“Security”雜志總結了2022年最嚴重的十大數據泄露事件。
據IBM Security的“數據泄露成本報告”顯示,2021年-2022年間,數據泄露的全球平均成本從424萬美元增加至435萬美元,同比增長2.6%,創歷史新高。雖然數據泄露有關的財務成本較高,但其對于企業的實際影響顯然還要更深,還涉及到聲譽損失、法律責任以及消費者的信任損失等。
基于此,“Security”(網絡安全領域電子雜志)總結了2022年最嚴重的十大數據泄露事件:
TOP 10 - SuperVPN、GeckoVPN和ChatVPN數據泄露
此次事件涉及幾個廣泛使用的Android VPN服務(SuperVPN、GeckVPN和ChatVPN),導致2100萬用戶的信息泄露。這些信息包括用戶全名、用戶名、國家名稱、賬單明細、電子郵件地址和隨機生成的密碼字符串。
TOP 9 - 哥斯達黎加政府數據泄露
在一次備受矚目的網絡攻擊中,Conti勒索軟件團伙入侵了哥斯達黎加政府系統,竊取了具有極高價值的數據,并索要2000萬美元,迫使中美洲政府宣布進入緊急狀態。數周后,共有670GB的數據(占訪問數據的90%)被發布到泄漏站點。
TOP 8 - Neopets數據泄露
今年7月,一個包含Neopets(游戲網站)6900萬用戶帳戶信息的數據庫遭公開發售。數據庫可用信息包括姓名、電子郵件地址、郵政編碼、性別和出生日期等。一項調查顯示,攻擊者在2021年1月3日-2022年7月19日共18個月期間,曾多次訪問了Neopets的IT系統。
TOP 7 - Twitter數據泄露
年中,Twitter網站上540萬個賬戶的電話號碼和電子郵件地址遭泄露。多份報道稱,這些數據是在2021年12月通過漏洞賞金計劃中披露的Twitter API漏洞收集的,該漏洞允許人們將電話號碼和電子郵件地址提交到API中檢索相關的Twitter ID。使用這些ID,黑客得以檢索有關帳戶的公共信息,以創建包含私人和公共信息的用戶記錄。
TOP 6 - Uber數據泄露
雖然這個影響了5700萬用戶的數據泄露事件發生在2016年并已于2017年被披露,但Uber今年承認了曾試圖掩蓋該事件的事實。當時Uber面臨十分嚴重的安全漏洞。根據美國司法部(DOJ)的說法,Uber前首席安全官喬·沙利文(Joe Sullivan)采取了多項措施以防止美國聯邦貿易委員會(FTC)發現數據泄露情況,并向黑客支付了10萬美元贖金換取他們的保密協議,確保信息不被公開。
最終沙利文因隱瞞此次攻擊事件而被判有罪——這是企業高管首次因與數據泄露有關的指控而面臨刑事訴訟。
TOP 5 - Twilio數據泄露
美國通訊巨頭Twilio今年8月證實,網絡犯罪分子在一次網絡釣魚攻擊后訪問了125名客戶的數據。攻擊者偽裝成IT部門的工作人員,誘騙公司員工交出登錄憑證。現任和前任員工最近報告說,他們曾收到自稱來自IT部門的短信,稱員工的密碼已經過期、日程已更改,要求員工登錄被攻擊者控制的URL。
Twilio稱,其他公司也曾遭受過類似的攻擊,并對如何應對威脅行為者進行了協調,包括與運營商合作停止惡意消息的發送,與注冊商和托管提供商合作關閉惡意URL。
在27萬余總客戶群中的209名客戶、7500萬總用戶中的93名Authy最終用戶的賬戶受到了此次事件的影響。Twilio還表示,沒有證據表明惡意行為者訪問了Twilio客戶的控制臺帳戶憑據、身份驗證令牌或API密鑰。
TOP 4 - DoorDash數據泄露
今年8月,外賣巨頭DoorDash證實其490萬客戶、員工和商家的個人信息遭到泄露。DoorDash表示,攻擊者訪問了DoorDash客戶的姓名、電子郵件地址、送貨地址和電話號碼。黑客還獲取了“一小部分”用戶的支付卡信息(包括銀行卡類型和卡號后四位數字)。
TOP 3 - Optus數據泄露
今年9月,擁有970萬用戶的澳大利亞電信公司Optus遭遇大規模數據泄露,涉及用戶姓名、出生日期、電話號碼和電子郵件地址等信息。還有一群客戶的實際地址和個人身份信息(例如駕駛執照和護照號碼)可能已泄露。多份報道稱,是由國家支持的黑客或犯罪組織突破了該公司的防火墻,獲取了敏感信息。
TOP 2 - LAUSD數據泄露
由于美國第二大學區——洛杉磯聯合學區(LAUSD)未能在10月4日之前支付贖金,俄語黑客組織Vice Society泄露了該學區的500GB信息。這些數據包含護照詳細信息、社會安全號碼和納稅表格、聯系方式、法律文件、包含銀行賬戶信息的財務報告、健康信息、定罪報告和學生的心理評估等個人身份信息。
TOP 1 - Medibank數據泄露
澳大利亞最大的健康保險提供商之一Medibank Private證實,970萬新老客戶(包括180萬名國際客戶)的數據已被未經授權訪問。但Medibank稱不會支付贖金,并表示:“我們認為,通過支付贖金來確保黑客歸還、并防止其公布客戶數據的可能性非常有限。”
D1Net
安全圈
CNCERT國家工程研究中心
商密君
D1Net
中國信息安全
安全圈
全球網絡安全資訊
E安全
一顆小胡椒
安全牛
