2020年全球最大数据泄露事件

2024-10-31

网络攻击的数量每年都在稳定增长，而2020年又是网络犯罪高峰的一年。根据基于风险的安全性报告，仅在2020年的前三个季度中，公开报告了2953个违规事件，使暴露记录的数量达到了惊人的360亿。相比之下，2019年全年共有151亿条记录被泄露。

nordvpn的数字隐私专家DanielMarkuson解释说：“仍在持续的大流行彻底改变了人们的工作，购物，交流和娱乐方式。”“我们的生活不得不转移到网上，使我们留下更多的数字足迹，这吸引了所有类型的诈骗者，欺诈者和黑客，他们正在寻找可利用的安全漏洞。”

2020年全球最大数据泄露事件

在2020年发生的大量数据泄露事件中，nordvpn专家从数据量上选择了九大最大漏洞。该列表包括泄漏数据库，这些泄漏数据库本身并不一定会遭到破坏，但会向公众公开敏感数据。下面概述的某些数据泄露可能在几年前发生，但仅在2020年才浮出水面。

1. 未知(2.01亿)

1月份，安全研究人员发现了一个数据库，其中包含2亿多在线暴露的敏感个人记录。拥有者不确定的泄露数据库存储在GoogleCloud服务器上，由有关美国居民及其财产的高度敏感的个人和人口统计数据组成，包括姓名，地址，电子邮件地址，信用等级，收入，净值，房地产市场价值，投资偏好设置和其他明确的细节。是否有未授权方访问数据集仍然是未知的，该数据集被认为是网络犯罪分子的金矿。Google接到了有关此案的警报，一个多月后，暴露的服务器脱机。

2. 微软(2.5亿)

2020年1月，微软披露了其存储客户支持分析的服务器上的数据泄露。该漏洞发生在2019年12月.2.5亿个条目(包括电子邮件地址，IP地址和支持案例详细信息)在没有密码保护的情况下意外在线暴露。泄漏数据库由五个ElasticSearch服务器组成，用于简化搜索操作。错误配置的安全规则被归咎于意外的服务器暴露，Microsoft迅速修复了该漏洞。

3. Wattpad(2.68亿)

到2020年6月，数据库超过了2.68亿条记录的数据库被破坏，该记录属于Wattpad，这是加拿大的网站和应用程序，作家可以使用该程序发布用户生成的新故事。恶意行为者破坏了Wattpad的SQL数据库，该数据库包含用户帐户凭据，电子邮件地址，IP地址和其他敏感数据。事件发生后，该公司重置了其用户密码。

4. Broadvoice(3.5亿)

2020年10月，有消息传出，美国VoIP服务提供商Broadvoice暴露了超过3.5亿条客户记录，例如姓名，电话号码和通话记录，包括留给医疗机构和金融服务公司的语音邮件。由于存在配置错误，安全研究人员可以轻松访问属于该公司的10个数据库，从而使它们无需进行任何身份验证即可打开。Broadvoice修复了安全漏洞，并已将事件通知了相关的法律部门。

5. 雅诗兰黛(4.4亿)

2020年1月，美国化妆品巨头雅诗兰黛(EstéeLauder)的未受保护数据库包含在线公开的4.4亿条内部记录。发现未加密数据库的研究人员说，暴露的信息包括电子邮件地址，内部文档，IP地址以及其他属于公司拥有的教育平台的信息。一旦意识到这一问题，该公司便关闭了数据库。

6. Whisper(9亿)

2020年3月，有消息传出，流行的秘密共享应用Whisper使得9亿条用户记录在线暴露。匿名的自白和与这些帖子相关的所有元数据，包括位置坐标和其他敏感信息，都可以在非密码保护的数据库上公开查看，如果被黑客访问，则可能导致用户身份识别和勒索。在公司被告知该事件之后，将删除对数据的访问。

7. KeepnetLabs(50亿)

2020年3月，总部位于英国的网络安全公司KeepnetLabs发生了一次网络事件，承包商在此事件中临时暴露了一个数据库，其中包含来自先前数据泄露的50亿个电子邮件地址和密码。据威胁情报公司称，该公司收集历史违规数据以通知其业务客户，以防其数据受到威胁，该公司正在迁移ElasticSearch数据库并禁用防火墙约10分钟以加快该过程。这个危险的决定使安全研究人员可以通过不受保护的端口在没有密码的情况下访问数据。

8. 高级信息服务(83亿)

2020年5月，泰国最大的GSM手机运营商AdvancedInfoService被迫在涉嫌数据泄露后删除了其中一个数据库。一位安全研究人员在网上找到了一个开放的ElasticSearch数据库，其中包含4TB的互联网使用数据，即83亿条记录。DNS查询和Netflow数据等待坐信息可以用于映射用户的互联网活动。现在，泄漏的数据库是安全的。

9. CAM4(108.8亿)

2020年3月，研究人员发现成人视频流网站CAM4的未受保护的ElasticSearch服务器，该服务器泄漏了7TB的数据，即近110亿条记录。公开的记录包括用户敏感信息，例如全名，电子邮件地址，性取向，聊天和电子邮件对应的成绩单，密码哈希，IP地址和付款日志。数据库错误已修复，但是，是否有黑客访问成人站点成员的高度敏感信息(通常更愿意保持匿名)仍然未知。