信息化觀察網(wǎng)

根據(jù)DarkReading的記載，2018年前九個月就發(fā)生了3676起數(shù)據(jù)泄露事件，從而導(dǎo)致2018年在歷史上的數(shù)據(jù)泄露年份中排名第二......我們有理由相信：任何人都不可能妥善對待我們的數(shù)據(jù)！

今年，許多科技巨頭和政府部門，甚至連三明治連鎖店都證實了，我們不能相信任何人會妥善對待我們的隱私數(shù)據(jù)。最好的情況也不過是這些公司沒能在保護(hù)數(shù)據(jù)安全方面做好萬全的準(zhǔn)備。最壞的情況下，他們甚至利用我們交給他們的數(shù)據(jù)，來幫助別人影響我們本來就已支離破碎的民主。

說起2018年的數(shù)據(jù)泄露丑聞，唯一的好消息就是它促成了歐盟激進(jìn)的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的立法，以及該立法對于影響到消費者的數(shù)據(jù)泄露提供的保護(hù)。多虧有了GDPR，現(xiàn)在各個公司必須明確地公示數(shù)據(jù)泄露，否則就會面臨巨額罰款。但這也有缺點：即使在網(wǎng)絡(luò)攻擊愈發(fā)猖獗的今天，美國人也享受不到它的任何好處。

更讓人失望的是，我們這里披露的數(shù)據(jù)泄露丑聞只是去年一切數(shù)據(jù)濫用的冰山一角。根據(jù)DarkReading的記載，2018年前九個月就發(fā)生了3676起數(shù)據(jù)泄露事件，從而導(dǎo)致2018年在歷史上的數(shù)據(jù)泄露年份中排名第二。所以要小心了：雖然年終的總結(jié)大多數(shù)都是正面的，而且有些非常尖銳，但這個消息將是重磅炸彈。

Facebook的問題

毫不懷疑，F(xiàn)acebook的數(shù)據(jù)泄露是2018年最大的數(shù)據(jù)丑聞，盡管理論上說它早在幾年前就發(fā)生了。

2018年3月17日，The Guardian和紐約時報揭露了一家英國的政治咨詢公司Cambridge Analytica利用一個問答應(yīng)用，在用戶不知情的情況下收集了至少8700萬Facebook用戶的數(shù)據(jù)。Cambridge Analytica然后將這些數(shù)據(jù)賣給了特朗普的選舉團(tuán)隊，后者在2016年的總統(tǒng)大選中利用這些數(shù)據(jù)有針對性地給Facebook用戶發(fā)送選舉的消息。

該問答應(yīng)用最大的問題在于，參與問答的人并沒有8700萬，實際上最多只有幾十萬人。但該問答應(yīng)用利用了Facebook API中的一個漏洞，它不僅能收集參與問答的人本身的信息，還能收集他所有好友的信息，哪怕這些人從來沒有參與過這個問答，或者根本沒有用任何方式接觸過該應(yīng)用。

順便說一下，當(dāng)初協(xié)助編寫該應(yīng)用的一名研究人員后來在2015年加入了Facebook，后來于九月份被Facebook解雇，但Facebook對于是否在解雇之前知道該人身份的話題一直避而不談。

根據(jù)2014年發(fā)給Cambridge Analytica的Christopher Wylie的一封郵件中包含的Facebook數(shù)據(jù)，Alex Kogan推測了一些可能的特征。

盡管沒有太多證據(jù)證明Cambridge Analytica丑聞中的Facebook數(shù)據(jù)左右了特朗普的選舉，但很顯然Facebook對所謂的“隱私保護(hù)”并沒有太多關(guān)心。即使現(xiàn)在，人們也不知道這些數(shù)據(jù)去哪兒了：Cambridge Analytica聲稱他們已經(jīng)刪除了數(shù)據(jù)，但天知道還留下了多少副本。

更重要的是，這次丑聞被稱為“分水嶺時刻”，它使得公眾開始意識到個人數(shù)據(jù)的力量，以及這些數(shù)據(jù)可能被用來操縱自己，甚至操縱民主。

今年Facebook也有一次重大的數(shù)據(jù)泄露。九月，F(xiàn)acebook披露了泄露的細(xì)節(jié)，它至少影響了3000萬Facebook用戶，黑客可能獲取了人們的住址、出生地、婚姻狀況，有時甚至還包括最近的搜索關(guān)鍵字。

健身應(yīng)用Polar暴露了美國軍方和安全相關(guān)人員的個人信息

說起應(yīng)用，今年對于Polar這款應(yīng)用來說可不太吉利。

Polar是一款流行的健身應(yīng)用，許多軍隊的人都在使用它，顯然NSA和秘密服務(wù)部門也在用它。我們了解到這一點，是因為Polar的數(shù)據(jù)安全做得非常差，軍方和安全服務(wù)部門的用戶在基地周圍鍛煉時，研究者很容易就能跟蹤他們。不僅如此，該應(yīng)用中不存在的數(shù)據(jù)保護(hù)措施也幾乎能讓任何人看到軍方和安全服務(wù)部門的人們的姓名、心率，甚至居住的地方。

據(jù)《華盛頓日報》報道，當(dāng)研究者們公布這些發(fā)現(xiàn)時，他們已經(jīng)能獲得超過6460名美國軍人和安全從業(yè)人員的個人信息。這些信息包括用戶所在的軍事基地位置，如關(guān)塔那摩灣海軍基地，以及位于吉布提的萊蒙尼爾營——這是美國在非洲之角中的主要軍事基地，負(fù)責(zé)美軍在非洲的行動。

