2022年，“数据泄露”这样的字眼总是活跃在我们眼前。全球多行业领域深受数据泄露事件的困扰，并已造成重大损失。现梳理了全球多行业领域发生的重大数据泄露事件。这些事件造成了数据资产的严重损失，也带来了巨大的社会影响。

　　2022年10月，丰田汽车发现，296019名客户的电子邮件地址和客户编号可能已被泄露。丰田调查发现，客户信息之所以被泄露，是因为开发T-Connect网站的承包商将部分源代码上传到GitHub账号上，并不小心将权限设置成“公开”，时间是2017年12月至今年9月15日。

　　2022年9月，澳大利亚第二大电信公司、新加坡电信有限公司旗下的奥普图斯通信公司（Optus）遭黑客攻击，可能有多达980万个账户的信息外泄，相当于澳大利亚40%的人口。公司表示，这是澳大利亚遭遇的规模最大的网络安全事件之一，黑客获取了奥普图斯公司客户的家庭住址、驾驶执照和护照号码等信息。

　　2022年8月，ALPHV勒索软件团伙(又名BlackCat)声称，对欧地区天然气管道与电力网络运营商Creos Luxembourg S.A.遭受的网络攻击负责。Creos母公司Encevo证实遭受了网络攻击。Encevo在欧盟五个国家拥有能源经营业务。称初步调查结果表明，网络入侵者已经从被访问系统中窃取到“一定数量的数据”。

　　2022年2月，英伟达确认，公司曾检测到“影响IT资源的网络安全事件”，目前尚无证据证明事件属于勒索软件攻击HQ环球体育，但攻击方确实盗取了员工凭证和专有信息；Lapsus$黑客团伙声称，入侵英伟达内部网络后，英伟达进行反击加密了他们窃取的数据，但他们留有备份，使得这次反击未能成功。

　　2022年2月，克罗地亚电线 Hrvatska 披露了一起数据泄露事件，该事件影响了 10% 的客户，大约 20 万人。威胁者可以访问客户的敏感个人信息，包括姓名、个人身份证号、地址和电话号码。与此同时，另一家移动运营商沃达丰葡萄牙也遭受重大网络攻击，导致该国服务中断，媒体报道 4G/5G 通信和电视服务暂时中断。

　　2022年10月，据台媒报道，台湾地区户政系统传出遭黑客入侵，有网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料，并宣称手上有全台2300万民众资料。调查人员追查后发现，20万笔台湾人的户籍资料，内容非常详细，包括婚姻状况、居住地址、学历等。

　　2022年8月，乌克兰安全研究员发现，归属微HQ环球体育软Azure、运行Elasticsearch集群服务的两个未受保护的IP，暴露了超2.8亿条印度养老基金持有人的个人身份信息和其他敏感数据。同时，还透露出数据库中的信息可被用来拼凑出这些印度公民的完整资料，致使他们成为网络钓鱼或欺诈攻击的目标。

　　2022年8月，据智利国家计算机安全和事件响应小组（CSIRT）公告，近期报告的勒索软件攻击中断了其政府服务系统和在线服务的运行。该勒索软件攻击针对的是政府机构中的Microsoft和VMware ESXi服务器，停止了所有正在运行的虚拟机并加密了相关文件，附加上了“.crypt”文件扩展名。攻击者给出了三天的时间来进行通信，若受害者不配合，则会阻止其访问数据，并将这些数字资产出售给暗网上的第三方。这整个过程是非常典型的双重勒索攻击方式。

　　2022年6月，装有日本兵库县尼崎市46万517位市民个人信息的U盘于21日不慎丢失，其中包含所有市民的姓名、住址、出生年月及交税金额等。该企业工作人员未经允许，擅自将市民信息复制进U盘，于21日携带U盘前往大阪府吹田市处理业务，并进行数据移交。

　　2022年1月，据CNN报道，红十字国际委员会(ICRC)表示，该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据。红十字会表示，它 “最担心的问题”是这些数据可能会被泄露目前还没有迹象表明这种情况已经发生。

　　2022年11月，Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元，原因是2021年Facebook遭遇爬虫攻击发生大规模数据泄露，暴露了全球数亿用户的个人信息，暴露的数据包括个人信息，例如手机号码、Facebook ID、姓名、性别、位置、关系状态、职业、出生日期和电子邮件地址。

　　2022年7月，一张在暗网叫卖2.2亿余条B站用户信息的截图在网上流传，泄露数据疑似包括用户账号（UID）和手机号，价格为0.5比特币或17.72以太币。截图显示，帖子发布于7月6日凌晨，帖主称数量具体为221,223,698条，包括UID和手机号。除了在帖子里展示的少量数据，帖主还提供了总计超过50万行的样本数据。

