盘点:2021年全球十大数据安全事件

2022-01-30

  2021年,数据隐私显露事务频发,涉及面广,影响力大,企业于是陷入数据偏护合规与社会舆情压力的双重危境。指日,有海外媒体梳理了2021年十大数据泄密事务,并对事务举行了点评理解,可供读者参考。据数据统计,共有近2.2亿人受到以下十大数据安然事务的影响,个中三起泄密事务发作正在科技公司,四起涉及敏锐纪录的显露。

  vpnMentor的钻研团队正在8月份发觉, B2B 营销公司 OneMoreLead 将起码6300万美邦人的私家数据存储正在一个担心悉数据库中,该公司任由此数据库完整开放。该数据库包括列出的每片面的根本片面身份音讯数据,以及相闭其就业和雇主的相似数据和音讯。这些音讯很或者被供应给注册其 B2B 营销供职的客户或顾客。vpnMentor 看到了数据库中大批的 .gov 和纽约警员局电子邮件地点,这让黑客有或者排泄终归本安然的高级政府机构。vpnMentor 透露,政府和警员部分成员的私家数据坊镳从事违法举止的黑客眼里的金矿,或者导致庞大的邦度安然事务,使民众急急失掉对政府的信赖。据 vpnMentor 称,姓名、电子邮件地点和就业场合音讯大白正在任何具有搜集浏览器的人眼前。

  科技和数据看待即日的营销而言相当紧要,大数据营销的观念也是欣欣向荣。当营销者们兴高彩烈地搜聚数据,筑造模子,去做洞察,以指示营销时,用户数据的安然性该若何保证,企业营销的底线是什么,值得营销公司深思。

  T-Mobile 于 8 月 17 日证据,其体系正在 3 月18 日遭到了搜集违法攻击,数百万客户、前客户和潜正在客户的数据于是泄密。T-Mobile 透露,显露的音讯蕴涵姓名、驾照、政府身份证号码、社会保证号码、出寿辰期、 T-Mobile 充值卡 PIN 、地点和电话号码。T-Mobile透露,非法分子应用明白工夫体系的拿手以及特意器械和性能,访谒了该公司的测试境况,随后采用蛮力攻击及其他设施,进入到了含有客户数据的其他 IT 供职器。T-Mobile 透露,它弄显现了非法分子若何犯法进入其供职器并紧闭这些入口点。该公司透露,它将向全豹或者受到影响的人供应为期两年的免费身份偏护供职(迈克菲的身份偷取防护供职)。别的, T-Mobile 透露为后付费客户供应帐户收受防护供职,如许一来,客户帐户更难被人以诓骗方式外泄和偷取。

  T-Mobile 是一家跨邦挪动电话运营商,是德邦电信的子公司,属于 Freemove 同盟。T-Mobile 正在西欧和美邦运营 GSM 搜集,并通过金融方式参加东欧和东南亚的搜集运营。该公司具有1.09亿用户,是全邦上较大的挪动电话公司之一。看待搜集违法分子来说,这类公司具有较高代价。通讯公司有任务偏护好客户音讯,必要正在数据安然方面做更众作业。

  Comparitech钻研职员正在7月29日申报,一个含有臆度3500万片面详明音讯的奥秘营销数据库显露正在网上,果然未设暗码。该数据库蕴涵姓名、闭联音讯、家庭住址、种族以及繁众的生齿统计音讯(蕴涵酷爱、兴会、购物民风和媒体消费等)。相干样本显示,人人半纪录与芝加哥、洛杉矶和圣迭戈这些大都会的住民相闭。据 Comparitech 声称,普通具有搜集浏览器和互联网邻接的人都能够访谒数据库整个实质,内里含有的音讯可用于有针对性的垃圾邮件和诈骗举止以及搜集垂纶。Comparitech搜集安然钻研团队正在6月26日发觉了该数据库,即使使出了满身解数,仍是无法确定该数据库归谁全豹。该公司闭联了托管该数据库供职器的亚马逊搜集供职(AWS),央求撤下数据库,可是,该数据正在7月27日之前仍能够访谒。

  互联网正在供应精准营销的背后,却是一遍又一遍对用户隐私数据的索取、整顿、理解和发现。任何邦度的任何功令,都没有说不许可行使片面音讯,全豹的功令和原则,都是缠绕若何精确行使这些音讯,而不是若何禁止行使这些音讯,这是一个大条件。那么,片面数据若何才算精确行使呢?这就涉及到“应承”规矩,应承规矩是企业行使片面音讯的出发点。当然,也有破例的景况能够不原委片面应承就行使片面音讯,大凡都是涉及邦度安然等特地景况。应承规矩包括三个类型:默认应承、昭示应承和授权应承。

