數據洩露是我們數字生活傢俱的一部分。幾乎沒有一天沒有另一家公司洩露你的數據。儘管這些事件變得越來越普遍，但2018年其他一些事情也發生了變化。

歐盟通用數據保護條例（GDPR）的實施意味著企業現在承諾在72小時內披露任何違規行為。很難跟上所有最新的黑客攻擊，所以我們總結了一些今年最值得注意的漏洞。

1穿盔甲

受影響用戶：1.5億

暴露的數據：用戶名、電子郵件地址和散列密碼

對於世界各地的許多人來說，飲食和運動跟蹤應用程序MyFitnessPal（MFP）是他們健身之旅的日常伴侶。因此，當運動服公司Under Armour收購MFP作為其數字產品的一部分時，這並不令人意外。2018年3月，Under Armor（UA）發佈聲明稱MyFitnessPal已遭洩露，該應用1.5億用戶的用戶名、電子郵件地址和散列密碼被曝光。

公司行動迅速。在得知違規的四天內，MyFitnessPal向所有用戶發送了一封電子郵件更新，並建立了一個常見問題網站。他們建議所有用戶立即更改密碼，並將繼續（含糊其辭地）“對（他們的）系統進行增強，以檢測和防止未經授權訪問用戶信息。”

表面上看，Under Armour的用戶似乎做得很好。然而，有些密碼是用bcrypt（一種將密碼轉換成不可讀字符串的過程）散列的，而有些密碼就沒有這麼幸運了。雖然他們沒有透露數據，但MFP的一部分用戶群只受到SHA-1的保護，SHA-1被廣泛認為是散列中最薄弱的形式。

儘管洩漏發生在今年年初，但截至2018年9月，尚未有關於洩漏原因的進一步消息，也沒有UA希望如何防止未來的攻擊。該公司也沒有詳細說明他們是否會繼續使用SHA-1哈希。

2英國航空公司

受影響的用戶：未知

暴露的數據：客戶的個人和財務數據

隨著夏季在9月初接近尾聲，英國最大的航空公司英航（British Airways）表示，他們正在緊急調查客戶信息被盜事件。該公司在其事件信息網站上表示，被盜事件影響到“在2018年8月21日22:58英國夏令時至2018年9月5日21:45期間[…]預訂或更改預訂的客戶”。被盜數據包括姓名、電子郵件地址、帳單地址和銀行卡詳細信息。

如果你是這次襲擊的不幸受害者之一，英航承諾你不會因為盜竊而直接掏腰包。然而，值得注意的是，他們沒有說他們認為是什麼“直接結果”。在披露之後的幾天裡，《登記冊》報道說，外部支付腳本可能是這次攻擊的罪魁禍首。安全公司RiskIQ表示，這次攻擊很可能是由一個名為Magecart的組織發動的，該組織在2018年早些時候對Ticketmaster發動了一次非常類似的攻擊。

就在襲擊發生前一年多，英航還處於大規模電腦斷電的中心。這次故障使公司的IT系統急停，所有飛機停飛，數千名乘客受到影響。儘管英國航空登上了全世界的頭條新聞，但對於這次史無前例的停機原因，英國航空卻隻字未提。

三。打字

受影響的用戶：未知

曝光數據：包括個人身份信息在內的調查數據

如果您在過去幾年中填寫了一份在線調查，那麼您可能使用了數據收集網站的Typeform。他們的調查很受企業歡迎，因為它們易於設置和用戶友好。Typeform的客戶是企業，而不是最終用戶。因此，當該公司在2018年6月發現漏洞時，他們向客戶發出了警報。

Typeform的事件響應網站缺乏細節，主要關注企業應如何告知客戶信息披露。我們只知道Typeform的漏洞是由於未經授權訪問了2018年5月3日的部分備份。不過，目前還不清楚這些數據能追溯到什麼時候。由於選擇的字體沒有提供詳細的分類，受影響的總數也不清楚。

