<
>

2019年最大的数据泄露:最糟糕的一些

CSA编辑器’s Comment: 我们想分享来自Synopsys Software Integrity Group的软件安全专家Taylor Armerding的这篇博客文章,我们认为这会使读者真正感兴趣。在这篇文章中,泰勒分享了2019年(迄今为止)发生的六起最大的数据泄露事件,该事件已经影响了亿万人,全球记录多达20亿条。令人不安的现实是,可以通过基本的安全卫生措施来防止全年发生的大多数此类违规事件和其他违规事件。

完整的博客文章如下:

 不幸的是,“另一天,另一次数据泄露”不仅仅是陈词滥调。这是现实。但是所有数据泄露都不相等。虽然它们都是不好的,但有些比其他的要差得多。

而且,2019年的数据泄露事件份额“更糟”。因此,尽管我们不想破坏“一年中最美好的时光”,但很明显,我们需要提醒我们,要使在线世界变得安全,我们还有很长的路要走。

是的,直接导致数据泄露的是罪魁祸首,骗子和欺诈者。但是令人不安的现实是,通过基本的安全卫生措施,可以防止2019年以来的大多数数据泄露,包括以下概述的所有数据泄露。有点像汽车被盗或被破坏。犯罪者应直接负责,但如果房主未锁好门而窗户在一个粗略的街区中打开,应该问“你在想什么?”

就受影响的人数而言,这是2019年(迄今为止)最严重的数据泄露事件的六分之一。

1. Verifications.io

  • 报告日期:2019年3月7日
  • 影响:全球8亿至20亿条记录
  • 安全失败:无需身份验证

据安全发现研究人员鲍勃·迪亚琴科(Bob Diachenko)称,电子邮件验证服务Verifications.io显然是在公开场合留下了大量的记录数据库。他在3月7日报道 博客文章 2月25日,他在一个包含非密码保护的150 GB MongoDB数据库中找到了这个宝藏,该数据库包含超过8.08亿条记录。当他将其追溯到Verifications.io并将其报告给公司时,该站点已脱机。

迪亚琴科还与经营着 我已经被认领了吗 网站。在分析了数据库之后,他们确定虽然泄露的信息不包括信用卡详细信息或密码,但确实包括姓名,实际地址,电话号码,电子邮件地址,出生日期,性别,雇主,地理位置,IP地址,和职称。

但是一天后,总部位于英国的DynaRisk告诉SC Media,数据泄露的规模几乎是后者的三倍,超过了20亿条记录。 DynaRisk还报告说,数据泄露事件包括更多信息:信用评分,利率,个人抵押贷款金额以及与Facebook,Instagram和LinkedIn上的社交媒体个人资料链接的电子邮件。

2.美国第一财经

  • 报告日期:2019年5月25日
  • 影响:约8.85亿个与抵押贷款交易相关的文件
  • 安全失败:缺少身份验证控制

财富500强金融服务公司First American Financial Corp.暴露了自2003年以来的约8.85亿笔抵押交易记录。该漏洞最初是由安全博客作者Brian Krebs于5月份报告的,他写道,该漏洞已被一名真实的人揭发。房地产开发商。

克雷布斯证实了提示者告诉他的内容:公司向其发送电子邮件链接到文档的任何人都可以访问记录,只需更改文档链接中的一位数字即可。

数字化记录包括银行帐号和对帐单,抵押和税务记录,社会保险号,电汇记录和驾驶证图像。

在克雷布斯(Krebs)通知该公司之后,第一美国人(First American)关闭了该网站。

在对克雷布斯的回应中,第一美国人将该漏洞称为“设计缺陷”。克雷布斯写道,他没有证据表明该数据已被大规模收集。但是,他说,“这将成为参与所谓的“企业电子邮件妥协”骗局的网络钓鱼者和骗子的虚拟金矿,骗局通常会冒充房地产经纪人,关闭代理机构,产权和代管公司,以欺骗房地产。所有者向欺诈者汇款。”

3.“集合#1”

