到目前為止,2022 年發生的數據洩露

已發表: 2022-09-28

多年來,數據洩露事件一直呈上升趨勢,可悲的是,2022 年敏感信息被盜事件充斥著。 今年,它們影響了各種形式、規模和行業的公司和組織,並且給美國企業造成了數百萬美元的損失。

例如,去年發生的廣泛報導的T-mobile 數據洩露事件使該公司在 2022 年損失了3.5 億美元——這還只是客戶支付的費用。 這給企業帶來了比以往任何時候都更大的責任來保護他們的網絡,確保員工擁有強大的密碼,並培訓員工發現網絡釣魚活動的明顯跡象。

下面,我們匯總了從 2022 年 1 月 1 日到今天發生的近期重大數據洩露事件(以及幾起重要數據洩露事件)的清單,這些事件的日期可追溯到媒體首次報導之日。

10 月 3 日

LAUSD 數據洩露:在美國第二大學區未能在 10 月 4 日之前支付未指明的贖金後,俄語黑客組織 Vice Society 從洛杉磯聯合學區 (LAUSD) 洩露了 500GB 的信息。 勒索軟件攻擊本身在 9 月初首次成為頭條新聞,當時該攻擊破壞了該地區控制下的電子郵件服務器和計算機系統。

2022 年 9 月

9月23日

Optus 數據洩露:擁有 970 萬用戶的澳大利亞電信公司 Optus 遭受了“大規模”數據洩露。 據報導,姓名、出生日期、電話號碼和電子郵件地址可能已被洩露,而一組客戶的實際地址和文件(如駕駛執照和護照號碼)也可能被訪問。

攻擊者被認為是國家支持的黑客組織或某種犯罪組織,並突破了公司的防火牆以獲取敏感信息。 已通知澳大利亞信息專員。

澳大利亞政府表示,Optus 應該為那些將數據委託給 Optus 的人購買新護照,而總理 Antony Albanese 已經表示,在十年不作為之後,這可能會導致“更好的國家法律來管理大量數據公司收集的關於澳大利亞人的信息——以及當他們管理不善時的明確後果。”

9月20日

美國航空公司數據洩露:該航空公司表示,“極少數”美國航空公司客戶的個人數據在闖入員工電子郵件賬戶後被黑客訪問。 他們補充說,訪問的信息可能包括客戶的出生日期、駕駛執照、護照號碼,甚至醫療信息。

9 月 19 日

Kiwi Farms 數據洩露:臭名昭著的拖釣和人肉攻擊網站 Kiwi Farms - 以其針對跨性別者和非二元性人群的惡性騷擾活動而聞名 - 已被黑客入侵。 根據管理員帳戶被訪問的網站所有者 Josh Moon 的說法,所有用戶都應該“假設您的 Kiwi Farms 密碼已被盜”,“假設您的電子郵件已被洩露”,以及“您在您的上個月的 Kiwi Farms 賬戶”。

Revolut 數據洩露: Revolut 遭受了網絡攻擊,導致未經授權的第三方訪問與數万應用程序客戶有關的個人信息。 據報導,有 50,150 名客戶受到影響。 Revolut 持有銀行牌照的立陶宛國家數據保護檢查局表示,電子郵件地址、全名、郵政地址、電話號碼、有限的支付卡數據和賬戶數據可能已被洩露。

9 月 18 日

Rockstar 數據洩露:遊戲公司 Rockstar 是《俠盜獵車手》系列的開發商,它是黑客的受害者,該黑客看到了黑客洩露了其未發布的俠盜獵車手 VI 遊戲的鏡頭。 此外,黑客還聲稱擁有該遊戲的源代碼,並據稱正試圖出售它。 該漏洞被認為是通過社會工程造成的,黑客可以訪問員工的 Slack 帳戶。 黑客還聲稱對本月早些時候的 Uber 攻擊負責。

