- 1网易 Duilib:功能全面的开源桌面 UI 开发框架_duilib 跨平台
- 2linux7源码包httpd安装,CentOS7编译安装Apache Httpd 2.4.20及rpm包制做小记
- 3git常用命令合集,程序员必备技能,5分钟学会_git 常用指令
- 4centos7 下搭建 kafka 环境_kafka-run-class.sh: line 346: exec: java: not foun
- 5SpringBoot异步任务记录_xxjob异步任务如何添加日志
- 6中国AI 走进奥运会:全球瞩目的巴黎奥运会上,中国科技正大放异彩
- 7linux系统日志管理详解_linux message日志级别调整
- 8暗网调查常用的6大开源情报工具(非常详细)零基础入门到精通,收藏这一篇就够了_osint 工具 法律
- 9Python——PEP 8 代码风格规范_either all return statements in a function should
- 10C51教程 第三个51程序:数码管显示_单片机数码管0到9编程
2024年全球十大数据安全事件(1)
赞
踩
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1、OneMoreLead
影响人数:6300万
发现时间:2021年8月
事件概要:
vpnMentor的研究团队在8月份发现, B2B 营销公司 OneMoreLead 将至少6300万美国人的私人数据存储在一个不安全数据库中,该公司任由此数据库完全敞开。该数据库包含列出的每个人的基本个人身份信息数据,以及有关其工作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中大量的 .gov 和纽约警察局电子邮件地址,这让黑客有可能渗透到原本安全的高级政府机构。vpnMentor 表示,政府和警察部门成员的私人数据如同从事犯罪活动的黑客眼里的金矿,可能导致重大的国家安全事件,使公众严重丧失对政府的信任。据 vpnMentor 称,姓名、电子邮件地址和工作场所信息暴露在任何拥有网络浏览器的人面前。
事件点评:
科技和数据对于今天的营销而言非常重要,大数据营销的概念也是方兴未艾。当营销者们欢欣鼓舞地收集数据,建立模型,去做洞察,以指导营销时,用户数据的安全性该如何保障,企业营销的底线是什么,值得营销公司深思。
2、T-Mobile
影响人数:4780万
发现时间:2021年8月
事件概要:
T-Mobile 于 8 月 17 日证实,其系统在 3 月18 日遭到了网络犯罪攻击,数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile 表示,泄露的信息包括姓名、驾照、政府身份证号码、社会保障号码、出生日期、 T-Mobile 充值卡 PIN 、地址和电话号码。T-Mobile表示,不法分子利用了解技术系统的专长以及专门工具和功能,访问了该公司的测试环境,随后采用蛮力攻击及其他方法,进入到了含有客户数据的其他 IT 服务器。T-Mobile 表示,它弄清楚了不法分子如何非法进入其服务器并关闭这些入口点。该公司表示,它将向所有可能受到影响的人提供为期两年的免费身份保护服务(迈克菲的身份窃取防护服务)。此外, T-Mobile 表示为后付费客户提供帐户接管防护服务,这样一来,客户帐户更难被人以欺诈手段外泄和窃取。
事件点评:
T-Mobile 是一家跨国移动电话运营商,是德国电信的子公司,属于 Freemove 联盟。T-Mobile 在西欧和美国运营 GSM 网络,并通过金融手段参与东欧和东南亚的网络运营。该公司拥有1.09亿用户,是世界上较大的移动电话公司之一。对于网络犯罪分子来说,这类公司具有较高价值。通信公司有义务保护好客户信息,需要在数据安全方面做更多功课。
3、未知的营销数据库
影响人数:3500万
发现时间:2021年6月
数据内容:个人信息
事件概要:
Comparitech研究人员在7月29日报告,一个含有估计3500万个人详细信息的神秘营销数据库泄露在网上,居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的人口统计信息(包括爱好、兴趣、购物习惯和媒体消费等)。相关样本显示,大多数记录与芝加哥、洛杉矶和圣迭戈这些大城市的居民有关。据 Comparitech 声称,凡是拥有网络浏览器和互联网连接的人都可以访问数据库全部内容,里面含有的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。Comparitech网络安全研究团队在6月26日发现了该数据库,尽管使出了浑身解数,还是无法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊网络服务(AWS),要求撤下数据库,不过,该数据在7月27日之前仍可以访问。
事件点评:
互联网在提供精准营销的背后,却是一遍又一遍对用户隐私数据的索取、整理、分析和挖掘。任何国家的任何法律,都没有说不允许使用个人信息,所有的法律和规定,都是围绕如何正确使用这些信息,而不是如何禁止使用这些信息,这是一个大前提。那么,个人数据如何才算正确使用呢?这就涉及到“同意”原则,同意原则是企业使用个人信息的起点。当然,也有例外的情况可以不经过个人同意就使用个人信息,一般都是涉及国家安全等特殊情况。同意原则包含三个类型:默认同意、明示同意和授权同意。
