企业发卡网源码文章列表:

• 1、说案全国首例王者荣耀外挂案：carry全场背后原来是……
• 2、机构重大数据泄露案例
• 3、同程艺龙吴志祥是很有意思的人
• 4、预告！中关村番钛客金融科技大赛第五场分组赛来了
• 5、盛弘股份发明专利浅析

说案全国首例王者荣耀外挂案：carry全场背后原来是……

海量英雄热血竞技，凭实力去“carry全场”（游戏术语，意为控制全场大局），靠技术决定胜负，所描绘的即是风靡全国的对战手游大作“王者荣耀”。然而，当众人为荣耀而战的时候，也总能发现作弊者的身影，以及背后寄生着的以此为业的外挂生态链条。

日前，江苏省江阴市检察院办理的“王者荣耀”游戏外挂案，入选全省第一季度在全国有影响力的典型案例。办案检察官讲述了该案的案发以及办案过程。

来自作弊者的举报

2017年8月的傍晚，暑热未消。江苏省江阴市三房巷派出所来了一位特殊的报案人小左，报案的内容既非失窃，也非被伤，而是游戏开挂，自己的王者荣耀账号被封了！

“开外挂，游戏开发商是明令禁止的，一经发现就有被封号的风险，你打游戏的难道不清楚吗？”民警质问道。

“我知道。可是卖外挂的跟我保证长期运行、永不封号！我买的还是75块钱永久版，才两天就这样打了水漂，这不是骗子嘛！你们不管吗？”小左用自己的逻辑回应着民警。

随着询问的进一步深入，民警对这个外挂的来源与功能有了大概了解：一个QQ群：××全网代理分享；两个QQ好友：超人、Godspeed；三个文件：root软件、操作流程、王者荣耀内部辅助软件；一个激活码。四样俱全，解锁封印，便能在游戏里开启无敌模式、亚瑟加速、秒杀、自动刷图等功能，无需人工操作，怪物血量为零碰到就死，几秒一局短时刷满一天金币。

犯罪嫌疑人的电脑截图。

小左的出现拉开了打击猖獗外挂的序幕。依据小左提供的线索，江阴警方在接下来的一个月中，相继赴福建、内蒙古、四川三地，抓获背后制售外挂的大鱼，查获外挂源码、APK软件、激活码以及作案手机、电脑若干部。

从交学费到“产学研”一体

为什么别人总能不断闯关进阶，而自己时时刻刻面临毁灭？每每通关失败，这个问题总会笼罩在谢成的心头。随着与一些玩家接触的增多，谢成明白了，人家掌握着游戏里的稀缺资源。

谢成花钱买了试用，打起游戏来果然如有神助，但好奇心的驱使让其不甘心只做一个消费者。虽然仅有高中文化，毫无编程基础，但他向着“技术”道路迈进的决心已不可阻挡。

没有基础，就从零起步。网络空间是最大的知识宝库，查资料自学，通过交流群交学费请教“程序猿”，经过一年多的摸索，谢成也算是学有所成。

2017年5月，王者荣耀已经跃居全球手游综合收入榜冠军。游戏的爆红，给他带来了可观的代练业务。商机的诱惑，技术的积累，谢成开始着手编写外挂程序。经过两周时间的雕琢，外挂初成，试用之后成效明显：视距增加、透视、怪物出现即死；开了挂的游戏过程，闯关更为容易，金币刷得更快。不过，封号的风险还是存在。

谢成心知肚明，自己的外挂要占有市场，好的用户体验必不可少，于是，他将刚开发出来的外挂程序放到自己组建的“××王者荣耀视距内部群”，还拉了一些喜欢研究外挂的人进来，开展小范围的少量售卖和内测。经过他人的提点，谢成逐步完善了功能，更新了外挂程序，又逐步添加了其他两种验证方式，实现对用户的授权，确保最终的商用。

谢成开发的外挂在用户圈内变得小有口碑，多个二级代理商也找上了门，销路自然不愁。

“亦商亦师”惺惺相惜

案发后，承办检察官提审谢成。

“除了卖外挂，外挂源码你是否会出售？”检察官问。

“对于熟人，我会把源码卖给他的。源码比较贵，一般要200元左右。”

“那你回忆一下，外挂源码卖给过哪些人？”检察官追问。

“有个QQ昵称叫‘沦陷’的，他一共向我买过两三次。”

“那你把具体情况详细讲一下。”

讯问将谢成的思绪拉回到了他与“沦陷”的第一次接触。2017年5月，自己的QQ闪出了一条好友申请消息，备注里面还写着求购王者。谢成估计是客户，同意了申请。

QQ对话，你来我往寥寥几句，谢成已经摸清了“沦陷”的基本情况，对方也是个游戏狂热爱好者，之前加了不少游戏QQ群，辗转找到了这里，凭着懂点技术，想买个源码，既提升自己的游戏级别，又卖个外挂软件能赚点钱。因为源码是可以二次开发的，两人商量下来，以200块钱成交一个可以看得视野更广的视距外挂源码。钱到账后，谢成将源码的压缩件发给了对方。

“沦陷”凭着一点经验，将源码放到某个软件中，根据自己的需要相应地查看、修改了功能源码和验证码，转身一变，这个来自谢成的源码便成了“沦陷”的量身定制版，之后软件再根据源码生成一个新的程序。“沦陷”的新程序刚在群内上架，发卡平台上的外挂验证码即被代理商“超人”一下批去了20个。

过了几个星期，谢成又在自己的群里推广新的“冒险模式”外挂源码，“沦陷”在第一次尝到甜头后，很快又买了一个。不过这个比之上次功能更为复杂，在修改、优化的过程中，“沦陷”不断地遇到新的问题，每每在QQ中向谢成咨询，谢成都是知无不言、倾囊相授。

或许，在“沦陷”的身上，谢成看到了自己的影子。

两名被告人获刑

图①：谢成指认犯罪现场；图②：王超一接受讯问；图③：网上能搜索到不少王者荣耀外挂的宣传。

作为全国首个涉及“王者荣耀”游戏外挂的刑事案件，在侦查阶段，该案即引来了广泛关注。2017年12月中旬，公安机关将该案移送江阴市检察院审查起诉，该院公诉科长魏宏溥及两名副科长周峰、张涛一同承担起了对三名嫌疑人的审查起诉工作。

经过阅卷、讯问，承办人发现了案件中存在的证据薄弱环节：被查扣鉴定的三个版本外挂程序，均存在对游戏客户端实施未授权的修改、删除操作，绕过了游戏的保护措施，对游戏的正常操作流程和正常运行方式造成了干扰，被认定为破坏性程序。但是，嫌疑人交代先后开发并生成的外挂程序版本有接近20个，都进行了售卖，且大部分是通过QQ的方式，从海量的聊天记录中区分具体哪个版本出售了多少不太现实，即使能够查明，也可能因为销售记录的稀少，导致达不到人次或者违法所得的入罪标准。

魏宏溥紧急联系了公安局网安大队的承办人及技术人员过来商讨。很快，小小的办公室内，或坐或站挤满了七八个人。

当着众人的面，魏宏溥抛出了自己的疑惑：我不玩游戏，技术类的知识也不是很懂，但是从法律的角度，该如何解释未查扣外挂版本与已鉴定版本具有同样的破坏性？他的目光随之落在技术人员身上。

网安的技术人员想了想，回答：“有些版本虽然未被查获，但是这些版本实质上是在一个源码上生成的，虽然针对腾讯的封禁，源码会及时做细节性的修改，更新生成新版的程序，但是万变不离其宗。”

承办民警补充道：“‘沦陷’在证言中也提到了，每次版本更新，就是自己做参数的小修小改，根本的脚本语言是不改的。相对于腾讯公司的技术人员，他们的技术水平是不会改、也改不出来的。”

“虽然证言提到了这一点，你们的解释也有一定道理，但是鉴定报告中并未对外挂源码下破坏性的意见，如何确定这个源码生成的程序均是破坏性的？更何况现在不同版本的外挂源码还是有细微差别的。”魏宏溥追问。

民警提出：“能不能让我们出庭作证说明技术问题？”

“或许从我的角度，内心确信版本的不同并不导致实质性的不同，但你们的解释是否符合法律的规定，能否打消法官的疑虑，我们还是需要慎重，毕竟不管是你们控方证人的身份，还是专业水准，都会影响到证据的证明能力。我建议，能不能联系下鉴定机构的专业人员，出庭作证或者提供证言，对我们的问题给出一个更权威的说法？”

在魏宏溥的提议下，承办民警电话联系了专门鉴定机构的专业人员，当晚民警就搭飞机赶往厦门。

第二天下午，魏宏溥收到了传真来的专家证言复印件，专家解释：由于机构的规定，破坏性结论仅能对程序下，而源文件并非程序，所以鉴定报告中对源文件仅能进行功能性描述。鉴定报告中的源文件具有搜索修改王者荣耀客户端内存、删除客户端数据等功能，方法上存在实质性相似，对于通过lua文件编译成的APK程序，在APK程序能正常使用这些功能的，鉴定中心会对APK程序出具破坏性程序结论。

在专家证言解决技术问题的基础上，承办人很快从发卡平台记录以及手机技术勘验获得的聊天记录中提炼出犯罪事实，并在证据难以满足违法所得标准的情形下，及时转换思路，从人次标准上突破，保证了案件顺利起诉。

2018年1月3日、3月23日，“超人”王超一、谢成分别被江阴市检察院以涉嫌提供侵入、非法控制计算机信息系统程序、工具罪提起公诉，分别于2018年1月16日、4月16日被判处一年至一年零三个月不等的有期徒刑，并处2万至3万元不等罚金。“沦陷”因系在校未成年人，目前尚未对其提起公诉。

案后说法

江苏省江阴市检察院检察官 魏宏溥

部分游戏爱好者视游戏外挂为“福音”，但对于游戏开发商而言则是梦魇。近几年来，游戏外挂犯罪在全国各地屡有发生，虽然各地司法机关因具体案情的不同对罪名定性尚有争议，非法经营罪，侵犯著作权罪，破坏计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪皆有之，但无一例外，均科以刑责依法打击。很显然，这是值得每一名外挂开发者、销售者、使用者所警醒的！

透过案件本身，我们可以发现犯罪的成因是多方面的：

首先，“没有需求，就没有买卖”，正是当下游戏环境中存在的开挂文化，成为了外挂开发者、销售者走上犯罪歧途的诱因。

其次，行为人对违法犯罪行为属性认识不足，制挂随意，售挂公开，用挂坦然，而对于其中所蕴含的刑事法律风险，又有几人真正意识到？

最后，相关平台运营商监管失职，发卡平台自动售卖外挂激活码助推犯罪大行其道，相关平台运营商也难辞其咎。

结合本案办理，应从如下方面采取治理措施：

一是营造公平合理的游戏环境，提升游戏爱好者自觉抵制外挂的觉悟修养；

二是开展积极典型的法制宣传，让潜在犯罪者知难、畏险，不以身犯险；

三是提升行业自律，落实自我监管职责，堵塞运营漏洞。

来源 | 检察日报

机构重大数据泄露案例

本文作者：补天漏洞响应平台、360安服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心

国内机构重大数据泄露案例

一、 内部威胁

（一） 某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息

2018年1月，某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看：某社区卫生服务中心工作人员徐某，掌握了某市“妇幼信息某管理系统”市级权限账号密码，利用职务之便，多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前，他累计非法下载新生婴儿数据50余万条，贩卖新生婴儿信息数万余条。

值得注意的是，在该案中，徐某仅是某市某社区卫生服务中心工作人员，却掌握了某市“妇幼信息某管理系统”市级权限账号密码。

从卫生系统“内鬼”徐某到公开出售信息的黄某，多名犯罪嫌疑人层层转手，组成了一条长长的新生婴儿信息倒卖链条。

（二） 某员工私自转让公司权限给朋友，致使30余万条医生数据泄露

2018年2月，某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看：武某任职某企业管理咨询（上海）有限公司广州分公司移动医疗顾问一职，拥有公司某应用系统的工作权限，通过其手机二维码可进入系统，内有大量医生信息。出于朋友情面和同情心理，遂把上述权限给了卢谋。

获得权限后，卢某找来“计算机技术很好”的大学舍友温某，卢某指使温某利用该权限通过计算机技术进入应用系统后台，盗取系统内的医生信息。

截至2016年10月11日，被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。

庆幸的是，被抓获时，温某尚未把爬取到的医生信息交给卢某。

（三） 合作公司员工泄露防伪数据700万条，某知名酒企损失超百万

2018年2月，某警方侦破了知名酒被仿造的案件。从防伪数据泄露的源头来看：蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理，在2014年4月至2016年9月期间，曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据，并将窃取出来的数据泄露给蔡某刚。

据法院审理查明，被蔡某拿披露数据量共计700余万条（可制作成700万瓶能够通过防伪溯源验证的假冒酒）。

但随着泄密事件发生，某知名酒企只得向其他公司重新采购防伪密管系统，并将原有防伪标签升级为安全芯片防伪标签，同时废弃前期采购的4.3万余枚防伪标签。据计算，防伪数据库的泄露直接导致该酒企 经济损失约105.7万元。

（四） 某地方公务员利用职务之便，泄露82万条公民信息

2018年3月，某法院审理了某地方公务员窃取信息案件。从公民个人数据泄露的源头来看：朱某任职于某机关单位。从2010年起，朱某利用职务便利，应朋友刘某、王某的要求，超越职权下载了一些公民个人信息，并将这些信息分别提供给他们使用，造成大量的公民个人数据泄露。

经统计，2010年4月至2016年9月，朱某向刘某提供公民个人信息70余万条，2011年11月至2016年7月，朱某向王某提供公民个人信息12余万条。

（五） 某科技公司内鬼窃取500余万条个人信息，并在网上售卖

2018年4月，某警方侦破了一起个人信息兜售案。从数据泄露的源头来看：北京某高校博士毕业马某，利用在科技公司工作的机会，以黑客技术破解公司数据库，非法盗取海量公民个人信息，包括：淘宝信息、金融信息、医疗信息、社保信息、车辆信息等，其中包括居民身份证号、家庭住址、电话号码等隐私。

此后，8人团伙在网上贩卖出售公民信息，数量达500余万条，容量达60G。目前，8名犯罪嫌疑人全部归案。

二、 外部威胁

（一） 某手机厂商称：4万消费者的信用卡数据泄露

2018年1月，某手机厂商发布声明称，4万名消费者的信用卡信息在2017年11月至2018年1月11日期间遭不明黑客盗取。

该手机厂商证实：网上支付系统遭入侵。攻击者针对其中一个系统发动攻击并将恶意脚本注入支付页面代码中窃取用户付款时输入的信用卡信息，该恶意脚本能直接从消费者浏览器窗口中捕获完整的信用卡信息，包括信用卡号、到期日期和安全代码。

然而，该手机厂商认为通过所保存的信用卡、PayPal账户或者“经由PayPal通过信用卡”方法购买手机的消费者并未受影响。

（二） 北京某教育网站遭入侵，攻击者窃取7万余元

2018年4月，朱某从一个QQ群中得知可以利用网站漏洞进入服务器后台，从而得到管理员权限，修改余额并提现的方法。而且QQ群给出了具体的链接，几乎不需要多少专业知识，一学就会。

所以，朱某在网上注册成为北京某教育科技公司网上商城的会员，利用网站漏洞进入服务器后台，对余额进行修改，打开提现功能。从2016年11月至2017年3月这几个月间，他多次从商城提现，共窃取7万余元。

（三） 多家美容医院的客户信息被窃取

2018年7月，某警方侦破了一起盗窃、贩卖美容整形医院客户信息的案件，在美容整形医院网站上植入木马，侵入服务器，盗取客户信息，层层转手后贩卖给其他美容整形医院。

从美容整形医院客户数据泄露的源头来看：苏某与蒋某制作木马病毒后，假扮美容客户向医院客服咨询，将病毒链接藏匿在整形需求图片上，发送给工作人员。工作打开图片时，服务器被植入木马，客户隐私资料即被盗取。

潘在网上发出求购美容整形客户资料广告，苏某看到后一拍即合，将其发展为下线。“黑中介”杨某某作为批量信息买主，将信息加价后再转让给末端的市场人员，由他们通过电话、网络等方式对客户直接“引流”到愿意给他们提成的医院。为了规避法律风险，他们还安排专门的中间人负责收付款，以防止黑色资金被监控。

（四） 某知名酒店集团5亿条数据泄露

2018年8月，有网民发帖称售卖华住旗下所有酒店数据，该网友在帖子中称，所有数据脱库时间是8月14日，每部分数据都提供10000条测试数据。所有数据打包售卖8比特币，按照当天汇率约合37万人民币，随后又称，要减价至1比特币出售。

事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露，目前还无法完全得知到细节。

售卖的数据分为三个部分：

1） 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共53G，大约1.23亿条记录；

2） 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部 ID 号，共22.3G，约1.3亿人身份证信息；

3） 酒店开房记录，包括内部id号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等，共66.2G，约2.4亿条记录。

8月底，暗网上出现了某知名集团旗下多个连锁酒店客户信息数据的交易行为，数据标价8个比特币，约等于人民币35万人民币，数据泄露涉及到1.3亿人的个人信息及开房记录。9月19日消息，窃取华住旗下酒店数据信息嫌疑人已经被上海警方抓获。

（五） “XX驿站”一千万条快递数据被非法窃取

2018年9月，某省公安厅获悉破获1个非法获取公民信息团伙，抓获犯罪嫌疑人21名。而被非法窃取的信息，经警方查实均系快递数据，来源于各大高校的大学生的快递信息。这些信息包含有单号、姓名、手机号、快递公司名称等。这类信息较为敏感，且数据的准确率极高。

警方通报，该案中，犯罪团伙并非采取以往的直接网络攻击盗取模式，而是对安装在物流网点手持终端（俗称巴枪）中的“XX驿站”APP进行破解后，植入控件程序。通过相关省份“XX驿站”服务商进行推广安装后，直接通过数据回传获得数据。

截至破案，遭非法窃取的快递数据超过1000万条

（六） 某知名酒店数据库遭入侵，5亿顾客信息或泄露

2018年11月30日，某国际酒店集团（Marriott International）宣布，旗下某酒店（Starwood Hotel）的一个顾客预订数据库被黑客入侵，可能有约5亿顾客的数据泄露。这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户，可能被泄露的信息还包括支付卡号码和有效日期，但这些数据是加密的。

