超大规模数据泄密案中260亿条数据遭到泄露

Anna艳娜2024-01-24 14:09:20

超大规模的“泄露之母”(简称MOAB)包含来自成千上万个精心编译和重新索引的泄露、威胁和私下出售的数据库的记录,数量多达12TB的信息,涵盖260亿条记录。这次泄露的数据包括领英、推特、微博、腾讯及其他平台的用户数据,几乎可以肯定是这是迄今为止发现的一起最大规模的泄密案。本文末尾附有易于搜索的完整列表。


那么,哪种类型的数据被泄露了呢?根据泄露来源,我们基本上可以假设涉及以下几大类:


•个人信息:这类数据可能包括个人的姓名、地址、电话号码及其他个人身份信息(PII)。这类数据经常成为身份盗窃和欺诈活动的目标。


•凭据:用户名、电子邮件地址和密码已被泄露,当个人在多个平台上重复使用同一个密码时尤为容易泄露。


•财务信息:泄露可能涉及财务数据的暴露,包括信用卡号、银行账户详细信息和交易记录。这类信息可能被用于金融欺诈。


•社交媒体数据:由于来自腾讯、微博、推特和聚友等平台的记录也在泄露之列,用户的社交媒体资料、联系信息和内容可能遭到了泄露。


•职业信息:领英记录被曝光意味着职业简介、工作经历和公司信息可能会遭到曝光。


•娱乐和游戏数据:Deezer、Zynga和MyFitnessPal等服务也在泄露之列,这意味着用户账户、偏好设置甚至应用程序内购买资料都可能遭到了泄露。


•政府记录:这起泄密案波及多个国家的政府组织,引发了人们对政府敏感数据泄露和可能危及国家安全的担忧。


研究人员在一个公开的实例中发现了上百亿条暴露的记录,这个实例的所有者真实身份不太可能被确认。


据该团队声称,虽然泄露的数据集主要包含过去数据泄露案的信息,但几乎可以肯定包含以前并未发布过的新数据。比如说,Cybernews数据泄露检查工具依赖于各大数据泄露案的相关数据。这起史上规模最大的泄露包含3800个文件夹中的260亿条记录,每个文件夹对应一起单独的数据泄露案。

数十亿条新记录指明:这起史上规模最大的泄露包含以前从未见过的信息。


研究人员认为,这起泄露案背后的始作俑者在存储大量数据方面有既得利益,因此,可能是恶意分子、数据经纪公司或处理大量数据的某家服务商。“该数据集极其危险,因为威胁分子可以利用汇总的数据实施一系列广泛的攻击,包括身份盗窃、复杂的网络钓鱼骗局、针对性的网络攻击以及未经授权访问个人敏感账户。”


这起泄露案似乎不仅仅是由新窃取的数据构成,很可能是多起泄露的超大汇集。泄露的数据所含的信息远不止用户凭据——大多数暴露的数据是敏感的,因此对恶意分子来说大有价值。



图1


如果你快速浏览一下数据树,会发现数量最多的记录来自即时通讯应用软件腾讯QQ,达到了14亿条。


然而,据称有数亿条记录来自微博(5.04亿条)、聚友(3.6亿条)、推特(2.81亿条)、Deezer(2.58亿条)、领英(2.51亿条)、AdultFriendFinder(2.2亿条)、Adobe(1.53亿条)、Canva(1.43亿条)、VK(1.01亿条)、Daily Motion(8600万条)、Dropbox(6900万条)、Telegram(4100万条)以及其他许多公司和组织。


泄露的数据还包括美国、巴西、德国、菲律宾、土耳其及其他国家的多个政府机构的记录。


据研究团队声称,这起超大规模泄密案对消费者的影响可能是前所未有的。由于许多人重复使用用户名和密码,恶意分子有可能发起海啸般的凭据填充(即撞库)攻击。


研究人员表示,如果用户在Netflix账户上使用的密码与他们在Gmail账户上使用的密码是同一个,攻击者就可以趁机大做文章,转而攻击其他更敏感的账户。除此之外,数据包含在这起超大规模泄露案中的用户,可能会沦为鱼叉式网络钓鱼攻击的受害者,或者收到大量垃圾邮件。


