盘点：2019重大黑客活动、网络攻击和数据泄露事件

网络攻击、黑客组织和数据泄露的阴影不会很快就消失。

过去几年，数据泄露事件滔滔不竭般的登上头条新闻，从医疗信息、账户凭证、企业电子邮件到企业内部敏感数据。

当发生数据泄露时，涉事公司通常会邀请第三方调查人员，通知监管机构，向公众承诺未来会做得更好——但我们现在进入这样一个阶段，你应该考虑：无论我们以任何方式注册互联网服务，数据或多或少都能通过散布于互联网上的各种渠道获得。（你可以使用“Have I Been Pwned”网站来检查你的密码是否泄露）

网络攻击或数据泄露的原因各不相同。在某些情况下，例如 Equifax是因为该公司未能及时修补已知漏洞，而该漏洞可能会在合理时间内影响正在使用的软件或库，如此一来，这将会产生严重后果。而在其他情况下，暴露在互联网上的不安全数据库可能成为问题所在，零日漏洞可能会在修复补丁可用前就被广泛利用，或者在最严重的情况下，一些组织或个人，可能会成为国家资助的高级长期威胁（advanced persistent threat，APT）团队的目标，这些团队拥有大量可用的资源和工具。

译注：高级长期威胁（advanced persistent threat，APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。

根据 IBM 最新的年度数据泄露成本研究，如果将通知成本、调查、损失控制和修复的相关费用，以及监管部门罚款和诉讼考虑在内，那么数据泄露的平均成本现在高达 392 万美元。这个成本在过去五年中增长了 12%。

安全事件带来的长期损害可能看起来不那么明显。但华尔街对它们的态度并不友好，数据泄露事件一经公开披露，可能会导致涉事公司的平均股价应声下跌 7.27%，而股价低迷在随后几年将成为现实。

据FireEye 估计，面对网络攻击或数据泄露，只有不到一半的组织已经做好了准备。

下面，让我们来看看 2019 年发生的最有趣、规模最大的数据泄露、黑客活动和网络攻击。

一月

• 新加坡卫生部艾滋病感染者登记处数据泄露： 新加坡卫生部承认发生一起数据泄露事件，超过14000名艾滋病感染者的个人机密、高度敏感记录遭窃取，这些信息随后被泄露于网上。
• Apple FaceTime 窃听漏洞： 一名 Fortnite 游戏玩家发现，苹果iOS 中存在一个漏洞，允许用户通过打电话给任何人，在对方接受或拒绝来电前，就能听到他们手机传来的声音，甚至可以观看实时视频。
• 美国俄克拉荷马州证券部服务器被黑： 俄克拉荷马州证券部的一台服务器，包含数TB的政府机密数据，其中有FBI 的调查记录和敏感的政府文件，暴露于互联网上，通过 Shodan 搜索引擎可被找到。
• 德尔里奥市政厅服务器感染勒索病毒： 美国得克萨斯州德尔里奥市政厅服务器因感染勒索病毒而瘫痪，被迫使用纸笔。
• Town of Salem： Town of Salem开发商BlankMediaGames 表示，该公司 760 万名用户的个人信息被盗，已经从公司系统中删除了多个后门。