某知名酒店表示，调查结果显示，有一未授权方复制并加密了这些数据。而且，自2014年就开始了对其网络进行未授权访问。

国外各行业信息泄露案例

一、 IT信息企业

（一） 因AWS存储桶配置不当引起的信息泄露：

1.上万印度板球球员个人信息泄露

2018年5月，Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的Amazon S3存储桶。从数据的内容来看，它们似乎归属于印度板球管理委员会（Board of Control for Cricket in India，BCCI）。

暴露的S3存储桶包含有大量的敏感数据，涉及从2015年至今向BCCI提交赛季参赛申请的约1.5万~2万印度人。泄漏的信息包括：注册过球员的登记表、选票、银行单据等扫描件及其亲属的姓名、出生日期、出生地、永久地址、电子邮箱地址、手机号码/固定号码、医疗记录、出生证明号码、护照号码、SSC证书号码、PAN卡号码及各种扫描件等。

2.本田汽车泄露敏感数据

2018年5月30日，Kromtech安全中心再次披露了本田汽车公司（HONDA）在印度的子公司——本田印度（HondaIndia）因不安全AWS S3存储桶泄露了超过5万名客户的个人详细信息。

由于公司意外的将超过5万名HondaCONNECT移动应用程序用户的个人详细信息存储在了两个可公开访问的Amazon S3存储桶中，这使得黑客窃取这些数据成为了可能。Kromtech安全中心的研究人员Bob Diachenko发现，能够被公开访问的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址，以及有关他们汽车的信息，包括VIN、Connect ID等。

3.环球唱片被爆泄露敏感数据

2018年5月30日，Kromtech安全中心披露了成立于1912年的全球音乐巨头——环球唱片（UniversalMusic Group，UMG）因为受到其承包商的牵连，暴露了自己的内部FTP凭证、数据库跟密码和AWS配置详细信息，包括访问密钥和密码。

在与环球唱片取得联系后，该公司迅速进行了回应并解决了问题。

4.S3存储桶配置错误，暴露52.7万美国选民个人信息

2018年10月，UpGuard网络风险团队透露，一个归属于美国茶党爱国者公民基金（Tea PartyPatriots Citizens Fund，TPPCF）的亚马逊S3存储桶因为一个配置错误，意外暴露了包括全名和电话号码在内的52.7万选民的个人敏感数据。暴露的数据中还包括战略文件、呼叫源文件、营销资产和其他一些文件，这些文件揭示了TPPCF将美国选民在政治上动员起来的集中努力，这一努力最终帮助唐纳德•特朗普（Donald Trump）赢得了美国总统大选。

5.销售背锅！AWS官方人员导致GoDaddy数据泄漏

2018年8月，UpGuard网络风险小组近日发现了重大的数据泄露，涉及的文件似乎描述了在亚马逊AWS云上运行的GoDaddy基础设施，并采取了保护措施，防止将来有人利用该信息。泄露的这些文件放在公众可访问的亚马逊S3存储桶中，包括成千上万个系统的基本配置信息以及在亚马逊AWS上运行那些系统的定价选项，包括不同情况下给予的折扣。泄露的配置信息包括主机名、操作系统、“工作负载”（系统干什么用的）、AWS区域、内存和CPU规格等更多信息。实际上，这些数据直接泄露了一个规模非常大的AWS云基础设施部署环境，各个系统有41个列以及汇总和建模数据，分成总计、平均值及其他计算字段。还似乎包括GoDaddy从亚马逊AWS获得的折扣。

6.美国软件公司AgentRun意外泄露众多保险公司客户个人敏感信息

2018年5月，据外媒ZDNet报道，美国软件公司AgentRun在最近意外暴露了成千上万保单持有人的个人敏感信息，而究其原因是因为一个未加密的Amazon S3存储桶。

ZDNet指出，不安全的存储桶没有使用密码保护，任何人都可以对其进行访问。该Amazon S3存储桶包含了大量的缓存数据，涉及数千名不同保险公司客户的个人敏感信息，包括类似Cigna和SafeCo Insurance这样的大型保险公司的客户，遭泄露的信息可能包括保险单文件、健康和医疗信息、各种证件的扫描件以及一些财务数据。

在整个数据泄露持续的一小时中，可被公众访问的数据包括：保单文件包含详细的保单持有人个人信息，如姓名、电子邮箱地址、出生日期和电话号码。在某些情况下，一些文件还显示了收入范围、种族和婚姻状况，甚至还附上了空白的银行支票。对于扫描件而言，涉及到各种证件，如社会安全卡片、医疗卡、驾驶执照、选民证和军人证件；医疗记录文件则包含了可以确定保单持有人医疗状况的各种信息，包括个人的处方、剂量和费用。

（二） 澳大利亚16岁高中生数次入侵苹果服务器，下载90G文件

2018年8月，澳大利亚一名16岁高中生曾通过家中电脑成功入侵苹果服务器，在随后的一年时间里，他又数次入侵，下载了约90GB的重要文件，并访问过用户账号。

据悉，该少年在黑客界颇为有名。在发动攻击时，他使用了VPN和其他工具来避免被追踪。但百密一疏，该少年使用的MacBook笔记本电脑的序列号被苹果服务器所记录。

（三） 德国托管服务商DomainFactory大量客户数据遭外泄

2018年7月，DomainFactory公司在公告中指出，一名匿名黑客在DomainFactory的技术支持论坛上发帖称，他已经成功侵入了DomainFactory的客户数据库，并分享了几名DomainFactory客户的内部数据作为证据。发现这篇贴子后，该公司立即对其论坛进行了离线处理并展开了调查。调查结果显示，黑客的说法并非虚构。

DomainFactory最终确认了这一泄露事件，并公布了能够被黑客所访问的数据类型，同时向客户发出了更改密码建议。泄露的数据包括：客户名称、公司名称、客户账户ID、实际住址、电子邮件地址、电话号码、DomainFactory手机密码、出生日期、银行名称及账号等。

（四） 芬兰某公共服务网站数据泄露，超过13万芬兰公民受影响

2018年4月，据芬兰媒体Svenska Yle的报道，芬兰通信管理局（FICORA）于2018年4月6日通过自己的网站向所有芬兰公民发出警告称，一个由赫尔辛基新企业中心（“Helsingin Uusyrityskeskus”）负责维护的网站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻击，大约有13万用户的账户用户名和密码被窃取，同时被窃取的还包括其他一些机密信息。从受害者数量来看，这将是该国有史以来发生的第三大数据泄露事件。

FICORA表示，该网站并没有对存储的任何信息进行加密，无论是用户名还是密码都采用明文形式进行储存，这使得网络犯罪分子更容易利用它们。由于用户名和密码是以明文形式泄露的，因此赫尔辛基新企业中心董事会主席JarmoHyökyvaara建议，如果有用户在其他信息系统或网络服务使用了相同用户名和密码，应该立即对这些密码进行修改。而一旦Liiketoimintasuunnitelma网站重新恢复上线，还应该立即对该网站的账户密码进行修改。

（五） 联想的一台笔记本失窃了：它拥有成千上万名员工的姓名、月薪、银行账号

2018年12月，联想公司通知亚太区员工：一台存储有众多员工未加密数据的办公笔记本失窃！里面有成千上万名员工的工资单信息，包括亚太区员工的姓名、月薪和银行账号。

根据外媒披露，新加坡一名联想员工由公司发放的一台笔记本电脑失窃；要命的是，里面有亚太区成千上万员工的一大堆未经加密的工资单数据。

关于这次重大事故的细节是联想工作人员告诉称，他们对这个严重的错误感到困惑不解。联想已向员工发去了道歉信，承认这个重大的安全问题。

（六） 数千台Etcd服务器可任意权限访问，暴露750MB密码和密钥

2018年3月，据外媒报道，安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了“etcd”组件的服务器暴露在互联网上，利用一些简单脚本即可从中获取登录凭证。目前Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据，其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。

虽然 Collazo 并没有测试这些凭证，但其中一些被推测是有效的，有可能会被攻击者用来侵入系统。此外，根据 Collazo 的说法，任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。

（七） 英国电商软件Fashion Nexus爆漏洞，多个品牌网站140万购物者隐私泄露

2018年8月，许多在英国服饰和配饰在线购物网站上消费的购物者发现他们的个人信息已经被确认遭到了泄露。此次数据泄露事件涉及多个英国时尚品牌，而导致时间发生的根源来自于他们共同的IT服务提供商Fashion Nexus。

由于Fashion Nexus及其姊妹公司WhiteRoom Solutions在安全管理方面的问题，导致一台服务器能够被公开访问。安全研究员TaylorRalston指出，在这台服务器上包含有一个共享数据库，其中涉及众多在线购物网站消费者的个人详细信息。总的来说，在线暴露的信息包含了大约140万消费者的个人信息，包括md5哈希密码、密码、Salt值、姓名、电子邮件地址、电话号码和其他一些数据。值得庆幸的是，并不涉及明支付卡信息。

（八） 云泄露最前线：

1.“不设防”的MongoDB暴露6600万条数据

2018年12月，安全研究人员发现，超过6600万数据在一个没有保护的数据库中，只要知道网址任何人都可以访问，而这些数据似乎来自LinkedIn个人资料。数据缓存包括可识别用户的个人详细信息，可帮助攻击者创建难以识别的网络钓鱼攻击。

根据Hacken网络风险研究总监BobDiachenko的说法，这些数据通过MongoDB公开了这个问题，无需身份验证即可进行访问。这66,147,856条特别的记录包含全名，个人或企业电子邮件地址，用户的位置详细信息技能，电话号码和工作经历，甚至还有个人LinkedIn个人资料的链接。

目前研究人员无法确定该数据库的所有者，但该数据库现在已不再在线，但并不排除它再次出现在网络上的可能性。

2.Adapt.io 123GB数据可公开访问

2018年11月5日，Hacken公司的安全专家发现了一个可公开访问且没有设置密码的MongoDB数据库，其大小为123GB，包含9,376,173条个人信息记录。泄露的信息包括：公司名、公司介绍、姓名、头衔/级别/职位、行业、公司规模、公司收入、电话号码、公司吸纳有联系人、电子邮件等。

经过仔细审查之后，Hacken公司的安全专家得出结论，这个数据库来自一个名为“Adapt.io”的商业服务网站。根据其网站的描述：“Adapt提供了数以百万计的商业联系方式。Adapt的免费工具可帮助您通过电子邮件、电话和众多联系人来丰富您在任何网站上的商业信息。”

3.FIESP近两亿条记录泄露

11月12日，Hacken公司的安全专家在使用Binaryedge.io平台审核可公开访问的Elasticsearch数据库的搜索结果时，发现了似乎是由巴西圣保罗州工业联合会（FIESP）编制的个人信息记录。FIESP隶属于巴西国家产业联合会，包括133个商业协会，涵盖13万个行业，这些行业占巴西国内生产总值（GDP）的42％。

存储在可公开访问的Elasticsearch数据库中的记录，总计数为180,104,892条，其中至少有3个数据集（FIESP、celurares和externo）包含巴西公民的姓名、个人身份证号码、纳税人登记证明、性别、出生日期、完整地址、电子邮箱地址、电话号码等个人信息。

Hacken公司的安全专家表示，他们在向FIESP发出通知后并没有收到任何回复。该数据库最终是在该公司的巴西粉丝Paulo Brito通过电话与FIESP取得联系之后，才得到离线处理的。

二、 政府机构

（一） 法国外交部称紧急联络人信息数据库遭黑客入侵

2018年12月，法国外交和欧洲事务部发表了一份声明，宣称其计算机系统遭黑客入侵，访问并保存了紧急联络人信息的数据库，导致众多个人信息被泄露。据悉，大概54万份个人档案信息在事件中被窃，其中包含姓名、电话号码和电子邮件地址等信息。

目前，这一安全漏洞已得到修复。该部还在事件发生72小时内联系了法国数据监管机构CNIL。

2010年，法国外交和欧洲事务部就创建了一项名为“阿丽亚娜”（Ariane）的紧急服务——如果你打算前往不安全的国家时，可以在“阿丽亚娜”平台上进行登记，将这一信息告诉外交和欧洲事务部。这样一来，你就会收到安全简报，如果当地有危机发生，法国外交和欧洲事务部将会联系你，而且会保存紧急联络人信息，以防你在出境时遇到了意外情况。

此次被泄露就是“阿丽亚娜”平台，保存紧急联络人信息的数据库。

（二） 美国监狱电话监控供应商Securus被黑，大量数据遭窃取

2018年5月，一位匿名黑客从Securus窃取了大量数据，Securus是一家为监狱囚犯提供电话服务的公司，并且为执法部门提供追踪电话使用服务。窃取的数据包括电子表格，上面的标志显示文档属于警方，里面有2800个用户名，还有邮件地址、手机号、密码、安全提示问题，数据最早可以追溯到2011年。

（三） 美国政府网站HealthCare.gov被黑，7.5万人敏感信息泄露

2018年10月，负责HealthCare.gov网站的机构称他们在一个与HealthCare.gov交互的政府计算机系统中发现了一起黑客攻击行为，导致大约7.5万人的敏感个人数据遭到泄露。

其设计由美国联邦医疗保险暨补助服务中心（CMS）监督，并由多个联邦承包商建立。该网站投资高达8亿美金。CMS的管理在声明中说，“我们正努力尽快查明可能受到影响的个人，以便我们能够通知他们，并提供信贷保护等资源。”

（四） 印度国家生物特征库Aadhaar疑似数据泄漏

2018年3月据相关媒体报道，法国一名安全研究员Baptiste Robert通过推文宣称，他在印度政府和非政府机构网站上共找到了2万张Aadhaar卡的电子图片（PDF或jpeg格式），而整个过程只花了约3个小时的时间。

Aadhaar目前拥有着世界上最大的生物识别数据库，已经收集了超过十亿印度公民的虹膜扫描和指纹。随后，印度唯一身份认证管理局（Unique Identification Authority of India， UIDAI）却重申Aadhaar“依然安全可靠”，并将安全漏洞的报告驳回，称其为“不负责任”和“远离真相”

（五） 印度某政府网站意外泄露大量公民敏感信息，目前仍未修复

2018年4月，安全研究员SrinivasKodali报告了一起数据泄露事件，受影响的是一个隶属印度安得拉邦的政府网站。根据Kodali的描述，遭泄露的数据包括Aadhaar号码、银行分行、IFSC代码和帐号、姓名、地址、身份证号码、手机号码、配给卡号码、职业、宗教信仰和种姓信息。

虽然印度政府和UIDAI（印度唯一身份认证中心）曾辩称仅是Aadhaar卡号，并不包含印度公民的所有个人信息。但在印度，Aadhaar号码与其他的个人信息相关联是一个不争的事实。Kodali强调，不法黑客具备生成这种关联列表的能力，这些信息完全可以被用来锁定某个单一的个人。另外，这个数据库是公开可用的，并且允许任何人在未经授权的情况下访问。

（六） 印度全民个人信息遭泄漏，售价不足6英镑！

2018年1月根据印度《论坛报》(Tribune)进行的调查显示，超过10亿印度公民的个人资料（包括指纹和虹膜等生物识别信息）正在在线出售，售价不足6英镑。

这些数据是存储在世界上最大的国营生物识别数据库——Aadhaar中。同时在线出售的还有可用于生成虚假Aadhaar卡的软件。此前，印度政府认为，Aadhaar项目将帮助把大量的印度公民纳入数字经济之中，会对印度的社会发展产生广泛的意义，下令强制该国公民必须在2017年12月31日之前将Aadhaar号码与自己的银行账户、手机号码、保险账户、永久性账号卡（PAN Card）以及其他服务绑定起来。但有批评者认为，该系统的好处被夸大了，并正在面临不断增长的安全风险。

三、 电信运营商

（一） T-Mobile又泄露超过200万客户数据

2018年8月，T-Mobile公司披露，在黑客获得对其系统的访问权后，窃取了“一小部分”客户的个人信息，可能包括个人信息，如姓名，帐单邮政编码，电话号码，电子邮件地址，帐号和帐户类型。其代表表示，今次数据泄露违规行为影响其7700万客户中约3％的客户，约占230万人。

其实，在2016年6月份时已经发生了一起数据泄露事件，T-Mobile的一名员工在T-Mobile捷克共和国窃取了超过150万的客户记录，以便出售以获取利润，最终使得捷克共和国警方介入调查。但该公司表示，数据泄露是被其中一名员工窃取，该员工在尝试销售数据时被捕获。

（二） Voxox短信数据库遭泄，暴露短信认证安全问题

一家位于加州圣地亚哥的通信公司Voxox，由于服务器没有密码保护，导致任何知道该去哪儿窥视的人都能看到近乎实时的短信数据流。驻柏林的安全研究员塞巴斯蒂安·考尔（SébastienKaul）发现，Voxox的一个二级域名指向了这个无遮无拦的服务器。更糟糕的是，这个在亚马逊Elasticsearch上运行的数据库还配置了Kibana前端，使得其中的数据易于读取、浏览以及按照姓名、手机号码和短信内容进行检索。

此安全失误导致一个庞大的数据库遭到泄露，该数据库中的数千万条短信中包含了密码重置链接、双因素认证代码以及快递通知等等。

在TechCrunch发出问询后，Voxox已将数据库脱机。在关闭时，该数据库上似乎拥有年初以来的逾2600万条短信。不过，我们可以从数据库的可视化前端查看到平台每分钟处理的短信数量，它表明实际的数字可能更高。

（三） 电信巨头加拿大贝尔公司数据又被泄，近10万用户受影响

2018年1月，加拿大最大的电信公司加拿大贝尔公司 (Bell Canada) 开始通知10万名消费者称他们的个人数据已遭攻陷。贝尔公司指出，消费者的姓名和邮件地址遭“非法访问”，但加拿大多家新闻报告称黑客可能也获得了电话号码、用户名和账户号。然而，贝尔公司表示尚未有证据表明信用卡或银行信息遭攻陷。

这是贝尔公司第二次遭遇数据泄露事件。2016年5月，该公司证实称约190万个活跃邮件地址和约1700个姓名和活跃电话号码遭黑客访问。目前尚不清楚这两起事件之间是否存在关联。

