信息安全|关注安言

2024年,数据安全领域遭遇了一系列严峻挑战,从国际到国内均发生了多起重大数据泄露事件。墨西哥ERP软件商ClickBalance、美国电信巨头AT&T、迪士尼、票务巨头Ticketmaster等知名企业和机构均未能幸免,数据泄露规模之大、影响之广前所未有,涉及敏感信息如用户全名、地址、电话、银行账号乃至通话和短信记录等。甚至在今年,网络安全研究人员还发现了“数据泄露之母”,其被视为迄今为止最大的泄露数据库,即12TB、260亿条数据记录已被泄漏。

此外,在国内,香港中文大学数据泄露、个人信息保护民事公益诉讼案以及某办公软件漏洞等事件也频发,进一步凸显了数据安全的紧迫性。这些事件无一不在警示我们,数据安全绝非仅仅关乎企业的声誉和利益得失,它犹如一张无形的大网,紧密地将个人隐私和公共安全交织在一起,一旦出现漏洞,将会引发连锁反应,造成难以估量的严重后果。

数据泄漏是数据安全事件的主要类型

通过对诸多实际案例的剖析可知,数据泄露在各类数据安全事件中占据了主导地位,其发生的数量远超其他类型的数据安全事件。据Verizon发布的《2024年数据泄露调查报告》显示,在2024年所分析的30,458起安全事件中,有10,626起确认为数据泄露事件,这一数量与前一年相比(16,312起安全事件和5,199起数据泄露事件)翻了一番,再创历史新高。

本次报告分析显示,漏洞成为年度数据泄露的主要突破口,与前一年相比,漏洞利用增加近180%。这一激增的原因与众所周知且影响深远的MOVEit和其他零日漏洞息息相关。报告提到,漏洞攻击常由勒索软件组织以及其他不法分子发起,其中,Web应用程序、电子邮件、VPN、桌面共享漏洞最常被利用,Web应用程序则是主要切入点。

勒索软件是数据安泄漏事件的最大威胁

勒索软件攻击在Verizon数据泄露调查报告中常年霸榜主要威胁,今年也不例外。比如Verizon发布的《2022年数据泄露调查报告》显示,勒索病毒同比增加了近13%,增幅相当于过去五年的总和;而《2023年数据泄露调查报告》中,勒索软件攻击事件占所有数据泄露事件的24%,勒索软件攻击广泛发生在不同规模、不同类型的组织中。

一直到此次最新发布的《2024年数据泄露调查报告》,其显示,涉及勒索软件或其他勒索攻击依然保持增长态势,占所有数据泄露事件的32%,同比去年增幅近8%。同时,每个勒索软件攻击导致的损失成本中位数已从前两年的26000美元增至46000美元。值得注意的是,勒索软件组织新技术的使用导致勒索软件的数量略降至23%,但勒索软件攻击及其他勒索行为,依然成为92%行业共同面临的最大威胁,不容小觑。

攻击者、攻击方式和攻击目标

报告指出,“外部入侵”始终是数据泄露事件背后最热门的手段之一。有65%的数据泄露事件来源于外部攻击者,但内部数据泄露事件(占比35%)仍然值得各行业、各单位重点关注(这一数字比去年的19%大幅增加);报告同样指出,73%的内部泄露行为事实上可以采用相关的措施进行防范管控,组织不应袖手旁观。受地缘政治影响,国家支持的间谍攻击活动相比去年略有上升,从5%增长到7%。但有组织的犯罪团伙的数量要远远大于其它可能导致数据泄漏的国家或个人。

从攻击方式来看,报告指出,其主要涵盖了窃取凭证、漏洞利用、恶意软件、杂项错误、社会工程学攻击、特权滥用等多种类型。其中,窃取凭证虽然依旧是引发数据泄露最为常用的攻击途径,然而其在整体中所占的比例已逐渐降低至24%;其次,勒索软件攻击在数据泄露事件中的占比约达23%;再者,过去这一年时间里,有高达59%的安全事件均出现了DoS攻击的情况;同时在社会工程学领域,源自假托(pretexting)手段的攻击,例如商业电子邮件欺诈,已然取代网络钓鱼,成为主要的攻击形式。

