2022年国际十大数据泄露事件

据IBM Security的“数据泄露成本报告”显示，2021年-2022年间，数据泄露的全球平均成本从424万美元增加至435万美元，同比增长2.6%，创历史新高。虽然数据泄露有关的财务成本较高，但其对于企业的实际影响显然还要更深，还涉及到声誉损失、法律责任以及消费者的信任损失等。

基于此，“Security”（网络安全领域电子杂志）总结了2022年最严重的十大数据泄露事件：

TOP 10　-　SuperVPN、GeckoVPN和ChatVPN数据泄露

此次事件涉及几个广泛使用的Android VPN服务（SuperVPN、GeckVPN和ChatVPN），导致2100万用户的信息泄露。这些信息包括用户全名、用户名、国家名称、账单明细、电子邮件地址和随机生成的密码字符串。

TOP 9　-　哥斯达黎加政府数据泄露

在一次备受瞩目的网络攻击中，Conti勒索软件团伙入侵了哥斯达黎加政府系统，窃取了具有极高价值的数据，并索要2000万美元，迫使中美洲政府宣布进入紧急状态。数周后，共有670GB的数据（占访问数据的90%）被发布到泄漏站点。

TOP 8　-　Neopets数据泄露

今年7月，一个包含Neopets（游戏网站）6900万用户帐户信息的数据库遭公开发售。数据库可用信息包括姓名、电子邮件地址、邮政编码、性别和出生日期等。一项调查显示，攻击者在2021年1月3日-2022年7月19日共18个月期间，曾多次访问了Neopets的IT系统。

TOP 7　-　Twitter数据泄露

年中，Twitter网站上540万个账户的电话号码和电子邮件地址遭泄露。多份报道称，这些数据是在2021年12月通过漏洞赏金计划中披露的Twitter API漏洞收集的，该漏洞允许人们将电话号码和电子邮件地址提交到API中检索相关的Twitter ID。使用这些ID，黑客得以检索有关帐户的公共信息，以创建包含私人和公共信息的用户记录。

TOP 6　-　Uber数据泄露

虽然这个影响了5700万用户的数据泄露事件发生在2016年并已于2017年被披露，但Uber今年承认了曾试图掩盖该事件的事实。当时Uber面临十分严重的安全漏洞。根据美国司法部(DOJ)的说法，Uber前首席安全官乔·沙利文(Joe Sullivan)采取了多项措施以防止美国联邦贸易委员会(FTC)发现数据泄露情况，并向黑客支付了10万美元赎金换取他们的保密协议，确保信息不被公开。

最终沙利文因隐瞒此次攻击事件而被判有罪——这是企业高管首次因与数据泄露有关的指控而面临刑事诉讼。

TOP 5　-　Twilio数据泄露

美国通讯巨头Twilio今年8月证实，网络犯罪分子在一次网络钓鱼攻击后访问了125名客户的数据。攻击者伪装成IT部门的工作人员，诱骗公司员工交出登录凭证。现任和前任员工最近报告说，他们曾收到自称来自IT部门的短信，称员工的密码已经过期、日程已更改，要求员工登录被攻击者控制的URL。

Twilio称，其他公司也曾遭受过类似的攻击，并对如何应对威胁行为者进行了协调，包括与运营商合作停止恶意消息的发送，与注册商和托管提供商合作关闭恶意URL。

在27万余总客户群中的209名客户、7500万总用户中的93名Authy最终用户的账户受到了此次事件的影响。Twilio还表示，没有证据表明恶意行为者访问了Twilio客户的控制台帐户凭据、身份验证令牌或API密钥。

TOP 4　-　DoorDash数据泄露

今年8月，外卖巨头DoorDash证实其490万客户、员工和商家的个人信息遭到泄露。DoorDash表示，攻击者访问了DoorDash客户的姓名、电子邮件地址、送货地址和电话号码。黑客还获取了“一小部分”用户的支付卡信息（包括银行卡类型和卡号后四位数字）。

TOP 3　-　Optus数据泄露

今年9月，拥有970万用户的澳大利亚电信公司Optus遭遇大规模数据泄露，涉及用户姓名、出生日期、电话号码和电子邮件地址等信息。还有一群客户的实际地址和个人身份信息（例如驾驶执照和护照号码）可能已泄露。多份报道称，是由国家支持的黑客或犯罪组织突破了该公司的防火墙，获取了敏感信息。

TOP 2　-　LAUSD数据泄露

由于美国第二大学区——洛杉矶联合学区(LAUSD)未能在10月4日之前支付赎金，俄语黑客组织Vice Society泄露了该学区的500GB信息。这些数据包含护照详细信息、社会安全号码和纳税表格、联系方式、法律文件、包含银行账户信息的财务报告、健康信息、定罪报告和学生的心理评估等个人身份信息。

TOP 1　-　Medibank数据泄露

澳大利亚最大的健康保险提供商之一Medibank Private证实，970万新老客户（包括180万名国际客户）的数据已被未经授权访问。但Medibank称不会支付赎金，并表示：“我们认为，通过支付赎金来确保黑客归还、并防止其公布客户数据的可能性非常有限。”

*来源：Security

文章来源：数据合规公社