Rockstar 在一份聲明中說:“我們最近遭受了一次網絡入侵,未經授權的第三方從我們的系統非法訪問並下載了機密信息,包括下一代俠盜獵車手的早期開發鏡頭。”

9 月 15 日

優步數據洩露:優步的計算機網絡已被攻破,在公司調查黑客攻擊是如何發生的過程中,多個工程和通信系統處於離線狀態。 被一名研究人員稱為“徹底妥協”的電子郵件、雲存儲和代碼存儲庫已經被肇事者發送給安全公司和《紐約時報》。

在黑客闖入一名員工的 Slack 帳戶並發送消息確認他們已成功入侵其網絡後,Uber 員工發現他們的系統已被入侵。

9 月 14 日

Fishpig 數據洩露:目前有超過 200,000 個網站使用的電子商務軟件開發商 Fishpig 已通知客戶,分發服務器的洩露已允許威脅行為者為許多客戶系統設置後門。 “我們非常習慣於看到應用程序的自動攻擊,也許這就是攻擊者最初獲得我們系統訪問權限的方式”,首席開發人員 Ben Tideswell 談到這一事件時說。

9 月 7 日

North Face 數據洩露:大約200,000 個 North Face 帳戶在公司網站上的撞庫攻擊中遭到破壞。 這些帳戶包括全名
購買歷史、賬單地址、送貨地址、電話號碼、賬戶持有人的性別和 XPLR Pass 獎勵記錄。 現場不存儲信用卡信息。 所有帳戶密碼均已重置,並建議帳戶持有人在使用相同密碼憑據的其他網站上更改密碼。

9 月 6 日

IHG/Holiday Inn 數據洩露: IHG 發表聲明稱,他們意識到“未經授權訪問”其係統。 該公司正在評估“事件的性質、程度和影響”,違規的全部程度尚未明確。

9 月 3 日

TikTok 數據洩露謠言:在一名 Twitter 用戶聲稱竊取了社交媒體網站的內部後端源代碼後,有傳言稱TikTok 遭到入侵。 然而,在檢查了代碼之後,包括 haveibeenpwned.com 的 Troy Hunt 在內的一些安全專家稱這些證據“沒有定論”。 另一方面,評論 YCombinator 的 Hacker News 的用戶表示,這些數據來自某種與 TikTok 集成的電子商務應用程序。

在回應彭博英國的置評請求時,TikTok 的一位發言人表示,該公司的“安全團隊對這一聲明進行了調查,並確定有問題的代碼與 TikTok 的後端源代碼完全無關”。

9 月 2 日

三星數據洩露:三星宣布,當未經授權的一方在 7 月訪問其係統時,他們成為“網絡安全事件”的受害者。 8 月,他們了解到一些個人信息受到影響,包括姓名、聯繫信息、人口統計數據、出生日期以及產品註冊信息。 三星正在通過電子郵件與數據洩露期間數據洩露的所有人聯繫。

2022 年 8 月

8 月 29 日

Nelnet 服務數據洩露:在威脅行為者違反 Nelnet 服務系統後,與俄克拉荷馬州學生貸款管理局 (OSLA) 和/或 EdFinancial 獲得學生貸款的 250 萬人有關的個人信息已被曝光。 系統在 6 月遭到入侵,未經授權的一方在網絡上一直呆到 7 月下旬。

8月27日

Facebook/Cambridge Analytica 數據洩露和解: Meta 同意在這一日期解決一項訴訟,該訴訟指控 Facebook 與英國分析公司 Cambridge Analytica 非法共享與其用戶有關的數據。 這些數據隨後在 2016 年被英國和美國的政治運動使用,這一年唐納德特朗普成為總統,英國通過公投離開歐盟。

8 月 25 日

DoorDash 數據洩露: “我們最近意識到第三方供應商是複雜網絡釣魚活動的目標,DoorDash 維護的某些個人信息受到影響,”DoorDash 在博客文章中說。