（四） 泰国最大的4G移动运营商TrueMoveH遭遇数据泄露

2018年4月，泰国最大的4G移动运营商TrueMove H遭遇数据泄露，AWS上46000人的数据被直接曝光在网上，包括驾驶执照和护照，以及身份证件的扫描件等。

安全研究人员Niall Merrigan发现数据泄露问题之后，试图将此问题告知TrueMove H，但运营商没有回应。Merrigan透露，该AWS存储桶包含总计32GB的46,000条记录。

在媒体曝光之后，TrueMove H发布了一份声明，澄清数据泄漏影响了其子公司I True Mart。一位法律专家表示，TrueMove H可能面临数据泄露的惩罚，而安全专家呼吁电信运营商开始引入更完善的数据保护措施。

（五） 俄罗斯电信公司意外暴露数千名富豪客户个人信息

2018年1月，据路透社（Reuters）报道，数千名在一家区域互联网服务提供商完成注册的莫斯科富人可能已经暴露了他们的个人信息，这其中就包括他们的姓名、家庭住址和手机号码等。

报道称，这起备受关注的数据泄露事件的所有受害者全都是俄罗斯互联网提供商AkadoTelecom的客户，这是一家由亿万富翁维克托•维克塞尔伯格（ViktorVekselberg）拥有的大型电信网络。目前，该公司表示已对此次事件展开调查。

（六） 黑进TalkTalk公司的两黑客分别被判1年、10个月

2018年11月，两名来自英格兰斯塔福德郡塔姆沃思的男子因参与2015年TalkTalk公司黑客攻击事件而被判入狱。据悉，21岁的康纳·奥尔索普（Connor Allsopp）与23岁的马修·汉利（Matthew Hanley）两人已对黑客指控认罪。奥尔索普被判处8月的监禁，而汉利被判处12月的监禁。

2015年10月，TalkTalk电信集团公司公开披露，其服务器受“持续网络攻击”，而且，黑客窃取了该公司客户的姓名、住址、出生日期、电子邮箱地址及电话号码信息，且窃取了1.5万用户的财务数据。攻击者还曾试图勒索电信公司TalkTalk首席执行官狄多·哈丁（DidoHarding）。

（七） 美国电信巨头Comcast爆漏洞，暴露2650万用户个人信息

2018年8月，研究员发现Comcast Xfinity无意中暴露了超过2650万名用户的家庭住址和社会安全号码。隶属于这家全美第二大互联网服务提供商的在线客户门户网站上被发现存在两个此前未被报告的漏洞，这使得即使是不具备太多专业技能的黑客也可以很容易地访问这些敏感信息。

在BuzzFeed News向Comcast报告了这项调查结果之后，该公司对漏洞进行了修复。Comcast发言人David McGuire告诉BuzzFeed News：“我们迅速对这些问题进行了调查，在几个小时内我们修复了这两个漏洞，消除了研究人员所描述的潜在威胁。我们非常重视用户的安全，目前没有证据表明漏洞曾被用来攻击Comcast的客户。”

（八） 瑞士电信证实80万数据被盗，涉全国1/10公民信息

2018年2月，一个身份不明的用户访问了Swisscom 客户的姓名、地址、电话号码和出生日期等信息，目前Swisscom认为该用户是通过其销售合作伙伴获取数据的。

据 IBTimes 报道，瑞士电信 （Swisscom） 于 2 月 7 日承认其用户数据在去年年底遭到破坏，约80 万名客户（占瑞士总人口的 10 %）的个人信息遭到泄露。不过 Swisscom 承诺此次事件不会涉及用户任何敏感信息（比如密码、会话或支付数据）。此外，为了更好地保护第三方公司对个人数据的访问，Swisscom 做出了一些重要改变，其中包括：相关合作伙伴公司的访问权限已被立即封锁；在销售合作伙伴账户中引入双因素认证，同时削减运行大容量查询的能力；第三方账户上的任何异常活动都会触发警报并阻止访问。

（九） 西班牙电信Telefónica存漏洞，可暴露数百万用户的完整个人数据

2018年7月，据El Espanol报道，西班牙电信（Telefónica）在16日凌晨被西班牙消费者协会FACUA发现存在一个安全漏洞。透过这个漏洞能够访问数百万用户的完整个人数据。暴露给黑客的信息包括固定电话和移动电话用户的全名、国家身份证号码、家庭住址、银行记录和通话记录，而所有这些数据都可以以电子表格的形式下载。

Telefónica表示，他们在接到这一通知后，立即对该漏洞进行了修复。另外，也向有关当局进行了报告。而El Espanol称，因为该漏洞而可能遭到泄露的数据包括用户的个人身份信息和支付卡信息，并且漏洞极其易于利用，即使是不具备高技术水平的入侵者也能够访问对它们进行访问。

有专家表示，“Telefónica作为全球十大电信公司之一，收入超过530亿美元。令人惊讶的是，Telefónica用户的数据居然可以轻松下载为未加密的电子表格。”

（十） 印度国有运营商BSNL内网遭入侵，4.7万员工个人信息随意浏览

2018年3月，根据《印度经济时报(The Economic Times,ET)》及多家国外媒体的报道，法国安全研究人Robert Baptiste声称已获得了印度国有电信运营商Bharat Sanchar NigamLimited（BSNL）内部网络数据库的访问权，该数据库包含超过4.7万名员工的详细信息。

早前，Baptiste还与ET分享了一个包含BSNL离职和现任员工姓名、职称、密码、手机号码、出生日期、退休日期、电子邮件地址等详细信息的数据库样本。ET随后从数据库中调取了六名员工的个人信息，并通过电话验证了他们的身份属实。

Baptiste已通过Twitter与BSNL进行了接触，并通知了他们关于这个问题。该公司的IT团队与他进行了讨论，最终确认了问题的严重性。目前，大部分漏洞已经被修复，而一些网站也已经被删除。

据Baptiste反馈，这个问题最初是由印度安全研究员Sai KrishnaKothapalli在两年前报道的，但在当时并没有得到BSNL的答复。

四、 互联网

（十一） Facebook披露严重漏洞：黑客可控制5000万用户账号

2018年9月，Facebook周五宣布，该公司发现了一个安全漏洞，黑客可利用这个漏洞来获取信息，而这些信息原本可令黑客控制约5000万个用户账号。在披露这一消息之前，Facebook股价已经下跌了1.5%左右，消息传出后进一步走低，到收盘时下跌2.59%报164.46美元，盘中一度触及162.56美元的低点。

Facebook发布博文称，该公司的工程团队发现，黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞，是因为该公司在9月16日注意到用户活动大增。Facebook表示将暂时关闭View As功能，将对其安全性进行审查。Facebook表示已通知美国联邦调查局（FBI）和爱尔兰数据保护委员会（Irish Data ProtectionCommission）等执法机关，目的是解决任何有关一般数据保护条例（GDPR）的问题。

（十二） Facebook严重漏洞调查：2900万用户数据失窃，易受针对性钓鱼影响

2018年10月13日，Facebook周五宣布，网络攻击者利用一个自动程序窃取了Facebook约2900万个账户的数据。该公司表示，将在未来几天向受影响用户发送信息，告知他们在攻击中被访问了哪些类型的信息。

据介绍，攻击者从1400万用户中获取了个人资料的详细信息，如出生日期、雇主、教育历史、宗教信仰、使用的设备类型、跟踪的页面以及最近的搜索和位置登记。对于其他1500万用户，入侵仅限于姓名和联系方式。此外，攻击者还可以看到约40万用户的帖子和好友列表。

根据今年5月欧盟颁布的“通用数据保护条例”，Facebook必须在得知妥协后72小时内发出通知。Facebook的主要欧盟数据监管机构爱尔兰数据保护专员上周对这起泄密事件展开了调查。包括美国康涅狄格州和纽约州在内的其他司法管辖区的有关部门也在调查这起袭击事件。

（十三） Facebook隐私泄露人数上升至8700万，用户主要集中在美国

2018年4月，Facebook首席技术官Mike Schroepfer发表的一则博客文章称，我们认为Facebook上约有8700万用户，大约81.6%是美国用户，或许受到Cambridge Analytica获取数据的影响。此前，受到此次事件影响的Facebook用户数预计在5000万左右，8700万人的数字较之前的预估有了大幅提升。

由Cambridge Analytica大数据分析公司所引发的Facebook用户数据大面积泄漏事件目前仍在发酵，尽管Facebook方面已经公布一系列措施已改善用户数据安全管理，但关于此事件的调查仍在进行中。

（十四） Facebook又泄露700万用户个人照片，可能面临16亿美元罚款

2018年12月，据外媒报道，社交网络巨头Facebook可能面临超过16亿美元的罚款，因为它刚刚在一次安全入侵事件中暴露了近700万用户的个人照片。爱尔兰数据保护委员会（IDPC）表示，它已对这个安全入侵事件是否遵守了一般数据保护法(GDPR)的相关规定展开了调查。其中有些被曝光的照片是用户从未在该社交网络上分享过的照片。

电子隐私信息中心(Electronic PrivacyInformation Center)执行董事马克-罗滕贝格(MarcRotenberg)称，这一安全入侵事件可能会让Facebook违反它在2011年与美国贸易监管机构签署的一项协议，该协议要求Facebook改善其隐私做法，否则将面临罚款。

（十五） 谷歌关闭个人版Google ：因50万用户数据遭到曝露

2018年10月9日，据报道，谷歌周一在公司博客中宣布，公司将关闭旗下社交网站Google 的消费者版本。此前该公司宣布，Google 在长达两年多时间里存在一个软件漏洞，导致最多50万名用户的数据可能曝露给了外部开发者。

谷歌称，公司今年3月就已发现这个漏洞并推出补丁加以修复，并表示没有证据表明用户数据被滥用，也并无证据表明任何开发者明知或利用了这个漏洞。

受此影响，谷歌母公司Alphabet股价下跌1.02%，报收于1155.92美元。

（十六） Google 再曝严重漏洞影响5250万用户，将被提前关闭

2018年12月，谷歌表示，在Google People API 中找到另外一个严重的安全漏洞，可导致开发者窃取5250万名用户的个人信息，包括姓名、邮件地址、职业和年龄。将导致谷歌将在2019年四月，即比计划时间提前四个月关闭该社交服务。

这个易受攻击的 API 被称为“People:get”，旨在让开发人员请求和用户资料相关的基本信息。然而，谷歌在11月发布的软件更新导致 Google People API 中出现 bug，导致即使在用户资料被设置为“非公开”的情况下，app 仍可查看用户信息。

（十七） 供应商产品感染恶意软件，致使Ticketmaster英国网站客户信息泄露

2018年6月，票务销售公司Ticketmaster的英国网站宣布，他们在Ticketmaster网站相关产品中发现了恶意软件，部分客户的个人信息或付款信息或许已因此遭到泄露。

Ticketmaster是一家大型票务销售公司，总部位于美国加利福尼亚州，运营点遍布全球，主营票务类型为娱乐、体育。根据其官方公告，6月23日Ticketmaster UK在由Ticketmaster的外部第三方供应商Inbenta Technologies托管的客户支持产品中发现了恶意软件。发现恶意软件后，他们禁用了所有Ticketmaster网站上的Inbenta产品。尽管如此，部分客户的个人信息已经因此泄露，可能暴露的个人信息包括：姓名，地址，电子邮件地址，电话号码，付款详情和Ticketmaster登录详细信息。

（十八） 黑客售8万个Facebook用户信息：每个账号售价10美分

2018年11月，据BBC报道，黑客称其已经窃取和公布了至少8.1万个Facebook用户账号的私人信息，并以每个账号10美分的价格出售其所盗取的数据。

BBC获悉，在个人细节信息被盗的用户中，很多都是乌克兰和俄罗斯用户，但也有一些来自英国、美国、巴西及其他国家。黑客以每个账号10美分的价格出售其所盗取的数据，但他们此前发布的广告现已下线。

此次黑客事件最早是在今年9月曝光的，当时一名昵称为“FBSaler”的用户在一个英语在线论坛上发布帖子称：“我们出售Facebook用户的个人信息。我们的数据库里有1.2亿个账号。”随后，网络安全公司Digital Shadows代表BBC进行了调查，并确认被在线发布的8.1万多个账号中包含了用户私人信息。

（十九） 美版“知乎”Quora遭黑客入侵：1亿用户数据裸奔

2018年12月，据报道，美国社交问答Quora网站称，该公司已经聘请“顶尖数字法证和安全公司”，并且已经上报执法部门。他们上周五发现其用户数据遭到身份不明的第三方非法获取。亚当在博客中表示，大约1亿Quora用户可能有大量信息遭到泄露，包括：帐号信息、公开内容和活动，以及非公开内容和活动。

Quora表示，匿名提交问题和答案的用户不会受此影响，因为Quora并没有存储任何与匿名用户有关的信息。

（二十） 全球最大同性社交软件Grindr存漏洞，可泄露用户信息及位置

2018年3月，美国NBC的一份报道称，一款名为Grindr的交友应用程序存在两个安全问题，它可以暴露超过300万用户的信息，包括那些选择不共享这些信息的人的位置数据。

此漏洞是AtlasLane公司的首席执行官TreverFaden在创建了一个名为C*ckblocked的网站后发现的，他的网站在输入Grindr用户名和密码后可查看谁屏蔽了他们。但用户登录成功后，Faden就可以访问用户档案中没有公开的用户数据，包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。

Grindr为全球最大的同性社交网站，今年1月初被北京昆仑万维科技股份有限公司收购，其拥有的用户超过几百万遍布234个国家。

（二十一） 社交新闻网站Reddit遭黑客攻击，2007年之前的备份数据泄漏

2018年8月，美国社交新闻网站Reddit周三宣布，该公司的几个系统遭到黑客入侵，导致一些用户数据被盗，其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。

Reddit称，黑客获取了旧数据库备份的一个副本，其中包含了早期Reddit用户数据，时间跨度从2005年该网站成立到2007年5月。Reddit表示，此次攻击是通过拦截员工的短信实现的，该短信中包含了一次性登录码。该公司还补充道，他们已经将此事通知受影响的用户。

（二十二） 实时聊天供应商被黑，致使西尔斯、达美航空、百思买用户信用卡泄漏

2018年4月，美国百货连锁公司西尔斯 (Sears)、达美航空 (Delta Airlines) 以及百思买 (Best Buy) 因共用的软件提供商被黑而导致客户的支付卡详情遭暴露。

这家被黑的公司位于美国加州圣荷西，提供多种客户支持服务，包括实时聊天系统和人工智能聊天机器人等。

达美航空公司表示，攻击者设法窃取的信息包括持卡人姓名、地址、卡号、CVV号码以及有效期。但该公司虽然并未说明受影响的乘客人数有多少，但表示攻击者并未获得访问护照或政府身份详情的权限，同时也未获得访问托管在 SkyMiles 计划中的数据的权限。

（二十三） 亚马逊解雇擅自向第三方商家披露用户信息的员工

2018年10月，亚马逊称公司解雇了一名擅自向网站上的第三方商家披露消费者电子邮件地址的员工，该员工的行为违反了亚马逊的政策。亚马逊发言人在声明中说：“须对此事负责的个人已被停职，我们支持执法部分采取诉讼。”

根据发送给消费者的通知，亚马逊已经提醒购物者但表示并不需要采取更改密码等措施。公司并没有披露受影响消费者数量。

（二十四） 亚马逊因“技术错误”泄漏部分客户信息，包含姓名、邮件地址

2018年11月，据外媒报道，亚马逊向受影响客户发送的电子邮件显示，由于“技术错误”导致一些客户的姓名和电子邮件地址遭到泄漏。周三上午，数人在网上分享了这些电子邮件的截图。

亚马逊在一份声明中说，“我们已经解决了这个问题，并通知了可能受到影响的客户。”

亚马逊没有回答有关有多少客户受到这一错误的影响，也没有回答有关信息公开时间的问题。亚马逊一位发言人告诉CNBC，亚马逊的网站和系统都没有被破坏。该公司没有透露客户信息的可见位置。

五、 交通物流

（二十五） 38万笔用户支付信息失窃，英国航空公司道歉

2018年9月，英国航空公司7日为乘客信息失窃道歉，承诺将赔偿遭受经济损失的用户。英国政府已知道这起“网络攻击”，正调查事件经过。

据英航的母公司国际航空集团6日透漏，8月21日至9月5日，英航网站及手机应用程序遭受“黑客”攻击，涉及大约38万笔用户网上支付交易；用户姓名、住址、电子邮箱账号、信用卡卡号及有效期、安全码泄露，航班信息和护照信息没有失窃。

英航董事长克鲁斯告诉记者，黑客作案手法“极其复杂”，为英航在线运营20多年来所未见。黑客没有破坏英航加密系统，而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。

（二十六） 澳洲最大汽车共享服务公司GoGet被黑客入侵，会员信息惨遭泄漏

2018年2月，GoGet公司向其客户发出警告，称他们的车辆预定系统在去年遭到了黑客的入侵，在去年7月27日之前注册的会员个人信息已经遭到泄露。

GoGet是澳大利亚首家，也是规模最大的一家汽车共享服务公司，业务覆盖澳洲五大主要城市，这包括：悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。

泄露信息的多少取决于GoGet用户在填写会员登录表时录入的具体个人资料内容，这可能包括：姓名、家庭住址、电子邮箱地址、电话号码、出生日期、驾驶执照详细信息、就业单位、紧急联系人的姓名和电话号码以及GoGet管理帐户详细信息。

（二十七） 航运巨头马士基旗下子公司近半员工个人信息泄漏

2018年3月，根据《丹麦海军时报（MaritimeDanmark）》的报道，航运公司SvizterAustralia有大约500人受到了数据泄露事件的影响，而遭到泄露的个人信息可能包括税务档案号码、亲属详情以及退休金账户信息。

初步调查结果显示，在2017年5月该公司的三个关键电子邮箱账户遭到了匿名黑客的入侵，约6万封电子邮件被秘密地自动转发到了两个公司外部电子邮箱账户。

Svitzer的通信主管Nicole Holyer表示，该公司在今年3月1日收到了警告后阻止了黑客的电子邮件盗窃行为。另根据Holyer的说法，该公司使用由第三方电子邮件服务提供商托管的服务，目前该公司已经向提供商送达了法院命令，以向调查人员提供访问权限。

