gfpm1jpkyp的部落格

保健食品的選擇真的很重要，尤其品牌眾多，會讓人陷入選擇性困難的循環裡面

而且價格也是有高有低，絕對不能單憑價格就去判定該產品就是頂尖好物

一定要衡量自身狀況，如果有詢問過醫師則是更好，可千萬不要亂吃

在此給各位一些食用保健食品的三大重點

1.空腹或睡前吃都可以

睡前其實很適合補充保健營養品。李錦秋指出，睡眠期間身體仍需代謝，補充低劑量的維生素B 群、鈣、鎂等，身體合成荷爾蒙會比較順利，也可安定神經、穩定睡眠品質。

2.隨餐吃，油脂可幫助吸收

許多營養素需要油脂幫助吸收，建議隨餐吃，不論是飯後2 小時內服用，或吃完保健食品後立即吃飯都合適。

脂溶性維生素、葉黃素、Q10：脂溶性維生素如A、D、E、K 及葉黃素、Q10 都需油脂一起消化才好吸收，建議隨餐吃。

3.空腹、隨餐吃皆可

部分不需要油脂幫助吸收，也沒有空腹禁忌的保健食品，可自行選擇與前述兩類營養品一起服用。

畢竟這是吃進去的產品，務必要做好功課，才不會買錯又買貴了

【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)這個產品真的很多商城都大推，因為在首頁都常看到相關介紹

這時期看到廠商佛心降價，應該現在非常時期才有的優惠措施，而且為了自己與家人的健康，趁現在多買一些備用

不然等漲價就慘了，晚買就慘了啊~~

如果你跟我一樣過去有關注【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)，真的可以準備入手了

畢竟不少人都在一些PTT、Dcard討論，感覺深受使用者的推薦

而且現在降價，哪時調回原價就不知道了~

我個人對【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)的評比如下

評鑑推薦：★★★★

使用爽感：★★★★☆

性能價格：★★★★☆

完整產品說明

品牌名稱

對象與族群

• 女性
• 男性
• 中性
• 男
• 女
• 青少年
• 成年
• 銀髮族

包裝組合

• 套組

認證

• 無字號

類型

• 液體

成份

• 益生菌
• 巴西蘑菇
• 膳食纖維
• 枸杞
• 山藥
• 檸檬
• 洋車前子
• 鳳梨酵素
• 香蕉萃取物
• 酵素
• 檸檬酸

產地

• 台灣

商品規格

• 1.商品組合/規格：蔬果發酵液7包/盒+嘉寶果【舒孅飲】7包/盒加贈Shake Shake杯
  2.商品品名：GBL朝之孅飲黃金雙效激孅組(7日體驗組加贈瘦瘦杯)
  3.商品重(容)量：【朝之孅飲】蔬果發酵液 內容量7包∕盒，每包50ml(65g)+ 5%液態+GBL嘉寶果【舒孅飲】7包/盒（10g/包）
  4.內容物名稱(成分)：【朝之孅飲】蔬果發酵液:砂糖、麥芽糖、植物乳酸菌、醋酸菌、酵母菌、嘉寶果、巴西蘑菇、西瓜、蘋果、番茄、檸檬、桑葚、木瓜、鳳梨、葡萄柚、哈密瓜、南瓜、香蕉、火龍果、香瓜、金桔、橘子、橙子、蓮藕、青江菜、茼蒿、高麗菜、山藥、空心菜、小白菜、紅豆、綠豆、冬瓜、香菇、蘿蔔、芋頭、地瓜、當歸、川七、紅棗、薄荷、山楂、黃耆、枸杞、土黨蔘。 GBL嘉寶果【舒孅飲】:酵素菁華、洋車前子穀、紅葡萄、硬紅麥、去殼紅扁豆、青扁豆、開心黃豌豆、白扁豆、燕麥、金黃大麥、法國青扁豆、黑豆、卡姆小麥、深紅扁豆、黑扁豆、黃金扁豆、小米、紫大麥、亞麻仁籽、麥芽糊精、香料、檸檬酸、蔗糖素。
  5.食品添加物名稱：如成分
  6.原產地(國)：台灣
  7.製造廠商或國內負責廠商名稱：佳倍利生化科技股份有限公司
  8.製造廠商或國內負責廠商地址：台北市大安區信義路四段6號18樓之2
  9.製造廠商或國內負責廠商電話：02-27006906
  10.以消費者收受日算起，至少距有效日期前?日以上：146
  11.食品業者登錄字號：0502字第18AML000072號
  12.投保產品責任險字號：A-128204390-00000-6
  備註欄：1. 糖尿病患者需經醫師或營養師指導使用。 2. 本品屬天然發酵，因蔬果採收季節不同，口感會略有差異。開封後，若凝結形成混濁沉澱物，係屬發酵作用，不會影響品質，請安心食用。 3. 請依食用方法使用，有助維持健康，多食無益。 4.室溫下保存，避免日光直射及受潮，並置放於兒童不易取得之處。 5.本品若有破損或完封不良，請勿食用。 6.請於開封後儘早食用完畢。7.本品為天然成分所製成，色澤稍有變化實為正常現象，請安心使用。

【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)大家可以參考看看

<< 免責聲明：健康食品效果因人而異，使用前仍須與醫師諮詢溝通進行評估而定。>>

↓↓↓限量特惠的優惠按鈕↓↓↓

↓↓↓更多優質好物推薦↓↓↓

標籤註解：

PTT鄉民【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)限量,團購,限時,週年慶,禮物,優惠,【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)特價,開箱,比價,活動,好評,推薦

mobile0101網友【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)哪裡便宜,採購,優缺點,試用【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯),好用,CP值,經驗,好康,集購,下殺,免比價,去哪買？,

名人推薦【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)介紹,部落客,排行,【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯),體驗,精選,限定,折扣,折價卷，臉書社團推薦，【GBL】朝之孅飲黃金雙效激孅組(7日體驗組加贈Shake Shake杯)Dcard推薦

