關(guān)注安全漏洞的模式和趨勢(shì),有助于讓消費(fèi)者和企業(yè)意識(shí)到保護(hù)個(gè)人身份信息的重要性。
數(shù)據(jù)泄露可能涉及到方方面面,包括社保號(hào)碼、信用卡號(hào)、受保護(hù)的健康信息、用戶名等等。竊取數(shù)據(jù)的方式也是五花八門,包括內(nèi)部竊取、外部黑客入侵、再到員工疏忽等等。
根據(jù)身份盜竊資源中心(Identity Theft Resource Center)和美國(guó)衛(wèi)生與公眾服務(wù)部(U.S. Department of Health and Human Services)收集的信息顯示,2019年十大數(shù)據(jù)泄露事件中共有超過1.37億條記錄被泄露。
十大數(shù)據(jù)泄露事件中,有6個(gè)涉及到醫(yī)療機(jī)構(gòu),2個(gè)涉及到攻擊政府機(jī)構(gòu),1個(gè)入侵了銀行,1個(gè)攻擊教育機(jī)構(gòu)。下面讓我們來看看完整名單:
10、美國(guó)俄勒岡州公共服務(wù)部
泄露記錄數(shù)量:645,000
黑客針對(duì)美國(guó)俄勒岡州公共服務(wù)部發(fā)起了一次電子郵件網(wǎng)絡(luò)釣魚攻擊,導(dǎo)致該機(jī)構(gòu)的客戶社保號(hào)碼和個(gè)人健康信息被泄露。
2019年1月8日俄勒岡州公共服務(wù)部的9名員工打開了他們收到的網(wǎng)絡(luò)釣魚電子郵件,然后單擊網(wǎng)絡(luò)鏈接,從而導(dǎo)致發(fā)件人可以入侵他們的電子郵件帳戶。該機(jī)構(gòu)找到了受影響的帳戶,并于1月28日停止對(duì)這些帳戶的訪問,并在廣泛調(diào)查之后,在6月最終確定了受影響用戶的數(shù)量。
該機(jī)構(gòu)稱,泄露的客戶信息包括姓名、地址、出生日期、社保號(hào)碼、病例編號(hào)、個(gè)人健康信息、以及該機(jī)構(gòu)各項(xiàng)目正在使用的其他信息。大多數(shù)被泄露的客戶信息被放在了電子郵件附件中,公共服務(wù)部為受影響的個(gè)人提供身份竊取保護(hù)和監(jiān)視服務(wù)。
9、華盛頓大學(xué)醫(yī)學(xué)系統(tǒng)(UW Medicine)
泄露記錄數(shù)量:973,024
UW Medicine網(wǎng)站服務(wù)器上的一個(gè)“內(nèi)部人為錯(cuò)誤”,導(dǎo)致從2018年12月4日開始可以在互聯(lián)網(wǎng)上搜索到并讀取某些內(nèi)部受保護(hù)的文件,其中包括患者姓名、病歷編號(hào)、病情描述、共享患者信息的目的、共享方信息。
這些文件描述了患者病歷中哪些部分被共享,而涉及實(shí)際的健康信息。在某些情況下,UW Medicine文件中包含了執(zhí)行實(shí)驗(yàn)室測(cè)試的名稱(但不包括結(jié)果),以及涉及到某種健康狀況的研究主題。
UW Medicine于2018年12月26日在發(fā)現(xiàn)漏洞之后立即進(jìn)行了修復(fù),然后與谷歌合作刪除了文件已保存的版本,阻止這些文件出現(xiàn)在搜索結(jié)果中。截止2019年1月10日,所有已保存的文件已從Google服務(wù)器中完全刪除,這些數(shù)據(jù)泄漏事件在2月20日對(duì)外公開。
8、佐治亞理工學(xué)院
泄露記錄數(shù)量:130萬
佐治亞理工學(xué)院的Web應(yīng)用遭遇了未經(jīng)授權(quán)的入侵,導(dǎo)致現(xiàn)有和前教職員工、學(xué)生、學(xué)生申請(qǐng)的個(gè)人信息。該學(xué)校進(jìn)行了徹底的調(diào)查以確定從數(shù)據(jù)庫(kù)中到底泄露了哪些信息,其中可能包括姓名、地址、社保號(hào)碼和出生日期。
佐治亞理工學(xué)院在3月下旬發(fā)現(xiàn)的一系列跡象表明,黑客發(fā)現(xiàn)了通過學(xué)校Web服務(wù)器將查詢請(qǐng)求發(fā)送到內(nèi)部數(shù)據(jù)庫(kù)的方法。結(jié)果該學(xué)校表示,黑客可能已經(jīng)在2018年12月14日至2019年3月22日之間訪問了數(shù)據(jù)庫(kù)。
佐治亞理工學(xué)院在4月2日公開了這次泄露事件,并為那些社保號(hào)碼可能遭到泄露的個(gè)人提供信用監(jiān)控和身份盜竊保護(hù)服務(wù)。佐治亞理工學(xué)院表示,可以通過檢查自己的信用報(bào)告以及信用卡、銀行和其他財(cái)務(wù)報(bào)表中是否出現(xiàn)了未經(jīng)授權(quán)的操作,來主動(dòng)監(jiān)控是否存在欺詐和身份盜用的可能性。
7、Inmediata Health Group
泄露記錄數(shù)量:157萬
Inmediata Health Group在1月發(fā)現(xiàn),由于網(wǎng)頁設(shè)置允許搜索引擎索引用于業(yè)務(wù)運(yùn)營(yíng)的內(nèi)部網(wǎng)頁,導(dǎo)致可以在線查看某些電子健康信息。這次數(shù)據(jù)泄漏可能涉及的信息包括患者姓名、地址、出生日期、性別、社保號(hào)碼和醫(yī)療索賠信息。
這家位于波多黎各圣胡安的健康信息系統(tǒng)提供商表示,在意識(shí)到數(shù)據(jù)泄漏后已經(jīng)立即停用了網(wǎng)站,并聘請(qǐng)了獨(dú)立數(shù)字取證公司來協(xié)助調(diào)查。Inmediata表示,還沒有證據(jù)表明有任何公開文件被復(fù)制、保存、被濫用。
Inmediata于4月22日公開了此次事件,并于同一天開始向可能受影響的個(gè)人郵寄通知信。10天后,密歇根州總檢察長(zhǎng)辦公室稱,已經(jīng)有兩個(gè)人聯(lián)系了該機(jī)構(gòu),他們收到了Inmediata關(guān)于這次泄露事件的多封信件,并且其中有些信件被誤寄給其他人了。
6、Clinical Pathology Laboratories
泄露記錄數(shù)量:220萬
Clinical Pathology Laboratories在5月的時(shí)候收到通知,稱美國(guó)醫(yī)學(xué)館(AMCA)數(shù)據(jù)庫(kù)在一次數(shù)據(jù)安全事件中受到影響,該數(shù)據(jù)庫(kù)中包含了某些CPL患者的信息。AMCA是臨床病理實(shí)驗(yàn)室和其他醫(yī)療保健公司使用的一家外部收集機(jī)構(gòu)。
但是在收到AMCA最初通知的時(shí)候,Clinical Pathology Laboratories表示,他們?nèi)鄙僮銐虻男畔⒄页隹赡苁苡绊懙幕颊撸蛘叽_認(rèn)可能與該事件有關(guān)的患者信息的性質(zhì)。因此,Clinical Pathology Laboratories直到7月才向患者公開這次泄露事件。
最終Clinical Pathology Laboratories表示,這些數(shù)據(jù)泄露事件可能涉及的信息包括姓名、地址、電話號(hào)碼、出生日期、服務(wù)日期、余額信息、治療信息。Clinical Pathology Laboratories表示,這次受到影響的患者大概有220萬,其中約有34,500患者的信用卡或者銀行信息可能也被泄露了。
5、美國(guó)聯(lián)邦緊急事務(wù)管理局(FEMA)
泄露記錄數(shù)量:230萬
美國(guó)勞工部監(jiān)察長(zhǎng)辦公室(OIG)在3月表示,F(xiàn)EMA違反了1974年隱私法和國(guó)土安全部政策,透露了哈維、艾爾瑪和瑪麗亞颶風(fēng)以及2017年加州野火幸存者的敏感個(gè)人身份信息,遠(yuǎn)遠(yuǎn)驗(yàn)證這些幸存者是否符合過渡住房援助計(jì)劃所需條件的范圍。
除了在避難登機(jī)手續(xù)過程中用來確認(rèn)資格的信息之外,F(xiàn)EMA還向承包方透露了某些不不要的個(gè)人信息,以及20多種不是必須提供的信息,包括申請(qǐng)人的地址(街道地址、城市名稱、郵政編碼)、金融機(jī)構(gòu)名稱、電子資金轉(zhuǎn)帳號(hào)碼和銀行轉(zhuǎn)帳號(hào)碼。
此前該援助計(jì)劃要求提供申請(qǐng)人銀行名稱和帳號(hào)等信息,但是現(xiàn)在不需要了。OIG表示,F(xiàn)EMA并沒有只提供所需的數(shù)據(jù),加大了災(zāi)難幸存者遭遇身份盜用和信息欺詐的風(fēng)險(xiǎn)。
4、Dominion National
泄露記錄數(shù)量:296萬
Dominion National證實(shí),早在2010年8月25日開始可能就有未經(jīng)授權(quán)的黑客入侵了某些計(jì)算機(jī)服務(wù)器,這次事件可能泄露的信息包括姓名、地址、電子郵件地址、出生日期、社保號(hào)碼、會(huì)員ID號(hào)、群組號(hào)、訂閱用戶數(shù)、銀行帳戶、路由號(hào)以及納稅人識(shí)別號(hào)。
