按照公安部统一部署，全国公安机关网安部门聚焦人民群众反映强烈的各类侵犯公民个人信息违法犯罪活动，依托“净网2022”专项行动，坚持“追源头、打内鬼、端平台”，持续开展严厉打击侵犯公民个人信息犯罪工作，破获一批重大案件，抓获一批犯罪嫌疑人，取得明显成效，有力维护了网络空间安全和社会公共安全。公安部今日公布打击侵犯公民个人信息犯罪8起典型案例。 1、四川公安机关破获王某等人侵犯公民个人信息案。四川公安网安部门侦查查明，犯罪嫌疑人王某等人为牟取非法利益，成立3家助贷催收公司，组建技术团伙利用技术手段非法获取公民个人信息，并以此开展助贷业务，非法获利1000余万元。四川公安机关先后抓获犯罪嫌疑人189名，查获各类非法获取公民个人信息软件工具104款，查获公民个人信息数据一批。 2、江苏公安机关破获黄某等人利用木马程序非法获取公民购物信息案。江苏公安网安部门侦查查明，犯罪嫌疑人黄某等人，勾结快递公司内部员工，通过在公司内部电脑安装木马程序等方式，窃取物流寄递信息，并向境外诈骗分子出售，非法获利2500余万元。江苏公安机关先后抓获犯罪嫌疑人60名，查获快递面单信息数据一批。 3、山东公安机关破获石某等人非法获取公民车辆位置信息案。山东公安网安部门侦查查明，犯罪嫌疑人石某等人成立找车公司，利用技术手段入侵部分停车场收费平台系统，非法获取车辆位置信息并出售，非法获利7000余万元。山东公安机关先后抓获犯罪嫌疑人64名，查获车辆位置信息数据一批。 4、辽宁公安机关破获黄某等人非法获取老年人个人信息推销虚假保健品案。辽宁公安网安部门侦查查明，犯罪嫌疑人黄某成立公司，勾结他人利用技术手段非法获取中老年人信息，组建电话推销团队，通过夸大疗效等话术推销假冒伪劣保健品实施诈骗32万余人次，非法获利350余万元。辽宁公安机关先后抓获犯罪嫌疑人19名，收缴假冒伪劣保健品10余吨，查获相关老年人个人信息一批。 5、内蒙古公安机关破获周某等人非法获取公民人脸信息解封网络账号案。内蒙古公安网安部门侦查查明，犯罪嫌疑人周某等人勾结境外诈骗团伙，非法获取公民人脸信息，为境外诈骗团伙提供账号解封服务，非法获利10余万元。内蒙古公安机关先后抓获犯罪嫌疑人3名。 6、浙江公安机关破获邱某非法获取公民个人信息案。浙江公安网安部门侦查查明，犯罪嫌疑人邱某利用职务之便，使用技术手段非法获取某支付软件用户信息，并伙同他人在境外网上出售，非法获利20余万元。浙江公安机关先后抓获犯罪嫌疑人2名，查获公民个人信息一批。 7、河北公安机关破获刘某等人非法获取公民个人信息案。河北公安网安部门侦查查明，犯罪嫌疑人刘某作为某金融公司负责人，为开展贷款业务，非法向物业公司、银行、保险公司、电信运营商等行业内部人员购买大量有贷款需求人员个人信息，组织员工假冒银行工作人员推销贷款服务，并将公民个人信息转卖，非法获利630余万元。河北公安机关先后抓获犯罪嫌疑人63名，查获公民个人信息一批。 8、江苏网安部门破获石某等人非法获取公民个人信息案。江苏网安部门侦查查明，犯罪嫌疑人石某等人勾结某电力企业外包服务公司工作人员孙某等人，窃取用电居民房产信息，并出售给房屋中介、装修公司人员，非法获利30余万元。江苏公安机关先后抓获犯罪嫌疑人220余名，查获公民个人信息一批。 全国公安机关网安部门将全面贯彻落实党的二十大精神，严格依照《刑法》《个人信息保护法》《数据安全法》等法律法规相关规定要求，持续严厉打击侵犯公民个人信息违法犯罪，积极会同有关部门进一步完善打击危害公民个人信息和数据安全违法犯罪长效机制，加强有关行业信息系统安全防护和内部人员管理，提高公民个人信息安全保护意识，全力守护网络数据安全，切实维护人民群众合法权益。   ...

不交保证金、不违禁内容，提供身份证、手机号、银行卡，就能赚钱？ 孩子开学了，全职宝妈在家无聊，求个不耽误送孩子的兼职~ 加入我们吧！不交保证金、不违禁内容、安全可靠，入职就有基础工资。 那么好，怎么办理入职？基础工资多少？需要做什么工作？ 我们是兼职线上出纳工作，提供身份证、银行卡、手机号登记入职！介绍朋友入职提成200！ 近日，山东泰安市民李女士就碰到了这么一件事。家里孩子入学后，她想找一份不耽误接送孩子的兼职工作。看到有人推荐不交保证金、不违禁内容，提供身份证、手机号、银行卡入职就有基础工资和分红的时候，李女士心动了。为了尽快办理入职，李女士到银行开办新的银行卡，在办卡过程中，看到了“帮信”犯罪和“两卡”整治的宣传片。这一看啊，好市民李女士真走脑子了，觉得自己这份兼职不太对劲，起了疑心，于是到辖区派出所咨询，发现自己险些涉嫌“帮信罪”。 山东泰安宁阳县公安局根据李女士提供的信息，立即组织精干力量成立专案组。经过深入研判、分析，一个买卖银行卡、帮助诈骗分子洗钱的犯罪团伙浮出水面。该团伙以网络兼职为由，收购身份证、银行卡、手机卡等，再将两卡打包出售。同时，该团伙还以高额返利为诱惑，吸引“求职者”介绍同伴加入，网罗更多团伙成员。为了将该团伙一网打尽，2023年2月，专案组展开收网行动。民警兵分8路，远赴福建、湖南、河南、四川等省市进行抓捕。目前，该团伙15名犯罪嫌疑人全部被抓获，案件正在进一步审理中。 温馨提示 1线上兼职要谨慎。网络世界繁杂，寻找兼职要练就“火眼金睛”，反复核实其真实性、合法性，远离诈骗陷阱。 2.莫贪小利，守好“两卡”。不出租、出借、出售个人银行卡、手机卡、身份证和网银U盾等账户存取工具，以免因为贪图小利小惠而造成更大的经济损失、承担法律责任。 3.积极举报，及时报警。一旦发现买卖银行卡和身份证的犯罪行为，应及时向公安机关举报，配合公安机关或发卡银行做好调查取证工作，有效打击犯罪分子，自觉维护良好的用卡秩序，保障自己的合法利益。   莫贪图小利 莫想赚“快钱” 莫轻信他人 莫成为犯罪分子的“工具人” 千万保护好自己的人生 美国电信巨头AT&T确认遭数据泄露 殃及900万客户账户 2023年3月12日，据报道，美国电信巨头AT&T近日向客户通报了一起数据泄露事件，导致攻击者能够获取与客户“设备升级资格”相关的信息。这起严重的安全漏洞影响了大约900万个客户账户，发生在2023年1月，这也是T-Mobile遭受大规模数据泄露的同一个月，T-Mobile的数据泄露影响了大约3700万个后付费和预付费账户。 AT&T 的一位代表在接受采访时表示：此次事件泄露了客户专有网络信息(CPNI)，包括账户上线路数量或无线套餐等数据。此外，个人身份信息如名字、无线账号、无线电话号码和电子邮件地址也被暴露。在某些情况下，黑客还获取了客户其它信息，如每月支付金额、过期金额、套餐名称以及每月收费和 / 或使用分钟数。 据AT&T公司发言人称，已经根据联邦通信委员会的规定，将未经授权访问 CPNI 的情况通知了联邦执法部门。好在是，这次数据泄露事件没有涉及信用卡信息、社会安全号或账户密码，AT&T 自己的系统也没有被入侵。AT&T还确认已经修复了漏洞，这是AT&T很长时间以来首次面临这样的事。 ...

