全球十大数据安全事件

news2024/11/17 15:38:38

2021年,数据隐私泄露事件频发,涉及面广,影响力大,企业因此陷入数据保护合规与社会舆情压力的双重危机。近日,有国外媒体梳理了2021年十大数据泄密事件,并对事件进行了点评分析,可供读者参考。据数据统计,共有近2.2亿人受到以下十大数据安全事件的影响,其中三起泄密事件发生在科技公司,四起涉及敏感记录的泄露。

1、OneMoreLead

影响人数:6300万

发现时间:2021年8月

事件概要:

vpnMentor的研究团队在8月份发现, B2B 营销公司 OneMoreLead 将至少6300万美国人的私人数据存储在一个不安全数据库中,该公司任由此数据库完全敞开。该数据库包含列出的每个人的基本个人身份信息数据,以及有关其工作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中大量的 .gov 和纽约警察局电子邮件地址,这让黑客有可能渗透到原本安全的高级政府机构。vpnMentor 表示,政府和警察部门成员的私人数据如同从事犯罪活动的黑客眼里的金矿,可能导致重大的国家安全事件,使公众严重丧失对政府的信任。据 vpnMentor 称,姓名、电子邮件地址和工作场所信息暴露在任何拥有网络浏览器的人面前。

事件点评:

科技和数据对于今天的营销而言非常重要,大数据营销的概念也是方兴未艾。当营销者们欢欣鼓舞地收集数据,建立模型,去做洞察,以指导营销时,用户数据的安全性该如何保障,企业营销的底线是什么,值得营销公司深思。

2、T-Mobile

影响人数:4780万

发现时间:2021年8月

事件概要:

T-Mobile 于 8 月 17 日证实,其系统在 3 月18 日遭到了网络犯罪攻击,数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile 表示,泄露的信息包括姓名、驾照、政府身份证号码、社会保障号码、出生日期、 T-Mobile 充值卡 PIN 、地址和电话号码。T-Mobile表示,不法分子利用了解技术系统的专长以及专门工具和功能,访问了该公司的测试环境,随后采用蛮力攻击及其他方法,进入到了含有客户数据的其他 IT 服务器。T-Mobile 表示,它弄清楚了不法分子如何非法进入其服务器并关闭这些入口点。该公司表示,它将向所有可能受到影响的人提供为期两年的免费身份保护服务(迈克菲的身份窃取防护服务)。此外, T-Mobile 表示为后付费客户提供帐户接管防护服务,这样一来,客户帐户更难被人以欺诈手段外泄和窃取。

事件点评:

T-Mobile 是一家跨国移动电话运营商,是德国电信的子公司,属于 Freemove 联盟。T-Mobile 在西欧和美国运营 GSM 网络,并通过金融手段参与东欧和东南亚的网络运营。该公司拥有1.09亿用户,是世界上较大的移动电话公司之一。对于网络犯罪分子来说,这类公司具有较高价值。通信公司有义务保护好客户信息,需要在数据安全方面做更多功课。

3、未知的营销数据库

影响人数:3500万

发现时间:2021年6月

数据内容:个人信息

事件概要:

Comparitech研究人员在7月29日报告,一个含有估计3500万个人详细信息的神秘营销数据库泄露在网上,居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的人口统计信息(包括爱好、兴趣、购物习惯和媒体消费等)。相关样本显示,大多数记录与芝加哥、洛杉矶和圣迭戈这些大城市的居民有关。据 Comparitech 声称,凡是拥有网络浏览器和互联网连接的人都可以访问数据库全部内容,里面含有的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。Comparitech网络安全研究团队在6月26日发现了该数据库,尽管使出了浑身解数,还是无法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊网络服务(AWS),要求撤下数据库,不过,该数据在7月27日之前仍可以访问。

事件点评:

