本文作者：补天漏洞响应平台、360安服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心

 国内机构重大数据泄露案例

（一）    某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息

2018年1月，某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看：某社区卫生服务中心工作人员徐某，掌握了某市“妇幼信息某管理系统”市级权限账号密码，利用职务之便，多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前，他累计非法下载新生婴儿数据50余万条，贩卖新生婴儿信息数万余条。

值得注意的是，在该案中，徐某仅是某市某社区卫生服务中心工作人员，却掌握了某市“妇幼信息某管理系统”市级权限账号密码。

从卫生系统“内鬼”徐某到公开出售信息的黄某，多名犯罪嫌疑人层层转手，组成了一条长长的新生婴儿信息倒卖链条。

（二）   某员工私自转让公司权限给朋友，致使30余万条医生数据泄露

2018年2月，某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看：武某任职某企业管理咨询（上海）有限公司广州分公司移动医疗顾问一职，拥有公司某应用系统的工作权限，通过其手机二维码可进入系统，内有大量医生信息。出于朋友情面和同情心理，遂把上述权限给了卢谋。

获得权限后，卢某找来“计算机技术很好”的大学舍友温某，卢某指使温某利用该权限通过计算机技术进入应用系统后台，盗取系统内的医生信息。

截至2016年10月11日，被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。

庆幸的是，被抓获时，温某尚未把爬取到的医生信息交给卢某。

（三）   合作公司员工泄露防伪数据700万条，某知名酒企损失超百万

2018年2月，某警方侦破了知名酒被仿造的案件。从防伪数据泄露的源头来看：蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理，在2014年4月至2016年9月期间，曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据，并将窃取出来的数据泄露给蔡某刚。

据法院审理查明，被蔡某拿披露数据量共计700余万条（可制作成700万瓶能够通过防伪溯源验证的假冒酒）。

但随着泄密事件发生，某知名酒企只得向其他公司重新采购防伪密管系统，并将原有防伪标签升级为安全芯片防伪标签，同时废弃前期采购的账户的人查看其他用户账户，大约有6000万美国邮政用户受该安全漏洞影响。

根据Kerbs on Security的报道，这个漏洞在一年前由一名独立的安全研究员首次发现，该研究员随后告知了美国邮政局，然而从未获得任何回复，直到上周Krebs以该研究员名义联系了美国邮政局。

（二十九）  南非再次遭遇数据泄露：近100万公民个人信息网上曝光

继2017 年南非遭遇一起大规模的数据泄露事故，2018年5月，这个国家又发生了一起数据泄露，导致 /response。

（四十一）  NAS配置不当，保险公司大量敏感数据泄露

2018年1月19日，UpGuard网络风险研究主任Chris Vickery留意到了美国马里兰联合保险协会（MDJIA），因为他发现了属于该保险协会的一个联网存储（NAS）设备，该设备通过一个开放端口与互联网连接，而它内含与协会IT运营的重要敏感数据。因存储设备的错误配置，将数千客户的信息泄露到网上。

与被泄数据存储一起被曝光的是JIA客户文件和声明的备份，包括客户姓名，地址，电话号码，生日以及社保号，支票扫描件，银行账号和保险单号。除了这些重要的客户信息，这次泄露还曝光了一个内部访问凭证数列，它原本用于管理和控制MDJIA协会的运营，包括远程桌面，邮件，第三方用户名和密码。

（四十二）  PayPal旗下移动支付服务Venmo默认公开用户交易信息（已遭滥用）

（四十三）  澳大利亚联邦银行遗失了1200万条用户银行数据

2018年5年，外媒BuzzFeed报道，澳大利亚第一大商业银行澳大利亚联邦银行（CBA）证实，包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带，在一次数据中心转运任务中被其分包商Fuji-Xerox丢失。其中至少包含1200万名用户的银行交易数据。

当银行意识到这起事件时，其委托三方统计公司毕马威（KPMG）进行过一次独立的剖析调查，以了解具体情况，并通知了澳大利亚信息专员办公室（OAIC）。毕马威（KPMG）在调查后发现存储带很有可能已被处置，很难寻回。

（四十四）  超2万张银行卡数据在暗网兜售，几乎涵盖巴基斯坦国内所有银行

2018年11月，据巴基斯坦GEO电视台报道，几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响，而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局（FIA）网络犯罪部门负责人的证实。

根据俄罗斯网络安全公司Group-IB最近发布的一份报告，其在暗网上发现一批数据，包含了超过2万张巴基斯坦银行卡的详细信息，而这些数据归属于在该国运营的“大多数银行”的客户。巴基斯坦PakCERT的专家认为，这些数据是通过银行客户的刷卡行为获得的。这些支付卡数据正在暗网出售，售价从100美元至160美元不等。

（四十五）  黑进上百家美国企业窃取1500万张信用卡记录，三名乌克兰黑客被捕

2018年8月，据外媒报道，三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到，该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍，这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC（美证券交易委员会）投诉文件展开。

现在，Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。

（四十六）  汇丰银行美国分部发生非授权访问和数据泄露

2018年11月，汇丰银行（美国）通知客户10月4日至10月14日期间发生了数据泄露，攻击者访问了访问该金融机构的在线账户。

泄露的信息包括：客户全名，邮寄地址，电话号码，电子邮件地址，出生日期，帐号，帐户类型，帐户余额，交易历史记录，收款人帐户信息以及可用的帐单历史记录。

为应对安全漏洞，汇丰银行的美国子公司暂停了在线账户访问以防止滥用。数据泄露后，汇丰银行加强了个人网上银行的认证流程，增加了额外的安全保障。

（四十七）  加拿大两家银行遭黑客勒索，9万名客户信息被盗

2018年5月，据加拿大《环球邮报》报道，两家加拿大银行——蒙特利尔银行（Bank ofMontreal）和网上银行SimpliiFinancial——都对外表示遭到黑客袭击，并且发出警告称，袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息，并威胁将公开这些数据。约9万名客户信息被盗，这可能是加拿大金融机构遭受的首次重大攻击。

蒙特利尔银行的发言人表示，事件之后收到了攻击者的威胁，称若不支付100万赎金就将公开被盗客户数据。此次两家银行遭受的袭击事件似乎是相关联的。该行表示，目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。

（四十八）  离职员工窃取客户联系人名单，SunTrust银行150万客户信息泄露

2018年4月，美国SunTrust银行证实，在一名离职员工偷窃了该公司的客户联系人名单之后，超过150万名客户的个人信息可能已经因此遭到泄露。

SunTrust银行的首席执行官William Rogers称，这属于团伙作案，这名离职的前员工通过与第三方合作成功对公司的客户联系人名单进行了盗窃。名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额。

Rogers表示，SunTrust银行正在积极配合第三方安全专家和执法部门进行事件调查。尽管调查工作仍在在进行中，但出于对客户负责，SunTrust银行正在主动通知约150万名客户。

（四十九）  美国征信公司信息泄露事件升级，新增240万受害者

2018年3，据报道，美国征信公司伊奎法克斯(Equifax)表示，关于2017年9月曝出的泄露了数百万顾客记录，包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

KrebsOnSecurity还表示，在他们与该公司取得联系后，该网站已在周一早些时候离线。而截止到这个时间，这起数据泄露事件至少已经持续了长达八个月的时间。

安全研究人员已在去年8月通知了该公司。当被问及到在2017年8月进行通报后直到现在以来，是否看到有任何迹象表明Panerabread曾试图解决这个问题时，Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾客记录，但该网站索引的增量客户数据表明，这个数字可能高于700万。

（六十九）  内鬼作祟！可口可乐承认8000名员工的个人信息被泄漏

2018年5月25日，据外媒 Bleeping Computer报道，可口可乐公司本周对外宣布了一起数据泄露事件，他们在前员工的个人硬盘中，发现了大量现有员工的个人数据，而这些数据，是该前员工从可口可乐违规挪用的。

这起泄漏时间从去年9月被发现，直到本周才对外宣布。事件影响8000可口可乐员工。目前，可口可乐正通过第三方供应商向受影响的员工提供一年的免费身份监测。

2018年7月，据多家国外媒体报道，B&BHG酒店集团（B＆B Hospitality Group）证实该集团在纽约市运营的9家餐厅所配备的销售终端（POS）被发现感染了恶意软件。初步调查结果显示，此次黑客入侵发生在2017年3月1日至2018年5月8日之间，黑客可能已经偷走了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息。

第三方网络风险管理平台公司CyberGRX的首席执行官Fred Kneip表示：“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平，这一点对于销售终端解决方案提供商来说尤其重要，因为他们能够访问所有的支付数据。”

2018年7月17日，据外媒 ZDNet 报道，Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司，目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供，涉及超过 15,500 条用户名、密码和文件名的数据。