21世纪经济报道 记者钟雨欣 见习记者郑雪 南方财经全媒体 见习记者严灿 北京报道 步入数字经济时代，个人信息的重要价值不言而喻。随着互联网技术的快速发展，隐藏在水面之下的“暗网”，由于其隐蔽性、非常规性的特点，正逐渐成为个人信息泄露的“温床”，成为网络黑产交易等不法行为的暗角。 日前，有网传消息称，疑似约45亿条国内个人信息在“暗网”被泄露，包括真实姓名、电话与住址等，引发各界关注。受访专家表示，近年来侵犯公民个人信息、危害信息数据安全的行为呈现高发多发态势，API接口、供应链上的中小企业或成为易受攻击的薄弱环节。相关企业应重视供应链整体安全，不断完善数据合规建设。 疑似大量个人信息被泄露 2月12日晚，Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,数据包大小达435GB，疑似电商或快递物流行业数据。用户仅需输入手机号,即可通过该机器人查询到姓名、手机号和详细的收货地址等隐私信息。 21世纪经济报道记者在昨日上午10时至下午17时多次验证时发现，目前该隐私查询机器人已停用。网络安全专家冰尘（化名）在接受采访时表示，自己经过测试，通过该接口查到了个人信息，包括姓名、手机号以及多个家庭住址。“2021年11月份，我从武汉搬到了北京，最近一段时间也刚搬家，通过反馈的数据可以看到我在武汉、北京两个地方的地址，”冰尘说道，“以此分析，数据泄漏的时间不早于2021年11月份，最晚不晚于2022年12月份。” “Telegram，通常也称电报或TG，是国外一款即时加密通讯工具，类似于国内的QQ和微信，其加密性强、安全性高，难以被破解，同时因为法律难以管辖，平台上存在着大量色情、**屏蔽敏感词**、诈骗等信息，慢慢地就演化成为黑产的一部分。” “这次其实就是在电报上创建频道 ，类似于国内的公众号，通过公众号自动回复便可以查询到个人相关信息。”冰尘介绍，频道背后的不法分子，其实是将泄露的用户数据整合分析、集中归档到 “社工库”，通过社工库便可以获得相关信息。 “比如，我经常使用某购物平台购买生鲜，考虑到和快递员比较熟悉，会请他直接放在冰箱。在这次我查到的地址中，也出现了‘放冰箱里’这四个字。”他说。 冰尘还透露，正常情况下，可能只是某个企业的数据泄露，但此次的数据泄露较为广泛，类型较多，涉及多家平台的相关快递信息。由于信息泄露规模庞大，暂时无法判断其泄露具体原因。 记者就此次事件向顺丰、京东、淘宝等平台求证，前两者均表示未收到相关消息，淘宝方面暂无回应。 API接口、供应链中小企业或成薄弱环节 梆梆安全服务中心相关负责人告诉记者，实际上，个人信息被泄露贩卖的情况长期存在，而随着信息技术的快速发展，可利用的信息类型和数量日益增加，交易也从“地下”逐渐浮出水面，侵犯公民个人信息、危害信息数据安全的行为呈现高发多发态势。 “作为网络安全从业者，平时我们会进行埋点测试，就我个人而言，在使用各平台时会使用不同的名字和号码，如果发生了信息泄露的情况，能够做出区分。据我们分析，如果App的接口权限过大，或者安全架构设计得过于复杂，就可能会产生薄弱点，出现漏洞导致数据泄露。”上述负责人表示。 据冰尘介绍，常见的数据泄露主要出于四个原因，一是API接口数据泄漏，二是运维不当或者内部管理不严，导致包含密钥或源代码泄露，三是内鬼泄露数据，四是企业内部的数据库被打穿。 “随着网络安全发展迭代，渗透或者攻击的成本在逐渐增加，整个内网被打穿从而导致数据泄露的情况逐渐减少，但通过接口类的逻辑漏洞导致的数据泄露却在逐渐增多。”冰尘进一步分析道，正常情况下，Web网页或者应用App可以通过对应的功能API接口调取数据。接口常暴露于外网，若此时没有对请求该API接口的数据限制查询数据类型及方式，即可进行一些“看起来合法”的数据越界请求。 “因这类请求中无任何攻击语句，一般情况下很难被发现，除非通过专业的日志比对才可察觉。相关技术人员通过接口不断发送请求，数据通过滚动查询，一段时间下来，便得到了相关数据。”他说。 从多年网络安全红队（攻击方）的视角来看，冰尘特别提示，需重点关注大企业解决方案中供应链上的中小企业。在多数情况下，中小企业的安全成本投入较低，数据安全往往难以得到完善的保障，但他们本身却是供应链中的关键一环。随着大企业愈发重视安全建设，攻击方的攻击成本也在增加，攻击往往会转向供应链上的中小企业来寻求突破。“需要重视供应链的整体安全，因为你不知道其中的哪个薄弱环节会出问题。” 警惕暗网成为个人信息泄露“温床” 记者梳理发现，近年来，在“暗网”售卖个人信息的事件时有发生，大量个人信息被“明码标价”。北京、南通、盐城、兰州等地都曾出现过通过“暗网”非法倒卖个人信息的案件。 今年2月，甘肃省公安厅发布“净网2022”十大典型案例，其中之一是兰州新区“詹某某黑客攻击案”。在此案中，兰州市公安局网安支队侦查发现，网民詹某某在“暗网”打包售卖包含银行储户、学生学籍、出行数据等在内的12类公民个人信息。专案组最终查清詹某某利用黑客技术，大肆窃取公民个人信息进行贩卖的整个犯罪过程，并在广州将另一名同案犯抓捕到案，现场查获全国20余个省份的10亿余条公民个人信息。 所谓“暗网”，是利用加密传输、P2P对等网络等，为用户提供匿名互联网信息访问的一类技术手段，常使用比特币等作为交易货币。由于其具有隐蔽性、去中心化、非常规性等特征，容易滋生以网络为勾联工具的各类违法犯罪。 有大量的“卖方”，意味着背后存在着“买方”需求。买方的目的可能有哪些？梆梆安全服务中心相关负责人分析，主要包括三大类，一是将信息用于电信网络诈骗，提高诈骗陷阱的真实度；二是依靠数据进行人物画像，对特定人群进行“精准钓鱼”；三是将信息用于广告营销推送。 “网民在使用互联网时，动辄需要提供手机号等个人信息。不法分子利用技术手段获取个人信息的侵权成本很低，而个人发现信息泄露后的维权成本却很高，甚至很难察觉信息是在何时何地被泄露的。这种不对等的情况是个人信息泄露事件持续发生的重要原因之一。”浙江垦丁律师事务所程念律师表示，不法分子通过Telegram机器人等方式进行售卖操作，其背后数据库的拥有者更加隐蔽，犯罪或者侵权主体的锁定更加困难。 此外，她还指出，目前正规的数据获取途径尚待完善，不少企业因数据监管严格而未将自己掌握的数据发展成数据产品在交易所内上架交易，而需求方也面临着资金、合规等方面的成本压力，因此可能会更倾向于交易所外的交易，这给不法分子非法交易个人信息提供了可乘之机。 “必须强调的是，技术本身具有中立性，但技术使用行为是需要监管规范的。应警惕暗网成为个人信息泄露的‘温床’，滥用新技术实施个人信息售卖行为的主体需承担相应法律责任。”程念表示。 根据《中华人民共和国刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关规定，向他人出售或者提供公民个人信息，情节严重的构成侵犯公民个人信息罪。如果售卖的是真实姓名、电话与住址等信息的，达到五千条则构成犯罪。 如果没有达到入罪标准的，按照《中华人民共和国网络安全法》相关规定，“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款”。 相关企业应如何做好数据合规工作，保护用户个人信息？ 程念指出，企业需要完善内部规章制度和人员管理，注意防止内鬼行为。采取数据加密等技术措施保障安全，同时对于存在数据往来的合作方的数据使用行为进行必要监督，加强包括合同签署、资质查看、义务履行情况汇报等具体制度的构建。此外，加强与监管部门之间的协同，除采取处置措施外，在必要时应及时上报安全风险。 梆梆安全服务中心相关负责人也表示，企业一是要做好内控，提升信息化处理相关岗位员工的安全意识，提高应急处置能力，当数据泄露事件发生时，要第一时间做好溯源工作，及时发现和解决问题；二是在外控方面，可以通过组织设备测试、攻防演练等方式，提高查看和修复漏洞的频率，及时优化系统。...

最新库子,45亿地址信息泄漏 蹭个热度，这个库子今天突然火了 平台展示的数据列表: 据目前为止已经有两万多个用户在使用 据了解，好像只支持手机号查询，数据确实新的 大概率是从快递泄漏的 防护手段： 快递使用假名 地址模糊填写，有驿站类的写驿站，不要具体到门牌号！ 提醒⚠️近日有大量快递信息泄露，涉及几乎每一个人，请各位提醒家人及朋友谨慎防范陌生来电各种理由的诈骗、推销。...

全国互联网账户“一证通查”来啦！ 核验身份后一键在线查询名下所有关联号码以及注册。 名下电话卡查询：https://tb3.cn/A6zcU6 手机号绑定查询：https://tb3.cn/A3lhMk...

1、下载一个QQ   2、进入钱包界面后，我们找到并点击右上角的个人设置进入个人设置界面。 3、然后我们在个人设置界面打开“实名认证”，选择身份证认证进入身份证认证界面。 4、在身份证界面输入相关信息，点击“确认”即可绑定身份证。 怎么样绑定qq号，就是绑密保一样不会被盗，绑后还可以在别的手机登陆这是不可能的。现在登录QQ，都是需要手机号验证的qq实名认证怎么解除绑定,提现不了在QQ钱包设置界面的实名认证中进行解绑。 那具体要怎么操作，我以手机为例教一下大家。 步骤1、点击手机桌面的QQ图标打开QQ 步骤2、点击左上角QQ头像 步骤3、点击[我的QQ钱包]进入钱包页 步骤4、点击右上角的设置图标 步骤5、点击[实名认证]进入实名认证页 步骤6、点击最下面的[账户更名] 步骤7、点击[知道了，继续] 步骤8、点击[确定]，完成解绑实名认证 此时QQ钱包账户也就被注销了，有余额的话记得先把钱提现再进行解绑操作 ...

