信息来源：今日头条

仅在2018年，就有5亿个人记录被盗。到年底将窃取多少记录?

根据《 2019年第三季度基于风险的数据违规快速查看报告》，截至9月底，共有5183次违规，暴露了79亿条记录。与2018年第三季度报告相比，违规总数上升了33.3%，暴露的记录总数翻了一番多，上升了112%。

今年会是有记录以来最糟糕的吗?

1. ElasticSearch服务器漏洞– 1.08亿条记录

在2019年1月，ZDnet报告说，一个在线赌场集团泄露了超过1.08亿笔赌注的信息，包括有关客户个人信息，存款和取款的详细信息。数据从ElasticSearch服务器泄漏，该服务器没有密码就可以在线暴露。ElasticSearch是公司安装的便携式高级搜索引擎，用于改进其Web应用程序的数据索引和搜索功能。

发现服务器的安全研究员Justin Paine发现用户数据包含很多敏感信息，例如真实姓名，家庭住址，电话号码，电子邮件地址，生日，站点用户名，帐户余额，IP地址，浏览器和操作系统详细信息，上次登录信息以及已玩游戏的列表。ZDnet报告说，不清楚该服务器在网上暴露了多长时间，有多少用户受到影响，是否有其他人访问了泄漏的服务器以及是否通知客户其个人数据被暴露了。

2. Canva数据泄露– 1.39亿条记录

2019年5月，《安全杂志》报道说，图形设计工具网站Canva遭受数据泄露，影响了1.39亿用户。公开的数据包括客户用户名，真实姓名，电子邮件地址，密码以及城市和国家/地区信息。此外，在1.39亿用户中，有7800万用户的Gmail地址与他们的Canva帐户相关联。

据ZDnet称，负责此漏洞的黑客已在暗网上出售了9.32亿用户的数据，这些数据是他们从全球44家公司中窃取的。

3. 中国求职者MongoDB数据泄露– 2.02亿条记录

2019年1月，网络安全公司Hacken的网络安全专家兼研究员Bob Diachenko发现了一个854 GB的MongoDB数据库，其中包含202,730,434条有关中国求职者的记录。数据包含候选人的技能和工作经验，以及个人识别信息，例如电话号码，电子邮件地址，婚姻状况，政治倾向，身高，体重，驾驶执照信息，薪资期望和其他高度个人数据。

中国的一家分类广告公司BJ.58.com告诉Diachenko，数据来自第三方公司，该公司从许多专业站点收集数据。迪亚琴科发现漏洞后约一周，数据库得到了保护。

4. 印度公民MongoDB数据库-2.75亿条记录

2019年5月，迪亚琴科再次透露他发现了一个MongoDB数据库，该数据库暴露了275,265,298条包含高度PII的印度公民记录。该数据库未受保护超过两个星期。

迪亚琴科说，托管在亚马逊AWS上的可公开访问的MongoDB数据库包括姓名，性别，出生日期，电子邮件，电话号码，学历，专业信息(雇主，工作经历，技能和职能领域)以及当前薪水等信息。

5. 第三方Facebook应用程序数据泄露– 5.4亿条记录

2019年4月，UpGuard安全研究人员透露，有两个第三方开发的Facebook应用程序数据集已暴露于公共互联网中。一个数据库来自墨西哥的媒体公司Cultura Colectiva，重达146 GB，其中有5.4亿条记录详细记录了评论，喜欢，反应，帐户名，Facebook ID等。

研究人员说，另一个第三方应用“ At the Pool”通过Amazon S3存储桶公开访问了公共互联网。该数据库备份包含用于用户信息的列，例如用户名ID，朋友，喜欢，音乐，电影，书籍，照片，事件，组，签到，兴趣，密码等。

6. Dream Market Breach– 6.2亿条记录

2月，《The Register》报道说，从16个被黑网站窃取的大约6.17亿个在线帐户详细信息正在暗网中出售。以下帐户数据库正在Dream Market上出售：

（1）Dubsmash (162 million)

（2）MyFitnessPal (151 million)

（3）MyHeritage (92 million)

（4）ShareThis (41 million)

（5）HauteLook (28 million)

（6）Animoto (25 million)

（7）EyeEm (22 million)

（8）8fit (20 million)

（9）Whitepages (18 million)

（10）Fotolog (16 million)

（11）500px (15 million)

（12）Armor Games (11 million)

（13）BookMate (8 million)

（14）CoffeeMeetsBagel (6 million)

（15）Artsy (1 million)

（16）DataCamp (700,000)

根据该报告，样本帐户记录主要包括帐户持有人姓名，电子邮件地址和密码。这些密码是经过哈希处理或单向加密的，必须经过破解才能使用。显示的其他信息取决于站点，包括位置个人详细信息和社交媒体身份验证令牌。