二月

• Cabrini 医院遭勒索病毒感染： 勒索病毒感染并锁定了 15000 份病人档案，攻击者要求该医院支付赎金以换取解密密钥。
• VFEmail： 电子邮件提供商 VFEmail 遭遇一起灾难性的网络攻击，其主系统和备份系统的数据被黑客破坏殆尽。当时，有传闻称，VFEmail 因此事件而关闭，但目前正在恢复中。
• UConn： 黑客未经授权访问该校员工和患者电子邮件账户，波及近326000名员工。由此造成的数据泄露可能包括社会安全号码。
• 纳税申报单出错： 美国俄亥俄州犯了一个极其荒谬的错误，向错误的人发送了9000 份纳税申报单，这些纳税申报单既不准确，还包含错误的个人验证信息。
• 华盛顿大学医学院： 华盛顿大学医学院披露存在这么一种开放的数据库，任何人只需通过浏览器即可访问，该数据库自 2018 年 12 月以来，就一直在泄漏患者数据和个人验证信息。大约有 100 万患者卷入这起数据泄露事件。
• 医疗咨询电话： 在瑞典，向国家卫生服务热线拨打的大约 270 万次电话录音被存储在一个开放的服务器中，其中包括一些电话录音和电话号码。
• 6.2 亿账户被兜售： 黑客从 Dubsmash、Armor Games、500px、Whitepages、ShareThis 等公司旗下的16 个网站收集了6.2 亿个账户，并在暗网上兜售。
• 税务文件丢失： 盐湖社区学院的近42000 名学生被告知，他们的税务信息丢失，因为一块包含这些敏感数据的 U 盘从信封里掉了出来。

三月

• 龙卷风警报： 在一场大风暴来临前，两个得克萨斯州城市被迫关闭龙卷风警报系统，原因是一名黑客入侵警报系统，并发出30 多个假警报。
• 华硕软件被黑： 一场名为“Operation ShadowHammer”的黑客活动针对华硕预装的 Live Update Utility 软件（用于在线更新驱动的软件），攻击了数千台个人电脑。
• Facebook、Facebook Lite 和 Instagram： 数以亿计的用户可能已经收到 Facebook 糟糕的密码存储管理的影响，在这些系统中，用户账户凭证是以明文存储的。
• 法律文件遭泄： 25 万份法律文件（其中一些标记为“非指定出版”）存储在一个开放数据库中，而该数据库在网上至少暴露了两周时间。
• 学生录取档案： 据称，一名黑客入侵三所大学的招生数据库，受影响的学生需要用一枚比特币购买其录取档案。
• 美国联邦紧急事务管理署： 联邦紧急事务管理署意外曝光230 万灾民的个人验证信息和财务信息，包括那些在飓风哈维和厄玛中幸存下来的灾民。
• 复仇行动： 一名被解雇的 IT 管理员放火烧掉了前雇主的 23 台服务器。

四月

• Inmediata Health Group： Inmediata Health Group 向患者通报一起安全事件，其客户的个人信息和医疗数据被泄漏。发生这个问题是因为网站的错误配置，导致搜索引擎对内部网页进行索引。据悉，多达 150 万人可能受到影响。
• Facebook 记录： 两家第三方公司收集的 5.4 亿条 Facebook 相关记录在AWS服务器上被暴露，并向全世界开放，包括姓名、身份证、密码、照片、点赞记录等都被泄露。
• 佐治亚理工学院： 因完全开放访问权限的Web应用，佐治亚理工学院现任和前任员工和学生的 130 万条记录受到影响。
• 丰田汽车： 日本汽车制造商丰田披露了 4 月份发生在销售子公司和经销商的数据泄露。因对系统“未经授权的访问”可能让数据泄露。
• Facebook 明文事件： Facebook 承认以明文形式存储了数百万 Instagram 用户的密码。
• Evite： Evite 承认发生数据泄露事件，用户数据在暗网被出售。
• 印度孕妇信息泄露： 印度一家政府机构的服务器泄露了 1250 万条与孕妇有关的记录。
• Docker： Docker 警告称，黑客已经获得一个数据库的访问权限，该数据库包含 19 万用户账户的敏感数据。

五月

• Canva： 澳大利亚科技独角兽 Canva 成为 GnosticPlayers组织的目标，GnosticPlayers 声称窃取了1.39 亿用户记录，包括姓名、电子邮件，并在暗网上出售。
• 第一美国金融集团： 房地产巨头第一美国金融集团（First American Financial Corp.）泄漏了可追溯到 2003 年的数亿份保险文件。银行账号、对账单、抵押贷款和税务记录等信息都可以在互联网上公开获取。
• 大型连锁酒店： 由于第三方管理提供商的原因，大型连锁酒店的安全日志在网上曝光，高达 85 GB。
• Burger King： 专为儿童设计的 Kool King Shop 有近 40000 条客户记录被曝光，这些记录可通过一个泄漏的数据库来查看。
• Git 仓库： 一名黑客清除了 GitHub 仓库并索要赎金。黑客不仅删除源代码，而且还威胁要向公众发布所有内容。
• Lunchtime： 旧金山湾区两家学校午餐公司之间的竞争最终演变成网络战，其中一家公司的高管因涉嫌入侵另一家公司网站并非法获取学生数据而被捕。