从攻击目标来看,《2024年数据泄露调查报告》显示,在数据泄露事件中,有近三分之一的事件源于数据机密性受到损害,而个人信息是泄露最为严重的种类;此外,报告注意到,无加密勒索攻击在持续增长。

至于目标大多聚焦在哪些行业?据报告显示,医疗健康行业(1220起)仍在众多行业数据泄露事件统计排名中前三,教育(1537起)、专业科学技术服务业(1314起)因高价值数据以及相对滞后的安全保护措施,异军突起,跃升为数据泄露最严重的行业,金融保险业(1115起)、公共管理(1085起)则紧随其后。

数据安全事件盘点(不完全统计)

安言按照数据安全法给出的事件类型,盘点了2024年国内外数据安全事件,以下是具体内容。

01

数据泄露

1、知名国防企业萨博公司内部数据遭泄露
据知道创宇暗网雷达监测,萨博SAAB公司内部数据在黑市泄露,初步判定数据为2022-2023时间段,数据大小2.83 GB,售价1500$。
2、泰国5500万公民疫苗信息疑遭泄漏
泰国网站9near.org扬言泄漏从疫苗登记记录中获得的5500万泰国公民个人信息。泰国刑事法院紧急发布命令封锁了该网站。
3、“数据泄露之母”:12TB;260亿条泄露数据记录

网络安全研究人员发现了一个巨型数据库,其中包含了至少260亿条泄露的数据记录,被视为迄今为止最大的泄露数据库,堪称“数据泄露之母”。

4、美国某金融公司遭遇网络攻击,130 万民众受影响
美国最大的产权保险公司富达国民金融子公司向所在州监管机构报告了一起数据泄露事件,并指出有1316938人的数据信息被入侵其母公司的威胁攻击者盗取。
5、养乐多公司确认95.19 GB数据遭黑客泄露
据养乐多公司发布的官方新闻公告,该公司遭到了来自DragonForce黑客团队的入侵。这次入侵导致了养乐多在澳大利亚和新西兰地区分公司的IT系统遭到瘫痪,并且黑客泄露了公司内部的95.19 GB数据。
6、TikTok知名商家Wyze承认再次泄露用户隐私
知名智能家居品牌Wyze再次陷入安全漏洞风波。该公司近日承认,由于系统故障,导致约1.3万名用户在查看自家监控录像时,意外看到了其他用户的图像或视频片段。
7、美国一租赁网络遭到黑客攻击,6.7 万客户数据遭泄露

专门从事自行搬迁租赁车辆和设备的美国公司U-Haul报告称,攻击者已 使用窃取的凭据渗透了其信息系统,来自美国和加拿大的约6.7万名客户的记录遭到泄露。

8、宝马出现数据泄露

据外媒TechCrunch报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。

9、雅虎 LINE 泄露 5.7 万名员工信息

雅虎LINE公司今日宣布,韩国外包公司遭到非法访问,约5.7万名LINE员工信息可能被泄露,目前尚未确认是否有用户或业务合作伙伴的信息泄露。

10、Miracle Software Systems 泄露 1100 万条企业聊天记录

Miracle Software Systems 翻车,暴露了数千名企业用户之间的数百万条消息,其中一些讨论了公司机密。

11、法国政府机构泄露4300万公民个人数据
法国政府负责登记和协助失业者的法国劳动局(France Travail)成为大规模数据泄露事件的最新受害者,高达4300万公民的信息遭到窃取。
12、印度一金融公司泄露用户信息,数据量超过3TB
印度一家非银行性质地金融公司IKF Finance 泄漏了超过3 TB 的敏感客户和员工数据,可能暴露了其整个用户群体。
13、Golden Corral 发生数据泄露事件
美国连锁餐厅Golden Corral通知大约180,000人,他们的个人信息在数据泄露中被盗。
14、美国政府天眼数据泄露

