2020年以來數據洩露事件（轉載）

微博數據洩露事件

工信部網絡安全管理局就新浪微博App數據洩露問題開展問詢約談

link:http://news.cnstock.com/news,bwkx-202003-4509283.htm

微博回應「數據洩露」事件：非微博端洩露 不涉及身份證、密碼

link:https://www.cnbeta.com/articles/tech/957479.htm

微博回應「用戶信息被出售」事件：已上報司法機關

link:http://society.people.com.cn/n1/2020/0321/c1008-31642690.html

538 Million Weibo users』 records being sold on Dark Web

link:https://securityaffairs.co/wordpress/100243/data-breach/weibo-data-dark-web.html

安全公司 Keepnet Labs 洩露了一個包括50億條已洩露記錄的資料庫

事件經過:

專家Bob Diachenko發現一個屬於安全公司 Keepnet Labs 的 Elasticsearch 實例，其中包含超過50億條以前洩露的數據記錄網絡安全事件。洩露數據包括哈希類型、洩漏年份、密碼、電子郵件、電子郵件域和洩漏源（即Adobe，Last.fm，Twitter，LinkedIn，Tumblr，VK等）。

link:https://securityaffairs.co/wordpress/100198/data-breach/uk-security-firm-data-leak.html

英國印刷公司 Doxzoo 暴露軍事文件

事件經過:

網絡安全研究人員透露，總部位於英國的文檔列印和裝訂公司Doxzoo通過使AWS S3存儲桶不受保護，從而暴露了數百GB的信息，包括與美國和英國軍方有關的文檔。

link:https://www.securityweek.com/uk-printing-company-exposed-military-documents

俄羅斯機構 FSB 的承包商被黑客入侵，洩漏了敏感數據

link:https://www.hackread.com/russian-intel-agency-fsb-contractor-hacked/

2.01億美國人口個人記錄洩露

事件經過:

不受保護的資料庫託管在公開向公眾開放的Google Cloud伺服器上，沒有任何安全驗證。簡而言之：世界上任何具有Internet連接的人都可以訪問該資料庫。

由Comparitech的IT安全研究員Bob Diachenko發現；數據包含超過2.01億條記錄（準確地說是201,162,598條）。對這些記錄的深入分析揭示了諸如財產和人口統計信息之類的細節。

link:https://www.hackread.com/201-million-us-demographic-personal-records-leaked-online/

雅詩蘭黛洩露4.4億條記錄

事件經過:

1月30日，Security Discovery的數據分析師兼安全顧問Jeremiah Fowler發現了屬於美國知名跨國生產商和尊貴護膚品銷售商EstéeLauder的數據記錄。

研究人員聲稱已經發現了大約4.4億條記錄（準確地說是440,336,852條），包括公司內部純文本格式的電子郵件。數據存儲在資料庫中，沒有任何安全認證，這意味著任何人都可以訪問該數據。據報導，沒有證據表明客戶記錄或與付款相關的數據可能受到這種風險的威脅。這意味著，對於公司的客戶或包括MAC和Clinique在內的子品牌客戶，目前沒有任何直接風險。

雅詩蘭黛沒有透露用戶電子郵件的暴露數量，但該公司在其電子郵件聲明中指出，這些電子郵件與消費者無關，並且來自其內部教育平臺。但是，福勒指出，他發現的大多數純文本電子郵件都包含@ estee.com域。

link:https://www.hackread.com/cosmetic-giant-estee-lauder-expose-440-million-records/

通用電氣(GE) 稱因佳能數據洩露，其部分員工數據遭受損害

事件經過:

通用電氣（GE）上周透露，由於佳能業務流程服務部（Canon Business Process Services）遭受數據洩露，一些員工的個人信息可能已經受到損害。目前佳能尚未分享有關違規的任何信息，不清楚通用電氣是否是為唯一受影響的客戶。

link:https://www.securityweek.com/ge-says-some-employees-hit-data-breach-canon

link: https://www.bleepingcomputer.com/news/security/tech-giant-ge-discloses-data-breach-after-service-provider-hack/