六月

• 美国医疗数据局遭数据泄露： 由于数据库未经授权访问，导致近2000 万人的医疗数据被泄露。这起信息泄露还影响盗其他公司，包括 LabCorp 和 Quest Diagnostics。
• 智能手机后门： 四款入门级智能手机被发现预装了后门恶意软件。
• 技术数据公司： 这家财富 500 强公司拥有一个开放的数据库，其中包含 264 GB 的数据，涉及客户服务器、SAP 集成和纯文本密码。

七月

• Equifax： Equifax 与监管机构就 2017年1.46 亿客户的记录失窃案达成和解，赔偿金额为 7 亿美元。
• 第一资本： 第一资本披露了一起数据泄露事件，影响1 亿美国公民和 600 万加拿大公民。数据库中的配置漏洞导致2005 年到 2019 年个人验证信息被泄露。
• 洛杉矶警察局： 洛杉矶人事部的数据遭到泄露，一名黑客声称窃取了 2500 名洛杉矶警察局在职警官、受训人员和新兵的个人信息，以及大约 17500 名候选申请人的数据。
• Facebook： Facebook 以创纪录的 50 亿美元与美国联邦贸易委员会达成和解，以解决剑桥分析公司隐私丑闻引发的诉讼。
• 银行业： 孟加拉国、印度、斯里兰卡和吉尔吉斯斯坦的银行接连遭到“Silence”黑客的攻击，据称，黑客在此过程中窃取了数百万美元。
• Dominion National: 总部位于弗吉尼亚州的健康保险公司和服务公司 Dominion National 披露，由于不安全的服务器，导致数据泄露长达 10 年。并且，290 万成员的记录可能已经泄露。

八月

• Choice Hotels： 该集团一个不安全的数据库，包含大约 700000 条客户记录，数据库被黑客攻击，并在服务器上放了一张勒索信，要求用比特币支付赎金来换取被盗的数据。
• 生物特征数据库泄露： 英国伦敦警察局、银行和企业公司使用的生物特征识别数据泄露了数百万条记录。
• SIM-swapper： 一名英国少年被判入狱 20 个月，罪名是以雇佣黑客的身份提供数据盗窃和 SIM 卡交换攻击。
• 3Fun： 研究人员发现，一款寻找愿意加入三人行的参与者的移动应用程序，实际上是“Privacy trainwreck”，可以通过操控它来精确定位个人的具体位置。
• 主流约会应用程序： 三款约会应用程序 Grindr、Romeo 和 Recon，被发现存在一个安全漏洞，会导致用户位置暴露。
• Asurion： Asurion 保险公司屈服于黑客要求，向其支付30 万美元，该黑客声称窃取了数千名员工和超过100万客户的私人信息，高达1TB。
• 太空中的网络犯罪： 一名 NASA 宇航员被指控在太空中监视她分居的配偶，包括未经允许登陆配偶银行账户。

九月

• DK-LOK： 韩国工业制造商 DK-LOK 的未加密 AWS 数据库泄露该公司与其客户之间的机密电子邮件和通信。研究人员曾和 ZDNet 通过电子邮件的方式一起努力封堵这一数据泄露，但电子邮件被发送到了垃圾邮箱，由于存储桶处于开放状态，因此这种活动谁都能看得到。
• 厄瓜多尔公民数据遭泄： 一个开放、配置不当的数据库泄露厄瓜多尔公民的个人数据。据信，该国大多数公民（总计约 2000 万人）都受到影响。
• DoorDash： DoorDash 近 500 万用户卷入数据泄露事件。未经授权的第三方访问了客户、驾驶员和商家的个人信息，并且大约有十万份驾照被盗取，支付卡的最后四位数字也被曝光。

