2023 年全球数据泄露事件 TOP 100 | FreeBuf 年度盘点
2024-1-3 19:6:54 Author: FreeBuf(查看原文) 阅读量:4 收藏

左右滑动查看更多

2023年,数据泄露、窃取、买卖等安全事件屡屡发生,全球数据安全态势依旧十分严峻。在利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变,专业化、定制化程度不断上升。
国外著名咨询机构Verizon发布的《2023年数据泄露调查报告》指出,勒索病毒、人为因素、使用被盗证书、钓鱼、漏洞是过去一年发生的数据泄露事件主要起因。其中,74%的安全事件被证明存在人的因素,包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等。
本文盘点了2023年全球重大数据泄露事件 TOP 100,发现数据泄露的重灾区主要分布于政府、关键基础设施、跨国集团、金融业、全球性公益团体、国防机构、航空业、农业、工业、教育机构,医疗等领域。
数据泄露事件盘点以时间为序,希望能为各企业、机构接下来的数据保护和安全建设带来一些帮助。
1月
1、美国路易斯安那州医院遭勒索攻击,27万名患者信息泄露
位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称,该院近期发生了一起网络勒索攻击事件,近27万名患者信息遭到泄露。
2、谷歌将支付2950万美元解决用户位置跟踪诉讼
谷歌已同意支付总计2950万美元,以解决印第安纳州和华盛顿特区就其“欺骗性”位置跟踪做法提起的两起不同的诉讼。
3、马来西亚机构调查据称影响 1300 万公民的数据泄露事件
马来西亚通信和数字部长 Fahmi Fadzil 下令调查涉嫌影响约 1300 万公民的大规模数据泄露事件。据报道,泄密事件涉及来自马来亚银行、卫星广播公司 Astro 和选举委员会的数据。
4、铁路巨头Wabtec遭Lockbit勒索软件,披露数据泄露
美国铁路和机车公司Wabtec Corporation披露了一起数据泄露事件,暴露了个人和敏感信息。
5、2 亿 Twitter 用户的电子邮件地址在网上泄露
一个被描述为包含超过 2 亿 Twitter 用户的电子邮件地址的数据泄漏已经在一个流行的黑客论坛上以大约 2 美元的价格发布。
6、Meta旗下WhatsApp违反了欧盟隐私法,被DCP罚款550万欧元
由于进一步违反了欧盟隐私法,Meta旗下WhatsApp于1月19日被欧盟主要隐私监管机构爱尔兰数据保护委员会(DPC)罚款550万欧元,并要求WhatsApp重新评估如何使用个人数据来改善服务。
7、Vice Society 勒索软件泄露了杜伊斯堡-埃森大学的数据
Vice Society 勒索软件团伙声称针对杜伊斯堡-埃森大学 (UDE) 的网络攻击负责,该攻击迫使该大学重建其 IT 基础设施,这一过程仍在进行中。
8、突发!俄罗斯科技巨头Yandex内部源代码全部泄露
俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个流行黑客论坛上以BT种子形式泄露。
9、美国通信巨头 T-Mobile 五年遭遇八起数据泄露
电信运营商 T-Mobile US 在提交给美国证券交易委员会的报告中披露,其近期遭遇的网络安全事件造成 3700 万用户个人信息遭泄露。
2月
1、JD Sports泄露1000万用户信息
英国著名运动连锁服饰零售商JD Sports 近日披露了一次涉及 1000 万客户数据的网络攻击,这些客户的个人和财务信息可能已被攻击者访问。
2、欧洲汽车经销商巨头遭勒索攻击,客户个人数据全部泄露
恶意黑客可能已经窃取到客户个人数据,包括姓名、联系方式、出生日期、车辆信息、护照/驾照、国民保险号和银行账户等详细信息。
3、家装巨头安徒生公司泄露客户家庭照片和地址
