至顶网安全频道 08月01日 编译:信息管理对员工和消费者来说都非常重要,因为未经授权的数据泄露可能会导致身份盗用。
虽然信息泄露的程度可能会有所不同,并且数据可能因内部威胁、黑客攻击和员工疏忽而丢失,但所有数据泄露都包含了可能会被盗窃者轻易读取的个人身份信息。
根据Identity Theft Resource Center和其他来源的信息,2018年上半年发生的10起最大数据泄露事件中有近1.82亿条记录遭到泄露。
最大的6起数据泄露事件中有5起影响了私营企业,2起影响到政府机构,1起涉及到金融服务机构,还有2起分别影响到医疗机构和教育机构。
下面就让我们来看看2018年(迄今为止)最大的10起数据泄露事件是如何发生的。
10、美国宾夕法尼亚州教育部
泄露的记录数量:360000
美国宾夕法尼亚州教育部数据库的数据泄露事件,可能泄露了包括包括英联邦现有和之前教师的社会保障号码等个人信息。
这一事件从2月的一个下午开始持续了30分钟,这是由州长行政办公室的一名员工的错误引起的。
在该事件中,登录教师信息管理系统的用户可以查看现有和之前教师的个人信息。该数据库是教师们申请认证、申请部门审查、学校验证教师证书的一个渠道。
宾夕法尼亚州教育部和行政办公室向受影响的个人致信信件,称提供一年的免费信用监测服务。
9、美国佛罗里达虚拟学校(Florida Virtual School)
泄露的记录数量:368000
美国最大的国营虚拟学校在3月披露了两起重大数据泄露事件,以及涉及到内容确切性质。
该学校表示,在其中一起数据泄露事件中,超过368000名在佛罗里达虚拟学校修读课程的学生个人信息在网上处于无保护状态近两年事件,使他们面临潜在身份被盗窃的风险。
根据该学校称,未经授权的个人还得到了在学校与佛罗里达州莱昂郡学区之间转移的数据,包括莱昂郡学区1800多名教师的社会保障号码、地址、电话号码、配偶姓名、个人联系信息和紧急联系人等。
不过莱昂郡学校官方表示,佛罗里达虚拟学校为这次数据被盗取事件负全责,因为黑客从一台意外打开的服务器获取了他们所有的数据。
8、美国医疗公司LifeBridge Health
泄露的记录数量:538000
LifeBridge Health受到恶意软件攻击的攻击,可能导致患者的私人信息暴露超过一年的时间。
该公司称,他们在3月就发现了这一漏洞,服务器上的恶意软件感染了LifeBridge Potomac Professional的EHR(电子健康记录)和LifeBridge Health患者登记和计费系统。
然而接下来的调查发现,黑客在2016年9月首次获得了对EHR和服务器的访问权限,,泄露的数据包括人口统计信息、出生日期、病史、临床和治疗信息、保险数据、以及部分患者的社会保障号码。
LifeBridge说他们已经致信了患者,并建立了一个呼叫中心来回答相关问题。
7、美国加州发展服务部
泄露的记录数量:582000
美国加州发展服务部在4月表示,在2月11日萨克拉门托的一座建筑物中发现了机密信息。
盗窃者洗劫了文件,损坏并偷走了国家财产,并引发火灾,消防喷头让许多记录无迹可寻。
盗窃者可以看到约582000名客户的信息,以及区域中心15000名员工、服务提供商、求职者、参与该部门计划的未成年人家长。
发展服务部方面表示,没有证据显示个人和健康信息被泄露,但是他们正在通知客户和公众持充分谨慎态度。
6、旅游预订网站Orbitz
泄露的记录数量:880,000
旅游预订网站Orbitz表示,3月他们发现潜在的安全泄露事件可能已经导致与支付卡相关的信息泄露。该事件涉及较旧的旅行预订平台,有人在2017年10月至2017年12月期间访问了该平台上的信息。
攻击者可能访问过例如客户全名、出生日期、电话号码、电子邮件地址、帐单地址等个人信息,但Orbitz没有任何直接证据表明,这些该信息是攻击者通过Orbitz网站窃取的。
这家Expedia旗下的公司表示,目前Orbitz.com网站并未受到影响。Orbitz称,已将此事件通知了客户和业务合作伙伴,并提供了一年的免费信用监控服务。
5、SunTrust
泄露的记录数量:150万
SunTrust在4月宣布,一名前员工可能试图窃取和共享约150万客户的数据,包括姓名、地址、电话号码和帐户余额。
据报道,这位前SunTrust员工试图打印信息并共享给犯罪第三方,尽管在任何可能受影响的账户上都没有发现任何欺诈活动。
SunTrust当时表示,PIN码、用户ID、密码和驾照等身份信息并不存在风险,正在与专家和执法部门合作,并持续向所有现有客户和新客户提供免费身份保护。
4、Jason's Deli
泄露的记录数量:340万
Jason's Deli于1月份披露,犯罪分子已于2017年6月8日至12月29日期间在该公司不同餐厅的多个POS终端上部署了抢占RAM的恶意软件。