這家總部位于弗吉尼亞州阿靈頓的牙科和視力保險(xiǎn)公是在2019年4月24日的一次內(nèi)部調(diào)查過程中發(fā)現(xiàn)了這一數(shù)據(jù)泄露情況,并在2019年6月21日對(duì)外公開。Dominion National表示已經(jīng)快速清理了受影響的服務(wù)器,并部署了增強(qiáng)的監(jiān)控和警報(bào)軟件。
Dominion National表示,沒有證據(jù)表明任何信息被訪問、獲取或?yàn)E用。該公司提供了一項(xiàng)為期兩年的ID Experts MyIDCare會(huì)員服務(wù),為那些可能受到影響的個(gè)人提供信用監(jiān)控和欺詐防護(hù)服務(wù)。
3、LabCorp
泄露記錄數(shù)量:770萬
有數(shù)百萬的LabCorp客戶把自己的數(shù)據(jù)保存在美國(guó)醫(yī)療收集局(AMCA)的網(wǎng)上支付頁面,而該機(jī)構(gòu)在2018年8月1日至2019年3月30日期間遭到黑客入侵。AMCA是LabCorp和其他醫(yī)療保健公司所使用的一家外部收集機(jī)構(gòu)。
泄露的信息可能包括姓名、出生日期、地址、電話、服務(wù)日期、提供者、余額信息、消費(fèi)者提供給AMCA的信用卡或銀行帳戶信息。該機(jī)構(gòu)為信用卡或者銀行帳戶信息可能已經(jīng)被讀取的20萬消費(fèi)者提供為期24個(gè)月的身份保護(hù)和信用監(jiān)控服務(wù)。
作為對(duì)此次事件的回應(yīng),LabCorp不再向AMCA提出新的收集請(qǐng)求,并阻止AMCA繼續(xù)處理涉及LabCorp消費(fèi)者的未決收款請(qǐng)求。LabCorp沒有向AMCA提供過訂購(gòu)測(cè)試、實(shí)驗(yàn)室結(jié)果、診斷信息等,AMCA方面表示,并未保存或者維護(hù)LabCorp客戶的社保號(hào)碼或者保險(xiǎn)身份信息。
2、Quest Diagnostics
泄露記錄數(shù)量:1190萬
Quest Diagnostics在6月表示,帳單收集供應(yīng)商的在線支付頁面可能存在數(shù)據(jù)泄露問題,導(dǎo)致患者的財(cái)務(wù)和醫(yī)療信息被泄露。
根據(jù)美國(guó)證券交易委員會(huì)(SEC)的文件顯示,這家位于紐約的臨床實(shí)驗(yàn)室提供商表示,未經(jīng)授權(quán)的黑客在2018年8月1日至2019年3月30日期間訪問了美國(guó)醫(yī)療收集局(AMCA)系統(tǒng),該系統(tǒng)中包含AMC從Quest Diagnostics和其他機(jī)構(gòu)收到的信息,這些信息是由AMCA提供給Quest的。
根據(jù)Quest提交的信息顯示,AMCA受影響系統(tǒng)中保存的信息包括醫(yī)療信息、財(cái)務(wù)信息(例如信用卡號(hào)和銀行帳戶信息)、以及其他個(gè)人信息(例如社保號(hào)碼)。Quest稱,實(shí)驗(yàn)室測(cè)試信息并未提供給AMCA,因此未受此次事件的影響。
1、Capital One
泄露記錄數(shù)量:1.06億
Capital One在7月份透露,黑客已經(jīng)竊取了美國(guó)和加拿大約1.06億信用卡申請(qǐng)人和客戶的個(gè)人信息。
這家總部位于弗吉尼亞州麥克萊恩的金融服務(wù)業(yè)巨頭表示,此次事件涉及100萬個(gè)加拿大客戶社保號(hào)碼、14萬美國(guó)客戶的社保號(hào)碼以及80,000個(gè)關(guān)聯(lián)銀行帳戶號(hào)碼,黑客竊取了在2005年至2019年初期間申請(qǐng)Capital One信用卡的客戶的姓名、地址、郵編、電話號(hào)碼、電子郵件地址、出生日期和收入等信息。
最終,前亞馬遜網(wǎng)絡(luò)服務(wù)人員Paige Thompson被指控竊取了Capital One信用卡申請(qǐng)人和客戶的個(gè)人信息,以及其他30多家公司的數(shù)據(jù)。據(jù)稱,他利用防火墻配置漏洞入侵Capital One在AWS存儲(chǔ)空間中保存的文件夾或數(shù)據(jù)桶。