受新冠疫情影響和網(wǎng)絡(luò)犯罪活動的肆掠，2020年網(wǎng)絡(luò)攻擊規(guī)模一直穩(wěn)步增長，創(chuàng)下了新的網(wǎng)絡(luò)犯罪高峰。

　　據(jù)統(tǒng)計(jì)，過去一年全球公開范圍報(bào)告了3932起安全泄露事件，泄露的記錄數(shù)量達(dá)到驚人的370億條。相比之下，2019年全球泄露記錄為151億條。

　　在2020年發(fā)生的一系列數(shù)據(jù)泄露事件中，本文根據(jù)泄露規(guī)模選出了十大最嚴(yán)重事故。里邊有少部分為公網(wǎng)數(shù)據(jù)庫泄露，沒有找到數(shù)據(jù)所有者，但導(dǎo)致了大量敏感數(shù)據(jù)在網(wǎng)絡(luò)上快速擴(kuò)散。另外，有一些違規(guī)事件可能實(shí)際發(fā)生在幾年之前，但在2020年才被曝光。

　　Top 10. 未知（2.01億條）

　　2020年1月，安全研究人員發(fā)現(xiàn)一個數(shù)據(jù)庫，其中包含超過2億條被暴露在公共互聯(lián)網(wǎng)上的敏感個人記錄。目前尚不確定這套暴露在外的數(shù)據(jù)庫究竟歸誰所有，其托管在Google Cloud服務(wù)器上，包含大量關(guān)于美國居民及其財(cái)產(chǎn)的高敏感度統(tǒng)計(jì)數(shù)據(jù)，例如姓名、地址、電子郵件地址、信用評級、收入、凈值、房地產(chǎn)市場價(jià)值、投資偏好以及其他細(xì)節(jié)信息。

　　另外，目前無法判斷是否已經(jīng)有未授權(quán)方訪問過這套數(shù)據(jù)集，但其中包含的信息確實(shí)極具價(jià)值。谷歌方面在收到警報(bào)的一個多月之后，才著手下線這臺服務(wù)器。

　　Top 9. 微軟（2.5億條）

　　2020年1月，微軟表示其用于存儲客戶支持分析結(jié)果的服務(wù)器發(fā)生數(shù)據(jù)泄露。此次事件發(fā)生在2019年12月，共涉及2.5億條記錄（包括電子郵件地址、IP地址以及客戶支持案例的詳細(xì)描述），所有數(shù)據(jù)在未經(jīng)密碼保護(hù)的情況下被意外公開。

　　這個泄露的數(shù)據(jù)庫由5臺ElasticSearch服務(wù)器組成，用于簡化搜索操作。微軟方面發(fā)現(xiàn)意外暴露源自安全規(guī)則的錯誤配置，并快速完成了修復(fù)工作。

　　Top 8. Wattpad （2.68億條）

　　2020年6月，一個包含超過2.68億條記錄的數(shù)據(jù)庫遭遇入侵。相關(guān)記錄歸屬于加拿大的寫作博客平臺Wattpad，用戶可以發(fā)布各類原創(chuàng)文章。惡意攻擊者入侵了Wattpad的SQL數(shù)據(jù)庫，其中包含用戶賬戶憑證、電子郵件地址、IP地址以及其他敏感數(shù)據(jù)。事件曝光之后，該公司很快重置了用戶密碼。

　　Top 7. Broadvoice （3.5億條）

　　2020年10月，有消息稱美國VoIP服務(wù)供應(yīng)商Broadvoice泄露超過3.5億條客戶記錄，其中包括用戶姓名、電話號碼、通話記錄以及留給醫(yī)療機(jī)構(gòu)及金融服務(wù)公司的語音郵件。

　　由于配置錯誤，安全研究人員得以輕松訪問該公司掌握的10套數(shù)據(jù)庫，期間無需任何身份驗(yàn)證即可輕松訪問。Broadvoice方面很快修復(fù)了安全漏洞，并將事件通報(bào)給相關(guān)法律部門。

　　Top 6. 雅詩蘭黛（4.4億條）

　　2020年1月，美國化妝品巨頭雅詩蘭黛一套未受保護(hù)的數(shù)據(jù)庫將4.4億條內(nèi)部記錄意外暴露在互聯(lián)網(wǎng)上。發(fā)現(xiàn)這套未加密數(shù)據(jù)庫的研究員表示，其中暴露的信息包括電子郵件地址、內(nèi)部文檔、IP地址以及該公司內(nèi)部教育平臺的相關(guān)信息。在發(fā)現(xiàn)問題后，該公司立即關(guān)閉了這套數(shù)據(jù)庫。