（七十二）  云泄露最前线：巴西订阅视频服务Sky Brasil暴露32.7万用户信息

2018年12月4日，独立研究员Fabio Castro发现，巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息，包括28.7GB的日志文件和429.1GB的API数据，这些数据涉及姓名，家庭住址，电话号码，出生日期，客户端IP地址，付款方式和加密密码。

虽然Castro发现了这一事件后通知了Sky Brasil，公司随后也对数据库进行了密码保护；但其服务器至少从10月中旬就开始在Shodan上被编入索引，目前还不清楚数据库的访问者数量。

此次关于用户数据泄露的声明使得该公司的股票价格下跌了2.4%。据该公司称，此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。该运动装备制造商称，是在3月25日才发现的此次数据泄露事件，并从那时就开始通知受影响用户。

（七十四）  珠宝电商MBM公司130万客户信息泄漏，内含明文密码

最初，研究者怀疑这些数据归沃尔玛所有，因为这个存储桶被命名为“walmartsql”，不过后来他们通过分析后发现，这些数据的主人其实是 MBM 公司。在对泄露文档作了进一步评估后他们发现，这里容纳了超过 130 万人（准确来说是 1314193 人）的私人敏感数据。这些数据包含个人住址、email 地址、IP 地址和邮政编码，许多客户的密码甚至直接用明文显示，毫无安全性可言。

安全专家支招称，直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定，没有对密码进行加密更是不可饶恕。

（七十五）  俄罗斯视频监控公司iVideon数据泄露，涉及超过82万名用户个人信息

2018年5月14日，Kromtech安全中心的研究人员在最近发现，一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护，并向公众开放。

从数据库的内容来看，它似乎涵盖了iVideon公司的整个用户群，包括其用户和合作伙伴的登录名、电子邮箱地址、密码哈希值、服务器名称、域名、IP地址、子帐户以及软件设置和付款设置信息（并不包括任何信用卡数据）。有超过82万（825388）名用户以及132家合作伙伴受到影响。

（七十六）  神乎其神！北美某赌场因联网鱼缸漏洞被黑，客户信息全泄露

2018年4月17日，据报道，网络安全公司 Darktrace 的首席执行官 Nicole Egan 在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。

黑客利用了恒温器中存在的一个漏洞在网络中站稳脚跟，随后，其设法访问了赌徒中豪掷重金的人的数据库，“然后在网上拉回来拉出恒温器并拉向云。”尽管 Eagan 并未透露这家赌场的身份信息，但她分享的这次安全事件可能发生在去年。当时 Darktrace 公司发布了一份报告，说明了位于北美的一家赌场遭到了这类恒温器攻击。

（七十七）  MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据

2018年8月，据BleepingComputer报道，一个MongoDB数据库被发现可以通过互联网公开访问，其中包含了超过200万（2,373,764）墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

这个数据库是由安全研究员Bob Diachenko通过Shodan发现的，Shodan是一个搜索引擎，可以搜索所有联网设备，而不仅限于Web服务器。当被发现时，这个数据库完全暴露在互联网上，任何人都可以对其访问和编辑，因为它没有设置密码。“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道，从那以后就开始被广泛报道……不安全的数据库仍然大量暴露在互联网上，此类数据库至少有54,000个。”

2018年8月7日，据报道，澳大利亚SA Health在其官方网站上发布了一篇新闻稿，称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院（Womens and Childrens Hospital）因工作人员操作失误，意外暴露了约7200名儿童的医疗记录和个人资料。其中，包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料。

根据SA Health的说法，这些数据早在2005年就已经可以被公众通过互联网访问，直到在上周三有患者的父母在线注意到这些数据后，医院方面才得知了这一事件。这也意味着，这些数据已经在线暴露近13年！

2018年7月31日，最近的新闻报道显示，Blue Springs Family Care遭遇了勒索软件攻击，而被落入攻击者手里的数据达到了近4.5（44,979）万条。

在该公司的一封公开信中指出，攻击者可能获得了各种患者记录信息，这至少包括：患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊断和驾驶执照/身份证号码。

公开信还透露，2018年5月公司曾遭受勒索软件攻击。Blue Springs Family Care表示，他们已经与另一家电子健康记录提供商达成合作协议，而这个新的合作伙伴会对所有健康数据进行加密保护。

2018年5月22日，根据《巴尔的摩太阳报（Baltimore Sun）》在本周二刊登的一则报道，LifeBridge Health公司日前向近50万位患者发出通知称，他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。

