受新冠疫情影響和網絡犯罪活動的肆掠，2020年網絡攻擊規模一直穩步增長，創下了新的網絡犯罪高峰。

　　據統計，過去一年全球公開范圍報告了3932起安全泄露事件，泄露的記錄數量達到驚人的370億條。相比之下，2019年全球泄露記錄為151億條。

　　在2020年發生的一系列數據泄露事件中，本文根據泄露規模選出了十大最嚴重事故。里邊有少部分為公網數據庫泄露，沒有找到數據所有者，但導致了大量敏感數據在網絡上快速擴散。另外，有一些違規事件可能實際發生在幾年之前，但在2020年才被曝光。

　　Top 10. 未知（2.01億條）

　　2020年1月，安全研究人員發現一個數據庫，其中包含超過2億條被暴露在公共互聯網上的敏感個人記錄。目前尚不確定這套暴露在外的數據庫究竟歸誰所有，其托管在Google Cloud服務器上，包含大量關于美國居民及其財產的高敏感度統計數據，例如姓名、地址、電子郵件地址、信用評級、收入、凈值、房地產市場價值、投資偏好以及其他細節信息。

　　另外，目前無法判斷是否已經有未授權方訪問過這套數據集，但其中包含的信息確實極具價值。谷歌方面在收到警報的一個多月之后，才著手下線這臺服務器。

　　Top 9. 微軟（2.5億條）

　　2020年1月，微軟表示其用于存儲客戶支持分析結果的服務器發生數據泄露。此次事件發生在2019年12月，共涉及2.5億條記錄（包括電子郵件地址、IP地址以及客戶支持案例的詳細描述），所有數據在未經密碼保護的情況下被意外公開。

　　這個泄露的數據庫由5臺ElasticSearch服務器組成，用于簡化搜索操作。微軟方面發現意外暴露源自安全規則的錯誤配置，并快速完成了修復工作。

　　Top 8. Wattpad （2.68億條）

　　2020年6月，一個包含超過2.68億條記錄的數據庫遭遇入侵。相關記錄歸屬于加拿大的寫作博客平臺Wattpad，用戶可以發布各類原創文章。惡意攻擊者入侵了Wattpad的SQL數據庫，其中包含用戶賬戶憑證、電子郵件地址、IP地址以及其他敏感數據。事件曝光之后，該公司很快重置了用戶密碼。

　　Top 7. Broadvoice （3.5億條）

　　2020年10月，有消息稱美國VoIP服務供應商Broadvoice泄露超過3.5億條客戶記錄，其中包括用戶姓名、電話號碼、通話記錄以及留給醫療機構及金融服務公司的語音郵件。

　　由于配置錯誤，安全研究人員得以輕松訪問該公司掌握的10套數據庫，期間無需任何身份驗證即可輕松訪問。Broadvoice方面很快修復了安全漏洞，并將事件通報給相關法律部門。

　　Top 6. 雅詩蘭黛（4.4億條）

　　2020年1月，美國化妝品巨頭雅詩蘭黛一套未受保護的數據庫將4.4億條內部記錄意外暴露在互聯網上。發現這套未加密數據庫的研究員表示，其中暴露的信息包括電子郵件地址、內部文檔、IP地址以及該公司內部教育平臺的相關信息。在發現問題后，該公司立即關閉了這套數據庫。

　　Top 5. 新浪微博（5.38億條）

　　據報道，中國最大的社交媒體平臺新浪微博于2020年3月遭遇信息泄露，超過5.38億用戶的個人信息被擺在暗網及其他在線網站上公開銷售。

　　泄露事件的具體發生時間尚不清楚，但據推測很可能將追溯至2019年。黑客方面聲稱，這些敏感數據（包括1.72億用戶的昵稱、性別、居住地以及電話號碼）是從官方平臺抓取獲得。

　　Top 4. Whisper （9億條）

　　2020年3月，高人氣秘密分享應用Whisper將9億條用戶記錄暴露在網上。除了大量匿名文本以及與內容相關的元數據以外，泄露的信息還包括位置坐標及其他敏感數據。所有信息都可在未經密碼保護的公共數據庫上直接查看。一旦黑客掌握這些信息，很可能識別出特定用戶的身份甚至實施勒索。在獲悉事件之后，該公司很快關閉了數據訪問通道。

　　Top 3. Keepnet Labs （50億條）

　　2020年3月，總部位于英國的網絡安全廠商Keepnet Labs遭遇網絡違規事件。某承包商臨時開放了一套數據庫，其中包含此前在數據泄露調查中收集到的50億個電子郵件地址與密碼。

　　根據該公司的介紹，該公司主要業務就是收集歷史違規數據并通知商業客戶，幫助對方預防數據威脅。但為了加快執行流程，該公司在遷移ElasticSearch數據庫時會臨時將防火墻關閉10分鐘。這個危險的決定導致安全研究人員能夠通過不受保護的端口，以無需密碼的方式輕松訪問數據。

　　Top 2. Advanced Info Service （83億條）

　　2020年5月，泰國最大的GSM手機運營商Advanced Info Service公司在獲悉數據泄露事件后，被迫刪除了一套數據庫。一位安全研究員在網上發現了這套完全開放的ElasticSearch數據庫，其中包含多達4 TB、總計83億條互聯網使用活動記錄。這些DNS查詢與Netflow數據等公開信息可被用于映射用戶行為。現在，這套不慎暴露的數據庫已經恢復安全狀態。

　　Top 1. CAM4 （108.8億條）

　　2020年3月，研究人員在成人視頻直播網站CAM4上發現一臺未受保護的ElasticSearch服務器，其中泄露的7 TB數據包含近110億條記錄。記錄內容涵蓋多種用戶敏感信息，例如全名、電子郵件地址、性取向、聊天與電子郵件清單、密碼哈希、IP地址以及付款記錄等。目前數據庫錯誤已被修復，但尚不清楚這些高度敏感的成人網站用戶信息是否已經被黑客掌握。

　　收錄于話題 #行業重大網絡安全事件盤點12個下一篇盤點：八大行業重大網絡安全事件（附報告）閱讀原文閱讀 254分享收藏贊在看1寫下你的留言