Exactis幾乎暴露了2億3000萬美國人的一切

如果說數(shù)據(jù)泄露導(dǎo)致軍人的信息泄露已經(jīng)很糟糕了，那么這種孱弱的數(shù)據(jù)安全暴露2億3000萬美國公民和1億1千萬美國商人的信息又會如何呢？

六月份，一家位于佛羅里達(dá)的市場營銷公司發(fā)布了一篇名為“Exactis在公開服務(wù)器上暴露了3億4000萬美國人和商人的幾乎一切信息”的報告，這篇報告現(xiàn)在還能看到。

Exactis泄露了總計約2TB的信息。而這里說的信息并不僅僅是姓名和電子郵件（當(dāng)然這兩種信息也包含在內(nèi)），還有400多項其他個人特征，比如某人是否吸煙、是否養(yǎng)寵物，個人信仰，是否有子女，以及個人的興趣愛好等。

感覺今年信息竊賊們很早就過圣誕節(jié)了一樣。

Aadhaar Login泄露了印度所有人的信息

不過我們還是先放Exactis一馬吧？我的意思是，這2億3000萬美國人的信息泄露與整個印度的11億人的信息比起來真是小巫見大巫，而這的的確確發(fā)生在印度國家身份認(rèn)證系統(tǒng)Aadhaar上。

Aadhaar是印度政府運營的世界最大的生物認(rèn)證系統(tǒng)，它存儲了全國幾乎每個公民的照片、指紋、家庭住址以及其他個人信息。

某個調(diào)查記者發(fā)現(xiàn)有人在WhatsApp上出售Aadhaar系統(tǒng)中的登錄信息，這些信息可以讓人進(jìn)入任何人的Aadhaar并訪問他的個人信息，而這些登錄信息的出售價格大約為7美元。

你以為印度政府會因此提高警惕嗎？那就太天真了。

印度政府似乎對這篇報道感到非常憤怒，并指出將對“不實報道”訴諸法律。三月，一名安全研究員向ZDNet證明該系統(tǒng)脆弱，而印度政府再次否認(rèn)。

萬豪的黑客事件影響了5000萬酒店客人

沒錯，5000萬。這次黑客事件是由萬豪于2018年11月30日公布的，但實際上早在2014年就一直在發(fā)生，影響了萬豪旗下的多個品牌，包括W飯店、瑞吉酒店、喜來登、威斯汀等。

人們懷疑黑客從北京接入，獲取了5000萬客人中的3270萬人的幾乎一切數(shù)據(jù)，包括姓名、郵件地址、電話號碼、郵寄地址、護(hù)照編號、Starwood常旅客賬號信息、生日、性別、入住和離開信息、預(yù)約日、通信方式、支付卡號、支付卡的過期時間等。其余1730萬“幸運”的客人只遺失了姓名、郵寄地址、電子郵件地址等信息。

Panera Bread——你的Sierra Turkey要不要加一份信息竊賊作為副菜？

難以置信的是，連吃個三明治都會泄露信息。

四月，一名安全研究人員發(fā)現(xiàn)，美國最大的三明治連鎖店P(guān)anera Bread的網(wǎng)站以明文方式泄露了客戶的記錄，包括姓名、電子郵件、家庭住址、生日和信用卡號碼的末尾四位數(shù)。

最讓人憤怒的是，該研究人員一直聯(lián)系Panera Bread，但是八個月之后該問題才得到修復(fù)。最初，該研究人員聯(lián)系了Panera Bread一個星期之后，Panera Bread公司就聲稱泄露已經(jīng)修復(fù)，但研究人員發(fā)現(xiàn)他在之后的八個月中依然能訪問到泄露的信息，因此他不得不將該問題公開。之后Panera才開始重視此事，將網(wǎng)站下線以修復(fù)問題。盡管我們不知道受影響的人總數(shù)，但研究人員說最多可能有3700萬人受到影響。

Google Plus泄露50萬人信息，然后又泄露5250萬

我們最后列出的（但并不是最不重要的?。┦荊oogle。根據(jù)華爾街日報的報道，Google在它幾乎沒人用的Google社交網(wǎng)絡(luò)上出現(xiàn)了潛在的信息泄露bug，從2015年起可能已導(dǎo)致50萬女人的隱私數(shù)據(jù)泄露。這些數(shù)據(jù)包括Google用戶的姓名、電子郵件、年齡、性別、職業(yè)等。

但就像Panera一樣，Google在發(fā)現(xiàn)可能的數(shù)據(jù)泄露之后的七個月中并沒有公布此消息，他們害怕公布消息會影響公司的公關(guān)形象，并導(dǎo)致更嚴(yán)格的審查。然后在十二月，Google又在另一個API中發(fā)現(xiàn)了信息泄露，在六天內(nèi)泄露了5250萬用戶的姓名、電子郵件地址、職業(yè)和年齡。這次Google等了一個月才通知受影響的用戶。

看到趨勢了嗎？Google和Panera應(yīng)對數(shù)據(jù)泄露的方法就是保持秘密，直到被人發(fā)現(xiàn)。這表明，美國也需要像歐盟的GDRP一樣更強有力的隱私保護(hù)措施。

盡管2018年我們失去了這么多，但至少我們得到了一些東西：我們開始不再相信任何人會妥善對待我們的數(shù)據(jù)。