具体来说,犯罪分子获得的支付卡信息是来自支付卡的磁条全轨数据。此类信息因发卡机构而异,完整的追踪数据会包括持卡人姓名、信用卡或借记卡卡号、到期日期、持卡人验证数字和服务代码。
与静态数据块被非法复制并一次性被盗的情况不同,犯罪分子对Jason's Deli使用的是占用RAM资源的恶意软件,在数月期间发生的交易进行数据拷贝。
3、Saks和Lord&Taylor
泄露的记录数量:500万
根据网络安全研究公司Gemini Advisory的4月报告,一伙小有名气的网络犯罪分子从Saks Fifth Avenue和Lord&Taylor的客户那里盗取了信用卡和借记卡号码,他们似乎是使用植入商店收银系统的软件窃取这些信息的。
Gemini Advisory表示,一群名为Fin7或JokerStash的讲俄语的黑客,宣布了他们已经获得500万个被盗卡号码的缓存,并提供个其中12.5万条记录可立即出售。研究人员确定,从2017年5月到2018年3月,Saks和Lord&Taylor商店的卡号似乎都被使用过。
虽然目前尚不清楚该商店的结账系统究竟是如何被安装了恶意软件,但Gemini表示最有可能通过发送给Hudson's Bay员工的网络钓鱼电子邮件。
2、Sacramento Bee
泄露的记录数量:1940万
1月份,一位匿名黑客在第三方计算机服务器上进入了Sacramento Bee的两个数据库,并要求后者以支付比特币的方式赎回这些数据。
这次入侵让Sacramento Bee的一个数据库发生泄露,其中包含来自美国加州州务卿的选民登记数据,而另一个数据库包含了在2017年之前激活数字账户的订阅用户联系信息。Sacramento Bee没有支付赎金,并删除了数据库以防止进一步的攻击。
这个选民数据库包括1940万选民的联系信息(地址和电话号码)、党派关系、出生日期和出生地点。另一个订阅用户数据库则包括53000名当前和前Sacramento Bee用户的姓名、地址、电子邮件地址和电话号码。
1、Under Armour
泄露的记录数量:1.5亿
Under Armour在3月份表示,MyFitnessPal饮食和健身应用上1.5亿个账户数据遭遇有史以来最规模的黑客攻击。
据该公司称,被盗数据包括MyFitnessPal移动应用和网站的帐户用户名、电子邮件地址和加密密码;社会保障号码、驾照号码和支付卡数据没有受到影响。
Under Armour没有提供详细信息解释黑客如何进入其网络或提取数据而没有被察觉。Under Armour表示,将要求MyFitnessPal用户更改其密码,并敦促用户立即行动起来。 Under Armour在第一次得知此事的4天后开始通知用户。
好文章,需要你的鼓励
香港中文大学与华为诺亚方舟实验室合作开发了PreMoe框架,解决了大型混合专家模型(MoE)在内存受限设备上的部署难题。研究团队发现MoE模型中的专家表现出明显的任务专业化特征,据此提出了概率专家精简(PEP)和任务自适应专家检索(TAER)两大核心技术。实验证明,DeepSeek-R1 671B模型在精简50%专家后仍保持97.2%的MATH500准确率,内存需求降至688GB;而更激进的精简方案(减少87.5%专家)也能保持72.0%的准确率。该方法适用于多种MoE架构,为强大AI系统的广泛部署铺平了道路。
SCIENCEBOARD是一项开创性研究,旨在评估多模态自主智能体在真实科学工作流中的表现。研究团队构建了一个包含169个高质量任务的基准测试,涵盖生物化学、天文学等六个科学领域,并开发了一个真实环境让智能体通过CLI或GUI接口与科学软件交互。实验评估表明,即使是最先进的模型在这些复杂科学任务上的成功率也仅为15%,远低于人类表现,揭示了当前技术的局限性并为未来科学智能体的发展提供了宝贵见解。
帝国理工学院的研究团队开发了AlphaMed,这是首个仅通过极简规则强化学习就能培养医疗推理能力的AI模型,无需依赖传统的思维链示范数据。通过分析数据信息丰富度和难度分布的影响,研究发现高信息量的医疗问答数据是推理能力的关键驱动因素。AlphaMed在六个医疗问答基准上取得了领先成绩,甚至超越了更大的封闭源模型,同时展现出自发的步骤推理能力,为医疗AI发展提供了更加开放、高效的新路径。
Alita是一种新型通用AI代理系统,采用极简设计理念,以"最小预定义,最大自我进化"为原则构建。由普林斯顿大学等多家机构研究团队开发的Alita,只配备一个核心能力和少量通用模块,能自主创建所需工具并重用为模型上下文协议(MCPs)。实验显示,Alita在GAIA基准测试上达到87.27%的通过率,超越包括OpenAI Deep Research在内的复杂系统,证明简约设计可带来卓越性能。