PDF《https://cert.360.cn》

700 万Uber 司机的个人信息以及

60 万份美 国司机驾驶证号码.不过 Uber 声称社会保障号、信用卡信息、交 通地理信息等其他数据并未泄露. 黑客攻击过程如下:两个攻击者访问了 Uber 软件工程师的 私有 Github 仓库并用从中拿到的登录凭证登录到了公司用来处理 计算任务的亚马逊 Web 服务账户上,并在这个账户的数据中发现 了乘客和司机的信息.接下来就是已知的勒索过程了. Uber 此次大规模泄露事件相比Yahoo、MySpace、 Target、Anthem、Equifax 等黑客入侵事件来说并不算严重, 但值得我们注意的是他们极端的问题处理方式:隐藏消息,而不是 公之于众.这是 Khosrowshahi 从前辈 Travis Kalanick 手中继 承Uber 后最近的一次丑闻. 各州和联邦的法律都有要求公司在敏感数据泄露发生时要通 知用户和政府部门.Uber 表示它有义务通知驾驶证信息被泄露的 司机用户,但可惜当时并没有做到. Kalanick 在六月时因投资者压力被迫辞掉 CEO 职位,投资 者认为他把公司置于严重的风险中.Uber 同时招聘了国家安全机 构的前法律总顾问 Matt Olsen,希望他能帮助公司重建安全队伍, 还请隶属于 FireEye 公司的 Mandiant 来协助调查这起事件. Uber 最终声明并没有证据表示此次事件的泄露数据被黑客利 用,并将为信息被泄露的司机提供免费的信息保护监控服务.

2017 年度安全报告――数据泄密

360 Computer Emergency Rediness Team, January

2018 10 事件

六、 绝密文件! 100G ! 泄露! NSA ! Amazon S3! 泄密纪录: 100G 数据 泄密指数:9.9 分 事件时间:2017 年9月事件回顾:近日, 据外媒报道称, 属于美国国家安全局 (NSA) 的一个高度敏感的硬盘驱动器的内容已经公开在了 Amazon Web Services 存储服务器上. 该虚拟磁盘镜像中包含了来自代号为 红色磁盘(Red Disk) 的陆军情报项目的超过 100GB 数据.分析显示,该磁盘 镜像属于美国陆军的情报和安全司令部――被称为 INSCOM,它 是隶属美国陆军和国家安全局的一个部门. 据悉,该磁盘镜像保留在非公开的 Amazon Web Services 存储服务器上,但却没有设置密码,这意味着任何发现它的人,都 可以通过政府秘密文件挖掘信息.本次数据泄露事件是由安全公司 UpGuard 的网络风险研究主管 Chris Vickery 于今年

10 月份率 先发现,并随即通报了相关政府机构这一违规行为的存在.随后, 该存储服务器已经得到了保护. 此次泄漏事件是政府机密数据的又一次大曝光.自2013 年 爱德华 ? 斯诺登(Edward Snowden)披露 棱镜门 以来, 美国国家安全局已经成为头条新闻的常客.今年年初,前NSA 合 同工 Harold Martin 就曾因在 Booz Allen Hamilton 任职期间盗 取国家文件及数据遭到

20 项刑事指控;

6 月份,另一名 NSA 合 同工 Reality Winner,又因涉嫌泄漏 NSA 关于 俄罗斯试图干 扰美国总统选举 的绝密级别(Top Secret level)文件而遭到 逮捕.

11 事件

七、五角大楼 AWS S3 配置错误,意外暴 露18 亿公民信息 泄密纪录:18 亿用户数据 泄密指数:9.2 分 事件时间:2017 年11 月 事件回顾:11 月22 日,据外媒报道称,美国五角大楼意外 暴露了美国国防部的分类数据库,其中包含美国当局在全球社交媒 体平台中收集到的

18 亿用户的个人信息. 此次泄露的数据为架在亚马逊 S3 云存储上的数据库.由于 配置错误导致三台 S3 服务器 可公开下载 ,其中一台服务器数 据库中包含了近