在数据安全方面的严重失误,而且完全无视了个人信息被盗的客户和司机。 当时,没有采取任何措施通知任何受违规影响的人,或提供帮助和支持。 这让他们很脆弱。 在我们看来,付钱给攻击者,然后保持沉默,这不是对网络攻击的适当回应。”

Steve Eckersley,ICO 调查总监

Facebook (1.47 亿个账户)

当然,如果没有今年的“淘气”名单,那将是不完整的 Facebook.

3月5000万用户

英国政治咨询公司Cambridge Analytica获准使用超过5000万 Facebook 用于“研究目的”的个人资料。 然而,他们反而收集用户信息来创建心理档案,以影响 2016 年的美国总统竞选。这家数据挖掘和数据分析公司受雇于唐纳德特朗普,帮助他塑造和预测选票。

9月用户9000万

9 月,这家社交媒体巨头再次成为头条新闻,因为他们危害了近 9000 万用户的安全。 中的一个错误 Facebook发现“查看为”功能可用于窃取用户的访问令牌,该令牌可让用户在浏览会话期间登录网站或应用程序。

访问令牌不保存用户的密码,因此 Facebook 注销所有可能受影响的人以恢复安全性。 然而,黑客仍然设法窃取用户名、性别和有关其家乡的信息。

Facebook 声称,到目前为止,它还没有注意到被盗账户有任何可疑行为。 但是,这并不意味着以后不会使用这些数据。

12 月有 700 万用户

好像这还不足以失去信任 Facebook,仅在几天前宣布了另一个错误。 似乎数百个第三方应用程序未经授权访问了 700 万用户的照片。 最糟糕的是,人们可能已经开始上传这些包含的图片,但从未发布过。

目前尚不清楚是否有人看过这些照片或以任何恶意方式使用它们。 但是,它再次显示了多少数据 Facebook 收集以及他们对其网络安全的控制程度如何。

“很多担心隐私和此类问题的人会采取我们犯的任何小错误,并将其变成尽可能大的交易。 我们意识到人们可能会为此批评我们很长时间,但我们只是相信这是正确的做法。”

马克·扎克伯格,首席执行官 Facebook

我的遗产(9200 万用户)

一家可以测试人们的 DNA 以找到他们的祖先并建立他们的家谱的公司泄露了超过 9200 万用户的电子邮件地址和散列密码。 该攻击在 6 月被注意到,当时该公司的安全研究人员发现他们的用户数据位于不属于该公司的私人服务器中。

My Heritage 表示,最敏感的用户数据,例如他们的 DNA 信息和家谱,存储在没有受到损害的单独系统上。

使用一流的 VPN 保护您的互联网流量!

得到 NordVPN

Quora(1亿用户)

问答网站 Quora 最近遭到黑客攻击,使 1 亿用户处于危险之中。 Quora 代表说,他们注意到“恶意第三方”访问了 Quora 数据库中的敏感信息。 这些网络犯罪分子几乎可以访问所有内容,从用户名和 IP 地址到他们的问答历史、访问令牌和私人消息。

Quora 声称,他们合作伙伴的财务信息或任何匿名问答都没有受到影响。 此次袭击正在调查中,该公司尚未发表进一步评论。

Firebase(1 亿用户)

谷歌旗下的开发平台 Firebase 泄露了超过 1 亿用户的敏感信息。 该平台可能并不为每个人所熟知,但它已被移动开发人员广泛使用。

Appthority 研究人员扫描了 270 万个 iOS 和 Android 应用程序,这些应用程序连接到 Firebase 并将其数据存储在 Firebase 上。 他们发现,其中超过 3,000 个应用程序连接到任何人都可以访问的配置错误的数据库。

这些具有“漏洞后端”的应用程序在 Google Play 商店中的下载量已超过 6.2 亿次,并且可能暴露高度敏感的数据,包括用户 ID、明文密码、用户位置、银行详细信息、比特币交易、社交媒体账户,甚至健康记录。

谷歌收到了“泄漏”应用程序及其后端的通知。

我的健身伙伴(1.5 亿用户)

年初,Under Armour 旗下的食品和营养应用 My Fitness Pal 泄露了 1.5 亿用户的数据。 一旦公司注意到违规行为,他们会在几乎创纪录的时间内通知用户(与其他公司相比)——4 天。

该公司证实,黑客掌握了用户名、电子邮件地址和散列密码。 My Fitness Pal 表示其他信息(例如信用卡号)没有受到损害,因为它与一般用户信息分开存储。

目前尚不清楚黑客是如何闯入系统的,但 Under Armour 正在与数据安全公司合作调查此次攻击并采取预防措施以避免未来发生类似的闯入事件。

Twitter (3.3亿用户)

Twitter 数据泄露事件很少成为头条新闻,但今年不同。 一个安全漏洞暴露了 3.3 亿用户的密码,所有密码都是纯文本。

Twitter 表示他们的密码哈希系统存在问题。 它未能加密密码并以纯文本形式保存密码。 他们的调查人员声称没有人真正访问过这些数据,但如果任何受影响的账户被黑客入侵,他们的密码就会对攻击者可见。 然后可以使用他们的信息访问其他帐户。

Twitter 已建议许多用户更改密码以作为预防措施。 该错误现已修复。

万豪(5 亿用户)

今年最大的数据泄露事件(如果没有的话)暴露了 50 亿用户的数据。 万豪表示,过去四年黑客入侵了其预订系统并访问了客户数据。 这一重大数据泄露影响了以下喜达屋酒店:瑞吉酒店、威斯汀酒店、喜来登酒店、雅乐轩酒店、艾美酒店、四点酒店和 W 酒店。 万豪的酒店数据库是独立的,没有受到影响。

网络犯罪分子窃取了喜达屋客户的姓名、地址、电话号码、卡号、护照号码,甚至他们的旅行地点和人员信息。

由于此信息未用于任何已知的经济收益或身份盗窃,因此有传言称这可能是国家支持的攻击。 一名前英国情报官员表示,这次袭击的目的可能是获取多年来一直住在万豪酒店的间谍、外交官和军事官员的宝贵信息。 奇怪的是,这次攻击在很长一段时间内都没有引起人们的注意,而且没有任何信息被货币化。

2019 年的网络安全和隐私

这些攻击的范围表明,即使是最大的公司也容易受到攻击并且容易出错。 这意味着信任它们变得越来越困难,因为我们永远不知道我们的数据何时会落入坏人之手。 不幸的是,我们几乎无法控制下一家公司何时会被黑客入侵,但我们可以采取一些预防措施来保护我们的数据:

  • 创建一个强大且唯一的密码或使用它 强随机密码生成器.
  • 定期使用此工具 检查您的密码是否被泄露.
  • 在社交媒体上发布任何内容之前,请三思。 此信息可用于对您不利。
  • 如果您在网上购物,请使用信用卡。 如果您的财务信息泄露,您对欺诈性收费的责任将减少。
  • 仅向公司提供必要的信息。 他们拥有的信息越少,泄露的就越少。
  • 小心欺诈。 如果收到您的数据泄露的通知,请更改您的密码并采取泄露您数据的公司建议的步骤。