  ParkMobile正在3月份发觉一块与第三方软件裂缝相闭的搜集安然事务。考查发觉,其根本的用户音讯被人访谒,蕴涵车字号、电子邮件地点、电话号码和车辆昵称。正在少数景况下,邮寄地点也被访谒。该公司还发觉加密的暗码被访谒,但读取这些暗码所需的加密密钥并未被访谒。ParkMobile透露,它行使进步的散列和出席随机字符串(salting)工夫对用户暗码举行加密,以此偏护用户暗码。ParkMobile透露,用户应试虑更改暗码,行动另一道防范办法;信用卡或泊车业务史书纪录未被访谒;它并不搜聚社会保证号码、驾照号码或出寿辰期。ParkMobile称:“行动美邦较大的泊车行使软件,用户的信赖是咱们的重中之重。请释怀,咱们卖力看待偏护用户音讯安然的负担。”

  ParkMobile是正在北美颇受迎接的挪动泊车行使,用来显示陌头可用的泊车位Parkmobile还援手行使内支拨泊车费,即用户进入适当央求的间隔之后能够正在手机上为车位付费。可是必要卓殊小心的是,该性能只面向ParkmobilePro付用度户绽放。它还能供应泊车费扣头、途边救援以及暂且优惠举止。正在给用户带来轻易的同时,其安然性也必要进一步增强。

  ClearVoice正在4月份获悉,一个未经授权的用户正在网上颁发了含有2015年8月和9月考查参加者的片面音讯数据库,并向民众出售这些音讯。可访谒数据蕴涵闭联音讯、暗码以及针对用户壮健处境、政事流派和种族等题目作出的回答。ClearVoice透露,这批数据或者会被非法分子滥用,导致考查参加者被人(好比广告商)闭联。别的,可访谒的音讯或者用于预备片面材料,而这些材料可用于贸易或政事宗旨。正在收到未经授权用户发来的电子邮件的一小时内,ClearVoice透露它找到了备份文献,确保其安然,并歼灭了云供职端这个文献面对的显露危机。其余ClearVoice对或者显露音讯的全豹会员强行重置了暗码,还履行了安然办法,以预防此类事务再次发作,并偏护会员数据的隐私。

  ClearVoice是一片面才搜集和实质营销平台,助助企业创筑令人着迷的实质,以援手他们的博客,SEO,社交媒体和营销自愿化。ClearVoice集成的编辑日历和简化的实质就业流程可进步就业效果,并助助营销职员实行其实质营销标的。鲜明,正在其发展相干营销举止时,并未很好地将安然性纳入到其平台上。

  锤炼跟踪行使顺序Jefit正在3月份发觉了因安然裂缝而导致的数据泄密,这发难务影响了2020年9月20日之前注册的客户帐户。非法分子访谒了以下音讯:Jefit帐户用户名、与帐户干系的电子邮件地点、加密的暗码以及创筑帐户时的IP地点。Jefit保留IP地点用于预防呆板人顺序,并将滥用帐户注册正在册。该公司查领会数据泄密的基本来源,并证据Jefit的其他体系未受影响。Jefit透露,它已采纳安然办法来增强搜集,以提防异日显示相似的泄密事务,并正正在其产物上采用加倍重大的暗码战术,以便异日进一步偏护用户帐户。别的,Jefit透露,敏锐的财政数据未受到株连,由于该公司从不存储客户的付款音讯。客户正在Jefit网站添置产物时,全豹支拨流程都由Google Play Store 、 Apple App Store直接治理,或者由支拨网闭公司直接治理。

  Jefit建立于2010年,立志于成为健身界的Facebook,正在这个语境下,它有着同类行使难以比肩的大型数据库:进步1300种练习行动,以及数以百万计用户分享的练习谋略。Jefit只可做到对健身练习数据的追踪和拘束,念要直观地舆解肯定周期内片面正在健身时的练习形态和身体出现景况,还得借助极少数据整合和理解器械。不管是行使自己体系仍是借助于第三方器械,都必要做好数据偏护就业。

  电子业务平台Robinhood正在11月8日披露,未经授权的相闭朴直在五天前通过电话假意员工,访谒了客户援手体系。Robinhood透露,正在此次事务中,黑客取得了大约500万人的电子邮件地点列外以及其余大约200万人的全名。Robinhood透露,这700万条纪录中的数千个条款包括电线人的姓名、出寿辰期和邮政编码已被公然,个中大约10个客户的更详明帐户音讯被公然。Robinhood正在遏止这起入侵后透露,黑客讹诈索要赎金。它实时报告了司法部分,将正在Mandiant的助助下不绝考查这发难务。