建筑和家居装修巨头 Andersen Corporation 暴露了客户的私人数据,云上近 30 万份文件暴露了该公司客户的家庭地址、联系方式和家庭装修订单,包括来自美国各州的客户家庭的内部和外部照片。
4、百事可乐供应商因恶意软件攻击而遭数据泄露
Pepsi Bottling Ventures LLC 因网络入侵而遭受数据泄露,导致恶意软件从从其 IT 系统中提取了数据。Pepsi Bottling Ventures 是美国最大的百事可乐饮料装瓶商,负责制造、销售和分销大众消费品牌。
5、斯堪的纳维亚航空公司称网络攻击导致乘客数据泄
斯堪的纳维亚航空公司 (SAS) 已发布通知警告乘客,其网站和移动应用程序最近数小时的中断是由同时暴露客户数据的网络攻击造成的。
6、印度火车票务平台RailYatri发生数据泄露,超3100万人受影响
印度火车票预订平台RailYatri遭遇大规模数据泄露,暴露了超过 3100 万名用户/旅客的个人信息。泄露的数据包括电子邮件地址、全名、性别、电话号码和位置,已在黑客论坛发布。
7、Activision 确认数据泄露暴露了员工和游戏信息
Activision 已确认,在黑客通过使用 SMS 网络钓鱼文本欺骗员工获得对公司内部系统的访问权限后,遭受了数据泄露。
8、阿里、腾讯、亚马逊、微软、苹果等巨头服务器物理访问权限疑遭窃取
安全公司Resecurity披露,黑客入侵两个亚洲数据中心运营商的客户支持网站,窃取了阿里、腾讯、亚马逊、微软、苹果等超2000家组织的登录凭证,掌握时间超过一年之久。
3月

1、新型 TPM 2.0 漏洞可能让黑客窃取加密密钥
可信平台模块 (TPM) 2.0 规范受到两个缓冲区溢出漏洞的影响,这些漏洞可能允许攻击者访问或覆盖敏感数据,例如加密密钥。
2、因违规收集用户信息被罚 1000 亿韩元,消息称谷歌、Meta 不服裁决提起诉讼
据韩联社报道,3 月 6 日,有行业消息人士透露,谷歌和 Meta 已对韩国数据保护监管机构的罚款裁决提起诉讼。
3、宏碁敏感数据正在黑客论坛上出售
攻击者声称,泄露的数据集包括大量公司数据,例如所谓的机密演示文稿、技术问题的员工手册、Windows 映像格式文件、据称是各种设备的机密产品型号文档、替换数字产品密钥 (RDPK) 和其他数据。
4、美国众议院议员和工作人员遭遇数据泄露,FBI 开始介入调查
联邦调查局正在调查一起影响美国众议院议员和工作人员的数据泄露事件,因为他们的账户和敏感个人信息从 DC Health Link 的服务器上被盗。
5、顶级航空公司 Safran Group正在泄露敏感数据
Cyber news 研究团队最近发现,这家总部位于法国的跨国航空公司是全球第八大航空航天供应商,由于其系统配置错误,正在泄露敏感数据。该漏洞使公司在很长一段时间内面临网络攻击的风险。
6、9 亿条印度警方业务机密数据疑似流入暗网
在某论坛上,一名用户声称拥有一个包含超过 9 亿份印度法律文件的数据库,其中包括印度警方记录、报告、法庭案件以及被告和被捕人员等详细信息。
7、军事基地航拍照片泄露,美国法警局数百 GB 敏感数据遭黑客售卖
据外媒报道,一名黑客正在一个俄语论坛上出售据称是从美国法警局(USMS)服务器中窃取的 350 GB 数据。USMS 是美国司法部下属的一个机构,通过执行联邦法院命令、确保证人及其家人的安全、查封非法所获资产等职责为联邦司法系统提供支持。
8、Twitter 源代码泄露
Cyberkendra 网站披露,推特最近遭遇了一次罕见的源代码泄露事件,一份法律文件显示推特部分源代码在网上曝光。
4月
1、LockBit 泄露了从韩国国家税务局窃取的数据
2023 年 3 月 29 日,The Lock Bit 勒索软件团伙宣布入侵韩国国家税务局。该组织将韩国机构添加到其 Tor 泄漏站点,并宣布在 2023 年 4 月 1 日之前发布被盗数据,以防未支付赎金。
2、贷款公司TMX披露重大数据泄露事件
