盘点：近一年全球十大数据安全事件

  近一年，数据隐私泄露事件频发，涉及面广，影响力大，企业因此陷入数据保护合规与社会舆情压力的双重危机。近日，我们根据网上已公开的数据泄露受影响人数，梳理了近一年来十大数据泄密事件，可供读者参考。据数据统计，共有近8亿人受到以下十大数据安全事件的影响。

01  Facebook：5.33亿用户信息泄露

影响人数：5.33亿

用户发现时间：2021年4月

事件概要

  据安全研究人员阿隆•加尔（Alon Gal）称，来自106个国家的超过5.33亿Facebook用户的个人信息已被免费在线泄漏，包括不少知名人士和公众人物，还包括超67万的国内用户，泄露的信息包括用户在脸书的账户名、位置、生日以及电子邮件地址等信息，非常的详细。事件起因在于2020年的漏洞，该漏洞使用户能够使用Telegram机器人来利用Facebook系统。此漏洞导致在低级黑客论坛上，以几欧元的价格就能轻松买到这些数据。

02  MobiKwik：上亿用户支付数据泄露

影响人数：1亿

发现时间：2021年3月

事件概要

  2021年3月，有黑客在暗网网站放话，称掌握着来自印度移动支付巨头MobiKwik的8.2 TB用户数据。作为印度最大的移动支付公司之一，MobiKwik拥有超过1.2亿用户，此次泄露了约1亿用户的个人信息，包括电话号码、邮箱、签名、交易日志、部分付款卡号、密码哈希以及个人身份证明文件，全部存放在一套可供搜索的数据库内。犯罪分子对这批数据开出了1.5个比特币的赎金，约88000美元。

03  OneMoreLead：6300万数据不安全

影响人数：6300万

发现时间：2021年8月

事件概要

  vpnMentor的研究团队在8月份发现， B2B 营销公司 OneMoreLead 将至少6300万美国人的私人数据存储在一个不安全数据库中，该公司任由此数据库完全敞开。该数据库包含列出的每个人的基本个人身份信息数据，以及有关其工作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中大量的 .gov 和纽约警察局电子邮件地址，这让黑客有可能渗透到原本安全的高级政府机构。vpnMentor 表示，政府和警察部门成员的私人数据如同从事犯罪活动的黑客眼里的金矿，可能导致重大的国家安全事件，使公众严重丧失对政府的信任。据 vpnMentor 称，姓名、电子邮件地址和工作场所信息暴露在任何拥有网络浏览器的人面前。

04  T-Mobile:四年内第六次数据泄露

影响人数：4860万

发现时间：2021年8月

事件概要

  2021年8月，美国电信巨头T-Mobile官方确认服务器被黑客入侵，正在调查数据泄露。最终已经证实，最近入侵其服务器的攻击者窃取了包含数千万个人信息的文件。本次入侵大规模影响了大约780万T-Mobile后付费用户、850000名T-Mobile预付费用户以及大约4000万以前或潜在用户。根据T-Mobile官方统计，加起来，攻击者窃取4860万人的记录，包括当前、以前或潜在的T-Mobile客户。

05  未知的营销数据库：3500万信息泄露

影响人数：3500万

发现时间：2021年6月

事件概要

  Comparitech研究人员在7月29日报告，一个含有估计3500万个人详细信息的神秘营销数据库泄露在网上，居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的人口统计信息（包括爱好、兴趣、购物习惯和媒体消费等）。相关样本显示，大多数记录与芝加哥、洛杉矶和圣迭戈这些大城市的居民有关。据 Comparitech 声称，凡是拥有网络浏览器和互联网连接的人都可以访问数据库全部内容，里面含有的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。Comparitech网络安全研究团队在6月26日发现了该数据库，尽管使出了浑身解数，还是无法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊网络服务（AWS），要求撤下数据库，不过，该数据在7月27日之前仍可以访问。