　　2022年6月，网络安全研究组织Shadowserver Foundation的分析师在进行扫描的过程中发现，超过360万台MySQL服务器暴露于互联网并响应查询，这些服务器或成为黑客和勒索者的目标。如果没有保护好MySQL数据库服务器，可能会导致灾难性的数据泄露事件、破坏性攻击、赎金要求、远程访问木马（RAT）感染，甚至是CobaltStrike攻击。这些情况都会给受影响的组织带来严重后果。

　　2022年5月，两台配置错误的 ElasticSearch 服务器共暴露了约 3.59（35 9019902）亿条记录，这些记录在 SnowPlow Analytics 开发的数据分析软件帮助下收集而来。据研究人员称，这两个 ElasticSearch 服务器没有任何加密或用户验证措施，意味着任何人都可以在不需要密码的情况下访问这些数据。

　　2022年3月，微软表示他们正在调查有关Lapsus$数据勒索黑客组织入侵其内部Azure DevOps源代码存储库并窃取数据的“传闻”。Lapsus$团伙在Telegram发布了微软内部源代码存储库的屏幕截图，以此来证实自己成功入侵了微软的Azure DevOps服务器。微软此前曾表示，源代码泄露不会增加风险。微软“源码泄露无风险”的说法也许并不准确。源代码存储库通常还包含访问令牌、凭据、API密钥，甚至代码签名证书。其他攻击者可使用这些证书给他们的恶意软件代码赋予合法签名，造成更大的威胁。

　　2022年12月，红星新闻从四川南充市公安局顺庆区分局获悉，当地警方侦破一起公安部挂牌督办案件，打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙，涉及四川、河南、广东多个省市，抓获犯罪嫌疑人121人，查获公民个人信息2300余万条，发现国内多地各类信息系统平台漏洞300余个，收缴黑客工具12套。

　　2022年10月，据The Verge报道，快时尚品牌Shein和Romwe背后的公司将向纽约州支付190万美元，因为数据泄露影响了数百万客户。罚款源于对Zoetop公司的指控，即该公司未能保护客户的数据，没有适当地通知客户数据泄露，并试图对泄露的程度保持沉默。

　　2022年10月，ee Tickets因数据泄露事件曝光登上媒体头条，并在美国多个州发布通知披露了违规消息。根据See Tickets发给客户的个人和财务数据暴露通知，该数据泄露事件已经持续了两年半多，攻击者可能通过在See Tickets网站上注入的Skimmer脚本窃取了敏感的支付卡数据。

　　2022年8月，俄罗斯流媒体巨头START 表示其客户的个人信息在一次网络攻击中被泄露。根据俄罗斯Telegram频道“Information Leaks”的信息，泄露数据库总计72 GB大小HQ环球体育，包含4400万客户的数据。此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期，以及最后一次登录记录。

　　2022年11月，The Hacker News网站披露，马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击，约500万名乘客和员工的个人数据信息泄露。这次外泄的资料包括亚航乘客的身份证号码、姓名和订票编号。此外，亚航、泰国亚航和印尼亚航雇员的信息也被泄露。

　　2022年10月，印度最大的综合电力公司塔塔电力遭遇攻击发生数据泄露，勒索软件组织Hive宣称对此次攻击负责。网络安全分析师Dominic Alvieri在推特上发布的Hive泄露网站截图进一步确认塔塔电力数据泄露。

　　2022年8月，作为服务全球多家大型航空公司的技术提供商，Accelya表示，近期刚刚遭遇勒索软件攻击，部分系统已经受到影响。AlphV/BlackCat勒索软件团伙已经公布了据称窃取自Accelya的数据，包含电子邮件、员工合同等内容。航空产业已经成为勒索软件团伙的一大主要攻击目标，今年5月，印度香料航空、加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

　　2022年6月，因AWS云存储桶未受保护，土耳其航空公司飞马航空（Pegasus Airlines）发生了性质极为严重的数据泄露。大量飞马航空电子飞行包（EFB）软件源码、飞行数据、机组人员个HQ环球体育人信息存储在公开暴露的存储桶中，允许未授权访问敏感信息。

　　2022年6月，旗星银行（Flagstar Bank）向其150多万名客户发送了一则通知，告知他们在去年2021年12月的一次网络攻击中，他们的个人数据遭到了黑客的访问。被窃取的数据样本包括客户的姓名、社会保险号码（SSN）、家庭地址、税务记录和电话号码等。

　　2022年4月，美国数字支付与金融服务公司Block（前称Square）公开了其一起数据泄露事件，确认一名前员工在离职后下载了其子公司Cash App Investing的某些客户报告，这些报告上有其美国客户的信息。

