网络攻击、黑客组织和数据泄露会一直存在于网络世界中。

在过去的几年里，不断有数据泄露事件发生，包括医疗信息、账户凭证、公司电子邮件和企业内部敏感数据泄露。网络攻击和数据泄露的原因各不相同。例如Equifax未能修补已知的漏洞，该漏洞会影响正在使用的软件或库并产生严重的影响；不安全的数据库暴露在internet上也是很严重的问题；零日漏洞可能在程序打补丁前在野被利用；组织或个人可能成为国家资助的APT组织，拥有大量资源和工具。

根据IBM最新的数据泄露年度成本研究，平均数据泄露成本现在高达392万美元。这些费用在过去五年里增加了12%。安全事故的长期损害可能并不那么明显，数据泄露可能导致一家公司的平均股价在披露后下跌7.27%。据FireEye估计，不到一半的组织准备好面对网络攻击或数据泄露。

下面，我们来看看2019年发生的数据泄露和网络攻击事件。

一月

新加坡卫生部艾滋病毒登记处：新加坡卫生部承认数据泄露，暴露了14000多名被诊断为艾滋病毒感染者高度敏感记录。

苹果FaceTime：一名玩家在苹果iOS中发现了一个漏洞，允许用户通过打电话窃听iPhone所在环境，也可以观看实时视频。

俄克拉荷马州证券部：俄克拉荷马州证券部的一个服务器，包含数兆字节的政府机密数据，包括联邦调查局的调查记录和敏感的政府文件，暴露在互联网上，是通过Shodan搜索引擎找到的。

Del Rio勒索软件：德克萨斯州的Del Rio市，在市政厅服务器因感染勒索软件无法工作后，被迫使用纸笔。

Town of Salem：Town of Salem开发商BlankMediaGames说，760万用户的个人信息被盗。已从公司系统中删除了多个后门。

二月

Cabrini医院：勒索软件感染锁定了15000个病人档案，黑客要求付款以换取解密密钥。

VFEmail：电子邮件服务提供商vfeemail遭受了一次灾难性的网络攻击，黑客破坏了其主系统和备份系统上的数据。

UConn：黑客未经授权访问员工电子邮件账户，约有326000名患者受到影响。泄露数据包括社保号。

纳税表错误：俄亥俄州将9000个纳税表发送给错误的人。

UW Medicine：UW Medicine是一个开放的数据库，任何人都可以使用浏览器访问，自从2018年12月以来泄露了近一百万人病人数据和PII。

医疗咨询电话：在瑞典大约270万打给国家卫生服务的电话记录存储在开放的服务器中，其中还有一些电话录音和电话号码。

6.2亿个账户：从Dubsmash、Armor Games、500px、Whitepages和Share等公司旗下的16个网站获得的6.2亿个账户在暗网中出售。

税务文件丢失：大约42000名来自盐湖社区学院的学生被告知存储他们税务信息的U盘丢失。

三月

龙卷风警报：在一场大风暴来临之前，两个德克萨斯州的城市被迫关闭龙卷风警报系统，因为网络攻击破坏了警报系统并触发了30多个错误警报。

被黑客攻击的华硕软件：名为“ShadowHammer”的攻击行动目标是华硕实更新程序，可影响数千台电脑。

Facebook、Facebook Lite和Instagram：数以亿计的用户受到Facebook错误密码存储的影响，用户帐户凭证以明文形式存储。

法律文件：25万份法律文件被存储在一个开放的数据库中，其中一些标有“未指定出版”，至少有两周时间处于可公开访问状态。

学生入学档案：据称一名黑客破坏了三所大学的招生数据库，受影响的学生需要支付一枚比特币购买其入学档案。

FEMA：联邦应急管理局意外泄露了230万灾民的个人信息和财务信息，其中包括在飓风哈维和厄尔玛中幸存的灾民。

复仇：一个被解雇的IT管理员烧毁了前雇主的23台服务器。

四月

Inmediata Health Group：Inmediata Health Group客户的个人和医疗数据被泄露。此问题是由于网站配置错误导致的，该错误允许搜索引擎对内部网页进行索引，有150万人受到影响。

Facebook记录：两个第三方公司收集5.4亿条Facebook相关记录，包括姓名、密码、喜好、照片、加入的群等等。

乔治亚理工学院：因公开访问权限的web应用，乔治亚理工学院现任和前任员工和学生130万条记录受到影响。

丰田：Toyota4月份披露了其销售子公司和经销商发生的数据泄露事件。

Facebook明文：Facebook承认以明文存储了数百万Instagram用户的密码。

Evite：Evite承认数据泄露，用户数据在暗网被出售。

孕妇：一家印度政府医疗机构服务器泄露了1250万份与孕妇有关的记录。

Docker：Docker警告黑客获得了其数据库的访问权，该数据库包含190000个用户帐户的敏感数据。

五月

Canva：澳大利亚科技公司unicorn Canva成为GnosticPlayers组织的目标，该组织声称窃取了1.39亿用户的记录，包括姓名和电子邮件地址，并在黑暗网络上出售数据。

第一美国金融公司：房地产巨头FAFC泄露了数亿份自2003年的保险文件。银行账号、对账单、抵押贷款和税务记录等都可以在互联网上公开获取。

大型连锁酒店：由于第三方管理提供商的原因，大型连锁酒店的85GB酒店安全日志在网上曝光。

汉堡王：汉堡王近40000份客户记录被公开。

Git存储库：一个黑客清除了GitHub存储库并索要赎金。黑客删除了源代码并威胁要向公众发布所有内容。

Lunchtime：两间湾区学校午餐公司之间的竞争最终演变成网络战，一家公司的高管因涉嫌入侵另一家公司的网站而被捕。

六月

美国医疗收集机构（AMCA）：未经授权访问数据库导致约2000万人医疗数据泄露。信息泄露还影响到其他公司，包括LabCorp和Quest Diagnostics。