互联网在提供精准营销的背后,却是一遍又一遍对用户隐私数据的索取、整理、分析和挖掘。任何国家的任何法律,都没有说不允许使用个人信息,所有的法律和规定,都是围绕如何正确使用这些信息,而不是如何禁止使用这些信息,这是一个大前提。那么,个人数据如何才算正确使用呢?这就涉及到“同意”原则,同意原则是企业使用个人信息的起点。当然,也有例外的情况可以不经过个人同意就使用个人信息,一般都是涉及国家安全等特殊情况。同意原则包含三个类型:默认同意、明示同意和授权同意。

4、ParkMobile

影响人数:2100万

发现时间:2021年3月

事件概要:

ParkMobile在3月份发现一起与第三方软件漏洞有关的网络安全事件。调查发现,其基本的用户信息被人访问,包括车牌号、电子邮件地址、电话号码和车辆昵称。在少数情况下,邮寄地址也被访问。该公司还发现加密的密码被访问,但读取这些密码所需的加密密钥并未被访问。ParkMobile表示,它使用先进的散列和加入随机字符串(salting)技术对用户密码进行加密,以此保护用户密码。ParkMobile表示,用户应考虑更改密码,作为另一道预防措施;信用卡或停车交易历史记录未被访问;它并不收集社会保障号码、驾照号码或出生日期。ParkMobile称:“作为美国较大的停车应用软件,用户的信任是我们的重中之重。请放心,我们认真对待保护用户信息安全的责任。”

事件点评:

ParkMobile是在北美颇受欢迎的移动停车应用,用来显示街头可用的停车位Parkmobile还支持应用内支付停车费,即用户进入符合要求的距离之后可以在手机上为车位付费。不过需要特别注意的是,该功能只面向ParkmobilePro付费用户开放。它还能提供停车费折扣、路边援救以及临时优惠活动。在给用户带来方便的同时,其安全性也需要进一步加强。

5、ClearVoiceResearch.com

影响人数:1570万

发现时间:2021年4月

事件概要:

ClearVoice在4月份获悉,一个未经授权的用户在网上发布了含有2015年8月和9月调查参与者的个人信息数据库,并向公众出售这些信息。可访问数据包括联系信息、密码以及针对用户健康状况、政治派别和种族等问题作出的答复。ClearVoice表示,这批数据可能会被不法分子滥用,导致调查参与者被人(比如广告商)联系。此外,可访问的信息可能用于准备个人资料,而这些资料可用于商业或政治目的。在收到未经授权用户发来的电子邮件的一小时内,ClearVoice表示它找到了备份文件,确保其安全,并消除了云服务端这个文件面临的泄露风险。另外ClearVoice对可能泄露信息的所有会员强行重置了密码,还实施了安全措施,以防止此类事件再次发生,并保护会员数据的隐私。

事件点评:

ClearVoice是一个人才网络和内容营销平台,帮助企业创建引人入胜的内容,以支持他们的博客,SEO,社交媒体和营销自动化。ClearVoice集成的编辑日历和简化的内容工作流程可提高工作效率,并帮助营销人员实现其内容营销目标。显然,在其开展相关营销活动时,并未很好地将安全性纳入到其平台上。

6、Jefit

影响人数:905万

发现时间:2021年3月

事件概要:

锻炼跟踪应用程序Jefit在3月份发现了因安全漏洞而导致的数据泄密,这起事件影响了2020年9月20日之前注册的客户帐户。不法分子访问了以下信息:Jefit帐户用户名、与帐户关联的电子邮件地址、加密的密码以及创建帐户时的IP地址。Jefit保存IP地址用于防止机器人程序,并将滥用帐户登记在册。该公司查明了数据泄密的根本原因,并证实Jefit的其他系统未受影响。Jefit表示,它已采取安全措施来加强网络,以防范将来出现类似的泄密事件,并正在其产品上采用更加强大的密码策略,以便将来进一步保护用户帐户。此外,Jefit表示,敏感的财务数据未受到牵涉,因为该公司从不存储客户的付款信息。客户在Jefit网站购买产品时,所有支付流程都由Google Play Store 、 Apple App Store直接处理,或者由支付网关公司直接处理。

事件点评:

Jefit成立于2010年,立志于成为健身界的Facebook,在这个语境下,它有着同类应用难以比肩的大型数据库:超过1300种训练动作,以及数以百万计用户分享的训练计划。Jefit只能做到对健身训练数据的追踪和管理,想要直观地分析一定周期内个人在健身时的训练状态和身体表现情况,还得借助一些数据整合和分析工具。不管是使用自身系统还是借助于第三方工具,都需要做好数据保护工作。

7、Robinhood

影响人数:700万

发现时间:2021年11月

事件概要:

电子交易平台Robinhood在11月8日披露,未经授权的有关方在五天前通过电话冒充员工,访问了客户支持系统。Robinhood表示,在此次事件中,黑客获得了大约500万人的电子邮件地址列表以及另外大约200万人的全名。Robinhood表示,这700万条记录中的数千个条目包含电话号码,大约310人的姓名、出生日期和邮政编码已被公开,其中大约10个客户的更详细帐户信息被公开。Robinhood在遏制这起入侵后表示,黑客敲诈索要赎金。它及时通知了执法部门,将在Mandiant的帮助下继续调查这起事件。

事件点评:

冒充他人登录到企业网络,事实上就是窃取员工的身份。身份认证也称为"身份验证"或"身份鉴别",是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。单一的身份认证手段容易导致账号被冒用,造成内部信息泄露,企业需要进一步加固自身的身份认证体系,来保障网络信息的安全。

8、Accellion

影响人数:676万

发现时间:2021年初

事件概要:

2021年初,黑客结合旧版Accellion文件传输设备(FTA)中多个零日漏洞工具,向外泄露数据,要求付款以确保归还和删除数据。据HIPAA Guide网站报道, Clop勒索软件团伙的数据泄露网站被用来发布一些被盗数据,劝诱受害者支付赎金。截至2021年4月份,已知至少九家医疗保健组织受到了Accellion数据泄密事件影响,其中包括Kroger Pharmacy的147万客户、Health Net的124万会员、Trinity Health的58.7万患者、California Health&Wellness的8万会员、Trillium Health Plan的5万客户,以及Arizona Complete Health的2.9万会员。Stanford Medicine 、 University of Miami Health和 Centene Corp也受到了这次泄密事件的影响,不过这每家组织中受影响的人数尚未得到证实。泄露信息包括姓名、社会保障号码、出生日期、信用或银行账号、健康保险号码及/或与健康有关的信息。

事件点评:

“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。有证据显示,黑客更加善于在发现安全漏洞不久后利用它们,实施攻击活动。虽然目前不能完全防范零日漏洞攻击,但是,科学完善的防御体系能有效减少被零日攻击的机率,以及降低零日攻击造成的损失。

9、Infinity保险公司

影响人数:572万

发现时间:2021年8月

事件概要:

Infinity保险公司在3月份披露,在2020年12月的两天内,有人未经授权,短暂访问了Infinity网络中服务器上的文件。Infinity全面审查保存在被访问服务器上的文件后发现,一些社会保障号码或驾照号码包含在文件中。这起事件还影响了Infinity现在和以前的员工,泄露信息包括员工姓名、社会保障号码及/或有限情况下与病假或员工赔偿索赔有关的医疗信息。受影响员工和客户将获得为期一年的免费信用监控服务会员资格。为了降低发生类似事件的风险,Infinity继续审查其网络安全计划,并利用调查信息来确定另外的措施,以进一步增强网络安全性。该公司在致员工的一封信中写道:“我们理解保护个人信息的重要性,对由此造成的不便深表歉意。”

事件点评:

Infinity财产保险公司是总部设立在伯明翰,为美国各州提供汽车保险的公司。作为美国表现良好的公司之一,提供非标准的汽车保险,为那些不能通过标准保险公司获得安全保障的个人提供保险服务。这些不标准的因素可能是因为驾驶记录里有事故记录,驾驶者的年龄,车型以及其他各种原因。Infinity财产保险公司是在非标准承保行业中第三大保险公司,作为有如此影响力的保险公司,应加强其数据安全。

10、尼曼集团(Neiman Marcus Group)

影响人数:435万

发现时间:2021年9月

事件概要:

奢侈品百货连锁店尼曼在9月份披露,未经授权的有关方于2020年5月获取了与客户在线帐户有关的个人信息。该公司表示,它已将该事件通知执法部门,已与Mandiant密切合作开展调查。泄露信息可能包括:姓名及联系资料、支付卡号及有效期、尼曼虚拟代金券号码,以及与在线帐户有关的用户名、密码以及安全问题和答案。尼曼称,大约310万张支付卡和虚拟代金券受到了影响,其中超过85%为过期或无效。尼曼回应称,它要求自2020年5月以来未更改密码的受影响客户重置在线帐户密码。此外该公司表示,如果受影响客户为其他任何在线帐户使用的登录信息与用于其尼曼帐户的登录信息相同或相似,应更改登录信息。

事件点评:

尼曼集团( Neiman Marcus )是美国以经营奢侈品为主的连锁高端百货商店,是当今世界高档、独特时尚商品的零售商,已有100多年的发展历史,其总部在美国得克萨斯州达拉斯,能进入该百货的品牌都是各个行业中的翘楚。此次数据泄露事件,使其公众声望受损。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/130107.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第二十九讲:神州路由器DHCP协议的配置

实验拓扑图如下所示 操作步骤: 步骤1:按照图1,正确连接拓扑结构图。 步骤2:为路由器设置主机名称和配置接口IP地址。 Router>enable !进入特权模式 Router #config &a…

MySQL高级【SQL性能分析】

目录 1:SQL性能分析 1.1:SQL执行频率 1.2:慢查询日志 1.3:profile详情 1.4:explain 1:SQL性能分析 1.1:SQL执行频率 MySQL 客户端连接成功后,通过 show [session|global] sta…

2022年的5G行业:“5G+”很火,5G网络迟迟未能普及

作者 | 曾响铃 文 | 响铃说 2022年,5G行业依旧是如火如荼地发展,5G技术继续深刻地改变着我们的生活与生产,影响社会经济发展的方方面面。 回顾过去的一年,5G行业有看点,也有疑虑。 5G网络已基本覆盖全国。截至 202…

PaddleNLP开源基于UIE的情感分析,解决小样本难题,助力客户意见洞察与舆情分析!

情感分析(Sentiment Analysis)是近年来国内外研究的热点,旨在对带有情感色彩的主观性文本进行分析、处理、归纳和推理。情感分析具有广泛的应用场景,可被应用于消费决策、舆情分析、个性化推荐等领域。 如上图所示,情…

移位操作符、位操作符,原码、反码、补码

整数的二进制的表达形式有3种。原码反码补码下面我们举一个例子吧十进制的2原码:00000000000000000000000000000010(常见的形式)反码:00000000000000000000000000000010补码:00000000000000000000000000000010小结 正整…

k8s集群部署02

k8s集群部署02k8s集群部署02仍然报错若镜像拉取过慢原因k8s集群部署02 一、pod基本操作Pod是可以创建和管理Kubernetes计算的最小可部署单元,一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip。一个pod类似一个豌豆荚,包含一个或…

Hack the Box CTF 比赛 简单难度 XOR 密码学题目 Crypto 流程| Multikey Walkthrough

这是近期参加HTB夺旗战时遇到的一道难度为简单的密码学Crypto题目。但是我觉得挺有意思,就做下记录。 1. 题目: 题干没有太多的内容,就是一段python程序,和一个output的加密结果,如下。 Python: import …

【数据结构】手推堆实现,拳打堆排序,脚踩Top-k

目录一.完全二叉树的顺序结构二.堆的概念及结构三.堆的实现1.堆向下调整2.向下调整建堆3.向下调整建堆时间复杂度4.堆的插入(向上调整)5.向上调整建堆6.向上调整建堆时间复杂度7.堆的删除8.堆的代码实现四.Top-K问题五.堆排序一.完全二叉树的顺序结构 堆…