送貨服務繼續解釋說,“未經授權方訪問的信息主要包括一些 DoorDash 客戶的姓名、電子郵件地址、送貨地址和電話號碼”,而其他客戶則擁有他們的“基本訂單信息和部分支付卡信息(即卡類型和卡號的最後四位數字)”訪問。

LastPass Breach:密碼管理器向其客戶透露,它被“未經授權的一方”入侵。 該公司向客戶保證,這發生在其開發環境中,並且沒有客戶詳細信息存在風險。 9 月的更新證實 LastPass 的安全措施防止客戶數據被洩露,該公司提醒客戶他們無權訪問或存儲用戶的主密碼。

8 月 24 日

Plex 數據洩露:在其一個數據庫中檢測到“可疑活動”後,客戶端-服務器媒體流平台 Plex 正在對其所有用戶帳戶執行密碼重置。 報告顯示用戶名、電子郵件和加密密碼被訪問。

8月20日

DESFA 數據洩露:希臘最大的天然氣分銷商證實,勒索軟件攻擊導致 IT 系統中斷,部分文件被訪問。 但是,該組織的 IT 團隊的快速響應(包括停用在線服務器)意味著威脅造成的損害很小。

8 月 10 日

思科數據洩露:跨國科技集團思科證實,在該組織在網上發布了在洩露期間被盜的數據後,燕洛網勒索軟件團伙已經侵入了其公司網絡。 安全專家表示,這些數據並不是“非常重要或敏感”,威脅行為者可能正在尋找可信度。

8 月 4 日

Twilio 數據洩露:消息傳遞巨頭 Twilio 在這一天證實,黑客通過偽裝成 IT 部門員工誘騙公司員工交出登錄憑據後,訪問了與 125 名客戶有關的數據。

2022 年 7 月

7月26日

Uber 數據洩露掩飾:儘管這一數據洩露實際上發生在 2016 年,並於 2017 年 11 月首次披露,但 Uber 直到 2022 年 7 月才最終承認它掩蓋了影響 5700 萬用戶巨大數據洩露,並且甚至向黑客支付了 100,000 美元,以確保它不被公開。 該案將讓 Uber 的前首席安全官喬·沙利文 (Joe Sullivan) 因數據洩露而受審——這是第一次有高管因與數據洩露有關的指控而被起訴。

7月22日

Twitter 數據洩露:關於 Twitter 遭受與540 萬個賬戶相關的電話號碼和電子郵件地址的數據洩露的第一份報告在這一天開始成為頭條新聞,該公司在 8 月確認該洩露確實是真實的。 Twitter 在今年年初就知道了促成此次洩露的漏洞,並已在 2022 年 1 月 13 日之前進行了修補,因此數據盜竊肯定是在那個短暫的窗口內發生的。

7 月 19 日

Neopets 數據洩露:在這一天,化名“TarTaX”的黑客將流行遊戲 Neopet 網站的源代碼和數據庫在在線論壇上出售。 該數據庫包含6900 萬用戶的帳戶信息,包括姓名、電子郵件地址、郵政編碼、性別和出生日期。

7月18日

Cleartrip 數據洩露:旅行預訂公司 Cleartrip(在印度廣受歡迎,由沃爾瑪擁有多數股權)證實,在黑客聲稱已將其數據發佈在僅限受邀者的暗網論壇上後,其係統已遭到破壞。 從公司內部服務器捕獲的數據的全部範圍是未知的。

7月13日

Infinity Rehab 和 Avamere Health Services 數據洩露: Infinity Rehab 通知衛生和公共服務部,183,254 名患者的個人數據被盜。 與此同時,Avamere Health Services 通知 HHS,197,730 名患者遭受了類似的命運。 被盜信息包括姓名、地址、駕照信息等。 8 月 16 日,華盛頓的 MultiCare 透露,還有 18,165 名患者在同一違規行為中受到影響。

