3.1.1.TicketToCash数据库配置错误致52万客户数据泄露
5月1日,网络安全研究员Jeremiah Fowler近日发现,活动门票转售平台TicketToCash的一个配置错误、无密码保护的200GB公开数据库泄露。该数据库包含超过52万条记录,涉及客户的姓名和电子邮件地址等个人身份信息(PII)及部分信用卡号、实际地址、票证副本等财务详细信息。
来源:
https://hackread.com/ticket-resale-platform-tickettocash-exposed-user-data/
3.1.2.Ascension数据泄露影响超43万名患者
5月9日,美国Ascension医疗保健系统近日透露,上个月发生了一起重大数据泄露事件,超过43万名患者的个人和医疗保健信息遭到泄露。攻击者获取了与患者住院就诊相关的个人健康信息,如医生姓名、入院和出院日期、诊断和账单代码等,还包括患者的个人信息,如姓名、地址、电话号码、电子邮件地址、出生日期、种族、性别和社会安全号码等。
来源:
https://www.bleepingcomputer.com/news/security/ascension-says-recent-data-breach-affects-over-430-000-patients/
3.1.3.PrepHero数据库泄露300万学生和教练数据
5月13日,大学招生平台PrepHero曝出重大安全漏洞,超三百万条未加密记录遭泄露,涉及学生运动员及其教练敏感信息。该数据库由芝加哥公司PrepHero(由EXACT Sports运营)所有,用于帮助高中运动员创建招募档案并与大学教练沟通。数据库包含315万余条记录,总计约135GB,信息涵盖学生运动员的姓名、电话、邮箱、家庭住址、护照信息,以及家长和教练联系方式,甚至包含学生运动员护照图像链接的未受保护文件。尤为严重的是,数据库中“邮件缓存”文件夹保存了2017年至2025年的10GB电子邮件,包含个性化网页链接,可公开访问个人姓名、出生日期、薪酬等详细信息,部分邮件还含有临时密码,进一步加剧隐私风险。此外,教练员录音也被发现,涉及教练姓名、所在大学及对学生运动员的评估。
来源:
https://hackread.com/prephero-database-exposed-students-coaches-data/
3.1.4.招聘平台HireClick570万份简历遭泄露
5月15日,Cybernews研究人员近日发现一起大规模数据泄露事件,根源指向面向中小型企业的招聘平台HireClick。由于亚马逊AWS S3存储桶配置错误,该平台超过570万份文件被暴露在互联网上,其中主要是求职者的简历,这些文件泄露了求职者的全名、家庭住址、电子邮件地址、电话号码及就业信息等敏感和私人数据。
来源:
https://cybernews.com/security/hireclick-resume-database-data-leak/
3.1.5.Serviceaid配置错误致Catholic Health近50万患者信息泄露
5月19日,企业IT提供商Serviceaide因数据库配置错误,导致与纽约非营利性医疗保健系统Catholic Health相关的约483126名患者敏感健康和个人信息泄露。泄露的数据库包含大量敏感信息,如全名、出生日期、处方数据、社会安全号码、健康保险详情、医疗保健提供者信息、治疗和临床信息、医疗记录和账号以及电子邮件地址、用户名和密码等。
来源:
https://hackread.com/serviceaide-leak-catholic-health-patients-records/
4.1.1.中央网信办通报15款App和16款SDK个人信息收集使用问题
根据中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《App违法违规收集使用个人信息行为认定方法》等法律法规和有关规定,中央网信办组织对App、SDK收集使用个人信息行为进行检测,对有关问题予以通报。
来源:
https://www.cac.gov.cn/2025-05/06/c_1748239411359045.htm
4.1.2.公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,在应用宝中35款移动应用存在违法违规收集使用个人信息情况。
https://mp.weixin.qq.com/s/4JB4OJw3yDWKh_9Fe2-klQ
4.1.3.国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经国家计算机病毒应急处理中心检测,65款移动应用存在违法违规收集使用个人信息情况。
https://www.cverc.org.cn/zxdt/report20250513.htm
4.2.1.三款手机监控软件或因泄露数据集体下线
近日,三款几乎相同但品牌不同的手机监控应用程序Cocospy、Spyic和Spyzie已全面下线。这些应用程序今年早些时候被曝出监视了数百万用户手机,允许安装者在目标不知情的情况下访问其个人数据,包括短信、照片、通话记录和实时位置信息。研究人员揭示,这些应用存在共同的安全漏洞,允许任何人访问安装了这些应用的设备上的个人数据。该漏洞还暴露了320万注册用户的电子邮件地址,这些数据已被提供给数据泄露通知网站Have I Been Pwned。
来源:
https://techcrunch.com/2025/05/19/cocospy-stalkerware-apps-go-offline-after-data-breach/
4.2.2.超4万iOS应用滥用私有权限,带来安全隐患
Zimperium最新研究揭示,iOS设备面临日益增长的安全威胁,特别是来自未经审核和侧载的移动应用。尽管iPhone通常被视为设计安全的设备,但分析显示某些应用能悄然绕过苹果的保护机制,使用户和企业面临风险。研究人员发现,超过4万个应用程序使用私有权限,800多个依赖私有API。攻击者主要通过权限提升、滥用私有API和绕过苹果应用审核的侧载漏洞来攻击iOS设备。
来源:
https://hackread.com/40000-ios-apps-found-exploiting-private-entitlements/