　　Top 5. 新浪微博（5.38億條）

　　據(jù)報(bào)道，中國最大的社交媒體平臺新浪微博于2020年3月遭遇信息泄露，超過5.38億用戶的個人信息被擺在暗網(wǎng)及其他在線網(wǎng)站上公開銷售。

　　泄露事件的具體發(fā)生時(shí)間尚不清楚，但據(jù)推測很可能將追溯至2019年。黑客方面聲稱，這些敏感數(shù)據(jù)（包括1.72億用戶的昵稱、性別、居住地以及電話號碼）是從官方平臺抓取獲得。

　　Top 4. Whisper （9億條）

　　2020年3月，高人氣秘密分享應(yīng)用Whisper將9億條用戶記錄暴露在網(wǎng)上。除了大量匿名文本以及與內(nèi)容相關(guān)的元數(shù)據(jù)以外，泄露的信息還包括位置坐標(biāo)及其他敏感數(shù)據(jù)。所有信息都可在未經(jīng)密碼保護(hù)的公共數(shù)據(jù)庫上直接查看。一旦黑客掌握這些信息，很可能識別出特定用戶的身份甚至實(shí)施勒索。在獲悉事件之后，該公司很快關(guān)閉了數(shù)據(jù)訪問通道。

　　Top 3. Keepnet Labs （50億條）

　　2020年3月，總部位于英國的網(wǎng)絡(luò)安全廠商Keepnet Labs遭遇網(wǎng)絡(luò)違規(guī)事件。某承包商臨時(shí)開放了一套數(shù)據(jù)庫，其中包含此前在數(shù)據(jù)泄露調(diào)查中收集到的50億個電子郵件地址與密碼。

　　根據(jù)該公司的介紹，該公司主要業(yè)務(wù)就是收集歷史違規(guī)數(shù)據(jù)并通知商業(yè)客戶，幫助對方預(yù)防數(shù)據(jù)威脅。但為了加快執(zhí)行流程，該公司在遷移ElasticSearch數(shù)據(jù)庫時(shí)會臨時(shí)將防火墻關(guān)閉10分鐘。這個危險(xiǎn)的決定導(dǎo)致安全研究人員能夠通過不受保護(hù)的端口，以無需密碼的方式輕松訪問數(shù)據(jù)。

　　Top 2. Advanced Info Service （83億條）

　　2020年5月，泰國最大的GSM手機(jī)運(yùn)營商Advanced Info Service公司在獲悉數(shù)據(jù)泄露事件后，被迫刪除了一套數(shù)據(jù)庫。一位安全研究員在網(wǎng)上發(fā)現(xiàn)了這套完全開放的ElasticSearch數(shù)據(jù)庫，其中包含多達(dá)4 TB、總計(jì)83億條互聯(lián)網(wǎng)使用活動記錄。這些DNS查詢與Netflow數(shù)據(jù)等公開信息可被用于映射用戶行為。現(xiàn)在，這套不慎暴露的數(shù)據(jù)庫已經(jīng)恢復(fù)安全狀態(tài)。

　　Top 1. CAM4 （108.8億條）

　　2020年3月，研究人員在成人視頻直播網(wǎng)站CAM4上發(fā)現(xiàn)一臺未受保護(hù)的ElasticSearch服務(wù)器，其中泄露的7 TB數(shù)據(jù)包含近110億條記錄。記錄內(nèi)容涵蓋多種用戶敏感信息，例如全名、電子郵件地址、性取向、聊天與電子郵件清單、密碼哈希、IP地址以及付款記錄等。目前數(shù)據(jù)庫錯誤已被修復(fù)，但尚不清楚這些高度敏感的成人網(wǎng)站用戶信息是否已經(jīng)被黑客掌握。

　　收錄于話題 #行業(yè)重大網(wǎng)絡(luò)安全事件盤點(diǎn)12個下一篇盤點(diǎn)：八大行業(yè)重大網(wǎng)絡(luò)安全事件（附報(bào)告）閱讀原文閱讀 254分享收藏贊在看1寫下你的留言