熱點新知搶先報

本文作者：補天漏洞響應平臺、360安服團隊、360安全監測與響應中心、360威脅情報中心、360行業安全研究中心 國內機構重大數據泄露案例 一、 內部威脅 （一） 某地方衛生系統出「內鬼」泄露50多萬條新生嬰兒和預產孕婦信息 2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條。從新學嬰兒數據泄露的源頭來看：某社區衛生服務中心工作人員徐某，掌握了某市「婦幼信息某管理系統」市級權限帳號密碼，利用職務之便，多次將2016年至2017年的某市新生嬰兒信息及預產信息導出。被抓獲前，他累計非法下載新生嬰兒數據50餘萬條，販賣新生嬰兒信息數萬餘條。 值得注意的是，在該案中，徐某僅是某市某社區衛生服務中心工作人員，卻掌握了某市「婦幼信息某管理系統」市級權限帳號密碼。 從衛生系統「內鬼」徐某到公開出售信息的黃某，多名犯罪嫌疑人層層轉手，組成了一條長長的新生嬰兒信息倒賣鏈條。 （二） 某員工私自轉讓公司權限給朋友，致使30餘萬條醫生數據泄露 2018年2月，某警方偵破了一起醫生信息竊取案件。從醫生數據泄露的源頭來看：武某任職某企業管理諮詢（上海）有限公司廣州分公司移動醫療顧問一職，擁有公司某應用系統的工作權限，通過其手機二維碼可進入系統，內有大量醫生信息。出於朋友情面和同情心理，遂把上述權限給了盧謀。 獲得權限後，盧某找來「計算機技術很好」的大學舍友溫某，盧某指使溫某利用該權限通過計算機技術進入應用系統後臺，盜取系統內的醫生信息。 截至2016年10月11日，被告人盧某、溫某等人共竊取系統內的信息共計352962條。一條完整的醫生信息包括姓名、手機號碼、醫院名稱、職務及屬地等。 慶幸的是，被抓獲時，溫某尚未把爬取到的醫生信息交給盧某。 （三） 合作公司員工泄露防偽數據700萬條，某知名酒企損失超百萬 2018年2月，某警方偵破了知名酒被仿造的案件。從防偽數據泄露的源頭來看：蔡某拿任職於某公司的「XXXX防偽溯源系統」項目專項經理，在2014年4月至2016年9月期間，曾多次利用職務之便通過拍照、直接用U盤拷貝的方式竊取某知名酒企股份有限公司防偽溯源數據，並將竊取出來的數據泄露給蔡某剛。 據法院審理查明，被蔡某拿披露數據量共計700餘萬條（可製作成700萬瓶能夠通過防偽溯源驗證的假冒酒）。 但隨著泄密事件發生，某知名酒企只得向其他公司重新採購防偽密管系統，並將原有防偽標籤升級為安全晶片防偽標籤，同時廢棄前期採購的4.3萬餘枚防偽標籤。據計算，防偽資料庫的泄露直接導致該酒企 經濟損失約105.7萬元。 （四） 某地方公務員利用職務之便，泄露82萬條公民信息 2018年3月，某法院審理了某地方公務員竊取信息案件。從公民個人數據泄露的源頭來看：朱某任職於某機關單位。從2010年起，朱某利用職務便利，應朋友劉某、王某的要求，超越職權下載了一些公民個人信息，並將這些信息分別提供給他們使用，造成大量的公民個人數據泄露。 經統計，2010年4月至2016年9月，朱某向劉某提供公民個人信息70餘萬條，2011年11月至2016年7月，朱某向王某提供公民個人信息12餘萬條。 （五） 某科技公司內鬼竊取500餘萬條個人信息，並在網上售賣 2018年4月，某警方偵破了一起個人信息兜售案。從數據泄露的源頭來看：北京某高校博士畢業馬某，利用在科技公司工作的機會，以黑客技術破解公司資料庫，非法盜取海量公民個人信息，包括：淘寶信息、金融信息、醫療信息、社保信息、車輛信息等，其中包括居民身份證號、家庭住址、電話號碼等隱私。 此後，8人團伙在網上販賣出售公民信息，數量達500餘萬條，容量達60G。目前，8名犯罪嫌疑人全部歸案。 二、 外部威脅 （一） 某手機廠商稱：4萬消費者的信用卡數據泄露 2018年1月，某手機廠商發布聲明稱，4萬名消費者的信用卡信息在2017年11月至2018年1月11日期間遭不明黑客盜取。 該手機廠商證實：網上支付系統遭入侵。攻擊者針對其中一個系統發動攻擊並將惡意腳本注入支付頁面代碼中竊取用戶付款時輸入的信用卡信息，該惡意腳本能直接從消費者瀏覽器窗口中捕獲完整的信用卡信息，包括信用卡號、到期日期和安全代碼。 然而，該手機廠商認為通過所保存的信用卡、PayPal帳戶或者「經由PayPal通過信用卡」方法購買手機的消費者並未受影響。 （二） 北京某教育網站遭入侵，攻擊者竊取7萬餘元 2018年4月，朱某從一個QQ群中得知可以利用網站漏洞進入伺服器後臺，從而得到管理員權限，修改餘額並提現的方法。而且QQ群給出了具體的連結，幾乎不需要多少專業知識，一學就會。 所以，朱某在網上註冊成為北京某教育科技公司網上商城的會員，利用網站漏洞進入伺服器後臺，對餘額進行修改，打開提現功能。從2016年11月至2017年3月這幾個月間，他多次從商城提現，共竊取7萬餘元。 （三） 多家美容醫院的客戶信息被竊取 2018年7月，某警方偵破了一起盜竊、販賣美容整形醫院客戶信息的案件，在美容整形醫院網站上植入木馬，侵入伺服器，盜取客戶信息，層層轉手後販賣給其他美容整形醫院。 從美容整形醫院客戶數據泄露的源頭來看：蘇某與蔣某製作木馬病毒後，假扮美容客戶向醫院客服諮詢，將病毒連結藏匿在整形需求圖片上，發送給工作人員。工作打開圖片時，伺服器被植入木馬，客戶隱私資料即被盜取。 潘在網上發出求購美容整形客戶資料廣告，蘇某看到後一拍即合，將其發展為下線。「黑中介」楊某某作為批量信息買主，將信息加價後再轉讓給末端的市場人員，由他們通過電話、網絡等方式對客戶直接「引流」到願意給他們提成的醫院。為了規避法律風險，他們還安排專門的中間人負責收付款，以防止黑色資金被監控。 （四） 某知名酒店集團5億條數據泄露 2018年8月，有網民發帖稱售賣華住旗下所有酒店數據，該網友在帖子中稱，所有數據脫庫時間是8月14日，每部分數據都提供10000條測試數據。所有數據打包售賣8比特幣，按照當天匯率約合37萬人民幣，隨後又稱，要減價至1比特幣出售。 事故原因疑似華住公司程式設計師將資料庫連接方式上傳至github導致其泄露，目前還無法完全得知到細節。 售賣的數據分為三個部分： 1） 華住官網註冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，大約1.23億條記錄； 2） 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共22.3G，約1.3億人身份證信息； 3） 酒店開房記錄，包括內部id號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店 id 號、房間號、消費金額等，共66.2G，約2.4億條記錄。 8月底，暗網上出現了某知名集團旗下多個連鎖酒店客戶信息數據的交易行為，數據標價8個比特幣，約等於人民幣35萬人民幣，數據泄露涉及到1.3億人的個人信息及開房記錄。9月19日消息，竊取華住旗下酒店數據信息嫌疑人已經被上海警方抓獲。 （五） 「XX驛站」一千萬條快遞數據被非法竊取 2018年9月，某省公安廳獲悉破獲1個非法獲取公民信息團伙，抓獲犯罪嫌疑人21名。而被非法竊取的信息，經警方查實均系快遞數據，來源於各大高校的大學生的快遞信息。這些信息包含有單號、姓名、手機號、快遞公司名稱等。這類信息較為敏感，且數據的準確率極高。 警方通報，該案中，犯罪團伙並非採取以往的直接網絡攻擊盜取模式，而是對安裝在物流網點手持終端（俗稱巴槍）中的「XX驛站」APP進行破解後，植入控制項程序。通過相關省份「XX驛站」服務商進行推廣安裝後，直接通過數據回傳獲得數據。 截至破案，遭非法竊取的快遞數據超過1000萬條 （六） 某知名酒店資料庫遭入侵，5億顧客信息或泄露 2018年11月30日，某國際酒店集團（Marriott International）宣布，旗下某酒店（Starwood Hotel）的一個顧客預訂資料庫被黑客入侵，可能有約5億顧客的數據泄露。這些可能被泄露的信息包括顧客的姓名、通信地址、電話號碼、電子郵箱、護照號碼、喜達屋VIP客戶信息、出生日期、性別和其他一些個人信息。對於部分客戶，可能被泄露的信息還包括支付卡號碼和有效日期，但這些數據是加密的。 某知名酒店表示，調查結果顯示，有一未授權方複製並加密了這些數據。而且，自2014年就開始了對其網絡進行未授權訪問。 國外各行業信息泄露案例 一、 IT信息企業 （一） 因AWS存儲桶配置不當引起的信息泄露： 1.上萬印度板球球員個人信息泄露 2018年5月，Kromtech安全中心的研究人員再次發現了兩個因配置錯誤而在線暴露的Amazon S3存儲桶。從數據的內容來看，它們似乎歸屬於印度板球管理委員會（Board of Control for Cricket in India，BCCI）。 暴露的S3存儲桶包含有大量的敏感數據，涉及從2015年至今向BCCI提交賽季參賽申請的約1.5萬~2萬印度人。泄漏的信息包括：註冊過球員的登記表、選票、銀行單據等掃描件及其親屬的姓名、出生日期、出生地、永久地址、電子郵箱地址、手機號碼/固定號碼、醫療記錄、出生證明號碼、護照號碼、SSC證書號碼、PAN卡號碼及各種掃描件等。 2.本田汽車泄露敏感數據 2018年5月30日，Kromtech安全中心再次披露了本田汽車公司（HONDA）在印度的子公司——本田印度（HondaIndia）因不安全AWS S3存儲桶泄露了超過5萬名客戶的個人詳細信息。 由於公司意外的將超過5萬名HondaCONNECT移動應用程式用戶的個人詳細信息存儲在了兩個可公開訪問的Amazon S3存儲桶中，這使得黑客竊取這些數據成為了可能。Kromtech安全中心的研究人員Bob Diachenko發現，能夠被公開訪問的信息包括用戶及其可信聯繫人的姓名、電話號碼、密碼、性別和電子郵箱地址，以及有關他們汽車的信息，包括VIN、Connect ID等。 3.環球唱片被爆泄露敏感數據 2018年5月30日，Kromtech安全中心披露了成立於1912年的全球音樂巨頭——環球唱片（UniversalMusic Group，UMG）因為受到其承包商的牽連，暴露了自己的內部FTP憑證、資料庫跟密碼和AWS配置詳細信息，包括訪問密鑰和密碼。 在與環球唱片取得聯繫後，該公司迅速進行了回應並解決了問題。 4.S3存儲桶配置錯誤，暴露52.7萬美國選民個人信息 2018年10月，UpGuard網絡風險團隊透露，一個歸屬於美國茶黨愛國者公民基金（Tea PartyPatriots Citizens Fund，TPPCF）的亞馬遜S3存儲桶因為一個配置錯誤，意外暴露了包括全名和電話號碼在內的52.7萬選民的個人敏感數據。暴露的數據中還包括戰略文件、呼叫源文件、營銷資產和其他一些文件，這些文件揭示了TPPCF將美國選民在政治上動員起來的集中努力，這一努力最終幫助唐納德•川普（Donald Trump）贏得了美國總統大選。 5.銷售背鍋！AWS官方人員導致GoDaddy數據泄漏 2018年8月，UpGuard網絡風險小組近日發現了重大的數據泄露，涉及的文件似乎描述了在亞馬遜AWS雲上運行的GoDaddy基礎設施，並採取了保護措施，防止將來有人利用該信息。泄露的這些文件放在公眾可訪問的亞馬遜S3存儲桶中，包括成千上萬個系統的基本配置信息以及在亞馬遜AWS上運行那些系統的定價選項，包括不同情況下給予的折扣。泄露的配置信息包括主機名、作業系統、「工作負載」（系統幹什麼用的）、AWS區域、內存和CPU規格等更多信息。實際上，這些數據直接泄露了一個規模非常大的AWS雲基礎設施部署環境，各個系統有41個列以及匯總和建模數據，分成總計、平均值及其他計算欄位。還似乎包括GoDaddy從亞馬遜AWS獲得的折扣。 6.美國軟體公司AgentRun意外泄露眾多保險公司客戶個人敏感信息 2018年5月，據外媒ZDNet報導，美國軟體公司AgentRun在最近意外暴露了成千上萬保單持有人的個人敏感信息，而究其原因是因為一個未加密的Amazon S3存儲桶。 ZDNet指出，不安全的存儲桶沒有使用密碼保護，任何人都可以對其進行訪問。該Amazon S3存儲桶包含了大量的緩存數據，涉及數千名不同保險公司客戶的個人敏感信息，包括類似Cigna和SafeCo Insurance這樣的大型保險公司的客戶，遭泄露的信息可能包括保險單文件、健康和醫療信息、各種證件的掃描件以及一些財務數據。 在整個數據泄露持續的一小時中，可被公眾訪問的數據包括：保單文件包含詳細的保單持有人個人信息，如姓名、電子郵箱地址、出生日期和電話號碼。在某些情況下，一些文件還顯示了收入範圍、種族和婚姻狀況，甚至還附上了空白的銀行支票。對於掃描件而言，涉及到各種證件，如社會安全卡片、醫療卡、駕駛執照、選民證和軍人證件；醫療記錄文件則包含了可以確定保單持有人醫療狀況的各種信息，包括個人的處方、劑量和費用。 （二） 澳大利亞16歲高中生數次入侵蘋果伺服器，下載90G文件 2018年8月，澳大利亞一名16歲高中生曾通過家中電腦成功入侵蘋果伺服器，在隨後的一年時間裡，他又數次入侵，下載了約90GB的重要文件，並訪問過用戶帳號。 據悉，該少年在黑客界頗為有名。在發動攻擊時，他使用了VPN和其他工具來避免被追蹤。但百密一疏，該少年使用的MacBook筆記本電腦的序列號被蘋果伺服器所記錄。 （三） 德國託管服務商DomainFactory大量客戶數據遭外泄 2018年7月，DomainFactory公司在公告中指出，一名匿名黑客在DomainFactory的技術支持論壇上發帖稱，他已經成功侵入了DomainFactory的客戶資料庫，並分享了幾名DomainFactory客戶的內部數據作為證據。發現這篇貼子後，該公司立即對其論壇進行了離線處理並展開了調查。調查結果顯示，黑客的說法並非虛構。 DomainFactory最終確認了這一泄露事件，並公布了能夠被黑客所訪問的數據類型，同時向客戶發出了更改密碼建議。泄露的數據包括：客戶名稱、公司名稱、客戶帳戶ID、實際住址、電子郵件地址、電話號碼、DomainFactory手機密碼、出生日期、銀行名稱及帳號等。 （四） 芬蘭某公共服務網站數據泄露，超過13萬芬蘭公民受影響 2018年4月，據芬蘭媒體Svenska Yle的報導，芬蘭通信管理局（FICORA）於2018年4月6日通過自己的網站向所有芬蘭公民發出警告稱，一個由赫爾辛基新企業中心（「Helsingin Uusyrityskeskus」）負責維護的網站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻擊，大約有13萬用戶的帳戶用戶名和密碼被竊取，同時被竊取的還包括其他一些機密信息。從受害者數量來看，這將是該國有史以來發生的第三大數據泄露事件。 FICORA表示，該網站並沒有對存儲的任何信息進行加密，無論是用戶名還是密碼都採用明文形式進行儲存，這使得網絡犯罪分子更容易利用它們。由於用戶名和密碼是以明文形式泄露的，因此赫爾辛基新企業中心董事會主席JarmoHyökyvaara建議，如果有用戶在其他信息系統或網絡服務使用了相同用戶名和密碼，應該立即對這些密碼進行修改。而一旦Liiketoimintasuunnitelma網站重新恢復上線，還應該立即對該網站的帳戶密碼進行修改。 （五） 聯想的一臺筆記本失竊了：它擁有成千上萬名員工的姓名、月薪、銀行帳號 2018年12月，聯想公司通知亞太區員工：一臺存儲有眾多員工未加密數據的辦公筆記本失竊！裡面有成千上萬名員工的工資單信息，包括亞太區員工的姓名、月薪和銀行帳號。 根據外媒披露，新加坡一名聯想員工由公司發放的一臺筆記本電腦失竊；要命的是，裡面有亞太區成千上萬員工的一大堆未經加密的工資單數據。 關於這次重大事故的細節是聯想工作人員告訴稱，他們對這個嚴重的錯誤感到困惑不解。聯想已向員工發去了道歉信，承認這個重大的安全問題。 （六） 數千臺Etcd伺服器可任意權限訪問，暴露750MB密碼和密鑰 2018年3月，據外媒報導，安全研究人員 Giovanni Collazo 通過 Shodan 搜尋引擎發現近 2300 臺安裝了「etcd」組件的伺服器暴露在網際網路上，利用一些簡單腳本即可從中獲取登錄憑證。目前Collazo 經過測試已經成功地從這些伺服器上檢索到了來自 1,485 個 IP 、約 750 MB 的數據，其中包括 8,781 個密碼、650 AWS 訪問密鑰、23 個密鑰和 8 個私鑰。 雖然 Collazo 並沒有測試這些憑證，但其中一些被推測是有效的，有可能會被攻擊者用來侵入系統。此外，根據 Collazo 的說法，任何人只需幾分鐘時間就可以獲得數百個可用於竊取數據或執行勒索軟體攻擊的資料庫證書列表。 （七） 英國電商軟體Fashion Nexus爆漏洞，多個品牌網站140萬購物者隱私泄露 2018年8月，許多在英國服飾和配飾在線購物網站上消費的購物者發現他們的個人信息已經被確認遭到了泄露。