美国消费贷款公司TMX Finance披露了近三个月前首次发现的客户数据严重泄露事件。该公司向受影响的客户提供为期12个月的免费信用监控和Experian的身份保护,但敦促他们定期检查账户对账单,以发现任何异常活动。
3、现代汽车遭受数据泄露,影响了法国和意大利的客户
现代汽车披露了一起数据泄露事件,影响了预订试驾的意大利和法国车主和客户。现代汽车表示,他们聘请了IT专家来处理数据泄露事件,已经将受影响的系统脱机,直到实施额外的安全措施。
4、美国电信巨头康普遭遇勒索软件袭击,员工数据在暗网上泄露
美国主要的电信和IT基础设施巨头康普(CommScope)证实,它是勒索软件攻击的受害者,该攻击忽略了敏感的员工数据。
5、印度跨国银行遭遇数据泄露,数百万敏感数据被公开访问
ICICI 银行的资产被印度政府命名为 "关键信息基础设施"对它的任何伤害都会影响国家安全,然而,尽管银行基础设施在国家层面处于关键地位,但关键数据的安全并没有得到保证,最近 Cybernews 研究小组发现由于银行的系统配置错误,导致敏感数据的泄露。
6、CFPB 员工将 25.6 万消费者隐私数据发送至个人电子邮件
据报道,美国消费者金融保护局(CFPB)的一名员工将大约256,000名消费者的机密记录和大约50家机构的机密监督信息转发到个人电子邮件帐户。
7、五角大楼“泄密门”嫌犯被捕
美国联邦调查局 FBI 在马萨诸塞州逮捕了五角大楼军事文件泄密案嫌犯杰克·特谢拉(Jack Teixeira),美国《纽约邮报》同日曝光了逮捕现场画面,并披露细节。
8、马斯克称:美国政府及情报机构可监视推特所有私聊信息
推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。
5月
1、高通违规获取用户隐私信息
据称,芯片巨头高通公司一直在秘密收集私人用户数据,大约三分之一的安卓设备使用了高通制造的芯片,包括三星和苹果智能手机。
2、T-Mobile六个月内数据被盗两次
多年来,T-Mobile有数千万条客户记录被泄露。其首次报告的违规事件是在2018年,当时有200万条记录连同哈希密码被访问,一年后,又有超过100万名客户的数据被曝光。
3、LockBit 3.0 泄露了从印度银行窃取的 600GB 数据
LockBit 3.0 勒索软件组织泄露了从印度银行 Fullerton India 窃取的 600 GB 关键数据,两周前该组织向该公司索要 300 万美元的赎金。
4、大都会歌剧院客户银行卡详细信息被盗
在一家总部位于纽约的美国歌剧公司成为网络犯罪分子的目标后,调查人员得出结论称,超过45000名客户个人财务数据被盗。
5、丰田泄露超 200 万辆汽车敏感数据:实时位置暴露近 10 年
日本丰田官方网站刊载了一份致歉通知,揭露了该公司一起长达 10 年的数据泄露事件,涉及约 215 万日本本土丰田用户。
6、药房巨头 PharMerica 称近 600 万患者的医疗信息被泄露
全球最大的制药公司之一宣布发生数据泄露事件,涉及近 600 万人的敏感个人数据,泄露的数据包含个人信息,主要包括上姓名、地址、出生日期、社会安全号码、药物和健康保险信息。
7、三星电子再次发生核心技术信息泄露事件,涉事员工被开除并移交调查
三星电子设备解决方案(DS)部门最近解雇了工程师 A,并要求政府机构对其进行调查。据悉,A 先生将包含核心技术的数据发送到了外部个人邮箱,并且其中一些数据被二次发送到了他自己的另一个外部邮箱账户并存储,最终被发现。
8、全球眼镜巨头Luxottica承认泄露7000万客户数据
因黑客本月在暗网免费暴露了7000万客户个人信息,全球眼镜行业龙头企业——意大利的Luxottica正式承认,这是某合作伙伴遭遇的数据泄露事件所致。
9、超 100 GB!特斯拉曝数据泄露丑闻
有知情人士向《德国商报》泄露了一组数据,且数据经专家证实均为真实数据,特斯拉曾试图阻止《德国商报》将这些数据报道出来,甚至威胁称将对其采取法律行动,但根据欧盟法律,《德国商报》报道此类数据泄露新闻是合法的。
10、MCNA 泄露了 890 万用户的敏感信息
Bleeping Computer 网站披露,北美 MCNA 牙科公司在其网站上发布一份数据泄露告示,通知近 900 万患者个人数据泄露了。
6月
1、生物技术公司 Enzo Biochem 近 250 万人的临床数据被盗
外媒报道,生物技术公司Enzo Biochem遭到勒索攻击,导致约250万人的临床测试信息泄露。该公司发现客户姓名和测试信息,以及约60万个社会安全号码被访问,Enzo称已将其系统与互联网断开连接,现在仍在调查此事件。
2、巴西网络犯罪分子使用 LOLBaS 和 CMD 脚本窃取银行账户
一个未知的网络犯罪威胁组织破坏了墨西哥、秘鲁和葡萄牙的网上银行账户。黑莓研究和情报团队在发布的一份报告中表示,该组织采用了LOLBaS(离地二进制文件和脚本)等策略,以及基于CMD的脚本来执行其恶意活动。
3、大量飞行员敏感数据泄露,全球最大航空公司遭遇供应链攻击
根据美国航空公司的调查,泄露的数据涉及到了一些个人信息,例如姓名、社保号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号等。
4、英国曼彻斯特大学遭遇网络攻击,并已确认数据被盗
曼彻斯特大学最终证实,6月初披露的网络攻击背后的攻击者窃取了校友和在校学生的数据。但该事件与MOVEit Transfer数据盗窃攻击无关。
5、西门子能源遭遇勒索软件攻击,大量数据被盗!
西门子能源称其遭遇了一次Clop勒索软件攻击,该软件利用MOVEit Transfer平台的一个零日漏洞窃取了公司数据。
7月
1、菲律宾警方自拍照和护照数据泄露
菲律宾国家警察系统的错误配置导致重大数据泄露,并使警察面临危险。暴露的记录包括高度敏感的数据,例如指纹扫描、出生证明、纳税识别号(TIN)、纳税申报记录、成绩单,甚至护照复印件。此外,此次泄露的数据还包括针对执法人员的内部指令。
2、印第安纳大学泄露近25万条用户记录
攻击者在数据泄露论坛中公布了涉及印第安纳大学的24.83万条记录,其中包含电子邮件地址及用户姓名。样本显示,攻击者拥有印第安纳大学的所有用户全名及电子邮箱地址,这些数据属于该校的学生或老师。
3、Imigrasi遭网络攻击3400万份护照记录被盗
正如黑客所说,泄露的数据包括3490万印尼护照持有者的全名、护照号码、有效期、出生日期和性别。4gb的数据以1万美元的价格出售。
4、HCA 医疗遭遇黑客攻击,泄露 1100 万患者敏感信息
Security Affairs 网站披露,HCA 医疗公司近期披露了一起网络攻击事件,约 1100 万患者的个人信息遭到泄露。
5、德意志银行确认客户数据泄露
德意志银行已证实,其服务提供商之一的数据泄露已将其客户的数据暴露在可能的MOVEit Transfer数据盗窃攻击中。
6、因一低级漏洞,孟加拉国政府网站泄露约5000万公民身份数据
孟加拉国出生与死亡登记主管办公室网站泄露了大量公民个人信息,包括全名、电话号码、电子邮箱地址和国民身份证号码。
7、域名拼写错误导致美国军方向马里 Web 服务商泄露数百万机密邮件
美国军方邮件域名的后缀是.mil,而马里的国家域名是 .ml,美国军方人员经常在发送邮件时因拼写错误而将高度敏感的邮件发送到 .ml 域名。
8、零日攻击引爆政务系统同质化风险,挪威十余个政务平台敏感数据或泄露
挪威政府警告称,黑客利用第三方软件的零日漏洞发动网络攻击,12个部委使用的信息通信技术平台受到影响。据悉,除总理办公室、国防部、司法与公共安全部、外交部之外,挪威其他所有部委均使用该平台。
9、BreachForums数据库和私人聊天在黑客数据泄露中出售
Bbreach 是一个大型黑客和数据泄露论坛,因托管、泄露和出售从全球被黑客入侵的公司、政府和组织窃取的数据而臭名昭著。
8月
1、美政府供应商 169GB 健康数据遭俄黑客曝光,千万美国用户受影响
一家美国政府承包商报告称,800 万至 1100 万份健康数据记录被曝光,大规模 MOVEit 数据泄露造成的损失继续上升。