T-Mobile 數據洩露導致用戶個人財務信息曝光

事件經過:

T-Mobile 宣布了一項數據洩露事件，事件起因在於其電子郵件供應商遭到黑客入侵，導致從電子郵件中洩露了一些用戶的個人和財務信息。

T-Mobile在其網站上發布的「數據洩露通知」中指出，黑客入侵其電子郵件供應商，未經授權地訪問了T-Mobile員工的電子郵件帳戶。電子郵件帳戶包含T-Mobile用戶信息，例如社會保險號、財務信息、政府ID號、帳單信息和費率計劃。為了提醒客戶數據洩露，T-Mobile已經開始向可能受此次事件影響的用戶發送簡訊。這些簡訊指出T-Mobile「最近發現並關閉了一起安全事件，該事件可能會涉及您的某些帳號信息」，並附上詳情的頁面連結。

簡訊中的詳情頁面信息因用戶受影響的程度而有所區別，點擊進入T-Mobile網站的「數據洩露通知」的連結取決於公開的數據內容。「訪問的個人信息可能包括姓名和地址、社會保險號、金融帳戶信息和政府識別號，以及電話號碼、帳單和帳戶信息以及費率計劃和功能。」

link: https://www.freebuf.com/news/229456.html

link:https://www.bleepingcomputer.com/news/security/t-mobile-data-breach-exposes-customer-personal-financial-info/

link:https://www.hackread.com/virgin-media-t-mobile-data-breach-exposes-personal-data/

Visser Precision 遭黑客勒索,如果不支付贖金，將公布被盜文件

事件經過:

一家為太空和國防承包商提供精密部件的製造商證實了一起網絡安全事件，據稱這起事件很可能是由勒索軟體引起的。據悉，總部位於科羅拉多州丹佛市的 Visser Precision 製造商為包括汽車和航空業在內的許多行業製造定製零件。

該公司在一份簡短聲明中證實，公司是「最近一起網絡安全犯罪事件的目標，包括獲取或竊取數據」。Visser發言人表示，公司「繼續對此次攻擊進行全面調查，業務運行正常」。安全研究人員稱，這次攻擊是由 DoppelPaymer 勒索軟體引起的，這是一種新的文件加密惡意軟體，會威脅洩露公司的數據。該勒索軟體黑客威脅說，如果不支付贖金，將公布被盜文件。

Visser遭竊取的文件列表包括客戶名單的文件夾，這些客戶包括特斯拉、SpaceX、飛機製造商波音和國防承包商 Lockheed Martin。其中部分文件可供下載，有的還包括了 Visser 與特斯拉和 SpaceX 之間的保密協議。託管被盜文件的網站稱還有「很多」文件要發布。

link: https://mp.weixin.qq.com/s/AtaemWcMff_Eqr_2fa5h2w

公主郵輪承認公司 Carnival 存在數據洩露問題

事件經過:

在兩艘郵輪爆發了新冠病毒後被迫在全球範圍內停止運營的 Princess Cruises（公主郵輪）目前已證實存在數據洩露問題。據信，這份發布在其網站上的通知實際上是在3月初發布的。該份通知稱，公司在2019年4月至7月的4個月時間內發現了大量未經授權的電子郵件帳號登入，其中一些包含了職工、郵輪工作人員和客人的個人信息。

link: https://www.cnbeta.com/articles/tech/955197.htm

瀏覽器供應商 Blisk 開放的 Elasticsearch 伺服器洩漏數據

事件經過:

瀏覽器供應商無意中使沒有密碼的Elasticsearch伺服器暴露在網際網路上後洩露了用戶數據。洩漏發生在愛沙尼亞的Blisk公司，該公司開發了同名的Blisk瀏覽器。

link:https://www.zdnet.com/article/browser-vendor-leaks-data-via-open-server/

知名分析平臺 Sensor Tower 被爆秘密收集數百萬用戶數據

事件經過:

知名 APP 分析平臺 Sensor Tower 利用 VPN 應用和去廣告應用程式，來收集 Android 和 iOS 平臺數百萬用戶用戶的數據。這些應用程式的全球下載量已超過3500萬次，但是在應用描述中並沒有透露和 Sensor Tower 有聯繫，或者會收集用戶數據給該公司。

link:https://www.buzzfeednews.com/article/craigsilverman/vpn-and-ad-blocking-apps-sensor-tower

