2019年12大数据泄露事故(3)

本周早些时候，vpnMentor，Noam Rotem和Ran Locar的网络安全专家研究人员详细介绍了美国通信公司TrueDialog数据库泄漏的发现。TrueDialog总部位于美国德克萨斯州奥斯汀，为大型和小型企业创建SMS解决方案，目前与990多家手机运营商合作，在全球拥有超过50亿用户。

研究人员说，由Microsoft Azure托管并在美国Oracle Marketing Cloud上运行的TrueDialog数据库包含604 GB的数据。其中包括近10亿个高度敏感的数据条目。包含在数百万条SMS消息中的敏感数据包括但不限于：

收件人，TrueDialog帐户所有者和TrueDialog用户的全名

讯息内容

电子邮件地址

收件人和用户的电话号码

发送消息的日期和时间

已发送邮件的状态指示器，例如已读回执，答复等。

TrueDialog帐户详细信息

2. Orvibo泄漏的数据库– 20亿条记录

7月，Rotem和Locar发现了一个与Orvibo Smart Home产品链接的开放数据库，公开了超过20亿条记录。根据研究人员的说法，运行IoT平台的Orvibo声称拥有大约一百万用户，其中包括使用Orvibo智能家居设备连接房屋，酒店和其他企业的私人用户。

数据泄露影响了来自世界各地的用户。Rotem和Locar为中国，日本，泰国，美国，英国，墨西哥，法国，澳大利亚和巴西的用户找到了日志。

他们首先于6月16日通过电子邮件联系了Orvibo，并在未收到公司的消息后在公司上发了推文，提醒他们注意违规行为。该数据库开放了两个多星期。包括的数据类型：

电子邮件地址

密码

帐户重置代码

精确的地理位置

IP地址

用户名

用户身份

姓

家庭ID

智能设备

访问帐户的设备

安排信息

1. 社交媒体资料数据泄漏– 40亿条记录

十月份，Diachenko和Troia在不安全的服务器上发现了向公众公开并易于访问的大量数据，其中包含4 TB的PII，即大约40亿条记录。Troia和Diachenko表示，所有数据集中的唯一身份人员总数已超过12亿，这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名，电子邮件地址，电话号码，LinkedIN和Facebook个人资料信息。

发现的包含所有信息的ElasticSearch服务器未受保护，可通过Web浏览器访问。无需密码或任何形式的身份验证即可访问或下载所有数据。报告说，使这种数据泄漏独特的原因在于，它包含的数据集似乎来自两个不同的数据充实公司。

亨特(Hunt)在泄漏中发现了他的信息，他说：“我发现这种具有暴露性质的数据的重复主题越来越激怒了数据收集者以数据所有者(即我)的方式获取和使用个人信息不同意。这与人们可能选择的发布数据渠道的公开程度无关，而是关于数据在预期范围之外的使用。”

（编辑：ASP站长网）