7月12日

迪肯大學數據洩露:澳大利亞迪肯大學當天證實,它是一次成功的網絡攻擊的目標,​​導致 46,980 名學生的個人信息被盜,包括最近的考試成績。 數據洩露發生後不久,該大學約有 10,000 名學生收到了詐騙短信。

7 月 5 日

萬豪數據洩露:酒店集團——對數據洩露並不陌生——證實其近年來第二次備受矚目的數據洩露發生在 6 月,此前一個黑客組織欺騙了一名員工並隨後獲得了計算機訪問權限。 據 databreaches.net 報導,該組織聲稱擁有從馬里蘭州 BWI 機場萬豪酒店服務器竊取的 20 GB 數據。 萬豪將通知 300-400 個人有關違規行為。

2022 年 6 月

6月29日

OpenSea 數據洩露: NFT 市場 OpenSea——在 2 月份向網絡釣魚者損失了 170 萬美元的 NFT——在該公司的電子郵件遞送供應商 Customer.io 的一名員工“濫用其員工訪問權限以下載和共享由OpenSea 用戶……與未經授權的外部方”。 該公司表示,任何擁有與 OpenSea 共享電子郵件帳戶的人都應該“假設他們受到了影響”。

6月17日

Flagstar 銀行數據洩露:據報導,該公司於 2022 年 6 月 2 日首次發現的數據洩露事件影響了150 萬客戶。“我們沒有證據表明任何信息被濫用。 儘管如此,出於謹慎考慮,我們希望讓您了解這一事件”,Flagstar 銀行致受影響客戶的一封信中寫道。

6月14日

Baptist Medical Center 和 Resolute Health Hospital 數據洩露:這兩個分別位於聖安東尼奧和新布朗費爾斯的衛生組織披露,數據洩露發生在 3 月 31 日至 4 月 24 日之間。數據由“未經授權的第三方”從其係統中提取”包括社會保險號、保險信息和患者的全名。

6月11日

Choice Health Insurance 數據洩露:在這一天,Choice Health Insurance 在意識到未經授權的個人提供在線提供屬於 Choice Health 的數據後,開始通知客戶由“人為錯誤”引起的數據洩露。 這實際上是自 2022 年 5 月以來公開可用的。數據轉儲包含 600MB 數據和 2,141,006 個文件,帶有“代理”和“聯繫人”等標籤。

6月7日

Shields Health Care Group 數據洩露: 6 月初有報導稱,總部位於馬薩諸塞州的醫療保健公司 Shields 是一次數據洩露事件的受害者,該事件影響了全美 2,000,000 人。 該漏洞於 2022 年 3 月 28 日首次被發現,社會安全號碼、患者 ID、家庭住址和醫療信息等信息被盜。 不久之後,對該公司提起了集體訴訟。

2022 年 5 月

5月26日

Verizon 數據洩露:攻擊者獲得了一個數據庫,其中包含在這次 Verizon 數據洩露事件中大量 Verizon 員工的姓名、電子郵件地址和電話號碼。 Vice/Motherboard 通過撥打數據庫中包含的號碼並確認它們目前(或曾經)在 Verizon 工作,確認這些號碼是合法的。 根據 Vice 的說法,黑客在說服一名員工在社交工程騙局中給予他們遠程訪問權限後,才能夠滲透到系統中。

5月23日

德克薩斯州交通部數據洩露:根據 databreaches.net 的數據,超過 7,000 人的個人記錄已被黑客入侵德克薩斯州交通部的人獲取。

5月20日

Alameda Health System 數據洩露:位於加利福尼亞州奧克蘭的 Alameda Health System 通知衛生與公眾服務部,在一些員工電子郵件賬戶上檢測到可疑活動後,約有90,000 人受到數據洩露的影響,後來發現成為未經授權的第三方。