如何保护自己的账号个人信息隐私安全不被泄漏近些年，网络上面的恶俗分子（开户人肉）越来越猖獗，许多人的户籍被开，然后被人肉，被黑现实，挂天堂网，注销社保卡等等，有许多无辜的人层出不穷的被开户被威胁，实在是很危险，其实呢，面对这种开户行为，我们可以尽可能的去做好安全保护开户最主要的是手机号泄漏，然后出机主，有了三要素之后（姓名，身份证，手机号）然后个户或者全家户籍，除了这个之后还有猎魔（模糊搜索）微反等等1、首先我们可以测试自己的QQ，用社工库查询Q绑，出不出的来，如果出的是自己现绑（现在QQ绑定的手机号）那就只能换个手机号了，然后旧的手机号进行注销，因为空号是出不来机主的2、社工库查不出来自己Q绑的，别窃喜，现在有穷举现榜技术，首先把自己QQ通讯录关掉，然后如果想高级别的安全可以去买国外的实体卡，可以接验证码的那种，绑定国外手机号，切记：千万别去接码国内外手机号，不然你QQ等着被盗吧3、现在还有查ip的技术，这种的话，很多不明网址千万别去点击，然后在自己的QQ权限设置那里，关闭定位服务（位置权限）4、面对微反呢，以后我们交易的时候，叫你发微信收款码，你别发普通的微信收款码，你可以发赞赏码，因为普通的微信收款码会被跑到微反5、面对猎魔这一技术，这是模糊查询，在网络上不要随意的泄漏自己的名字，具体地址要好的网友也不建议6、支付宝安全设置：点开设置，常用隐私，打开「加我好友时需要验证」，关掉公开姓名，关掉允许查看10条动态，关掉「手机号搜索以及转账」网友支付宝交易最好用「口令红包」支付7、QQ钱包最好注销了，因为不法分子可以通过QQ钱包查看你的实名，QQ钱包支付也没什么大用处8、微信设置个手机号不能搜索自己，以及钉钉之类的软件不要用自己的真名，设计平台都不建议用自己真名如果你手机号已经泄漏了，切记，一定要注销换新号，别用联通的运营商，因为开户开机主成本最低的就是联通，而且容易秒出来以上就是如何保护自己的个人信息不被泄漏的方法了，仅防范社交平台上的，按照这些方法去做，基本不会被出户籍，安全上网吧！...

男子为补贴家用竟然开4家黄色网站被抓 平时身边忠厚老实的同事，下班后竟秒变黄色网站管理员，一人挣两份工资，好一位斜杠青年！ 近日，山东淄博桓台县公安局网安大队破获一起涉嫌传播淫秽物品牟利案。捣毁4家黄色网站及论坛，缴获淫秽视频1.5余万部，黄色电子文档书籍2.3万余篇。 桓台县公安局网安大队接到群众举报，一个名为“可X书吧”的网站中存有大量的淫秽视频及黄色书籍，内容不堪入目。 网安大队组织开展案件侦查，经过深层挖掘及层层关联分析，最终锁定犯罪嫌疑人李某并将其成功抓获。 嫌疑人李某是当地某公司的一名小职员，长相忠厚老实，待人和善热情。 据李某供认，他靠每月的固定工资生活，手头较为拮据，家里经常因为钱的问题闹别扭，他就琢磨着干兼职补贴家用。 偶然间，李某想到了利用“专业特长”搞黄色网站的主意。 于是，他白天在公司上班，晚上利用自己所学的计算机编程知识，创办了4家淫秽色情网站及论坛，吸引会员充值，从中赚取高额利润。 就这样，李某瞒着家里，专心搞起了淫秽色情网站。他拿出比平时上班高2倍的热情，潜心研究分析其他网站的优点和劣势，然后在自己网站上改良实施。 为了抓住多数会员的心理和需求，他还创办了专门的交流论坛，耐心引导、探知、听取会员需求，及时在网站做出更新及调整…… 也就是说，网站、论坛的会员不仅能下载淫秽视频，还能传送资料、发表意见、交流沟通。 为了不被监管部门发现，他不断更换IP地址，开发专用浏览器，提供专门地址发布器，设置最新地址查询邮箱，租用境外服务器，还使用专门的文字转化图片工具将网址转化成图片格式。 经过他的不懈“努力”，月入过万不是梦，家里也不嫌他工资低了……李某以为自己做得天衣无缝，无懈可击，可做错事真的能逍遥法外吗？ 2022年11月14日，嫌疑人李某落网，4家黄色网站及论坛被捣毁，黄色致富梦，变成黄粱一梦。 目前，案件还在进一步侦办中。 美媒称2.35亿推特账号注册电邮地址遭泄露   2023年1月4日，美国《华盛顿邮报》披露，社交媒体平台推特2.35亿个用户账号以及注册这些账号所用的电子邮件地址被公布在一个线上黑客论坛上。 网络安全专家称，被泄露账号持有者面临真实身份被曝光、受勒索威胁、电邮密码遭篡改、电邮遭窃取等风险。专家提醒，如果这些用户注册推特账号使用的是一次性或仅用于推特的电邮地址，则风险较低，但仍可能遭“钓鱼式”诈骗或窃取。 报道称，以色列网络安全情报企业“哈得孙岩石”公司共同创始人阿隆·贾勒在一个热门网络“黑市”发现这批账号遭泄露。据分析，黑客可能于2021年底收集到上述账号信息，利用推特系统一个漏洞，即允许外部人员检索关联某个电邮或手机号信息的推特账号，借以获取大量资料。 去年7月，曾有黑客出售大约540万个推特账号及相关电邮地址和手机号。推特当时称，那是它首次得知上述系统漏洞遭人利用。 推特说，它在2021年中更新系统编码时偶然引入该漏洞，去年1月经由漏洞发现奖励项目获知相关问题，后来修复该漏洞。贾勒说，几乎可以肯定近期发现泄露的更大批数据以同种方式被收集，被公布前已私下流传和叫卖一段时间。...

