2019网络安全大事记

1月

新加坡HIV数据泄露

2019年1月，新加坡卫生部公布，约14200名登记在案HIV感染者的姓名、证件号码、手机号码以及住址等个人信息被泄露，被泄露信息的感染者包括5400名新加坡人和8800名外国人。

Apple FaceTime漏洞

2019年1月29日上午，国外媒体宣称苹果FaceTime存在一个非常严重的漏洞，用FaceTime给别人打电话，能够利用这个漏洞对别人进行窃听，不管是对方拒绝接通电话还是挂断电话都可以利用这个漏洞进行窃听。漏洞影响ios12.1及以上版本系统。

美俄克拉荷马州安全部门数据泄露

研究人员在互联网上发现俄克拉荷马州安全部门（Oklahoma Department of Securities，ODS）服务器上大量数据泄露，泄露数据高达3TB，包含数百万个敏感的政府文件和FBI调查报告。此外，还有十万雇员的社会保险号、姓名和地址，远程访问ODS工作站的凭证以及俄克拉荷马州安全部门的通信记录。据Shodan搜索引擎的数据，该安全部门服务器至少从2018年11月30日起就已在公网暴露。

Town of Salem数据泄露

一名黑客已经成功窃取了760万热门页游“塞勒姆小镇（Town of Salem）”玩家的个人信息。遭泄露的数据实际上是8388894条，其中包含7633234个唯一的电子邮箱地址。

2月

墨尔本医院勒索软件攻击

黑客对澳大利亚墨尔本一家医院心脏病门诊的病人档案进行了“加密”，并向医院勒索钱财。大约15000名患者的医疗档案受到黑客攻击。

VFEmail消失

隐私电子邮件提供商VFEmail称该公司的所有服务器遭到来自不明身份攻击者的灾难性破坏，在几小时内丢失了近20年来的数据和备份。VFEmail创始人里克·罗梅罗（Rick Romero）在Twitter上表示，VFEmail实际上已经消失。

UConn数据泄露

UConn Health多名员工的电子邮件账户遭到入侵导致32万6629条记录的数据泄露。

美国俄亥俄州发送错误税单

美国俄亥俄州发送向纳税人发送了超过9000个错误税单，接收人、个人身份信息和税单信息都不准确。

UW Medicine

今年2月报告的规模最大的医疗数据泄露事件，源自网络服务器上的安全机制遭到意外删除，这直接导致超过97万3千名UW Medicine患者的受保护医疗信息被暴露在互联网之上。这些文件被搜索引擎编入索引，可通过简单的Google搜索直接找到。存储在该网络服务器上的文件在超过3周的时间内一直处于公开可查询的状态。

6200万账号泄露

从16个网站获取的6200万账号在暗网出售，包括来自Dubsmash, Armor Games, 500px, Whitepages, and ShareThis等网站的数据。

