DT时代，数据安全至上。

最近一两年，数据泄露事件愈加频繁，受影响的用户不断增加，少则数千万，多达数亿乃至十几亿。不仅个人，而且企业、组织机构和国家政府不断陷入数据泄露。从金融、教育、医疗到科技，数据泄露涉及各行各业，影响深远。以月为单位，我们盘点和统计当月公开披露的数据泄露事件。一方面，用事实提醒广大网民，数据安全至关重要，关系到每个网民的切身利益，希望更多人能提高数据安全意识；另一方面，我们也希望为企业提供参考，进一步强化数据安全建设，做好用户隐私保护。（如果有更多建议，请于文末留言）

1.加密货币交易所Poloniex数据泄露

报道时间：1月2日

大致情况：

2019年12月30日，用户收到一封来自Poloniex加密货币交易所的邮件。据悉，邮件告知用户，公司发生数据泄露，包括用户名、密码等信息可能被泄露。该公司“强行”要求用户重置密码，保护用户免受鱼叉式网络钓鱼攻击。

数据泄露类型：用户名、密码等

泄露原因：未知

后续：邮件通知用户，要求用户重置密码

2.美国餐饮酒店公司Landry泄露客户支付卡数据

报道时间：1月2月

大致情况：

据tripwire报道，餐饮、酒店和娱乐公司Landry通知客户遭遇未经授权访问的安全事件，可能会影响其支付卡数据。该公司透露，恶意软件感染其支付处理系统，可能泄露服务员在厨房和酒吧的订单输入系统中误刷的支付卡详细信息。

数据泄露类型：信用卡的号码、有效期、CVC码和持卡人姓名等

泄露原因：网络攻击

后续：公司从系统中删除恶意软件，通知执法部门，并在计算机系统上实施新的安全措施，还为工作人员提供更多培训。

3.日本爱情酒店搜索引擎HappyHotel数据泄露

报道时间：1月6日

大致情况：HappyHotel.jp是一个类似于Booking.com的网站，它允许注册用户搜索和预定日本各地爱情酒店的房间。最近，它披露了一个安全漏洞，情况不容乐观。根据其官网发布的消息，HappyHotel背后的公司Almex表示，去年12月22日，该公司检测到其服务器未经授权访问。据悉，黑客似乎已经掌握大量用户敏感信息。

数据泄露类型：

姓名、电子邮件地址、登录凭据（用户名和密码）、出生日期、性别信息、电话号码、家庭地址和支付卡详细信息等。

泄露原因：未经授权访问

后续：HappyHotel.jp被暂时关闭

4.美国教育机构供应商Active Network数据泄露

报道时间：1月6日

大致情况：

近日，美国教育机构供应商Active Network宣布其为学校提供的会计软件Blue Bear发现重大安全漏洞，大量用户信息被泄露。据悉，Blue Bear云系统是Active Network专门为学校定制，帮助学校管理相关的活动基金。在这次攻击中，黑客先是获得Blue Bear云会计软件系统的访问权限，随后植入一个软件分离器，目的是收集用户的支付卡数据。

数据泄露类型：

用户姓名、支付卡号、支付卡到期日期、支付卡安全码以及商店用户名和密码等

泄露原因：黑客攻击

后续：调查此事，通知受影响的家长

5.在线零售商Focus Camera发生数据泄露

报道时间：1月7日

大致情况：

在线零售商Focus Camera遭遇黑客攻击，被Magecart集团注入恶意代码，从而窃取用户信用卡信息。据悉，Magecart是一个松散的攻击组织，针对Ticketmaster、福布斯、英国航空公司（British Airways）、Newegg等公司发起过支付卡攻击。一般来说，该组织通常会在一个web应用程序（通常是购物车）中插入虚拟信用卡分离器（也称为formjacking），然后窃取信用卡信息，在黑市上出售。

数据泄露类型：

用户姓名、电子邮件、电话号码、地址（信用卡账单地址、收货地址）、信用卡信息（号码、有效期、CVV码）

泄露原因：黑客攻击

后续：恶意代码被移除

6.美国Alomere Health医院发生信息泄露

报道时间：1月7日

大致情况：

美国明尼苏达州Alomere Health医院被曝发生数据泄露。据悉，本次泄露暴露49351名患者的个人和医疗信息。而泄露原因则是该医院的两名员工的电子邮件账户遭到入侵。据了解，Alomere Health是位于美国明尼苏达州亚历山大市的一家普通医疗外科医院，曾获得医疗机构认证计划（HFAP）的认可，拥有III级创伤中心，并两次被汤森路透评为百佳医院之一。