数字化时代，数据已然是一种战略资源，是企业发展经营的“催化剂”，企业拥有的数据规模以及数据处理能力，决定其是否具备核心竞争力，因此数据成为了网络犯罪分子眼中的“摇钱树”。 从 Ponemon 发布的《2022 年数据泄露成本报告》来看，2022 年，企业遭受数据泄露事件的平均成本高达 435 万美元，创下历史新高，如此高昂的犯罪回报，难怪许多网络犯罪分子趋之若鹜。 数据泄漏渗透到社会各领域，通过盘点 2022 年全球披露的数据泄露事件，发现政府机构、关键基础设施、跨国集团、金融业、全球性公益团体、国防机构、航空业、农业、工业、教育机构，医疗等行业成为数据泄露重灾区。值得一提的是，二次数据泄露发生率接近 50%，造成直接和潜在损失达万亿美元级，十数亿人的数据信息受到安全威胁。 数据泄漏愈演愈烈，传统防火墙、反病毒软件、入侵检测技术等信息安全防护措施已难以独立应对。此外，安全人员不仅要应对网络犯罪分子，还要与“内鬼”斗智斗勇，从 2022 年发生的数据泄露案件来看，涉及到内鬼占有相当一部分比例。 随着黑客攻击手段不断优化，攻击方法持续迭代，再加上逐步形成的上下游产业化，数据泄露的成本不断降低，社会各团体面临的数据安全形势日渐严峻。 一边是网络犯罪分子之间紧密合作，逐渐向组织紧密、技术性高、目标针对性强、团伙间密切配合方向演变，一边是各组织内部防御措施不到位，部门之间相互指责、相互甩锅，此消彼长，2022 年数据泄露事件频频发生。 本文按照时间线梳理出 2022 年全球重大数据泄露事件 TOP 100，希望能给企业接下来的数据保护和安全建设带来一些帮助。 1  月 在线预订服务平台 FlexBooker 超 370 万账户数据泄露 Security Affairs 网站披露，在线预订服务平台 FlexBooker 遭到黑客入侵，超 370 万账户数据信息泄露，被盗数据信息在暗网上被出售。 大量美国和加拿大国民的财务数据遭曝光 Website Planet 网络安全人员发现一个配置错误的数据库，经详细分析后发现该数据库暴露了约 82 万条美国和加拿大民众的信息记录，其中约 60 万条是客户信用记录。 红十字国际委员会遭网络攻击，超 50 万用户数据泄露 红十字国际委员会遭遇网络攻击，超过 50 万用户的个人机密信息泄露，这些数据来自世界各地至少 60 个红十字会和红新月会国际联合会。 印尼央行遭勒索软件袭击，超 13GB 数据外泄 印尼央行遭 Conti 勒索软件袭击，内部十余个网络系统感染勒索病毒。据勒索团伙称，已成功窃取超过 13GB 的内部文件，如印尼央行不支付赎金，将公开泄露数据。 OpenSubtitles 近 700 万用户的信息泄露 2021 年 8 月 OpenSubtitles 遭到网络攻击，共 6783158 个用户的个人信息遭到泄露，在支付赎金后，攻击者还是在次年 1 月 11 日公开了被盗数据。 Kronos 遭勒索攻击，Puma 疑似遭受数据泄露 北美劳动力管理服务提供商之一的 Kronos 遭到勒索软件攻击，体育用品制造商彪马也遭到了数据泄露。 2  月 渥太华卡车司机抗议活动捐赠网站现安全漏洞，捐赠者数据遭曝光 渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站修复了一个安全漏洞，该漏洞暴露了部分捐赠者的护照和驾驶执照。 克罗地亚电话运营商数据泄露影响 20 万名客户 克罗地亚电话运营商“A1 Hrvatska”披露了一起数据泄露事件，约 10% 的客户（大约 20 万人）的个人信息遭到泄露。 Beetle Eye 漏洞泄密 700万人 Beetle Eye是一家提供在线工具帮助营销人员开展电子邮件营销活动的公司，由于 AWS S3 存储桶未进行任何加密且配置错误，导致Amazon S3存储桶处于打开状态，泄露了大约 700 万人的敏感数据。 加利福尼亚州律师协会发生数据泄露 在一个汇总了全国法院案件记录的公共网站上出现数十万份机密律师门徒记录。虽然无法访问完整的案件记录，但事件中泄露的数据包括案件编号、档案日期、案件类型、案件状态以及被告和投诉证人的姓名。 PayBito 加密货币交易所遭受网络攻击，大量数据信息被盗 LockBit 勒索软件团伙声称从 PayBito 加密货币交易所盗取了大量客户数据。此次网络攻击中，该勒索软件团伙成功窃取一个数据库，其中包含来自全球 约 10 万多名客户的个人数据信息。 被俄罗斯黑客入侵长达一年，美国防承包商敏感信息失窃 美国情报部门披露俄罗斯国家黑客已经网络入侵美国国防承包商长达一年，获取敏感信息并深入了解美国的国防和情报计划及能力。FBI、NSA 和 CISA 透露，自 2020 年 1 月以来，俄罗斯黑客组织已经入侵了多个国防承包商（CDC）网络，在某些情况下，至少持续了六个月，定期窃取数百份文档、电子邮件和其他数据。   3  月 黑客泄露 190 GB 三星数据源代码 三星电子遭黑客组织攻击，导致大量机密数据外泄。据悉，该批资料近 190 GB，被拆分为三个压缩文件，通过点对点网络供外界下载。 申请系统漏洞，日本 6 万份外籍入境者信息遭泄露 据日本共同社报道，鉴于日本政府放宽新冠病毒边境口岸措施，在线办理技能实习生和留学生等入境申请手续的厚生劳动省专用系统“ERFS”存在漏洞，最多约 6 万人份的外籍入境者姓名、出生年月日、护照号码一度处于入境申请者可以阅览的状态。 英伟达 71000 名员工凭证被泄露 英伟达承认攻击者从其系统中窃取了员工密码和未披露的英伟达专有信息。勒索软件团伙 Lapsus$ 已在 Telegram 页面上泄露了 71000 名 Nvidia 员工的凭据。 轮胎公司普利斯通美洲遭受 LockBit 勒索软件攻击，部分数据泄露 LockBit 勒索软件团伙声称对世界上最大的轮胎制造商之一普利斯通美洲公司(Bridgestone Americas)发起了网络攻击，并泄露了其大量数据。 日本电装德国分部大量机密数据被黑客窃取 丰田汽车旗下零部件制造商日本电装宣布，其德国当地法人受到了网络攻击，公司确认其网络感染了勒索软件，遭窃取数据 1.4TB，文件超过 15 万 7 千份，内容为设计图、订购书扫描件、邮件和打印机的印刷数据等。 俄罗斯管道巨头 Transneft 遭网络攻击，79GB 数据泄露 国际黑客组织匿名者（Anonymous）声称，它成功入侵了 Transneft 研发子公司 Omega ，共窃取了其79GB 的电子邮件信息。 南非公民征信数据全泄露，美国巨头将赔偿超百亿元 美国征信巨头 TransUnion 的南非公司遭巴西黑客团伙袭击，5400 万消费者征信数据泄露，绝大多数为南非公民。 俄罗斯参战军人个人信息疑泄露，网络战愈演愈烈 乌克兰媒体《乌克兰真理报》 在其网站发布了在乌克兰作战的 12 万俄罗斯军人的个人信息，称这些信息由乌克兰国防战略中心获取，来源可靠。 37GB 微软的源代码泄露 Lapsus$ 黑客组织泄露了微软 37GB 的源代码，这些代码与包括 Bing 和 Cortana 在内的数百个项目有关。 雀巢遭 Anonymous 组织攻击， 致 10GB 敏感资料外泄 匿名者黑客组织在推特账户上发布了瑞士饮品和食品巨头雀巢公司的一份数据库，约有 10GB 敏感数据泄露，包括公司电子邮件、密码，以及与商业客户相关的数据。 Anonymous泄露从俄罗斯央行窃取的28GB数据 Anonymous组织通过其推特账号向外披露了28GB从俄罗斯央行窃取的数据信息。 Elephant Insurance Services 遭受勒索软件攻击，数百万人数据信息泄露 Elephant Insurance Services在3月底遭遇的一起网络安全事件可能涉及到与数百万保单客户相关的信息，入侵者可能获取了包括姓名、驾照号码和出生日期在内的信息。 4  月 纽约 82 万名学生的个人数据被曝光 在线评分和考勤系统 Illuminate Education 遭攻击，黑客获得了约 82 万名纽约市公立学校学生个人数据库的访问权限。 Lapsus$ 再出手，泄漏 Globant 软件公司 70GB 数据 Lapsus$ 黑客组织宣布成功攻陷了 Globant，并在网络上泄露了大约 70GB 的被盗数据，Globant 是一家位于卢森堡的软件开发咨询公司。 俄罗斯外卖应用发生数据泄漏，其中包含秘密警察电话地址和用餐习惯 俄罗斯外卖平台 Yandex Food 的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示 美国呼吸道护理厂商 SuperCare Health 发生数据泄露，影响 30 万人 美国呼吸道护理供应商 SuperCare Health 披露了一起数据泄露事件，导致 30 多万人个人信息泄露。 匿名黑客入侵俄罗斯文化部并泄露 446 GB数据 黑客组织 Anonymous 入侵了俄罗斯文化部，并通过 DDoSecrets 平台泄露了来源于文化部的 446 GB 数据。 MetroHealth 数据泄露涉及 1700 名患者 MetroHealth 在最近的一份声明中宣布，11 月 13 日，在对卫生系统的电子病历系统进行升级的同时，无意中披露了 1700 份患者记录。 可口可乐遭黑客入侵，161GB 数据被盗 黑客组织 Stormous 声称成功入侵可口可乐公司，并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户，然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Cash App 数据泄露事件影响超八百万客户 Cash App Investing 遭遇了网络网络攻击，一名前员工在未经许可的情况下，下载了公司内部的报告，这可能导致超过 800 万 Cash App Investing 客户的个人数据遭到泄露。 5  月 宜家加拿大发现数据泄露，影响 95000 名客户 宜家表示，在涉及约 95000 名客户的个人信息的大规模数据泄露事件后，立刻通知了加拿大隐私监管机构。 行车记录全暴露，高合汽车陷隐私泄露风波 汽车博主爆料称，高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号，并读取这些汽车行车记录仪内容。有资深律师表示，行车记录仪收集的画面包括车外人员的个人信息，高合汽车向其他车辆提供其采集的音视频信息是违法的，应将涉及车外人员的画面进行删除或匿名化处理。 加拿大空军关键供应商遭勒索攻击，疑泄露 44GB 内部数据 加拿大、德国军方的独家战机培训供应商 Top Aces 透露其已遭到 LockBit 勒索软件攻击。随后，LockBit 团伙官方网站也已经放出要求，如不支付赎金将公布窃取的 44GB 内部数据。 ElasticSearch 服务器配置错误，暴露 579GB 用户网站记录 Hackread 资讯网站披露，两台配置错误的 ElasticSearch 服务器共暴露了 3.59（35 9019902）亿条记录，约 579 GB。 俄克拉荷马城印第安人诊所数据泄露事件影响4万人 俄克拉荷马城印第安诊所 (OKCIC) 宣布其遭遇了一次网络安全事件，共泄露了 40000 人的个人身份信息 。 制药巨头遭受数据泄露，影响了 360 万客户 药房零售商 Dis-Chem 遭受数据泄露事件，360 万客户的个人详细信息数据可能泄露。 Verizon 员工信息泄露，被索要 25 万美元 据 Motherboard 报道，一名黑客获得了 Verizon 的一个数据库，其中包含数百名 Verizon 员工的全名、电子邮件地址、公司 ID 号和电话号码。 赞比亚银行遭到勒索团伙Hive的攻击，部分数据泄露 赞比亚央行遭Hive勒索软件团伙攻击，银行的部分信息技术应用中断服务，包括外汇管理局监控系统和网站，部分测试数据可能被泄露，赞比亚银行表示，不会向Hive勒索软件团伙支付赎金。 因勒索软件攻击，芝加哥公立学校50万学生数据遭泄露 美国芝加哥公立学校发生了一起大规模的数据泄露事件，近 50 万名学生和 6 万名员工的数据遭泄露，这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。 6  月 南非总统的个人信贷数据泄露，该国已沦为“黑客乐园” 黑客团伙 SpiderLog$ 公开窃取了南非总统 Cyril Ramaphosa 自 2000 年代在国内四大银行之一的贷款详细记录，该团伙称，南非已经成为黑客乐园，任何人都能轻松绘制出南非数字基础设施分布，甚至包括国防/国安等敏感系统。 土耳其航空公司泄露 6.5TB 航班和机组人员信息 土耳其航空公司飞马航空（Pegasus Airlines）发生了极为严重的数据泄露，原因是其 AWS 云存储桶未受保护，在该存储桶中发现了近 2300 万个文件，总计约 6.5TB 的数据，其中超过 320 万个文件包含敏感的飞行数据。 匿名者泄露 1TB 俄罗斯顶级律师事务所数据 Anonymous 再次袭击俄罗斯，泄露了一家名为 Rustam Kurmaev and Partners (RKP Law) 的俄罗斯顶级律师事务所大约 1TB 数据。 澳大利亚交易巨头 ACY 证券暴露了 60GB 的用户数据 总部位于澳大利亚悉尼的贸易公司 ACY Securities (acy.com) 在网上公开了大量用户和企业的个人和财务数据供公众访问。 MyEasyDocs 暴露了 30GB 的以色列和印度学生 PII 数据 MyEasyDocs 是位于印度钦奈的在线文档验证平台，其 Microsoft Azure 服务器暴露了超过 57000 名学生的数据。 Travis CI数以万计开源项目开发账户遭大规模泄露 流行的持续集成开发工具 Travis CI 发生大规模账户泄露，超过 7.7 亿条 Travis CI 免费版用户日志数据以明文方式泄露。其中包含大量敏感机密信息（开发令牌、云服务凭证等），包括 Github、Docker 的数以万计的开源项目开发账户受到影响。 Flagstar 银行披露了影响 150 万客户的数据泄露事件 根据发送给暴露客户的数据泄露通知，Flagstar 在 2021 年 12 月发生了一起安全事件，入侵者攻入银行的公司网络，盗取了 150 万客户的数据信息。 