2018 年十大数据泄露事件

1）UIDAI（印度唯一身份识别机构）

披露日期：2018 年 1 月 3 日

突破记录：11亿

详细信息：利用 WhatsApp 上推广的服务，黑客可以通过输入 12 位唯一身份号码（根据所有居民的生物特征和人口统计数据分配给他们）来访问属于印度公民的个人数据。

2) Exactis（佛罗里达营销公司）

披露日期：2018 年 6 月 26 日

违反记录：3.4亿

详细信息：个人数据数据库暴露在可公开访问的服务器上。

3) MyFitnessPal（饮食和锻炼应用程序）

披露日期：2018 年 5 月 25 日

违反记录：1.5亿

详细信息：有人未经授权访问了数据库并窃取了用户名、电子邮件地址和哈希密码。

4) MyHeritage（在线家谱平台）

披露日期：2018 年 6 月 4 日

违反记录：9200万

详细信息：在私人服务器上发现了包含 9200 万用户帐户详细信息的文件。

5) 脸书

披露日期：2018 年 3 月 17 日

违反记录：8700万

详细信息：Cambridge Analytica 开发的应用程序用于抓取 Facebook 用户的详细信息，包括他们的兴趣和行为特征。

6）Panera（连锁面包店）

披露日期：2018 年 4 月 2 日

违反记录：3700万

详细信息：Panerabread.com 的客户记录以纯文本形式泄露。

7) Ticketfly（票务网站）

披露日期：2018 年 6 月 7 日

违反记录：2700万

详细信息：一名黑客警告该公司其网站存在漏洞，并要求支付赎金来修复该漏洞。 Ticketfly 拒绝付款，因此黑客窃取了数据。

8) Sacramento Bee（萨克拉门托报纸）

披露日期：2018 年 6 月 7 日

违反记录：1950万

详细信息：二月份，一名黑客窃取了两个包含个人数据的数据库，并要求该报支付赎金以取回数据。他们拒绝支付赎金并删除了数据库。

9) PumpUp（健康与健身社区）

披露日期：2018 年 5 月 31 日

违反记录：600万

详细信息：数据库在没有任何密码保护的情况下暴露在互联网上。

10) Hudson’s Bay（豪华百货连锁店）

披露日期：2018 年 4 月 3 日

违反记录：500万

详细信息：一个名为 JokerStash 的黑客组织能够通过发送给公司员工的网络钓鱼电子邮件获取支付卡信息。有证据表明，该漏洞是在披露前一年发起的。

无论是未能限制对敏感数据的访问权限，还是未能识别网络钓鱼攻击，大多数违规行为在某种程度上都是人为错误的结果。根据 Itgovernance.co.uk 的以下帖子，“数据泄露的 5 个主要原因中有 4 个是由于人为或流程错误造成的。 ”

使用正确的工具，可以轻松避免以明文形式暴露敏感数据或未能对数据库进行密码保护等错误。组织需要确保他们确切地知道敏感数据所在的位置，并为该数据分配了必要的访问控制。

以数据为中心的审计和保护解决方案，例如 Lepide 数据安全平台，为组织提供敏感数据的用户权限的详细概述，并在数据和周围权限发生更改时提供实时警报。它们还可以检测、警报、报告和响应可疑文件和文件夹活动、异常登录失败、未经授权的邮箱访问等等。