3.1.1.TicketToCash數據庫配置錯誤致52萬客戶數據泄露
5月1日,網絡安全研究員Jeremiah Fowler近日發現,活動門票轉售平臺TicketToCash的一個配置錯誤、無密碼保護的200GB公開數據庫泄露。該數據庫包含超過52萬條記錄,涉及客戶的姓名和電子郵件地址等個人身份信息(PII)及部分信用卡號、實際地址、票證副本等財務詳細信息。
來源:
https://hackread.com/ticket-resale-platform-tickettocash-exposed-user-data/
3.1.2.Ascension數據泄露影響超43萬名患者
5月9日,美國Ascension醫療保健系統近日透露,上個月發生了一起重大數據泄露事件,超過43萬名患者的個人和醫療保健信息遭到泄露。攻擊者獲取了與患者住院就診相關的個人健康信息,如醫生姓名、入院和出院日期、診斷和賬單代碼等,還包括患者的個人信息,如姓名、地址、電話號碼、電子郵件地址、出生日期、種族、性別和社會安全號碼等。
來源:
https://www.bleepingcomputer.com/news/security/ascension-says-recent-data-breach-affects-over-430-000-patients/
3.1.3.PrepHero數據庫泄露300萬學生和教練數據
5月13日,大學招生平臺PrepHero曝出重大安全漏洞,超三百萬條未加密記錄遭泄露,涉及學生運動員及其教練敏感信息。該數據庫由芝加哥公司PrepHero(由EXACT Sports運營)所有,用于幫助高中運動員創建招募檔案并與大學教練溝通。數據庫包含315萬余條記錄,總計約135GB,信息涵蓋學生運動員的姓名、電話、郵箱、家庭住址、護照信息,以及家長和教練聯系方式,甚至包含學生運動員護照圖像鏈接的未受保護文件。尤為嚴重的是,數據庫中“郵件緩存”文件夾保存了2017年至2025年的10GB電子郵件,包含個性化網頁鏈接,可公開訪問個人姓名、出生日期、薪酬等詳細信息,部分郵件還含有臨時密碼,進一步加劇隱私風險。此外,教練員錄音也被發現,涉及教練姓名、所在大學及對學生運動員的評估。
來源:
https://hackread.com/prephero-database-exposed-students-coaches-data/
3.1.4.招聘平臺HireClick570萬份簡歷遭泄露
5月15日,Cybernews研究人員近日發現一起大規模數據泄露事件,根源指向面向中小型企業的招聘平臺HireClick。由于亞馬遜AWS S3存儲桶配置錯誤,該平臺超過570萬份文件被暴露在互聯網上,其中主要是求職者的簡歷,這些文件泄露了求職者的全名、家庭住址、電子郵件地址、電話號碼及就業信息等敏感和私人數據。
來源:
https://cybernews.com/security/hireclick-resume-database-data-leak/
3.1.5.Serviceaid配置錯誤致Catholic Health近50萬患者信息泄露
5月19日,企業IT提供商Serviceaide因數據庫配置錯誤,導致與紐約非營利性醫療保健系統Catholic Health相關的約483126名患者敏感健康和個人信息泄露。泄露的數據庫包含大量敏感信息,如全名、出生日期、處方數據、社會安全號碼、健康保險詳情、醫療保健提供者信息、治療和臨床信息、醫療記錄和賬號以及電子郵件地址、用戶名和密碼等。
來源:
https://hackread.com/serviceaide-leak-catholic-health-patients-records/
4.1.1.中央網信辦通報15款App和16款SDK個人信息收集使用問題
根據中央網信辦、工業和信息化部、公安部、市場監管總局聯合發布的《關于開展2025年個人信息保護系列專項行動的公告》,依據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》《App違法違規收集使用個人信息行為認定方法》等法律法規和有關規定,中央網信辦組織對App、SDK收集使用個人信息行為進行檢測,對有關問題予以通報。
來源:
https://www.cac.gov.cn/2025-05/06/c_1748239411359045.htm
4.1.2.公安部計算機信息系統安全產品質量監督檢驗中心檢測發現35款違法違規收集使用個人信息的移動應用
依據《網絡安全法》《個人信息保護法》等法律法規,按照《中央網信辦、工業和信息化部、公安部、市場監管總局關于開展2025年個人信息保護系列專項行動的公告》要求,經公安部計算機信息系統安全產品質量監督檢驗中心檢測,在應用寶中35款移動應用存在違法違規收集使用個人信息情況。
https://mp.weixin.qq.com/s/4JB4OJw3yDWKh_9Fe2-klQ
4.1.3.國家計算機病毒應急處理中心檢測發現65款違法違規收集使用個人信息的移動應用
依據《網絡安全法》《個人信息保護法》等法律法規,按照《中央網信辦、工業和信息化部、公安部、市場監管總局關于開展2025年個人信息保護系列專項行動的公告》要求,經國家計算機病毒應急處理中心檢測,65款移動應用存在違法違規收集使用個人信息情況。
https://www.cverc.org.cn/zxdt/report20250513.htm
4.2.1.三款手機監控軟件或因泄露數據集體下線
近日,三款幾乎相同但品牌不同的手機監控應用程序Cocospy、Spyic和Spyzie已全面下線。這些應用程序今年早些時候被曝出監視了數百萬用戶手機,允許安裝者在目標不知情的情況下訪問其個人數據,包括短信、照片、通話記錄和實時位置信息。研究人員揭示,這些應用存在共同的安全漏洞,允許任何人訪問安裝了這些應用的設備上的個人數據。該漏洞還暴露了320萬注冊用戶的電子郵件地址,這些數據已被提供給數據泄露通知網站Have I Been Pwned。
來源:
https://techcrunch.com/2025/05/19/cocospy-stalkerware-apps-go-offline-after-data-breach/
4.2.2.超4萬iOS應用濫用私有權限,帶來安全隱患
Zimperium最新研究揭示,iOS設備面臨日益增長的安全威脅,特別是來自未經審核和側載的移動應用。盡管iPhone通常被視為設計安全的設備,但分析顯示某些應用能悄然繞過蘋果的保護機制,使用戶和企業面臨風險。研究人員發現,超過4萬個應用程序使用私有權限,800多個依賴私有API。攻擊者主要通過權限提升、濫用私有API和繞過蘋果應用審核的側載漏洞來攻擊iOS設備。
來源:
https://hackread.com/40000-ios-apps-found-exploiting-private-entitlements/
浙公網安備 33010502006954號 