希尔兹医疗集团 数据安全漏洞 200万人 总部位于美国马萨诸塞州昆西的希尔兹医疗集团（Shields Health Care Group）报告称，集团正在调查一个数据安全漏洞，该漏洞可能影响数十个地区医疗机构约200万人。 非洲最大连锁超市遭勒索团伙敲诈：600GB 数据失窃 非洲最大连锁超市 Shoprite 披露了一起安全事件，部分地区客户受影响，姓名、身份证号等信息失窃。事件发生后，勒索软件团伙 RansomHouse 声称对此负责，称已窃取 600GB 数据，要求支付赎金。 7  月 AMD 遭遇网络攻击，450GB 数据被盗 黑客组织 RansomHouse 宣布从 AMD 公司窃取到 450GB 数据，并表示该公司使用了例如 password的弱密码保护其网络，AMD 表示正对此安全事件展开调查。 日本 46 万信息 U 盘丢失，官员道歉 日本尼崎市工作人员因醉酒丢失包含 46 万日本公民的姓名、住址、交税金额等敏感个人信息的 U 盘一事引发关注。该市官员召开记者会公开道歉，却又不慎透露 U 盘密码位数和组成，引发网友群嘲。 学习通数据疑泄露，如何被窃取？平台要担何责? 学习软件超星学习通的数据库信息疑似被公开售卖，其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息 1.7273 亿条，含密码 1076 万条。 酒店巨头万豪证实其发生数据泄露事件 酒店巨头万豪国际集团证实其遭受了一起数据泄露事件，黑客们声称窃取了 20 GB 的敏感数据，其中包含了客人的信用卡信息。 黑客公布伊朗钢铁制造企业近 20GB 绝密文件 攻击三家伊朗钢铁制造企业的黑客组织 Predatory Sparrow 发布了近 20GB 绝密数据，其中包含公司文件，这些文件揭示了这些设施与伊朗强大的伊斯兰革命卫队的隶属关系。 Mangatoon 泄露了 2300 万个账户的数据信息 漫画阅读平台 Mangatoon 遭遇数据泄露，黑客从不安全的 Elasticsearch 数据库中窃取了属于 2300 万用户帐户的信息。Mangatoon 是一款非常受欢迎的 iOS 和 Android 应用，被数百万用户用来阅读在线漫画漫画。 Kaiser医疗集团泄露了近 7 万份医疗记录 Kaiser 公司透露，由于 4 月 5 日的电子邮件泄露事件，该公司遭受了一次大规模的数据泄露，可能泄露了近 7 万名患者的医疗记录。 PFC 承认遭勒索软件攻击 191 万患者信息被泄露 PFC（Professional Finance Company,Inc.）是一家总部位于美国科罗拉多州的债务催收公司。PFC 虽然在美国的知名度并不高，但它服务于数百家美国医院和医疗机构，因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。 允许用户购买“无疫苗精子/卵子”的反疫苗约会网站 Unjected 被爆数据泄露 一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现用户数据泄露事件,该网站名为 Unjected，成立于 2021 年 5 月，声称是互联网上“最大的反疫苗平台”。 意大利税务局遭勒索软件攻击，近 100GB 数据泄露 意大利当局正在调查税务机构 l’Agenzia delle Entrate 遭遇的数据被盗事件。勒索软件团伙 LockBit 3.0 在其网站上发布通告，称已经从意大利税务局窃取到 100GB 数据，包括企业文件、扫描副本、财务报告及合同。 8  月 黑客组织公开 2TB 电子邮件，揭露南美洲多家矿业公司内幕 一个黑客团体发布了来自中美洲和南美洲多家矿业公司的超过 2TB 的被黑电子邮件和文件，该组织自称 Guacamaya，共发布了来自五家公共和私营矿业公司以及两个负责环境监督的公共机构的文件。 员工被钓鱼，云通讯巨头 Twilio 客户数据遭泄露 云通讯巨头Twilio 表示，有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。 电子邮件营销公司 Klaviyo 被攻击，数据已泄露 电子邮件营销公司 Klaviyo 遭遇网络攻击，黑客通过网络钓鱼攻击窃取员工的凭据后获得了对内部系统的访问权限并盗取大量数据，被盗数据包括客户的姓名、地址、电子邮件和电话号码。 思科遭到网络攻击，2.8GB 数据被盗 思科官方证实“阎罗王”勒索软件集团入侵了其公司内部网络，攻击者声称窃取到 2.75GB 数据，约 3100 个文件，其中不少文件为保密协议、数据转储和工程图纸。 错误配置的 Meta Pixel 暴露了 130 万患者的医疗保健数据 美国医疗保健提供商 Novant Health 披露了一起影响 1362296 人的数据泄露事件，这些人的敏感信息被 Meta Pixel 广告跟踪脚本错误地收集了。 印度阿卡萨航空公司承认存在安全漏洞，导致 34533 条用户信息暴露 印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障，导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特（Ashutosh Barot）发现的，其中包括客户全名、性别、电子邮件地址、手机号码等等。 美国外卖巨头 DoorDash 发生数据泄露事件 华尔街日报报道，DoorDash 报告了一起数据泄露事件， 涉及该公司的用户和配送员等信息，其中涉及到部分用户姓名、地址和电话等详细信息。 学生贷款机构泄露了 250 万条贷款记录 教育金融公司和俄克拉荷马州的学生贷款管理局（OSLA）正在通知 250 多万贷款人，他们的个人数据在一次网络攻击事件中被泄露。这些被曝光的信息包括姓名、家庭住址、电子邮件地址、电话号码和社会保险号码。 俄罗斯流媒体巨头遭恶意攻击，涉及 210 万中国用户数据泄露 俄罗斯流媒体巨头 START 某个 MongoDB 数据库暴露在公网，约 72GB 大小的 4400 万用户数据遭恶意黑客窃取，其中包括 210 万中国用户。 北美国家政务机构遭勒索软件攻击，内部数据全部泄露 北美洲多米尼加共和国农业部下属机构 IAD 遭量子（Quantum）勒索软件攻击，所有服务器被加密，内部信息全部泄露。Quantum 团伙窃取了超过 1TB 数据，威胁索要 65 万美元，否则将公布窃取数据。 法国综合防御公司 MBDA 遭黑客攻击，泄露 80GB 机密信息 欧洲导弹系统公司法国综合防御公司 MBDA Missile Systems 遭到勒索攻击，网络犯罪分子声称已经将80GB 数据出售给了至少一位买家。 9  月 三星承认泄露了部分美国客户的详细信息 三星表示其经历了一起网络攻击，黑客能够访问某些数据，例如部分美国用户的姓名，联系人和人口统计信息，出生日期以及产品注册详细信息。 美国航空公司披露了数据泄露事件 美国航空公司披露了一起数据泄露事件，入侵者可以访问帐户中包含的敏感个人信息，但该公司的数据泄露通知指出，它不知道任何滥用暴露数据的情况。 澳大利亚 Optus 遭受重大网络攻击，多达 900 万用户受影响 Optus 透露它受到了一次网络攻击，导致当前和以前客户的信息被非法获取，包括姓名、出生日期、机密身份证件和电子邮箱地址。 Swachh City 平台遭受数据泄露，涉及 1600 万条用户记录 名为 LeakBase 的攻击者共享了一个数据库，其中包含据称影响印度投诉补救平台 Swachh City 的 1600 万用户的个人信息。 信阳师范学院曝“学信网信息泄露” 河南省信阳师范学院被曝“学信网信息泄露”，导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告，学校有关部门已于9月19日上午向信阳市五星乡派出所报案，并立案调查。 葡萄牙武装总参谋部遭网络攻击，数百份北约机密文件泄露 Security Affairs 网站披露，葡萄牙武装部队总参谋部（EMGFA）遭到网络攻击，黑客窃取了大量北约机密文件，直到美国发现几百份文件在暗网上出售并通知葡萄牙相关机构，后者才意识到自身遭受了网络袭击。 10  月 香格里拉酒店遭黑客入侵，29 万港人个人信息受影响 香格里拉酒店集团的网络系统于今年 5 至 7 月受到黑客攻击，旗下三间位于香港的酒店，客户的个人资料包括姓名、电话、通讯地址等外泄。 近 30 万丰田车主数据疑遭泄露 丰田发现 T-Connect 网站源代码的一部分被错误地发布在 GitHub 上，其中包含存储客户电子邮件地址和管理号码的数据服务器的访问密钥，这使未经授权的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期间访问 296019 名客户的详细信息。 2K Games 称，被黑客窃取的数据现已在网上出售 视频游戏发行商 2K 向用户发送电子邮件称，他们被黑客窃取的信息已经在网上出售，并且已经被用于网络钓鱼攻击。 英特尔第 12 代Alder Lake CPU 的源代码据称在黑客攻击中被泄露 芯片制造商英特尔已证实其 Alder Lake CPU 相关的专有源代码已被泄露，攻击者在 4chan 和 GitHub 上发布了该源代码，泄露文件大小约 6GB。 Shein 母公司因数据泄露向纽约州支付 190 万美元 据 The Verge 报道，超快速时尚品牌 Shein 和 Romwe 背后的公司将向纽约州支付 190 万美元，因为数据泄露影响了数百万客户。 RansomExx 泄露了 52 GB 巴塞罗那健康中心数据 一个勒索软件团伙表示，它发布的信息包括医疗检查结果和从巴塞罗那医院系统窃取的身份证，该医院系统每年为超过 100 万患者提供服务。 黑客称从英国一保险公司窃取了 1.4TB 数据 勒索软件组织 LockBit 在其泄密网站上发布了 保险公司 Kingfisher Insurance 的名字，称被盗数据包括员工和客户的个人详细信息。 澳大利亚零售巨头泄露 220 万用户数据，并被黑客在线出售 据 Security affairs 等网站消息，澳大利亚零售巨头 Woolworths 披露了近期旗下子公司 MyDeal 一起影响 220 万用户的数据泄露事件，攻击者已在黑客论坛上发帖出售被盗数据。 汤森路透收集并泄露了至少 3TB 的敏感数据 跨国媒体集团汤姆森路透(Thomson Reuters)留下了一个 3TB 的开放数据库，其中包含敏感的客户和企业数据，包括明文格式的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。 中国台湾省全岛个人信息被放在网上兜售，经调查至少 20 万条真实 某黑客在国外论坛“BreachForums”上出售20万条中国台湾省民众的个人资料，并声称拥有台湾省 2300 万民众的详细信息。在售的 20 万条信息所有者主要集中在宜兰地区，且信息全部吻合，县长林志妙、民进党立委陈欧珀的个人信息也在其中。 11  月 黑客成功入侵乌军战场指挥系统，战场数据泄露 黑客组织“Joker DPR”宣称已成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序，包括可接入北约 ISR 系统的美国Delta数字地图战场指挥系统。 俄黑客组织披露乌军总司令大量信息 俄罗斯黑客组织“顿涅茨克小丑”，成功黑入了乌克兰武装部队总司令扎卢日内的个人社交账号，并下载了大量聊天记录与信息，随后这位武装部队总司令的各种丑闻就被爆料了出来。 乌克兰“网军”入侵俄罗斯央行，公布大量敏感数据 乌克兰黑客分子称已成功入侵俄罗斯中央银行，并窃取到数千份内部文件。外媒审查了公开发布的部分“被盗”文件，总计 2.6 GB，包含 27000 个文件。从内容上看，这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客出售 720 万用户记录后，Whoosh 确认数据泄露 黑客开始在黑客论坛上出售包含 720 万客户详细信息的数据库后，俄罗斯踏板车共享服务 Whoosh 确认发生数据泄露。 勒索软件团伙公布法国军工巨头泰雷兹内部敏感数据 法国航空航天、国防与安全巨头泰雷兹集团发布声明称，勒索软件团伙LockBit 3.0公布了与该公司有关的数 GB数据，但集团自身并未发现IT系统遭受入侵的证据。 索尼、雷克沙等闪存设备加密提供商泄露敏感数据，一年有余 索尼、雷克沙、闪迪等 USB 设备的加密解决方案提供商—荷兰软件公司 ENC Security 被曝出泄露配置和证书文件长达一年多。 宜家商场数据被勒索团伙发布至网站 勒索团伙 Vice Society 在其网站上发布了从摩洛哥和科威特的宜家商场盗取的数据，从公布的数据推测，其掌握了机密业务数据。   12  月 印度外交部泄露外籍人士护照详细信息 Cyber news 研究团队表示，印度外交部专门负责对外联络海外印度侨民的平台 Global Pravasi Rishta Portal 泄露了敏感数据，包括用户个人姓名和护照详细信息。 全球超过 500 万人的数据在机器人市场出售 立陶宛 Nord Security 公司的研究报告指出，全球有超过 500 万人的数据在被窃取之后放在机器人网络上售卖。 蔚来汽车用户数据泄露，被勒索 225 万美元比特币 2022 年 12 月，蔚来公司收到外部邮件，发件人表示拥有大量蔚来内部数据，并以泄露数据勒索 225 万美元（当前约 1570.5 万元人民币）等额比特币。经初步调查，被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。 LockBit 黑客组织盗取了加州财政部数据信息 LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据，加州网络安全情报中心（Cal-CSIC）已着手调查此次网络攻击事件。 扫地机器人拍摄的私密照片被泄露到网上 扫地机器人公司 iRobot 证实有美国之外的零工在社交网络上泄露了机器人拍摄的照片，其中包括有女性在厕所。iRobot 称泄露的照片来自开发机器人，上面有明显的标记显示“视频在录制中”。 优步在供应商遭到攻击后遭遇新的数据泄露 优步遭遇了新的数据泄露，一名攻击者泄露了从第三方供应商窃取的员工电子邮件地址、公司报告和IT资产信息。...