这起泄密案的规模是前所未见的。在2021年,发生了一起涉及32亿条记录的严重泄密案,但其数量仅为今年这起超大规模泄密案的12%。研究团队强烈建议用户保持警惕,注意自身的网络安全。


每个人都应该使用难以猜测的强密码,在所有重要账户上启用多因素身份验证,密切关注网络钓鱼和鱼叉式网络钓鱼活动,检查密码重复情况,并立即为共享同一密码的账户设置新的密码。建议使用可生成和安全存储复杂密码的密码管理器,这将为个人的数据安全提供数字防御。


参考及来源:https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/




大数据数据与信息
本作品采用《CC 协议》,转载必须注明作者和本文链接
编者按: 关于企业上市全过程中的数据安全、网络安全和个人信息保护方面的监管重点、风险和应对,DPO社群中的很多同仁发表过一些文章: 企业上市过程面临的数据合规问题和相关风险:境外篇 2021版(DPO社群成员观点) 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点) 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点) 企业上市过程面临的数据合规问题和相关风
各经济体更加重视数据竞争力,纷纷制定出台数据战略,宣誓数据安全和主权。因此,欧盟认为必须建立欧洲数据主权。近年来,我国陆续发布了一系列数据及其安全相关的法律法规和标准规范,数据资产价值得到确认。2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制。
近年来,App的迅猛发展使得个人信息安全问题更为复杂和多样化。法律法规无疑是治理违规App的根本依靠和有力抓手,本文梳理了国外个人信息保护的相关法律法规,为业界提供参考。
国家工业信息安全发展研究中心作为国家级信息安全研究和推进机构,联合华为技术有限公司共同研究编制了《数据安全白皮书》,全面分析了我国数据安全产业基础、防护关键技术、法律法规体系现状,从提升数据安全产业基础能力、加快研究和应用数据安全防护技术、强化法律法规在数据安全主权的支撑保障作用等三方面展望数据安全发展未来,提出了数据安全发展倡议,为行业发展提供借鉴和参考,积极推动我国数据治理工作有序开展。
2020年公司高损台区减少电量损失2.6亿千瓦时,在国网系统内率先实现购售同期自然月抄表电费回收率达99.999%以上,获得国网业绩考核“A+”级企业。目标是完成电网全业务数据收集分析,优化电网运行过程中的数据分析处理效率,提升公司内部经营管理、生产控制以及公共服务能力。同时,对电网运营人员进行同步的数字化运营技能提升,逐步实现将数字化融入电网业务、基层一线和产业生态,最终实现公司数字化转型。
随着数据、人工智能和云计算等信息技术的发展,安全防护形势也越来越严峻,IT 架构和服务模式不断发生变化,传统的安防体系面临着诸多问题。在继承传统的安全防护体系的基础上,提出了将数据相关技术融入到安防体系中,并从数据接入层面、数据融合分析层面、数据服务层面出发,通过数据等技术手段构建了安全数据中台,完善了安全防护技术体系。实践证明,该体系在结构上能够有效弥补传统安全防护架构的不足。
在数字经济时代,随着人工智能、数据等产业的快速发展,数据要素的作用及其重要性愈发凸显。与此同时,大量挖掘和收集用户数据信息,金融领域用户数据信息泄露事件多发。 随着《数据保护法》《个人信息保护法》等的落地,金融业如何做到既保护数据安全,又充分发挥数据资产价值、高效链接多方数据,成为一项亟需解决的课题。
Palantir公司名称来源于《指环王》,palantir是“seeing-stone”,可穿越时空、洞悉世间一切。公司于2003年5月注册成立,总部设在美国科罗拉多州的丹佛,专门从事数据分析。2020年9月29日登陆纽交所,估计潜在市场超过千亿美元。
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括: 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品) 简析欧盟《数字市场法》关于数据方面的规定 数据流通障碍初探——以四个场景为例 对“数据共享合法化”的分析思考系列之一:以《关于欧洲企业间数据共享的研究》为起点 对“数据共享合法化”的分析思考 系列之
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括: 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品) 简析欧盟《数字市场法》关于数据方面的规定 数据流通障碍初探——以四个场景为例 对“数据共享合法化”的分析思考系列之一:以《关于欧洲企业间数据共享的研究》为起点 对“数据共享合法化”的分析思考 系列之
Anna艳娜
暂无描述