数据泄露是我们数字生活的一部分。几乎一天没有其他公司泄漏您的数据。尽管这些事件变得越来越普遍,但2018年也发生了其他变化。
欧盟通用数据保护条例(GDPR)的实施意味着企业现在承诺在72小时内披露任何违规情况。跟上所有最新的黑客攻击可能很难,因此我们汇总了一年中一些最值得注意的漏洞。
1。在防具保护下
受影响的用户: 1.5亿
暴露的数据:用户名,电子邮件地址和哈希密码
对于饮食和运动跟踪应用程序MyFitnessPal(MFP)是世界上许多人的健身之旅的日常伴侣。因此,运动服公司Under Armour收购MFP作为其数字产品的一部分时,就不足为奇了。在2018年3月,Under Armour(UA)发布了一份声明,称MyFitnessPal已遭到入侵,并暴露了该应用程序的1.5亿用户的用户名,电子邮件地址和哈希密码。
该公司迅速采取了行动。在了解有关违规行为的四天内,MyFitnessPal向所有用户发送了一封电子邮件更新,并建立了一个FAQ网站。他们建议所有用户立即更改他们的密码,并在某种程度上含糊其词地继续“增强其系统,以检测和防止未经授权的用户信息访问。"
表面上,它似乎Under Armour的用户正在做的正确。但是,虽然某些密码是使用bcrypt进行哈希处理(将密码转换为无法读取的字符串的一种过程),但其他密码却不太幸运。尽管他们没有透露具体数字,但MFP的大量用户群仅受到SHA-1的保护,而SHA-1被广泛认为是哈希的最弱形式。
尽管泄漏发生在年初,截至2018年9月,该漏洞的起因或UA希望如何防止未来的攻击没有进一步的更新。该公司还没有详细说明他们是否将继续使用SHA-1哈希。
2。英国航空公司
受影响的用户:未知
数据已暴露:客户的个人和财务数据
随着夏季临近在9月初收盘时,英国最大的航空公司英国航空公司(BA)表示,他们正在紧急调查盗窃客户信息的情况。该公司在其事件信息网站上表示,盗窃影响了“在[2018年8月21日北京时间22:58 BST和2018年9月5日21:45 BST之间进行预订或更改预订的客户。“失窃的数据包括姓名,电子邮件地址,帐单邮寄地址和银行卡详细信息。
如果您是此次攻击的不幸受害者之一,BA承诺不会因盗窃直接造成损失。但是,值得注意的是,他们还没有说出他们认为“直接结果"的意思。在披露信息后的几天里,The Register报告称,这次攻击可能归咎于外部付款脚本。安全公司RiskIQ表示,这次攻击很可能是由名为Magecart的组织发起的,该组织负责在2018年初对Ticketmaster进行非常类似的攻击。<
就在攻击发生的一年之前,BA还是在大规模计算机电源故障的中心。这次失败使该公司的IT系统陷入瘫痪,使所有飞机停飞并影响了数千名乘客。尽管广受媒体关注,BA并没有说说史无前例的停电原因。
3。 TypeForm
受影响的用户:未知
暴露的数据:包括个人身份信息的调查数据
如果已在过去几年中完成在线调查后,您可能使用了数据收集网站Typeform。他们的调查易于设置且易于使用,因此受到企业的欢迎。 Typeform的客户是企业,而不是最终用户。因此,当公司在2018年6月发现违规行为时,他们就向客户发出警报。
Typeform的事件响应网站缺乏详细信息,而是着重于企业应如何告知客户有关披露的信息。我们所知道的Typeform受到破坏的原因是,这是未经授权访问日期为2018年5月3日的部分备份的结果。尽管目前尚不清楚该数据可以追溯到多长时间。由于Typeform选择不提供详细的细分,因此受影响的总数也不清楚。
但是,陷入此漏洞的组织名单相当广泛。英国零售商Fortnum&Mason和John Lewis以及澳大利亚面包连锁店Bakers Delight都受到了影响。其他已知的受害者包括Airtasker,Rencore,PostShift,Revolut,Middlesex大学学生会,Monzo,塔斯马尼亚选举委员会,Travelodge和英国的自由民主党。
4。 Exactis
受影响的用户: 3.4亿
暴露的数据:可以想象的一切,减去社会保障和信用卡号码
在我们的现代经济中,我们交易数据以换取免费产品和在线服务。但是,反对这种数据收集的趋势正在不断发展。他们毫不客气地将这种做法称为监视资本主义。在2017年的Equifax黑客攻击之后,这种情绪变得越来越流行。您可能会对Equifax一直在背后收集有关您的详细信息感到惊讶。不幸的是,当您得知不是唯一的威胁时,您不会感到震惊。
6月,安全研究员Vinny Troia使用计算机搜索引擎Shodan来发现一个包含3.4亿条记录的数据库。市场营销公司Exactis将数据库置于不安全的公开服务器上。尽管1.455亿条Equifax黑客记录得到了广泛的报道,但Exactis数据库的记录却超过了3.4亿条记录。但是,与汇总的Equifax数据不同,Exactis数据库是由安全研究人员发现的。当前没有证据表明该恶意软件已被恶意访问。
Exatis是一家数据经纪人,在交易我们的个人信息,这就是他们拥有近2.14亿个人和1.1亿个企业数据的方式。根据WIRED的说法,这些记录包括“有400多种变量,涉及广泛的特定特征:该人是否吸烟,他们的宗教信仰,是否有猫还是狗,以及各种兴趣,如水肺潜水和加大码的服装。" <
虽然这里有一线希望。尽管可识别的数据量惊人,但与Equifax不同,它们没有任何财务信息。但是,如果事实证明是恶意方访问了数据库,则社交工程还有很多机会。
5。 Timehop
受影响的用户: 2100万
暴露的数据:姓名,电子邮件地址,出生日期,性别,国家/地区代码和电话数字
我们多年来的集体怀旧已经成为一件大事。没有任何一家公司比Timehop能够更多地利用对过去的热爱。 Timehop应用程序连接到您的社交网络并重新显示您的旧帖子,以提醒您您过去这一天的工作。在2018年7月,Timehop宣布在独立日中断了网络入侵。
尽管在短短两个多小时内就停止了攻击,但入侵者仍能够获取大量数据。不幸的是,其中包括姓名,电子邮件地址,出生日期,性别,在某些情况下还包括该应用程序2100万用户的电话号码。但是,它们能够阻止攻击者访问社交媒体帖子和私人消息。
攻击者确实设法获取存储的OAuth2密钥,该密钥授予对用户连接的社交网络的访问权限。在披露该漏洞之前,Timehop与社交网络一起停用了这些密钥,从而迫使用户重新验证关联的帐户。
与许多同时代人不同,他们的事件网站被清楚地展示了。攻击从技术和简单的角度进行了解释。他们甚至提供了易于理解的表格,其中包含访问数据的组合以及受影响的人数。当然,对于怀旧应用程序的2100万受害者而言,这将丝毫没有安慰。
从下一次数据泄露中保护自己
我们曾经认为安全的服务正在迅速得到解决,谢谢部分原因是他们的安全做法不佳。您甚至可能开始怀疑互联网上的任何地方是否安全。特别是考虑到数据收集已经暴露了您的个人信息多少次。如果您担心有问题,应该检查您的在线帐户是否遭到黑客入侵。
保护您的责任落在了受影响的公司的脚下。但是,有多种方法可以使您的网络卫生状况成为主流。
标签: