乙酰胆碱点击“终码⼀⽣”,关注,置顶
资产托管
每⽇技术⼲货,第⼀时间送达!
2021年,数据隐私泄露事件频发,涉及⾯⼴,影响⼒⼤,企业因此陷⼊数据保护合规与社会舆情压⼒的双重危机。近⽇,有国外媒体梳理了2021年⼗⼤数据泄密事件,并对事件进⾏了点评分析,可供读者参考。据数据统计,共有近2.2亿⼈受到以下⼗⼤数据安全事件的影响,其中三起泄密事件发⽣在科技公司,四起涉及敏感记录的泄露。 1、OneMoreLead
creg影响⼈数:6300万
发现时间:2021年8⽉
事件概要:
vpnMentor的研究团队在8⽉份发现, B2B 营销公司 OneMoreLead 将⾄少6300万美国⼈的私⼈数据存储在⼀个不安全数据库中,该公司任由此数据库完全敞开。该数据库包含列出的每个⼈的基本个⼈⾝份信息数据,以及有关其⼯作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中⼤量的 .gov 和纽约警察局电⼦邮件地址,这让⿊客有可能渗透到原本安全的⾼级政府机构。vpnMentor 表⽰,政府和警察部门成员的私⼈数据如同从事犯罪活动的⿊客眼⾥的⾦矿,可能导致重⼤的国家安全事件,使公众严重丧失对政府的信任。据 vpnMentor 称,姓名、电⼦邮件地址和⼯作场所信息暴露在任何拥有⽹络浏览器的⼈⾯前。 事件点评:
科技和数据对于今天的营销⽽⾔⾮常重要,⼤数据营销的概念也是⽅兴未艾。当营销者们欢欣⿎舞地收集数据,建⽴模型,去做洞察,以指导营销时,⽤户数据的安全性该如何保障,企业营销的底线是什么,值得营销公司深思。
2、T-Mobile
影响⼈数:4780万
发现时间:2021年8⽉
事件概要:
T-Mobile 于 8 ⽉ 17 ⽇证实,其系统在 3 ⽉18 ⽇遭到了⽹络犯罪攻击,数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile 表⽰,泄露的信息包括姓名、驾照、政府⾝份证号码、社会保障号码、出⽣⽇期、 T-Mobile 充值卡 PIN 、地址和电话号码。T-Mobile表⽰,不法分⼦利⽤了解技术系统的专长以及专门⼯具和功能,访问了该公司的测试环境,随后采⽤蛮⼒攻击及其他⽅法,进⼊到了含有客户数据的其他 IT 服务器。T-Mobile 表⽰,它弄清楚了不法分⼦如何⾮法进⼊其服务器并关闭这些⼊⼝点。该公司表⽰,它将向所有可能受到影响的⼈提供为期两年的免费⾝份保护服务(迈克菲的⾝份窃取防护服务)。此外, T-Mobile 表⽰为后付费客户提供帐户接管防护服务,这样⼀来,客户帐户更难被⼈以欺诈⼿段外泄和窃取。 事件点评:
T-Mobile 是⼀家跨国移动电话运营商,是德国电信的⼦公司,属于 Freemove 联盟。T-Mobile 在西欧和美国运营 GSM ⽹络,并通过⾦融⼿段参与东欧和东南亚的⽹络运营。该公司拥有1.09亿⽤户,是世界上较⼤的移动电话公司之⼀。对于⽹络犯罪分⼦来说,这类公司具有较⾼价值。通信公司有义务保护好客户信息,需要在数据安全⽅⾯做更多功课。
3、未知的营销数据库
影响⼈数:3500万
发现时间:2021年6⽉
数据内容:个⼈信息
事件概要:
Comparitech研究⼈员在7⽉29⽇报告,⼀个含有估计3500万个⼈详细信息的神秘营销数据库泄露在⽹上,居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的⼈⼝统计信息(包括爱好、兴趣、购物习惯和媒体消费等)。相关样本显⽰,⼤多数记录与芝加哥、洛杉矶和圣迭⼽这些⼤城市的居民有关。据 Comparitech 声称,凡是拥有⽹络浏览器和互联⽹连接的⼈都可以访问数据库全部内容,⾥⾯含有的信息可⽤于有针对性的垃圾邮件和活动以及⽹络钓鱼。Comparitech⽹络安全研究团队在6⽉26⽇发现了该数据库,尽管使出了浑⾝解数,还是⽆法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊⽹络服务(AWS),要求撤下数据库,不过,该数据在7⽉27⽇之前仍可以访问。
事件点评:
互联⽹在提供精准营销的背后,却是⼀遍⼜⼀遍对⽤户隐私数据的索取、整理、分析和挖掘。任何国家的任何法律,都没有说不允许使⽤个⼈信息,所有的法律和规定,都是围绕如何正确使⽤这些信息,⽽不是如何禁⽌使⽤这些信息,这是⼀个⼤前提。那么,个⼈数据如何才算正确使⽤呢?这就涉及到“同意”原则,同意原则是企业使⽤个⼈信息的起点。当然,也有例外的情况可以不经过个⼈同意就使
⽤个⼈信息,⼀般都是涉及国家安全等特殊情况。同意原则包含三个类型:默认同意、明⽰同意和授权同意。
4、ParkMobile
影响⼈数:2100万
发现时间:2021年3⽉
事件概要:
ParkMobile在3⽉份发现⼀起与第三⽅软件漏洞有关的⽹络安全事件。调查发现,其基本的⽤户信息被⼈访问,包括车牌号、电⼦邮件地址、电话号码和车辆昵称。在少数情况下,邮寄地址也被访问。该公司还发现加密的密码被访问,但读取这些密码所需的加密密钥并未被访问。ParkMobile表⽰,它使⽤先进的散列和加⼊随机字符串(salting)技术对⽤户密码进⾏加密,以此保护⽤户密码。ParkMobile表⽰,⽤户应考虑更改密码,作为另⼀道预防措施;信⽤卡或停车交易历史记录未被访问;它并不收集社会保障号码、驾照号码或出⽣⽇期。ParkMobile称:“作为美国较⼤的停车应⽤软件,⽤户的信任是我们的重中之重。请放⼼,我们认真对待保护⽤户信息安全的责任。”
事件点评:
ParkMobile是在北美颇受欢迎的移动停车应⽤,⽤来显⽰街头可⽤的停车位Parkmobile还⽀持应⽤内⽀付停车费,即⽤户进⼊符合要求的距离之后可以在⼿机上为车位付费。不过需要特别注意的是,该功能只⾯向ParkmobilePro付费⽤户开放。它还能提供停车费折扣、路边援救以及临时优惠活动。在给⽤户带来⽅便的同时,其安全性也需要进⼀步加强。
5、ClearVoiceResearch
影响⼈数:1570万
发现时间:2021年4⽉
事件概要:
ClearVoice在4⽉份获悉,⼀个未经授权的⽤户在⽹上发布了含有2015年8⽉和9⽉调查参与者的个⼈信息数据库,并向公众出售这些信息。可访问数据包括联系信息、密码以及针对⽤户健康状况、政治
派别和种族等问题作出的答复。ClearVoice表⽰,这批数据可能会被不法分⼦滥⽤,导致调查参与者被⼈(⽐如⼴告商)联系。此外,可访问的信息可能⽤于准备个⼈资料,⽽这些资料可⽤于商业或政治⽬的。在收到未经授权⽤户发来的电⼦邮件的⼀⼩时内,ClearVoice表⽰它到了备份⽂件,确保其安全,并消除了云服务端这个⽂件⾯临的泄露风险。另外ClearVoice对可能泄露信息的所有会员强⾏重置了密码,还实施了安全措施,以防⽌此类事件再次发⽣,并保护会员数据的隐私。
事件点评:
ClearVoice是⼀个⼈才⽹络和内容营销平台,帮助企业创建引⼈⼊胜的内容,以⽀持他们的博客,SEO,社交媒体和营销⾃动化。ClearVoice集成的编辑⽇历和简化的内容⼯作流程可提⾼⼯作效率,并帮助营销⼈员实现其内容营销⽬标。显然,在其开展相关营销活动时,并未很好地将安全性纳⼊到其平台上。
6、Jefit
影响⼈数:905万
发现时间:2021年3⽉
干尸
事件概要:
锻炼跟踪应⽤程序Jefit在3⽉份发现了因安全漏洞⽽导致的数据泄密,这起事件影响了2020年9⽉20⽇之前注册的客户帐户。不法分⼦访问了以下信息:Jefit帐户⽤户名、与帐户关联的电⼦邮件地址、加
金的脚印教学设计密的密码以及创建帐户时的IP地址。Jefit保存IP地址⽤于防⽌机器⼈程序,并将滥⽤帐户登记在册。该公司查明了数据泄密的根本原因,并证实Jefit的其他系统未受影响。Jefit表⽰,它已采取安全措施来加强⽹络,以防范将来出现类似的泄密事件,并正在其产品上采⽤更加强⼤的密码策略,以便将来进⼀步保护⽤户帐户。此外,Jefit表⽰,敏感的财务数据未受到牵涉,因为该公司从不存储客户的付款信息。客户在Jefit⽹站购买产品时,所有⽀付流程都由Google Play Store 、
Apple App Store直接处理,或者由⽀付⽹关公司直接处理。
事件点评:
Jefit成⽴于2010年,⽴志于成为健⾝界的Facebook,在这个语境下,它有着同类应⽤难以⽐肩的⼤型数据库:超过1300种训练动作,以及数以百万计⽤户分享的训练计划。Jefit只能做到对健⾝训练数据的追踪和管理,想要直观地分析⼀定周期内个⼈在健⾝时的训练状态和⾝体表现情况,还得借助⼀些数据整合和分析⼯具。不管是使⽤⾃⾝系统还是借助于第三⽅⼯具,都需要做好数据保护⼯作。
7、Robinhood
影响⼈数:700万
发现时间:2021年11⽉
事件概要:
电⼦交易平台Robinhood在11⽉8⽇披露,未经授权的有关⽅在五天前通过电话冒充员⼯,访问了客户⽀持系统。Robinhood表⽰,在此次事件中,⿊客获得了⼤约500万⼈的电⼦邮件地址列表以及另外⼤
约200万⼈的全名。Robinhood表⽰,这700万条记录中的数千个条⽬包含电话号码,⼤约310⼈的姓名、出⽣⽇期和已被公开,其中⼤约10个客户的更详细帐户信息被公开。Robinhood在遏制这起⼊侵后表⽰,⿊客索要赎⾦。它及时通知了执法部门,将在Mandiant的帮助下继续调查这起事件。
事件点评:
冒充他⼈登录到企业⽹络,事实上就是窃取员⼯的⾝份。⾝份认证也称为"⾝份验证"或"⾝份鉴别",是指在计算机及计算机⽹络系统中确认操作者⾝份的过程,从⽽确定该⽤户是否具有对某种资源的访问和使⽤权限,进⽽使计算机和⽹络系统的访问策略能够可靠、有效地执⾏,防⽌攻击者假冒合法⽤户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。单⼀的⾝份认证⼿段容易导致账号被冒⽤,造成内部信息泄露,企业需要进⼀步加固⾃⾝的⾝份认证体系,来保障⽹络信息的安全。
8、Accellion
影响⼈数:676万
多进制相移键控
发现时间:2021年初
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议