2022年国际十大数据泄露事件
“Security”杂志总结了2022年最严重的十大数据泄露事件。
据IBM Security的“数据泄露成本报告”显示,2021年-2022年间,数据泄露的全球平均成本从424万美元增加至435万美元,同比增长2.6%,创历史新高。虽然数据泄露有关的财务成本较高,但其对于企业的实际影响显然还要更深,还涉及到声誉损失、法律责任以及消费者的信任损失等。
基于此,“Security”(网络安全领域电子杂志)总结了2022年最严重的十大数据泄露事件:
TOP 10 - SuperVPN、GeckoVPN和ChatVPN数据泄露
此次事件涉及几个广泛使用的Android VPN服务(SuperVPN、GeckVPN和ChatVPN),导致2100万用户的信息泄露。这些信息包括用户全名、用户名、国家名称、账单明细、电子邮件地址和随机生成的密码字符串。
TOP 9 - 哥斯达黎加政府数据泄露
在一次备受瞩目的网络攻击中,Conti勒索软件团伙入侵了哥斯达黎加政府系统,窃取了具有极高价值的数据,并索要2000万美元,迫使中美洲政府宣布进入紧急状态。数周后,共有670GB的数据(占访问数据的90%)被发布到泄漏站点。
TOP 8 - Neopets数据泄露
今年7月,一个包含Neopets(游戏网站)6900万用户帐户信息的数据库遭公开发售。数据库可用信息包括姓名、电子邮件地址、邮政编码、性别和出生日期等。一项调查显示,攻击者在2021年1月3日-2022年7月19日共18个月期间,曾多次访问了Neopets的IT系统。
TOP 7 - Twitter数据泄露
年中,Twitter网站上540万个账户的电话号码和电子邮件地址遭泄露。多份报道称,这些数据是在2021年12月通过漏洞赏金计划中披露的Twitter API漏洞收集的,该漏洞允许人们将电话号码和电子邮件地址提交到API中检索相关的Twitter ID。使用这些ID,黑客得以检索有关帐户的公共信息,以创建包含私人和公共信息的用户记录。
TOP 6 - Uber数据泄露
虽然这个影响了5700万用户的数据泄露事件发生在2016年并已于2017年被披露,但Uber今年承认了曾试图掩盖该事件的事实。当时Uber面临十分严重的安全漏洞。根据美国司法部(DOJ)的说法,Uber前首席安全官乔·沙利文(Joe Sullivan)采取了多项措施以防止美国联邦贸易委员会(FTC)发现数据泄露情况,并向黑客支付了10万美元赎金换取他们的保密协议,确保信息不被公开。
最终沙利文因隐瞒此次攻击事件而被判有罪——这是企业高管首次因与数据泄露有关的指控而面临刑事诉讼。
TOP 5 - Twilio数据泄露
美国通讯巨头Twilio今年8月证实,网络犯罪分子在一次网络钓鱼攻击后访问了125名客户的数据。攻击者伪装成IT部门的工作人员,诱骗公司员工交出登录凭证。现任和前任员工最近报告说,他们曾收到自称来自IT部门的短信,称员工的密码已经过期、日程已更改,要求员工登录被攻击者控制的URL。
Twilio称,其他公司也曾遭受过类似的攻击,并对如何应对威胁行为者进行了协调,包括与运营商合作停止恶意消息的发送,与注册商和托管提供商合作关闭恶意URL。
在27万余总客户群中的209名客户、7500万总用户中的93名Authy最终用户的账户受到了此次事件的影响。Twilio还表示,没有证据表明恶意行为者访问了Twilio客户的控制台帐户凭据、身份验证令牌或API密钥。
TOP 4 - DoorDash数据泄露
今年8月,外卖巨头DoorDash证实其490万客户、员工和商家的个人信息遭到泄露。DoorDash表示,攻击者访问了DoorDash客户的姓名、电子邮件地址、送货地址和电话号码。黑客还获取了“一小部分”用户的支付卡信息(包括银行卡类型和卡号后四位数字)。
TOP 3 - Optus数据泄露
今年9月,拥有970万用户的澳大利亚电信公司Optus遭遇大规模数据泄露,涉及用户姓名、出生日期、电话号码和电子邮件地址等信息。还有一群客户的实际地址和个人身份信息(例如驾驶执照和护照号码)可能已泄露。多份报道称,是由国家支持的黑客或犯罪组织突破了该公司的防火墙,获取了敏感信息。
TOP 2 - LAUSD数据泄露
由于美国第二大学区——洛杉矶联合学区(LAUSD)未能在10月4日之前支付赎金,俄语黑客组织Vice Society泄露了该学区的500GB信息。这些数据包含护照详细信息、社会安全号码和纳税表格、联系方式、法律文件、包含银行账户信息的财务报告、健康信息、定罪报告和学生的心理评估等个人身份信息。
TOP 1 - Medibank数据泄露
澳大利亚最大的健康保险提供商之一Medibank Private证实,970万新老客户(包括180万名国际客户)的数据已被未经授权访问。但Medibank称不会支付赎金,并表示:“我们认为,通过支付赎金来确保黑客归还、并防止其公布客户数据的可能性非常有限。”