根据LifeBridge Health官方的说法，这一事件最初是在今年3月份被发现的，当时他们在一台服务器上发现了恶意软件，而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。

LifeBridge Health通过电子邮件告知患者，根据第三方安全公司的调查结果来看，数据泄露最初开始于2016年9月27日，遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。

（八十一）  美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录

2018年4月，KrebsOnSecurity在上周五（4月20日）了解到，MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患。该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的，但事实证明任何互联网用户都可以对其进行访问。

MEDantex是一家总部位于美国堪萨斯州的医疗转录公司，它的主要业务即是为医院、诊所和私人医生提供定制的转录解决方案。KrebsOnSecurity表示，他们目前尚不清楚在MEDantex网站上具体有多少患者的医疗记录遭到了暴露，但其中一个被命名为“/ documents / userdoc”的目录包含了与2300多名医生相关的文件。目录以按字母顺序排列，每一个目录中都包含有不同数量的患者医疗记录，其中的Microsoft Word文档和原始音频文件都可以被下载。

（八十二）  挪威过半人口医疗数据疑遭泄漏，攻击者“高阶且专业”

2018年1月19日，挪威当地媒体报道称，负责管理挪威东南部地区医院的机构Health South-East RHF宣布网站遭泄露事件，超过290万用户，超过挪威（总人口520万）一半的人口可能受影响。该组织表示，挪威医疗部门的计算机紧急响应中心HelseCERT 发现来自 HealthSouth-East计算机网络的可疑流量；一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。

（八十三）  为防止再次发生泄漏事件，新加坡公共医疗领域电脑暂时“断网”

2018年7月23日，新加坡卫生部称，公共医疗机构使用的电脑已暂停接入互联网，防止类似新加坡保健服务集团（新保集团）数据库遭网络攻击事件再度发生。

新加坡公共医疗机构多项服务依靠互联网，切断工作人员所用电脑与互联网的连接可能延长等待时间，给病人带来不便。

据了解，新保集团数据库6月底开始遭网络攻击，大约150万名病人个人资料失窃，新加坡总理李显龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取，新加坡政府已成立独立调查委员会调查此事。

（八十四）  英国知名药妆店Superdrug近2万名顾客个人信息遭泄露

2018年8月24日，据报道，有黑客在本周一（8月20日）联系了英国知名药妆店Superdrug，称他们已经获得了大约2万名Superdrug顾客的详细个人信息。作为证据，黑客还向Superdrug展示了386名顾客的个人信息记录。

Superdrug号称英国第二大美容和健康零售商，占据英国30%市场份额。经过Superdrug的确认，被窃取的个人信息包括顾客的姓名、住址，以及部分顾客的出生日期、电话和积分余额。不过，Superdrug坚称被黑客窃取的凭证是从入侵第三方得来的，而并非通过入侵Superdrug的系统。之所以能够进一步获取到Superdrug顾客的详细个人信息，这是因为黑客利用了人们有在各种在线服务使用相同密码的习惯。

（八十五）  遭遇网络钓鱼攻击，美国奥古斯塔大学医疗中心泄露41.7万份记录

2018年8月21日，据报道，奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息，以及他们的医疗和健康记录。对于其中一些受害者来说，遭泄露的数据还可能包含财务记录和社会安全号码。

根据该校网站上最新发布的安全通知来看，攻击发生在2017年9月10日至11日。最初，该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而，在今年，他们意识到约有41.7万份记录因此遭到泄露。

奥古斯塔大学已经准备向每一名受害者发送个人电子邮件，以通知他们有关此次事件，并为社会安全号码遭到泄露的人提供为期一年的免费信用监控服务。

（八十六）  优步270万用户信息被黑客盗取，遭英国监管机构罚款38.5万英镑

2018年11月27日，优步（Uber）近日被英国媒体曝光：旗下约270万英国用户个人信息在2016年被黑客盗取，而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客，因此被英国监管机构重罚38.5万英镑。

据报道，英国政府Information Commissioner’sOffice（ICO）表示，优步在遭遇黑客攻击后，没有第一时间告知被泄露的用户有关细节，反而支付赎金，这一做法是对用户和优步司机信息安全性的漠视。ICO将这次的黑客行为定义为“严重违法行为”。

目前，ICO正在对案件进行进一步的调查。该办公室还指出，已经在优步的系统中发现了一系列可获得数据的安全漏洞，黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息，已掌握了2016年10月和11月被攻击的犯罪事实。