（二十八） 美国邮政局修复API漏洞，6000万用户个人信息或受影响

2018年11月，据报道，美国邮政局（USPS）周三发布补丁修补了一个API漏洞。攻击者可在该API的“帮助”下，利用任何数量的“通配符”搜索参数获取其他用户的大量数据：从用户名、账号到实际地址和联系方式等等。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户，大约有6000万美国邮政用户受该安全漏洞影响。

根据Kerbs on Security的报道，这个漏洞在一年前由一名独立的安全研究员首次发现，该研究员随后告知了美国邮政局，然而从未获得任何回复，直到上周Krebs以该研究员名义联系了美国邮政局。

（二十九） 南非再次遭遇数据泄露：近100万公民个人信息网上曝光

继2017 年南非遭遇一起大规模的数据泄露事故，2018年5月，这个国家又发生了一起数据泄露，导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据，涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。

南非 eNATIS 驾照人数统计（2017 年 3 月）

在专家帮助下，外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关。被泄露的数据库，是在一个公共网络服务商上被发现的，系统属于一家处理南非电子交通罚款的公司。

（三十） 尼日利亚最大航空公司Arik Air云泄露大量乘客数据

2018年11月初，据尼日利亚当地媒体《优质时报（Premium Times）》报道，尼日利亚国内最大的航空公司Arik Ai公布的数据显示，该航空公司的大量乘客数据因为一个没有得到保护的亚马逊S3存储桶暴露在了网上。

根据Cloudflare的安全主管Justin Paine的说法，日前他在日常扫描活动中发现了一个包含大量CSV文件的亚马逊S3存储桶，而这些敏感文件很可能归Arik Air航空公司所有。

Justin Paine的分析显示，遭泄露的数据包含了乘客的姓名、电子邮箱地址、订购时的IP地址以及使用的信用卡哈希值。此外，还包括信用卡的信息、订购的日期、支付的金额、使用的货币类型、设备指纹以及出入境机场。

（三十一） 欧洲铁路系统遭遇黑客攻击，大量旅客数据泄露

2018年5月，旅行网站欧洲铁路（Rail Europe）公司向客户发布通告表示，有黑客入侵了该公司的机票预定网站，或已窃取了大量敏感数据。欧洲铁路北美有限公司（RENA）表示，因此次黑客事件可能泄露客户的个人信息包括：

姓名；

性别；

收件地址；

发票地址；

电话号码；

电子邮件地址；

信用卡/借记卡号码；

支付卡到期日期与验证值。

除此之外，某些注册用户的用户名与密码也可能遭遇外泄。更令人担忧的是，黑客已经在 RENA 系统当中驻留近三个月之久。RENA在2018年2月16日与银行联系时，开始意识到其欧洲铁路网站可能存在问题，直到5月才确认该泄露事件。

（三十二） 英国航空承认最近发生的网络攻击比想象中还要糟糕

2018年10月，据外媒报道，英国航空公司(British Airways)证实，发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。

在与网络法医专家和英国国家犯罪署合作之后，这家公司还发现，此次攻击之前，受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。

虽然现在还没有证据表明黑客将银行卡信息用于不法活动，但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。

（三十三） 中东打车巨头Careem被黑，1400万乘客信息失窃

2018年4月，一家位于迪拜的叫车公司Careem向媒体透露称该公司遭遇了网络攻击并造成了数据泄露。黑客盗取的数据包括用户的姓名、电子邮箱地址、手机号、和行程数据，所有在今年1月14之前注册过Careem的用户都受到了影响。据Careem称，目前无迹象表明黑客有获取到用户的密码和信用卡号。

该数据泄露事件涉及到的用户包括55.8万名司机和1400万乘客。Careem目前在全球13个国家运营，覆盖90个城市。Careem曾宣布其在土耳其和巴基斯坦等国处于市场领先地位。

六、 教育

（三十四） 加拿大亚岗昆学院服务器感染恶意软件，超过11万条记录泄露

2018年7月，位于加拿大安大略省的亚岗昆学院发布了一份声明，通报了一起影响到人数众多的大规模数据泄露事件。此次黑客入侵事件最初发生在2018年5月16日，亚岗昆学院的服务器被发现感染了恶意软件。

该学院已经确认了4568名个人，包括学生和校友，可能遭泄露的数据包括出生日期和家庭住址。另有106931名个人，包括学生、校友以及现任和前任员工，可能遭泄露的信息是一些公开的非敏感信息。学院已经就此事通知了安大略省信息和隐私专员以及渥太华警察局。

（三十五） 教育网站存漏洞，俄罗斯1400万大学毕业生个人信息泄漏

俄罗斯技术社区网站Habrahabr上，一名昵称为NoraQ的用户（黑客）2018年1月29日发文称，1400万名俄罗斯大学毕业生信息泄露。俄罗斯总人口数量约为1.46亿，即十分之一俄罗斯人的信息泄露。泄漏信息包括姓名、出生日期、个人账户的保险号码、纳税人识别号码、电子邮件地址等，文件大小约为5GB。

NoraQ在俄罗斯联邦教育科学联督局服务网站上发现了一个SQL注入漏洞，通过这个漏洞他下载了上述1400万名毕业生信息。

（三十六） 全美最大公立网校FLVS遭遇数据泄露，近37万师生受影响

2018年3月14日，佛罗里达虚拟学校（Florida Virtual School，简称FLVS），在一份声明中表示，近37万名师生的个人敏感信息可能已经遭到了外泄，以及2000多名教师可能会因此受到影响。可能泄漏数据包括学生的姓名、出生日期、学校帐户用户名和密码，以及其父母的姓名和电子邮件地址。

FLVS成立于1997年，是全美第一所也是最大的一所公立虚拟学校。FLVS表示，他们的IT人员在2月曾发现一台服务器存在严重的配置错误问题，这导致该服务器对于黑客来说是“完全开放”的。

目前，FLVS已经将此事通报给了政府执法部门。除此之外，FLVS还将会为受影响的师生提供为期一年的年度免费信用监控服务。

（三十七） 数据泄露影响超过1000万公民，马来西亚教育部SAPS系统紧急下线

2018年6月，据马来西亚媒体Malay Mail报道，在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后，由马来西亚教育部推出的学校考试分析系统（SitemAnalisis Peperiksaan Sekolah，SAPS）被迫紧急下线。

报道指出，一位要求匿名的读者在上周五晚向Malay Mail爆料称，教育部此前无视他的警告，迫使他不得不向媒体寻求帮助。之后，他向马来西亚计算机紧急响应小组（MyCERT）进行了通报。MyCERT 在周六中午对Malay Mail出了回应，该系统之后也在同一天被下线。

“这是一个很好的系统，但是它的后端完全失败，他们存储了数以百万计学生的细节记录，但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问，他们只是忽略了它。”这位匿名读者报料说，“这个系统从上线第一天起就存在漏洞。”他还抱怨登录机制是“一个彻头彻尾的笑话”，因为密码存储在一个纯文本文档中，没有进行任何加密处理。

（三十八） 因员工发错邮件，普渡大学2.6万名学生详细信息暴露

2018年5月，美国印第安纳州西拉法叶市的普渡大学（PurdueUniversity）发生了一起数据泄露事件，恰恰就只是因为一名工作人员一不小心犯下的一个低级错误导致的。据报道，在这起数据泄露事件中，所涉及的数据超过2.6万条。

在解释这一事件时，普渡大学助理法律顾问Trent Klingerman表示，该校的一名工作人员原本计划是要发送一份与财政援助计划有关的宣传手册，但无意中将包含学生个人信息的表格发送给了学生的家长。邮件附件是一个Excel文件，包含了超过2.6万名学生的数据。

七、 金融

（三十九） AWS存储桶泄露50.4GB数据，美国消费金融巨头受影响

2018年3月，云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services（简称AWS）S3存储桶未受保护而泄露的50.4GB数据。经证实，此AWS存储桶属于云商务智能（简称BI）与分析厂商 Birst 公司。

这50.4 GB数据涉及Birst公司主要客户Capital One（一家位于弗吉尼亚州麦克莱恩市的金融服务巨头，亦为全美第八大商业银行），包含 Capital One 网络基础设施配置信息以及 Birst 公司的设备技术信息。

根据 UpGuard 公司发布的官方博文，这批数据当中包含密码、管理访问凭证以及私钥，且专供Birst公司内部云环境中的Capital One 相关系统使用。攻击者利用这批遭到泄露的数据足以掌握 Capital One对 Birst 设备的使用方式，进而入侵 IT 系统并深入挖掘该公司的内部资讯。

（四十） Delta、Sears供应商遭网络攻击，数十万名客户信用卡信息可能曝光

2018年4月，据外媒报道，Delta和Sears发布声明称，相关曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。上述数据泄露事件最先由路透社曝出，其发生的地点为一家同时为Delta和Sears在线聊天平台提供服务的公司。

目前，联邦执法部门、银行以及IT安全公司正在对这一安全事件进行调查。而Sears和Delta都分别开设了针对此事件的客户通道，前者开通了一个客户咨询热线，后者设立了一个专用解答网页delta.com/response。

（四十一） NAS配置不当，保险公司大量敏感数据泄露

2018年1月19日，UpGuard网络风险研究主任Chris Vickery留意到了美国马里兰联合保险协会（MDJIA），因为他发现了属于该保险协会的一个联网存储（NAS）设备，该设备通过一个开放端口与互联网连接，而它内含与协会IT运营的重要敏感数据。因存储设备的错误配置，将数千客户的信息泄露到网上。

与被泄数据存储一起被曝光的是JIA客户文件和声明的备份，包括客户姓名，地址，电话号码，生日以及社保号，支票扫描件，银行账号和保险单号。除了这些重要的客户信息，这次泄露还曝光了一个内部访问凭证数列，它原本用于管理和控制MDJIA协会的运营，包括远程桌面，邮件，第三方用户名和密码。

（四十二） PayPal旗下移动支付服务Venmo默认公开用户交易信息（已遭滥用）

2018年7月，一名隐私提倡者Hang Do Thi Duc发布最新调查结果表示，多数 Venmo 交易被记录在任何人均可访问的一个公共 API 中，原因是 Venmo app 的默认设置为所有用户设置为“公开”。他通过这一隐私策略查询 Venmo API 并下载了该公司所有2017年的公开交易记录，总计 207,984,218 条。

除非用户特别更改了这个值，否则他们通过 Venmo 转账 app 做出的所有交易都被记录且任何人均可通过 Venmo 公共 API 遭访问。通过这个 API 暴露的数据包括发送人和收款方的姓和名、Venmo 头像、交易日期、交易留言、交易类型等。据悉，Venmo 是一款仅在美国使用的移动支付应用，于2009年推出。2013年，Venmo 成为 PayPal 子公司。

（四十三） 澳大利亚联邦银行遗失了1200万条用户银行数据

2018年5年，外媒BuzzFeed报道，澳大利亚第一大商业银行澳大利亚联邦银行（CBA）证实，包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带，在一次数据中心转运任务中被其分包商Fuji-Xerox丢失。其中至少包含1200万名用户的银行交易数据。

当银行意识到这起事件时，其委托三方统计公司毕马威（KPMG）进行过一次独立的剖析调查，以了解具体情况，并通知了澳大利亚信息专员办公室（OAIC）。毕马威（KPMG）在调查后发现存储带很有可能已被处置，很难寻回。

（四十四） 超2万张银行卡数据在暗网兜售，几乎涵盖巴基斯坦国内所有银行

2018年11月，据巴基斯坦GEO电视台报道，几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响，而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局（FIA）网络犯罪部门负责人的证实。

根据俄罗斯网络安全公司Group-IB最近发布的一份报告，其在暗网上发现一批数据，包含了超过2万张巴基斯坦银行卡的详细信息，而这些数据归属于在该国运营的“大多数银行”的客户。巴基斯坦PakCERT的专家认为，这些数据是通过银行客户的刷卡行为获得的。这些支付卡数据正在暗网出售，售价从100美元至160美元不等。

（四十五） 黑进上百家美国企业窃取1500万张信用卡记录，三名乌克兰黑客被捕

2018年8月，据外媒报道，三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到，该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍，这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC（美证券交易委员会）投诉文件展开。

现在，Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。

（四十六） 汇丰银行美国分部发生非授权访问和数据泄露

2018年11月，汇丰银行（美国）通知客户10月4日至10月14日期间发生了数据泄露，攻击者访问了访问该金融机构的在线账户。

泄露的信息包括：客户全名，邮寄地址，电话号码，电子邮件地址，出生日期，帐号，帐户类型，帐户余额，交易历史记录，收款人帐户信息以及可用的帐单历史记录。

为应对安全漏洞，汇丰银行的美国子公司暂停了在线账户访问以防止滥用。数据泄露后，汇丰银行加强了个人网上银行的认证流程，增加了额外的安全保障。

（四十七） 加拿大两家银行遭黑客勒索，9万名客户信息被盗

2018年5月，据加拿大《环球邮报》报道，两家加拿大银行——蒙特利尔银行（Bank ofMontreal）和网上银行SimpliiFinancial——都对外表示遭到黑客袭击，并且发出警告称，袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息，并威胁将公开这些数据。约9万名客户信息被盗，这可能是加拿大金融机构遭受的首次重大攻击。

蒙特利尔银行的发言人表示，事件之后收到了攻击者的威胁，称若不支付100万赎金就将公开被盗客户数据。此次两家银行遭受的袭击事件似乎是相关联的。该行表示，目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。

（四十八） 离职员工窃取客户联系人名单，SunTrust银行150万客户信息泄露

2018年4月，美国SunTrust银行证实，在一名离职员工偷窃了该公司的客户联系人名单之后，超过150万名客户的个人信息可能已经因此遭到泄露。

SunTrust银行的首席执行官William Rogers称，这属于团伙作案，这名离职的前员工通过与第三方合作成功对公司的客户联系人名单进行了盗窃。名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额。

Rogers表示，SunTrust银行正在积极配合第三方安全专家和执法部门进行事件调查。尽管调查工作仍在在进行中，但出于对客户负责，SunTrust银行正在主动通知约150万名客户。

（四十九） 美国征信公司信息泄露事件升级，新增240万受害者

2018年3，据报道，美国征信公司伊奎法克斯(Equifax)表示，关于2017年9月曝出的1.4亿用户个人信息泄露事件，近日又发现另外240万名受害者。

伊奎法克斯称，之前未发现新的受害客户，是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。该公司还表示，将会通知这些用户，并为他们提供防盗保护和信用报告监控服务。

（五十） 新蛋网用户信用卡数据泄漏：恶意代码已侵入约1个月

2018年9月下旬，据报道，在过去约1个月的时间，购物网站新蛋（Newegg）的用户数据发生泄露事故，目前新蛋正在对网站进行整理改进。

有安全研究人员发现，黑客将15行恶意盗刷代码植入新蛋网支付页面，从8月14月-9月18日，代码一直存在。这种恶意代码从用户手中窃取信用卡数据，传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户，只是目前还不清楚移动端用户是否已经受到影响。安全研究人员指出，攻击新蛋网的方式十分巧妙，伪装极好，与英国航空公司（British Airways）信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。

（五十一） 智利1.4万信用卡资料被黑客组织盗取

2018年7月，根据智利政府公布的消息，黑客盗取了智利约1.4万张信用卡的资料，并将这些资料公布在社交媒体上。

据报道，在这起案件中，黑客公布了信用卡卡号、有效期限及安全码，受攻击影响的银行包括桑坦德银行(Santander)、伊塔乌银行(Itau)、丰业银行(Scotiabank)和智利银行(Banco de Chile)，这些银行已通知客户遭入侵一事。

智利政府的银行监管机构表示，这起袭击行动是黑客组织“影子经纪人”(Shadow Brokers)展开的，该组织因入侵美国国家安全局(NSA)而闻名。

（五十二） Dark Overlord黑客发布了第一批“秘密”911文件

据雷锋网报道，2018年12月31日，黑客组织DarkOverlord在一篇发表于源代码分享网站Pastebin上的帖子中威胁称：

他们已经从一家为保险公司Hiscox Syndicares Ltd.提供咨询服务的律师事务所窃取到文件。事后，律师事务所与黑客组织达成了赎回协议，并确定对方按协议缴纳赎金即可拿回全部数据。但是，该律师事务所并未履行诺言，向执法部门进行了报告。

2019年1月初，Dark Overlord竟然真的公布了大约70M的911恐怖袭击相关资料，同时第一批解密密钥被公之于众。

八、 军事

（五十三） 超过两万名美国海军陆战队队员个人资料遭意外泄露

2018年3月，根据美国海军陆战队机关报《海军陆战队时报（Marine CorpsTimes）》的报道，约21, 426名海军陆战队士兵、水手和其他相关工作人员的个人敏感信息被意外暴露给了外界。泄露信息包含大量高度敏感的信息，例如社会安全号码、银行电子资金转账记录和银行转账号码、信用卡信息、家庭住址以及紧急联系信息等。

报道称，事件原因已查明，在2月26日早上，美国国防部的自动监护旅游系统（Defense Travel System，DTS）将一封未加密的电子邮件发送给了一份错误的电子邮箱地址列表。未加密的电子邮件不仅被无意中发送给了民用帐户，而且还被发送给了在未分类的海军官方域名“usmc.mil”上托管的帐户。目前，还不清楚有多少人收到这封电子邮件。

（五十四） 美空军“死神”无人机文件泄露

2018年7，威胁情报公司 Recorded Future 发布报告指出，其2018年6月发现有黑客在暗网出售美国空军MQ-9 Reaper（“死神”） 无人机的相关文件，这份文件包含与MQ-9 Reaper 相关空军人员名单、无人机维护和培训资料。经研究人员调查确认，这些文件是真实的。

研究人员调查发现，这名黑客通过先前披露的 FTP 漏洞访问了美国 Creech 空军基地一台 Netgear路由器，从而获取了这些文件。而事件中，同样遭遇入侵的一名上尉，2018年2月刚完成了网络安全培训，理应了解防止非授权访问的必要操作。

（五十五） 女童子军信息泄露事件中2800名成员个人信息外泄

2018年11月，黑客入侵美国加利福尼亚州橙县女童子军分部，2800名女童子军及其家庭成员个人信息可能遭泄露。据橙县女童子军称，某未知威胁者于9月30日至10月1日实施入侵，获取了该童子军分部运营的电子邮箱账户的访问权限，并用其发送邮件。