巴西公司 Antheus Tecnologia 數千份指紋記錄洩露

事件經過:

研究人員周三發現一個包含約76000個獨特指紋記錄的網絡伺服器被暴露在網際網路上。這些不安全的指紋數據，以及員工的電子郵件地址和電話號碼，都是由巴西公司Antheus Tecnologia收集。

link: https://www.cnbeta.com/articles/tech/954233.htm

秘密共享應用 Whisper 數據洩露，數百萬用戶的敏感信息可被在線查看

事件經過:

Whisper 是一個秘密共享的應用程式，用戶可以在其中發布匿名消息，但是安全漏洞導致用戶內容和配置文件可供任何在線的人查看。

link:https://www.zdnet.com/article/whisper-an-anonymous-secret-sharing-app-failed-to-keep-messages-profiles-private/

Aero Direct 遭遇數據洩露

事件經過:

黑客從 Aerial Direct 運作的資料庫中竊取了 O2 客戶的資料，該公司是 O2 在英國的最大直接業務合作夥伴，擁有超過13萬客戶。該公司提供 IP 電話服務和設備，包括行動電話、固定電話以及呼叫、寬帶、會議和託管電信。

link:https://securityaffairs.co/wordpress/99776/data-breach/aerial-direct-security-breach.html

金融服務公司 Advantage Capital Funding 和 Argus Capital Funding 洩露了50萬份敏感文件

事件經過:

vpnMentor 研究人員說，兩家金融服務公司將數據存儲在未受保護的 AWS S3 數據可中，從而洩露了50多萬個敏感的法律和財務文件。調查顯示，這些文件似乎與名為 MCA Wizard 的商戶現金透支行動應用程式相關，可能屬於 Advantage Capital Funding 和 Argus Capital Funding 這兩家公司。

link:https://www.securityweek.com/financial-services-firms-exposed-500000-sensitive-documents

Clearview AI 被入侵，600多家客戶名單被竊

事件經過:

AI 創業公司 Clearview AI，一家與600多家美國執法部門有合作的公司，近日發布公告，稱入侵者竊取了該公司的所有客戶名單，消息來源於該公司向其客戶發送的通知。

Clearview AI資料庫中涵蓋了約30億張人臉數據，僅靠一張臉部照片，就可以檢索出全網所有的相關圖片，包括照片的地址連結。但是，關於更具體的個人信息數據集，諸如姓名、聯繫方式和家庭住址，Clearview AI 還沒有向C端公眾開放。

Clearview AI向其客戶披露，黑客非法獲取了其客戶列表，客戶已設置的用戶帳戶數據，以及搜索數據訪問權限。客戶包括了美國移民局、司法部、銀行，FBI，ICE，梅西百貨，沃爾瑪、NBA、阿拉伯聯合大公國的主權財富基金等 2228 多家機構和公司；此外還有更多的私人公司正在通過 30 天免費試用來測試該技術。這其中至少有 600 家美國執法機構使用了 Clearview AI 最新的面部識別系統，數據涵蓋了 Facebook、Instagram、Twitter 和 YouTube 等社交媒體平臺上抓取的超過 30 億張照片，來完善自家的資料庫資源。

Clearview AI 所擁有的數據量級已遠遠超過了美國聯邦政府或者任何一家矽谷巨頭的數據體量，即使像 FBI 這樣的機構，其資料庫也僅僅是收集了4.11 億張照片。

這件事引起了美國數百個執法機構的關注，包括聯邦調查局和國土安全部。但該公司的公告堅稱 Clearview AI 的伺服器未受到破壞，不會損害 Clearview 的系統或網絡，還表示已修復了漏洞，且黑客未獲得任何執法機構的搜索歷史記錄。

link: https://mp.weixin.qq.com/s/lLWq5-7ri7N4fROHZFaz_g

暗網黑客出售了46萬印度人的支付卡數據

事件經過:

去年10月，HackRead報導了一個臭名昭著的暗網市場（稱為Joker's Stash）中的黑客如何出售最大的財務記錄集合之一，其中包括超過130萬張印度銀行客戶的信用卡和借記卡（價值1.3億美元）。

現在，同一市場上有一個新的列表，黑客在其中提供了另一組金融數據，其受害者仍然是相同的，即印度的銀行客戶毫無戒心。

Group-IB的IT安全研究人員發現了一個列表，其中黑客提供了從印度一些最大的銀行盜取的超過461,976張支付卡記錄。每張卡的售價為9美元。根據Group-IB威脅情報團隊的說法，這些記錄包含信用卡/借記卡號，其CVV / CVS代碼和到期日期。此外，持卡人的全名，其電子郵件地址以及電話號碼和實際地址也是數據的一部分。

link:https://www.hackread.com/dark-web-hackers-selling-indian-payment-card-data/

MGM hotel 超過千萬客戶數據洩露

事件經過:

超過一千萬米高梅酒店客戶的數據洩露。除了普通客戶外，洩露的數據還包括了眾多的名人和科技公司的 CEO、政府官員的個人和聯絡信息。米高梅酒店已經證實了數據洩露事故。洩露的數據涉及 10,683,188 名客戶，其中的個人信息包括了全名、家庭地址、電話號碼、電子郵件和出生日期。米高梅稱事故發生在去年夏天，它的一臺雲端伺服器遭到未經授權訪問，米高梅表示沒有金融、支付卡和密碼等敏感信息洩露，它已經立即通知了所有受影響客戶。

link:https://www.solidot.org/story?sid=63610

link:https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/

迪卡儂資料庫洩露了1.23億員工的數據

事件經過:

vpnMentor 的專家發現了一個洩漏的資料庫，其中有超過1.23億條記錄屬於迪卡儂西班牙（可能還有迪卡儂英國），洩露的數據涉及員工系統用戶名、未加密的密碼、API日誌、API用戶名、個人身份信息等。

不安全的歸檔文件的大小大於9GB，發布在ElasticSearch伺服器上。該歸檔文件還包括管理員的未加密登錄名，攻擊者可以使用這些登錄名來接管帳戶並獲取有關商店，員工和客戶的其他機密信息。

link:https://securityaffairs.co/wordpress/98471/data-breach/decathlon-spain-data-leak.html

以色列選舉管理應用程式 Elector 意外洩露了數百萬選民的數據

事件經過:

近年來，數據洩露和安全漏洞有著高發的態勢，甚至在一些重要的領域都難以倖免。以色列報紙 Haaretz 報導稱，由第三方管理的 Elector 選舉應用，近日就曝出了嚴重的問題，導致超過 600 萬的選民數據被意外洩露。據悉，該應用由一家名叫 Feed-b 的公司開發和運營。儘管其迅速採取了措施，但已為時過晚。

為方便向支持者傳達信息、並引導其至就近的投票站，以色列各政黨紛紛推出了選舉類應用程式。然而由於 Feed-b 管理不善，導致外界可在未公開的一段時間內，無限制地訪問 645 萬 3254 名公民的等數據。信息中包括了用戶的全名、身份 ID、地址、性別、電話號碼、以及以色列選民不經意間提供的其它個人數據。

以色列報紙 Haaretz 指出，這並不是他們首次見到類似的安全違例，但可能是規模最大的一次。

link: https://www.cnbeta.com/articles/tech/941605.htm

微軟錯誤配置的伺服器洩露了2.5 億客戶服務信息

事件經過:

微軟承認，它的客戶支持內部資料庫因 Azure 雲服務錯誤配置在 2019 年 12 月 5 日到 31 日之間暴露在網上。一共有五臺 Elasticsearch 伺服器暴露，這些伺服器儲存了相同的數據，彼此充當鏡像。資料庫含有大約 2.5 億條記錄，包含了電子郵件、IP 地址和支持案例細節。微軟稱，絕大部分記錄不包含任何用戶個人信息。微軟表示它已經開始通知受影響的客戶，表示沒有發現數據被惡意使用。

link: https://www.solidot.org/story?sid=63335

link: https://www.pingwest.com/w/203591

日本 NEC 公司確認2016年國防業務部門內部伺服器存在安全漏洞

事件經過:

日本電氣股份有限公司（NEC Corporation），簡稱NEC，是日本的一家跨國信息技術公司，總部位於日本東京港區(Minato-Ku)。NEC為商業企業、通信服務以及政府提供信息技術（IT）和網絡產品。而這麼一家大型企業，周五卻表示，在截至2018年的幾年中，它受到了重大網絡攻擊，導致被攻擊者未經授權訪問下載了27,445個文件，包括與日本國防部業務有關的文件。

NEC已確認，該公司的國防業務部門使用的某些內部伺服器已受到第三方的未經授權的訪問。根據公司和外部專門機構的調查，到目前為止，尚未確認到諸如信息洩漏之類的損害。為了補救，NEC集團已採取了一些措施，例如引入了未知的惡意軟體檢測系統(大概率趨勢科技)，但無法檢測到2016年12月之後，所發起的最初的滲透入口，以及內部如何被橫向移動傳播感染的痕跡。但這也證明了，攻擊被發現於2016年12月。

link: https://mp.weixin.qq.com/s/vamAlgysdc5XDOp05ke3NA

三菱電機遭網絡攻擊

事件經過:

日本國防承包商三菱電機表示，受大規模網絡攻擊影響，個人及客戶等信息可能外洩。據分析，中國網絡黑客組織可能參與了攻擊。遭到非法訪問的電腦和伺服器中沒有包含關於防衛及電力、鐵路等基礎設施運用之類機密性高的信息，這些信息沒有洩露。三菱電機表示，「未確認到」網絡攻擊導致的「受害及影響」。去年 6 月三菱電機國內伺服器等設備被發現可疑跡象。公司實施內部調查，在總部･事業總部的大部分和總公司管理部門發現非法訪問現象。據稱由於非法訪問的手法巧妙，調查持續至近期。

link: https://www.solidot.org/story?sid=63311

link: https://mp.weixin.qq.com/s/cZIJT3HAZIPZWNwcUpwwxw

Facebook 向 Cambridge Analytica 洩露用戶信息，被巴西政府罰款 165 萬美元

事件經過:

巴西因 Facebook與 Cambridge Analytica 共享用戶數據而對 Facebook 罰款165萬美元。檢察官稱，Facebook允許應用程式「 This is Your Digital Life」的開發人員訪問巴西443,000位用戶的數據。

「 This is Your Digital Life 」 應用發布於2014年 ，由Global Science Research（GSR）研發。該應用向用戶提供1或2美元以進行在線調查，並請求訪問該用戶的個人資料信息。超過270,000個用戶同意進行授權，這使得該應用可以使用這些信息進行學術研究。醜聞遭到曝光之後，Facebook「暫停」了與Cambridge Analytica（CA）及其控股公司的所有業務。

link: http://hackernews.cc/archives/29130

link: https://securityaffairs.co/wordpress/95974/social-networks/brazil-fined-facebook.html

CheckPeople 洩露5625萬美國居民的個人詳細信息

事件經過:

在公共網際網路上已經找到了一個資料庫，其中包含5625萬美國居民的個人詳細信息，其中包括帶有中國IP位址的計算機，該資料庫包含姓名，家庭住址，電話號碼和年齡等。

信息孤島似乎是以某種方式從位於佛羅裡達州的CheckPeople.com（這是一個典型的尋人網站）獲得的：要收費，您可以輸入某人的名字，它會查詢他們的當前和過去的地址，電話號碼，電子郵件地址，親戚姓名，甚至在某些情況下甚至是犯罪記錄，都可能來自公共記錄。

但是，所有這些信息不僅位於一個地方，可供垃圾郵件散布者，不法之徒和其他網民批量下載，而且是通過與阿里巴巴位於中國東部杭州的網絡託管部門相關的IP位址提供的，原因不明。

link:https://www.theregister.co.uk/2020/01/09/checkpeoplecom_data_exposed

（轉載）