（八十七）  巴西最大工业协会被指数据泄露，数千万个人信息可互联网访问

2018年11月，据报道，白帽黑客生态系统Hacken Proof的安全研究员鲍勃·迪亚琴科（Bob Diachenko）称其发现了三个包含个人记录的数据库，可通过Elasticsearch搜索引擎访问这些记录。最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日。

而被指控泄露上述数据的主体是巴西圣保罗州工业联合会（简称FIESP），FIESP代表了约13万家公司，是巴西工业部门的最大企业实体。这些外泄记录包括：姓名、ID与社会安全号码、完整住址信息以及电子邮件与电话号码。

关于该数据泄露事件，该研究员称其已试图警告FIESP，但无济于事。Hacken Proof在推特上首次公开该泄露事件后，一位巴西粉丝将该数据泄露事件告知了企业，企业这时才离线了数据库。

（八十八）  史上最严重数据车祸：100+车厂机密全曝光，通用丰田特斯拉统统中招

2018年7月22日，据报道，加拿大汽车供应商Level One被UpGuard的研究员Chris Vickery发现，该厂商的数据后门大开，黑客可轻松访问其100多家合作伙伴车厂的机密文件。这100多家车厂，从通用汽车、菲亚特克莱斯勒、福特、丰田，大众到特斯拉，都名列其中。

而被泄露的数据，从车厂发展蓝图规划、工厂原理、制造细节，到客户合同材料、工作计划，再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息，共计157千兆字节，包含近47,000个文件。在反复检查过程中，Chris Vickery确认，通过Level One的文件传输协议rsync，可以无障碍访问上述所有隐私数据。

（八十九）  特斯拉起诉前员工：黑进内部生产系统盗取并泄露机密数据

2018年6月，据美国内华达州联邦法庭公布的诉讼文件显示，特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普（Martin Tripp），称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。

据诉讼文件显示，该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统，偷取大量数据并交给第三方，还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

特里普开发的恶意软件安装在了三台不同员工的电脑上，所以在他离开特斯拉后，还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。

2018年10月25日，据外媒报道，大型国际航空公司国泰航空披露，在今年3月发生的一次数据泄露事件中，该公司的940万名乘客的记录被盗，另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉，此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。

另外，国泰航空还指出，有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。但是，没有密码遭到泄露。

这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍，因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。

（九十一）  丽笙酒店集团遭遇数据泄露，官方称受影响会员不足10%

2018年11月2日，据英国The Register报道，丽笙酒店集团（Radisson hotel Group，以下简称“丽笙”）已经于10月30日开始向参与其奖励计划的会员发出电子邮件，确认了一起黑客攻击。丽笙在其声明中没有提到黑客侵入了哪个系统，也没有提供其他技术细节。其发言人表示，此次事件只影响不足10％的丽笙奖励计划会员账户。

丽笙在其发出的电子邮件中表示，此次数据事件并不涉及任何信用卡或密码信息，目前已经被确认能够被黑客访问的信息仅限于会员的姓名、住址（包括居住国）、电子邮箱地址，以及一部分会员的公司名称、电话号码、丽笙奖励计划会员编号等信息等。

（九十二）  开发者安全预警：数万Jenkins暴露在网上，已发现大量敏感数据

2018年1月23日，研究人员表示，没有利用任何漏洞，就在互联网上发现了暴露2.5万个Jenkins实例，从这些实例中发现了不少大型公司泄露了敏感证书和日志文件，这都可能会引发数据泄露事件。

Jenkins是最受欢迎的开源自动化服务器，由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建，测试和部署其应用程序，在全球拥有超过133,000个活跃安装实例，用户超过100万。

上述2.5万个实例中，10-20％的实例存在配置错误，这些错误配置的实例，大多也都泄露了敏感信息，包括专用源代码库的证书，部署环境的证书（例如用户名、密码、私钥和AWS令牌）以及包括凭证和其他信息的作业日志文件敏感数据。

（九十三）  澳大利亚国家绝密文件被卖二手店

2018年2月1日，澳大利亚政府的某人决定卖掉两个尘封已久的文件柜卖掉，因为他们丢掉了文件柜钥匙；随后买家用一把电钻打开了柜——连续五届政府在储藏柜放着的文件。

最终，这些文件辗转到达澳大利亚广播公司 (ABC) 的手中，这家媒体目前正在发布他们认为安全的资料。ABC 披露的文档中包括Rudd 政府如何计划资助澳大利亚已引发争议的国家宽带网络 (NBN) 的机密简讯。该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。

