网络安全合规：回顾2023 年 8 月最严重的数据泄露和网络攻击

标签： IAPP 数据隐私认证浏览量：0 2023-09-20

关注我们，学习更多隐私合规讯息

根据我们的研究，2023 年 8 月共有 73 起公开披露的安全事件，涉及 79,729,271 条受损记录。

2023年主要数据泄露统计数据

2023 年 8 月数据泄露数量：73 起

2023 年 8 月突破记录：79,729,271

2023 年数据泄露数量：767 起

2023 年泄露记录数量：692,097,913

2023 年迄今为止最大规模的数据泄露：Twitter（2.2 亿条泄露记录）

英国最大的数据泄露：选举委员会（4000 万条记录被泄露）

受攻击最多的行业：医疗保健 (229)、教育 (126)、公共部门 (106)

2023 年 8 月

最严重的数据泄露和网络攻击

5 月 MOVEit Transfer 泄露事件的持续影响继续成为新闻焦点，本月特别令人关注的一起重大泄露事件是：法国失业机构 P?le emploi（1000 万条记录被泄露）。然而，由于本月的 12 起数据泄露事件与 MOVEit Transfer 相关，因此我们在本次汇总中将它们归为一类。

01. 英国选举委员会

8 月 8 日，选举委员会发布了一项所谓的“复杂网络攻击”的公开通知，其中“敌对行为者”获得了英国选举登记册的访问权，其中估计包含 4000 万人的个人信息。

根据声明，委员会在其系统上检测到可追溯到 2021 年 8 月的可疑活动后，于 2022 年 10 月确定了这一事件。

攻击者能够访问选举委员会服务器，该服务器保存有电子邮件、控制系统以及 2014 年至 2022 年间在英国登记投票的选民以及海外选民的选举名册参考副本。

选举登记册包含选民的姓名、地址以及当年达到投票年龄的日期。

委员会受损的电子邮件系统中包含的个人数据包括姓名、电子邮件地址、家庭住址和电话号码，以及可能作为网络表格或电子邮件的一部分提交的其他个人数据。

然而，网络攻击似乎可能并不像委员会最初暗示的那么“复杂”：一名举报人告诉BBC，在攻击者访问其系统时，委员会未能通过网络要点审计。

尽管没有证据表明攻击者利用了与此次审计失败相关的任何漏洞，但失败本身表明委员会的安全并未达到应有的水平。

安全研究员 Kevin Beaumont 似乎证实了这一点，他在doublepulsar.com上解释说，已知委员会运行的是未打补丁的 Microsoft Exchange Server 版本，该版本在事件发生时容易受到 ProxyNotShell 攻击。

Cyber Essentials 计划是一个由国家网络安全中心支持的政府支持框架。它列出了组织可以实施的五项基本网络安全控制措施，以保护自己免受大约 80% 的常见网络攻击，其中包括补丁管理，换句话说，就是确保软件、应用程序和操作系统保持最新。

这是每个组织理所当然应该遵守的网络安全基本级别。委员会确认该法案仍未通过。

02. 就业岗位

5 月份MOVEit 漏洞的影响仍在继续，俄罗斯 Cl0p 团伙利用了 Progress Software 流行的文件传输应用程序 MOVEit Transfer 中的零日 SQL 注入漏洞。

根据安全公司 Emsisoft 的研究，本月，法国失业机构P?le emploi因 MOVEit 泄露事件（1000 万）而获得了泄露记录最多的荣誉。
[9 月 7 日编辑：Emsisoft 现在似乎已将 P?le emploi 从其 MOVEit 受害者列表中删除。无论泄露的原因是什么，Ple empl oi 在本月三大泄露事件中仍位居第二。]

MOVEit 泄露事件的全部范围在数月内都无法确定，但目前已知有 1,000 多家组织陷入此次泄露事件，超过 6000 万人受到影响，这使其成为今年迄今为止最大规模的泄露事件。

根据8-K 文件，美国政府承包商 Maximus 是受影响最严重的公司之一，其泄露记录多达 1100 万条。

这要归功于与 8 月份发布数据泄露通知的两个组织签订的合同，该公司在本月的榜单中两次出现。它于 7 月底向 SEC 提交。

本月被发现受到 MOVEit 漏洞影响的其他组织包括：