  • 报告日期:2019年1月17日
  • 影响:将近7.73亿个唯一电子邮件地址和2200万个唯一密码
  • 安全失败:多种多样

特洛伊·亨特(Troy Hunt)在他的作品中展示了这个庞大而独特的收藏 我已经被认领了吗 网站位于名为MEGA的云存储服务中。

微软地区总监亨特(Hunt)在他的著作中写道 博客 在“多个人伸出援手”并指示他前往MEGA之后。亨特说,在撰写本文时,该数据已从MEGA中删除。

他说,该馆藏包括12,000多个独立文件和87 GB以上的数据。

“我的一位联系人将我引到了一个流行的黑客论坛,在该论坛上人们对数据进行了社交化,”该目录的根文件夹将其标识为“集合1”。

他说,他尚未核实列出的所有数据泄露的根源。但是,他说:“我自己的个人数据在那里,而且很准确;正确的电子邮件地址和我多年前使用的密码。”

黑客极有可能将数据用于凭据填充,这是Synopsys CSO Deirdre Hanford在最近的一次采访中引用的暴力攻击。 全国网络安全意识月.

4. Facebook

  • 报告日期:2019年4月3日
  • 影响:暴露了超过5.4亿条记录
  • 安全性失败:第三方托管的可公开访问的服务器

那是2019年1月10日,当时安全公司 维护网络风险 首先通知了总部位于墨西哥的数字媒体公司 文化文化 它发现了超过5.4亿个Facebook用户ID,帐户名称,喜欢和评论,这些信息在公开访问的服务器上公开。

Upguard在1月14日再次发送了通知。

该公司随后于1月28日通知Amazon Web Services,因为数据已存储在Amazon S3云存储桶中。亚马逊2月1日答复说,它已通知Cultura Colectiva。

但是直到4月3日,在彭博社(Bloomberg)与Facebook联系以发表评论之后,这个水桶才终于被保护起来。

在10月30日的一篇文章中,Upguard表示,尽管社交媒体巨头试图限制第三方访问,但“数据精灵无法放回瓶中。有关Facebook用户的数据已经远远超出了Facebook今天可以控制的范围。”
“将……与经常被错误配置为公共访问的存储技术结合起来,结果是有关Facebook用户的数据的尾巴很长,并且还在不断泄漏。”

该公司在同一篇文章中补充说,他们在首次将受到破坏的数据通知Cultura之后11个月进行了更新,“到目前为止,还没有任何回应。”

5. Fortnite

  • 报告日期:2019年1月16日
  • 影响:全球约2亿玩家
  • 安全故障:在线平台中的多个漏洞

根据 检查点研究,黑客可以通过“(所有者)Epic Games的在线平台中的多个漏洞”来访问用户帐户。如果用户单击黑客发送的链接,则该漏洞允许跨站点脚本(XSS)攻击。

Check Point报告说,该漏洞可能允许黑客“接管任何游戏者的帐户,查看其个人帐户信息,购买V-bucks,Fortnite的虚拟游戏内货币,并窃听并记录玩家的游戏内聊天记录和背景家庭对话。”

Check Point将其报告给Epic Games,后者对该漏洞进行了修补。

6. Elasticsearch云存储

  • 报告日期:2019年1月21日
  • 影响:1.08亿个投注记录
  • 安全失败:访问服务器不需要密码

当用户的活动记录和个人信息存储在没有使用密码保护的Elasticsearch服务器上时,一个在线赌场组织对用户来说是一个不好的选择(抱歉,无法抗拒)。

ZDNet报告说,安全研究员Justin Paine发现该数据库包含玩家的姓名,电子邮件地址,家庭住址,电话号码,投注,获胜,存款和取款。也有一些信用卡详细信息,但是它们被部分删除,因此无法被黑客使用。

ZDNet报告称,尽管只有一台服务器处于不安全状态,但它仍处理“从多个Web域中聚合的大量信息,最有可能是通过某种联属计划或一家经营多个博彩门户的较大公司收集的”。
Elasticsearch被描述为“公司为改善其Web应用程序的数据索引和搜索功能而安装的便携式高级搜索引擎”,意在保留在内部网络中,而不是在线公开。

该公司告诉InfoSecurity,数据泄露与“与Elastic开发的软件中的缺陷或漏洞无关”。相反,发生这种情况的原因是“个人或组织已经主动配置其安装,以允许未经授权和经过身份验证的用户通过Internet访问其数据。”

之所以发生这种情况,是因为这些组织未能意识到他们必须为Elastic的安全功能付费。

“该软件的免费版本仅包含安全选项作为试用版。您必须为高级产品付费才能打开安全功能。” InfoSecurity指出。

分享我们的想法

0 Comment 登录 或者 登记 to post comments