数据泄露是我们数字生活家具的一部分。几乎没有一天没有另一家公司泄露你的数据。尽管这些事件变得越来越普遍，但2018年其他一些事情也发生了变化。

欧盟通用数据保护条例（GDPR）的实施意味着企业现在承诺在72小时内披露任何违规行为。很难跟上所有最新的黑客攻击，所以我们总结了一些今年最值得注意的漏洞。

1穿盔甲

受影响用户：1.5亿

暴露的数据：用户名、电子邮件地址和散列密码

对于世界各地的许多人来说，饮食和运动跟踪应用程序MyFitnessPal（MFP）是他们健身之旅的日常伴侣。因此，当运动服公司Under Armour收购MFP作为其数字产品的一部分时，这并不令人意外。2018年3月，Under Armor（UA）发布声明称MyFitnessPal已遭泄露，该应用1.5亿用户的用户名、电子邮件地址和散列密码被曝光。

公司行动迅速。在得知违规的四天内，MyFitnessPal向所有用户发送了一封电子邮件更新，并建立了一个常见问题网站。他们建议所有用户立即更改密码，并将继续（含糊其辞地）“对（他们的）系统进行增强，以检测和防止未经授权访问用户信息。”

表面上看，Under Armour的用户似乎做得很好。然而，有些密码是用bcrypt（一种将密码转换成不可读字符串的过程）散列的，而有些密码就没有这么幸运了。虽然他们没有透露数据，但MFP的一部分用户群只受到SHA-1的保护，SHA-1被广泛认为是散列中最薄弱的形式。

尽管泄漏发生在今年年初，但截至2018年9月，尚未有关于泄漏原因的进一步消息，也没有UA希望如何防止未来的攻击。该公司也没有详细说明他们是否会继续使用SHA-1哈希。

2英国航空公司

受影响的用户：未知

暴露的数据：客户的个人和财务数据

随着夏季在9月初接近尾声，英国最大的航空公司英航（British Airways）表示，他们正在紧急调查客户信息被盗事件。该公司在其事件信息网站上表示，被盗事件影响到“在2018年8月21日22:58英国夏令时至2018年9月5日21:45期间[…]预订或更改预订的客户”。被盗数据包括姓名、电子邮件地址、帐单地址和银行卡详细信息。

如果你是这次袭击的不幸受害者之一，英航承诺你不会因为盗窃而直接掏腰包。然而，值得注意的是，他们没有说他们认为是什么“直接结果”。在披露之后的几天里，《登记册》报道说，外部支付脚本可能是这次攻击的罪魁祸首。安全公司RiskIQ表示，这次攻击很可能是由一个名为Magecart的组织发动的，该组织在2018年早些时候对Ticketmaster发动了一次非常类似的攻击。

就在袭击发生前一年多，英航还处于大规模电脑断电的中心。这次故障使公司的IT系统急停，所有飞机停飞，数千名乘客受到影响。尽管英国航空登上了全世界的头条新闻，但对于这次史无前例的停机原因，英国航空却只字未提。

三。打字

受影响的用户：未知

曝光数据：包括个人身份信息在内的调查数据

如果您在过去几年中填写了一份在线调查，那么您可能使用了数据收集网站的Typeform。他们的调查很受企业欢迎，因为它们易于设置和用户友好。Typeform的客户是企业，而不是最终用户。因此，当该公司在2018年6月发现漏洞时，他们向客户发出了警报。

Typeform的事件响应网站缺乏细节，主要关注企业应如何告知客户信息披露。我们只知道Typeform的漏洞是由于未经授权访问了2018年5月3日的部分备份。不过，目前还不清楚这些数据能追溯到什么时候。由于选择的字体没有提供详细的分类，受影响的总数也不清楚。

然而，被发现违规的组织名单相当广泛。英国零售商Fortnum&Mason和johnlewis以及澳大利亚面包连锁店Bakers Delight都受到了影响。其他已知的受害者包括Airtasker、Rencore、PostShift、Revolut、米德尔塞克斯大学学生会、Monzo、塔斯马尼亚选举委员会、Travelodge和英国自由民主党。

4exactis公司

受影响用户：3.4亿

曝光的数据：除了社保和信用卡号码，一切可以想象的东西

在现代经济中，我们用数据交换免费产品和在线服务。然而，越来越多的人反对这种数据收集。他们轻蔑地把这种做法称为监视****。在2017年Equifax黑客事件和Facebook的Cambridge Analytica丑闻之后，这种情绪变得更加流行。你可能很惊讶艾奎法克斯一直在背后收集关于你的详细信息。可悲的是，你不会太震惊地知道他们不是唯一的。

今年6月，安全研究员文尼·特洛伊（Vinny Troia）利用计算机搜索引擎Shodan发现了一个包含3.4亿条记录的数据库。市场营销公司Exactis在一个公开的服务器上对数据库进行了保护。虽然Equifax黑客的1.455亿条记录得到了广泛的报道，但Exactis数据库超过了3.4亿条记录。然而，与**的Equifax数据不同，Exactis数据库是由一位安全研究人员发现的。目前没有证据表明它是被恶意访问的。

Exatis是一家数据经纪公司，交易我们的个人信息——这就是他们如何拥有近2.14亿个人和1.1亿企业数据的原因。据《连线》报道，这些记录包括“400多个变量，涉及一系列具体的特征：一个人是否吸烟，他们的宗教信仰，他们是否养狗或猫，以及各种各样的兴趣爱好，如潜水和加大码服装。”

不过，这里还有一线希望。与Equifax不同的是，尽管有大量的可识别数据，但他们没有掌握任何财务信息。然而，如果事实证明恶意的一方确实访问了数据库，那么就有很多机会进行社会工程。

5跳时

受影响用户：2100万

暴露的数据：姓名、电子邮件地址、出生日期、性别、国家代码和电话号码

我们多年来的集体怀旧已成为一件大事。没有哪家公司能比Timehop更能利用这种对过去的热爱。Timehop应用程序连接到你的社交网络，重新显示你的旧帖子，提醒你过去这一天在做什么。2018年7月，Timehop宣布在独立日中断了一次网络入侵。

尽管在两个多小时内阻止了攻击，入侵者还是能够获取大量数据。不幸的是，这包括了该应用2100万用户的姓名、电子邮件地址、出生日期、性别，在某些情况下还包括电话号码。不过，它们能够阻止攻击者访问社交媒体帖子和私人消息。

攻击者成功获取了存储的OAuth2密钥，该密钥允许访问用户连接的社交网络。在披露漏洞之前，Timehop与社交网络合作停用这些密钥，迫使用户重新验证连接的帐户。

与许多同时代人不同的是，他们的事件网站呈现得非常清晰。对这次袭击的解释既有技术上的，也有直截了当的。他们甚至提供了一个易于消化的表格，其中列出了访问数据的组合以及有多少人受到影响。当然，这对怀旧应用程序的2100万受害者来说并不是什么安慰。

保护自己免受下一次数据泄露

我们一度认为安全的服务正迅速瓦解，部分原因是它们糟糕的安全做法。你甚至可能开始怀疑互联网上的任何地方是否安全。特别是考虑到数据收集暴露了你的个人信息的次数。如果你担心出了什么问题，你应该检查一下你的在线帐户是否被黑客入侵。

保护你的责任落在受影响公司的脚下。然而，有一些方法可以改善你的网络卫生，从而增强你的防御能力。密码是我们最头疼的问题之一，但也有好消息。在我们开始看到令人兴奋的密码替代品进入主流之前，您可能不必等待太久。

图片来源：stevanovicigor/照片