当今数字化时代,数据泄露事件频发,凸显了数据安全和隐私保护的重要性。保护个人隐私和敏感数据是关乎用户权益和信息安全的重要任务。在面对这一挑战时,我们需要重视数据隐私保护、信息安全和网络安全,以确保用户数据不受侵犯,保障信息安全。
1、2024年3月数据泄露事件
1.1数据库暴露导致世界科技巨头的2FA代码泄露
根据报道,一家在全球范围内提供短信转发服务的亚洲科技和互联网公司YX International,因为未对其内部数据库进行密码保护,导致其数据库被公开暴露在互联网上,任何人都可以通过浏览器访问其中的敏感数据。这些数据包括了为用户发送的一次性验证码和密码重置链接,这些验证码和链接可能被用于访问用户的Facebook、Google、TikTok等账户。YX International是一家生产移动网络设备和提供短信转发服务的公司。短信转发服务可以帮助将及时的短信信息发送到不同地区和运营商的目的地,例如Facebook和WhatsApp。YX International声称每天可以发送500万条SMS短信。但是,该公司却没有对其数据库进行安全防护,使得其数据库中的内容可以被任意访问。研究人员发现了这个数据库,并将其报告给了TechCrunch,以帮助确定其所有者并通知其安全漏洞。这个数据库中包含了用户收到的短信内容,包括一次性验证码和密码重置链接,这些验证码和链接来自于一些全球最大的科技和在线公司,例如Facebook和WhatsApp、Google、TikTok等。这些验证码和链接通常在几分钟内或者使用一次后就会失效,但是它们仍然存在于数据库中,有可能被恶意利用。
https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/
1.2GoFetch攻击威胁苹果M系列芯片可致安全加密遭泄露
一种名为"GoFetch"的新型旁道攻击手段影响了苹果的M1、M2和M3处理器,此攻击手段可用于从CPU缓存中窃取密钥。GoFetch攻击利用现代苹果CPU中的数据存储器依赖预取器(DMPs),并瞄准了执行时间恒定的密码实现,从而重建包括OpenSSL Diffie-Hellman、Go RSA、CRYSTALS Kyber和Dilithium在内的多种算法的私钥。这一攻击由来自美国多所大学的七名研究人员开发,并于2023年12月5日向苹果报告了他们的发现。然而,由于这是一个基于硬件的漏洞,目前无法在受影响的CPU中修复它。虽然可以通过软件修复来减轻缺陷,但这会影响这些CPU的密码功能的性能。研究者们发现了苹果DMP系统实现中的一个缺陷,违反了恒定时间编程方式的良好实践原则。攻击者可以精心制作特殊输入,诱使预取器解引用数据,如果正确猜测了密钥的某些位,则该数据将呈现为指针。然后,他们观察DMP是否激活,逐渐推断出密钥的位。通过反复执行这一过程,可以逐步重建整个密钥。
1.3苏格兰健康局遭网络攻击面临数据泄露风险
https://www.nhsdg.co.uk/cyberattack/
2024年3月15日,服务于苏格兰西南部地区的NHS Dumfries and Galloway健康局宣布遭受了一次有针对性的持续网络攻击。尽管具体攻击方式未公开,健康局已警告表示有大量患者和员工数据可能已被泄露。目前,该健康局已经启动既定应对协议,正在与多个合作机构紧密合作,包括Police Scotland、国家网络安全中心(NCSC)和苏格兰政府,旨在控制攻击、调查数据泄露范围并减轻潜在损害。该网络攻击可能导致NHS Dumfries and Galloway的服务中断,潜在影响包括病患预约、在线服务的访问或内部行政职能。该健康局提示,尚未确定确切被访问的数据类型,但可能包括姓名、地址、病历记录和国民保险号等敏感信息。NHS Dumfries and Galloway呼吁员工和病患保持警惕,特别是对任何试图获得个人信息或财务详情的可疑电子邮件或电话。他们建议个人不要点击来自未知发件人的链接或打开附件,并立即报告任何可疑活动。