塞尔维亚著名黑客InterBroker(隶属于黑客组织CyberNiggers)声称成功入侵了天眼(Space-Eyes)公司,并成功窃取大量美国国家安全机密数据。

15、澳大利亚快递公司BHF被报 1920 万条数据记录泄露

一名暗网用户声称澳大利亚快递服务公司BHF Couriers 遭受了严重违规。据称,BHF Couriers 数据泄露事件是由一个名为Okhotnik的威胁行为者所为,据称导致该公司系统中的大量数据被泄露。

16、印度消费电子厂商 boAt 遇重大数据泄露

4月8日,印度电子产品制造商boAt遭遇重大数据泄露,估计有超过750 万用户的个人信息遭到泄露,涉及用户的敏感个人身份信息 ( PII ) ,例如姓名、地址、电话号码、电子邮件地址、用户ID等。

17、美国环保署遭黑客攻击,近千万用户数据泄露

美国环境保护署(EPA)近日发生大规模数据泄露事件,超过850万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责,并声称泄露了EPA的客户和承包商的个人敏感信息。

18、以色列社交软件面临数据泄露
以色列流行的LGBTQ约会应用程序Atraf遭遇了重大数据泄露,超过50 万用户的个人信息被泄露,包括明文密码和支付卡数据。
19、美国电话电报公司承认了7300 万用户的数据泄露
美国电话电报公司(AT&T)在最初否认泄露的数据来源于自己之后,终于证实自己受到了数据泄露事件的影响,7300 万当前和以前的客户受到了影响。
20、电信巨头AT&T承认超5000万用户数据泄露
美国电话电报公司(AT&T)正在向5100万名新老客户发出通知,警告他们的个人信息已在一个黑客论坛上被泄露。但是,该公司尚未透露黑客如何获取了这些数据。
21、欧洲银行巨头所有员工和多国客户数据泄露

桑坦德银行(Banco Santander SA)宣布,遭遇一起数据泄露事件,客户受到影响。事件起因是一名未经授权的人员访问了该银行某个第三方服务提供商托管的数据库。

22、Kakao因泄漏6.5万条个人信息被罚款约 151 亿韩元
据韩联社报道,韩国个人信息保护委员会23日表示,决定对互联网巨头Kakao罚款约151亿韩元,理由是该公司由于疏于管理和保护用户信息导致超过6.5万条个人信息遭到泄露。
23、澳大利亚最大的非银行贷款机构泄露超500G数据
最近披露的一个关键远程代码执行 (RCE) 缺陷显示,近52000 个暴露在互联网上的Tinyproxy实例容易受到CVE-2023-49606的影响。
24、伦敦证券旗下数据库被窃取,泄露超500万条敏感信息

威胁攻击者成功窃取并泄露了伦敦证券交易所集团(LSEG)旗下的World-Check数据库。据悉,该数据库中存储着超过500万条关于政治公众人物(PEP)、罪犯、风险组织以及其他机构的数据记录信息。

25、美国大陆航空航天技术公司 475GB 数据泄露

据知道创宇暗网雷达监测,美国大陆航空航天技术公司475GB数据遭泄露。据了解,本次泄露的数据包括:个人机密数据、客户文件、大量技术文档、客户数据库、预算、工资单、税收、身份证、财务信息等。

26、SpaceX 泄露近 150GB 数据
由埃隆·马斯克创立的航空航天制造商和太空运输服务公司SpaceX据称遭遇了一起网络安全事件。据报道,该事件与黑客组织Hunters International 有关,该组织发布了SpaceX数据泄露的样本。
27、MediExcel 泄露了 50 万份患者文件
总部位于美国的医疗保健提供商MediExcel声称暴露了超过55万份患者文档,其中包括诊断结果和索赔表。
28、日本动漫媒体巨头角川遭黑客攻击勒索,1.5TB敏感数据泄露

近日,名为BlackSuit的黑客组织在暗网发布了一则声明,声称对Niconico的网络攻击负责。BlackSuit声称成功侵入了角川集团的网络,并窃取了1.5TB的敏感数据。