就在马斯克宣布裁撤整个安全部门之后，Twitter再次传来一个重磅消息，超过540万条用户数据已经在暗网公开，并且免费共享给所有人。此外，安全人员还披露了另外一个可能泄露的，规模更大的数据库，其中包含了上千万条Twitter数据。 这些数据包含了大多数的公共信息，包括包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL；以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来，那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。   数据泄露6个月后才修复漏洞   根据国外媒体报道，2022年8月5日，Twitter在其隐私中心发布声明，确认此前被曝出的540万个账户信息泄露事件确实存在。 Twitter表示，之所以直接发布这一声明，是因为无法确认每一个可能受到影响的账户，因此无法单独向账户发送信息泄露警告。“拥有匿名账户的人需要尤其注意，他们可能会被政府或其他人锁定目标。”Twitter在声明中强调。 被黑客利用的漏洞是Twitter 在2021年6月更新时引入的：如果有人向Twitter系统提交一个电子邮件地址或电话号码，Twitter系统会回复相关联的账户信息。 2022年1月1日，网络安全平台Hackerone用户zhirinovsky报告了这一漏洞，并在Twitter的漏洞奖励计划中获得5040美元的奖励。根据报告，该漏洞对拥有私人或匿名账户的用户构成了“严重威胁”，可能被用来“创建数据库”，或通过大数据分析出Twitter的用户画像。 得知此事后，Twitter立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞，然而这已是漏洞被引入代码库的6个月之后。Twitter并未在隐私中心对此发表任何说明。 7月21日，媒体RestorePrivacy注意到一位新用户在黑客论坛上以3万美元出售Twitter数据库，称涉及540万用户，包括“从名人到公司”的用户数据。RestorePrivacy验证发现，受害者来自世界各地，这些被泄露的数据包括与Twitter账号绑定的电子邮件、电话号码、公开的个人资料信息，并可以与真实的人相匹配。 这已经不是Twitter第一次发生大规模数据泄露事件，2019年1月，Twitter披露了其修复的一个安全漏洞，而在此前四年多的时间里，该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起，并且经过长达六个月的时间才修复完成。 难怪马斯克一上任就裁掉了Twitter整个安全部门，作为全球大型社交平台之一，其安全能力属实无法令人满意。 数据泄露的远比想象中的多 但更糟糕的消息还在后面，免费共享540 万条用户数据的发布者称，这仅仅是Twitter数据泄露的一部分，他们还窃取了更多的用户数据。据悉这些泄露的Twitter数据已经达到千万级，其中包括使用相同 API 错误收集的个人电话号码，以及公共信息，包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。 Loder 最早在Twitter上发布了上述更大数据泄露的消息，发帖后不久他就被停职。Loder随后在Mastodon上发布了这个更大规模数据泄露的编辑样本 。 Loder分享更大漏洞的消息 有安全专家通过这个未知的数据库的样本文件，对其中信息的真实性进行了核实。结果发现，包括电话号码在内的信息全部都真实有效，这也从侧面证明了此次千万级数据泄露是真实存在的。 此外，这些用于核实的信息都没有出现在 8 月份出售的原始数据中，这说明 Twitter 的数据泄露比之前披露的要严重得多，而且攻击者之间流传着大量的用户数据。 安全专家Pompompurin表示，目前不知道是谁创建了这个新发现的数据转储，表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成，包括欧洲、以色列和美国。 有消息称这个泄露的数据库存储的信息量有可能达到2千万条，其泄漏量之大令人震惊，因此Twitter用户应提高警惕，仔细检查任何声称来自Twitter的电子邮件，避免陷入网络钓鱼攻击的陷进之中。 ...