  假意他人登录到企业搜集,本相上即是偷取员工的身份。身份认证也称为身份验证或身份识别,是指正在阴谋机及阴谋机搜集体系中确认操作家身份的进程,从而确定该用户是否具有对某种资源的访谒和行使权限,进而使阴谋机和搜集体系的访谒战术也许牢靠、有用地奉行,预防攻击者假装合法用户取得资源的访谒权限,保障体系和数据的安然,以及授权访谒者的合法益处。简单的身份认证方式容易导致账号被冒用,变成内部音讯显露,企业必要进一步加固自己的身份认证编制,来保证搜集音讯的安然。

  2021年头,黑客连合旧版Accellion文献传输筑造(FTA)中众个零日裂缝器械,向外显露数据,央求付款以确保奉还和删除数据。据HIPAA Guide网站报道, Clop勒诈软件团伙的数据显露网站被用来颁发极少被盗数据,劝诱受害者支拨赎金。截至2021年4月份,已知起码九家医疗保健构制受到了Accellion数据泄密事务影响,个中蕴涵Kroger Pharmacy的147万客户、Health Net的124万会员、Trinity Health的58.7万患者、California Health&Wellness的8万会员、Trillium Health Plan的5万客户,以及Arizona Complete Health的2.9万会员。Stanford Medicine 、 University of Miami Health和 Centene Corp也受到了这回泄密事务的影响,可是这每家构制中受影响的人数尚未取得证据。显露音讯蕴涵姓名、社会保证号码、出寿辰期、信用或银行账号、壮健保障号码及/或与壮健相闭的音讯。

  零日裂缝(zero-day)又叫零时差攻击,是指被发觉后当即被恶意应用的安然裂缝。普通地讲,即安然补丁与瑕疵曝光的统一日内,相干的恶意顺序就显示。这种攻击往往具有很大的突发性与损坏性。有证据显示,黑客加倍特长正在发觉安然裂缝不久后应用它们,履行攻击举止。固然目前不行完整提防零日裂缝攻击,可是,科学完满的防御编制能有用裁汰被零日攻击的机率,以及低落零日攻击变成的耗损。

  Infinity保障公司正在3月份披露,正在2020年12月的两天内,有人未经授权,短暂访谒了Infinity搜集中供职器上的文献。Infinity周详审查保留正在被访谒供职器上的文献后发觉,极少社会保证号码或驾照号码包括正在文献中。这发难务还影响了Infinity现正在和以前的员工,显露音讯蕴涵员工姓名、社会保证号码及/或有限景况下与病假或员工补偿索赔相闭的医疗音讯。受影响员工和客户将取得为期一年的免费信用监控供职会员资历。为了低落发作相似事务的危机,Infinity不绝审查其搜集安然谋略,并应用考查音讯来确定其余的办法,以进一步巩固搜集安然性。该公司正在致员工的一封信中写道:“咱们懂得偏护片面音讯的紧要性,对由此变成的未便深外歉意。”

  Infinity家当保障公司是总部设立正在伯明翰,为美邦各州供应汽车保障的公司。行动美邦出现优越的公司之一,供应非法式的汽车保障,为那些不行通过法式保障公司取得安然保证的片面供应保障供职。这些不法式的身分或者是由于驾驶纪录里有事情纪录,驾驶者的年数,车型以及其他百般来源。Infinity家当保障公司是正在非法式承保行业中第三大保障公司,行动有云云影响力的保障公司,应增强其数据安然。

  奢华品百货连锁店尼曼正在9月份披露,未经授权的相闭方于2020年5月获取了与客户正在线帐户相闭的片面音讯。该公司透露,它已将该事务报告司法部分,已与Mandiant密契合作发展考查。显露音讯或者蕴涵:姓名及闭联材料、支拨卡号及有用期、尼曼虚拟代金券号码,以及与正在线帐户相闭的用户名、暗码以及安然题目和谜底。尼曼称,大约310万张支拨卡和虚拟代金券受到了影响,个中进步85%为过时或无效。尼曼回应称,它央求自2020年5月此后未更改暗码的受影响客户重置正在线帐户暗码。别的该公司透露,假使受影响客户为其他任何正在线帐户行使的登灌音讯与用于其尼曼帐户的登灌音讯不异或一致,应更改登灌音讯。

  尼曼集团( Neiman Marcus )是美邦以筹划奢华品为主的连锁高端百货市廛,是当今全邦高等、奇特时尚商品的零售商,已有100众年的发扬史书,其总部正在美邦得克萨斯州达拉斯,能进入该百货的品牌都是各个行业中的俊彦。此次数据显露事务,使其民众声望受损。