泄露数据类型：

患者姓名、地址、出生日期、病历号、健康保险信息以及诊断和治疗详细信息

泄露原因：未经授权访问

后续：医院提升员工电子邮件的安全，增加安全防护、员工培训

7.CheckPeople的中国服务器暴露了5625万美国居民信息

报道时间：1月10日

大致情况：

据悉，一名代号为Lynx的白帽黑客发现，一个包含5625万美国公民个人信息的数据库在网上公开。而该数据库属于CheckPeople.com网站，并且数据库被绑定在一个拥有中国IP地址的服务器上。

数据泄露类型：

当前和曾用地址、电话号码、电子邮件地址、亲属姓名，在某些情况下甚至有犯罪记录

泄露原因：未知

后续：未知

8.美国数据经纪商LimeLeads泄露4900万条用户记录

报道时间：1月15日

大致情况：

据Security Affairs报道，美国数据经纪商LimeLeads的 4900万条用户记录在一个黑客论坛上被出售，这些数据在Elasticsearch服务器上公开。该公司错误配置Elasticsearch服务器，并无意将其在线公开，允许任何人访问其内容。

数据泄露类型：

全名、职务、用户电子邮件、雇主或公司名称、公司地址、城市、州、邮政编码、电话号码、网站URL、公司总收入以及公司的预计雇员人数。

泄露原因：数据库配置错误

后续：未知

9.澳大利亚P&N银行发生数据泄露

报道时间：1月15日

影响人数：10万

大致情况：

据悉，西澳大利亚州P&N Bank在服务器升级期间遭遇网络攻击，发生数据泄露。作为西澳大利亚州最大银行，该银行提供储蓄、贷款产品、保险和财务规划服务，拥有14家分行。本次攻击中，该银行客户关系管理系统中的个人信息和敏感账户信息被泄露。黑客从网络攻击中窃取10万西澳大利亚人的信息。

数据泄露类型：

客户姓名、年龄、居住地址、电子邮件地址、电话号码、客户编号、银行帐号及帐户余额

泄露原因：黑客攻击

后续：银行关闭漏洞源，并与其他机构合作调查此事

10.加拿大网上药店PlanetDrugsDirect客户信息泄露

报道时间：1月15日

影响人数：近40万

大致情况：

1月15日，有媒体报道，加拿大网上药店PlanetDrugsDirect通过电子邮件通知客户发生数据泄露事故。通知称，数据泄露可能影响客户的个人敏感信息和财务信息。据悉，PlanetDrugsDirect的客户数量大约为40万，本次的泄露数据包括姓名、住址、电子邮件地址等。PlanetDrugsDirect称事故处于调查中，将尽快向客户提供更多详细信息。

泄露数据类型：

姓名、家庭住址、电子邮件地址、电话号码、支付信息和医疗信息

泄露原因：未知

11.PussyCash 遭遇数据泄露

报道时间：1月15日

大致情况：

VPN Mentor的安全研究者表示，他们在PussyCash位于弗吉尼亚州的亚马逊S3 bucket发现一起数据泄露，包含19.95GB的可见数据。作为一个会员制网站，PussyCash的母公司IML SLU还拥有ImLive 等成人网站品牌。本次数据泄露曝光了超过87.5万个文件中的4000多组个人数据，非常严重。仅在网络聊天平台 ImLive 上，就拥有 6600 万注册会员，更别提其他数十个网站。

数据泄露类型：

全名、生日、出生地、公民身份、籍贯、护照 / 身份证件号码、护照签发日 / 有效期、注册性别、证件照、个人签名、父母全名、指纹等敏感信息

泄露原因：未知

后续：未知

12.美国儿童服装品牌Hanna Andersson数据泄露

报道时间：1月20日

大致情况：

据悉，美国著名儿童服装制造及在线零售商Hanna Andersson披露一起数据泄露事件，其在线购物平台遭受Magecart攻击，黑客部署了恶意代码，窃取客户近两个月的付款信息。

数据泄露类型：

姓名、购物地址、信用卡账单地址、信用卡号码、CVV码等

泄露原因：黑客攻击

后续：公司的在线购物平台被保护起来并被加固，公司还协助执法部门进行调查

13.乌克兰政府招聘官网发生求职人员信息泄露

报道时间：1月21日

大致情况：

乌克兰政府招聘门户官网近日被曝出信息泄露事件。据悉，乌克兰网络联盟非营利组织的一名成员率先发现数据泄漏事件，并将其报告给国家安全与国防委员会。乌克兰官员表示，公开的信息包括密码副本和其他一些文件。