智能手机后门：四款入门级智能手机预装了后门恶意软件。

科技数据公司：财富500强公司拥有一个开放数据库，其中包含264GB与客户服务器、SAP和纯文本密码数据。

七月

Equifax:Equifax与监管机构就2017年1.46亿客户的记录被盗案达成和解。

Capital One：Capital One披露了一个数据泄露事件，影响1亿美国公民和600万加拿大个人。

洛杉矶警察局：一名黑客声称窃取了洛杉矶警察局2500名现役警官、受训人员和新兵的个人信息，以及大约17500名应征者的个人信息。

Facebook：Facebook以创纪录的50亿美元与FTC达成和解。

银行业：孟加拉国、印度、斯里兰卡和吉尔吉斯斯坦的银行接连遭到“Silence”黑客攻击，黑客在此过程中盗取了数百万美元。

Dominion National：总部位于弗吉尼亚州的医疗保险和服务公司Dominion National披露了一个由不安全服务器造成的长达10年的数据泄露问题，290万会员的记录可能已经泄露。

八月

Choice Hotels：一个包含约70万条客户记录的不安全数据库被黑客攻击，服务器上还放了一张赎金券，黑客要求比特币作为赎金。

生物特征数据库泄露：英国大都会警察局、银行和企业公司使用的生物特征数据库泄露了数百万条记录。

SIM-swapper入狱：一名英国少年因提供数据盗窃和SIM-swapper服务而被判入狱20个月。

约会应用程序：Grindr、Romeo和Recon三个应用程序被发现可暴露用户位置信息的安全漏洞。

Asurion:Asurion保险公司向一名攻击者支付了30万美元，此人声称窃取了大约1万亿条员工和100多万客户的私人信息。

太空中的网络犯罪：美国宇航局一名宇航员被指控监视她的配偶，包括未经许可访问银行账户。

九月

DK-LOK：韩国工业制造商DK-LOK的一个不安全的AWS数据库泄露了公司与其客户之间的机密电子邮件和通信。

厄瓜多尔：一个开放的、配置错误的数据库泄露了厄瓜多尔公民的个人资料。该国大部分公民约2000万人都受到了影响。

DoorDash：近500万DoorDash用户在数据泄露中受到影响。

十月

雅虎：雅虎为2012年至2016年间拥有雅虎账户的人启动了一项赔偿基金。在这期间黑客能够访问每个雅虎账户，窃取姓名、电子邮件地址、电话号码、出生日期、密码和安全问题答案。

UniCredit：UniCredit的一份2015年文件泄露了300万份客户记录，包括他们的姓名、电话号码、电子邮件地址和居住城市。

Compass Health：Compass Health是新西兰的一个主要医疗机构，其中100万人的个人数据泄露，包括姓名、出生日期、种族和地址。

Adobe:Adobe将750万Adobe Creative Cloud客户的详细信息存储在一个不安全的数据库上，数据库可无需验证权限在线访问。

2000万俄罗斯人：超过2000万份俄罗斯公民的纳税记录存储在一个在线可访问数据库中，信息泄露的时间跨度从2009到2016。

Avast:Avast由于员工凭据被盗，黑客将恶意软件插入到CCleaner中。

Nikkei：Nikkei雇员被黑客欺骗将2900万美元转移到一个银行账户。

十一月

OnePlus:攻击者利用网站漏洞获取客户订单记录，记录包括姓名、电话号码、电子邮件地址和发货详细信息。

Facebook：约100名开发者被允许访问他们不该访问的个人资料数据。

Trend Micro：网络安全公司的雇员盗取了客户的个人信息，包括姓名、电子邮件地址、支持票号和电话号码，并将这些信息卖给骗子。

PayMyTab：研究人员发现了移动支付服务的开放AWS数据库，其中包括客户姓名、电子邮件地址、电话号码、订单详情、餐馆访问记录以及支付卡的最后四位数字。

T-Mobile:T-Mobile发现了一个影响预付费服务客户的漏洞，泄露了用户姓名、帐单地址、电话号码、帐号和计划。

英国工党：英国工党遭受多次分布式拒绝服务（DDoS）攻击。

梅西百货：梅西百货因一周来的网络攻击影响了大量电子商务客户，目前尚不清楚有多少客户受到影响。

迪士尼+：该服务推出仅数小时后，迪士尼+内容流服务就遭到破坏，攻击者开始在黑客论坛上提供账户。

120万条记录泄露：研究人员发现了一个不安全的数据库，其中包含120万条个人记录，包括电子邮件地址、雇主、地点、职务、姓名、电话号码和社交媒体资料。

十二月

白天是政客，晚上是黑客：一名荷兰政客因参与2014年的“fappening”运动将被判刑，他被指控泄露了约100名女性的iCloud账户，并在网上传播照片和视频。

MixCloud：大约2100万MixCuy用户的数据在暗网上出售。

Nebraska医疗中xin：一名内部人员未经允许访问了医疗中心数据库，其中包含患者的姓名、地址、出生日期、社会保险号码和测试结果等数据，随后这名雇员立即被解雇。

*参考来源：zdnet，由Kriston编译，转载请注明来自FreeBuf.COM