据女童子军分部（GSOC）称，该账户之前用于为女童子军成员安排出行，因此，黑客可通过访问该账户获取个人数据。经确认，黑客或已窃取部分成员姓名、出生日期、家庭住址、保险单号及健康病历。专家警告，外泄信息可能被用来进行基于社会工程学的网络攻击。

（五十六） 热门无人机交易网站数据库泄露，致使英国军方警方政府单位的购买记录曝光

2018年4月，热门无人机交易网站 DronesForLess.co.uk 将未加密的整个交易数据库暴露在网上，导致数千名警方、军方、政府和私人客户的购买记录遭曝光。Secret-bases.co.uk 公司的 Alan 发现了这起事件，他指出，DronesForLess.co.uk 的运营人员未能保护 web 基础设施的关键部门免遭好奇之人的窥探。

约1万多份购买收据存储在该网站的 web 服务器中。收据详情包括购买人姓名、地址、电话号码、邮件地址、IP 地址、用于连接到该网站的设备、下单商品详情、发卡行以及付款用的信用卡的后四位数字。涉及的客户名称包括伦敦警察厅、英国陆军预备役少校、英国国防部采购部门某员工、英国国家犯罪局某员工、英国国防科技实验室、英国陆军步兵试验和开发部队 (Infantry Trials and Development Unit)。

（五十七） 英国空军遭遇黑客攻击，F-35隐形战机数据疑泄露

英国《每日邮报》2018年8月6日报道，英国皇家空军F-35B 战机的部分信息已经泄露！英国计划从美国购买138架该型战机，皇家空军和海军航空兵都将装备。

然而，英国皇家空军一名女军人的手机约会应用软件 Tinder 账户被黑客入侵，黑客在获取她的信息后，开始以她的身份与一名男同事（空军）联系，聊起了两个月前刚抵达英国的 F-35A 隐身战机。

尽管这名女军人很快就发现自己的账号被盗用了，但还是晚了。从黑客与那名男同事的聊天记录来看，黑客非常得心应手用各种语言陷阱，从那名男同事那里套取了 F-35B 战机的部分信息，其中不乏机密信息。

（五十八） 中东地区政军企高层遭钓鱼间谍攻击，攻击者已收集逾30GB数据

2018年5月，根据Lookout 安全公司发布的报告，攻击者使用“Steal Mango”等监控软件工具成功地攻陷政府、军方、医疗等人员的移动设备，已经收集了超过30G的受攻陷数据，包括通话记录、音频记录、设备位置信息以及文本信息。某钓鱼攻击活动通过自定义监控软件感染安卓设备，从多个国家尤其是中东地区的高层提取数据。

Lookout 公司表示，约100台独立设备遭针对性监控活动的影响，包括政府官员、军方人员的设备，以及位于巴基斯坦、阿富汗、印度、伊拉克和阿联酋等地的活动家。其它国家如美国和德国的官员数据也遭收集。

九、 生活服务

（五十九） GDPR施行后，英国电子零售商DixonsCarphone公布严重数据泄露事件

2018年6月，英国家喻户晓的手机零售商 DixonsCarphone 宣布，正在调查“对公司所持有的某些数据的越权访问”。该公司指出该越权访问“试图攻陷Currys PC World 和 Dixons Travel 商店中其中一个处理系统中的590万张卡”，“以及包含非金融个人数据的120万个记录，如姓名、地址或邮件地址”。

这可能是英国历史上发生的规模最大的数据泄露事件。

如果整个事件被按 GDPR 规定处理，那么 ICO 可能会对 Dixons Carphone 开出全球年收入总额的4%的罚单。去年，该公司的年销售总额为105亿英镑（折合140亿美元）。根据 GDPR 开出的罚单可能达到数亿英镑。

（六十） 阿迪达斯可能泄漏了数百万美国消费者信息，官方称正在调查

2018年6月，德国运动品牌阿迪达斯在网站上发布通知称，未授权人员声称获得对消费者数据的访问权限，数百万名美国消费者或受影响。

未经授权人员可能已获得访问在阿迪达斯美国网站上购物的消费者用户名、密码哈希和通讯信息的权限，该公司将它们称之为“有限信息”。阿迪达斯向某些媒体机构表示事件可能影响“数百万”消费者，但它发布声明称并非所有位于美国的消费者均受影响。

（六十一） 法国眼镜连锁店Optical center因泄露用户数据被罚25万欧元

2018年6月，据《费加罗报》报道，法国眼镜连锁店 Optical center 因泄露用户数据，被法国独立机构信息与自由委员会( Cnil )罚款25万欧元(约合人民币188.66万元)，该金额创造了Cnil 最高罚款记录。

法国当局表示，这是 Cnil 首次开出如此高金额的罚单。2017年7月，Cnil 接到相关举报后查证，Opticalcenter 的用户可以通过其网站主页看到其他客户的购物发票。这些发票包含姓名、邮箱地址和视力矫正度数等一些私人信息，部分发票上还有用户的社保帐号。

据悉，法国2016年颁布的个人信息数据保护法使得Cnil 的惩罚权限，由15万欧元上调至300万欧元；而GDPR，让这一数字上调至2000万欧元和营业额的4%。

（六十二） 健康应用PumpUp服务器未设密码，超过600万用户个人信息暴露

2018年6月，据外媒ZDnet报道，位于加拿大安大略省的PumpUp公司发布声明称，旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据，包括用户之间发送的健康信息和私人消息。

PumpUp公司在全球拥有超过600万用户。其数据都被存储在一个核心的后端服务器，并托管在亚马逊的云端。然而，安全研究员Oliver Hough发现，该服务器并没有设置密码，这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

ZDnet指出，暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息，以及用户的生物特征、锻炼和活动目标、用户头像，还有用户是否已经被屏蔽、是否对应用进行了评分。此外，该应用还暴露了用户提交的健康信息，如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

（六十三） 酒店预订软件FastBooking被黑，数百家酒店旅客入住和支付信息泄露

2018年6月，数百家酒店的旅客个人详情和支付卡数据被盗，而数据是从巴黎公司FastBooking 被盗的。该公司向全球100个国家的4000多家酒店出售酒店预订软件。

FastBooking 公司称，事件发生在6月 14日，当时攻击者利用托管在服务器上某个应用中的漏洞安装恶意工具（恶意软件）。该工具可导致黑客远程访问服务器以提取数据。6月19日FastBooking 员工发现数据遭泄露，并在不到6小时的时间里解决了该问题。

FastBooking 公司指出，黑客窃取的信息包括旅客的姓氏和名字、国籍、邮政地址、邮件地址以及和酒店预订相关的信息（酒店名称、入住和离店详情）。在某些情况下，某些支付卡详情也被盗，如打印在支付卡上的姓名、卡号及其有效期。

（六十四） 美国Chili’s连锁餐厅支付系统被黑，用户支付卡信息遭破坏

2018年5月布林克国际公司发现其旗下Chili’s连锁餐厅1600家门店的顾客支付卡信息受到破坏，这可能导致部分餐厅顾客的支付卡相关信息被非法访问或盗窃。经初步调查，这一恶性事件发生的时间范围为2018年3月——4月。

Chili’s考察后确定这是由于有人将恶意软件放置在餐厅销售点的机器内，使得同伙可以从他们的相关支付系统中删除在餐厅消费顾客的支付卡信息（包括信用卡、借记卡、卡号及持卡人姓名）。

Chili’s当前正与一个外部取证技术团队合作，以尽快确定信息缺口的性质及全部范围。与此同时，以最快速度向顾客发布了通知，承诺尽可能提供欺诈解决和信用监控服务，还给出了详细具体的参考安全建议。

（六十五） 美国连锁餐厅Applebee被黑，160多家门店POS系统支付信息泄漏

2018年3月，根据RMH特许经营控股（RMH Franchise Holdings）在其网站上发布的公告来看，部分由RMH拥有和经营的Applebee餐厅的销售点（POS）系统被匿名黑客安装了恶意软件，旨在窃取消费者的支付卡信息。这意味着消费者的姓名、支付卡号码、以及在限定时间内处理的卡片验证码可能因此遭到了泄露。

RMH透露，这起事件是在2月13日被发现的。在得知潜在事件后，RMH立即展开了调查并获得了网络安全取证公司的帮助。根据公告显示，事件影响了位于阿拉巴马州、亚利桑那州、佛罗里达州等14州的160多家Applebee餐厅，这几乎代表了RMH拥有和经营的所有餐馆。

（六十六） 美国奢侈品巨头Saks Fifth Avenue遭黑客攻击，500万张银行卡信息被盗

2018年4月，根据安全公司Gemini Advisory披露，奢侈品百货连锁Saks Fifth Avenue （萨克斯第五大道精品百货店）已证实遭受攻陷，500万购物者的银行卡信息遭泄露。初步分析表明犯罪分子窃取数据的时间实在2017年5月至今。从目前对可用数据的分析来看，除了Saks FifthAvenue，Lord &Taylor的实体店整个网络同样遭攻陷。而黑客组织 Fin7 炫耀称其攻陷了 Saks 的计算机系统。

Gemini Advisory 指出，由于 Saks 的客户是高收入群体，因此被盗的银行卡对于欺诈者而言价值尤高，因为高收入群体的支付卡盗用情况难以检测。

（六十七） 美国线上旅行社Orbitz遭遇黑客攻击，88万客户个人资料或已泄露

2018年3月22日，据国外综合新闻平台PhocusWire的报道，美国在线旅游巨头Expedia旗下的在线旅行社Orbitz公司在本周二公开宣布称，其在线旅游预定平台存在一个严重的安全漏洞，而这个漏洞可能会使得大约88万名Orbitz客户面临数据泄露风险。

信息泄露所涉及到的客户是那些于2016年上半年在Orbitz预定平台以及于2016年至2017年在Orbitz商业合作伙伴平台进行订单交易的客户，存在泄露风险的信息可能包括姓名、支付卡信息、出生日期、电话号码、电子邮件地址、帐单地址和性别等。

根据Expedia的说法，这个漏洞是该公在司对Orbitz的商业合作伙伴Travelocity运行的平台进行调查时发现的，而Orbitz平台和该平台处于相同的环境中。

（六十八） 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月

2018年4月4日，网络安全公司KrebsOnSecurity在本周一发表的文章中指出，美国最大面包连锁店Panerabread旗下网站panerabread.com泄露了数百万顾客记录，包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

KrebsOnSecurity还表示，在他们与该公司取得联系后，该网站已在周一早些时候离线。而截止到这个时间，这起数据泄露事件至少已经持续了长达八个月的时间。

安全研究人员已在去年8月通知了该公司。当被问及到在2017年8月进行通报后直到现在以来，是否看到有任何迹象表明Panerabread曾试图解决这个问题时，Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾客记录，但该网站索引的增量客户数据表明，这个数字可能高于700万。

（六十九） 内鬼作祟！可口可乐承认8000名员工的个人信息被泄漏

2018年5月25日，据外媒 Bleeping Computer报道，可口可乐公司本周对外宣布了一起数据泄露事件，他们在前员工的个人硬盘中，发现了大量现有员工的个人数据，而这些数据，是该前员工从可口可乐违规挪用的。

这起泄漏时间从去年9月被发现，直到本周才对外宣布。事件影响8000可口可乐员工。目前，可口可乐正通过第三方供应商向受影响的员工提供一年的免费身份监测。

（七十） 纽约9家B&BHG餐厅遭恶意软件感染，顾客支付卡数据泄漏

2018年7月，据多家国外媒体报道，B&BHG酒店集团（B＆B Hospitality Group）证实该集团在纽约市运营的9家餐厅所配备的销售终端（POS）被发现感染了恶意软件。初步调查结果显示，此次黑客入侵发生在2017年3月1日至2018年5月8日之间，黑客可能已经偷走了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息。

第三方网络风险管理平台公司CyberGRX的首席执行官Fred Kneip表示：“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平，这一点对于销售终端解决方案提供商来说尤其重要，因为他们能够访问所有的支付数据。”

（七十一） 新西兰网盘Mega上万帐号密码遭泄露，被公开在VirusTotal上

2018年7月17日，据外媒 ZDNet 报道，Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司，目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供，涉及超过 15,500 条用户名、密码和文件名的数据。

这份文本文件最早由Digita Security公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析 VirusTotal 上发现，而这份文件是在几个月前由一名据称在越南的用户上传的。

（七十二） 云泄露最前线：巴西订阅视频服务Sky Brasil暴露32.7万用户信息

2018年12月4日，独立研究员Fabio Castro发现，巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息，包括28.7GB的日志文件和429.1GB的API数据，这些数据涉及姓名，家庭住址，电话号码，出生日期，客户端IP地址，付款方式和加密密码。

虽然Castro发现了这一事件后通知了Sky Brasil，公司随后也对数据库进行了密码保护；但其服务器至少从10月中旬就开始在Shodan上被编入索引，目前还不清楚数据库的访问者数量。

（七十三） 知名运动品牌Under Armour 1.5亿用户数据被泄露，称不涉及敏感信息

2018年3月30日，据报道，本周四，美国著名运动装备品牌Under Armour称有1.5亿 MyFitnessPal用户数据在上个月被泄露了，MyFitnessPal是一款Under Armour旗下的食物和营养主题应用。

此次关于用户数据泄露的声明使得该公司的股票价格下跌了2.4%。据该公司称，此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。该运动装备制造商称，是在3月25日才发现的此次数据泄露事件，并从那时就开始通知受影响用户。

（七十四） 珠宝电商MBM公司130万客户信息泄漏，内含明文密码

2018年3月18日，据雷锋网报道，MBM 公司被德国安全公司Kromtech Security 的研究人员抓住了小辫子。研究人员在不安全的亚马逊 S3 存储桶中发现了该公司的MSSQL 数据库备份文件。

最初，研究者怀疑这些数据归沃尔玛所有，因为这个存储桶被命名为“walmartsql”，不过后来他们通过分析后发现，这些数据的主人其实是 MBM 公司。在对泄露文档作了进一步评估后他们发现，这里容纳了超过 130 万人（准确来说是 1314193 人）的私人敏感数据。这些数据包含个人住址、email 地址、IP 地址和邮政编码，许多客户的密码甚至直接用明文显示，毫无安全性可言。

安全专家支招称，直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定，没有对密码进行加密更是不可饶恕。

十、 物联网

（七十五） 俄罗斯视频监控公司iVideon数据泄露，涉及超过82万名用户个人信息

2018年5月14日，Kromtech安全中心的研究人员在最近发现，一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护，并向公众开放。

从数据库的内容来看，它似乎涵盖了iVideon公司的整个用户群，包括其用户和合作伙伴的登录名、电子邮箱地址、密码哈希值、服务器名称、域名、IP地址、子帐户以及软件设置和付款设置信息（并不包括任何信用卡数据）。有超过82万（825388）名用户以及132家合作伙伴受到影响。

（七十六） 神乎其神！北美某赌场因联网鱼缸漏洞被黑，客户信息全泄露

2018年4月17日，据报道，网络安全公司 Darktrace 的首席执行官 Nicole Egan 在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。

黑客利用了恒温器中存在的一个漏洞在网络中站稳脚跟，随后，其设法访问了赌徒中豪掷重金的人的数据库，“然后在网上拉回来拉出恒温器并拉向云。”尽管 Eagan 并未透露这家赌场的身份信息，但她分享的这次安全事件可能发生在去年。当时 Darktrace 公司发布了一份报告，说明了位于北美的一家赌场遭到了这类恒温器攻击。

十一、 医疗卫生

（七十七） MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据

2018年8月，据BleepingComputer报道，一个MongoDB数据库被发现可以通过互联网公开访问，其中包含了超过200万（2,373,764）墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

这个数据库是由安全研究员Bob Diachenko通过Shodan发现的，Shodan是一个搜索引擎，可以搜索所有联网设备，而不仅限于Web服务器。当被发现时，这个数据库完全暴露在互联网上，任何人都可以对其访问和编辑，因为它没有设置密码。“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道，从那以后就开始被广泛报道……不安全的数据库仍然大量暴露在互联网上，此类数据库至少有54,000个。”

（七十八） 澳大利亚SA Health医院意外暴露7200名儿童个人资料

2018年8月7日，据报道，澳大利亚SA Health在其官方网站上发布了一篇新闻稿，称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院（Womens and Childrens Hospital）因工作人员操作失误，意外暴露了约7200名儿童的医疗记录和个人资料。其中，包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料。

根据SA Health的说法，这些数据早在2005年就已经可以被公众通过互联网访问，直到在上周三有患者的父母在线注意到这些数据后，医院方面才得知了这一事件。这也意味着，这些数据已经在线暴露近13年！

（七十九） 美国医疗保健公司Blue Springs Family Care近4.5万条患者记录遭泄露

2018年7月31日，最近的新闻报道显示，Blue Springs Family Care遭遇了勒索软件攻击，而被落入攻击者手里的数据达到了近4.5（44,979）万条。

在该公司的一封公开信中指出，攻击者可能获得了各种患者记录信息，这至少包括：患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊断和驾驶执照/身份证号码。

公开信还透露，2018年5月公司曾遭受勒索软件攻击。Blue Springs Family Care表示，他们已经与另一家电子健康记录提供商达成合作协议，而这个新的合作伙伴会对所有健康数据进行加密保护。

（八十） 美国医疗公司LifeBridge Health泄露近50万患者个人信息

2018年5月22日，根据《巴尔的摩太阳报（Baltimore Sun）》在本周二刊登的一则报道，LifeBridge Health公司日前向近50万位患者发出通知称，他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。

根据LifeBridge Health官方的说法，这一事件最初是在今年3月份被发现的，当时他们在一台服务器上发现了恶意软件，而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。

LifeBridge Health通过电子邮件告知患者，根据第三方安全公司的调查结果来看，数据泄露最初开始于2016年9月27日，遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。

（八十一） 美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录

2018年4月，KrebsOnSecurity在上周五（4月20日）了解到，MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患。该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的，但事实证明任何互联网用户都可以对其进行访问。