29、美国第二大公立学校系统泄露了上百万条学生数据
据Hackread消息,名为“撒旦云”(The Satanic Cloud)的黑客组织近日泄露了了美国第二大公立学校系统洛杉矶联合学区 (LAUSD)数百万学生及教职工的个人信息数据。
30、美国铁路客运巨头 Amtrak 泄漏旅客数据

美国国家客运铁路公司(Amtrak)披露了一起数据泄露事件,旅客的Guest Rewards常旅客积分账户的个人信息被大量窃取。

31、电信巨头 Frontier 疑遭到网络攻击,200 多万数据泄露
RansomHub组织在其泄密网站上发布了Frontier Communications,声称掌握了200 多万人的敏感信息。该组织表示,他们花了两个多月的时间试图勒索Frontier,但从未得到回应。
32、《纽约时报》泄露270G数据
据BleepingComputer消息,属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至4chan论坛,文档大小为270GB。
33、阿里全球速卖通因泄露韩国用户信息被罚款近19.8亿韩元

韩国个人信息监管机构周四对阿里巴巴旗下电商平台全球速卖通(AliExpress)处以近19.8亿韩元罚款,原因是该平台在未通知韩国用户的情况下向约18万海外卖家泄露了他们的个人信息。

34、迪士尼遭黑客入侵超1TB资料外泄

黑客组织NullBulge宣布入侵了迪士尼的内部Slack基础设施,泄露了1.2TB(1.1TiB)的敏感数据,包括近1万个频道的内部消息与文档信息。

35、国际ERP软件大厂云泄露超7亿条记录,内含密钥等敏感信息
ClickBalance一个云数据库暴露在公网,导致7.69亿条记录泄露,其中包括API密钥和电子邮件地址等信息。
36、知名工具Trello被黑客攻击,泄露1500 万用户数据

有黑客发布了与Trello账户相关的1500 万个电子邮件地址。当时有一个名为 “emo ”的威胁行为者在一个流行的黑客论坛上出售15万个Trello会员的资料。

37、菲律宾国家医保系统泄露超4200万用户数据

菲律宾国家医保系统遭遇勒索软件攻击,导致系统中断数周,且超4200万用户数据泄露。

38、国内某上市公司疑遭勒索攻击泄漏2.3TB数据

据FalconFeeds、Ransomlook等多家威胁情报平台报道,某A股上市建筑公司某集团疑似发生大规模数据泄漏,勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据。

39、ServiceBridge泄露 3200万份文件

安全研究员杰Jeremiah Fowler发现了一个基于云的现场服务管理平台ServiceBridge暴露了大规模数据,其中包含合同、工单、发票、建议书、协议、部分信用卡号,甚至还有可追溯到2012年的HIPAA同意书。

40、丰田再发数据泄露事件,涉及240GB员工和客户信息

据BleepingComputer消息,一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据,丰田官方随后表示这一情况属实。

41、因配置错误,智利超半数个人数据被暴露

智利最大的社会保障基金机构Caja Los Andes因一次数据泄露,导致1000万用户的数据遭到暴露,发生大规模泄露的原因是该组织的Apache Cassandra 数据库缺乏身份验证。

42、niconico 动画恢复服务,确认 25.4 万人信息泄露

niconico动画昨日宣布,niconico动画恢复服务。母公司KADOKAWA(角川)官方公布了此前遭网络攻击的信息泄露情况,确认共有25万4241人的个人信息泄露。