　　2022年3月，美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击，5400万消费者征信数据泄露，绝大多数为南非公民，据了解南非总人口约6060万人；黑客团伙透露，通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器，该服务器的密码为“Password”；

　　TransUnion公司称，将为受影响的消费者免费提供身份保护年度订阅服务，预计成本将超过114亿元。

　　2022年10月，伊朗原子能组织上周日在官网（ir）发表声明称布什尔核电站的电子邮件服务器遭到黑客攻击。伊朗原子能组织表示，为布什尔核电站服务的IT部门已经检查并发布了有关网络攻击行为的报告，并否认有任何敏感信息被泄露。

　　2022年9月，智利武装部队参谋长联席会议主席吉列尔莫·派瓦将军在包括敏感的国家安全信息在内的大量电子邮件泄露后辞职。在此之前，一个黑客组织利用安全漏洞，公布了40多万封参谋长联席会议的电子邮件，其中包括被列为“保密”、“机密”和“最高机密”的文件。

　　2022年9月，据葡萄牙媒体Diario de Noticias曝光，葡萄牙武装部队总参谋部(EMGFA)遭受网络攻击，据称北约失窃，并发现有黑客在暗网上兜售这些文件。消息人士告诉Diario de Noticias，泄露的文件“极其严重”。

　　2022年3月，此前由俄乌冲突引发民间网络安全能力者的分裂，Conti勒索软件选择站队俄罗斯，引发一名乌克兰安全研究人员的愤怒，开始疯狂地公开泄露Conti内部数据。这些泄露数据可谓双刃剑，安全研究人员可以了解Conti的策略、代码开发、货币化方式、潜在成员身份等信息，采取更可靠的防御手段；恶意软件开发者也可以利用这批数据，指导开发更多的恶意软件。

　　2022年3月，乌克兰媒体《乌克兰真理报》在其网站发布了在乌克兰作战的12万俄罗斯军人的个人信息，称这些信息由乌克兰国防战略中心获取，来源可靠。这12万条个人资料详细记录了12万俄军的名字、注册编号、服役地点、职务等信息，页数多达6616页行业新闻。美国约翰霍布金斯大学高等国际研究院教授Thomas Rid在其社交媒体中表示，如果该泄露信息被证实，这将是有史以来最严重的个人信息泄露事件。

　　2022年10月，澳大利亚健康保险公司Medibank 声称客户200GB数据被盗，并表示其系统并未遭勒索软件加密。Medibank 公司表示，被盗的个人信息包括全名、地址、出生日期、电话号码、医疗号码和保单号码以及索赔数据（如客户接受医疗服务的地址）。

　　2022年9月，印度一家医疗软件提供商的Elasticsearch服务器被发现暴露在互联网上，其中存储了过去几年来往返于印度各地的众多印度及外国人的COVID抗原检测结果，受害者人数超过170万，涉及印度、美国、加拿大等多国公民，具体数据包括姓名、详细地址、电话、Aadhaar医保编号、护照编号、基础疾病情况等敏感个人信息。

　　2022年7月，美国收债人专业金融公司(PFC)报告了一起数据泄露事件，影响了650多家不同医疗保健提供商的190万人。该公司表示，未经授权的入侵者访问了个人数据，包括姓名，地址，欠款金额以及有关向帐户付款的信息。它警告说，有些人的社会安全号码，出生日期以及健康保险和医疗信息也被暴露。

　　2022年8月，网络犯罪分子从泰国医学科学部窃取了 PII 数据，这些数据包含有关新冠的信息。这些数据在几个暗网市场上出售，并可通过不良行为者创建的 Telegram 频道进一步购买。Resecurity, Inc.（美国）正在监控暗网中的数据泄露和数字身份数据的暴露情况，并已向执法部门和泰国 CERT 发出警报。

　　2022年6月，美国医疗设备公司Shields Health Care Group (Shields)遭遇黑客攻击，泄露了大约200万美国人的医疗数据。对日志文件的检查表明，黑客在2022年3月7日至2022年3月21日期间可以访问Shields的系统，从而可能访问包含以下患者信息的数据：全名、社会安全号码、出生日期、家庭地址、提供者信息等。

　　2022年1月，美国Broward Health公共卫生系统近日披露了一起大规模数据泄露事件，影响到1357879人。Broward Health是一个位于佛罗里达州的医疗系统，有三十多个地点提供广泛的医疗服务，每年接收超过60000名入院病人。调查显示，入侵网站的黑客获得了病人的个人医疗信息，其中可能包括全名、出生日期、实际地址、电话号码、财务或银行信息等信息。