MEDantex是一家总部位于美国堪萨斯州的医疗转录公司，它的主要业务即是为医院、诊所和私人医生提供定制的转录解决方案。KrebsOnSecurity表示，他们目前尚不清楚在MEDantex网站上具体有多少患者的医疗记录遭到了暴露，但其中一个被命名为“/ documents / userdoc”的目录包含了与2300多名医生相关的文件。目录以按字母顺序排列，每一个目录中都包含有不同数量的患者医疗记录，其中的Microsoft Word文档和原始音频文件都可以被下载。

（八十二） 挪威过半人口医疗数据疑遭泄漏，攻击者“高阶且专业”

2018年1月19日，挪威当地媒体报道称，负责管理挪威东南部地区医院的机构Health South-East RHF宣布网站遭泄露事件，超过290万用户，超过挪威（总人口520万）一半的人口可能受影响。该组织表示，挪威医疗部门的计算机紧急响应中心HelseCERT 发现来自 HealthSouth-East计算机网络的可疑流量；一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。

Health South-East RHF 和其母公司Sykehuspartner HF 发布联合声明称，“情况严重，并已采取措施限制该事件造成的损害。”Health South-East RHF 将攻击者描述为“高阶且专业”。另外已将该事件通知挪威CERT团队即 NorCERT。

（八十三） 为防止再次发生泄漏事件，新加坡公共医疗领域电脑暂时“断网”

2018年7月23日，新加坡卫生部称，公共医疗机构使用的电脑已暂停接入互联网，防止类似新加坡保健服务集团（新保集团）数据库遭网络攻击事件再度发生。

新加坡公共医疗机构多项服务依靠互联网，切断工作人员所用电脑与互联网的连接可能延长等待时间，给病人带来不便。

据了解，新保集团数据库6月底开始遭网络攻击，大约150万名病人个人资料失窃，新加坡总理李显龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取，新加坡政府已成立独立调查委员会调查此事。

（八十四） 英国知名药妆店Superdrug近2万名顾客个人信息遭泄露

2018年8月24日，据报道，有黑客在本周一（8月20日）联系了英国知名药妆店Superdrug，称他们已经获得了大约2万名Superdrug顾客的详细个人信息。作为证据，黑客还向Superdrug展示了386名顾客的个人信息记录。

Superdrug号称英国第二大美容和健康零售商，占据英国30%市场份额。经过Superdrug的确认，被窃取的个人信息包括顾客的姓名、住址，以及部分顾客的出生日期、电话和积分余额。不过，Superdrug坚称被黑客窃取的凭证是从入侵第三方得来的，而并非通过入侵Superdrug的系统。之所以能够进一步获取到Superdrug顾客的详细个人信息，这是因为黑客利用了人们有在各种在线服务使用相同密码的习惯。

（八十五） 遭遇网络钓鱼攻击，美国奥古斯塔大学医疗中心泄露41.7万份记录

2018年8月21日，据报道，奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息，以及他们的医疗和健康记录。对于其中一些受害者来说，遭泄露的数据还可能包含财务记录和社会安全号码。

根据该校网站上最新发布的安全通知来看，攻击发生在2017年9月10日至11日。最初，该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而，在今年，他们意识到约有41.7万份记录因此遭到泄露。

奥古斯塔大学已经准备向每一名受害者发送个人电子邮件，以通知他们有关此次事件，并为社会安全号码遭到泄露的人提供为期一年的免费信用监控服务。

（八十六） 优步270万用户信息被黑客盗取，遭英国监管机构罚款38.5万英镑

2018年11月27日，优步（Uber）近日被英国媒体曝光：旗下约270万英国用户个人信息在2016年被黑客盗取，而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客，因此被英国监管机构重罚38.5万英镑。

据报道，英国政府Information Commissioner’sOffice（ICO）表示，优步在遭遇黑客攻击后，没有第一时间告知被泄露的用户有关细节，反而支付赎金，这一做法是对用户和优步司机信息安全性的漠视。ICO将这次的黑客行为定义为“严重违法行为”。

目前，ICO正在对案件进行进一步的调查。该办公室还指出，已经在优步的系统中发现了一系列可获得数据的安全漏洞，黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息，已掌握了2016年10月和11月被攻击的犯罪事实。

十二、 制造业

（八十七） 巴西最大工业协会被指数据泄露，数千万个人信息可互联网访问

2018年11月，据报道，白帽黑客生态系统Hacken Proof的安全研究员鲍勃·迪亚琴科（Bob Diachenko）称其发现了三个包含个人记录的数据库，可通过Elasticsearch搜索引擎访问这些记录。最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日。

而被指控泄露上述数据的主体是巴西圣保罗州工业联合会（简称FIESP），FIESP代表了约13万家公司，是巴西工业部门的最大企业实体。这些外泄记录包括：姓名、ID与社会安全号码、完整住址信息以及电子邮件与电话号码。

关于该数据泄露事件，该研究员称其已试图警告FIESP，但无济于事。Hacken Proof在推特上首次公开该泄露事件后，一位巴西粉丝将该数据泄露事件告知了企业，企业这时才离线了数据库。

（八十八） 史上最严重数据车祸：100 车厂机密全曝光，通用丰田特斯拉统统中招

2018年7月22日，据报道，加拿大汽车供应商Level One被UpGuard的研究员Chris Vickery发现，该厂商的数据后门大开，黑客可轻松访问其100多家合作伙伴车厂的机密文件。这100多家车厂，从通用汽车、菲亚特克莱斯勒、福特、丰田，大众到特斯拉，都名列其中。

而被泄露的数据，从车厂发展蓝图规划、工厂原理、制造细节，到客户合同材料、工作计划，再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息，共计157千兆字节，包含近47,000个文件。在反复检查过程中，Chris Vickery确认，通过Level One的文件传输协议rsync，可以无障碍访问上述所有隐私数据。

（八十九） 特斯拉起诉前员工：黑进内部生产系统盗取并泄露机密数据

2018年6月，据美国内华达州联邦法庭公布的诉讼文件显示，特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普（Martin Tripp），称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。

据诉讼文件显示，该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统，偷取大量数据并交给第三方，还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

特里普开发的恶意软件安装在了三台不同员工的电脑上，所以在他离开特斯拉后，还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。

十三、 其他

（九十） 国泰航空940万名乘客个人数据被盗，包含出行地点数据

2018年10月25日，据外媒报道，大型国际航空公司国泰航空披露，在今年3月发生的一次数据泄露事件中，该公司的940万名乘客的记录被盗，另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉，此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。

另外，国泰航空还指出，有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。但是，没有密码遭到泄露。

这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍，因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。

（九十一） 丽笙酒店集团遭遇数据泄露，官方称受影响会员不足10%

2018年11月2日，据英国The Register报道，丽笙酒店集团（Radisson hotel Group，以下简称“丽笙”）已经于10月30日开始向参与其奖励计划的会员发出电子邮件，确认了一起黑客攻击。丽笙在其声明中没有提到黑客侵入了哪个系统，也没有提供其他技术细节。其发言人表示，此次事件只影响不足10％的丽笙奖励计划会员账户。

丽笙在其发出的电子邮件中表示，此次数据事件并不涉及任何信用卡或密码信息，目前已经被确认能够被黑客访问的信息仅限于会员的姓名、住址（包括居住国）、电子邮箱地址，以及一部分会员的公司名称、电话号码、丽笙奖励计划会员编号等信息等。

（九十二） 开发者安全预警：数万Jenkins暴露在网上，已发现大量敏感数据

2018年1月23日，研究人员表示，没有利用任何漏洞，就在互联网上发现了暴露2.5万个Jenkins实例，从这些实例中发现了不少大型公司泄露了敏感证书和日志文件，这都可能会引发数据泄露事件。

Jenkins是最受欢迎的开源自动化服务器，由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建，测试和部署其应用程序，在全球拥有超过133,000个活跃安装实例，用户超过100万。

上述2.5万个实例中，10-20％的实例存在配置错误，这些错误配置的实例，大多也都泄露了敏感信息，包括专用源代码库的证书，部署环境的证书（例如用户名、密码、私钥和AWS令牌）以及包括凭证和其他信息的作业日志文件敏感数据。

（九十三） 澳大利亚国家绝密文件被卖二手店

2018年2月1日，澳大利亚政府的某人决定卖掉两个尘封已久的文件柜卖掉，因为他们丢掉了文件柜钥匙；随后买家用一把电钻打开了柜——连续五届政府在储藏柜放着的文件。

最终，这些文件辗转到达澳大利亚广播公司 (ABC) 的手中，这家媒体目前正在发布他们认为安全的资料。ABC 披露的文档中包括Rudd 政府如何计划资助澳大利亚已引发争议的国家宽带网络 (NBN) 的机密简讯。该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。

（九十四） 3500万美国选民记录黑客论坛有售

2018年10月24日，美国11月中期选举临近，AnomaliLabs 和 Intel 471 的研究人员发现某黑客论坛上竟然在售卖3500万条美国选民的记录，牌出售的选民记录来自美国19个州的2018选民登记，包括威斯康辛、得克萨斯和佐治亚州。据称该选民数据记录包含全名、电话号码、住址、选举历史和其他未明确的选举数据。

号称有600万选民的威斯康辛州，选民记录价格为1.25万美元。其他州的选民信息报价在几千美元，到几百美元不等。卖家承诺，每周都会在从州政府线人处收到信息时更新选民登记数据。令人匪夷所思的是，售卖信息刚贴出来几小时后，论坛上就出现了众筹购买该选民记录的活动。

（九十五） Google Groups配置不当，一大波财富500强公司敏感信息遭泄露

2018年6月，Kenna Security 公司研究员指出，由于Google Group配置出错，导致数千家组织机构的某些敏感信息被泄露。这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。根据样本统计，约31%的 GoogleGroups会导致泄露数据。

独立研究员 Brain Krebs 上周五发布分析结果表示，“除了泄露个人信息和金融数据外，配置错误的 GoogleGroups 账户有时候还公开检索关于组织机构本身的大量信息，包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。

研究人员指出，“鉴于这种信息的敏感特征，可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”

（九十六） MongoDB可公开访问，美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

2018年11月3日，网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查，这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息，以及超级管理员用户名和密码。

Kars4Kids是一家成立于1994年的慈善机构，总部设在美国新泽西州莱克伍德，将其大部分收益都捐赠给了Oorah，一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

据分析，有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户，这将使得他们能够访问更敏感的数据。例如，度假券（向捐赠者提供的免费假期）和收据，以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

（九十七） MongoDB配置不当，近70万美国运通印度分公司客户联系信息遭泄露

2018年11月，据外媒ZDNet报道，近70万名美国运通（Amex）印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上。

大约在三个星期以前，国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问，而且没有设置密码。

据研究员表示，这些以明文形式存储的记录包含了美国运通印度分公司客户的个人详细信息，如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据似乎并不过于敏感，但很可能会对垃圾电子邮件活动起到推动作用。

（九十八） MongoDB数据库配置不当，数万Bezop代币用户个人信息泄露

2018年4月，据报道，网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库，其中包含了超过25,000名Bezop用户的详细个人信息，其中一部分是6,500名Bezop（BEZ）加密货币的投资者，剩余部分则单单只是Bezop代币的接收者。

安全研究人员称，这个向公众开放的数据库包含了姓名、家庭住址、电子邮箱地址、加密密码、钱包信息以及护照、驾驶执照或身份证的扫描件等敏感信息。

数据库所存储的这些信息与Bezop团队在年初开始运行的“ 赏金计划 ” 有关。在此期间，该团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。

（九十九） 半年186家！日企机密文件大量被“晒”百度文库

2018年3月，据调查企业信息泄露情况的相关公司的统计，最近半年多时间，186家日企的文件被发布到文档分享网站上。这可能导致专利信息的泄露等，专家呼吁日本企业加强内部管理。

发布日本企业内部文件的是中国百度运营的文档分享网站“百度文库”。日本IT相关公司“CROSSWARP”调查显示，仅2017年6月～2018年2月期间，上述近200家日企的文件被发布到百度文库上。这些资料上均标有注意字样，意味着属于“机密”文件。

熟悉中国法律的律师分部悠介表示，在中国泄露企业营业机密也属于违法行为，不过只有受害金额较大等情况下才会适用刑事处罚。另外，由于要证明网上的投稿使企业蒙受严重损失十分困难，因此很难通过刑事处罚来遏制这种行为。

（百） 美国大数据营销公司因失误泄露2TB隐私信息，涉2.3亿人

2018年6月28日，据Wired报道，本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击，而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内。

据了解，Exactis采集了大约3.4亿条记录，大小2TB，可能涵盖2.3亿人，几乎是全美的上网人口。虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息，但是隐私深度却超乎想象，包括一个人是否吸烟，他们的宗教信仰，他们是否养狗或养猫，以及各种兴趣，如潜水和大码服装，这几乎可以帮助构建一个人的几乎完整“社会肖像”。

同程艺龙吴志祥是很有意思的人

从国企到互联网

吴志祥是江苏人，出生于1976年。他从苏州大学旅游系毕业后做过老师，待过苏州某国有广告公司，不过直到他替苏州玄妙观建站的广告项目开始，吴志祥才真正触网。

结果，SZXNG.COM这个任何人都可以听玄妙观的江南仙乐的网站，不仅让玄妙观的道长觉得牛，也让吴志祥认为互联网的全球互通互联的属性“很神奇”。他开始相信互联网具有伟大的意义。

所以，看到家楼下的苏州工业园区人力资源中心的阿里招聘江苏区域经理的广告后，吴志祥便跃跃欲试。

“这个公司挺有意思，全世界最大……来了一个比我更会吹牛的。”2000年8月，在没看懂阿里英文站，没听懂公司介绍的前提下，他决定奔赴杭州的新世界。

第一天，吴志祥认为不虚此行。

“进来一个女培训师，跟我们讲了一大段。我完全没听明白。我就记住一件事，她曾经是马云的老师。培训时印象最深的是要求我们取一个英文名。让我们到她用的笔记本电脑里输英文名，没人用，就归你了。

我取的名字是Andy（后改名为Any）。所以我第一天对阿里巴巴的印象就是很好，很洋气，有笔记本电脑。老板是全世界搞互联网的人里最牛的。阿里是全世界、全中国做电子商务的公司里最牛的。”

但第二天吴志祥就有些后悔。与同事相熟后，他发现为了进入阿里，自己的损失比同事们要大得多。

吴志祥才24岁，已经凭本事在前述国有广告公司里官至副总经理。年入七八万元之余，他还通过自学Frontpage、与懂Dreamweaver的大学同学张海龙（后成为同程旅游联合创始人、同程旅游集团CTO）合伙成立了行者工作室替人建站，成了一位挣钱的业余站长。

而他的新同事们没有此等成就需要放弃。

“有以前的广告销售员，有大学毕业找不到工作的，有中专毕业的，还有以前在环球资源的……没有北大的。”吴志祥对本书作者回忆自己当时的感慨，“这都是什么人。”

他并未立刻挂冠而去的原因之一，可能像当初的干嘉伟（不需要介绍了吧。这人的故事详见阿里局）一样——在长三角想投身互联网，除了阿里外并无去处。

第三天，马云现身新员工培训。自然，吴志祥没听懂马云所述，“就是觉得他确实挺能讲。”

直到回苏州分配工作时见到自己的直属上司、阿里巴巴集团联合创始人楼文胜，吴志祥才知道自己的工作原来是去卖中国供应商，原来自己并没有高升去管辖江苏区域，原来名片上的客户经理头衔其实就是个普通销售员。

“我当初对楼的感觉比对马云的好太多了。马云讲一次课就不见了。我的boss楼文胜跟我讲了阿里所有的故事。”吴志祥回忆道。

注：同程艺龙联席董事长吴志祥

业绩一般还想入非非的员工

吴志祥的业绩也不大如意。他不适应身份的转换。

他在国有广告公司工作时，名为乙方实为甲方：“管一条街，这条街所有的活动都得找我。一个广告5万，其实是给你一个机会给我5万块钱。”

进入阿里后，吴志祥就感受到了压力，“打一天电话找不到一个意向客户。没人搭理我。说（我）神经病。大部分把电话挂掉了。”

幸而有此前的积累，吴志祥在一星期内找到了三个意向客户。这三个意向客户转化为了一次成交。

当常州亚飞电缆厂负责人签署合同时，吴志祥一边给此前坚决反对自己来阿里的母亲打电话报喜，一边对常州亚飞电缆厂的老板涌起了知遇之恩，“如果他是女的，不管什么样子，我毫不犹豫就娶她。”

然后，吴马上买了一台老板的象征、此前在总部输入英文名时见过的同款IBM笔记本电脑。

开单还让吴志祥浮想翩翩：“以前我靠垄断拿7、8万（薪水）。很无聊。现在我做的事情很牛，很有意思，很好玩。同事们都说我是将来的Top Sales，我也觉得是。

以前我帮别人做一个网站，才收3000元。现在就靠阿里的这么一个页面，我就可以收3万元。按阿里的提成我可以拿到6000元。10天就是60000,100天就是600000，命运就同时改变……”

结果，吴志祥就职的头两个月里，常州亚飞电缆厂是他成交的唯一一单，“继续打电话，继续跑，没一个人搭理我……我是不是有点不适合做销售？”

“非常的迷茫，压力也非常大，内心也很压抑，苦不堪言。怎么办？就这么艰苦。感觉我自己有点抗不住了……”吴志祥告诉重读，由于自己所述具有普遍性，“很多人的眼泪就下来了。他们的内心被打动了。”

吴志祥自认为更擅长策划类工作，“第一单确实是运气好撞上去的，我对这种直销没有完全进入状态。我比较敏感，是出主意的人才。老是打电话、陌拜，长处得不到发挥，有点吃力。”

能力模型与工作不匹配的吴志祥成不了贺学友（阿里中供传奇销售、驿知行铁军商学院创始人，个人故事详见《阿里局》一书）、王刚（著名投资人、满帮集团CEO，个人故事详见《阿里局》一书）那种一年挣上100万的全国级销冠。

那与其在纠结的现状中踯躅前行，不如另辟蹊径挥自己的长处。

他一则在当时大红的IT社区Donews上写下自己的痛苦和矛盾；二则给公司出谋划策。所有思维活跃的基层员工都曾认为公司的发展方向有问题，吴志祥也一样。

比如，为何公司不针对垂直行业推出更具针对性的中供？商人经常出差，公司为什么不进入旅游业？3万块的价格也太贵！如果降低价格门槛，客户数无疑会增大许多！

“我做过网站，我知道成本多少钱。我建站才3000元。域名100块。100mb空间100块。张海龙熬三个晚上做出来，500块钱。剩下的钱我们分分。阿里要收30000，这完全是让销售员去当炮灰把钱挣上来。”虽已时隔多年，但吴志祥对自己当时所想仍历历在目。