十月

• Yahoo： Yahoo 为 2012 年到 2016 年那些注册其账户的用户设立了一项补偿基金。在这一时间范围内，黑客能够访问现有的每个 Yahoo 账户，并窃取姓名、电子邮件地址、电话号码、出生日期、密码和安全问题的答案。
• 裕信银行： 意大利裕信银行（UniCredit）表示，一份可追溯到 2015 年的泄露文件曝光了 300 万份客户记录，包括他们的姓名、电话号码、电子邮件地址和居住城市。
• Tū Ora Compass Health: 新西兰一家主要医疗机构 Tū Ora Compass Health 透露，100 万人的个人数据被泄露，可能包括姓名、出生日期、种族和地址。
• Adobe： Adobe 将 750 万 Adobe Creative Cloud 客户的详细信息放在一个不安全的在线数据库中，任何人无需身份验证即可访问。
• 2000 万俄罗斯公民纳税记录： 俄罗斯公民2000 多万份纳税记录被保存在一个开放的数据库上，可以在网上查阅。信息泄露的时间跨度从 2009 年到 2016 年。
• Avast: Avast 表示，公司内部安全漏洞是由于员工的证书泄露造成的，目的是在 CCleaner 中植入恶意软件。
• Nikkei： 一名 Nikkei 雇员被黑客诈骗，将 2900 万美元转入指定的银行账户。而黑客们假装自己是一名管理人员。

十一月

• 一加手机： 一加是智能手机供应商之一，该网站存在一个漏洞，攻击者利用网站漏洞获取客户订单记录，记录包括姓名、电话号码、电子邮件地址和发货详细信息等。
• Facebook： 这家社交网络巨头披露了一起隐私泄露事件，大约 100 名开发者被允许访问他们本不应该访问的个人资料数据。
• Trend Micro： 这家网络安全公司的一名雇员窃取客户的个人信息，包括姓名、电子邮件地址、电话号码等，并将这些信息卖给骗子。
• PayMyTab： 研究人员发现一个属于移动支付服务的开放式 AWS 数据库，该数据库曝光了客户姓名、电子邮件地址、电话号码、订单详细信息、餐厅访问记录和支付卡的最后四位数字。
• T-Mobile： T-Mobile 披露了一起影响到预付费服务客户的数据泄露事件。未经授权的访问泄漏了姓名、账单地址、电话号码、账号和计划。
• 英国工党： 英国工党遭遇多起 DDoS 攻击，导致网站和竞选工具无法使用。
• 梅西百货公司： 美国零售商梅西百货公司透露，长达一个星期的 Magecart 攻击行动影响了电子商务客户。目前尚不清楚有多少客户受到影响。
• Disney+： 这项服务推出仅仅几个小时后，Disney+ 内容流媒体服务就遭到破坏，地下交易商开始在黑客论坛上出售账户。
• 120 万条记录泄漏： 研究人员发现一个不安全的数据库，其中包含 120 万条个人信息，包括他们的电子邮件地址、雇主、工作地点、职位、姓名、电话号码和社交媒体资料。

十二月

• 白天政客，晚上黑客： 圣诞节前夕，一名荷兰政客因参与 2014 年的“Fappening”运动而被判刑。这名政客被指控泄露了大约 100 名女性的 iCloud 账户，并在网上散布照片和视频。
• Mixcloud： 大约 2100 万 Mixcloud 用户的数据在暗网上出售。
• 内布拉斯加医学中心： 一名内部人员未经许可，访问了一个数据库，该数据库包含患者姓名、地址、出生日期、社会安全号和测试结果等数据。事发后，该员工立即被解雇。

作者介绍：

Charlie Osborne，是一名住在英国伦敦的网络安全记者和摄影师，为 ZDNet 和 CNET 撰稿。

原文链接：

These are the worst hacks, cyberattacks, and data breaches of 2019