06  ParkMobile：2100万客户的账户信息正在被售卖

影响人数：2100万

发现时间：2021年3月

事件概要

  2021年3月，据知名网络安全新闻网站KrebsOnSecurity报道，有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。调查发现，被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。
  该公司还发现加密的密码被访问，但读取这些密码所需的加密密钥并未被访问。ParkMobile表示，它使用先进的散列和加入随机字符串（salting）技术对用户密码进行加密，以此保护用户密码。ParkMobile表示，用户应考虑更改密码，作为另一道预防措施；信用卡或停车交易历史记录未被访问；它并不收集社会保障号码、驾照号码或出生日期。ParkMobile称：“作为美国较大的停车应用软件，用户的信任是我们的重中之重。请放心，我们认真对待保护用户信息安全的责任。”

07  ClearVoiceResearch：1570万信息被售卖

影响人数：1570万

发现时间：2021年4月

事件概要

  ClearVoice在4月份获悉，一个未经授权的用户在网上发布了含有2015年8月和9月调查参与者的个人信息数据库，并向公众出售这些信息。可访问数据包括联系信息、密码以及针对用户健康状况、政治派别和种族等问题作出的答复。ClearVoice表示，这批数据可能会被不法分子滥用，导致调查参与者被人（比如广告商）联系。此外，可访问的信息可能用于准备个人资料，而这些资料可用于商业或政治目的。在收到未经授权用户发来的电子邮件的一小时内，ClearVoice表示它找到了备份文件，确保其安全，并消除了云服务端这个文件面临的泄露风险。另外ClearVoice对可能泄露信息的所有会员强行重置了密码，还实施了安全措施，以防止此类事件再次发生，并保护会员数据的隐私。

08 Jefit:905万账户被恶意访问

影响人数：905万

发现时间：2021年3月

事件概要

  锻炼跟踪应用程序Jefit在3月份发现了因安全漏洞而导致的数据泄密，这起事件影响了2020年9月20日之前注册的客户帐户。不法分子访问了以下信息：Jefit帐户用户名、与帐户关联的电子邮件地址、加密的密码以及创建帐户时的IP地址。Jefit保存IP地址用于防止机器人程序，并将滥用帐户登记在册。

  该公司查明了数据泄密的根本原因，并证实Jefit的其他系统未受影响。Jefit表示，它已采取安全措施来加强网络，以防范将来出现类似的泄密事件，并正在其产品上采用更加强大的密码策略，以便将来进一步保护用户帐户。此外，Jefit表示，敏感的财务数据未受到牵涉，因为该公司从不存储客户的付款信息。客户在Jefit网站购买产品时，所有支付流程都由Google Play Store 、 Apple App Store直接处理，或者由支付网关公司直接处理。

09  印度某政府网站：800万核酸检测报告被泄露

影响人数：800万

发现时间：2021年8月

事件概要

  2021年2月，安全研究人员Sourajeet Majumder 称他发现另外一个印度政府网站泄露了数百万核酸检测结果。研究人员发现网站在实现上存在问题，会导致在特定州进行核酸检测的人员的测试结果泄露。报告中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息。这里的特定州指的就是印度西孟加拉邦。根据政府每日公布的公告数据，研究人员推断泄露的核酸检测报告数大约在800万。Majumder 指出，泄露可以看到发送给测试者的消息的内容。

10  Robinhood：

影响人数：700万

发现时间：2021年11月

事件概要

  电子交易平台Robinhood在11月8日披露，未经授权的有关方在五天前通过电话冒充员工，访问了客户支持系统。Robinhood表示，在此次事件中，黑客获得了大约500万人的电子邮件地址列表以及另外大约200万人的全名。Robinhood表示，这700万条记录中的数千个条目包含电话号码，大约310人的姓名、出生日期和邮政编码已被公开，其中大约10个客户的更详细帐户信息被公开。Robinhood在遏制这起入侵后表示，黑客敲诈索要赎金。它及时通知了执法部门，将在Mandiant的帮助下继续调查这起事件