（九十四）  3500万美国选民记录黑客论坛有售

2018年10月24日，美国11月中期选举临近，AnomaliLabs 和 Intel 471 的研究人员发现某黑客论坛上竟然在售卖3500万条美国选民的记录，牌出售的选民记录来自美国19个州的2018选民登记，包括威斯康辛、得克萨斯和佐治亚州。据称该选民数据记录包含全名、电话号码、住址、选举历史和其他未明确的选举数据。

号称有600万选民的威斯康辛州，选民记录价格为1.25万美元。其他州的选民信息报价在几千美元，到几百美元不等。卖家承诺，每周都会在从州政府线人处收到信息时更新选民登记数据。令人匪夷所思的是，售卖信息刚贴出来几小时后，论坛上就出现了众筹购买该选民记录的活动。

2018年6月，Kenna Security 公司研究员指出，由于Google Group配置出错，导致数千家组织机构的某些敏感信息被泄露。这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。根据样本统计，约31%的 GoogleGroups会导致泄露数据。

独立研究员 Brain Krebs 上周五发布分析结果表示，“除了泄露个人信息和金融数据外，配置错误的 GoogleGroups 账户有时候还公开检索关于组织机构本身的大量信息，包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。

研究人员指出，“鉴于这种信息的敏感特征，可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”

（九十六）  MongoDB可公开访问，美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

2018年11月3日，网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查，这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息，以及超级管理员用户名和密码。

Kars4Kids是一家成立于1994年的慈善机构，总部设在美国新泽西州莱克伍德，将其大部分收益都捐赠给了Oorah，一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

据分析，有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户，这将使得他们能够访问更敏感的数据。例如，度假券（向捐赠者提供的免费假期）和收据，以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

（九十七）  MongoDB配置不当，近70万美国运通印度分公司客户联系信息遭泄露

2018年11月，据外媒ZDNet报道，近70万名美国运通（Amex）印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上。

大约在三个星期以前，国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问，而且没有设置密码。

据研究员表示，这些以明文形式存储的记录包含了美国运通印度分公司客户的个人详细信息，如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据似乎并不过于敏感，但很可能会对垃圾电子邮件活动起到推动作用。

（九十八）  MongoDB数据库配置不当，数万Bezop代币用户个人信息泄露

2018年4月，据报道，网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库，其中包含了超过25,000名Bezop用户的详细个人信息，其中一部分是6,500名Bezop（BEZ）加密货币的投资者，剩余部分则单单只是Bezop代币的接收者。

安全研究人员称，这个向公众开放的数据库包含了姓名、家庭住址、电子邮箱地址、加密密码、钱包信息以及护照、驾驶执照或身份证的扫描件等敏感信息。

数据库所存储的这些信息与Bezop团队在年初开始运行的“ 赏金计划 ” 有关。在此期间，该团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。

（九十九）  半年186家！日企机密文件大量被“晒”百度文库

2018年3月，据调查企业信息泄露情况的相关公司的统计，最近半年多时间，186家日企的文件被发布到文档分享网站上。这可能导致专利信息的泄露等，专家呼吁日本企业加强内部管理。

发布日本企业内部文件的是中国百度运营的文档分享网站“百度文库”。日本IT相关公司“CROSSWARP”调查显示，仅2017年6月～2018年2月期间，上述近200家日企的文件被发布到百度文库上。这些资料上均标有注意字样，意味着属于“机密”文件。

熟悉中国法律的律师分部悠介表示，在中国泄露企业营业机密也属于违法行为，不过只有受害金额较大等情况下才会适用刑事处罚。另外，由于要证明网上的投稿使企业蒙受严重损失十分困难，因此很难通过刑事处罚来遏制这种行为。

2018年6月28日，据Wired报道，本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击，而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内。

据了解，Exactis采集了大约3.4亿条记录，大小2TB，可能涵盖2.3亿人，几乎是全美的上网人口。虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息，但是隐私深度却超乎想象，包括一个人是否吸烟，他们的宗教信仰，他们是否养狗或养猫，以及各种兴趣，如潜水和大码服装，这几乎可以帮助构建一个人的几乎完整“社会肖像”。