吴志祥给阿里的高层群发邮件指明机会所在，“卖中供太难卖了。旅游业也有很多卖家和买家需要撮合。公司应该做旅游的B2B平台。”

这个做旅游版中供的提议没收到回音，“根本没人回复我。”不过，吴志祥大学老师、经常听他吐槽和吹牛的苏州大学旅游系教师王专认为吴志祥所述不无道理。

创业者的直觉：模仿老东家

此前的行者工作室创业经历、对阿里的纠结现状的逃避和“最喜欢的老板走掉了”，合力把吴的创业之火越烧越旺。

“旺到什么程度？自己就幻想。马云做了电商平台，成了全世界最牛的老大。我如果做了旅游电商平台，做的事情不就一样了？那我不就跟他一样了吗？那我就出来做！”吴志祥告诉重读，自己当年越想越兴奋，越想越疯狂，越想越睡不着觉。

一天，吴志祥找到张海龙发表创业宣言，“我们现在不做行者工作室了。这玩意儿太LOW。我已经在全世界最牛的电子商务公司和最牛的人一起混过了。现在我们要做个公司，把旅游跟互联网真正地结合起来。我们要真的开干了！”

26岁尚无家室的吴志祥就这么离开了阿里。

2002年5月15号，吴与王专、张海龙和在《中国旅游报》担任记者的师妹吴剑，在苏州大学一间9平米大小的教职工宿舍里写了一首诗，然后创立了同程。（重读注：同程旅游这个公司于2004年4月正式创立）

与当初的阿里十八罗汉一样，同程的创始人们对创业也是豪情万丈。

吴志祥告诉同伴，拿到营业执照的时候将“完全不一样。我们不再是工作室。我们终于有了自己的公司。从法人角度讲，我们跟全世界任何一个公司都是平等的，都是法人，我们已经很牛了。可以改变世界了。”

“很牛”的体现之一是，同程的创始人们马上跑到楼下的打印店印名片。“CEO、CTO、COO、CIO，四个O就出来了。”吴志祥笑道，“很爽！”

同程的创始人们兵分两路。张海龙一个人负责建好“梦想中的旅游B2B平台”，吴志祥、吴剑等人负责赚钱。吴志祥挨个儿去找在旅游业做个体户的大学同学，要求他们支付3000元作为自己给他们建站的费用。

“当年给你打了那么多水，你也没少吃方便面，片子也都是一起看，兄弟们创业了你总要支持一把吧……我也没硬抢你，我还给你做网站……你给也得给，不给也得给。不给钱今天我就不走了……，”吴志祥向重读笑言当时他的大学同学看到自己“就头疼。”

建站订单跑出来了，同程的网站却迟迟不能上线。

一开始，吴志祥经常埋怨，后来对此表示理解：“我觉得阿里好像很快。后来慢慢明白了，人家那个CTO是吴炯，那是雅虎首席科学家。你张海龙太low太low了。你不能怪他。他是苏州大学历史系毕业的。不着急，就慢慢弄。”

张海龙进入互联网行业全凭兴趣自行摸索。他大学毕业时宣称自己“死也要死在电脑公司里。

”最后他去了罗技电脑公司位于苏州的生产车间里给鼠标贴标签。半年后网站还没上线，吴志祥坐不住了：“大哥你能不能快一点？”张海龙回道：你再逼我，我就去网上下阿里的源代码复制一个网站。

互联网初兴时的安全意识与现在不能比。那会儿，是个专业人士就能找到阿里、新浪、搜狐等公司的源代码。给它改改bug，再替换公司名称、图片，专业人士甚至在一天之内就能建好一个网站。

日后吴向重读喟叹当初的同程对阿里的模仿程度之广，从高大上的价值观和商业模式，到“最最low”的产品模仿，一应俱全。

养活自己的创业者

创业后吴志祥知道了什么叫苦。“以跟老板说阿里巴巴，人家说没听过。这时我就郁闷了。但接受训练后，我会说没关系。我给你介绍一下马总，第一个上福布斯封面的全球华人。

其实我当时也不懂福布斯干嘛的。再跟老板说世贸总干事是我们的顾问。你看我们两千万美金的融资。这些，自己当时都不理解，就是背下来去讲。我现在理解这都是公司拉来撑场子的，得让我们销售有话说。

我当时不觉得这公司有多好，等离开了以后才觉得其实还挺牛的。这些东西是资本哪，是我们的征信。等到我们自己出来干，除了我们那些同学被骗了一通，没有一个人鸟我们。

都说什么公司？你要干什么？我才发现，以前卖中供那个苦是地狱十八层，现在底下还有72层。我们从那72层慢慢往上爬。就这种感觉。”

吴志祥当然听说了阿里员工居家SOHO、贺学友称霸中供等传奇故事，但他对阿里的关注度正在下降，因为“我们也有故事”。与中供得到非典的催化一样，同程也得到了非典的极大助力。

由于人们在长达半年的时间内不敢外出，中国旅游业几乎被非典洗牌。

疫情结束后，人们发现过去合作的组团社、地接社大半已经倒闭。在人们寻找新的合作伙伴时，拥有旅游从业者论坛的同程就进入了业者的视线范围。

吴志祥觉得“我们这个平台真的火起来了。”

流量到位后，同程推出了旅游业版的中供——网上名片。吴志祥相信付费，才能让客户记住同程，客户才有可能借助同程既成为地接社又成为组团社，既消费同程的内容又给同程提供内容。

“他想把旅游线路卖掉，所以没事就过来晃晃。晃着晃着，他会情不自禁地把自己收的游客放到上面去（买线路）。就好像淘宝，最初马云说每个女生都有一个开店的欲望。

他的意思是你们都到网上来开店。有多少人开淘宝店挣到钱了？这些人大部分都变成买家了。所以我们当时也是尽最大可能把人都往同程圈。付钱的人越多，这个场子才会越来越热闹。”吴志祥分析道。

作为对此前中供定价策略不满的回应之一，吴志祥给网上名片定价100元，“不就传个名片？千万不要像阿里巴巴那样搞三万。”如此销售了约三个月，不错的结果让吴志祥信心大增。

即将“腾飞”的同程开始招人。鉴于此前在宿舍里招聘结果候选人看过就跑的经验，同程通知新员工于2004年2月在租赁的写字楼里面试、入职，因为那儿“正儿八经像个公司”。

吴志祥在公司里模仿当初所见的马云也对新员工发表了一番激情演讲：“你们在的公司是一个很牛的公司。肯定牛，你们都来吧。这玩意儿以后就是中国旅游电子商务的第一平台！”

2004年4、5月间，一位销售认为公司的网上名片只卖100块太low，其实不用这么低。于是吴志祥提价至200块，过了段时间又调至650块。

“发现650也能被接受。”他回忆自己当时的心理，“要挣到一万个人的钱还是很难，那就把价格调高一点。”

又有员工提议道，网上名片这名字太low，应该改名。吴志祥同意。他从老东家的产品诚信通处获得了灵感，将网上名片改为同程诚信录会员。

在同程诚信录会员的售价提升到650元后，同程销售的提成比例可达35%左右，而且并未采取激励性极强的金银铜制度。

如此一来，销售们欢喜，同程这家公司的资金储备也日渐丰富，吴志祥也愈加明白了前东家“讲的太宏伟”的可取之处。

2004年的一天，马云去苏州演讲。吴志祥把同程所有的销售员都带去现场打鸡血。

他告诉员工，“这（马云）就是全世界最牛的人。未来我们就可以像他们（阿里）这样子。电商真的就可以改变世界。你们以后对旅游行业的人讲电商和互联网的时候，就要像他（马云）这样子。”

沉醉于赚钱的创业者

2006年，同程的净利润已达四五百万之多。作为CEO，吴志祥对旅游业和互联网并没多少想法，只觉得“我们挺牛，挺好，挺开心。”

那时的吴志祥已经完成了从以个人为思考单位向以法人为思考单位的转变，他至少是个老板而非销售员了。2004年之后，与其关心中供的销售巨星和业绩增长，吴志祥更关心马云的布局。

“阿里怎么发展淘宝？怎么发展支付宝？合并雅虎？我非常敏感。给我那帮兄弟（中供苏州区域）打电话时，他们说你现在知道的公司的事情比我们还多，这些信息都是哪里来的？”

吴志祥自己总结道，“其实就是关注的点不太一样而已。我们发现我们在做一件无比牛的事情，销售只是这件无比牛的事情中的一个部分而已。”

那时的马云已经着眼于更远的世界。他并未把精力全部投入于公司与行业。2006年，他以“关注增加创业者”、“把自己最值钱的东西捐出去”等心态参加了央视的创业方向的商战真人秀节目《赢在中国》。

这个节目让马云的影响力和知名度得到了进一步的提升，还让他认出了来北京参加《赢在中国》的前下属吴志祥。

再次见到马云，吴志祥有点激动之余，还觉得这证明了自己的牛：“之前给你写邮件你也没鸟我。你看我现在还是很牛，你看我在这个舞台上……。”

在吴志祥看来，同程的旅游业中供生意着实不错。从中供系脱胎而出的同程电销铁军轻松击垮了所有的竞争对手，用吴志祥的话说就是“（旅游）B2B里绝对无敌。他们怎么都玩不过我们。”

在所有的参赛企业中，同程几乎是唯一一个挣钱的企业。吴志祥也不觉得同程需要融资。

“融资干吗？不太需要。（我去《赢在中国》）就是完全把它当作一个竞技。”顺理成章的，烧钱获取用户这种遍地可见的互联网公司的发展模式也遭到了吴志祥的鄙视。

“我们觉得烧钱的都是神经病。你看我们营收每年涨100%，牛不牛？你们这些公司谁的营收能够涨100%？一半人的头低下去了。（谁的）利润每年能涨100%？所有互联网公司的头都低下去了。不行吧。什么叫商业模式？营收涨100%，利润涨100%，那才叫（商业模式）。”值得一提的是，去过北京后吴志祥才知道“商业模式”就是自己理解的“如何赚钱”。

虽然同程一路杀进了前10强，并最终获得了第5名的成绩。但马云、熊晓鸽等评委并不看好营收和利润每年能涨100%的同程，认为这就是个能赚点钱的生意，毫无想象空间可言。

那时的同程与中供一样，实质上是个劳动密集型的互联网企业。

一个评委甚至表示，“同程网这个模式是苍蝇趴在玻璃上–有光明没前途。”大家建议吴志祥不要从客户数撑死也就几万的B2B的角度去看待旅游业，应从B2C切入旅游业。

“风投说要做B2C。那行，做B2C。B2C难吗？我们当时觉得没什么好难的。不就签点酒店，然后做个网站，往上一放。”吴志祥自称当时对旅游行业“没思考。”

沉醉于上市的江南土财主

建一个网站不难，获取供应商——也就是酒店——也不难，难的是流量。该如何获取C端用户？

2008年下半年时，旅游行业与互联网的结合仍非常初级，携程大约90%的订单都靠电话完成。

携程认为旅游业江山已定，2007年携程的联合创始人梁建章便赴美游学，并最终进入了斯坦福大学研究人口问题。

如此环境给了吴志祥一个时间窗口去探索。同程慢慢发现，写字楼发卡、展会发卡等措施都“没鸟用”。

但是，同程发现PC互联网有流量，在百度做SEO是有效的。吴志祥说，“一下子发现这个方法是行的，投一块钱出去可以回来3块钱的佣金。（转化率）就很高。”

那时中国PC互联网的人口红利还远未见顶，每年还有大量的新用户涌入；百度的推广仍然具有性价比——那正是SEO成为热门的年代。

一如中供系，吴志祥认准方向后便执行到极致。2008年底前后，吴志祥宣布同程将all in互联网。

光市场部，同程就术业有专攻的建立了8个，而且全公司的所有员工都需要学习SEO。随着对SEO的深入理解，同程最后做到了吴志祥“每天只要看到流量就可以知道今天能挣多少钱。”

至少在旅游行业，同程成了最懂SEO的公司。

这些投入，与同程互联网预订的轻运营模式——相比起携程上万人的呼叫中心而言——结合在一起确实见效。

2009年同程的收入即接近4000万元，其新投入的机票业务也站稳了脚跟。2010年，同程的营收超过1亿元。2009年初吴志祥进入了携程、艺龙忽略的景点门票业务。

这是一个日后将成为同程招牌的领域。2012年同程的收入近5亿元，净利润超过4000万元。

同程在业务线上连战连捷，其财务数据也长势喜人。于是凯风创投表示：你们太牛，你们可以上市了。

对那时的吴志祥等人而言，上市意味着自己将达到人生的高点：“公司挣钱不就为了上市嘛。哇，那些人（大佬）都敲钟了。敲过钟的人，感觉就是取经到了西天。我们马上就要到西天了。我们这些人创业就是为了敲个钟。为了敲钟我们可以干任何事情，为了敲钟我们也可以不干任何事情。”

那几年，吴志祥内心盘算颇多的是这么一笔账：每个月只要有XXX的利润我就可以上市，同程至少是市值30亿的公司，我也很快就是身价上亿的老板。

因为券商表示出让股份比例若超过5%将带来极其繁琐的程序进而影响上市时间，那时将“券商讲的话都当圣旨”的吴志祥告诉3Q大战之后心态较为开放开始大肆投资的腾讯，要投资同程也只能不超过5%。

腾讯希望多投一点钱。吴志祥表示“不可以，我们是个有梦想的公司，我们要上市。你如果阻挠我敲钟，我就不要你的钱。”

腾讯告诉吴志祥，敲钟这个动作没什么意义。吴志祥回道：胡扯。我们就是要去上市，就是要去敲钟。

2013年，已在美团声名鹊起的干嘉伟与多年不见的同程吴志祥一起吃了顿饭。那时，吴志祥带着同事来北京找干嘉伟叙旧。

吴志祥跟我回忆那时的心态，认为不是志在取经，“就是聊聊，老领导嘛，聊聊。”

席间，吴志祥讲起了自己的创业故事。听罢，干嘉伟评价道：我靠，你现在是江南土财主了。

这句话则让完成了从销售员到创始人，从B2B到B2C等大转变，还正在筹备上市事宜的吴志祥很不舒服：我们已经很牛了。我们是一个一年可以挣三千万的公司，你竟然跟我讲我是江南土财主。

注：本文摘编自阿里局一书

被敲醒了

为了上市，吴志祥压根儿不考虑移动互联网这个已经铺天盖地的新形态。

他告诉我自己当时的想法，“谁要想在移动上面有投入，我就问一个问题，做移动能给我们挣多少钱？其实做移动是挣不到什么钱的。我就控制的紧的不行。”

于是，2012年9月同程也成立了无线事业部，但只有几名员工。

消费者习惯的变化很快将敲醒吴志祥。2013年时PC互联网的流量已经式微，竞争也十分激烈，但吴志祥坚持SEO之路。

没用。2013年下半年，同程每个月的净利润额都在下降。到2013年12月，同程亏损了大约1000万元。

要知道自吴志祥等人创业以来，除了个别转型期外，同程没有哪一年不是一家赚钱的公司。当月亏损这件“不可能的事情”让同程的联合创始人“都有点傻有点懵。”

懵住还因为，亏损意味着他们把命都搭进去的PC互联网确实过气了。移动互联网才是未来，而投入太少的同程事实上对此没有布局，很可能被时代甩下。

再加上梁建章回归携程后（现在又去研究大事儿去了···）一改温文尔雅开始大举进攻旅游业同行，还放话要发力景点门票去灭掉同程。

于是吴志祥看着携程又是发动媒体战，又是大肆挖角同程员工，心情变得无比糟糕：

“你看我们为了上市已经准备了三年时间。为了上市我们吃糠咽菜。为了上市我们盘剥自己盘剥员工。为了上市我们让腾讯投了我们的对手。付出这么多，最后是这个结果。你追了三年的一个女孩子眼看就快到手了，突然人家告诉你她跟别人跑了。”

最强刺激源的出现，让投资人、朋友等之前反复劝诫吴志祥的话终于发生了作用。

吴志祥加速意识到，原来同程一直生活在一个认为同程很牛的小地方，并不知道外部世界的广阔和评价体系为何物；原来干嘉伟说自己是“江南土财主”是对的；

原来自己是按照传统企业的思路在经营一家互联网公司；原来腾讯投资部对同程一门心思要上市评价为不可理喻是对的；

原来腾讯投资同程后反复宣讲的“上市没有意义”、“不要着急，应该追求公司价值”等话是对的。

原来是吴志祥自己无知。原来吴志祥曾经把券商所言奉为圣旨、一门心思挣钱、志在敲钟等等判断，“都是错误的，这都是错误的。但是当时我们就是一个在苏州的封闭的环境下长过来的互联网公司的真实写照。”

将吴志祥评价为江南土财主的干嘉伟也不认为是同程创始人的能力有问题才导致他们做了不少错误的抉择，“在苏州那个地方成长有限。”

吴志祥回忆起腾讯敲打下的同程该去往何处，“腾讯（在董事会上）告诉我们，你们再不干移动互联网，就一点戏都没有了。我一开始没听懂，讲了三遍就听懂了。”

注：同程艺龙联席董事长吴志祥

阿里叠加腾讯

显然，“可能就干不下去了”等言论不过是一时之言，同程创始人的抗压能力没这么低。

张海龙、王专、吴志祥等人认为“当外部市场环境有一个巨大机会到来的时候还要去上市那就真的是想做个土财主，那是愚蠢。”

作为创业多年的老手，吴志祥在切换公司方向时并不像新手那样想个大概齐就抡起袖子猛干。他们是谋定而后动。

旅游业市场格局该如何演变？同程应该在哪里？结论是，他们觉得自己应成为BATC（携程）中t（腾讯）在旅游业的代言人，“腾讯在旅游方面最有战斗力的部队”。

要达成这个目标，同程得在市场上融到最多的资本——那时便计划了5亿、20亿、60亿的融资节奏，去找来最牛的人才，“自己这帮兄弟们的薪水也加上去”（吴志祥语），然后拿到移动互联网的门票。