1.4配置错误的 Firebase 实例暴露了1.25 亿条用户记录
https://www.securityweek.com/misconfigured-firebase-instances-expose-125-million-user-records/
安全研究人员警告称,数百个网站错误配置了 Google Firebase,泄露了超过 1.25 亿条用户记录,其中包括明文密码。
1.5富士通遭受恶意软件攻击并发生数据泄露
https://securityaffairs.com/160682/hacking/fujitsu-suffered-cyberattack.html
日本科技巨头富士通周五宣布遭遇恶意软件攻击,威胁行为者可能窃取了个人和客户信息。该公司透露,多台工作计算机感染了恶意软件,为了应对这一威胁,安全人员将受影响的系统与网络断开。该公司对此事件展开调查,发现威胁行为者可能泄露了包含个人和客户信息的文件。
1.6法国政府数据泄露暴露4300万民众信息
https://www.francetravail.fr/candidat/soyez-vigilants/cyberattaque-soyez-vigilants.html
法国政府部门——负责注册和帮助失业人员的France Travail——最近成为一起大规模数据泄露的受害者,这次泄露影响了多达4300万公民的信息。France Travail在周三宣布,已将此次涉及包含20年个人信息的事件通报给该国的数据保护监管机构CNIL。泄露的数据包括姓名、出生日期、社会保障号码、France Travail标识符、电子邮件地址、邮政地址和电话号码,好在密码和银行详情没有受到影响。然而,CNIL警告说,此次泄露中被窃数据可能与其他数据泄露中被盗数据相关联,用于构建关于任何特定个人的更大信息库。目前尚不清楚攻击者是否窃取了数据库的全部内容,但声明暗示至少有部分数据被提取。这次据称非法提取的数据库包含了目前注册在册的人员、过去20年注册过的人员,以及那些虽未在求职者名单上却在francetravail.fr上拥有候选人空间的人员的个人身份数据。
1.7法国失业机构数据泄露影响 4300 万人
被盗数据包括敏感的个人详细信息,如全名、出生日期、社会安全号码和联系信息,构成身份盗窃和网络钓鱼的重大风险。
1.8宏碁菲律宾公司第三方供应商遭黑客攻击数据泄露
https://securityaffairs.com/160432/data-breach/acer-philippines-data-breach.html
宏碁菲律宾分公司在其员工数据在一个黑客论坛上被威胁行为者泄露后,确认了一起数据泄露事件。这起针对其一个第三方服务提供商的攻击导致员工数据泄露。被黑的第三方公司管理着宏碁员工的考勤数据。使用化名ph1ns的威胁行为者在一个黑客论坛上泄露了被窃取的数据,并声称这些数据来自宏碁公司的人力资源部门。ph1ns在论坛上发布了一个含有被盗数据的数据库的链接。宏碁被黑客攻击,但威胁行为者并未部署任何勒索软件。他们还强调,并未对公司进行敲诈,然而,他们抹除了受损系统上的数据。宏碁意识到了这次数据泄露,但指出只有一小部分员工受到影响,客户数据未受到泄露。
1.9印度一金融公司泄露用户信息,数据量超过3TB
https://www.freebuf.com/news/394649.html
近日,印度一家非银行性质地金融公司 IKF Finance 泄漏了超过 3 TB 的敏感客户和员工数据,可能暴露了其整个用户群体。
1.10 2023年GitHub平台泄露超1200万份认证秘钥
https://www.gitguardian.com/state-of-secrets-sprawl-report-2024
