2019年12大数据泄露事故

仅在2018年，就有5亿个人记录被盗。到年底将窃取多少记录?

根据《 2019年第三季度基于风险的数据违规快速查看报告》，截至9月底，共有5183次违规，暴露了79亿条记录。与2018年第三季度报告相比，违规总数上升了33.3%，暴露的记录总数翻了一番多，上升了112%。

今年会是有记录以来最糟糕的吗?

12. ElasticSearch服务器漏洞– 1.08亿条记录

在2019年1月，ZDnet报告说，一个在线赌场集团泄露了超过1.08亿笔赌注的信息，包括有关客户个人信息，存款和取款的详细信息。数据从ElasticSearch服务器泄漏，该服务器没有密码就可以在线暴露。ElasticSearch是公司安装的便携式高级搜索引擎，用于改进其Web应用程序的数据索引和搜索功能。

发现服务器的安全研究员Justin Paine发现用户数据包含很多敏感信息，例如真实姓名，家庭住址，电话号码，电子邮件地址，生日，站点用户名，帐户余额，IP地址，浏览器和操作系统详细信息，上次登录信息以及已玩游戏的列表。ZDnet报告说，不清楚该服务器在网上暴露了多长时间，有多少用户受到影响，是否有其他人访问了泄漏的服务器以及是否通知客户其个人数据被暴露了。

11. Canva数据泄露– 1.39亿条记录

2019年5月，《安全杂志》报道说，图形设计工具网站Canva遭受数据泄露，影响了1.39亿用户。公开的数据包括客户用户名，真实姓名，电子邮件地址，密码以及城市和国家/地区信息。此外，在1.39亿用户中，有7800万用户的Gmail地址与他们的Canva帐户相关联。

据ZDnet称，负责此漏洞的黑客已在暗网上出售了9.32亿用户的数据，这些数据是他们从全球44家公司中窃取的。

10. 中国求职者MongoDB数据泄露– 2.02亿条记录

2019年1月，网络安全公司Hacken的网络安全专家兼研究员Bob Diachenko发现了一个854 GB的MongoDB数据库，其中包含202,730,434条有关中国求职者的记录。数据包含候选人的技能和工作经验，以及个人识别信息，例如电话号码，电子邮件地址，婚姻状况，政治倾向，身高，体重，驾驶执照信息，薪资期望和其他高度个人数据。

中国的一家分类广告公司BJ.58.com告诉Diachenko，数据来自第三方公司，该公司从许多专业站点收集数据。迪亚琴科发现漏洞后约一周，数据库得到了保护。

9. 印度公民MongoDB数据库-2.75亿条记录

2019年5月，迪亚琴科再次透露他发现了一个MongoDB数据库，该数据库暴露了275,265,298条包含高度PII的印度公民记录。该数据库未受保护超过两个星期。

迪亚琴科说，托管在亚马逊AWS上的可公开访问的MongoDB数据库包括姓名，性别，出生日期，电子邮件，电话号码，学历，专业信息(雇主，工作经历，技能和职能领域)以及当前薪水等信息。

8. 第三方Facebook应用程序数据泄露– 5.4亿条记录

2019年4月，UpGuard安全研究人员透露，有两个第三方开发的Facebook应用程序数据集已暴露于公共互联网中。一个数据库来自墨西哥的媒体公司Cultura Colectiva，重达146 GB，其中有5.4亿条记录详细记录了评论，喜欢，反应，帐户名，Facebook ID等。

研究人员说，另一个第三方应用“ At the Pool”通过Amazon S3存储桶公开访问了公共互联网。该数据库备份包含用于用户信息的列，例如用户名ID，朋友，喜欢，音乐，电影，书籍，照片，事件，组，签到，兴趣，密码等。

7. Dream Market Breach– 6.2亿条记录

2月，《The Register》报道说，从16个被黑网站窃取的大约6.17亿个在线帐户详细信息正在暗网中出售。以下帐户数据库正在Dream Market上出售：

Dubsmash (162 million)

MyFitnessPal (151 million)

MyHeritage (92 million)

ShareThis (41 million)

HauteLook (28 million)

Animoto (25 million)

EyeEm (22 million)

8fit (20 million)

Whitepages (18 million)

Fotolog (16 million)

500px (15 million)

Armor Games (11 million)

BookMate (8 million)

CoffeeMeetsBagel (6 million)

Artsy (1 million)

DataCamp (700,000)

根据该报告，样本帐户记录主要包括帐户持有人姓名，电子邮件地址和密码。这些密码是经过哈希处理或单向加密的，必须经过破解才能使用。显示的其他信息取决于站点，包括位置个人详细信息和社交媒体身份验证令牌。

6. “Collection #1”数据违规– 7.73亿条记录

一月份，特洛伊·亨特(Troy Hunt)宣布他已经找到了一组电子邮件地址和密码，总计2,692,818,238行，其中包括来自数千个不同来源的许多不同的个人数据泄露。总共有1,160,253,228个电子邮件地址和密码的唯一组合。唯一电子邮件地址总计772,904,991。唯一密码总计21,222,975。

多个人与Hunt取得联系，并指示他前往云服务MEGA上的文件收集，该服务包含12,000多个单独的文件和超过87GB的数据。此外，他还指向了一个流行的黑客论坛，该论坛正在发布数据。在文件中，亨特找到了自己的个人数据，例如他多年以前使用的电子邮件地址和密码。

5. Verifications.io数据泄露– 8.08亿条记录

4月，Diachenko和安全研究员Vinny Troia报告说，他们已经找到了一个可公开访问的MondoDB数据库，该数据库包含150 GB的详细营销数据。该数据库归电子邮件验证公司Verifications.io所有，并在Diachenko与该公司联系的同一天被下线。

该数据库包含四个单独的数据集合，总计808,539,939条记录。Diachenko说，其中最大的部分名为“ mailEmailDatabase”，并且其中包含三个文件夹：

电子邮件记录(计数：798,171,891条记录)

emailWithPhone(计数：4,150,600条记录)

businessLeads(计数：6,217,358条记录)

4. 首次美国数据泄露– 8.85亿条记录

（编辑：ASP站长网）