根据Rice Consulting官方网站所展示的信息来看，该公司曾在2017年与美国民主党合作（Democratic Party US），为其筹集资金超过432万美元。NAS包含了有关Rice Consulting过去数千次筹款活动的详细信息，如姓名、电话号码、电子邮箱地址、地址、公司、合同、会议记录、桌面备份、员工详细信息等。

Diachenko表示，他在NAS上发现的“最重要的资产”是NGP的用户名和密码组合。但遗憾的是，所有这些用户名和密码都被存储在一个没有设置密码的Excel文件中。

)、宜家移动应用（宜家家居App)、宜家家居天猫官方旗舰店（）、“IKEA宜家家居”微信小程序、“IKEA宜家点餐”微信小程序、“宜家俱乐部”微信小程序、“宜家会员活动”微信小程序、“宜家门店助手”微信小程序、“IKEA灵感PLUS”微信小程序、“宜家会员停车”微信小程序等适用本隐私政策的线上服务。更多线上渠道及其运营方详见附件一。

个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不仅限于个人姓名、住址、电话号码、身份证号码等。

营销信息：宜家中国向顾客通过包括但不仅限于电子邮件、即时通讯、社交平台等渠道发送的用于推广、推销商品或服务的信息，如商场活动、服务或产品推广等信息，但不包括为了向顾客提供服务而必须发送的信息，如物流信息、召回提示等。

敏感个人信息：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感个人信息以加粗斜体的方式标注，以提醒您的注意。

我们如何收集和使用您的个人信息

我们提供多样的产品和服务，并致力于为大众创造更美好的日常生活。在您使用我们的产品或服务时，我们仅会出于本政策中说明的目的，收集和使用您的个人信息。

我们收集和使用您个人信息的情形：
为了向您提供产品或服务，我们需收集和使用您的必要个人信息。如您不提供或不同意我们收集、使用此类个人信息，可能将导致我们的相关产品或服务无法正常运行，或我们将无法为您提供相关产品及服务。收集和使用个人信息的具体渠道、场景及功能包括：

宜家官方网站（)。当您在我们的线上渠道购物时，您需要先注册一个账号成为我们的用户并登录您的账号。在您注册或登录时，您可能需要提供您的手机号码（或授权我们通过天翼获取本机号码），并根据您选择的注册或登录方式，提供电子邮箱地址或微信账号信息。为保护您的账号安全，您需为您的账号设置或输入密码；我们也会向您提供的手机号码发送短信验证码来验证您的身份是否真实、有效；同时，您可以选择将您的账号与宜家俱乐部会员信息相关联，以便您享受相应的会员权益。

• 线上购物及支付：当您通过我们的线上渠道购买、结算商品或服务时，为向您交付购买的商品或服务，您可能需要在线上自动生成的订单中填写收货人姓名、收货地址以及手机号码，订单中也会载明系统生成的订单号、您所购买的商品或服务信息、您应支付的货款金额及支付方式；同时，根据您的选择，我们也会收集您的电子邮箱地址以便为您发送电子版增值税发票。您在支付订单时，可选择与我们合作的第三方支付机构（包括支付宝、微信支付及银联）所提供的支付服务。为了完成支付及确认您的支付指令，我们会与第三方支付机构共享您的订单号、支付的货款金额，若您选择绑定银行卡支付，您必要的银行卡信息，如银行卡号等，也会被第三方支付机构直接获取。
• 搜索商品和展示：为了使您快速地搜索到您需要的商品及服务，并以最优的方式向您展示商品、服务信息，我们会收集您访问或使用我们线上渠道的搜索记录、浏览历史记录、IP地址及设备信息。设备信息包括您使用的设备的名称、型号、设备识别信息(IDFA/Android ID/IMEI/UUID/OAID/IDFV/MAC地址)、操作系统和应用程序版本、语言设置、分辨率、服务提供商网络ID（PLMN）、浏览器类型。这些信息也会用于我们改进、优化搜索商品和个性化展示功能。
  如您不希望我们在宜家官方网站中向您推荐个性化的商品，您可以在“我的个人档案”– “个性化推荐”中关闭个性化展示功能。
  如您不希望我们在宜家家居App或“IKEA宜家家居”小程序中向您推荐个性化的商品，您可以在“设置” – “隐私” – “个性化推荐”中关闭个性化展示功能。
• 线上体验：您可以通过我们在线上渠道为您提供的评论功能发布您对我们线上销售或提供的商品或服务的评论及图片，我们将收集、审核您上传、发布的评论及图片。您发布的评论、图片中可能会涉及您或他人的个人信息甚至敏感个人信息，请您谨慎考虑是否需要发布这些评论或图片。若您发布的评论或图片中涉及儿童个人信息的，您应在发布前征得该儿童及其监护人的同意。
  您可以使用我们线上渠道中提供的产品设计工具及购物清单功能，以更方便地进行购物并提升您的购物体验。在使用这些功能时，您可以使用您的账号登录我们的线上渠道，我们会将您在产品设计工具中创建的设计方案及/或您的线上购物清单与您的账号进行关联存储，以便您后续使用。