然而，被發現違規的組織名單相當廣泛。英國零售商Fortnum&Mason和johnlewis以及澳大利亞麵包連鎖店Bakers Delight都受到了影響。其他已知的受害者包括Airtasker、Rencore、PostShift、Revolut、米德爾塞克斯大學學生會、Monzo、塔斯馬尼亞選舉委員會、Travelodge和英國自由民主黨。

4exactis公司

受影響用戶：3.4億

曝光的數據：除了社保和信用卡號碼，一切可以想象的東西

在現代經濟中，我們用數據交換免費產品和在線服務。然而，越來越多的人反對這種數據收集。他們輕蔑地把這種做法稱為監視****。在2017年Equifax黑客事件和Facebook的Cambridge Analytica醜聞之後，這種情緒變得更加流行。你可能很驚訝艾奎法克斯一直在背後收集關於你的詳細信息。可悲的是，你不會太震驚地知道他們不是唯一的。

今年6月，安全研究員文尼·特洛伊（Vinny Troia）利用計算機搜索引擎Shodan發現了一個包含3.4億條記錄的數據庫。市場營銷公司Exactis在一個公開的服務器上對數據庫進行了保護。雖然Equifax黑客的1.455億條記錄得到了廣泛的報道，但Exactis數據庫超過了3.4億條記錄。然而，與**的Equifax數據不同，Exactis數據庫是由一位安全研究人員發現的。目前沒有證據表明它是被惡意訪問的。

Exatis是一家數據經紀公司，交易我們的個人信息——這就是他們如何擁有近2.14億個人和1.1億企業數據的原因。據《連線》報道，這些記錄包括“400多個變量，涉及一系列具體的特徵：一個人是否吸菸，他們的宗教信仰，他們是否養狗或貓，以及各種各樣的興趣愛好，如潛水和加大碼服裝。”

不過，這裡還有一線希望。與Equifax不同的是，儘管有大量的可識別數據，但他們沒有掌握任何財務信息。然而，如果事實證明惡意的一方確實訪問了數據庫，那麼就有很多機會進行社會工程。

5跳時

受影響用戶：2100萬

暴露的數據：姓名、電子郵件地址、出生日期、性別、國家代碼和電話號碼

我們多年來的集體懷舊已成為一件大事。沒有哪家公司能比Timehop更能利用這種對過去的熱愛。Timehop應用程序連接到你的社交網絡，重新顯示你的舊帖子，提醒你過去這一天在做什麼。2018年7月，Timehop宣佈在獨立日中斷了一次網絡入侵。

儘管在兩個多小時內阻止了攻擊，入侵者還是能夠獲取大量數據。不幸的是，這包括了該應用2100萬用戶的姓名、電子郵件地址、出生日期、性別，在某些情況下還包括電話號碼。不過，它們能夠阻止攻擊者訪問社交媒體帖子和私人消息。

攻擊者成功獲取了存儲的OAuth2密鑰，該密鑰允許訪問用戶連接的社交網絡。在披露漏洞之前，Timehop與社交網絡合作停用這些密鑰，迫使用戶重新驗證連接的帳戶。

與許多同時代人不同的是，他們的事件網站呈現得非常清晰。對這次襲擊的解釋既有技術上的，也有直截了當的。他們甚至提供了一個易於消化的表格，其中列出了訪問數據的組合以及有多少人受到影響。當然，這對懷舊應用程序的2100萬受害者來說並不是什麼安慰。

保護自己免受下一次數據洩露

我們一度認為安全的服務正迅速瓦解，部分原因是它們糟糕的安全做法。你甚至可能開始懷疑互聯網上的任何地方是否安全。特別是考慮到數據收集暴露了你的個人信息的次數。如果你擔心出了什麼問題，你應該檢查一下你的在線帳戶是否被黑客入侵。

保護你的責任落在受影響公司的腳下。然而，有一些方法可以改善你的網絡衛生，從而增強你的防禦能力。密碼是我們最頭疼的問題之一，但也有好消息。在我們開始看到令人興奮的密碼替代品進入主流之前，您可能不必等待太久。

圖片來源：stevanovicigor/照片