又是数据信息不安全的一周，一个网站就流出了1.08亿条信息

1

拼多多遭遇羊毛党  恐损失200多亿

1月20日凌晨，拼多多被曝出现重大Bug——用户可无门槛领取100元优惠券，优惠券全场通用，有效期一年。这一Bug被发现后，大批用户涌入拼多多开始大力“薅羊毛”。网络传言这一重大Bug可能在一夜之间给拼多多带来200亿元的损失。随后，拼多多进行辟谣，并将优惠券领取方式及已领取但未使用的优惠券全部下架。

事后，拼多多官方发布公告，称该事件为一黑灰产团伙通过一过期优惠券漏洞谋取不正当利益造成，并已报警。而针对“损失200亿”的说法，拼多多也在公告里辟谣为“实际资产损失大概率低于千万元”。

2

数据泄露：773万封电子邮件曝光

据外媒消息，近日，一个达87GB的存档文件包出现在MEGA云存储服务（已被删除），后又在黑客论坛上曝光，其中包括7.73亿封电子邮件地址以及对应的登陆密码。

据该文件包的发现者，安全研究员和Have I Been Pwned平台创建者Troy Hunt，该集合文件包由2800个不同的文件组成，包含来自多次数据泄露事件中曝光的电子邮件账户信息。

3

美国多个赌博网站泄露1.08亿条信息

据美国科技媒体ZDNet报道，美国一个网络赌博集团泄露1.08亿条赌博信息，里面包括客户的个人信息、存款及提款详情。网络安全研究人员贾斯汀·潘恩（Justin Paine）说，这些信息是从ElasticSearch服务器泄露的，并在网上流传，不需要密码就能获得。

4

美国多家大银行泄露贷款文件：数量达2400多万份

据美国科技媒体TechCrunch报道，因为服务器出现安全漏洞，美国多家大银行泄露2400多万份金融及银行资料，涉及大量贷款和抵押贷款信息。受影响的服务器上运行Elasticsearch数据库，里面包含了10多年的历史数据，比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护，任何人都可以查阅。

Ascension母公司Rocktop Partners的高管证实，服务器出现漏洞，不过系统没有受到影响。1月15日，供应商在配置服务器时出现错误，导致一些与抵押贷款有关的文档泄露。

5

青年学生组织AIESEC申请者信息泄露：规模达400多万条

据美国科技媒体报道，安全研究人员近日称，国际经济学商学学生联合会（AIESEC）泄露400多万条青少年申请者的个人信息，而且这些信息不需要密码就能获取。

1月11日，独立安全研究人员鲍勃·迪亚琴科（Bob Diachenko）在Elasticsearch找到一个未受保护的数据库，里面包含AIESEC申请人的信息，具体包括申请人的名字、性别、出生年月、申请实习原因等信息，还有申请被拒的时间。

AIESEC声称，在迪亚琴科发现之前20天，因基础设施升级，导致数据库意外泄露。就在迪亚琴科披露曝光信息当天，数据库已经被保护起来.

6

法国一招聘网站数百万条敏感数据泄露

据外媒报道，国际网络安全咨询公司HackenProof的安全专家在2018年12月21日发现了另一个没有得到很好保护的Elasticsearch集群，其中包含数百万非常敏感的数据记录。从索引的名称来看，这些数据来自法国一临时工招聘网站——MisterTemp。

此外，安全专家还发现2个同样属于该网站的IP暴露在外，同样不需要密码即可查看。其中，名为“mistertemp-2.14.0”的索引所包含的记录总数约为290万（2,898,153）条。每一条记录都包含了相当详细和敏感的申请人个人信息，如姓名、电子邮箱地址、住址、工作经验、可供下载简历和身份证件扫描件的外部S3存储链接等。

7

菲律宾金融服务公司数据泄露 90万客户受影响

菲律宾金融服务提供商Cebuana Lhuillier周六表示，大约有90万名客户的数据在未经授权情况下遭黑客窃取，该公司已向有关部门报警并介入这一事件的调查。

Cebuana Lhuillier表示，黑客此次针对该公司市场营销部门电子邮件服务器发起的攻击，致部分客户的生日、地址和收入来源等信息外泄。