2、法国汉堡王网站敏感数据遭泄露
Cyber news 研究团队发现法国的汉堡王由于网站配置错误而向公众泄露了敏感信息。汉堡王作为美国著名的国际快餐巨头,在全球拥有超过 1.9 万家餐厅,收入 18 亿美元。
3、罚款85万元!南昌某高校发生大量数据泄露案件
涉案高校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
4、网传58集团“倒卖”毕业生简历信息
国内多家媒体相继发文称,前 58 员工透露集团内部借助招聘名义,倒卖大量学生简历,此事一经爆出迅速引起社会讨论。随着此事热度不断上升,网友陆续扒出  58 集团在收集到大批学生简历后,高价卖给培训机构,以此收取返利。
5、英国政府承包商 MPD FM 泄露大量敏感数据
Security Affairs 网站披露,为英国多个政府部门提供服务的设施管理和安全公司 MPD FM “遗留”一个开放实例,暴露出大量人员的护照、签证等敏感数据信息。
6、北海某公司因泄露约22万条个人信息数据被罚款20万元
北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对涉案公司及其直接负责人分别作出罚款20万元、3万元的行政处罚。
7、黑客论坛泄露260万Duolingo用户数据
据悉,被泄露的数据包括真实姓名、登录名、电子邮件地址和与内部服务相关的详细信息,这些数据最初于 2023 年 1 月在现已解散的 Breached 黑客论坛上以 1500 美元的价格出售。
8、法国政府机构泄露 1000 万民众的个人信息
Bleeping Computer 网站披露,法国政府失业登记和金融援助机构 Pôle emploi 通报一起数据泄露事件,该事件泄露了 1000 万名民众的个人数据信息。
9月
1、Clop声称通过M&T银行网络攻击导致宾夕法尼亚州数据泄露
在通过M&T银行黑客攻击获得马萨诸塞州居民的信息后,Clop声称宾夕法尼亚州数据泄露。
2、美国家安全委员会发生数据泄露:近万个登录凭据曝光,波及 2000 家公司
美国国家安全委员会泄露了其成员的近 1 万份电子邮件和密码,暴露了政府组织和大公司在内的 2000 家公司,其中包括美国国家航空航天局和特斯拉等。
3、必胜客遭黑客组织入侵,数百万客户数据被盗
黑客组织ShinyHunters表示,它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示,他们在1-2个月前利用AWS中的漏洞入侵系统,窃取了超过3000万行机密信息。
4、香港数码港遭勒索攻击:400GB数据泄露,科技中心受打击
勒索软件组织Trigona声称,已从数码港窃取超过400GB数据,要求支付30万美元(约合港币235万元)才能归还。
5、微软 AI 研究人员意外泄露 38TB 内部数据,包括私钥、密码及 3 万条内部 Teams 消息
云安全初创公司 Wiz Research 发布公告称,在微软 AI 的 GitHub 存储库中发现了一起数据泄露事件,这一切由一个配置错误的 SAS令牌引起。
6、890 所学校受影响!美国学生信息交换中心发生数据泄露
美国非营利性教育机构全国学生信息交换中心(National Student Clearinghouse)近期披露一起数据泄露事件,全美 890 所使用其服务的学校受到影响。
7、乌克兰黑客入侵俄罗斯航空巨头,窃取超 41 亿条乘客信息
乌克兰黑客声称已侵入俄罗斯公司 Sirena-Travel 的数据库,该数据库包含数亿次航空旅行的信息以及乘客保险以及其他个人数据。
8、安大略省儿童出生登记处数据泄露或影响 340 万人
安大略省政府资助的医疗保健组织 Better Outcomes Registry&Network(BORN)宣布其成为了 Clop 勒索软件 MOVEit  网络攻击活动的受害者之一。
10月
1、美国华盛顿特区选民数据被盗,背后真相浮出水面!
