關(guān)注安全漏洞的模式和趨勢,有助于讓消費者和企業(yè)意識到保護個人身份信息的重要性。
數(shù)據(jù)泄露可能涉及到方方面面,包括社保號碼、信用卡號、受保護的健康信息、用戶名等等。竊取數(shù)據(jù)的方式也是五花八門,包括內(nèi)部竊取、外部黑客入侵、再到員工疏忽等等。
根據(jù)身份盜竊資源中心(Identity Theft Resource Center)和美國衛(wèi)生與公眾服務(wù)部(U.S. Department of Health and Human Services)收集的信息顯示,2019年十大數(shù)據(jù)泄露事件中共有超過1.37億條記錄被泄露。
十大數(shù)據(jù)泄露事件中,有6個涉及到醫(yī)療機構(gòu),2個涉及到攻擊政府機構(gòu),1個入侵了銀行,1個攻擊教育機構(gòu)。下面讓我們來看看完整名單:
10、美國俄勒岡州公共服務(wù)部
泄露記錄數(shù)量:645,000
黑客針對美國俄勒岡州公共服務(wù)部發(fā)起了一次電子郵件網(wǎng)絡(luò)釣魚攻擊,導(dǎo)致該機構(gòu)的客戶社保號碼和個人健康信息被泄露。
2019年1月8日俄勒岡州公共服務(wù)部的9名員工打開了他們收到的網(wǎng)絡(luò)釣魚電子郵件,然后單擊網(wǎng)絡(luò)鏈接,從而導(dǎo)致發(fā)件人可以入侵他們的電子郵件帳戶。該機構(gòu)找到了受影響的帳戶,并于1月28日停止對這些帳戶的訪問,并在廣泛調(diào)查之后,在6月最終確定了受影響用戶的數(shù)量。
該機構(gòu)稱,泄露的客戶信息包括姓名、地址、出生日期、社保號碼、病例編號、個人健康信息、以及該機構(gòu)各項目正在使用的其他信息。大多數(shù)被泄露的客戶信息被放在了電子郵件附件中,公共服務(wù)部為受影響的個人提供身份竊取保護和監(jiān)視服務(wù)。
9、華盛頓大學醫(yī)學系統(tǒng)(UW Medicine)
泄露記錄數(shù)量:973,024
UW Medicine網(wǎng)站服務(wù)器上的一個“內(nèi)部人為錯誤”,導(dǎo)致從2018年12月4日開始可以在互聯(lián)網(wǎng)上搜索到并讀取某些內(nèi)部受保護的文件,其中包括患者姓名、病歷編號、病情描述、共享患者信息的目的、共享方信息。
這些文件描述了患者病歷中哪些部分被共享,而涉及實際的健康信息。在某些情況下,UW Medicine文件中包含了執(zhí)行實驗室測試的名稱(但不包括結(jié)果),以及涉及到某種健康狀況的研究主題。
UW Medicine于2018年12月26日在發(fā)現(xiàn)漏洞之后立即進行了修復(fù),然后與谷歌合作刪除了文件已保存的版本,阻止這些文件出現(xiàn)在搜索結(jié)果中。截止2019年1月10日,所有已保存的文件已從Google服務(wù)器中完全刪除,這些數(shù)據(jù)泄漏事件在2月20日對外公開。
8、佐治亞理工學院
泄露記錄數(shù)量:130萬
佐治亞理工學院的Web應(yīng)用遭遇了未經(jīng)授權(quán)的入侵,導(dǎo)致現(xiàn)有和前教職員工、學生、學生申請的個人信息。該學校進行了徹底的調(diào)查以確定從數(shù)據(jù)庫中到底泄露了哪些信息,其中可能包括姓名、地址、社保號碼和出生日期。
佐治亞理工學院在3月下旬發(fā)現(xiàn)的一系列跡象表明,黑客發(fā)現(xiàn)了通過學校Web服務(wù)器將查詢請求發(fā)送到內(nèi)部數(shù)據(jù)庫的方法。結(jié)果該學校表示,黑客可能已經(jīng)在2018年12月14日至2019年3月22日之間訪問了數(shù)據(jù)庫。
佐治亞理工學院在4月2日公開了這次泄露事件,并為那些社保號碼可能遭到泄露的個人提供信用監(jiān)控和身份盜竊保護服務(wù)。佐治亞理工學院表示,可以通過檢查自己的信用報告以及信用卡、銀行和其他財務(wù)報表中是否出現(xiàn)了未經(jīng)授權(quán)的操作,來主動監(jiān)控是否存在欺詐和身份盜用的可能性。
7、Inmediata Health Group
泄露記錄數(shù)量:157萬
Inmediata Health Group在1月發(fā)現(xiàn),由于網(wǎng)頁設(shè)置允許搜索引擎索引用于業(yè)務(wù)運營的內(nèi)部網(wǎng)頁,導(dǎo)致可以在線查看某些電子健康信息。這次數(shù)據(jù)泄漏可能涉及的信息包括患者姓名、地址、出生日期、性別、社保號碼和醫(yī)療索賠信息。
這家位于波多黎各圣胡安的健康信息系統(tǒng)提供商表示,在意識到數(shù)據(jù)泄漏后已經(jīng)立即停用了網(wǎng)站,并聘請了獨立數(shù)字取證公司來協(xié)助調(diào)查。Inmediata表示,還沒有證據(jù)表明有任何公開文件被復(fù)制、保存、被濫用。
Inmediata于4月22日公開了此次事件,并于同一天開始向可能受影響的個人郵寄通知信。10天后,密歇根州總檢察長辦公室稱,已經(jīng)有兩個人聯(lián)系了該機構(gòu),他們收到了Inmediata關(guān)于這次泄露事件的多封信件,并且其中有些信件被誤寄給其他人了。
6、Clinical Pathology Laboratories
泄露記錄數(shù)量:220萬
Clinical Pathology Laboratories在5月的時候收到通知,稱美國醫(yī)學館(AMCA)數(shù)據(jù)庫在一次數(shù)據(jù)安全事件中受到影響,該數(shù)據(jù)庫中包含了某些CPL患者的信息。AMCA是臨床病理實驗室和其他醫(yī)療保健公司使用的一家外部收集機構(gòu)。
但是在收到AMCA最初通知的時候,Clinical Pathology Laboratories表示,他們?nèi)鄙僮銐虻男畔⒄页隹赡苁苡绊懙幕颊,或者確認可能與該事件有關(guān)的患者信息的性質(zhì)。因此,Clinical Pathology Laboratories直到7月才向患者公開這次泄露事件。
最終Clinical Pathology Laboratories表示,這些數(shù)據(jù)泄露事件可能涉及的信息包括姓名、地址、電話號碼、出生日期、服務(wù)日期、余額信息、治療信息。Clinical Pathology Laboratories表示,這次受到影響的患者大概有220萬,其中約有34,500患者的信用卡或者銀行信息可能也被泄露了。
5、美國聯(lián)邦緊急事務(wù)管理局(FEMA)
泄露記錄數(shù)量:230萬
美國勞工部監(jiān)察長辦公室(OIG)在3月表示,F(xiàn)EMA違反了1974年隱私法和國土安全部政策,透露了哈維、艾爾瑪和瑪麗亞颶風以及2017年加州野火幸存者的敏感個人身份信息,遠遠驗證這些幸存者是否符合過渡住房援助計劃所需條件的范圍。
除了在避難登機手續(xù)過程中用來確認資格的信息之外,F(xiàn)EMA還向承包方透露了某些不不要的個人信息,以及20多種不是必須提供的信息,包括申請人的地址(街道地址、城市名稱、郵政編碼)、金融機構(gòu)名稱、電子資金轉(zhuǎn)帳號碼和銀行轉(zhuǎn)帳號碼。
此前該援助計劃要求提供申請人銀行名稱和帳號等信息,但是現(xiàn)在不需要了。OIG表示,F(xiàn)EMA并沒有只提供所需的數(shù)據(jù),加大了災(zāi)難幸存者遭遇身份盜用和信息欺詐的風險。
4、Dominion National
泄露記錄數(shù)量:296萬
Dominion National證實,早在2010年8月25日開始可能就有未經(jīng)授權(quán)的黑客入侵了某些計算機服務(wù)器,這次事件可能泄露的信息包括姓名、地址、電子郵件地址、出生日期、社保號碼、會員ID號、群組號、訂閱用戶數(shù)、銀行帳戶、路由號以及納稅人識別號。
這家總部位于弗吉尼亞州阿靈頓的牙科和視力保險公是在2019年4月24日的一次內(nèi)部調(diào)查過程中發(fā)現(xiàn)了這一數(shù)據(jù)泄露情況,并在2019年6月21日對外公開。Dominion National表示已經(jīng)快速清理了受影響的服務(wù)器,并部署了增強的監(jiān)控和警報軟件。
Dominion National表示,沒有證據(jù)表明任何信息被訪問、獲取或濫用。該公司提供了一項為期兩年的ID Experts MyIDCare會員服務(wù),為那些可能受到影響的個人提供信用監(jiān)控和欺詐防護服務(wù)。
3、LabCorp
泄露記錄數(shù)量:770萬
有數(shù)百萬的LabCorp客戶把自己的數(shù)據(jù)保存在美國醫(yī)療收集局(AMCA)的網(wǎng)上支付頁面,而該機構(gòu)在2018年8月1日至2019年3月30日期間遭到黑客入侵。AMCA是LabCorp和其他醫(yī)療保健公司所使用的一家外部收集機構(gòu)。
泄露的信息可能包括姓名、出生日期、地址、電話、服務(wù)日期、提供者、余額信息、消費者提供給AMCA的信用卡或銀行帳戶信息。該機構(gòu)為信用卡或者銀行帳戶信息可能已經(jīng)被讀取的20萬消費者提供為期24個月的身份保護和信用監(jiān)控服務(wù)。
作為對此次事件的回應(yīng),LabCorp不再向AMCA提出新的收集請求,并阻止AMCA繼續(xù)處理涉及LabCorp消費者的未決收款請求。LabCorp沒有向AMCA提供過訂購測試、實驗室結(jié)果、診斷信息等,AMCA方面表示,并未保存或者維護LabCorp客戶的社保號碼或者保險身份信息。
2、Quest Diagnostics
泄露記錄數(shù)量:1190萬
Quest Diagnostics在6月表示,帳單收集供應(yīng)商的在線支付頁面可能存在數(shù)據(jù)泄露問題,導(dǎo)致患者的財務(wù)和醫(yī)療信息被泄露。
根據(jù)美國證券交易委員會(SEC)的文件顯示,這家位于紐約的臨床實驗室提供商表示,未經(jīng)授權(quán)的黑客在2018年8月1日至2019年3月30日期間訪問了美國醫(yī)療收集局(AMCA)系統(tǒng),該系統(tǒng)中包含AMC從Quest Diagnostics和其他機構(gòu)收到的信息,這些信息是由AMCA提供給Quest的。
根據(jù)Quest提交的信息顯示,AMCA受影響系統(tǒng)中保存的信息包括醫(yī)療信息、財務(wù)信息(例如信用卡號和銀行帳戶信息)、以及其他個人信息(例如社保號碼)。Quest稱,實驗室測試信息并未提供給AMCA,因此未受此次事件的影響。
1、Capital One
泄露記錄數(shù)量:1.06億
Capital One在7月份透露,黑客已經(jīng)竊取了美國和加拿大約1.06億信用卡申請人和客戶的個人信息。
這家總部位于弗吉尼亞州麥克萊恩的金融服務(wù)業(yè)巨頭表示,此次事件涉及100萬個加拿大客戶社保號碼、14萬美國客戶的社保號碼以及80,000個關(guān)聯(lián)銀行帳戶號碼,黑客竊取了在2005年至2019年初期間申請Capital One信用卡的客戶的姓名、地址、郵編、電話號碼、電子郵件地址、出生日期和收入等信息。
最終,前亞馬遜網(wǎng)絡(luò)服務(wù)人員Paige Thompson被指控竊取了Capital One信用卡申請人和客戶的個人信息,以及其他30多家公司的數(shù)據(jù)。據(jù)稱,他利用防火墻配置漏洞入侵Capital One在AWS存儲空間中保存的文件夾或數(shù)據(jù)桶。