ikea@@，联系地址为上海市徐汇区龙田路195号天华信息科技园区南区3A4楼

本隐私政策以中、英文两种文字书就，两种文本具有同等效力。如中英文文本有不一致之处，应以中文文本为准。

您同意因本政策引发的任何您和我们之间的纠纷（以下简称“纠纷”）均适用中华人民共和国法律，除冲突规则外。除非另有禁止，您同意由此引发的直接或间接产生的或与之相关的纠纷、索赔和诉讼均应提交上海市徐汇区有管辖权的法院依照中华人民共和国法律解决。

卖家无法获得顾客信息？！

近期亚马逊在后台的悄悄发布了一个更新，称将在2021年4月8日起，亚马逊将不再为FBA卖家提供买家姓名、地址等详细信息。

这一提醒并没有给卖家提前公告，而是提醒出现之后就执行，有点先斩后奏的感觉。

在这次修改之前，卖家虽然不能在FBA订单详情的页面中看到买家的相关信息（电话、地址等），但是后台拉取亚马逊物流配送报告中，仍然会保留配送地址等信息。

不少卖家就会利用这个报告，批量获取FBA订单的客户信息来进行一些索评、明信片、邮件之类的二次营销。这么看来此次亚马逊的改动很明显就是针对卖家的过度营销行为，为客户提供更好的购物环境和体验。

早在去年11年，亚马逊新出的卖家交流指南当中，就曾经对卖家的交流做出了诸多限定：

卖家的信息交流汇总不允许包含以下信息：

1、解决买家问题所需的（比如出货标签、发票、定制设计）以外的附件

3、与保修、运输供应商、制造商无关的电话号码

4、链接指向的没有解释性文本的可访问性问题（解释性文本举例：单击此处查看保修信息）或者没有替换文本的图像或图形

5、表情包（含图释符号）

7、过分的拼写错误或语法问题

卖家可以出于以下原因主动联系卖家：

2.请求完成订单所需的其他信息

5.安排重物或大件物品的配送

8.任何其他原因卖家需要联系来接受购买

不允许因为以下原因联系卖家：

1.订单确认、纯道谢类等无实质意义的邮件内容

2.优惠活动、优惠券信息

3.有偿邀评或者是要求卖家改评或者删评的内容

4.不得因为退货问题主动要求买家申请取消订单。

诸多限制，如何拯救好评？

此次又将FBA中能获得客户信息的渠道再度收紧，瞬间让诸多为真实评论范畴的卖家犯了难，那么在诸多限制之下，我们又有哪些可以主动向买家邀评的渠道呢？

这是亚马逊在2019年末推出的功能，买家后台订单可以requestreview，缺点是需要自己一个一个去点，对于订单多的卖家来说比较繁琐。目前市场上也有相应的插件可以将此项功能自动化。

很多时候，一个信息齐全的创意卡片会让相当一部分的买家愿意花费几分钟的时间来表达子节点满意，卡片内容可以包括：产品使用说明、退款流程等，详尽的售后信息，会让买家的好感大大增加。

卡片注意，不能出现明显的索评文字或者将客户引流至其他平台的叙述也是不能碰的高压线哦。

无论何时，有限营销都是必不可少的，通过邮件联系客户，询问产品的反馈进行售后跟踪，并留下产品的链接，可以有效增加买家留评数。但是要注意措辞，太过明显的有偿邀评可能会被监测到操控评论。

4.提升服务水平，营造良好的购物体验

好的购物体验是让买家给好评的基础。卖家在描述产品时要才能够消费者角度出发，强调产品能解决消费者什么样的问题。图片需清晰地向消费者展示产品外观。最大程度的确保“所见即所得”，营造真实且积极的购物体验。

（来源：亚马逊申诉达人Lucy） 以上内容属作者个人观点，不代表雨果跨境立场！本文经原作者授权转载，转载需经原作者授权同意。

（来源：亚马逊申诉达人Lucy）