盘点:2019年十大数据泄露事件
关注安全漏洞的模式和趋势,有助于让消费者和企业意识到保护个人身份信息的重要性。
数据泄露可能涉及到方方面面,包括社保号码、信用卡号、受保护的健康信息、用户名等等。窃取数据的方式也是五花八门,包括内部窃取、外部黑客入侵、再到员工疏忽等等。
根据身份盗窃资源中心(Identity Theft Resource Center)和美国卫生与公众服务部(U.S. Department of Health and Human Services)收集的信息显示,2019年十大数据泄露事件中共有超过1.37亿条记录被泄露。
十大数据泄露事件中,有6个涉及到医疗机构,2个涉及到攻击政府机构,1个入侵了银行,1个攻击教育机构。下面让我们来看看完整名单:
10. 美国俄勒冈州公共服务部
泄露记录数量:645,000
黑客针对美国俄勒冈州公共服务部发起了一次电子邮件网络钓鱼攻击,导致该机构的客户社保号码和个人健康信息被泄露。
2019年1月8日俄勒冈州公共服务部的9名员工打开了他们收到的网络钓鱼电子邮件,然后单击网络链接,从而导致发件人可以入侵他们的电子邮件帐户。该机构找到了受影响的帐户,并于1月28日停止对这些帐户的访问,并在广泛调查之后,在6月最终确定了受影响用户的数量。
该机构称,泄露的客户信息包括姓名、地址、出生日期、社保号码、病例编号、个人健康信息、以及该机构各项目正在使用的其他信息。大多数被泄露的客户信息被放在了电子邮件附件中,公共服务部为受影响的个人提供身份窃取保护和监视服务。
9. 华盛顿大学医学系统(UW Medicine)
泄露记录数量:973,024
UW Medicine网站服务器上的一个“内部人为错误”,导致从2018年12月4日开始可以在互联网上搜索到并读取某些内部受保护的文件,其中包括患者姓名、病历编号、病情描述、共享患者信息的目的、共享方信息。
这些文件描述了患者病历中哪些部分被共享,而涉及实际的健康信息。在某些情况下,UW Medicine文件中包含了执行实验室测试的名称(但不包括结果),以及涉及到某种健康状况的研究主题。
UW Medicine于2018年12月26日在发现漏洞之后立即进行了修复,然后与谷歌合作删除了文件已保存的版本,阻止这些文件出现在搜索结果中。截止2019年1月10日,所有已保存的文件已从Google服务器中完全删除,这些数据泄漏事件在2月20日对外公开。
8. 佐治亚理工学院
泄露记录数量:130万
佐治亚理工学院的Web应用遭遇了未经授权的入侵,导致现有和前教职员工、学生、学生申请的个人信息。该学校进行了彻底的调查以确定从数据库中到底泄露了哪些信息,其中可能包括姓名、地址、社保号码和出生日期。
佐治亚理工学院在3月下旬发现的一系列迹象表明,黑客发现了通过学校Web服务器将查询请求发送到内部数据库的方法。结果该学校表示,黑客可能已经在2018年12月14日至2019年3月22日之间访问了数据库。
佐治亚理工学院在4月2日公开了这次泄露事件,并为那些社保号码可能遭到泄露的个人提供信用监控和身份盗窃保护服务。佐治亚理工学院表示,可以通过检查自己的信用报告以及信用卡、银行和其他财务报表中是否出现了未经授权的操作,来主动监控是否存在欺诈和身份盗用的可能性。
7. Inmediata Health Group
泄露记录数量:157万
Inmediata Health Group在1月发现,由于网页设置允许搜索引擎索引用于业务运营的内部网页,导致可以在线查看某些电子健康信息。这次数据泄漏可能涉及的信息包括患者姓名、地址、出生日期、性别、社保号码和医疗索赔信息。
这家位于波多黎各圣胡安的健康信息系统提供商表示,在意识到数据泄漏后已经立即停用了网站,并聘请了独立数字取证公司来协助调查。Inmediata表示,还没有证据表明有任何公开文件被复制、保存、被滥用。
Inmediata于4月22日公开了此次事件,并于同一天开始向可能受影响的个人邮寄通知信。10天后,密歇根州总检察长办公室称,已经有两个人联系了该机构,他们收到了Inmediata关于这次泄露事件的多封信件,并且其中有些信件被误寄给其他人了。
6. Clinical Pathology Laboratories
泄露记录数量:220万
Clinical Pathology Laboratories在5月的时候收到通知,称美国医学馆(AMCA)数据库在一次数据安全事件中受到影响,该数据库中包含了某些CPL患者的信息。AMCA是临床病理实验室和其他医疗保健公司使用的一家外部收集机构。
但是在收到AMCA最初通知的时候,Clinical Pathology Laboratories表示,他们缺少足够的信息找出可能受影响的患者,或者确认可能与该事件有关的患者信息的性质。因此,Clinical Pathology Laboratories直到7月才向患者公开这次泄露事件。