43、黑客声称对戴尔公司进行了数据泄露,曝光超过10,000名员工信息

一位使用别名“grep”的黑客声称,科技巨头戴尔经历了“轻微”数据泄露,导致超过一万 (10,863) 条员工记录被盗。

44、MC2 Data发生了大规模数据泄露事件

网络安全研究机构Cybernews发现,美国背景调查和公共记录服务公司MC2 Data发生了大规模数据泄露事件,暴露了该公司2.2TB的敏感数据。

45、Fortinet 通过第三方确认客户数据泄露

Fortinet已确认属于其“少数”客户的数据遭到泄露,此前一名使用“Fortibitch”为绰号的黑客表示,自己泄露了其440GB的信息。

46、网络安全软硬件开发商飞塔(Fortinet)泄露约440GB客户相关的数据

网络安全软件和硬件开发商 / 制造商日前发布博客透露其托管在第三方云共享驱动器 (也就是网盘) 上的数据遭到不明用户的访问,泄露大约440GB与客户相关的数据。

47、俄罗斯版“微信”遭黑客入侵,泄露3.9亿条用户数据

据报道,俄罗斯最大的社交媒体和网络服务VK(VKontakte)遭遇大规模数据泄露,影响了大量的用户。2024年9月,VK出现大规模数据泄露事件,其数据在论坛上几乎可以免费下载,代价仅仅只需几个积分而已。

48、马来西亚国家基建遭勒索攻击疑泄露超300GB数据

马来西亚公共交通运营商国家基建公司(Prasarana Malaysia Bhd)确认,社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。

49、郑州两公司因数据泄漏被罚

郑州市网信办工作中发现,两家公司未履行网络安全保护义务,导致大量敏感数据被窃取。于是对两家公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。

50、上海某医疗科技企业因数据泄漏被行政处罚

近日,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。

51、法国第二大互联网服务商遭遇数据泄露,波及1900万用户

据BleepingComputer消息,法国主要互联网服务提供商 (ISP)Free在上周末证实,稍早前有黑客入侵了其系统并窃取了用户的个人信息。被称为“drussellx”的黑客声称,该泄露影响了1920 万用户(约占法国近三分之一的人口),包含超过511万个IBAN(国际银行账户)号码 。

52、2024零售行业最大泄露事件,3.5亿数据被挂暗网

以色列网络安全公司Hudson Rock发现,一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库,在暗网上被公开出售。

53、美国超大型数据泄露事件曝光:超1亿人数据被盗

联合健康(UnitedHealth)首次证实,在Change Healthcare 勒索软件攻击中,有超过1亿人的个人信息和医疗保健数据被盗,这是近年来最大的医疗保健数据泄露事件。

54、联合国再次发生重大数据泄漏事件,“全球组织”曝光

安全研究员Jeremiah Fowler发现,联合国终止暴力侵害妇女信托基金的数据库在互联网上公开暴露,未设密码保护或访问控制,其中包含超过11.5万份敏感文件。

55、思科泄漏上千家企业数据

一位著名的数据贩卖者表示,他从Cisc(思科)窃取了大量数据,包括该公司的业务客户数据。据称,包括亚马逊、三星、迪士尼、苹果、IBM和美国军方在内的数百个组织都受到了影响。

56、互联网档案馆遭遇黑客攻击,3100 万用户数据被泄露

科技媒体arstechnica(10月10日)发文,报道称互联网档案馆网站Archive.org遭遇黑客攻击,导致大约3100万用户数据被泄露。

57、美国惊曝超大规模信息泄露事件!超1亿人受到影响

近日,安全研究人员发现了一起大规模数据泄露事件,超1亿美国公民的个人信息遭到泄露。Cybernews发现了这一漏洞,并称泄露事件的起因源于背景调查公司MC2 Data 的一个配置错误的数据库,据称该数据库中有2.2TB的敏感数据遭遇非法访问。

58、美国知名律所奥睿因泄露用户个人信息赔偿超5700万元

因泄露用户个人信息,美国知名律所奥睿赔偿超5700万元,其中人均最高赔偿现金7.2万元及额外三年的信用监控服务,该律所还承诺部署持续漏洞扫描、EDR、MDR等数据安全整改措施。

59、美国零售商泄露5700万用户数据

据BleepingComputer消息,美国数据泄露查询网站Have I Been Pwned (HIBP)通告了一起涉及5700万Hot Topic 用户的数据泄露事件。

60、亚马逊确认员工数据因第三方供应商网络安全事故泄露

11 月12日消息,亚马逊当地时间本周一向404 Media、CRN等外媒发布声明,确认出现了一起第三方供应商导致的亚马逊员工数据泄露事件。这次网络安全事件据信由文件传输软件MOVEit在2023年爆出的CVE-2023–34362零日漏洞导致。