7. “Collection #1”数据违规– 7.73亿条记录

一月份，特洛伊·亨特(Troy Hunt)宣布他已经找到了一组电子邮件地址和密码，总计2,692,818,238行，其中包括来自数千个不同来源的许多不同的个人数据泄露。总共有1,160,253,228个电子邮件地址和密码的唯一组合。唯一电子邮件地址总计772,904,991。唯一密码总计21,222,975。

多个人与Hunt取得联系，并指示他前往云服务MEGA上的文件收集，该服务包含12,000多个单独的文件和超过87GB的数据。此外，他还指向了一个流行的黑客论坛，该论坛正在发布数据。在文件中，亨特找到了自己的个人数据，例如他多年以前使用的电子邮件地址和密码。

8. Verifications.io数据泄露– 8.08亿条记录

4月，Diachenko和安全研究员Vinny Troia报告说，他们已经找到了一个可公开访问的MondoDB数据库，该数据库包含150 GB的详细营销数据。该数据库归电子邮件验证公司Verifications.io所有，并在Diachenko与该公司联系的同一天被下线。

该数据库包含四个单独的数据集合，总计808,539,939条记录。Diachenko说，其中最大的部分名为“ mailEmailDatabase”，并且其中包含三个文件夹：

（1）电子邮件记录(计数：798,171,891条记录)

（2）emailWithPhone(计数：4,150,600条记录)

（3）businessLeads(计数：6,217,358条记录)

9. 首次美国数据泄露– 8.85亿条记录

7月，美国最大的房地产所有权保险公司第一美国金融公司(First American Financial Corp.)的数据泄漏暴露了8.85亿个人的交易记录。根据美国记者兼调查记者布莱恩·克雷布斯(Brian Krebs)的说法，《第一美国人》泄露了2003年以来与抵押交易相关的数亿份文件。

记录包括银行帐号和对帐单，抵押和税务记录，社会保险号，电汇收据和驾驶执照图像。Krebs说，使用Web浏览器的任何人都无需身份验证即可获得这些记录。

10. TrueDialog数据泄露–超过10亿条记录

本周早些时候，vpnMentor，Noam Rotem和Ran Locar的网络安全专家研究人员详细介绍了美国通信公司TrueDialog数据库泄漏的发现。TrueDialog总部位于美国德克萨斯州奥斯汀，为大型和小型企业创建SMS解决方案，目前与990多家手机运营商合作，在全球拥有超过50亿用户。

研究人员说，由Microsoft Azure托管并在美国Oracle Marketing Cloud上运行的TrueDialog数据库包含604 GB的数据。其中包括近10亿个高度敏感的数据条目。包含在数百万条SMS消息中的敏感数据包括但不限于：

（1）收件人，TrueDialog帐户所有者和TrueDialog用户的全名

（2）讯息内容

（3）电子邮件地址

（4）收件人和用户的电话号码

（5）发送消息的日期和时间

（6）已发送邮件的状态指示器，例如已读回执，答复等。

（7）TrueDialog帐户详细信息

11. Orvibo泄漏的数据库– 20亿条记录

7月，Rotem和Locar发现了一个与Orvibo Smart Home产品链接的开放数据库，公开了超过20亿条记录。根据研究人员的说法，运行IoT平台的Orvibo声称拥有大约一百万用户，其中包括使用Orvibo智能家居设备连接房屋，酒店和其他企业的私人用户。

数据泄露影响了来自世界各地的用户。Rotem和Locar为中国，日本，泰国，美国，英国，墨西哥，法国，澳大利亚和巴西的用户找到了日志。

他们首先于6月16日通过电子邮件联系了Orvibo，并在未收到公司的消息后在公司上发了推文，提醒他们注意违规行为。该数据库开放了两个多星期。包括的数据类型：

（1）电子邮件地址

（2）密码

（3）帐户重置代码

（4）精确的地理位置

（5）IP地址

（6）用户名

（7）用户身份

（8）姓

（9）家庭ID

（10）智能设备

（11）访问帐户的设备

（12）安排信息

12. 社交媒体资料数据泄漏– 40亿条记录

十月份，Diachenko和Troia在不安全的服务器上发现了向公众公开并易于访问的大量数据，其中包含4 TB的PII，即大约40亿条记录。Troia和Diachenko表示，所有数据集中的唯一身份人员总数已超过12亿，这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名，电子邮件地址，电话号码，LinkedIN和Facebook个人资料信息。

发现的包含所有信息的ElasticSearch服务器未受保护，可通过Web浏览器访问。无需密码或任何形式的身份验证即可访问或下载所有数据。报告说，使这种数据泄漏独特的原因在于，它包含的数据集似乎来自两个不同的数据充实公司。

亨特(Hunt)在泄漏中发现了他的信息，他说：“我发现这种具有暴露性质的数据的重复主题越来越激怒了数据收集者以数据所有者(即我)的方式获取和使用个人信息不同意。这与人们可能选择的发布数据渠道的公开程度无关，而是关于数据在预期范围之外的使用。”