哥伦比亚特区选举委员会(DCBOE) 正在调查一起数据泄漏事件,一个名为 RansomedVC 的威胁攻击者称通过系统漏洞入侵了选民系统并获取了大量选民信息。
2、LockBit声称塔塔电信商业服务数据泄露,设定数据发布截止日期
据报道,著名的塔塔集团的子公司塔塔电信商业服务公司已成为臭名昭著的LockBit勒索软件组织策划的数据泄露的受害者。
3、美国FLAGSTAR银行再次遭遇数据泄露
Flagstar 银行宣布第三方服务提供商泄露了超过 80 万美国客户的个人信息。攻击者利用了MOVEit Transfer产品中的零日漏洞来访问Fiserv的系统,窃取了Flagstar客户数据。在示例数据泄漏通知信中,受损的数据类型已被编辑。缅因州的数据泄露门户网站上列出了被盗客户的姓名和社会安全号码(SSN)
4、揭秘蟹卡骗局:谁泄露了“孙艺洲们”的信息?
孙艺洲发微博称,自己收到了一张蟹卡,以为是位朋友送的,扫了下码觉得不对劲,又搜了搜,发现好像是诈骗。在社交平台上,有不少网友表示收到了类似甚至一模一样的蟹卡。这究竟是怎样一场骗局?
5、2020 年 HELLOKITTY 勒索软件变种的源代码在网络犯罪论坛上泄露
网络安全研究人员 3xp0rt 报告说,一个以绰号“kapuchin0”(也使用别名 Gookee)上网的威胁行为者在 XSS 论坛上泄露了 HelloKitty 勒索软件的源代码。
6、卡西欧数据泄露涉及 149 个国家用户
卡西欧于 10 月 11 日检测到开发环境中的 ClassPad 数据库发生故障。有证据表明,攻击者在一天后(即 10 月 12 日)便访问并获得了数据,包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息。
7、印度医疗地震:数据泄露高达 7 TB ,影响 1200 万患者
网络安全研究员杰里迈亚-福勒(Jeremiah Fowler)发现了一个无密码保护的数据库,其中包含 1200 多万条记录。这些数据包括敏感的患者数据,如医疗诊断扫描、测试结果和其他医疗记录。
11月
1、俄罗斯黑客访问美国司法部、国防部超过 600000 名美国联邦雇员的数据
黑客利用 MOVEit 中的弱点渗透到美国联邦雇员数据系统中,导致未经授权访问敏感数据。受影响的员工大多属于国防部,包括空军、陆军、陆军工程兵团、国防部长办公室和联合参谋部官员。
2、印度最大的数据泄露:8亿人的COVID测试数据在售
印度近 8.15 亿公民的 COVID 私人信息在售,这些信息包括姓名、电话号码和地址,这可能是迄今为止印度最大的数据泄露事件。一位独立分析师通过检查数据样本与印度政府门户网站上的数据样本,证实了 COVID 数据泄露。
3、斯坦福大学遭勒索软件攻击,攻击者声称窃取了430GB数据
斯坦福大学(Stanford University)是一所世界知名顶尖学府,据其官网公告,确认成为勒索软件攻击的目标。
4、新加坡滨海湾金沙酒店遭遇数据泄露
新加坡滨海湾金沙 (MBS) 豪华度假村遭遇数据泄露,影响了 66.5万名客户。该公司的安全团队立即对这一事件展开了调查。调查结果表明有人非法访问了非赌场奖励计划成员的客户数据。到目前为止,并未对客户造成进一步伤害。
5、美国 PJ&A 称网络攻击导致其近 900 万患者的信息泄露
美国医疗机构 PJ&A(Perry Johnson & Associates)声称 2023 年 3 月的一次网络攻击暴露了近 900 万患者的个人信息。
6、黑客声称已入侵 Plume 公司并收集超过 1500 万行数据
据外媒报道,有攻击者声称已经窃取了智能 Wi-Fi 服务提供商 Plume 超过 20GB 的 Wi-Fi 数据库,其中包含超过 1500 万行信息。
7、三星证实黑客在长达一年时间内窃取了英国客户的个人数据
三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称,攻击者利用了未披露名字的第三方应用的漏洞,在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。
8、美国网络安全实验室遭受重大数据泄露
