去年,黑客比以往任何时候都更加活跃,他们利用用户漏洞和全球流行病造成的经济破坏。网络攻击的数量每年都在稳步增加,2020年又是网络犯罪的高峰年。根据基于风险的安全报告,仅在2020年前三个季度,就有2,953起违规事件被公开报道,使暴露记录的数量达到惊人的3601亿。相比之下,2019年全年共有151亿条记录遭到泄露。“我们的生活不得不转移到网上,导致我们留下更多的数字足迹,这吸引了各种类型的诈骗者、欺诈者和黑客,他们正在寻找可以利用的安全漏洞。”2020年全球最大的数据泄露事件在2020年发生的大量数据泄露事件中,nordvpn专家从数据量中挑选出九大漏洞。该列表包括泄露的数据库,这些数据库本身不一定受到损害,但会将敏感数据暴露给公众。下面概述的一些数据泄露可能发生在几年前,但直到2020年才浮出水面。1.未知(2.01亿)1月,安全研究人员发现一个数据库包含超过2亿条在线公开的敏感个人记录。泄露的数据库存储在谷歌云服务器上,包含有关美国居民及其财产的高度敏感的个人和人口统计数据,包括姓名、地址、电子邮件地址、信用评级、收入、净资产、房地产市场价值、投资偏好和其他明确的细节。目前尚不清楚是否有任何未经授权的方访问了该数据集,该数据集被认为是网络犯罪分子的金矿。谷歌获悉此案,一个多月后,暴露的服务器被下线。2.微软(2.5亿)2020年1月,微软披露了其存储客户支持分析的服务器数据泄露事件。该漏洞发生在2019年12月。包括电子邮件地址、IP地址和支持案例详细信息在内的2.5亿个条目在没有密码保护的情况下意外暴露在网上。泄露的数据库由五个ElasticSearch服务器组成,以方便搜索操作。错误配置的安全规则被认为是服务器意外暴露的罪魁祸首,微软很快修复了这个漏洞。3.Wattpad(2.68亿)2020年6月,Wattpad的一个包含超过2.68亿条记录的数据库遭到破坏,Wattpad是加拿大的网站和应用程序,作家使用它来发布新的用户生成的故事。恶意行为者破坏了Wattpad的SQL数据库,其中包含用户帐户凭据、电子邮件地址、IP地址和其他敏感数据。事发后,该公司重置了用户密码。4.Broadvoice(3.5亿)2020年10月,有消息称美国VoIP服务提供商Broadvoice暴露了超过3.5亿条客户记录,例如姓名、电话号码和通话记录,其中包括留给医疗机构和金融服务公司的语音信箱。由于配置错误,安全研究人员可以轻松访问属于该公司的10个数据库,无需任何身份验证即可打开这些数据库。Broadvoice修复了安全漏洞,并已将此事件通知相关法律机构。5.雅诗兰黛(4.4亿)2020年1月,美国化妆品巨头雅诗兰黛未受保护的数据库包含4.4亿条在线公开的内部记录。发现未加密数据库的研究人员表示,暴露的信息包括电子邮件地址、内部文件、IP地址和属于公司拥有的教育平台的其他信息。一旦意识到这个问题,公司就关闭了数据库。6.Whisper(9亿)2020年3月,爆料称热门的秘密分享应用Whisper有9亿用户记录在线曝光。匿名供词和与这些帖子相关的所有元数据,包括位置坐标和其他敏感信息,都可以在不受密码保护的数据库中公开查看,如果被黑客访问,可能会导致用户身份识别和勒索。在公司收到事件通知后,将删除对数据的访问权限。7.KeepnetLabs(50亿)2020年3月,总部位于英国的网络安全公司KeepnetLabs发生了一起网络事件,承包商临时暴露了一个数据库,其中包含来自先前数据泄露地址和密码的50亿封电子邮件。这家收集历史违规数据以在其业务客户的数据遭到破坏时通知其业务客户的威胁情报公司表示,该公司正在迁移ElasticSearch数据库并禁用防火墙约10分钟以加快这一过程。这个危险的决定允许安全研究人员通过未受保护的端口访问数据而无需密码。8.AdvancedInformationService(83亿)2020年5月,泰国最大的GSM移动电话运营商AdvancedInfoService在涉嫌数据泄露后被迫删除其一个数据库。一位安全研究人员在网上发现了一个开放的ElasticSearch数据库,其中包含4TB的互联网使用数据,即83亿条记录。DNS查询和Netflow数据等候信息可用于映射用户的Internet活动。现在,泄露的数据库是安全的。9.CAM4(108.8亿)2020年3月,研究人员发现成人视频流媒体网站CAM4的一个未受保护的ElasticSearch服务器泄露了7TB数据,即近110亿条记录。暴露的记录包括敏感的用户信息,如全名、电子邮件地址、性取向、聊天记录和电子邮件通信、密码哈希、IP地址和支付日志。数据库错误已修复,但是,黑客是否访问了成人网站成员的高度敏感信息仍然未知,这些成员通常更愿意保持匿名。