GPIO实验

一、GPIO简介 GPIO(General-purpose input/output)即通用型输入输出,GPIO可以控制连接在其之上的引脚实现信号的输入和输出 芯片的引脚与外部设备相连,从而实现与外部硬件设备的通讯、控制及信号采集等功能 实验步骤1. 通过电路…

第十七讲:神州三层交换机DHCP服务器配置

DHCP是基于Client-Server模式的协议,DHCP客户机向DHCP服务器索取网络地址及配置参数;服务器为客户机提供网络地址及配置参数;当DHCP客户机和DHCP服务器不在同一子网时,需要由DHCP中继为DHCP客户机和DHCP服务器传递DHCP…

java企业通知小程序微信消息推送小程序企业消息通知系统网站源码

简介 本系统主要是利用小程序和springboot开发的企业分组消息推送,主要是员工关注小程序,由分组领导创建消息主体并设置消息提醒时间,利用微信的消息模板对选定的员工进行消息提醒推送。比如公司的技术部需要在11月3号早上8点举行晨会&#…

【Java编程进阶】面向对象思想初识

推荐学习专栏:Java 编程进阶之路【从入门到精通】 文章目录1. 面向对象初识2. 类和对象2.1 类的定义2.2 对象的创建和使用3. 构造方法4. 方法重载5. static 关键字5.1 static 方法5.2 static 变量6. 对象的引用和 this7. 总结1. 面向对象初识 之前我们学习了 C 语言…

P2367 语文成绩和P5542 Painting The Barn S(一维和二维差分)

目录 前言 一、P2367 语文成绩 二、P5542 Painting The Barn S 前言 图文详解一维差分 图文详解二维差分 一、P2367 语文成绩 题目背景: 语文考试结束了,成绩还是一如既往地有问题。 题目描述: 语文老师总是写错成绩,所以当…

关于C语言中内存分配

一、static在C语言里面可以用来修饰变量,也可以用来修饰函数。 1、 先看用来修饰变量的时候。变量在C语言里面可分为存在全局数据区、栈和堆里。 其实我们平时所说的堆栈是栈而不是堆,不要弄混。 例如:在file.c中 int a ; int main() { int b…

如何在 Python 中自动化处理 Excel 表格?

考虑一个场景,要求在网站上为 30,000 名员工创建一个帐户。手动重复执行此任务会非常枯燥乏味。此外,这将花费太多时间,这不是一个明智的决定。 现在想象一下从事数据输入工作的员工的生活。他们的工作是从 Excel 表格中获取数据并将其插入其…

CSS 实现灯笼动画,祝大家元旦快乐

前言 👏CSS 实现大红灯笼动画,祝大家元旦快乐,2023越来越棒!速速来Get吧~ 🥇文末分享源代码。记得点赞关注收藏! 1.实现效果 2.实现步骤 定义一个灯笼的背景色bg,线条颜色lineColor :root …

数字时代下, 企业如何保证数据的安全

随着全球数字化进程的蓬勃发展,在互联网时代下技术和数据深度融合的数字经济模式为许多行业带来了更大创收。数据也已经成为了五大核心生产要素之一,驱动着国家、社会、企业全方位高速发展。“迎接数字时代,激活数据要素潜能,推进…

四、 Spring-MVC

MVC MVC :Model View Controller,是模型(model)-视图(view)-控制器(controller)的缩写,一种软件设计规范。本质上也是一种解耦。 Model(模型)是应用程序中用于处理应用程序数据逻辑的部分。通常…

使用CLIP构建视频搜索引擎

CLIP(Contrastive Language-Image Pre-training)是一种机器学习技术,它可以准确理解和分类图像和自然语言文本,这对图像和语言处理具有深远的影响,并且已经被用作流行的扩散模型DALL-E的底层机制。在这篇文章中,我们将介绍如何调整…

再获权威认可 百分点科技入选Forrester AI/ML平台主流供应商

近日,全球领先的研究和咨询公司Forrester发布了2022年第四季度中国AI/ML(人工智能/机器学习)平台报告《The AI/ML Platform Landscape In China, Q4 2022》,系统分析了AI/ML平台市场的业务价值、市场成熟度及市场动态,…