GitHub用户在2023年意外公开了超过320万个公共仓库中的约1280万个认证和敏感秘钥,大多数在五天后仍然有效。所泄露的秘钥包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭据、OAuth令牌等敏感数据,这些数据的泄露可能会让外部人员无限制地访问各种私有资源和服务,导致数据泄露和财务损失。根据Sophos2023年的报告显示,在年初半年度记录的所有攻击中,50%源于凭证泄露,其次是漏洞利用造成的攻击方式占23%。自2020年以来,GitGuardian指出GitHub上的秘钥泄露呈现负面趋势。2023年,生成式AI工具继续爆炸式增长,这也反映在去年GitHub上泄露的相关秘钥数量上。研究人员观察到与2022年相比,OpenAI API密钥在GitHub上泄露的数量增长了1212倍,平均每月泄露46441个API密钥,成为该报告中增长最快的数据点。
1.11台湾省中华电信发生数据泄露事件
http://www.anquan419.com/knews/24/6662.html
台湾省当地最大的电信服务提供商中华电信股份有限公司发生数据泄露事件,目前被黑客窃取的 1.7TB 数据已出现在暗网黑客论坛中。
1.12美国运通信用卡遭遇第三方数据泄露
美国运通公司近日发布数据泄露通知,披露其第三方商户的支付硬件遭黑客攻击,导致客户信用卡信息可能被泄露。据《数字趋势》报道,这次数据泄露发生在马萨诸塞州,涉及美国运通旅游相关服务公司。受影响的商户遭受了未经授权的系统访问,客户的信用卡信息,包括账号、姓名和卡片有效期数据可能已经暴露。美国运通强调,被黑客攻击的是接受支付的硬件,而非美国运通直接控制的服务提供商。尽管如此,客户数据可能已在暗网流通。公司尚未公开具体有多少客户受影响,何时发生的泄露,以及哪个商户处理器被黑客入侵。这起事件与2022年Wiseasy支付系统遭黑客攻击的情况类似,当时该基于安卓的支付系统在亚太地区广泛使用,全球有14万个支付终端受到影响。然而,Wiseasy是否通知了其客户仍不清楚。美国运通已开始调查此事,并已通知相关监管机构和受影响的客户。公司建议客户在接下来的12至24个月内密切审查账户对账单,并报告任何可疑活动。
1.13AT&T否认泄露的7000万用户数据来自其系统
AT&T公司近日表示,在一家网络犯罪论坛上被黑客泄露并宣称来自2021年对公司系统的攻击的大量数据,并非来自其系统。该数据涉及7100万人。这些数据涉及到声称是2021年攻击AT&T数据泄露案的一部分,由一个名为ShinyHunters的威胁行为者尝试在数据盗窃论坛上以20万美元的起始价格和3万美元的增量报价出售。该黑客表示他们愿意立即以100万美元出售。如今,另一名威胁行为者MajorNelson在黑客论坛上免费泄露了这些所谓的2021年数据泄露信息,声称这是ShinyHunters在2021年试图出售的数据。这些数据包括姓名、地址、移动电话号码、加密的出生日期、加密的社会安全号码以及其他内部信息。然而,威胁行为者解密了出生日期和社会安全号码,并将它们添加到泄漏中的另一个文件中,使这些信息也变得可获取。研究人员审查了这些数据,虽然不能确认全部7300万条数据都是准确的,但确认了其中一些包含正确信息的数据,包括社会安全号码、地址、出生日期和电话号码。
这些数据泄露事件再次提醒我们,数据安全和隐私保护至关重要。在数字化时代,保护用户的个人信息和数据是一项紧迫的任务,需要全社会共同努力来加强信息安全意识,加强技术防范措施,确保用户数据不受侵犯。
2、数据泄露特点
- 持续活跃的暗网交易:全球暗网市场中数据买卖活动活跃,美国作为主要受害国,数据泄露事件频发。
- 针对性攻击加剧:大型跨国公司遭受针对性攻击,大量用户个人信息遭泄露,凸显企业网络安全防护面临严峻挑战。
- 历史趋势延续:2024年数据泄露规模创新高,且特定行业(如公共行政、金融保险和医疗)持续成为重灾区,提示这些领域需加强防御。
- 人为因素与社会工程攻击威胁突出:人为错误和社交工程技术在数据泄露事件中扮演重要角色,企业需加强对员工的培训和教育,以抵御此类攻击。
- 应急响应与预案准备受到重视:面对日益复杂的数据泄露风险,企业和组织正强化应急响应机制建设,以期在发生泄露时能够迅速、有序地进行处置,减小损失。