通过手机号查他名字的两个方法 当你知道一个人的手机号的时候 要怎么样才能知道这个人叫什么呢？ 分享我知道的两个小思路 也是最简单的两个 （非社工裤，非违规违法办法） 1.通过在支付宝搜索他的手机号，可以看出来他名字的最后一位。 关键点来了啊！ 然后你可以通过给他转账1分钱，之后去自己的手机银行记录里，就会有全名。 2.直接在钉钉，这个软件里，搜他手机号，然后点击查看，就会显示出全名。 最后，在这个大数据的时代，大家的信息多多少少都会有泄漏。 在有人利用这些来威胁自己或者干一些违法的事情时， 还是希望各位能用好法律这个武器来保护自己。 不做违法违规的事情，做好好公民。 ...

01 漏洞标题 某信息平台敏感信息泄露 02 漏洞类型 信息泄露 03 漏洞等级 高危 04 漏洞地址 http://www.xxxxx.org.cn/ 05 漏洞详情 信息平台敏感信息泄露，可以直接获取所有高级专家的所有手机号。 专家库具体某一专家信息查看，可以在URL处直接看到手机号。 0x01 访问 http://www.xxxx.org.cn/ExpertView.aspx?id=3&username=13926041501 0x02 批量可以看到每条信息都携带了用户的详细手机号信息。 http://www.xxxx.org.cn/ExpertsList.aspx 涉及到的专家信息共有700多条信息，包含完整的姓名和手机号。 06 漏洞危害 此处可以批量获取到的专家信息共有700多条信息，包含完整的姓名和手机号工作地点，被攻击者获取后可以定点钓鱼等，存在极大的安全风险。 07 建议措施 敏感信息做脱敏处理，不反回手机号等敏感信息。 PS：本文仅用于技术讨论与分析，严禁用于任何非法用途，违者后果自负。 ...

最近在暗网监测到有人在卖华住的数据库，出售者说数据是当年的一手数据，只卖过一个人，并且还附上了测试数据链接。 如果数据真实，极有可能是2018年8月份的那次，当时的数据囊括华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。 这次数据表示全部资料共53G，1.23亿左右条记录。如果这份数据属实，并且被购买传播出去，又是一场风波了。下载地址是有的，但是不方便公布，请多包含啦！...

先看看我的"战绩"一）信息泄露漏洞的定义： 敏感数据包括但不限于：口令、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。 高校的信息泄露漏洞，是普遍存在的，而且比较严重，我接触到，低危的是身份证泄露，手机号泄露；高危的有密级是秘密的，管理员账号密码的。 我个人猜测漏洞存在的原因： 一般老师互传是有渠道的，老师与学生互传才没有渠道，因此需要借助站点，例如发公众号，推文。 为什么不用内网？因为大多数人用手机看。 二）如何操作？ 1.使用Google Hacking Google Hacking语法是个神器，我把他比喻成一把神剑，能斩到什么，就看你怎么用。 site:edu.cn 搜索所有主域名是edu.cn的链接 filetype:xls 搜索所有文件后缀是xls的链接 懂了一些没有？你还可以给他添加你想要的条件 site:edu.cn filetype:xls 手机号 （三个条件：搜索所有主域名是edu.cn的链接，并且文件后缀是xls的，也就是xls文件，并且搜索xls文件内容带有手机号的链接。） 我已经把思路教给你们了，至于怎么深入利用，还得自己移驾到百度搜索：Google Hacking语法 如果有看不懂这盘文章的，请你逐字逐句把第二步慢慢读一遍。 三）闻道 道阻且长，没有特殊的机缘，知道也只是知道，许多人到死都不会明白一切是怎么回事。 声明： 作者的初衷是分享与普及网络安全知识，若读者因此做出任何违法行为，后果自负，与原作者无关。 ...