此次數據泄露事件涉及多個英國時尚品牌，而導致時間發生的根源來自於他們共同的IT服務提供商Fashion Nexus。 由於Fashion Nexus及其姊妹公司WhiteRoom Solutions在安全管理方面的問題，導致一臺伺服器能夠被公開訪問。安全研究員TaylorRalston指出，在這臺伺服器上包含有一個共享資料庫，其中涉及眾多在線購物網站消費者的個人詳細信息。總的來說，在線暴露的信息包含了大約140萬消費者的個人信息，包括md5哈希密碼、密碼、Salt值、姓名、電子郵件地址、電話號碼和其他一些數據。值得慶幸的是，並不涉及明支付卡信息。 （八） 雲泄露最前線： 1.「不設防」的MongoDB暴露6600萬條數據 2018年12月，安全研究人員發現，超過6600萬數據在一個沒有保護的資料庫中，只要知道網址任何人都可以訪問，而這些數據似乎來自LinkedIn個人資料。數據緩存包括可識別用戶的個人詳細信息，可幫助攻擊者創建難以識別的網絡釣魚攻擊。 根據Hacken網絡風險研究總監BobDiachenko的說法，這些數據通過MongoDB公開了這個問題，無需身份驗證即可進行訪問。這66,147,856條特別的記錄包含全名，個人或企業電子郵件地址，用戶的位置詳細信息技能，電話號碼和工作經歷，甚至還有個人LinkedIn個人資料的連結。 目前研究人員無法確定該資料庫的所有者，但該資料庫現在已不再在線，但並不排除它再次出現在網絡上的可能性。 2.Adapt.io 123GB數據可公開訪問 2018年11月5日，Hacken公司的安全專家發現了一個可公開訪問且沒有設置密碼的MongoDB資料庫，其大小為123GB，包含9,376,173條個人信息記錄。泄露的信息包括：公司名、公司介紹、姓名、頭銜/級別/職位、行業、公司規模、公司收入、電話號碼、公司吸納有聯繫人、電子郵件等。 經過仔細審查之後，Hacken公司的安全專家得出結論，這個資料庫來自一個名為「Adapt.io」的商業服務網站。根據其網站的描述：「Adapt提供了數以百萬計的商業聯繫方式。Adapt的免費工具可幫助您通過電子郵件、電話和眾多聯繫人來豐富您在任何網站上的商業信息。」 3.FIESP近兩億條記錄泄露 11月12日，Hacken公司的安全專家在使用Binaryedge.io平臺審核可公開訪問的Elasticsearch資料庫的搜索結果時，發現了似乎是由巴西聖保羅州工業聯合會（FIESP）編制的個人信息記錄。FIESP隸屬於巴西國家產業聯合會，包括133個商業協會，涵蓋13萬個行業，這些行業占巴西國內生產總值（GDP）的42％。 存儲在可公開訪問的Elasticsearch資料庫中的記錄，總計數為180,104,892條，其中至少有3個數據集（FIESP、celurares和externo）包含巴西公民的姓名、個人身份證號碼、納稅人登記證明、性別、出生日期、完整地址、電子郵箱地址、電話號碼等個人信息。 Hacken公司的安全專家表示，他們在向FIESP發出通知後並沒有收到任何回復。該資料庫最終是在該公司的巴西粉絲Paulo Brito通過電話與FIESP取得聯繫之後，才得到離線處理的。 二、 政府機構 （一） 法國外交部稱緊急聯絡人信息資料庫遭黑客入侵 2018年12月，法國外交和歐洲事務部發表了一份聲明，宣稱其計算機系統遭黑客入侵，訪問並保存了緊急聯絡人信息的資料庫，導致眾多個人信息被泄露。據悉，大概54萬份個人檔案信息在事件中被竊，其中包含姓名、電話號碼和電子郵件地址等信息。 目前，這一安全漏洞已得到修復。該部還在事件發生72小時內聯繫了法國數據監管機構CNIL。 2010年，法國外交和歐洲事務部就創建了一項名為「阿麗亞娜」（Ariane）的緊急服務——如果你打算前往不安全的國家時，可以在「阿麗亞娜」平臺上進行登記，將這一信息告訴外交和歐洲事務部。這樣一來，你就會收到安全簡報，如果當地有危機發生，法國外交和歐洲事務部將會聯繫你，而且會保存緊急聯絡人信息，以防你在出境時遇到了意外情況。 此次被泄露就是「阿麗亞娜」平臺，保存緊急聯絡人信息的資料庫。 （二） 美國監獄電話監控供應商Securus被黑，大量數據遭竊取 2018年5月，一位匿名黑客從Securus竊取了大量數據，Securus是一家為監獄囚犯提供電話服務的公司，並且為執法部門提供追蹤電話使用服務。竊取的數據包括電子表格，上面的標誌顯示文檔屬於警方，裡面有2800個用戶名，還有郵件地址、手機號、密碼、安全提示問題，數據最早可以追溯到2011年。 （三） 美國政府網站HealthCare.gov被黑，7.5萬人敏感信息泄露 2018年10月，負責HealthCare.gov網站的機構稱他們在一個與HealthCare.gov交互的政府計算機系統中發現了一起黑客攻擊行為，導致大約7.5萬人的敏感個人數據遭到泄露。 其設計由美國聯邦醫療保險暨補助服務中心（CMS）監督，並由多個聯邦承包商建立。該網站投資高達8億美金。CMS的管理在聲明中說，「我們正努力儘快查明可能受到影響的個人，以便我們能夠通知他們，並提供信貸保護等資源。」 （四） 印度國家生物特徵庫Aadhaar疑似數據泄漏 2018年3月據相關媒體報導，法國一名安全研究員Baptiste Robert通過推文宣稱，他在印度政府和非政府機構網站上共找到了2萬張Aadhaar卡的電子圖片（PDF或jpeg格式），而整個過程只花了約3個小時的時間。 ... Aadhaar目前擁有著世界上最大的生物識別資料庫，已經收集了超過十億印度公民的虹膜掃描和指紋。隨後，印度唯一身份認證管理局（Unique Identification Authority of India， UIDAI）卻重申Aadhaar「依然安全可靠」，並將安全漏洞的報告駁回，稱其為「不負責任」和「遠離真相」 （五） 印度某政府網站意外泄露大量公民敏感信息，目前仍未修復 2018年4月，安全研究員SrinivasKodali報告了一起數據泄露事件，受影響的是一個隸屬印度安得拉邦的政府網站。根據Kodali的描述，遭泄露的數據包括Aadhaar號碼、銀行分行、IFSC代碼和帳號、姓名、地址、身份證號碼、手機號碼、配給卡號碼、職業、宗教信仰和種姓信息。 雖然印度政府和UIDAI（印度唯一身份認證中心）曾辯稱僅是Aadhaar卡號，並不包含印度公民的所有個人信息。但在印度，Aadhaar號碼與其他的個人信息相關聯是一個不爭的事實。Kodali強調，不法黑客具備生成這種關聯列表的能力，這些信息完全可以被用來鎖定某個單一的個人。另外，這個資料庫是公開可用的，並且允許任何人在未經授權的情況下訪問。 （六） 印度全民個人信息遭泄漏，售價不足6英鎊！ 2018年1月根據印度《論壇報》(Tribune)進行的調查顯示，超過10億印度公民的個人資料（包括指紋和虹膜等生物識別信息）正在在線出售，售價不足6英鎊。 這些數據是存儲在世界上最大的國營生物識別資料庫——Aadhaar中。同時在線出售的還有可用於生成虛假Aadhaar卡的軟體。此前，印度政府認為，Aadhaar項目將幫助把大量的印度公民納入數字經濟之中，會對印度的社會發展產生廣泛的意義，下令強制該國公民必須在2017年12月31日之前將Aadhaar號碼與自己的銀行帳戶、手機號碼、保險帳戶、永久性帳號卡（PAN Card）以及其他服務綁定起來。但有批評者認為，該系統的好處被誇大了，並正在面臨不斷增長的安全風險。 三、 電信運營商 （一） T-Mobile又泄露超過200萬客戶數據 2018年8月，T-Mobile公司披露，在黑客獲得對其系統的訪問權後，竊取了「一小部分」客戶的個人信息，可能包括個人信息，如姓名，帳單郵政編碼，電話號碼，電子郵件地址，帳號和帳戶類型。其代表表示，今次數據泄露違規行為影響其7700萬客戶中約3％的客戶，約占230萬人。 其實，在2016年6月份時已經發生了一起數據泄露事件，T-Mobile的一名員工在T-Mobile捷克共和國竊取了超過150萬的客戶記錄，以便出售以獲取利潤，最終使得捷克共和國警方介入調查。但該公司表示，數據泄露是被其中一名員工竊取，該員工在嘗試銷售數據時被捕獲。 （二） Voxox簡訊資料庫遭泄，暴露簡訊認證安全問題 一家位於加州聖地亞哥的通信公司Voxox，由於伺服器沒有密碼保護，導致任何知道該去哪兒窺視的人都能看到近乎實時的簡訊數據流。駐柏林的安全研究員塞巴斯蒂安·考爾（SébastienKaul）發現，Voxox的一個二級域名指向了這個無遮無攔的伺服器。更糟糕的是，這個在亞馬遜Elasticsearch上運行的資料庫還配置了Kibana前端，使得其中的數據易於讀取、瀏覽以及按照姓名、手機號碼和簡訊內容進行檢索。 此安全失誤導致一個龐大的資料庫遭到泄露，該資料庫中的數千萬條簡訊中包含了密碼重置連結、雙因素認證代碼以及快遞通知等等。 在TechCrunch發出問詢後，Voxox已將資料庫脫機。在關閉時，該資料庫上似乎擁有年初以來的逾2600萬條簡訊。不過，我們可以從資料庫的可視化前端查看到平臺每分鐘處理的簡訊數量，它表明實際的數字可能更高。 （三） 電信巨頭加拿大貝爾公司數據又被泄，近10萬用戶受影響 2018年1月，加拿大最大的電信公司加拿大貝爾公司 (Bell Canada) 開始通知10萬名消費者稱他們的個人數據已遭攻陷。貝爾公司指出，消費者的姓名和郵件地址遭「非法訪問」，但加拿大多家新聞報告稱黑客可能也獲得了電話號碼、用戶名和帳戶號。然而，貝爾公司表示尚未有證據表明信用卡或銀行信息遭攻陷。 這是貝爾公司第二次遭遇數據泄露事件。2016年5月，該公司證實稱約190萬個活躍郵件地址和約1700個姓名和活躍電話號碼遭黑客訪問。目前尚不清楚這兩起事件之間是否存在關聯。 （四） 泰國最大的4G移動運營商TrueMoveH遭遇數據泄露 2018年4月，泰國最大的4G移動運營商TrueMove H遭遇數據泄露，AWS上46000人的數據被直接曝光在網上，包括駕駛執照和護照，以及身份證件的掃描件等。 安全研究人員Niall Merrigan發現數據泄露問題之後，試圖將此問題告知TrueMove H，但運營商沒有回應。Merrigan透露，該AWS存儲桶包含總計32GB的46,000條記錄。 在媒體曝光之後，TrueMove H發布了一份聲明，澄清數據泄漏影響了其子公司I True Mart。一位法律專家表示，TrueMove H可能面臨數據泄露的懲罰，而安全專家呼籲電信運營商開始引入更完善的數據保護措施。 （五） 俄羅斯電信公司意外暴露數千名富豪客戶個人信息 2018年1月，據路透社（Reuters）報導，數千名在一家區域網際網路服務提供商完成註冊的莫斯科富人可能已經暴露了他們的個人信息，這其中就包括他們的姓名、家庭住址和手機號碼等。 報導稱，這起備受關注的數據泄露事件的所有受害者全都是俄羅斯網際網路提供商AkadoTelecom的客戶，這是一家由億萬富翁維克托•維克塞爾伯格（ViktorVekselberg）擁有的大型電信網絡。目前，該公司表示已對此次事件展開調查。 （六） 黑進TalkTalk公司的兩黑客分別被判1年、10個月 2018年11月，兩名來自英格蘭斯塔福德郡塔姆沃思的男子因參與2015年TalkTalk公司黑客攻擊事件而被判入獄。據悉，21歲的康納·奧爾索普（Connor Allsopp）與23歲的馬修·漢利（Matthew Hanley）兩人已對黑客指控認罪。奧爾索普被判處8月的監禁，而漢利被判處12月的監禁。 2015年10月，TalkTalk電信集團公司公開披露，其伺服器受「持續網絡攻擊」，而且，黑客竊取了該公司客戶的姓名、住址、出生日期、電子郵箱地址及電話號碼信息，且竊取了1.5萬用戶的財務數據。攻擊者還曾試圖勒索電信公司TalkTalk執行長狄多·哈丁（DidoHarding）。 （七） 美國電信巨頭Comcast爆漏洞，暴露2650萬用戶個人信息 2018年8月，研究員發現Comcast Xfinity無意中暴露了超過2650萬名用戶的家庭住址和社會安全號碼。隸屬於這家全美第二大網際網路服務提供商的在線客戶門戶網站上被發現存在兩個此前未被報告的漏洞，這使得即使是不具備太多專業技能的黑客也可以很容易地訪問這些敏感信息。 在BuzzFeed News向Comcast報告了這項調查結果之後，該公司對漏洞進行了修復。Comcast發言人David McGuire告訴BuzzFeed News：「我們迅速對這些問題進行了調查，在幾個小時內我們修復了這兩個漏洞，消除了研究人員所描述的潛在威脅。我們非常重視用戶的安全，目前沒有證據表明漏洞曾被用來攻擊Comcast的客戶。」 （八） 瑞士電信證實80萬數據被盜，涉全國1/10公民信息 2018年2月，一個身份不明的用戶訪問了Swisscom 客戶的姓名、地址、電話號碼和出生日期等信息，目前Swisscom認為該用戶是通過其銷售合作夥伴獲取數據的。 據 IBTimes 報導，瑞士電信 （Swisscom） 於 2 月 7 日承認其用戶數據在去年年底遭到破壞，約80 萬名客戶（占瑞士總人口的 10 %）的個人信息遭到泄露。不過 Swisscom 承諾此次事件不會涉及用戶任何敏感信息（比如密碼、會話或支付數據）。此外，為了更好地保護第三方公司對個人數據的訪問，Swisscom 做出了一些重要改變，其中包括：相關合作夥伴公司的訪問權限已被立即封鎖；在銷售合作夥伴帳戶中引入雙因素認證，同時削減運行大容量查詢的能力；第三方帳戶上的任何異常活動都會觸發警報並阻止訪問。 （九） 西班牙電信Telefónica存漏洞，可暴露數百萬用戶的完整個人數據 2018年7月，據El Espanol報導，西班牙電信（Telefónica）在16日凌晨被西班牙消費者協會FACUA發現存在一個安全漏洞。透過這個漏洞能夠訪問數百萬用戶的完整個人數據。暴露給黑客的信息包括固定電話和行動電話用戶的全名、國家身份證號碼、家庭住址、銀行記錄和通話記錄，而所有這些數據都可以以電子表格的形式下載。 Telefónica表示，他們在接到這一通知後，立即對該漏洞進行了修復。另外，也向有關當局進行了報告。而El Espanol稱，因為該漏洞而可能遭到泄露的數據包括用戶的個人身份信息和支付卡信息，並且漏洞極其易於利用，即使是不具備高技術水平的入侵者也能夠訪問對它們進行訪問。 有專家表示，「Telefónica作為全球十大電信公司之一，收入超過530億美元。令人驚訝的是，Telefónica用戶的數據居然可以輕鬆下載為未加密的電子表格。」 （十） 印度國有運營商BSNL內網遭入侵，4.7萬員工個人信息隨意瀏覽 2018年3月，根據《印度經濟時報(The Economic Times,ET)》及多家國外媒體的報導，法國安全研究人Robert Baptiste聲稱已獲得了印度國有電信運營商Bharat Sanchar NigamLimited（BSNL）內部網絡資料庫的訪問權，該資料庫包含超過4.7萬名員工的詳細信息。 早前，Baptiste還與ET分享了一個包含BSNL離職和現任員工姓名、職稱、密碼、手機號碼、出生日期、退休日期、電子郵件地址等詳細信息的資料庫樣本。ET隨後從資料庫中調取了六名員工的個人信息，並通過電話驗證了他們的身份屬實。 Baptiste已通過Twitter與BSNL進行了接觸，並通知了他們關於這個問題。該公司的IT團隊與他進行了討論，最終確認了問題的嚴重性。目前，大部分漏洞已經被修復，而一些網站也已經被刪除。 據Baptiste反饋，這個問題最初是由印度安全研究員Sai KrishnaKothapalli在兩年前報導的，但在當時並沒有得到BSNL的答覆。 四、 網際網路 （十一） Facebook披露嚴重漏洞：黑客可控制5000萬用戶帳號 2018年9月，Facebook周五宣布，該公司發現了一個安全漏洞，黑客可利用這個漏洞來獲取信息，而這些信息原本可令黑客控制約5000萬個用戶帳號。在披露這一消息之前，Facebook股價已經下跌了1.5%左右，消息傳出後進一步走低，到收盤時下跌2.59%報164.46美元，盤中一度觸及162.56美元的低點。 Facebook發布博文稱，該公司的工程團隊發現，黑客在Facebook的「View As」功能中找到了一個代碼漏洞。Facebook之所以能發現這個漏洞，是因為該公司在9月16日注意到用戶活動大增。Facebook表示將暫時關閉View As功能，將對其安全性進行審查。Facebook表示已通知美國聯邦調查局（FBI）和愛爾蘭數據保護委員會（Irish Data ProtectionCommission）等執法機關，目的是解決任何有關一般數據保護條例（GDPR）的問題。 （十二） Facebook嚴重漏洞調查：2900萬用戶數據失竊，易受針對性釣魚影響 2018年10月13日，Facebook周五宣布，網絡攻擊者利用一個自動程序竊取了Facebook約2900萬個帳戶的數據。該公司表示，將在未來幾天向受影響用戶發送信息，告知他們在攻擊中被訪問了哪些類型的信息。 據介紹，攻擊者從1400萬用戶中獲取了個人資料的詳細信息，如出生日期、僱主、教育歷史、宗教信仰、使用的設備類型、跟蹤的頁面以及最近的搜索和位置登記。對於其他1500萬用戶，入侵僅限于姓名和聯繫方式。此外，攻擊者還可以看到約40萬用戶的帖子和好友列表。 根據今年5月歐盟頒布的「通用數據保護條例」，Facebook必須在得知妥協後72小時內發出通知。Facebook的主要歐盟數據監管機構愛爾蘭數據保護專員上周對這起泄密事件展開了調查。包括美國康乃狄克州和紐約州在內的其他司法管轄區的有關部門也在調查這起襲擊事件。 （十三） Facebook隱私泄露人數上升至8700萬，用戶主要集中在美國 2018年4月，Facebook首席技術官Mike Schroepfer發表的一則博客文章稱，我們認為Facebook上約有8700萬用戶，大約81.6%是美國用戶，或許受到Cambridge Analytica獲取數據的影響。此前，受到此次事件影響的Facebook用戶數預計在5000萬左右，8700萬人的數字較之前的預估有了大幅提升。 由Cambridge Analytica大數據分析公司所引發的Facebook用戶數據大面積泄漏事件目前仍在發酵，儘管Facebook方面已經公布一系列措施已改善用戶數據安全管理，但關於此事件的調查仍在進行中。 （十四） Facebook又泄露700萬用戶個人照片，可能面臨16億美元罰款 2018年12月，據外媒報導，社交網絡巨頭Facebook可能面臨超過16億美元的罰款，因為它剛剛在一次安全入侵事件中暴露了近700萬用戶的個人照片。愛爾蘭數據保護委員會（IDPC）表示，它已對這個安全入侵事件是否遵守了一般數據保護法(GDPR)的相關規定展開了調查。其中有些被曝光的照片是用戶從未在該社交網絡上分享過的照片。 電子隱私信息中心(Electronic PrivacyInformation Center)執行董事馬克-羅滕貝格(MarcRotenberg)稱，這一安全入侵事件可能會讓Facebook違反它在2011年與美國貿易監管機構簽署的一項協議，該協議要求Facebook改善其隱私做法，否則將面臨罰款。 （十五） 谷歌關閉個人版Google+：因50萬用戶數據遭到曝露 2018年10月9日，據報導，谷歌周一在公司博客中宣布，公司將關閉旗下社交網站Google+的消費者版本。此前該公司宣布，Google+在長達兩年多時間裡存在一個軟體漏洞，導致最多50萬名用戶的數據可能曝露給了外部開發者。 谷歌稱，公司今年3月就已發現這個漏洞並推出補丁加以修復，並表示沒有證據表明用戶數據被濫用，也並無證據表明任何開發者明知或利用了這個漏洞。 受此影響，谷歌母公司Alphabet股價下跌1.02%，報收於1155.92美元。 （十六） Google+再曝嚴重漏洞影響5250萬用戶，將被提前關閉 2018年12月，谷歌表示，在Google+ People API 中找到另外一個嚴重的安全漏洞，可導致開發者竊取5250萬名用戶的個人信息，包括姓名、郵件地址、職業和年齡。將導致谷歌將在2019年四月，即比計劃時間提前四個月關閉該社交服務。 這個易受攻擊的 API 被稱為「People:get」，旨在讓開發人員請求和用戶資料相關的基本信息。然而，谷歌在11月發布的軟體更新導致 Google+ People API 中出現 bug，導致即使在用戶資料被設置為「非公開」的情況下，app 仍可查看用戶信息。 （十七） 供應商產品感染惡意軟體，致使Ticketmaster英國網站客戶信息泄露 2018年6月，票務銷售公司Ticketmaster的英國網站宣布，他們在Ticketmaster網站相關產品中發現了惡意軟體，部分客戶的個人信息或付款信息或許已因此遭到泄露。 Ticketmaster是一家大型票務銷售公司，總部位於美國加利福尼亞州，運營點遍布全球，主營票務類型為娛樂、體育。根據其官方公告，6月23日Ticketmaster UK在由Ticketmaster的外部第三方供應商Inbenta Technologies託管的客戶支持產品中發現了惡意軟體。發現惡意軟體後，他們禁用了所有Ticketmaster網站上的Inbenta產品。儘管如此，部分客戶的個人信息已經因此泄露，可能暴露的個人信息包括：姓名，地址，電子郵件地址，電話號碼，付款詳情和Ticketmaster登錄詳細信息。 （十八） 黑客售8萬個Facebook用戶信息：每個帳號售價10美分 2018年11月，據BBC報導，黑客稱其已經竊取和公布了至少8.1萬個Facebook用戶帳號的私人信息，並以每個帳號10美分的價格出售其所盜取的數據。 BBC獲悉，在個人細節信息被盜的用戶中，很多都是烏克蘭和俄羅斯用戶，但也有一些來自英國、美國、巴西及其他國家。黑客以每個帳號10美分的價格出售其所盜取的數據，但他們此前發布的廣告現已下線。 此次黑客事件最早是在今年9月曝光的，當時一名暱稱為「FBSaler」的用戶在一個英語在線論壇上發布帖子稱：「我們出售Facebook用戶的個人信息。我們的資料庫里有1.2億個帳號。」隨後，網絡安全公司Digital Shadows代表BBC進行了調查，並確認被在線發布的8.1萬多個帳號中包含了用戶私人信息。 （十九） 美版「知乎」Quora遭黑客入侵：1億用戶數據裸奔 2018年12月，據報導，美國社交問答Quora網站稱，該公司已經聘請「頂尖數字法證和安全公司」，並且已經上報執法部門。他們上周五發現其用戶數據遭到身份不明的第三方非法獲取。亞當在博客中表示，大約1億Quora用戶可能有大量信息遭到泄露，包括：帳號信息、公開內容和活動，以及非公開內容和活動。 Quora表示，匿名提交問題和答案的用戶不會受此影響，因為Quora並沒有存儲任何與匿名用戶有關的信息。 （二十） 全球最大同性社交軟體Grindr存漏洞，可泄露用戶信息及位置 2018年3月，美國NBC的一份報導稱，一款名為Grindr的交友應用程式存在兩個安全問題，它可以暴露超過300萬用戶的信息，包括那些選擇不共享這些信息的人的位置數據。 此漏洞是AtlasLane公司的執行長TreverFaden在創建了一個名為C*ckblocked的網站後發現的，他的網站在輸入Grindr用戶名和密碼後可查看誰屏蔽了他們。但用戶登錄成功後，Faden就可以訪問用戶檔案中沒有公開的用戶數據，包括未讀消息、電子郵件地址、刪除的照片以及用戶的位置信息。 Grindr為全球最大的同性社交網站，今年1月初被北京崑崙萬維科技股份有限公司收購，其擁有的用戶超過幾百萬遍布234個國家。 （二十一） 社交新聞網站Reddit遭黑客攻擊，2007年之前的備份數據泄漏 2018年8月，美國社交新聞網站Reddit周三宣布，該公司的幾個系統遭到黑客入侵，導致一些用戶數據被盜，其中包括用戶目前使用的電子郵箱以及2007年的一份包含舊加密密碼的資料庫備份。 Reddit稱，黑客獲取了舊資料庫備份的一個副本，其中包含了早期Reddit用戶數據，時間跨度從2005年該網站成立到2007年5月。Reddit表示，此次攻擊是通過攔截員工的簡訊實現的，該簡訊中包含了一次性登錄碼。該公司還補充道，他們已經將此事通知受影響的用戶。 （二十二） 實時聊天供應商被黑，致使西爾斯、達美航空、百思買用戶信用卡泄漏 2018年4月，美國百貨連鎖公司西爾斯 (Sears)、達美航空 (Delta Airlines) 以及百思買 (Best Buy) 因共用的軟體提供商被黑而導致客戶的支付卡詳情遭暴露。 這家被黑的公司位於美國加州聖荷西，提供多種客戶支持服務，包括實時聊天系統和人工智慧聊天機器人等。 達美航空公司表示，攻擊者設法竊取的信息包括持卡人姓名、地址、卡號、CVV號碼以及有效期。但該公司雖然並未說明受影響的乘客人數有多少，但表示攻擊者並未獲得訪問護照或政府身份詳情的權限，同時也未獲得訪問託管在 SkyMiles 計劃中的數據的權限。 （二十三） 亞馬遜解僱擅自向第三方商家披露用戶信息的員工 2018年10月，亞馬遜稱公司解僱了一名擅自向網站上的第三方商家披露消費者電子郵件地址的員工，該員工的行為違反了亞馬遜的政策。亞馬遜發言人在聲明中說：「須對此事負責的個人已被停職，我們支持執法部分採取訴訟。」 根據發送給消費者的通知，亞馬遜已經提醒購物者但表示並不需要採取更改密碼等措施。公司並沒有披露受影響消費者數量。 （二十四） 亞馬遜因「技術錯誤」泄漏部分客戶信息，包含姓名、郵件地址 2018年11月，據外媒報導，亞馬遜向受影響客戶發送的電子郵件顯示，由於「技術錯誤」導致一些客戶的姓名和電子郵件地址遭到泄漏。周三上午，數人在網上分享了這些電子郵件的截圖。 亞馬遜在一份聲明中說，「我們已經解決了這個問題，並通知了可能受到影響的客戶。」 亞馬遜沒有回答有關有多少客戶受到這一錯誤的影響，也沒有回答有關信息公開時間的問題。亞馬遜一位發言人告訴CNBC，亞馬遜的網站和系統都沒有被破壞。該公司沒有透露客戶信息的可見位置。 五、 交通物流 （二十五） 38萬筆用戶支付信息失竊，英國航空公司道歉 2018年9月，英國航空公司7日為乘客信息失竊道歉，承諾將賠償遭受經濟損失的用戶。英國政府已知道這起「網絡攻擊」，正調查事件經過。 據英航的母公司國際航空集團6日透漏，8月21日至9月5日，英航網站及手機應用程式遭受「黑客」攻擊，涉及大約38萬筆用戶網上支付交易；用戶姓名、住址、電子郵箱帳號、信用卡卡號及有效期、安全碼泄露，航班信息和護照信息沒有失竊。 英航董事長克魯斯告訴記者，黑客作案手法「極其複雜」，為英航在線運營20多年來所未見。黑客沒有破壞英航加密系統，而是用「另一種非常複雜」的方式侵入英航系統並獲取用戶信息。 （二十六） 澳洲最大汽車共享服務公司GoGet被黑客入侵，會員信息慘遭泄漏 2018年2月，GoGet公司向其客戶發出警告，稱他們的車輛預定系統在去年遭到了黑客的入侵，在去年7月27日之前註冊的會員個人信息已經遭到泄露。 GoGet是澳大利亞首家，也是規模最大的一家汽車共享服務公司，業務覆蓋澳洲五大主要城市，這包括：雪梨、墨爾本、坎培拉、布里斯班和阿德萊德。 泄露信息的多少取決於GoGet用戶在填寫會員登錄表時錄入的具體個人資料內容，這可能包括：姓名、家庭住址、電子郵箱地址、電話號碼、出生日期、駕駛執照詳細信息、就業單位、緊急聯繫人的姓名和電話號碼以及GoGet管理帳戶詳細信息。 （二十七） 航運巨頭馬士基旗下子公司近半員工個人信息泄漏 2018年3月，根據《丹麥海軍時報（MaritimeDanmark）》的報導，航運公司SvizterAustralia有大約500人受到了數據泄露事件的影響，而遭到泄露的個人信息可能包括稅務檔案號碼、親屬詳情以及退休金帳戶信息。 初步調查結果顯示，在2017年5月該公司的三個關鍵電子郵箱帳戶遭到了匿名黑客的入侵，約6萬封電子郵件被秘密地自動轉發到了兩個公司外部電子郵箱帳戶。 Svitzer的通信主管Nicole Holyer表示，該公司在今年3月1日收到了警告後阻止了黑客的電子郵件盜竊行為。另根據Holyer的說法，該公司使用由第三方電子郵件服務提供商託管的服務，目前該公司已經向提供商送達了法院命令，以向調查人員提供訪問權限。 （二十八） 美國郵政局修復API漏洞，6000萬用戶個人信息或受影響 2018年11月，據報導，美國郵政局（USPS）周三發布補丁修補了一個API漏洞。攻擊者可在該API的「幫助」下，利用任何數量的「通配符」搜索參數獲取其他用戶的大量數據：從用戶名、帳號到實際地址和聯繫方式等等。該漏洞可允許任何擁有USPS.com帳戶的人查看其他用戶帳戶，大約有6000萬美國郵政用戶受該安全漏洞影響。 根據Kerbs on Security的報導，這個漏洞在一年前由一名獨立的安全研究員首次發現，該研究員隨後告知了美國郵政局，然而從未獲得任何回復，直到上周Krebs以該研究員名義聯繫了美國郵政局。 （二十九） 南非再次遭遇數據泄露：近100萬公民個人信息網上曝光 繼2017 年南非遭遇一起大規模的數據泄露事故，2018年5月，這個國家又發生了一起數據泄露，導致 93.4 萬人的個人記錄在網絡上被曝光。本次曝出的數據，涵蓋了國民身份證號碼、電子郵件地址、全名、以及明文密碼。 ... 南非 eNATIS 駕照人數統計（2017 年 3 月） 在專家幫助下，外媒釐清了數據泄露與南非一家負責在線支付罰款的公司有關。被泄露的資料庫，是在一個公共網絡服務商上被發現的，系統屬於一家處理南非電子交通罰款的公司。 （三十） 奈及利亞最大航空公司Arik Air雲泄露大量乘客數據 2018年11月初，據奈及利亞當地媒體《優質時報（Premium Times）》報導，奈及利亞國內最大的航空公司Arik Ai公布的數據顯示，該航空公司的大量乘客數據因為一個沒有得到保護的亞馬遜S3存儲桶暴露在了網上。 根據Cloudflare的安全主管Justin Paine的說法，日前他在日常掃描活動中發現了一個包含大量CSV文件的亞馬遜S3存儲桶，而這些敏感文件很可能歸Arik Air航空公司所有。 Justin Paine的分析顯示，遭泄露的數據包含了乘客的姓名、電子郵箱地址、訂購時的IP位址以及使用的信用卡哈希值。此外，還包括信用卡的信息、訂購的日期、支付的金額、使用的貨幣類型、設備指紋以及出入境機場。 （三十一） 歐洲鐵路系統遭遇黑客攻擊，大量旅客數據泄露 2018年5月，旅行網站歐洲鐵路（Rail Europe）公司向客戶發布通告表示，有黑客入侵了該公司的機票預定網站，或已竊取了大量敏感數據。歐洲鐵路北美有限公司（RENA）表示，因此次黑客事件可能泄露客戶的個人信息包括： 姓名； 性別； 收件地址； 發票地址； 電話號碼； 電子郵件地址； 信用卡/借記卡號碼； 支付卡到期日期與驗證值。 除此之外，某些註冊用戶的用戶名與密碼也可能遭遇外泄。更令人擔憂的是，黑客已經在 RENA 系統當中駐留近三個月之久。RENA在2018年2月16日與銀行聯繫時，開始意識到其歐洲鐵路網站可能存在問題，直到5月才確認該泄露事件。 （三十二） 英國航空承認最近發生的網絡攻擊比想像中還要糟糕 2018年10月，據外媒報導，英國航空公司(British Airways)證實，發生於9月6日的網絡攻擊可能已經導致8月21日-9月5日之間的乘客的數據被盜。 在與網絡法醫專家和英國國家犯罪署合作之後，這家公司還發現，此次攻擊之前，受影響的數據包含了7.7萬張帶有CVV銀行卡和10.8萬張沒有CVV銀行卡的姓名、帳單地址、電子郵箱地址、卡號、卡有效期。 雖然現在還沒有證據表明黑客將銀行卡信息用於不法活動，但這起事件還是突顯出了即便像英國航空這樣的大公司其網絡安全狀況同樣也令人擔憂。 （三十三） 中東打車巨頭Careem被黑，1400萬乘客信息失竊 2018年4月，一家位於杜拜的叫車公司Careem向媒體透露稱該公司遭遇了網絡攻擊並造成了數據泄露。黑客盜取的數據包括用戶的姓名、電子郵箱地址、手機號、和行程數據，所有在今年1月14之前註冊過Careem的用戶都受到了影響。據Careem稱，目前無跡象表明黑客有獲取到用戶的密碼和信用卡號。 該數據泄露事件涉及到的用戶包括55.8萬名司機和1400萬乘客。Careem目前在全球13個國家運營，覆蓋90個城市。Careem曾宣布其在土耳其和巴基斯坦等國處於市場領先地位。 六、 教育 （三十四） 加拿大亞崗昆學院伺服器感染惡意軟體，超過11萬條記錄泄露 2018年7月，位於加拿大安大略省的亞崗昆學院發布了一份聲明，通報了一起影響到人數眾多的大規模數據泄露事件。此次黑客入侵事件最初發生在2018年5月16日，亞崗昆學院的伺服器被發現感染了惡意軟體。 該學院已經確認了4568名個人，包括學生和校友，可能遭泄露的數據包括出生日期和家庭住址。另有106931名個人，包括學生、校友以及現任和前任員工，可能遭泄露的信息是一些公開的非敏感信息。學院已經就此事通知了安大略省信息和隱私專員以及渥太華警察局。 （三十五） 教育網站存漏洞，俄羅斯1400萬大學畢業生個人信息泄漏 俄羅斯技術社區網站Habrahabr上，一名暱稱為NoraQ的用戶（黑客）2018年1月29日發文稱，1400萬名俄羅斯大學畢業生信息泄露。俄羅斯總人口數量約為1.46億，即十分之一俄羅斯人的信息泄露。泄漏信息包括姓名、出生日期、個人帳戶的保險號碼、納稅人識別號碼、電子郵件地址等，文件大小約為5GB。 NoraQ在俄羅斯聯邦教育科學聯督局服務網站上發現了一個SQL注入漏洞，通過這個漏洞他下載了上述1400萬名畢業生信息。 （三十六） 全美最大公立網校FLVS遭遇數據泄露，近37萬師生受影響 2018年3月14日，佛羅里達虛擬學校（Florida Virtual School，簡稱FLVS），在一份聲明中表示，近37萬名師生的個人敏感信息可能已經遭到了外泄，以及2000多名教師可能會因此受到影響。可能泄漏數據包括學生的姓名、出生日期、學校帳戶用戶名和密碼，以及其父母的姓名和電子郵件地址。 FLVS成立於1997年，是全美第一所也是最大的一所公立虛擬學校。FLVS表示，他們的IT人員在2月曾發現一臺伺服器存在嚴重的配置錯誤問題，這導致該伺服器對於黑客來說是「完全開放」的。 目前，FLVS已經將此事通報給了政府執法部門。除此之外，FLVS還將會為受影響的師生提供為期一年的年度免費信用監控服務。 （三十七） 數據泄露影響超過1000萬公民，馬來西亞教育部SAPS系統緊急下線 2018年6月，據馬來西亞媒體Malay Mail報導，在發現存在一個可能暴露超過1000萬公民個人信息的安全漏洞之後，由馬來西亞教育部推出的學校考試分析系統（SitemAnalisis Peperiksaan Sekolah，SAPS）被迫緊急下線。 報導指出，一位要求匿名的讀者在上周五晚向Malay Mail爆料稱，教育部此前無視他的警告，迫使他不得不向媒體尋求幫助。之後，他向馬來西亞計算機緊急響應小組（MyCERT）進行了通報。MyCERT 在周六中午對Malay Mail出了回應，該系統之後也在同一天被下線。 ... 「這是一個很好的系統，但是它的後端完全失敗，他們存儲了數以百萬計學生的細節記錄，但是他們從不隱藏這些信息。一些非常個人的細節可以未經允許被訪問，他們只是忽略了它。」這位匿名讀者報料說，「這個系統從上線第一天起就存在漏洞。」他還抱怨登錄機制是「一個徹頭徹尾的笑話」，因為密碼存儲在一個純文本文檔中，沒有進行任何加密處理。 （三十八） 因員工發錯郵件，普渡大學2.6萬名學生詳細信息暴露 2018年5月，美國印第安納州西拉法葉市的普渡大學（PurdueUniversity）發生了一起數據泄露事件，恰恰就只是因為一名工作人員一不小心犯下的一個低級錯誤導致的。據報導，在這起數據泄露事件中，所涉及的數據超過2.6萬條。 在解釋這一事件時，普渡大學助理法律顧問Trent Klingerman表示，該校的一名工作人員原本計劃是要發送一份與財政援助計劃有關的宣傳手冊，但無意中將包含學生個人信息的表格發送給了學生的家長。郵件附件是一個Excel文件，包含了超過2.6萬名學生的數據。 七、 金融 （三十九） AWS存儲桶泄露50.4GB數據，美國消費金融巨頭受影響 2018年3月，雲安全廠商 UpGuard 公司網絡風險小組發現一批由於 Amazon Web Services（簡稱AWS）S3存儲桶未受保護而泄露的50.4GB數據。經證實，此AWS存儲桶屬於雲商務智能（簡稱BI）與分析廠商 Birst 公司。 這50.4 GB數據涉及Birst公司主要客戶Capital One（一家位於維吉尼亞州麥克萊恩市的金融服務巨頭，亦為全美第八大商業銀行），包含 Capital One 網絡基礎設施配置信息以及 Birst 公司的設備技術信息。 根據 UpGuard 公司發布的官方博文，這批數據當中包含密碼、管理訪問憑證以及私鑰，且專供Birst公司內部雲環境中的Capital One 相關係統使用。攻擊者利用這批遭到泄露的數據足以掌握 Capital One對 Birst 設備的使用方式，進而入侵 IT 系統並深入挖掘該公司的內部資訊。 （四十） Delta、Sears供應商遭網絡攻擊，數十萬名客戶信用卡信息可能曝光 2018年4月，據外媒報導，Delta和Sears發布聲明稱，相關曝光的數據泄露事件可能泄露了數十萬客戶的信用卡資料。上述數據泄露事件最先由路透社曝出，其發生的地點為一家同時為Delta和Sears在線聊天平臺提供服務的公司。 目前，聯邦執法部門、銀行以及IT安全公司正在對這一安全事件進行調查。而Sears和Delta都分別開設了針對此事件的客戶通道，前者開通了一個客戶諮詢熱線，後者設立了一個專用解答網頁delta.com/response。 （四十一） NAS配置不當，保險公司大量敏感數據泄露 2018年1月19日，UpGuard網絡風險研究主任Chris Vickery留意到了美國馬里蘭聯合保險協會（MDJIA），因為他發現了屬於該保險協會的一個聯網存儲（NAS）設備，該設備通過一個開放埠與網際網路連接，而它內含與協會IT運營的重要敏感數據。因存儲設備的錯誤配置，將數千客戶的信息泄露到網上。 與被泄數據存儲一起被曝光的是JIA客戶文件和聲明的備份，包括客戶姓名，地址，電話號碼，生日以及社保號，支票掃描件，銀行帳號和保險單號。除了這些重要的客戶信息，這次泄露還曝光了一個內部訪問憑證數列，它原本用於管理和控制MDJIA協會的運營，包括遠程桌面，郵件，第三方用戶名和密碼。 （四十二） PayPal旗下移動支付服務Venmo默認公開用戶交易信息（已遭濫用） 2018年7月，一名隱私提倡者Hang Do Thi Duc發布最新調查結果表示，多數 Venmo 交易被記錄在任何人均可訪問的一個公共 API 中，原因是 Venmo app 的默認設置為所有用戶設置為「公開」。他通過這一隱私策略查詢 Venmo API 並下載了該公司所有2017年的公開交易記錄，總計 207,984,218 條。 除非用戶特別更改了這個值，否則他們通過 Venmo 轉帳 app 做出的所有交易都被記錄且任何人均可通過 Venmo 公共 API 遭訪問。通過這個 API 暴露的數據包括發送人和收款方的姓和名、Venmo 頭像、交易日期、交易留言、交易類型等。據悉，Venmo 是一款僅在美國使用的移動支付應用，於2009年推出。2013年，Venmo 成為 PayPal 子公司。 （四十三） 澳大利亞聯邦銀行遺失了1200萬條用戶銀行數據 2018年5年，外媒BuzzFeed報導，澳大利亞第一大商業銀行澳大利亞聯邦銀行（CBA）證實，包含客戶姓名、地址、帳號和2000年至2016年的交易詳情記錄的兩個存儲磁帶，在一次數據中心轉運任務中被其分包商Fuji-Xerox丟失。其中至少包含1200萬名用戶的銀行交易數據。 當銀行意識到這起事件時，其委託三方統計公司畢馬威（KPMG）進行過一次獨立的剖析調查，以了解具體情況，並通知了澳大利亞信息專員辦公室（OAIC）。畢馬威（KPMG）在調查後發現存儲帶很有可能已被處置，很難尋回。 （四十四） 超2萬張銀行卡數據在暗網兜售，幾乎涵蓋巴基斯坦國內所有銀行 2018年11月，據巴基斯坦GEO電視臺報導，幾乎所有巴基斯坦銀行在最近都受到了黑客入侵的影響，而這一令人震驚的消息已經在上周得到了巴基斯坦聯邦調查局（FIA）網絡犯罪部門負責人的證實。 根據俄羅斯網絡安全公司Group-IB最近發布的一份報告，其在暗網上發現一批數據，包含了超過2萬張巴基斯坦銀行卡的詳細信息，而這些數據歸屬於在該國運營的「大多數銀行」的客戶。巴基斯坦PakCERT的專家認為，這些數據是通過銀行客戶的刷卡行為獲得的。這些支付卡數據正在暗網出售，售價從100美元至160美元不等。 （四十五） 黑進上百家美國企業竊取1500萬張信用卡記錄，三名烏克蘭黑客被捕 2018年8月，據外媒報導，三名烏克蘭公民近日因參與一項針對100多家美國企業的長期網絡攻擊行動而被捕。根據起訴書了解到，該團伙在過去總共從6500多個銷售點終端盜取了超1500萬張信用卡記錄。據安全研究人員介紹，這個叫做Carbanak的團伙利用社交工程和網絡釣魚攻擊滲入到企業並從中盜取金融數據。 最初的感染主要通過惡意軟體諸如電子郵件附件或有時候假裝丟失酒店預訂信息或SEC（美證券交易委員會）投訴文件展開。 現在，Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有陰謀罪、電信欺詐罪、計算機黑客罪、訪問設備欺詐罪、嚴重身份盜竊罪等26項罪名。 （四十六） 滙豐銀行美國分部發生非授權訪問和數據泄露 2018年11月，滙豐銀行（美國）通知客戶10月4日至10月14日期間發生了數據泄露，攻擊者訪問了訪問該金融機構的在線帳戶。 泄露的信息包括：客戶全名，郵寄地址，電話號碼，電子郵件地址，出生日期，帳號，帳戶類型，帳戶餘額，交易歷史記錄，收款人帳戶信息以及可用的帳單歷史記錄。 為應對安全漏洞，滙豐銀行的美國子公司暫停了在線帳戶訪問以防止濫用。數據泄露後，滙豐銀行加強了個人網上銀行的認證流程，增加了額外的安全保障。 （四十七） 加拿大兩家銀行遭黑客勒索，9萬名客戶信息被盜 2018年5月，據加拿大《環球郵報》報導，兩家加拿大銀行——蒙特婁銀行（Bank ofMontreal）和網上銀行SimpliiFinancial——都對外表示遭到黑客襲擊，並且發出警告稱，襲擊兩家銀行的黑客聲稱已經訪問了客戶的帳戶以及相關個人信息，並威脅將公開這些數據。約9萬名客戶信息被盜，這可能是加拿大金融機構遭受的首次重大攻擊。 蒙特婁銀行的發言人表示，事件之後收到了攻擊者的威脅，稱若不支付100萬贖金就將公開被盜客戶數據。此次兩家銀行遭受的襲擊事件似乎是相關聯的。該行表示，目前正在進行徹底調查並且已經告知所有相關聯的機構來評估潛在的損失。 （四十八） 離職員工竊取客戶聯繫人名單，SunTrust銀行150萬客戶信息泄露 2018年4月，美國SunTrust銀行證實，在一名離職員工偷竊了該公司的客戶聯繫人名單之後，超過150萬名客戶的個人信息可能已經因此遭到泄露。 SunTrust銀行的執行長William Rogers稱，這屬於團伙作案，這名離職的前員工通過與第三方合作成功對公司的客戶聯繫人名單進行了盜竊。名單包含的客戶個人信息包括客戶的姓名、地址、電話號碼以及某些帳戶餘額。 Rogers表示，SunTrust銀行正在積極配合第三方安全專家和執法部門進行事件調查。儘管調查工作仍在在進行中，但出於對客戶負責，SunTrust銀行正在主動通知約150萬名客戶。 （四十九） 美國徵信公司信息泄露事件升級，新增240萬受害者 2018年3，據報導，美國徵信公司伊奎法克斯(Equifax)表示，關於2017年9月曝出的1.4億用戶個人信息泄露事件，近日又發現另外240萬名受害者。 ... 伊奎法克斯稱，之前未發現新的受害客戶，是因為他們的社會安全號碼並未與部分駕照資訊一同被竊取。而社會安全號碼似乎是被黑客攻擊的重點。該公司還表示，將會通知這些用戶，並為他們提供防盜保護和信用報告監控服務。 （五十） 新蛋網用戶信用卡數據泄漏：惡意代碼已侵入約1個月 2018年9月下旬，據報導，在過去約1個月的時間，購物網站新蛋（Newegg）的用戶數據發生泄露事故，目前新蛋正在對網站進行整理改進。 有安全研究人員發現，黑客將15行惡意盜刷代碼植入新蛋網支付頁面，從8月14月-9月18日，代碼一直存在。這種惡意代碼從用戶手中竊取信用卡數據，傳輸到由黑客控制的伺服器。黑客的代碼同時影響桌面端和移動端用戶，只是目前還不清楚移動端用戶是否已經受到影響。安全研究人員指出，攻擊新蛋網的方式十分巧妙，偽裝極好，與英國航空公司（British Airways）信用卡泄露事件、以及之前發生的Ticketmaster泄露事件有些類似。 （五十一） 智利1.4萬信用卡資料被黑客組織盜取 2018年7月，根據智利政府公布的消息，黑客盜取了智利約1.4萬張信用卡的資料，並將這些資料公布在社交媒體上。 據報導，在這起案件中，黑客公布了信用卡卡號、有效期限及安全碼，受攻擊影響的銀行包括桑坦德銀行(Santander)、伊塔烏銀行(Itau)、豐業銀行(Scotiabank)和智利銀行(Banco de Chile)，這些銀行已通知客戶遭入侵一事。 智利政府的銀行監管機構表示，這起襲擊行動是黑客組織「影子經紀人」(Shadow Brokers)展開的，該組織因入侵美國國家安全局(NSA)而聞名。 （五十二） Dark Overlord黑客發布了第一批「秘密」911文件 據雷鋒網報導，2018年12月31日，黑客組織DarkOverlord在一篇發表於原始碼分享網站Pastebin上的帖子中威脅稱： 他們已經從一家為保險公司Hiscox Syndicares Ltd.提供諮詢服務的律師事務所竊取到文件。事後，律師事務所與黑客組織達成了贖回協議，並確定對方按協議繳納贖金即可拿回全部數據。但是，該律師事務所並未履行諾言，向執法部門進行了報告。 2019年1月初，Dark Overlord竟然真的公布了大約70M的911恐怖襲擊相關資料，同時第一批解密密鑰被公之於眾。 八、 軍事 （五十三） 超過兩萬名美國海軍陸戰隊隊員個人資料遭意外泄露 2018年3月，根據美國海軍陸戰隊機關報《海軍陸戰隊時報（Marine CorpsTimes）》的報導，約21, 426名海軍陸戰隊士兵、水手和其他相關工作人員的個人敏感信息被意外暴露給了外界。泄露信息包含大量高度敏感的信息，例如社會安全號碼、銀行電子資金轉帳記錄和銀行轉帳號碼、信用卡信息、家庭住址以及緊急聯繫信息等。 報導稱，事件原因已查明，在2月26日早上，美國國防部的自動監護旅遊系統（Defense Travel System，DTS）將一封未加密的電子郵件發送給了一份錯誤的電子郵箱地址列表。未加密的電子郵件不僅被無意中發送給了民用帳戶，而且還被發送給了在未分類的海軍官方域名「usmc.mil」上託管的帳戶。目前，還不清楚有多少人收到這封電子郵件。 （五十四） 美空軍「死神」無人機文件泄露 2018年7，威脅情報公司 Recorded Future 發布報告指出，其2018年6月發現有黑客在暗網出售美國空軍MQ-9 Reaper（「死神」） 無人機的相關文件，這份文件包含與MQ-9 Reaper 相關空軍人員名單、無人機維護和培訓資料。經研究人員調查確認，這些文件是真實的。 研究人員調查發現，這名黑客通過先前披露的 FTP 漏洞訪問了美國 Creech 空軍基地一臺 Netgear路由器，從而獲取了這些文件。而事件中，同樣遭遇入侵的一名上尉，2018年2月剛完成了網絡安全培訓，理應了解防止非授權訪問的必要操作。 （五十五） 女童子軍信息泄露事件中2800名成員個人信息外泄 2018年11月，黑客入侵美國加利福尼亞州橙縣女童子軍分部，2800名女童子軍及其家庭成員個人信息可能遭泄露。據橙縣女童子軍稱，某未知威脅者於9月30日至10月1日實施入侵，獲取了該童子軍分部運營的電子郵箱帳戶的訪問權限，並用其發送郵件。 據女童子軍分部（GSOC）稱，該帳戶之前用於為女童子軍成員安排出行，因此，黑客可通過訪問該帳戶獲取個人數據。經確認，黑客或已竊取部分成員姓名、出生日期、家庭住址、保險單號及健康病歷。專家警告，外泄信息可能被用來進行基於社會工程學的網絡攻擊。 （五十六） 熱門無人機交易網站資料庫泄露，致使英國軍方警方政府單位的購買記錄曝光 2018年4月，熱門無人機交易網站 DronesForLess.co.uk 將未加密的整個交易資料庫暴露在網上，導致數千名警方、軍方、政府和私人客戶的購買記錄遭曝光。Secret-bases.co.uk 公司的 Alan 發現了這起事件，他指出，DronesForLess.co.uk 的運營人員未能保護 web 基礎設施的關鍵部門免遭好奇之人的窺探。 約1萬多份購買收據存儲在該網站的 web 伺服器中。收據詳情包括購買人姓名、地址、電話號碼、郵件地址、IP 地址、用於連接到該網站的設備、下單商品詳情、發卡行以及付款用的信用卡的後四位數字。涉及的客戶名稱包括倫敦警察廳、英國陸軍預備役少校、英國國防部採購部門某員工、英國國家犯罪局某員工、英國國防科技實驗室、英國陸軍步兵試驗和開發部隊 (Infantry Trials and Development Unit)。 （五十七） 英國空軍遭遇黑客攻擊，F-35隱形戰機數據疑泄露 英國《每日郵報》2018年8月6日報導，英國皇家空軍F-35B 戰機的部分信息已經泄露！英國計劃從美國購買138架該型戰機，皇家空軍和海軍航空兵都將裝備。 然而，英國皇家空軍一名女軍人的手機約會應用軟體 Tinder 帳戶被黑客入侵，黑客在獲取她的信息後，開始以她的身份與一名男同事（空軍）聯繫，聊起了兩個月前剛抵達英國的 F-35A 隱身戰機。 儘管這名女軍人很快就發現自己的帳號被盜用了，但還是晚了。從黑客與那名男同事的聊天記錄來看，黑客非常得心應手用各種語言陷阱，從那名男同事那裡套取了 F-35B 戰機的部分信息，其中不乏機密信息。 （五十八） 中東地區政軍企高層遭釣魚間諜攻擊，攻擊者已收集逾30GB數據 2018年5月，根據Lookout 安全公司發布的報告，攻擊者使用「Steal Mango」等監控軟體工具成功地攻陷政府、軍方、醫療等人員的移動設備，已經收集了超過30G的受攻陷數據，包括通話記錄、音頻記錄、設備位置信息以及文本信息。某釣魚攻擊活動通過自定義監控軟體感染安卓設備，從多個國家尤其是中東地區的高層提取數據。 Lookout 公司表示，約100臺獨立設備遭針對性監控活動的影響，包括政府官員、軍方人員的設備，以及位於巴基斯坦、阿富汗、印度、伊拉克和阿聯等地的活動家。其它國家如美國和德國的官員數據也遭收集。 九、 生活服務 （五十九） GDPR施行後，英國電子零售商DixonsCarphone公布嚴重數據泄露事件 2018年6月，英國家喻戶曉的手機零售商 DixonsCarphone 宣布，正在調查「對公司所持有的某些數據的越權訪問」。該公司指出該越權訪問「試圖攻陷Currys PC World 和 Dixons Travel 商店中其中一個處理系統中的590萬張卡」，「以及包含非金融個人數據的120萬個記錄，如姓名、地址或郵件地址」。 這可能是英國歷史上發生的規模最大的數據泄露事件。 如果整個事件被按 GDPR 規定處理，那麼 ICO 可能會對 Dixons Carphone 開出全球年收入總額的4%的罰單。去年，該公司的年銷售總額為105億英鎊（摺合140億美元）。根據 GDPR 開出的罰單可能達到數億英鎊。 （六十） 阿迪達斯可能泄漏了數百萬美國消費者信息，官方稱正在調查 2018年6月，德國運動品牌阿迪達斯在網站上發布通知稱，未授權人員聲稱獲得對消費者數據的訪問權限，數百萬名美國消費者或受影響。 未經授權人員可能已獲得訪問在阿迪達斯美國網站上購物的消費者用戶名、密碼哈希和通訊信息的權限，該公司將它們稱之為「有限信息」。阿迪達斯向某些媒體機構表示事件可能影響「數百萬」消費者，但它發布聲明稱並非所有位於美國的消費者均受影響。 （六十一） 法國眼鏡連鎖店Optical center因泄露用戶數據被罰25萬歐元 2018年6月，據《費加羅報》報導，法國眼鏡連鎖店 Optical center 因泄露用戶數據，被法國獨立機構信息與自由委員會( Cnil )罰款25萬歐元(約合人民幣188.66萬元)，該金額創造了Cnil 最高罰款記錄。 法國當局表示，這是 Cnil 首次開出如此高金額的罰單。2017年7月，Cnil 接到相關舉報後查證，Opticalcenter 的用戶可以通過其網站主頁看到其他客戶的購物發票。這些發票包含姓名、郵箱地址和視力矯正度數等一些私人信息，部分發票上還有用戶的社保帳號。 據悉，法國2016年頒布的個人信息數據保護法使得Cnil 的懲罰權限，由15萬歐元上調至300萬歐元；而GDPR，讓這一數字上調至2000萬歐元和營業額的4%。 （六十二） 健康應用PumpUp伺服器未設密碼，超過600萬用戶個人信息暴露 2018年6月，據外媒ZDnet報導，位於加拿大安大略省的PumpUp公司發布聲明稱，旗下同名社交健康追蹤應用無意中暴露了用戶的隱私和敏感數據，包括用戶之間發送的健康信息和私人消息。 PumpUp公司在全球擁有超過600萬用戶。其數據都被存儲在一個核心的後端伺服器，並託管在亞馬遜的雲端。然而，安全研究員Oliver Hough發現，該伺服器並沒有設置密碼，這使得任何人都能夠查看都有誰在進行登錄、誰在實時發送消息以及消息的內容。 ZDnet指出，暴露的數據主要包括用戶的電子郵箱地址、出生日期、性別和用戶所在位置的地理信息，以及用戶的生物特徵、鍛鍊和活動目標、用戶頭像，還有用戶是否已經被屏蔽、是否對應用進行了評分。此外，該應用還暴露了用戶提交的健康信息，如身高、體重、咖啡因和酒精攝入量、吸菸頻率、健康問題、藥物和受傷處等。 （六十三） 酒店預訂軟體FastBooking被黑，數百家酒店旅客入住和支付信息泄露 2018年6月，數百家酒店的旅客個人詳情和支付卡數據被盜，而數據是從巴黎公司FastBooking 被盜的。該公司向全球100個國家的4000多家酒店出售酒店預訂軟體。 FastBooking 公司稱，事件發生在6月 14日，當時攻擊者利用託管在伺服器上某個應用中的漏洞安裝惡意工具（惡意軟體）。該工具可導致黑客遠程訪問伺服器以提取數據。6月19日FastBooking 員工發現數據遭泄露，並在不到6小時的時間裡解決了該問題。 FastBooking 公司指出，黑客竊取的信息包括旅客的姓氏和名字、國籍、郵政地址、郵件地址以及和酒店預訂相關的信息（酒店名稱、入住和離店詳情）。在某些情況下，某些支付卡詳情也被盜，如列印在支付卡上的姓名、卡號及其有效期。 （六十四） 美國Chili’s連鎖餐廳支付系統被黑，用戶支付卡信息遭破壞 2018年5月布林克國際公司發現其旗下Chili’s連鎖餐廳1600家門店的顧客支付卡信息受到破壞，這可能導致部分餐廳顧客的支付卡相關信息被非法訪問或盜竊。經初步調查，這一惡性事件發生的時間範圍為2018年3月——4月。 Chili’s考察後確定這是由於有人將惡意軟體放置在餐廳銷售點的機器內，使得同夥可以從他們的相關支付系統中刪除在餐廳消費顧客的支付卡信息（包括信用卡、借記卡、卡號及持卡人姓名）。 Chili’s當前正與一個外部取證技術團隊合作，以儘快確定信息缺口的性質及全部範圍。與此同時，以最快速度向顧客發布了通知，承諾儘可能提供欺詐解決和信用監控服務，還給出了詳細具體的參考安全建議。 （六十五） 美國連鎖餐廳Applebee被黑，160多家門店POS系統支付信息泄漏 2018年3月，根據RMH特許經營控股（RMH Franchise Holdings）在其網站上發布的公告來看，部分由RMH擁有和經營的Applebee餐廳的銷售點（POS）系統被匿名黑客安裝了惡意軟體，旨在竊取消費者的支付卡信息。這意味著消費者的姓名、支付卡號碼、以及在限定時間內處理的卡片驗證碼可能因此遭到了泄露。 RMH透露，這起事件是在2月13日被發現的。在得知潛在事件後，RMH立即展開了調查並獲得了網絡安全取證公司的幫助。根據公告顯示，事件影響了位於阿拉巴馬州、亞利桑那州、佛羅里達州等14州的160多家Applebee餐廳，這幾乎代表了RMH擁有和經營的所有餐館。 （六十六） 美國奢侈品巨頭Saks Fifth Avenue遭黑客攻擊，500萬張銀行卡信息被盜 2018年4月，根據安全公司Gemini Advisory披露，奢侈品百貨連鎖Saks Fifth Avenue （薩克斯第五大道精品百貨店）已證實遭受攻陷，500萬購物者的銀行卡信息遭泄露。初步分析表明犯罪分子竊取數據的時間實在2017年5月至今。從目前對可用數據的分析來看，除了Saks FifthAvenue，Lord &Taylor的實體店整個網絡同樣遭攻陷。而黑客組織 Fin7 炫耀稱其攻陷了 Saks 的計算機系統。 Gemini Advisory 指出，由於 Saks 的客戶是高收入群體，因此被盜的銀行卡對於欺詐者而言價值尤高，因為高收入群體的支付卡盜用情況難以檢測。 （六十七） 美國線上旅行社Orbitz遭遇黑客攻擊，88萬客戶個人資料或已泄露 2018年3月22日，據國外綜合新聞平臺PhocusWire的報導，美國在線旅遊巨頭Expedia旗下的在線旅行社Orbitz公司在本周二公開宣布稱，其在線旅遊預定平臺存在一個嚴重的安全漏洞，而這個漏洞可能會使得大約88萬名Orbitz客戶面臨數據泄露風險。 信息泄露所涉及到的客戶是那些於2016年上半年在Orbitz預定平臺以及於2016年至2017年在Orbitz商業合作夥伴平臺進行訂單交易的客戶，存在泄露風險的信息可能包括姓名、支付卡信息、出生日期、電話號碼、電子郵件地址、帳單地址和性別等。 根據Expedia的說法，這個漏洞是該公在司對Orbitz的商業合作夥伴Travelocity運行的平臺進行調查時發現的，而Orbitz平臺和該平臺處於相同的環境中。 （六十八） 美國最大麵包連鎖店Panerabread泄露數百萬顧客隱私長達八個月 2018年4月4日，網絡安全公司KrebsOnSecurity在本周一發表的文章中指出，美國最大麵包連鎖店Panerabread旗下網站panerabread.com泄露了數百萬顧客記錄，包括姓名、生日、電子郵箱地址、家庭住址以及信用卡號碼的最後四位數字。 KrebsOnSecurity還表示，在他們與該公司取得聯繫後，該網站已在周一早些時候離線。而截止到這個時間，這起數據泄露事件至少已經持續了長達八個月的時間。 安全研究人員已在去年8月通知了該公司。當被問及到在2017年8月進行通報後直到現在以來，是否看到有任何跡象表明Panerabread曾試圖解決這個問題時，Houlihan表示「從來沒有」。目前尚不清楚該公司的網站到底暴露了多少顧客記錄，但該網站索引的增量客戶數據表明，這個數字可能高於700萬。 （六十九） 內鬼作祟！可口可樂承認8000名員工的個人信息被泄漏 2018年5月25日，據外媒 Bleeping Computer報導，可口可樂公司本周對外宣布了一起數據泄露事件，他們在前員工的個人硬碟中，發現了大量現有員工的個人數據，而這些數據，是該前員工從可口可樂違規挪用的。 這起泄漏時間從去年9月被發現，直到本周才對外宣布。事件影響8000可口可樂員工。目前，可口可樂正通過第三方供應商向受影響的員工提供一年的免費身份監測。 （七十） 紐約9家B&BHG餐廳遭惡意軟體感染，顧客支付卡數據泄漏 2018年7月，據多家國外媒體報導，B&BHG酒店集團（B＆B Hospitality Group）證實該集團在紐約市運營的9家餐廳所配備的銷售終端（POS）被發現感染了惡意軟體。初步調查結果顯示，此次黑客入侵發生在2017年3月1日至2018年5月8日之間，黑客可能已經偷走了支付卡號碼、持卡人姓名、支付卡有效日期、內部驗證碼以及其他一些付款信息。 第三方網絡風險管理平臺公司CyberGRX的執行長Fred Kneip表示：「一個企業數字生態系統中的所有第三方都需要不斷評估他們引入的風險水平，這一點對於銷售終端解決方案提供商來說尤其重要，因為他們能夠訪問所有的支付數據。」 （七十一） 紐西蘭網盤Mega上萬帳號密碼遭泄露，被公開在VirusTotal上 2018年7月17日，據外媒 ZDNet 報導，Mega —— 這家於紐西蘭成立並提供在線雲存儲和文件託管服務的公司，目前被發現其平臺中有成千上萬的帳號憑證信息已在網上被公開發布。被泄露的信息以文本文件形式提供，涉及超過 15,500 條用戶名、密碼和文件名的數據。 這份文本文件最早由Digita Security公司的首席研究官和聯合創始人 Patrick Wardle 於6月份在惡意軟體分析 VirusTotal 上發現，而這份文件是在幾個月前由一名據稱在越南的用戶上傳的。 （七十二） 雲泄露最前線：巴西訂閱視頻服務Sky Brasil暴露32.7萬用戶信息 2018年12月4日，獨立研究員Fabio Castro發現，巴西最大的訂閱電視服務公司Sky Brasil泄露了32.7萬用戶的信息，包括28.7GB的日誌文件和429.1GB的API數據，這些數據涉及姓名，家庭住址，電話號碼，出生日期，客戶端IP位址，付款方式和加密密碼。 雖然Castro發現了這一事件後通知了Sky Brasil，公司隨後也對資料庫進行了密碼保護；但其伺服器至少從10月中旬就開始在Shodan上被編入索引，目前還不清楚資料庫的訪問者數量。 （七十三） 知名運動品牌Under Armour 1.5億用戶數據被泄露，稱不涉及敏感信息 2018年3月30日，據報導，本周四，美國著名運動裝備品牌Under Armour稱有1.5億 MyFitnessPal用戶數據在上個月被泄露了，MyFitnessPal是一款Under Armour旗下的食物和營養主題應用。 此次關於用戶數據泄露的聲明使得該公司的股票價格下跌了2.4%。據該公司稱，此次數據泄露事件影響到的用戶數據包括用戶名、郵箱地址、和加密的密碼。該運動裝備製造商稱，是在3月25日才發現的此次數據泄露事件，並從那時就開始通知受影響用戶。 （七十四） 珠寶電商MBM公司130萬客戶信息泄漏，內含明文密碼 2018年3月18日，據雷鋒網報導，MBM 公司被德國安全公司Kromtech Security 的研究人員抓住了小辮子。研究人員在不安全的亞馬遜 S3 存儲桶中發現了該公司的MSSQL 資料庫備份文件。 最初，研究者懷疑這些數據歸沃爾瑪所有，因為這個存儲桶被命名為「walmartsql」，不過後來他們通過分析後發現，這些數據的主人其實是 MBM 公司。在對泄露文檔作了進一步評估後他們發現，這裡容納了超過 130 萬人（準確來說是 1314193 人）的私人敏感數據。這些數據包含個人住址、email 地址、IP 地址和郵政編碼，許多客戶的密碼甚至直接用明文顯示，毫無安全性可言。 安全專家支招稱，直接把敏感信息存入一個向公眾開放的存儲桶可不是什麼高明的決定，沒有對密碼進行加密更是不可饒恕。 十、 物聯網 （七十五） 俄羅斯視頻監控公司iVideon數據泄露，涉及超過82萬名用戶個人信息 2018年5月14日，Kromtech安全中心的研究人員在最近發現，一個歸屬於俄羅斯視頻監控公司iVideon的MongoDB資料庫並沒有得到保護，並向公眾開放。 從資料庫的內容來看，它似乎涵蓋了iVideon公司的整個用戶群，包括其用戶和合作夥伴的登錄名、電子郵箱地址、密碼哈希值、伺服器名稱、域名、IP位址、子帳戶以及軟體設置和付款設置信息（並不包括任何信用卡數據）。有超過82萬名用戶以及132家合作夥伴受到影響。 （七十六） 神乎其神！北美某賭場因聯網魚缸漏洞被黑，客戶信息全泄露 2018年4月17日，據報導，網絡安全公司 Darktrace 的執行長 Nicole Egan 在上周四於倫敦舉辦的一次會議上演示了黑客如何通過入侵賭場走廊上水族館中的聯網恆溫器黑掉一個名稱未被透露的賭場。 黑客利用了恆溫器中存在的一個漏洞在網絡中站穩腳跟，隨後，其設法訪問了賭徒中豪擲重金的人的資料庫，「然後在網上拉回來拉出恆溫器並拉向雲。」儘管 Eagan 並未透露這家賭場的身份信息，但她分享的這次安全事件可能發生在去年。當時 Darktrace 公司發布了一份報告，說明了位於北美的一家賭場遭到了這類恆溫器攻擊。 十一、 醫療衛生 （七十七） MongoDB資料庫意外暴露兩百多萬墨西哥公民的醫療健康數據 2018年8月，據BleepingComputer報導，一個MongoDB資料庫被發現可以通過網際網路公開訪問，其中包含了超過200萬（2,373,764）墨西哥公民的醫療健康數據。這些數據包括個人的全名、性別、出生日期、保險信息、殘疾狀況和家庭住址等信息。 這個資料庫是由安全研究員Bob Diachenko通過Shodan發現的，Shodan是一個搜尋引擎，可以搜索所有聯網設備，而不僅限於Web伺服器。當被發現時，這個資料庫完全暴露在網際網路上，任何人都可以對其訪問和編輯，因為它沒有設置密碼。「MongoDB的安全隱患問題至少從2013年3月開始被人們所知道，從那以後就開始被廣泛報導……不安全的資料庫仍然大量暴露在網際網路上，此類資料庫至少有54,000個。」 （七十八） 澳大利亞SA Health醫院意外暴露7200名兒童個人資料 2018年8月7日，據報導，澳大利亞SA Health在其官方網站上發布了一篇新聞稿，稱旗下位於澳大利亞第五大城市阿德萊德的婦女兒童醫院（Womens and Childrens Hospital）因工作人員操作失誤，意外暴露了約7200名兒童的醫療記錄和個人資料。其中，包括1996年至2005年期間在該醫院接受百日咳、胃腸和呼吸道感染治療的患者的詳細資料。 根據SA Health的說法，這些數據早在2005年就已經可以被公眾通過網際網路訪問，直到在上周三有患者的父母在線注意到這些數據後，醫院方面才得知了這一事件。這也意味著，這些數據已經在線暴露近13年！ （七十九） 美國醫療保健公司Blue Springs Family Care近4.5萬條患者記錄遭泄露 2018年7月31日，最近的新聞報導顯示，Blue Springs Family Care遭遇了勒索軟體攻擊，而被落入攻擊者手裡的數據達到了近4.5（44,979）萬條。 在該公司的一封公開信中指出，攻擊者可能獲得了各種患者記錄信息，這至少包括：患者的全名、住址和出生日期、帳號、社會保險號、殘疾等級、醫療診斷和駕駛執照/身份證號碼。 公開信還透露，2018年5月公司曾遭受勒索軟體攻擊。Blue Springs Family Care表示，他們已經與另一家電子健康記錄提供商達成合作協議，而這個新的合作夥伴會對所有健康數據進行加密保護。 （八十） 美國醫療公司LifeBridge Health泄露近50萬患者個人信息 2018年5月22日，根據《巴爾的摩太陽報（Baltimore Sun）》在本周二刊登的一則報導，LifeBridge Health公司日前向近50萬位患者發出通知稱，他們的個人信息可能會因為網絡黑客攻擊事件而遭到暴露。 根據LifeBridge Health官方的說法，這一事件最初是在今年3月份被發現的，當時他們在一臺伺服器上發現了惡意軟體，而該伺服器被用於為醫療系統的附屬醫師小組以及共享註冊和計費系統提供電子醫療記錄數據。 LifeBridge Health通過電子郵件告知患者，根據第三方安全公司的調查結果來看，數據泄露最初開始於2016年9月27日，遭泄露的信息包括患者的姓名、家庭住址、出生日期、保險信息和社會安全號碼。 （八十一） 美國醫療轉錄公司MEDantex意外暴露數千名醫生提交的患者記錄 2018年4月，KrebsOnSecurity在上周五（4月20日）了解到，MEDantex旗下的一個門戶網站存在泄露患者醫療記錄的安全隱患。該網站允許醫生上傳音頻文件。這個功能頁面原本是應該得到加密保護的，但事實證明任何網際網路用戶都可以對其進行訪問。 MEDantex是一家總部位於美國堪薩斯州的醫療轉錄公司，它的主要業務即是為醫院、診所和私人醫生提供定製的轉錄解決方案。KrebsOnSecurity表示，他們目前尚不清楚在MEDantex網站上具體有多少患者的醫療記錄遭到了暴露，但其中一個被命名為「/ documents / userdoc」的目錄包含了與2300多名醫生相關的文件。目錄以按字母順序排列，每一個目錄中都包含有不同數量的患者醫療記錄，其中的Microsoft Word文檔和原始音頻文件都可以被下載。 ... （八十二） 挪威過半人口醫療數據疑遭泄漏，攻擊者「高階且專業」 2018年1月19日，挪威當地媒體報導稱，負責管理挪威東南部地區醫院的機構Health South-East RHF宣布網站遭泄露事件，超過290萬用戶，超過挪威（總人口520萬）一半的人口可能受影響。該組織表示，挪威醫療部門的計算機緊急響應中心HelseCERT 發現來自 HealthSouth-East計算機網絡的可疑流量；一名黑客或黑客組織可能已經盜取了上述人口的醫療數據。 Health South-East RHF 和其母公司Sykehuspartner HF 發布聯合聲明稱，「情況嚴重，並已採取措施限制該事件造成的損害。」Health South-East RHF 將攻擊者描述為「高階且專業」。另外已將該事件通知挪威CERT團隊即 NorCERT。 （八十三） 為防止再次發生泄漏事件，新加坡公共醫療領域電腦暫時「斷網」 2018年7月23日，新加坡衛生部稱，公共醫療機構使用的電腦已暫停接入網際網路，防止類似新加坡保健服務集團（新保集團）資料庫遭網絡攻擊事件再度發生。 新加坡公共醫療機構多項服務依靠網際網路，切斷工作人員所用電腦與網際網路的連接可能延長等待時間，給病人帶來不便。 據了解，新保集團資料庫6月底開始遭網絡攻擊，大約150萬名病人個人資料失竊，新加坡總理李顯龍、榮譽國務資政吳作棟及多名部長的個人資料和門診記錄也被竊取，新加坡政府已成立獨立調查委員會調查此事。 （八十四） 英國知名藥妝店Superdrug近2萬名顧客個人信息遭泄露 2018年8月24日，據報導，有黑客在本周一（8月20日）聯繫了英國知名藥妝店Superdrug，稱他們已經獲得了大約2萬名Superdrug顧客的詳細個人信息。作為證據，黑客還向Superdrug展示了386名顧客的個人信息記錄。 Superdrug號稱英國第二大美容和健康零售商，占據英國30%市場份額。經過Superdrug的確認，被竊取的個人信息包括顧客的姓名、住址，以及部分顧客的出生日期、電話和積分餘額。不過，Superdrug堅稱被黑客竊取的憑證是從入侵第三方得來的，而並非通過入侵Superdrug的系統。之所以能夠進一步獲取到Superdrug顧客的詳細個人信息，這是因為黑客利用了人們有在各種在線服務使用相同密碼的習慣。 （八十五） 遭遇網絡釣魚攻擊，美國奧古斯塔大學醫療中心泄露41.7萬份記錄 2018年8月21日，據報導，奧古斯塔大學醫療中心在去年曾遭遇了一次網絡釣魚攻擊。最新調查顯示這次攻擊導致約41.7萬份記錄遭泄露。遭泄露的數據包含了患者個人信息，以及他們的醫療和健康記錄。對於其中一些受害者來說，遭泄露的數據還可能包含財務記錄和社會安全號碼。 根據該校網站上最新發布的安全通知來看，攻擊發生在2017年9月10日至11日。最初，該校認為攻擊僅暴露了「少量的內部電子郵件帳戶」。然而，在今年，他們意識到約有41.7萬份記錄因此遭到泄露。 奧古斯塔大學已經準備向每一名受害者發送個人電子郵件，以通知他們有關此次事件，並為社會安全號碼遭到泄露的人提供為期一年的免費信用監控服務。 （八十六） 優步270萬用戶信息被黑客盜取，遭英國監管機構罰款38.5萬英鎊 2018年11月27日，優步（Uber）近日被英國媒體曝光：旗下約270萬英國用戶個人信息在2016年被黑客盜取，而最誇張的是優步為了「息事寧人」居然支付了10萬美元給黑客，因此被英國監管機構重罰38.5萬英鎊。 據報導，英國政府Information Commissioner’sOffice（ICO）表示，優步在遭遇黑客攻擊後，沒有第一時間告知被泄露的用戶有關細節，反而支付贖金，這一做法是對用戶和優步司機信息安全性的漠視。ICO將這次的黑客行為定義為「嚴重違法行為」。 目前，ICO正在對案件進行進一步的調查。該辦公室還指出，已經在優步的系統中發現了一系列可獲得數據的安全漏洞，黑客從一個優步運營的雲儲存系統中可以下載數以百萬計的客戶的敏感信息，已掌握了2016年10月和11月被攻擊的犯罪事實。 十二、 製造業 （八十七） 巴西最大工業協會被指數據泄露，數千萬個人信息可網際網路訪問 2018年11月，據報導，白帽黑客生態系統Hacken Proof的安全研究員鮑勃·迪亞琴科（Bob Diachenko）稱其發現了三個包含個人記錄的資料庫，可通過Elasticsearch搜尋引擎訪問這些記錄。最大的數據源包含3480萬個條目。據迪亞琴科稱這些數據已在網上暴露數日。 而被指控泄露上述數據的主體是巴西聖保羅州工業聯合會（簡稱FIESP），FIESP代表了約13萬家公司，是巴西工業部門的最大企業實體。這些外泄記錄包括：姓名、ID與社會安全號碼、完整住址信息以及電子郵件與電話號碼。 關於該數據泄露事件，該研究員稱其已試圖警告FIESP，但無濟於事。Hacken Proof在推特上首次公開該泄露事件後，一位巴西粉絲將該數據泄露事件告知了企業，企業這時才離線了資料庫。 （八十八） 史上最嚴重數據車禍：100+車廠機密全曝光，通用豐田特斯拉統統中招 2018年7月22日，據報導，加拿大汽車供應商Level One被UpGuard的研究員Chris Vickery發現，該廠商的數據後門大開，黑客可輕鬆訪問其100多家合作夥伴車廠的機密文件。這100多家車廠，從通用汽車、菲亞特克萊斯勒、福特、豐田，大眾到特斯拉，都名列其中。 而被泄露的數據，從車廠發展藍圖規劃、工廠原理、製造細節，到客戶合同材料、工作計劃，再到各種保密協議文件……甚至員工的駕駛證和護照的掃描件等隱私信息，共計157千兆字節，包含近47,000個文件。在反覆檢查過程中，Chris Vickery確認，通過Level One的文件傳輸協議rsync，可以無障礙訪問上述所有隱私數據。 （八十九） 特斯拉起訴前員工：黑進內部生產系統盜取並泄露機密數據 2018年6月，據美國內華達州聯邦法庭公布的訴訟文件顯示，特斯拉起訴了一名該州TeslaGigafactory超級工廠的一名前員工馬丁·特里普（Martin Tripp），稱其盜取了該公司的商業機密並向第三方泄露了大量公司內部數據。 據訴訟文件顯示，該名員工承認曾開發惡意軟體進入特斯拉內部生產作業系統，偷取大量數據並交給第三方，還向媒體發表不實言論。這些被泄露的數據包括「數十份有關特斯拉的生產製造系統的機密照片和視頻」。 特里普開發的惡意軟體安裝在了三臺不同員工的電腦上，所以在他離開特斯拉後，還能繼續從該公司傳輸數據到第三方。而電腦被安裝該惡意軟體的員工也將受到牽連。 十三、 其他 （九十） 國泰航空940萬名乘客個人數據被盜，包含出行地點數據 2018年10月25日，據外媒報導，大型國際航空公司國泰航空披露，在今年3月發生的一次數據泄露事件中，該公司的940萬名乘客的記錄被盜，另外含有姓名、出生日期、住址等個人信息的護照信息也可能已經泄露。據悉，此次事件還涉及到了每位乘客的具體出行地點以及客戶服務代表的評論等等。 另外，國泰航空還指出，有403個過期信用卡卡號、27個沒有CVV號碼的信用卡卡號遭到訪問。但是，沒有密碼遭到泄露。 這家公司選擇在6個月後公布數據泄露事件的做法也許會在歐洲市場遇到阻礙，因為那邊最新通過的通用數據保護條例要求公司在發現違規情況三天後就要告知客戶和執法部門。 （九十一） 麗笙酒店集團遭遇數據泄露，官方稱受影響會員不足10% 2018年11月2日，據英國The Register報導，麗笙酒店集團（Radisson hotel Group，以下簡稱「麗笙」）已經於10月30日開始向參與其獎勵計劃的會員發出電子郵件，確認了一起黑客攻擊。麗笙在其聲明中沒有提到黑客侵入了哪個系統，也沒有提供其他技術細節。其發言人表示，此次事件只影響不足10％的麗笙獎勵計劃會員帳戶。 麗笙在其發出的電子郵件中表示，此次數據事件並不涉及任何信用卡或密碼信息，目前已經被確認能夠被黑客訪問的信息僅限於會員的姓名、住址（包括居住國）、電子郵箱地址，以及一部分會員的公司名稱、電話號碼、麗笙獎勵計劃會員編號等信息等。 （九十二） 開發者安全預警：數萬Jenkins暴露在網上，已發現大量敏感數據 2018年1月23日，研究人員表示，沒有利用任何漏洞，就在網際網路上發現了暴露2.5萬個Jenkins實例，從這些實例中發現了不少大型公司泄露了敏感證書和日誌文件，這都可能會引發數據泄露事件。 Jenkins是最受歡迎的開源自動化伺服器，由CloudBees和Jenkins社區維護。 自動化伺服器支持開發人員構建，測試和部署其應用程式，在全球擁有超過133,000個活躍安裝實例，用戶超過100萬。 上述2.5萬個實例中，10-20％的實例存在配置錯誤，這些錯誤配置的實例，大多也都泄露了敏感信息，包括專用原始碼庫的證書，部署環境的證書（例如用戶名、密碼、私鑰和AWS令牌）以及包括憑證和其他信息的作業日誌文件敏感數據。 （九十三） 澳大利亞國家絕密文件被賣二手店 2018年2月1日，澳大利亞政府的某人決定賣掉兩個塵封已久的文件櫃賣掉，因為他們丟掉了文件櫃鑰匙；隨後買家用一把電鑽打開了櫃——連續五屆政府在儲藏櫃放著的文件。 最終，這些文件輾轉到達澳大利亞廣播公司 (ABC) 的手中，這家媒體目前正在發布他們認為安全的資料。ABC 披露的文檔中包括Rudd 政府如何計劃資助澳大利亞已引發爭議的國家寬頻網絡 (NBN) 的機密簡訊。該公司播報人員表示「不會發布涉及國家安全、或者信息已公開、或涉及公務員的隱私的文檔」。 （九十四） 3500萬美國選民記錄黑客論壇有售 2018年10月24日，美國11月中期選舉臨近，AnomaliLabs 和 Intel 471 的研究人員發現某黑客論壇上竟然在售賣3500萬條美國選民的記錄，牌出售的選民記錄來自美國19個州的2018選民登記，包括威斯康辛、德克薩斯和喬治亞州。據稱該選民數據記錄包含全名、電話號碼、住址、選舉歷史和其他未明確的選舉數據。 號稱有600萬選民的威斯康辛州，選民記錄價格為1.25萬美元。其他州的選民信息報價在幾千美元，到幾百美元不等。賣家承諾，每周都會在從州政府線人處收到信息時更新選民登記數據。令人匪夷所思的是，售賣信息剛貼出來幾小時後，論壇上就出現了眾籌購買該選民記錄的活動。 （九十五） Google Groups配置不當，一大波財富500強公司敏感信息遭泄露 2018年6月，Kenna Security 公司研究員指出，由於Google Group配置出錯，導致數千家組織機構的某些敏感信息被泄露。這些受影響組織機構包括財富500強公司、醫院、高等院校、報紙和電視臺以及美國政府機構等。根據樣本統計，約31%的 GoogleGroups會導致泄露數據。 獨立研究員 Brain Krebs 上周五發布分析結果表示，「除了泄露個人信息和金融數據外，配置錯誤的 GoogleGroups 帳戶有時候還公開檢索關於組織機構本身的大量信息，包括員工使用手冊連結、人員配備計劃、宕機和應用 bug 報告以及其他內部資源。 研究人員指出，「鑒於這種信息的敏感特徵，可能會引發魚叉式釣魚攻擊、帳戶接管和多種特定案例的欺詐和濫用情況。」 （九十六） MongoDB可公開訪問，美國慈善機構Kars4Kids泄露上萬名捐贈者個人信息 2018年11月3日，網絡安全諮詢公司Hacken的網絡風險研究主管BobDiachenko發現了一個似乎是可公開訪問的MongoDB資料庫。經過進一步調查，這些數據似乎包含了21,612名Kars4Kids捐贈者的電子郵箱地址和其他個人信息，以及超級管理員用戶名和密碼。 Kars4Kids是一家成立於1994年的慈善機構，總部設在美國新澤西州萊克伍德，將其大部分收益都捐贈給了Oorah，一個以解決「猶太兒童及其家庭的教育、物質、情感和精神需求」為目標的國家組織。 據分析，有網絡犯罪分子可能已經使用這些用戶名和密碼訪問了Kars4Kids儀錶板的內部帳戶，這將使得他們能夠訪問更敏感的數據。例如，度假券（向捐贈者提供的免費假期）和收據，以及包括電子郵箱地址、家庭住址和電話號碼等在內的個人信息。 （九十七） MongoDB配置不當，近70萬美國運通印度分公司客戶聯繫信息遭泄露 2018年11月，據外媒ZDNet報導，近70萬名美國運通（Amex）印度分公司客戶的個人詳細信息在最近被一名安全研究人員發現通過一臺存在配置錯誤的MongoDB伺服器暴露在了網上。 大約在三個星期以前，國際網絡安全諮詢公司Hacken的網絡風險研究主管Bob Diachenko發現了這臺漏洞百出的伺服器。該伺服器不僅能夠被公開訪問，而且沒有設置密碼。 據研究員表示，這些以明文形式存儲的記錄包含了美國運通印度分公司客戶的個人詳細信息，如電話號碼、全名、電子郵箱地址和支付卡類型等。雖然這些數據似乎並不過於敏感，但很可能會對垃圾電子郵件活動起到推動作用。 （九十八） MongoDB資料庫配置不當，數萬Bezop代幣用戶個人信息泄露 2018年4月，據報導，網絡安全公司Kromtech偶然發現了一個未加密的MongoDB資料庫，其中包含了超過25,000名Bezop用戶的詳細個人信息，其中一部分是6,500名Bezop（BEZ）加密貨幣的投資者，剩餘部分則單單只是Bezop代幣的接收者。 安全研究人員稱，這個向公眾開放的資料庫包含了姓名、家庭住址、電子郵箱地址、加密密碼、錢包信息以及護照、駕駛執照或身份證的掃描件等敏感信息。 資料庫所存儲的這些信息與Bezop團隊在年初開始運行的「 賞金計劃 」 有關。在此期間，該團隊將Bezop代幣分發了給在其社交媒體帳戶上推廣該貨幣的用戶。 （九十九） 半年186家！日企機密文件大量被「曬」百度文庫 2018年3月，據調查企業信息泄露情況的相關公司的統計，最近半年多時間，186家日企的文件被發布到文檔分享網站上。這可能導致專利信息的泄露等，專家呼籲日本企業加強內部管理。 發布日本企業內部文件的是中國百度運營的文檔分享網站「百度文庫」。日本IT相關公司「CROSSWARP」調查顯示，僅2017年6月～2018年2月期間，上述近200家日企的文件被發布到百度文庫上。這些資料上均標有注意字樣，意味著屬於「機密」文件。 熟悉中國法律的律師分部悠介表示，在中國泄露企業營業機密也屬於違法行為，不過只有受害金額較大等情況下才會適用刑事處罰。另外，由於要證明網上的投稿使企業蒙受嚴重損失十分困難，因此很難通過刑事處罰來遏制這種行為。 （百） 美國大數據營銷公司因失誤泄露2TB隱私信息，涉2.3億人 2018年6月28日，據Wired報導，本月初曝光的市場和數據匯總公司Exactis伺服器信息暴露的事情經調查為實。Exactis此次的信息泄露並不是黑客撞庫引起或者其它惡意攻擊，而是他們自己的伺服器沒有防火牆加密，直接暴露在公共的資料庫查找範圍內。 據了解，Exactis採集了大約3.4億條記錄，大小2TB，可能涵蓋2.3億人，幾乎是全美的上網人口。雖然上述信息中不包含信用卡號、社會保障號碼等敏感的金融信息，但是隱私深度卻超乎想像，包括一個人是否吸菸，他們的宗教信仰，他們是否養狗或養貓，以及各種興趣，如潛水和大碼服裝，這幾乎可以幫助構建一個人的幾乎完整「社會肖像」。