61、B2B数据聚合公司DemandScience泄露超1亿人数据

一个名为“KryptonZambie”的黑客者在BreachForums论坛 上出售 1.328亿条个人信息记录,目前已证实,这些数据来自一家聚合数据的B2B需求生成公司DemandScience。

62、诺基亚被黑客攻击,泄露大量内部敏感数据

据BleepingComputer消息,跨国电信巨头诺基亚正在调查一起数据泄露事件,有黑客声称获得了该公司及某第三方承包商公司的内部敏感数据。、

02

数据丢失

1、南昌某集团公司大量数据疑遭境外窃取,被罚10万元

接上级网信部门通报,南昌某集团有限公司所属IP疑似被黑客远程控制,频繁与境外通联,向境外传输大量数据。经调查,南昌市网信办依据数据安全法对南昌某集团有限公司处以警告、罚款10万元,对直接负责的主管人员处以罚款2万元的行政处罚。

2、LockBit宣称成功入侵美联储,窃取了33TB数据

据该组织的受害者信息,他们从美联储窃取了多达33TB的银行内部数据,其中包括众多机密细节,如果得到证实,这将是历史上最严重的金融数据泄露事件之一。

3、卡西欧泄露大量公司内部敏感数据

日本知名消费和商业电子设备制造商卡西欧遭到勒索软件攻击,卡西欧披露了此次攻击并警告员工、求职者以及客户的部分机密数据被窃取。

4、Geico网站漏洞致用户信息长期被爬被罚超8100万元

美国纽约州当局对汽车保险巨头Geico处以975万美元(约合人民币7068万元)罚款,原因是该公司未能妥善保护客户驾驶证号等信息。

5、施耐德电气遭数据勒索

施耐德电气内部位于隔离环境的JIRA服务器遭入侵,攻击者声称通过暴露凭证访问,并窃取了大量敏感数据和员工与客户个人信息。

03

数据滥用

1、黑客宣暗网披露 9305 名诺基亚及微软员工个人隐私信息

安全网站HackRead披露一名代号为“888”的黑客在暗网中公布了“数千名(9305名)诺基亚和微软员工的个人信息”,该黑客声称这些数据“都来自这两家公司的第三方合作伙伴”。

2、黑客公开法国9500万条公民数据

据Cybernews消息,法国公民经历了一次大规模数据暴露事件,超过9500万条公民数据记录被直接公开在互联网上,涉及数据类型包括姓名、电话号码、电子邮件地址和部分支付信息等。

3、美国一 AI 公司因非法收集面部数据被罚超 3000 万欧元

荷兰数据保护局 (Dutch DPA) 已向美国人工智能公司Clearview AI 开出3050 万欧元(3370 万美元)巨额罚款,并对其服务下达了使用禁令。

4、南昌市某学校暴露超4000条学生个人信息被行政处罚

南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,其行为违反了《中华人民共和国网络安全法》,南昌市网信办依法对该学校作出警告的行政处罚。

5、因非法使用用户数据, LinkedIn 被罚23.8亿元

由于违反了多项GDPR原则,爱尔兰数据保护委员会(DPC)决议对LinkedIn处以3.1亿欧元(约23.8亿人民币)的罚款。

6、通灵占卜平台因违反数据保护法被处罚

法国国家数据保护委员会(CNIL)公布了对COSMOSPACE和TELEMAQUE两家在线通灵占卜公司进行罚款的新闻,主要原因是这些在线通灵占卜平台存在过度存储个人数据、未经有效同意收集敏感数据以及未遵守商业推销规则。

7、印度对Meta处以2500万美元罚款

印度竞争委员会对社交媒体巨头Meta处以超过2500 万美元的罚款,原因系该公司强迫WhatsApp用户同意与其他Meta平台全面共享数据。

8、黑客声称近5亿Instagram用户的数据被抓取

据Cyber News消息,11月10 日,一名黑客在某黑客论坛上列出了一个待售数据集,声称它包含4.89亿Instagram用户数据。