据报道,一家以网络安全、核能和清洁能源研究而闻名的美国领先实验室遭受了员工数据的重大泄露。
9、中国台湾大江生医集团暗网泄露 236.3GB 数据
此次暗网雷达监测到的数据泄露,主要包括客户投诉数据、SQL 备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。
12月
1、因第三方遭遇网络攻击,Dollar Tree 员工个人信息数据遭泄露
在这次网络攻击中,威胁者设法窃取了包含 Dollar Tree 和 Family Dollar 员工个人信息的数据。在发给受影响个人的信中写道:"虽然调查能够确定这些系统被访问过,但无法确认未经授权的行为者访问或拿走的所有具体文件。
2、算命网站WEIMYSTIC揭露了1300多万用户记录
涉及占星术、命理学、塔罗牌和精神取向的网站WeMystic留下了一个开放的数据库,暴露了34GB、1330万条平台用户的敏感数据。
3、国内某企业 2000 多万条地图数据遭数据公司盗取
普陀分局网安支队接到某提供导航服务的公司报案称,发现有人利用技术手段盗取公司服务器内全国的导航地图信息数据,并在论坛中售卖,导致公司直接经济损失约 21 万元。
4、知名机构 HTC Global 遭勒索攻击,泄露大量敏感信息
IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后,才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商,主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。
5、美国知名基因测试公司被黑,或泄露30万华人血缘数据
攻击者通过撞库攻击,窃取了23andMe公司约1.4万用户的账号访问权,可以访问这些账号下的用户基因和健康数据,并还可以通过共享功能访问近700万用户的个人信息(DNA相似度、双方血缘关系预测等)。
6、超过 40% 的 Google 云端硬盘文件包含敏感信息
最近的一份报告显示,存储在 Google Drive 上的文件中有 40.2% 包含敏感数据。这些发现来自数据安全公司Metomic的最新研究,该研究分析了大约6万个Google Drive文件。
7、勒索软件团伙袭击美国肯塔基州和印第安纳州的医院,超百万人受影响
美国诺顿医疗保健12月8日通报了一起影响其内部系统的“网络安全事件”,预计超过 200 万人受影响。
8、一招聘APP遭撞库攻击:黑客拿“万能钥匙”偷走300万条数据
据央视新闻报道,北京警方接到辖区内一互联网公司报案,称该公司的求职招聘类app的短信验证码接口遭受攻击达1300余万次。这次攻击还成功匹配注册账号30余万个,既造成了经济损失,也危及了群众信息安全。
9、举报五月天博主个人隐私遭泄露
12月13日,揭露“五月天”假唱的博主“声理学”在其个人账号上发文,称自己的个人隐私被网友泄露。有网友将其母亲的名字都调查出来,并将其母亲的名字以及个人平台中关于博主本人的照片公开发布在网上。
10、周海媚抢救病历疑遭泄露
12日晚,香港女演员周海媚工作室发声明,宣布周海媚因病去世,年仅57岁。随后,疑似周海媚生前送医院抢救的电子病历截图在网上被流传,病历上显示医院为北京中医医院顺义医院,并记载了周海媚个人资料、就诊时间等相关信息。
11、Wolverine开发商 Insomniac Games在数据泄露事件中泄露了1.67TB的机密信息
勒索软件组织Rhysida泄露了1.67TB的数据,包括未发布游戏的资产和故事剧透、即将推出的游戏路线图、公司内部通信、员工个人数据如护照扫描和薪酬数字等等。
FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651253559&idx=1&sn=e2d529fc7e883deb527d3deed4448e74&chksm=bce23bcf897bb01b70bf6e46b9d588ab4cdbf4d737f65ec4b72deb5b04f169ca0116704f830f&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh