盤點:2021年全球十大數據安全事件
2021年,數據隱私泄露事件頻發,涉及面廣,影響力大,企業因此陷入數據保護合規與社會輿情壓力的雙重危機。近日,有國外媒體梳理了2021年十大數據泄密事件,并對事件進行了點評分析,可供讀者參考。據數據統計,共有近2.2億人受到以下十大數據安全事件的影響,其中三起泄密事件發生在科技公司,四起涉及敏感記錄的泄露。
1. OneMoreLead
影響人數:6300萬
發現時間:2021年8月
事件概要:
vpnMentor的研究團隊在8月份發現, B2B 營銷公司 OneMoreLead 將至少6300萬美國人的私人數據存儲在一個不安全數據庫中,該公司任由此數據庫完全敞開。該數據庫包含列出的每個人的基本個人身份信息數據,以及有關其工作和雇主的類似數據和信息。這些信息很可能被提供給注冊其 B2B 營銷服務的客戶或顧客。vpnMentor 看到了數據庫中大量的 .gov 和紐約警察局電子郵件地址,這讓黑客有可能滲透到原本安全的高級政府機構。vpnMentor 表示,政府和警察部門成員的私人數據如同從事犯罪活動的黑客眼里的金礦,可能導致重大的國家安全事件,使公眾嚴重喪失對政府的信任。據 vpnMentor 稱,姓名、電子郵件地址和工作場所信息暴露在任何擁有網絡瀏覽器的人面前。
事件點評:
科技和數據對于今天的營銷而言非常重要,大數據營銷的概念也是方興未艾。當營銷者們歡欣鼓舞地收集數據,建立模型,去做洞察,以指導營銷時,用戶數據的安全性該如何保障,企業營銷的底線是什么,值得營銷公司深思。
2. T-Mobile
影響人數:4780萬
發現時間:2021年8月
事件概要:
T-Mobile 于 8 月 17 日證實,其系統在 3 月18 日遭到了網絡犯罪攻擊,數百萬客戶、前客戶和潛在客戶的數據因此泄密。T-Mobile 表示,泄露的信息包括姓名、駕照、政府身份證號碼、社會保障號碼、出生日期、 T-Mobile 充值卡 PIN 、地址和電話號碼。T-Mobile表示,不法分子利用了解技術系統的專長以及專門工具和功能,訪問了該公司的測試環境,隨后采用蠻力攻擊及其他方法,進入到了含有客戶數據的其他 IT 服務器。T-Mobile 表示,它弄清楚了不法分子如何非法進入其服務器并關閉這些入口點。該公司表示,它將向所有可能受到影響的人提供為期兩年的免費身份保護服務(邁克菲的身份竊取防護服務)。此外, T-Mobile 表示為后付費客戶提供帳戶接管防護服務,這樣一來,客戶帳戶更難被人以欺詐手段外泄和竊取。
事件點評:
T-Mobile 是一家跨國移動電話運營商,是德國電信的子公司,屬于 Freemove 聯盟。T-Mobile 在西歐和美國運營 GSM 網絡,并通過金融手段參與東歐和東南亞的網絡運營。該公司擁有1.09億用戶,是世界上較大的移動電話公司之一。對于網絡犯罪分子來說,這類公司具有較高價值。通信公司有義務保護好客戶信息,需要在數據安全方面做更多功課。
3. 未知的營銷數據庫
影響人數:3500萬
發現時間:2021年6月
數據內容:個人信息
事件概要:
Comparitech研究人員在7月29日報告,一個含有估計3500萬個人詳細信息的神秘營銷數據庫泄露在網上,居然未設密碼。該數據庫包括姓名、聯系信息、家庭住址、種族以及眾多的人口統計信息(包括愛好、興趣、購物習慣和媒體消費等)。相關樣本顯示,大多數記錄與芝加哥、洛杉磯和圣迭戈這些大城市的居民有關。據 Comparitech 聲稱,凡是擁有網絡瀏覽器和互聯網連接的人都可以訪問數據庫全部內容,里面含有的信息可用于有針對性的垃圾郵件和詐騙活動以及網絡釣魚。Comparitech網絡安全研究團隊在6月26日發現了該數據庫,盡管使出了渾身解數,還是無法確定該數據庫歸誰所有。該公司聯系了托管該數據庫服務器的亞馬遜網絡服務(AWS),要求撤下數據庫,不過,該數據在7月27日之前仍可以訪問。
事件點評:
互聯網在提供精準營銷的背后,卻是一遍又一遍對用戶隱私數據的索取、整理、分析和挖掘。任何國家的任何法律,都沒有說不允許使用個人信息,所有的法律和規定,都是圍繞如何正確使用這些信息,而不是如何禁止使用這些信息,這是一個大前提。那么,個人數據如何才算正確使用呢?這就涉及到“同意”原則,同意原則是企業使用個人信息的起點。當然,也有例外的情況可以不經過個人同意就使用個人信息,一般都是涉及國家安全等特殊情況。同意原則包含三個類型:默認同意、明示同意和授權同意。
4. ParkMobile
影響人數:2100萬
發現時間:2021年3月
事件概要:
ParkMobile在3月份發現一起與第三方軟件漏洞有關的網絡安全事件。調查發現,其基本的用戶信息被人訪問,包括車牌號、電子郵件地址、電話號碼和車輛昵稱。在少數情況下,郵寄地址也被訪問。該公司還發現加密的密碼被訪問,但讀取這些密碼所需的加密密鑰并未被訪問。ParkMobile表示,它使用先進的散列和加入隨機字符串(salting)技術對用戶密碼進行加密,以此保護用戶密碼。ParkMobile表示,用戶應考慮更改密碼,作為另一道預防措施;信用卡或停車交易歷史記錄未被訪問;它并不收集社會保障號碼、駕照號碼或出生日期。ParkMobile稱:“作為美國較大的停車應用軟件,用戶的信任是我們的重中之重。請放心,我們認真對待保護用戶信息安全的責任。”
事件點評:
ParkMobile是在北美頗受歡迎的移動停車應用,用來顯示街頭可用的停車位Parkmobile還支持應用內支付停車費,即用戶進入符合要求的距離之后可以在手機上為車位付費。不過需要特別注意的是,該功能只面向ParkmobilePro付費用戶開放。它還能提供停車費折扣、路邊援救以及臨時優惠活動。在給用戶帶來方便的同時,其安全性也需要進一步加強。
5. ClearVoiceResearch.com
影響人數:1570萬
發現時間:2021年4月
事件概要:
ClearVoice在4月份獲悉,一個未經授權的用戶在網上發布了含有2015年8月和9月調查參與者的個人信息數據庫,并向公眾出售這些信息。可訪問數據包括聯系信息、密碼以及針對用戶健康狀況、政治派別和種族等問題作出的答復。ClearVoice表示,這批數據可能會被不法分子濫用,導致調查參與者被人(比如廣告商)聯系。此外,可訪問的信息可能用于準備個人資料,而這些資料可用于商業或政治目的。在收到未經授權用戶發來的電子郵件的一小時內,ClearVoice表示它找到了備份文件,確保其安全,并消除了云服務端這個文件面臨的泄露風險。另外ClearVoice對可能泄露信息的所有會員強行重置了密碼,還實施了安全措施,以防止此類事件再次發生,并保護會員數據的隱私。
事件點評:
ClearVoice是一個人才網絡和內容營銷平臺,幫助企業創建引人入勝的內容,以支持他們的博客,SEO,社交媒體和營銷自動化。ClearVoice集成的編輯日歷和簡化的內容工作流程可提高工作效率,并幫助營銷人員實現其內容營銷目標。顯然,在其開展相關營銷活動時,并未很好地將安全性納入到其平臺上。
6. Jefit
影響人數:905萬
發現時間:2021年3月
事件概要:
鍛煉跟蹤應用程序Jefit在3月份發現了因安全漏洞而導致的數據泄密,這起事件影響了2020年9月20日之前注冊的客戶帳戶。不法分子訪問了以下信息:Jefit帳戶用戶名、與帳戶關聯的電子郵件地址、加密的密碼以及創建帳戶時的IP地址。Jefit保存IP地址用于防止機器人程序,并將濫用帳戶登記在冊。該公司查明了數據泄密的根本原因,并證實Jefit的其他系統未受影響。Jefit表示,它已采取安全措施來加強網絡,以防范將來出現類似的泄密事件,并正在其產品上采用更加強大的密碼策略,以便將來進一步保護用戶帳戶。此外,Jefit表示,敏感的財務數據未受到牽涉,因為該公司從不存儲客戶的付款信息。客戶在Jefit網站購買產品時,所有支付流程都由Google Play Store 、 Apple App Store直接處理,或者由支付網關公司直接處理。
事件點評:
Jefit成立于2010年,立志于成為健身界的Facebook,在這個語境下,它有著同類應用難以比肩的大型數據庫:超過1300種訓練動作,以及數以百萬計用戶分享的訓練計劃。Jefit只能做到對健身訓練數據的追蹤和管理,想要直觀地分析一定周期內個人在健身時的訓練狀態和身體表現情況,還得借助一些數據整合和分析工具。不管是使用自身系統還是借助于第三方工具,都需要做好數據保護工作。
7. Robinhood
影響人數:700萬
發現時間:2021年11月
事件概要:
電子交易平臺Robinhood在11月8日披露,未經授權的有關方在五天前通過電話冒充員工,訪問了客戶支持系統。Robinhood表示,在此次事件中,黑客獲得了大約500萬人的電子郵件地址列表以及另外大約200萬人的全名。Robinhood表示,這700萬條記錄中的數千個條目包含電話號碼,大約310人的姓名、出生日期和郵政編碼已被公開,其中大約10個客戶的更詳細帳戶信息被公開。Robinhood在遏制這起入侵后表示,黑客敲詐索要贖金。它及時通知了執法部門,將在Mandiant的幫助下繼續調查這起事件。
事件點評:
冒充他人登錄到企業網絡,事實上就是竊取員工的身份。身份認證也稱為"身份驗證"或"身份鑒別",是指在計算機及計算機網絡系統中確認操作者身份的過程,從而確定該用戶是否具有對某種資源的訪問和使用權限,進而使計算機和網絡系統的訪問策略能夠可靠、有效地執行,防止攻擊者假冒合法用戶獲得資源的訪問權限,保證系統和數據的安全,以及授權訪問者的合法利益。單一的身份認證手段容易導致賬號被冒用,造成內部信息泄露,企業需要進一步加固自身的身份認證體系,來保障網絡信息的安全。
8. Accellion
影響人數:676萬
發現時間:2021年初
事件概要:
2021年初,黑客結合舊版Accellion文件傳輸設備(FTA)中多個零日漏洞工具,向外泄露數據,要求付款以確保歸還和刪除數據。據HIPAA Guide網站報道, Clop勒索軟件團伙的數據泄露網站被用來發布一些被盜數據,勸誘受害者支付贖金。截至2021年4月份,已知至少九家醫療保健組織受到了Accellion數據泄密事件影響,其中包括Kroger Pharmacy的147萬客戶、Health Net的124萬會員、Trinity Health的58.7萬患者、California Health&Wellness的8萬會員、Trillium Health Plan的5萬客戶,以及Arizona Complete Health的2.9萬會員。Stanford Medicine 、 University of Miami Health和 Centene Corp也受到了這次泄密事件的影響,不過這每家組織中受影響的人數尚未得到證實。泄露信息包括姓名、社會保障號碼、出生日期、信用或銀行賬號、健康保險號碼及/或與健康有關的信息。
事件點評:
"零日漏洞"(zero-day)又叫零時差攻擊,是指被發現后立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。有證據顯示,黑客更加善于在發現安全漏洞不久后利用它們,實施攻擊活動。雖然目前不能完全防范零日漏洞攻擊,但是,科學完善的防御體系能有效減少被零日攻擊的機率,以及降低零日攻擊造成的損失。
9. Infinity保險公司
影響人數:572萬
發現時間:2021年8月
事件概要:
Infinity保險公司在3月份披露,在2020年12月的兩天內,有人未經授權,短暫訪問了Infinity網絡中服務器上的文件。Infinity全面審查保存在被訪問服務器上的文件后發現,一些社會保障號碼或駕照號碼包含在文件中。這起事件還影響了Infinity現在和以前的員工,泄露信息包括員工姓名、社會保障號碼及/或有限情況下與病假或員工賠償索賠有關的醫療信息。受影響員工和客戶將獲得為期一年的免費信用監控服務會員資格。為了降低發生類似事件的風險,Infinity繼續審查其網絡安全計劃,并利用調查信息來確定另外的措施,以進一步增強網絡安全性。該公司在致員工的一封信中寫道:“我們理解保護個人信息的重要性,對由此造成的不便深表歉意。”
事件點評:
Infinity財產保險公司是總部設立在伯明翰,為美國各州提供汽車保險的公司。作為美國表現良好的公司之一,提供非標準的汽車保險,為那些不能通過標準保險公司獲得安全保障的個人提供保險服務。這些不標準的因素可能是因為駕駛記錄里有事故記錄,駕駛者的年齡,車型以及其他各種原因。Infinity財產保險公司是在非標準承保行業中第三大保險公司,作為有如此影響力的保險公司,應加強其數據安全。
10. 尼曼集團(Neiman Marcus Group)
影響人數:435萬
發現時間:2021年9月
事件概要:
奢侈品百貨連鎖店尼曼在9月份披露,未經授權的有關方于2020年5月獲取了與客戶在線帳戶有關的個人信息。該公司表示,它已將該事件通知執法部門,已與Mandiant密切合作開展調查。泄露信息可能包括:姓名及聯系資料、支付卡號及有效期、尼曼虛擬代金券號碼,以及與在線帳戶有關的用戶名、密碼以及安全問題和答案。尼曼稱,大約310萬張支付卡和虛擬代金券受到了影響,其中超過85%為過期或無效。尼曼回應稱,它要求自2020年5月以來未更改密碼的受影響客戶重置在線帳戶密碼。此外該公司表示,如果受影響客戶為其他任何在線帳戶使用的登錄信息與用于其尼曼帳戶的登錄信息相同或相似,應更改登錄信息。
事件點評:
尼曼集團( Neiman Marcus )是美國以經營奢侈品為主的連鎖高端百貨商店,是當今世界高檔、獨特時尚商品的零售商,已有100多年的發展歷史,其總部在美國得克薩斯州達拉斯,能進入該百貨的品牌都是各個行業中的翹楚。此次數據泄露事件,使其公眾聲望受損。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