5月17日

馬來西亞國家登記局數據洩露:一群黑客聲稱持有從 myIDENTITI API 竊取的 2250 萬馬來西亞人的個人詳細信息,該數據庫允許國家登記局等政府機構訪問有關馬來西亞公民的信息。 黑客正在尋找價值 10,000 美元的比特幣來獲取數據。

哥斯達黎加政府:在今年最引人注目的網絡攻擊之一中,哥斯達黎加政府——被迫宣布進入緊急狀態——被Conti 勒索軟件團伙入侵。 Conti 成員破壞了政府的系統,竊取了非常有價值的數據,並要求支付 2000 萬美元以避免數據洩露。 5 月 20 日,這些數據中的 90%(大約 670GB 的數據)被發佈到了洩密站點。

5月7日

SuperVPN、GeckoVPN 和 ChatVPN 數據洩露:涉及許多廣泛使用的 VPN 公司的洩露導致2100 萬用戶的信息在暗網上洩露,全名、用戶名、國家名稱、賬單明細、電子郵件地址和隨機生成的密碼字符串是可用信息之一。 不幸的是,這並不是第一次據稱增強隱私的 VPN成為數據洩露的頭條新聞

2022 年 4 月

4月4日

Cash App 數據洩露:母公司 Block 於 2022 年 4 月 4 日通過向美國證券交易委員會提交的報告確認了影響 820 萬客戶的 Cash App 數據洩露事件。 該違規行為實際上早在 2021 年 12 月就發生了,所獲取的信息中包括客戶姓名和經紀帳號。

Emma Sleep 數據洩露: 4 月 4 日首次報導,客戶信用卡信息被使用“Magecart 攻擊”略讀。 “這是對我們網站結賬過程的複雜、有針對性的網絡攻擊,輸入的個人信息,包括信用卡數據,可能已被盜”,一封給客戶的電子郵件中寫道。

2022 年 3 月

3月30日

蘋果和元數據洩露:據彭博社報導,3 月下旬,全球最大的兩家科技公司被偽裝成執法官員的黑客抓獲。 Apple 和 Meta 在 2021 年年中向威脅參與者提供了客戶地址、電話號碼和 IP 地址。 黑客已經獲得了對警察系統的訪問權限,以發送對數據的欺詐性要求。 一些黑客被認為是 Lapsus$ 黑客組織的成員,據報導該組織在本月早些時候從三星竊取了 Galaxy 源代碼

3月26日

美國教育部數據洩露:據透露,2022 年 1 月紐約有820,000 名學生的數據被盜,人口統計數據、學術信息和經濟概況均被訪問。 校長大衛班克斯將事件歸咎於軟件公司 Illuminate Education。

3月24日

得克薩斯州保險部數據洩露:該州機構於 3 月 24 日證實,它已經意識到 2022 年 1 月發生的“數據安全事件”,該事件已經持續了大約三年。 TDI 在 3 月份的一份聲明中表示,“可能已經獲得的信息類型”包括“姓名、地址、出生日期、電話號碼、部分或全部社會安全號碼,以及有關受傷和工人賠償要求的信息. 180萬德州人被認為受到影響。

3月18日

摩根士丹利客戶數據洩露:美國投資銀行摩根士丹利披露,一些客戶的賬戶在 2022 年 2 月的一次 Vishing(語音網絡釣魚)攻擊中遭到入侵,攻擊者聲稱是該銀行的代表以入侵賬戶並開始向他們自己的賬戶付款。 然而,這並不是摩根士丹利的錯,摩根士丹利證實其係統“仍然安全”。

2022 年 2 月

2月25日

英偉達數據洩露:芯片製造商英偉達在 2 月底證實,它正在調查潛在的網絡攻擊,隨後在 3 月初得到證實。 在此次違規事件中,與 71,000 多名員工有關的信息被洩露。 黑客組織 Lapsus$ 聲稱對入侵 Nvidia 系統負責。