美国犹他州税务信息丢失

美国犹他州盐湖社区学院 Salt Lake Community College的约4.2万名学生的税务信息数据丢失。

3月

华硕软件被黑

名为ShadowHammer的攻击活动攻击了ASUS Live Update Utility工具，黑掉了上千台计算机。

FEMA信息泄露

FEMA（联邦应急管理局）意外泄露了230万灾难受害者的个人身份信息和财务信息，其中包括在哈维和艾尔玛飓风中幸存的受害者。

4月

Facebook数据泄露

研究人员在开放的AWS服务器上找到了从2家第三方公司收集的超过5400万Facebook相关的记录，包括姓名、ID、密码、喜好、照片、加入的组等信息。

佐治亚理工学院数据泄露

佐治亚理工学院130万现职员和前职员、学生的信息暴露在互联网上。

丰田

日本汽车制造商丰田汽车公司销售子公司和经销商处发生了数据泄露事件。数据泄露的原因可能是对系统的“未经授权的访问”。

Facebook明文保存密码

Facebook承认明文保存上百万Instagram用户的密码。

孕妇信息被窃

印度政府健康机构的服务器泄露1250万孕妇数据。

Docker账号敏感信息泄露

Docker发布警告称，有攻击者获取了包含19万账号敏感数据的数据库的访问权限。

5月

Canva

澳大利亚canva公司受到gnosticplayers黑客组织的攻击。黑客声称已窃取了1.39亿用户的记录，包括姓名和电子邮件地址。

第一美国金融公司数据泄露

房地产巨头第一美国金融公司泄露了2003年以来的数亿份保险单、银行账户号码，对帐单，抵押和税务记录等信息。

大型酒店连锁店85G数据泄露

由于第三方管理服务提供商的漏洞，大型酒店连锁店的酒店安全日志中有85gb的信息在网上公开。

Git遭勒索

一名黑客删除了github库并要求勒索赎金。黑客称源代码已被删除，并威胁会向公众发布所有内容。

6月

美国医疗数据局（American Medical Collection Agency ）数据泄露

由于对数据库的非授权访问导致美国医疗数据局的约200万个人医疗数据泄露。信息泄露影响LabCorp 和Quest Diagnostics等公司。

安卓手机预装恶意软件

谷歌证实，部分全新安卓手机预装了恶意软件，其中大部分在中国出售。

7月

Capital One数据泄露

Capital One数据泄露事件影响超1000万美国公民和600万加拿大公民。数据库的配置漏洞是导致该数据泄露事件发生的原因，泄露的个人身份信息是从2005年到2019年的。

洛杉矶警员信息泄露

洛杉矶人事局数据泄露导致2500名洛杉矶警察局(LAPD)警员和17500名LAPD求职者的个人信息在一次数据泄露被盗。被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。

Silence攻击银行

孟加拉国、印度、斯里兰卡和吉尔吉斯斯坦等地银行被Silence黑客攻击，据称窃取了数百万美元。

8月

英国生物信息数据库泄露

英国大都会警察局、银行和企业使用的一个生物信息数据库泄露，其中包含上百万条记录。

约会APP泄露位置信息

Grindr, Romeo, Recon等3款约会APP被爆含有安全漏洞，会泄露用户位置信息。

保险公司支付勒索赎金

Asurion保险公司向黑客支付30万美元的赎金，攻击者称窃取了上千名员工和上百万用户的超过1TB隐私数据。

9月

AWS数据库泄露数据

韩国阀门制造商DK-LOK的不安全的AWS数据库泄露了该公司与客户沟通的机密邮件和信息。

数据库错误配置致信息泄露

厄瓜多尔共和国开放的错误配置的数据库泄露了该国公民隐私信息，超过2000万人受到影响。

美国外卖公司数据泄露

由于安全漏洞导致美国外卖服务DoorDash暴露了该公司大约490万客户、商家和送货员的个人数据。此次泄露的信息可能包括大约10万名外卖骑手的驾照号码，其他数据可能包括“姓名、电子邮件地址、交货地址、订单历史记录、电话号码”等。

10月

Yahoo数据泄露事件后续

Yahoo对在2012到2016年之间拥有雅虎账号的用户发起补偿基金。

Adobe用户数据暴露

Adobe 750万Adobe Creative云账号数据暴露在一个不需要访问凭证的不安全的数据库上。

俄罗斯税务信息泄露

俄罗斯公民超200万税务信息泄露，时间跨度从2009年到2016年。

CCleaner被植入恶意软件

Avast称由于内部员工凭证被窃导致攻击者插入恶意软件到CCleaner中。

11月

一加手机网站漏洞

一加手机厂商网站漏洞使攻击者可以获取客户之前的订单信息，包括姓名、手机号码、邮件地址和地址信息等。

Facebook再爆隐私泄露

Facebook有100名开发者访问了不应访问的数据，引发隐私泄露丑闻。

T-mobile用户数据泄露

T-mobile数据泄露影响预付费服务客户，包括姓名、账单地址、电话号码、账户号码等。

英国劳动党被攻击

英国劳动党遭受多起DDOS攻击，影响该党网站和活动工具。

Disney+上线即被黑

内容流服务上线数小时就有人在黑客论坛出售用户注册账号信息。被黑的账号暗网最低仅售3美元 。

某服务器120万数据泄露

120万条数据泄露研究人员发现一个有漏洞的数据库，该数据库中含有120万条数据记录，包含邮件地址、雇员信息、任职信息、姓名、手机号码和社交信息等。

12月

MixCloud用户数据泄露

2100万MixCloud用户数据在暗网出售。

Nebraska医学中心数据泄露

一位Nebraska医学中心内部人士未经许可访问了包含患者数据的数据库，其中包括姓名、地址、出生日期，身份证号和测试结果。

更多参见https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/