数据泄露类型：全名、地址、身份证件扫描、护照扫描件、文凭和其他毕业文件。

泄露原因：未知

后续：官方称“漏洞被修复”

14.微软泄露2.5亿条客户支持记录和PII（个人验证信息）

报道时间：1月23日

大致情况：

一名研究者Bob Diachenko发现一个未受保护的数据库，它拥有超过2.5亿客户支持记录和PII。微软确认，由于数据库的错误配置，其客户服务和支持（CSS）记录在网上公开。微软已经解决此问题，并采取措施防止类似事情再次发生。

数据泄露类型：用户电子邮件地址、IP地址、位置、CSS声明和案例的描述、案例编号、解决方案和备注等

泄露原因：数据库配置错误

后续：问题被解决

15.THSuite公司泄露大量大麻用户信息

报道时间：1月23日

大致情况：

外媒披露，美国用于医疗和休闲大麻药房的数据库支持销售系统THSuite发生数据泄露，影响3万名用户。据悉，VPNMentor研究团队在网上发现一个不安全的Amazon S3 bucket，该数据库为THSuite所有。研究人员称，本次事件泄露了美国大麻用户的敏感信息，超过85000个文件被暴露。

数据泄露类型：姓名、出生日期、电话号码、家庭地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据等

泄露原因：公开的数据库

后续：数据库被关闭

16.SextPanther网站发生数据泄露

报道时间：1月25日

大致情况：

总部位于美国亚利桑那州的SextPanther遭遇严重数据泄露，导致成千上万人的隐私信息被曝光。据悉，SextPanther是一个成人网站，它在一个公开的亚马逊AWS 存储桶中存储了近1.1万的身份证明文件，无需输入密码，即可公开访问。泄露的信息包括姓名、家庭住址、出生日期等。

数据泄露类型：

姓名、家庭住址、出生日期、生物识别特征、照片，甚至护照、驾驶执照、以及社保账号

泄露原因：未知

后续：该存储库被保护，公司进行调查

17.Wawa发生大规模数据泄露

报道时间：1月28日

大致情况：

据ZDNet报道，超过3000万美国人的支付卡详细信息被黑客挂在网上出售。据悉，信用卡数据来自Wawa，它是美国一家便利店公司。此前一个月，Wawa披露一起重大泄露事件，公司承认黑客在其POS系统植入恶意软件。恶意软件会收集使用信用卡或借记卡在便利店和加气站购物的用户的信息。本次泄露涉及该公司的860家便利店。

数据泄露类型：支付卡信息

泄露原因：恶意软件

后续：恶意软件被删除

根据公开不完全统计，2020年1月发生17起数据泄露事件。从受泄露影响的人数看，跨度大，少则几万人，多则千万，比如美国Alomere Health医院的信息泄露影响近5万人，而微软则泄露2.5亿条客户支持记录和PII（个人验证信息）；其次，泄露数据内容详细，维度多，颗粒度细，例如美国数据经纪商LimeLeads的数据泄露涉及12种个人信息。

从泄露原因来看，除部分原因未知外，有6起数据泄露源于黑客攻击，涉及教育、金融、在线零售和酒店行业。此外，3起是因为数据库配置错误，2起数据泄露源于未经授权访问。

针对本月数据泄露事件，深圳网安集团副总工程师黄伟杰认为：

近年来，企业数据泄漏事件层出不穷，大有愈演愈烈的趋势，究其原因大概有以下几个方面：

（一）企业数字化转型后，大量业务互联网化，用户业务数据和个人数据被在线统一收集、交易和存储，一旦网络安全保障能力和数据防护意识不足的话，容易受到黑客的攻击入侵，窃取数据。

（二）部分企业为提高自身的市场竞争力，精准定向向用户推销业务，通过从黑客或窃取者手上购买、交易等不法方式，获取大量用户数据。

（三）个人信息隐私保护、数据安全保护等法律法规不完善，不法犯罪分子有恃无恐，而仍然有很多企业未真正重视和履行网络安全保障义务。

可以说，随着数据的价值体现越来越明显，数据的需求日益增大，有需求就有市场，数据泄漏可能成为一种常态，建议国家监管机构尽快推出相关法律，加强数据贩卖、窃取的违法犯罪行为的打击力度；作为企业则建议提高数据防护与个人数据隐私保护意识，增大相关资源投入，提升数据安全保障水平。

创作场景

2020 年数据泄露第一期：盘点 17 起数据泄露事件