2月20日

瑞信數據洩露:雖然這在技術上屬於“數據洩露”,但它是由一名舉報人違背公司意願精心策劃的,也是今年客戶數據更重大的洩露事件之一。 與18,000 個瑞士信貸賬戶有關的信息已移交給德國出版物《南德意志報》,並顯示這家瑞士公司的賬簿上有許多知名罪犯。 這一事件引發了一場關於瑞士銀行保密法不道德的新對話。

2022 年 1 月

1月20日

Crypto.com 數據洩露: 2022 年 1 月 20 日,Crypto.com 在數據洩露導致 483 個賬戶的資金被撤走後成為頭條新聞。 儘管 Crypto.com 最初暗示沒有客戶資金丟失,但據信約有 3000 萬美元被盜。

1 月 19 日

紅十字會數據洩露:據報導,1 月份,超過 515,000 名“極度脆弱”人群的數據被黑客通過複雜的網絡攻擊獲取,其中一些人正在逃離戰區。 這些數據是通過該組織用來存儲數據的第三方公司從全球至少 60 個紅十字會和紅新月會獲得的。

1 月 6 日

Flexbooker 數據洩露: 2022 年 1 月 6 日,數據洩露跟踪網站 HaveIBeenPwned.com 在 Twitter 上透露,前一個月有370 萬個賬戶遭到洩露。 Flexbooker 只確認客戶姓名、電話號碼和地址被盜,但 HaveIBeenPwned.com 表示“部分信用卡數據”也包括在內。 有趣的是,69% 的帳戶已經在網站的數據庫中,可能是由於以前的違規行為。

數據洩露、數據洩露、網絡攻擊

本文主要關注數據洩露。 當威脅者闖入(或破壞)公司、組織或實體的系統並故意從該系統中提取敏感、私人和/或個人可識別數據時,就會發生數據洩露。 發生這種情況時,公司有時會被迫支付贖金,或者他們的信息被盜在網上發布的廣告。 根據一項估計,去年有 59 億個賬戶成為數據洩露的目標。

這與數據洩露不同,後者是敏感數據在不知情的情況下暴露給公眾/公眾成員,例如上面提到的德克薩斯州保險部洩露。 “數據洩露”一詞通常用於描述理論上可能被不應該訪問的人訪問的數據,或者通過非惡意方式落入人們手中的數據。 政府僱員不小心向某人發送包含敏感數據的電子郵件通常被描述為洩漏,而不是違規。

儘管所有數據洩露都屬於“網絡攻擊”的範疇,但網絡攻擊並不限於數據洩露。 一些網絡攻擊有不同的動機——例如減慢網站或服務速度或造成其他類型的破壞。 並非所有網絡攻擊都會導致數據外洩,但很多都會導致。

如何保護我的組織免受網絡攻擊?

確保您採取措施保護您的公司免受導致財務上致命的數據洩露的各種網絡攻擊是您可以做的最重要的事情之一。 然而,面臨風險的不僅僅是企業——學校和大學是遭受巨額財務損失的最常成為攻擊目標的組織之一。

由於網絡攻擊的後果成本,一些公司和組織——比如林肯學院——不得不關閉。 公司、大學和其他類型的組織承擔起保護自己的責任從未如此重大。

薄弱的商業帳戶憑據通常會促進未經授權的網絡訪問。 因此,儘管密碼仍在使用中,但您能做的最好的事情就是為您自己和您的其他員工團隊使用密碼管理器。 這將允許您為您持有的每個帳戶創建足夠長且不同的健壯密碼。 但是,您還需要盡可能使用額外的安全措施,如雙重身份驗證,以創建第二道防線。

您必須做的另一件事是確保您的員工有足夠的培訓來發現可疑電子郵件和網絡釣魚活動。 70% 的網絡攻擊以企業電子郵件帳戶為目標,因此擁有能夠在危險出現時識別危險的員工與任何軟件一樣重要。