被地域限制住的商业判断力既然得到了修复，那么就到了谈执行力的阶段。

中供出身的吴志祥很擅长这一点。同程召开了宣誓大会，由政委“政治动员”全体员工表态公司要转换风格。

然后便是如同中供一样的战场风动作：布置任务和目标，负责人签责任状，敲锣打鼓声中领军旗。同程整个公司就这么像上了发条一样开始行动起来。

“阿里那一套打法在我们公司是有痕迹的。我们这套东西，我认为跟阿里基本差不多。”虽然吴志祥早已离开阿里中供，但他观察了很久，还通过“一帮弟兄”聊了很多，“我们的政委跟很多阿里的大政委聊，比如张卫华（快乐沃克CEO，这人的故事详见阿里局）。我甚至说我们有一部分做的比阿里还好。”

既然烧钱打法是奔着移动互联网门票而去，那么同程里占主导地位的销售文化便需要调整。此前同程的产品该如何设置，功能该如何取舍，是业务线说了算。

用吴志祥的话来说，“业务说这个页面里放这个按钮，研发人员就把按钮放在上面。我们当时是没有产品经理的。我们之前对产品（的态度）是搞搞就行了，差不多就行了。”

但业务代表的是客户，而非用户，他们并不那么关心用户体验。首先转变的人自然是CEO。

吴志祥通过深入接触腾讯，接触马化腾和张小龙，直观感受到了腾讯何以成为腾讯。

一日凌晨，马化腾给吴志祥发微信，提醒后者同程机票的预定流程和颜色不太合理，“体验是不是有点小问题，你们要不要调一调。”吴志祥大惊失色，“这是什么公司啊。这么牛逼的情况下Pony（马化腾）还天天趴在那看产品。而且你那么多事情不去管，你盯着我的火车票、机票干什么。你盯我按钮的颜色干什么。把我真的吓死了。”

“不需要口号，没有运动。他（马化腾、张小龙）就是每天趴在那边看每个用户的体验，就这样子可以创造一个3000亿美金的公司。我以前觉得那些东西（产品）都没用，其实那些东西是有用的。

”吴志祥不禁思考更深入的问题，“我要去想，公司是谁说了算。这个功能到底放在哪里，谁说了算，用户体验是谁来关注的。这个对我的内心其实是个非常大的冲击。我们终于知道，用户、产品这个理念很重要。腾讯投了我们以后，我们公司才有了真正的产品经理，才有了产品经理文化。这是腾讯对我们非常大的帮助。”

吴志祥也开始在公司内努力推动用户体验和产品经理的氛围。同程将员工送去腾讯体验，腾讯的产品经理也前往同程做相关培训。

由于中供血脉的执行力的存在，同程的调整速度相当快。吴志祥说同程迅速完成了销售向产品的氛围的切换，“我们同时也有了一支很优秀的产品经理（团队）。”

通过一元玩景点、十元度周末、百元游世界、线下布局200个城市等声势浩大的扩张行为，同程进入了大规模烧钱的阶段。

“一个月同事们都改变过来了。太容易了，不就是烧钱嘛。冲流量，冲GMV，冲日活。”吴志祥认为烧钱也有辛苦之处，“但是整体来讲很容易。”

战斗的结果之一是，同程得到了携程的投资。

世界里越来越重要的力量

随着移动互联网用户红利的见顶，继续烧钱便意味着资金效率的降低。2016年下半年起，吴志祥便在内部不断释放同程是时候重新回到赚钱的轨道上、回归商业本质的信号。

在同程集团2017年的GMV将达到1000亿的前提下，吴志祥把集团2017年的目标之一定为“挣一块钱。”

“如果集团挣不到一块钱，从我开始，月薪直接降到1/10，越高的干部给我降得越低。但不是说靠大家降薪来挣钱，而是要让大家有挣钱的意识。在高速扩张期，我们是不太考虑这个投入是怎么产出的。”吴志祥说他们这次转换目标还是使用了宣誓大会、军令状等政治动员的方法。

“现在每一笔投入必须给我搞得很清楚，每一个环节都要下功夫。你的投入有没有产出？无论是用户体验上的产出，还是现金利润的产出，还是项目估值的产出都可以。如果你这一天和你这一分钱没有产出，你就要反省，再没有（产出）你就滚蛋。任何一笔没有必要的投入我们都要把它干掉。”

制定一个清晰可见的目标——比如挣一块钱——可以调整团队的方向并增强凝聚力。

马云在创业早期也曾多次使用这一方法。吴志祥承认自己在模仿马云，他觉得“也许我们这一块钱的格局跟他的格局还有很大的差距。马总那是十几年前的一块钱，背后是一个无比庞大的布局等着他。”

在这个目标下，2017年末同程旅游交出了成绩单，整个集团总交易额超过1000亿元，服务人次超过5亿。

旗下两大板块同程控股和同程网络，其中同程网络的净利润接近5亿元人民币，并于2018年和艺龙旅行网合并为新公司“同程艺龙”；同程控股旗下的同程旅行社集团等板块也完成全年目标，预计在2018年取得盈利。

同程要挣一块钱，其背后的布局则是从一个渠道性质的平台公司，拓展为一家综合性的旅游生态平台。

我们可以将之理解为，作为中国旅游业四大流量平台之一同程，既想获得更多的流量，也希望把自己的流量转化到旅游业的多个细分行业上去。

以此为目标，同程战略投资了号称中国民宿第一品牌的花间堂，成立了同程金服和同程文旅，同程旅游集团旗下的同程网络与艺龙旅行网还合并为“同程艺龙”，同程还努力的希望拥有自己的航空板块……。

“我们今天挣了一块钱，可能也只是在中国旅游行业里面的一支重要的力量，没有办法做成世界商业史上的奇迹。今天有一个叫同程的公司，它一年可以服务5亿人。

它有没有机会也变成一个旅游集团呢？我认为我们至少敢去想一下吧，对吧。这个决心我们是要下的。”

吴志祥相信同程不仅仅是下决心而已：

“成为在中国和世界旅游行业里面一支越来越重要的力量，这个我觉得是可以做到的。

也让我们的同事能够得到更大的价值的体现。他们大部分人赚过钱，也烧过钱，打过胜仗，也打过败仗。我认为他们绝分人还有更大的提升价值的空间。

同时也能通过我们的存在和我们的服务，真的是能够让更多的消费者感受到旅游和旅行的便利和乐趣。我们每一天，我们做的每一步其实都是在往这个方向努力。最后呢能给股东回报，我相信肯定可以做到。”

预告！中关村番钛客金融科技大赛第五场分组赛来了

中关村“番钛客”金融科技大赛

第五场分组赛——智能金融专场

将于8月9日下午举行

欢迎大家踊跃报名参会！

为贯彻落实《北京市促进金融科技发展规划（2018年-2022年）》和《关于首都金融科技创新发展的指导意见》，推动中关村金融科技的产业发展，构建金融科技企业的培育、孵化与提升机制，挖掘筛选潜力企业，由中关村科技园区管理委员会等部门指导的中关村“番钛客”2019金融科技创新大赛（简称：中关村“番钛客”金融科技大赛），将于8月9日举办第五场分组赛——智能金融专场，分组赛邀请到了来自金融机构、投资机构、金融科技领军企业、高校院所等领域的专业人士作为本次分组赛的评审专家，届时将有金融机构发布金融需求，涵盖反欺诈系统建设、客户真实意愿判定模型等。

2017年7月，国务院颁发的《新一代人工智能发展规划》中提出“智能金融”的发展要求，指出要建立金融大数据系统，提升金融多媒体数据处理与理解能力；创新智能金融产品和服务，发展金融新业态；鼓励金融行业应用智能客服、智能监控等技术和装备；建立金融风险智能预警与防控系统。智能金融以科技为翼，正以前所未有的态势深入信用等金融底层逻辑，从金融业的支付、投融资、资产管理等环节创造新的金融规则、改善金融服务质量，提高金融服务效率。未来，智能金融将深入生活场景，为客户提供无所不在的金融服务，“客户在哪，金融服务即在哪”的金融生态将逐步形成。

下面，让我们对第五场分组赛的项目先睹为快！

1

信用卡大数据智能应用

所属公司：北京摩比万思科技有限公司

技术：人工智能、移动互联

公司研发的个人金融程序化智能管理平台，通过应用大数据机器学习技术，全年实现为银行客户信用卡发卡超过100万张。该项目通过自有数据仓库系统，遵循国家合规标准，为10余家股份制银行和两大国有银行提供完整的应用服务。

项目亮点：人工智能技术的数据应用前沿、专注金融服务

2

个人及微企信用管理系统的研发及产业化

所属公司：北京瑞天欣实数据科技有限公司

技术：人工智能、大数据

公司专注于数据风控应用体系、数据营销应用体系、智能决策体系和数据分析建模等领域，是大数据分析、建模和数据应用服务提供商。

该项目是以数据分析挖掘以及预测建模技术为核心，以个人消费者和小微企业的身份、信用、消费等行为的相关资料构建基础数据库，建立为消费者和小微企业各种贷款的信用风险管理系统，首先为金融行业提供产品和服务，然后延伸拓展到电信、电商、医疗卫生和其他公共服务机构领域等。

项目亮点：数据分析挖掘，预测建模技术

3

产业金融云图

所属公司：北京知因智慧数据科技有限公司

技术： 人工智能、大数据

公司是一家以 AI 驱动的产业金融科技公司，以“金融回归实体、产业创造金融”为使命，运用大数据、知识图谱和机器学习算法等技术，连接金融机构和产业机构，提供企业洞察、风险控制、精准营销、供应链金融等场景的数据和运营服务，包含本地化和云服务两种方式。

项目亮点：拥有独立的大数据中心和知因智慧 AI 实验室，自主创新研发了“产业云图 6 1”产品系列，即 6 大场景金融服务产品和 1 个企业知识库。

4

基于二维码识别设备的移动支付应用实践

所属公司：北京意锐新创科技有限公司

技术：人工智能、大数据、移动互联、物联网、生物识别

公司致力于基于二维码技术在移动支付领域的创新与实践，曾研发国家自主知识产权二维码码制“汉信码”，以及多项行业标准和应用规范。2015年推出的自助识读支付设备意锐小白盒，将二维码支付引入秒级时代，创造扣扫支付行为。2017年意锐推出软POS解决方案，助力传统收银台升级。

项目亮点： 首创“扣扫”支付行为，二维码支付进入秒级。

5

农业领域金融科技大数据应用

所属公司：北京市农信互联科技集团有限公司

技术：人工智能、大数据、物联网

公司以“用互联网改变农业”为使命，以猪产业为核心，提供猪管理、猪交易和猪金融服务，向农业全产业的管理服务辐射，专注于农业互联网平台生态圈的建设，开创以“数据 交易 金融”为核心的垂直一体化农业产业互联网模式。农信互联的金融科技业务，是以政府机构、银行、保险公司、担保公司、支付公司等为服务对象，提供行业研究、大数据风控、交易场景监控、贷后经营监控、资金回收管理等多维度服务。

项目亮点：猪联网，是智能化养猪SaaS平台，通过智能化、大数据、专家系统在线指导猪场生产，解决猪场和企业的管理效率问题。

6

基于场景金融的开发银行服务平台

所属公司：上海浔银网络科技有限公司

技术：大数据

公司构建的开放银行金融服务输出到高频大流量场景，为中小银行和各场景行业提供高效的智能零售金融解决方案，涵盖场景钱包、信贷管理、投融资管理、开放银行运营实施等多个领域，并提供产品开发、流量获客、营销运营等多种工具。专注于将纷繁复杂的场景、流量、数据、风控、资金、产品等场景金融关键要素予以标准化，打造成端到端的开放银行场景金融解决方案。

项目亮点：有银行互联网从0到1的建设能力，以及同银行联合共建运营的能力。

7

资管数据分析服务

所属公司：旷本科技（北京）有限公司

技术：人工智能、大数据、云计算

公司致力于以金融市场模型、算法和人工智能打造中国的“阿拉丁” – SuperNova (“SNP”) 智能投资和风控平台，向金融机构和企业客户提供更智能、高效和本地化的数据分析云服务、定价和风控引擎、投资和量化风控平台设计和运营支持，以科技和数据改变投资和资产管理行业。

项目亮点：智能资管方案提供商、智能投资和风控平台

8

美通智投

所属公司：美通智投（北京）科技有限公司

技术：人工智能

公司是国美金融旗下专注于金融领域的AI研究及应用的创新团队，为金融机构提供专业智能投资顾问系统服务和解决方案，致力于成为金融机构财富管理和资产管理的AI赋能者。针对财富管理和资产管理行业，美通智投为金融机构提供全方位、可定制化的人工智能解决方案。包括智能投顾服务框架、金融大数据分析、知识图谱、风险资产识别、战略型投资组合构建、投资标的打分、投资组合优化、金融搜索、金融择时策略、基金组合一键交易，以及市场情绪自动判断等服务。

项目亮点：通过实盘投资，验证人工智能能力。

9

DataCanvas数据科学平台

所属公司：北京九章云极科技有限公司

技术：人工智能

公司是一家致力于数据科学平台和实时决策中心的高科技、高成长企业。公司核心产品DataCanvas 数据科学平台为企业提供实时数据分析、实时业务、数据中台及AI建设能力，助力企业客户轻松构建智能化数据应用，完成数据智能化转型。

项目亮点：DataCanvas数据科学平台以新一代AutoML和实时计算相结合的技术为核心，构建全新、高效的数据科学平台，大幅度降低企业AI建设门槛，实现模型管理和AI应用支持，为企业用户提供AI建设能力和决策自动化能力。

10

新经济下的大数据智能投研服务

所属公司：北京燃数科技有限公司

技术：大数据

公司是一家为金融机构、企业等提供数据驱动投资和商业决策解决方案的服务商，致力于依靠大数据，AI等技术手段，为金融机构等客户建立“新型数据银行”，并提供新一代智能数据分析平台，助力投资决策和商业洞察。

项目亮点：为金融机构建立“新型数据银行”并提供智能投研的解决方案。

11

金融合规智能平台

所属公司：北京北大英华科技有限公司

技术：大数据、人工智能

公司是由北京大学投资控股、北京大学法学院创办和主管的高新技术企业和软件企业，依托于北京大学资源优势致力于法律知识工程、法律人工智能、法律教育培训和法律文化传播四项事业，竭诚服务于全面依法治国。

项目亮点：依托北京大学法律人工智能研究室，以北大法宝法律法规数据库和法宝联想大数据为支撑，融合了多种执法办案子系统为数据来源，是集执法办案、执法监督、执法服务为一体的综合性业务平台。

12

智能金融决策引擎系统

所属公司：财富引擎（北京）科技有限公司

技术：大数据、人工智能

公司基于清华大学金融科技产学研平台，致力于引进金融科技，为我国广大金融机构与投资者服务。目前公司已与多家银行、券商、保险公司等金融机构深度合作，并与清华大学、普林斯顿大学等院校和研究机构建立紧密的产学研合作关系，持续为客户提供金融科技解决方案。

项目亮点：自主研发的智能决策系统覆盖资产管理、财富管理及风险管理领域，以金融科技驱动核心业务决策流程。

13

重庆金融大数据服务平台

所属公司：北京九宫格大数据科技有限公司

技术：大数据

公司以数据源销售、大数据场景服务及大数据应用开发为主营业务版块，秉承释放数据价值，以一仓-数据仓，两平台-神算子和BDG Store平台作为公司的业务主体，构建了完整的大数据整合服务生态。

项目亮点：通过以数据资源为基础，以线上平台为载体，发挥相关人才优势，通过建立金融大数据产业服务平台和相关组织，整合包括政府部门、银行、担保公司、大数据服务及应用提供方在内的各方资源，形成集体力量，积极搭建信息交流和互动平台，拓展中小企业融资渠道，解决中小企业融资难题。

14

基于产业知识图谱的智能投研系统

所属公司：北京盘股科技有限公司

技术：人工智能

公司产品“投顾大师APP”通过整合数百位投资顾问的观点，为过亿普通投资者提供专业易懂的个性化服务，将线下券商优势与优秀的互联网产品技术、运营推广相结合，打造股票投资顾问与投资者沟通平台。

项目亮点：依托证券公司研究所的专家知识，投研逻辑IT化，核心数据系统化，形成细致、全面的证券投研垂类的知识图谱。

8月9日，让我们共同期待各位参赛企业在智能金融分组赛中的精彩表现和

专家评委的精彩点评，金融科技将从这里起飞！

大赛组织机构

指导单位

中关村科技园区管理委员会、北京市地方金融监督管理局、中国互联网金融协会、西城区人民政府、海淀区人民政府、石景山区人民政府、通州区人民政府、房山区人民政府

主办单位

中关村互联网金融研究院、中关村金融科技产业发展联盟（筹）、中国互联网金融三十人论坛（CIF30）

支持单位

西城区金融科技产业投资基金、海淀区金融科技产业投资基金、中互金投资基金管理有限公司、中建投资本管理有限公司、北京源码资本投资有限公司、北京大河融科创业投资有限公司、北京中关村科技融资担保有限公司、北京中关村银行、百信银行、中国工商银行北京分行、北京银行中关村分行、中国建设银行北京分行、中国光大银行北京分行、中关村创业投资和股权投资基金协会

协办单位

中关村互联网金融服务中心、中国人民大学数学学院、中央财经大学金融学院、北京大学信息科学技术学院区块链研究中心、深圳证券信息有限公司、北京区块链技术应用协会、北京银行保险产业园、北京金融安全产业园、金融科技50人论坛(CFT50)、北京创业公社投资发展有限公司、中国技术经济学会金融科技专委会、北京番钛客投资管理有限公司

评审专家

大赛评审专家由金融机构、投资机构、金融科技领军企业、高校院所等领域行业专家组成。

分组赛流程

13:00 - 13:30 签到

13:30 - 13:35 主持人开场

13:35 - 13:40 领导致辞

13:40 - 13:50 金融机构需求发布

13:50 - 17:20 参赛企业路演

【每家企业15分钟，其中：路演10分钟 互动5分钟（专家点评 现场问答）】

17:20 —17:30 会议总结

扫码报名参会

（详细地址报名审核通过后短信发送，请注意查收）

联系方式： 010-53383207

安老师：18610061688；曹老师：13718969634

盛弘股份发明专利浅析