4、ParkMobile
影响人数:2100万
发现时间:2021年3月
事件概要:
ParkMobile在3月份发现一起与第三方软件漏洞有关的网络安全事件。调查发现,其基本的用户信息被人访问,包括车牌号、电子邮件地址、电话号码和车辆昵称。在少数情况下,邮寄地址也被访问。该公司还发现加密的密码被访问,但读取这些密码所需的加密密钥并未被访问。ParkMobile表示,它使用先进的散列和加入随机字符串(salting)技术对用户密码进行加密,以此保护用户密码。ParkMobile表示,用户应考虑更改密码,作为另一道预防措施;信用卡或停车交易历史记录未被访问;它并不收集社会保障号码、驾照号码或出生日期。ParkMobile称:“作为美国较大的停车应用软件,用户的信任是我们的重中之重。请放心,我们认真对待保护用户信息安全的责任。”
事件点评:
ParkMobile是在北美颇受欢迎的移动停车应用,用来显示街头可用的停车位Parkmobile还支持应用内支付停车费,即用户进入符合要求的距离之后可以在手机上为车位付费。不过需要特别注意的是,该功能只面向ParkmobilePro付费用户开放。它还能提供停车费折扣、路边援救以及临时优惠活动。在给用户带来方便的同时,其安全性也需要进一步加强。
5、ClearVoiceResearch.com
影响人数:1570万
发现时间:2021年4月
事件概要:
ClearVoice在4月份获悉,一个未经授权的用户在网上发布了含有2015年8月和9月调查参与者的个人信息数据库,并向公众出售这些信息。可访问数据包括联系信息、密码以及针对用户健康状况、政治派别和种族等问题作出的答复。ClearVoice表示,这批数据可能会被不法分子滥用,导致调查参与者被人(比如广告商)联系。此外,可访问的信息可能用于准备个人资料,而这些资料可用于商业或政治目的。在收到未经授权用户发来的电子邮件的一小时内,ClearVoice表示它找到了备份文件,确保其安全,并消除了云服务端这个文件面临的泄露风险。另外ClearVoice对可能泄露信息的所有会员强行重置了密码,还实施了安全措施,以防止此类事件再次发生,并保护会员数据的隐私。
事件点评:
ClearVoice是一个人才网络和内容营销平台,帮助企业创建引人入胜的内容,以支持他们的博客,SEO,社交媒体和营销自动化。ClearVoice集成的编辑日历和简化的内容工作流程可提高工作效率,并帮助营销人员实现其内容营销目标。显然,在其开展相关营销活动时,并未很好地将安全性纳入到其平台上。
6、Jefit
影响人数:905万
发现时间:2021年3月
事件概要:
锻炼跟踪应用程序Jefit在3月份发现了因安全漏洞而导致的数据泄密,这起事件影响了2020年9月20日之前注册的客户帐户。不法分子访问了以下信息:Jefit帐户用户名、与帐户关联的电子邮件地址、加密的密码以及创建帐户时的IP地址。Jefit保存IP地址用于防止机器人程序,并将滥用帐户登记在册。该公司查明了数据泄密的根本原因,并证实Jefit的其他系统未受影响。Jefit表示,它已采取安全措施来加强网络,以防范将来出现类似的泄密事件,并正在其产品上采用更加强大的密码策略,以便将来进一步保护用户帐户。此外,Jefit表示,敏感的财务数据未受到牵涉,因为该公司从不存储客户的付款信息。客户在Jefit网站购买产品时,所有支付流程都由Google Play Store 、 Apple App Store直接处理,或者由支付网关公司直接处理。
事件点评:
Jefit成立于2010年,立志于成为健身界的Facebook,在这个语境下,它有着同类应用难以比肩的大型数据库:超过1300种训练动作,以及数以百万计用户分享的训练计划。Jefit只能做到对健身训练数据的追踪和管理,想要直观地分析一定周期内个人在健身时的训练状态和身体表现情况,还得借助一些数据整合和分析工具。不管是使用自身系统还是借助于第三方工具,都需要做好数据保护工作。
7、Robinhood
影响人数:700万
发现时间:2021年11月
事件概要:
电子交易平台Robinhood在11月8日披露,未经授权的有关方在五天前通过电话冒充员工,访问了客户支持系统。Robinhood表示,在此次事件中,黑客获得了大约500万人的电子邮件地址列表以及另外大约200万人的全名。Robinhood表示,这700万条记录中的数千个条目包含电话号码,大约310人的姓名、出生日期和邮政编码已被公开,其中大约10个客户的更详细帐户信息被公开。Robinhood在遏制这起入侵后表示,黑客敲诈索要赎金。它及时通知了执法部门,将在Mandiant的帮助下继续调查这起事件。
事件点评:
冒充他人登录到企业网络,事实上就是窃取员工的身份。身份认证也称为"身份验证"或"身份鉴别",是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。单一的身份认证手段容易导致账号被冒用,造成内部信息泄露,企业需要进一步加固自身的身份认证体系,来保障网络信息的安全。
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