公民个人信息泄露事件已屡见不鲜，近日，演员王一博称自己的个人信息被泄露，遭到疯狂骚扰，此类话题再次引发关注。 购买明星私人信息除了能够满足粉丝的猎奇心理外，粉丝可以根据这些信息掌握明星的行程，甚至可以订到与偶像邻座的机票，入住偶像所下榻的酒店以达到追星的目的，因此粉丝经济也助推了贩卖明星信息的非法产业链。对此律师表示，这种行为已经涉嫌触犯刑律中有关侵犯公民个人信息罪的内容。 近日，演员王一博发微博称自己电话号码被泄露，遭到粉丝疯狂骚扰，并贴出电话来电记录，引发公众关注。 ▲网上售卖的某明星个人信息。网络截图 实际上，明星艺人信息泄露已经不是第一次。记者调查发现，明星的各种个人信息在微博、微信、闲鱼等渠道被明码标价公开售卖，这些信息价格低廉，从几块钱到100元不等，500元能够打包购买上百位明星的信息。 广东中安律师事务所合伙人潘翔律师表示，粉丝经济助推了贩卖明星信息的非法产业链，“黄牛”违法售卖明星信息涉嫌侵犯公民个人信息罪。 ━━━━━ 艺人遭遇电话轰炸 8月3日晚上10时许，演员王一博发布微博称，因自己手机号被泄露，自己的生活受到了严重影响，呼吁粉丝不要再去打他的电话。 记者从王一博发布的截图中注意到，从8点09分到8点15分，6分钟内有4个电话进来。另一张截图显示，王一博的未接电话有194个。“别再打我电话了，也别再去买我的号码了”。王一博在微博中说。 微博一经发出迅速引发公众注意。截至8月4日晚间，该微博已经被累计评论36万。网友们纷纷留言表示心疼艺人，呼吁抵制干扰艺人正常生活的行为。同时也有不少网友发问，“明星的信息真的能买到吗？” 在微博输入“明星姓名+具体信息”的方式搜索，很容易就寻找到刷屏招揽生意的“黄牛”。 为了规避风险，这些黄牛大多选择微信交易。“微博只是用来引流的”。其中一位“黄牛”说。 资深追星族小颖（化名）告诉记者，明星信息的买卖在粉丝圈内早已是公开的秘密，而且成本并不高，“如果你想对爱豆（偶像）接送机，那就买他的航班号或者身份证号一查就知道。但是一般不会直接给爱豆（偶像）打电话，这种做法太激进了。” 记者调查发现，售卖明星信息的“黄牛”无孔不入，从航班、酒店、通告到音乐游戏账号、手机号、身份证号乃至户籍，明星信息被明码标价出售。这些信息价格低廉，从几块钱到100元不等，500元能够打包购买上百位明星信息。 ▲根据“黄牛”提供的明星信息，记者查询到了该明星预订的航班行程。网络截图 ━━━━━ 明星身份证信息可打包出售 除了微博，在闲鱼上也有不少售卖明星信息的“黄牛”。他们打着“相遇 相思 相见”的噱头，滚动发布着多位明星的航班动态、手机号、微信等信息。 所有的信息均以缩写代指，如sfz（身份证）、hb（航班）、sjh（手机号）、hj（户籍），一位“黄牛”告诉记者这样主要是为了规避风险，防止被平台封号。 记者随机咨询三位“黄牛”后发现，明星的身份证的价格从几元到几十元不等。记者随机询问了多名当红明星的身份证信息，黄牛表示打包售价100元。“500元买到上百位明星的身份证号”。 “买身份证号其实是为了获得航班信息。粉丝可以在机场查询系统直接搜到明星的乘坐的航班、起飞时间等信息，如果明星已经值机，还可以拿到他的座位号。这样你不仅可以送机，还可以买与明星相邻的座位。”小颖说。她曾经用这个办法购买了不少艺人的身份信息，并成功跟自己的偶像“肩并肩”地坐到了一起。 为了进一步核实出售明星信息的真实性，记者先后查询了王源、易烊千玺、王俊凯三位艺人的身份证信息。随后在机场值机平台输入后，果然查到了其中两位有行程安排的航班信息。 一位“黄牛”告诉记者，如果直接购买明星的航班信息每次只需要10元。 除了“黄牛”，在明星信息地下售卖链条中，还有一个名为“敲机子”的特殊群体。“如果你来不及去机场就可以找他们代为查询，然后发给你，每次只需要5块钱。”小颖说。 ▲“黄牛”向记者提供的明星信息。网络截图 ━━━━━ 明星手机号码30元一条 可售卖的明星艺人个人信息“十分丰富”，除了手机号、身份证号之外，明星游戏账号、户籍、入住的酒店也是售卖的热门信息。 记者联系到的另一位“黄牛”称，其所售卖的艺人手机号均绑定了支付宝或者微信，真实可靠，30元一条。黄牛随后提供了一名艺人的电话号码，随后通过支付宝验证属实。 同时，该“黄牛”还售卖有朱一龙、罗云熙、王鹤隶等近10位艺人的手机号码、QQ号等。 微信上一位“黄牛”向记者介绍，除了手机号码，他手里还有部分艺人的游戏账号和户籍信息。随后对方发来了易烊千玺的王者荣耀账号和肖战的绝地求生账号。 在一位卖家的标价中，吴亦凡的户籍信息只需要50元。 对方给记者发来的户籍照片显示，照片右上方为吴亦凡的素颜证件照，这张照片不仅包括吴亦凡的原名、身份证号、籍贯、家庭地址、文化程度，还包括他婚姻状况和兵役状况。 “酒店信息也是大家买得比较多的。”上个月，小颖和朋友通过“黄牛”顺利地购买到了艺人周震南在长沙下榻的某家酒店信息，并提前赶到蹲守，最终在周震南进出酒店期间“偶遇”成功。 “这些黄牛卖的信息基本上都是真的，因为一旦卖过一次假的，就没人再来找你买了。”小颖说。 这些私人信息是哪里来的？一位“黄牛”告诉记者，自己也是从上家那里拿到的，且招收代理，“代理费100元，拿货很便宜”。 ━━━━━ 律师说法 提供明星信息涉嫌侵犯公民个人信息罪 公民个人信息泄露的事件已屡见不鲜，有关部门也对此加以严厉打击。根据新京报此前相关报道，公民个人细信息泄露有的是相关数据管理人员“监守自盗”，有的则是一些网络黑客通过各种“黑客手段”盗取数据。有的黑客或将数据发布在网站上“炫技”，有的则出售贩卖。这些数据来源则是一些个人信息搜集单位，涉及教育、医疗等各个方面。 广东中安律师事务所合伙人、深圳国际仲裁院仲裁员潘翔表示，明星的个人信息往往来源于机票销售代理、酒店等公共服务单位或者此类单位的网络运营平台，粉丝经济也助推了贩卖明星信息的非法产业链。明星艺人的身份信息、电话号码、家庭地址、家庭成员情况、航班出行信息等均属于法律保护的公民个人信息。 潘翔介绍，向他人出售或者提供明星个人信息，情节严重的，涉嫌《刑法》规定的侵犯公民个人信息罪，判处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 而根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上；提供前述信息以外的公民个人信息5000条以上，或违法所得5000元以上等情况，均属于“情节严重”范畴。 ...

也是无聊的时候无意间逛见的，进入主题。 看到可能会想怎么进去，我就去百度搜了一下教务管理系统用户名和密码是多少 百度告诉我的答案普遍是账号是学号密码也是学号或者密码是123456, 接下来知道了那么我们该怎么去获取学号呢。 1.百度武汉xxxx职业技术学院学号 如图 接下来去试试此学号有无有用。 上面百度收集到的信息说是密码可能是学号也可能是123456 或者是别的试一试吧 运气不错进来了。那么就看看有没有别的信息了 我在学籍卡片处看到往下滑的时候看到了身份证号！！！ 这已经涉及到信息泄露了。 接下来，我们在试试别的学号看能否进。 以此学号 推断一下 学号：1113033 7位数 试试1113034 能否进去 依旧可以用进 推断密码默认学号。学号是用递进的方式形成的， 我们看到了图上所示 院系：智能制造工程系 专业：包装技术与设计 学制：3.0 班级：11级包装技术与设计1班 我们看到了这些 再看学号（学号是1113034） 注意到什么没 11级 一班正好对应学号前面的111 那么把111修改成 1513001试试看呢。 成功 密码依旧是学号，那么就可以以此类推，但是我在这次进15级的这个学生我发现了，地址也有了， 就到这了吧。 此学校泄露信息。有姓名，身份证，地址。证件照。 ...

去年4月初，相城公安分局漕湖派出所警方接到市民茅先生举报，称他的个人信息被泄露。随后警方对此展开侦查，竟牵出一个特大个人信息泄露案。 茅先生说，2017年9月底他在微信上购买了一次保健品，同时给了店家自己的姓名、手机号和收货地址。可没想到后面发生的事让他烦恼不已。不分时段、连续不断的骚扰电话让茅先生的生活受到影响，于是他选择了报警。 相城公安分局漕湖派出所经过侦查，确认茅先生信息遭泄露。随后侦查员会同苏州市公安局网监支队、相城公安分局网监大队在杭州市萧山公安的协助下，于去年4月中旬将隐匿在杭州市萧山区宁围镇振宁路的刘某等嫌疑人当场抓捕归案。经过多次对刘某的审讯，他交代了其通过QQ、微信等网络聊天平台向他人购买50余万条公民个人信息后，进行销售，获利人民币2万多元。 顺藤摸瓜，相城公安9个派出所分赴安徽、南京、湖北等地区，抓获嫌疑人20多名。其中，黄埭派出所民警在湖北省汉川市将主要犯罪嫌疑人何某抓获。民警当场查获手机两部、笔记本电脑两台、u盘三个以及两张身份证、两张银行卡。民警在查获的u盘里发现了300余万条个人信息数据。 随着刘某、何某的到案，一条贩卖公民个人信息的地下交易链逐渐显现。何某是湖北汉川的一家纺织厂的操作工，本可以安守本分老老实实过日子，但就因为一次夜宵改变了命运的轨迹。一天晚上，何某在吃夜宵时，无意中听到旁边桌的人说贩卖个人信息可以赚钱。何某动起了脑筋，也想尝试赚些快钱，于是他四处打定贩卖个人信息的方法。 按照别人传授的"经验"，何某搜索关键词进入到一些qq群中。这些qq群仿佛一个巨大的"信息黑市"，在这里可以随意买卖个人信息。群里铺天盖地的信息让刚加入qq群的何某吃了一惊。在群里寻找需要求购信息的客户，加他们私聊，再通过其他qq群寻找卖家进行交易。何某不止通过qq群贩卖个人信息，其他渠道获得的信息，他一概照单全收。 在一次饭局，何某认识了谢某，谢某给了何某一个u盘，说里面有很多"资料"。何某坦言，所谓的"资料"也就是个人信息。回到家中，何某在u盘中看到了大量个人信息数据，涉及数据老年保健数据、男性壮阳数据、快递数据、淘宝数据等。之后，何某在qq群中寻找有这些信息需求的目标客户，变卖数据。目前，等待何某他们的将是法律的制裁。 警方提示：大家应提高个人信息保护意识。注册账户时，"节约"使用个人信息，如必须填写个人信息，尽可能少提供个人信息。在一些平台注册时要多留心眼，谨慎注册，不随意连接陌生wifi，对个人信息保护引起足够重视。对企业来说，要加强企业内部监管，提升员工保密意识，严格企业保密制度。 ...