↓↓↓限量特惠的優惠按鈕↓↓↓

<< 免責聲明：健康食品效果因人而異，使用前仍須與醫師諮詢溝通進行評估而定。>>

文章來源取自於：

壹讀 https://read01.com/P5eyogg.html

MOMO購物網 https://www.momoshop.com.tw/goods/GoodsDetail.jsp?i_code=7240369&memid=6000007380&cid=apuad&oid=1&osm=league

如有侵權，請來信告知，我們會立刻下架。

DMCA：dmca(at)kubonews.com

聯絡我們：contact(at)kubonews.com

【富邦購物中心折扣優惠開箱評價】【富邦購物綱折扣優惠開箱評價】【momo購物網折扣優惠開箱評價】【momo優惠現金好禮】
【momo優惠展覽出清】 【NAKAY】Mini輕巧電子體重計健康秤(輕鬆站上來)【momo購折扣優惠開箱評價】 【415前免登記滿3千送3百滿8千送6百mo幣】3M S004淨水器替換濾心4年份超值4入組(濾心型號3US-F004-5)【momo優惠部落客推薦】 【莊頭北 - 贈妙管家保溫杯】隱藏式排油煙機80CM(TR-5692SL)【這產品好多人評價推薦】 【歐尚】健步車move-x 手推散步車 購物車(完全收折體積最小)