最终Clinical Pathology Laboratories表示,这些数据泄露事件可能涉及的信息包括姓名、地址、电话号码、出生日期、服务日期、余额信息、治疗信息。Clinical Pathology Laboratories表示,这次受到影响的患者大概有220万,其中约有34,500患者的信用卡或者银行信息可能也被泄露了。
5. 美国联邦紧急事务管理局(FEMA)
泄露记录数量:230万
美国劳工部监察长办公室(OIG)在3月表示,FEMA违反了1974年隐私法和国土安全部政策,透露了哈维、艾尔玛和玛丽亚飓风以及2017年加州野火幸存者的敏感个人身份信息,远远验证这些幸存者是否符合过渡住房援助计划所需条件的范围。
除了在避难登机手续过程中用来确认资格的信息之外,FEMA还向承包方透露了某些不不要的个人信息,以及20多种不是必须提供的信息,包括申请人的地址(街道地址、城市名称、邮政编码)、金融机构名称、电子资金转帐号码和银行转帐号码。
此前该援助计划要求提供申请人银行名称和帐号等信息,但是现在不需要了。OIG表示,FEMA并没有只提供所需的数据,加大了灾难幸存者遭遇身份盗用和信息欺诈的风险。
4. Dominion National
泄露记录数量:296万
Dominion National证实,早在2010年8月25日开始可能就有未经授权的黑客入侵了某些计算机服务器,这次事件可能泄露的信息包括姓名、地址、电子邮件地址、出生日期、社保号码、会员ID号、群组号、订阅用户数、银行帐户、路由号以及纳税人识别号。
这家总部位于弗吉尼亚州阿灵顿的牙科和视力保险公是在2019年4月24日的一次内部调查过程中发现了这一数据泄露情况,并在2019年6月21日对外公开。Dominion National表示已经快速清理了受影响的服务器,并部署了增强的监控和警报软件。
Dominion National表示,没有证据表明任何信息被访问、获取或滥用。该公司提供了一项为期两年的ID Experts MyIDCare会员服务,为那些可能受到影响的个人提供信用监控和欺诈防护服务。
3. LabCorp
泄露记录数量:770万
有数百万的LabCorp客户把自己的数据保存在美国医疗收集局(AMCA)的网上支付页面,而该机构在2018年8月1日至2019年3月30日期间遭到黑客入侵。AMCA是LabCorp和其他医疗保健公司所使用的一家外部收集机构。
泄露的信息可能包括姓名、出生日期、地址、电话、服务日期、提供者、余额信息、消费者提供给AMCA的信用卡或银行帐户信息。该机构为信用卡或者银行帐户信息可能已经被读取的20万消费者提供为期24个月的身份保护和信用监控服务。
作为对此次事件的回应,LabCorp不再向AMCA提出新的收集请求,并阻止AMCA继续处理涉及LabCorp消费者的未决收款请求。LabCorp没有向AMCA提供过订购测试、实验室结果、诊断信息等,AMCA方面表示,并未保存或者维护LabCorp客户的社保号码或者保险身份信息。
2. Quest Diagnostics
泄露记录数量:1190万
Quest Diagnostics在6月表示,帐单收集供应商的在线支付页面可能存在数据泄露问题,导致患者的财务和医疗信息被泄露。
根据美国证券交易委员会(SEC)的文件显示,这家位于纽约的临床实验室提供商表示,未经授权的黑客在2018年8月1日至2019年3月30日期间访问了美国医疗收集局(AMCA)系统,该系统中包含AMC从Quest Diagnostics和其他机构收到的信息,这些信息是由AMCA提供给Quest的。
根据Quest提交的信息显示,AMCA受影响系统中保存的信息包括医疗信息、财务信息(例如信用卡号和银行帐户信息)、以及其他个人信息(例如社保号码)。Quest称,实验室测试信息并未提供给AMCA,因此未受此次事件的影响。
1. Capital One
泄露记录数量:1.06亿
Capital One在7月份透露,黑客已经窃取了美国和加拿大约1.06亿信用卡申请人和客户的个人信息。
这家总部位于弗吉尼亚州麦克莱恩的金融服务业巨头表示,此次事件涉及100万个加拿大客户社保号码、14万美国客户的社保号码以及80,000个关联银行帐户号码,黑客窃取了在2005年至2019年初期间申请Capital One信用卡的客户的姓名、地址、邮编、电话号码、电子邮件地址、出生日期和收入等信息。
最终,前亚马逊网络服务人员Paige Thompson被指控窃取了Capital One信用卡申请人和客户的个人信息,以及其他30多家公司的数据。据称,他利用防火墙配置漏洞入侵Capital One在AWS存储空间中保存的文件夹或数据桶。
