信息化觀察網

2018年已經接近尾聲，又到了一年一度的盤點期。回顧2018年，無論是國內還是國外都發(fā)生了多起數據泄露事件，給企業(yè)帶來了嚴重的財產損失。數據泄露事件頻繁發(fā)生，因此維護信息安全的需求也越來越迫切。

艾媒網梳理了2018年以來，國內外發(fā)生過的影響較大數據泄露事件，并結合數據分析當中的行業(yè)分布、地理分布以及給人們會造成的損失。

國內：

1.【多個外賣平臺被曝泄露用戶信息】

時間：2018年4月

事件回顧：4月23日，新京報曝光了美團、餓了么等外賣平臺用戶信息被泄露，賣家、網絡運營公司以及外賣騎手參與其中，每條信息最低不到一毛錢，卻精確到你吃的什么、在哪兒吃的等私密信息。

消息曝出后，美團回應稱已啟動了相關信息的核實排查，同時已向警方報案。但由于公司業(yè)務復雜，犯罪團伙難免獲得這些數據。另一家外賣平臺餓了么則表示，平臺也是受害者，看到相關報道后，已開始全力排查。

2.【AcFun：900萬條用戶數據被泄露】

時間：2018年6月

事件回顧：6月13日，AcFun彈幕視頻網（簡稱“A站”）發(fā)公告稱，平臺有800-1000萬左右的用戶數據被黑客竊取。隨后，暗網上出現了A站用戶信息的售賣，并喊出900萬條用戶數據，售價40萬人民幣。而早在今年3月份，暗網論壇中就有人公開出售AcFun的一手用戶數據，數量高達800萬條，而價格僅為12000元，平均1元能買到800條。

對此，收購A站的快手表示，在技術和資金上全力支持A站提升安全能力，務必保證用戶的數據安全，避免類似事件發(fā)生，并對AcFun服務器做了全面系統加固。

3.【前程無憂：195萬條個人求職簡歷被泄露】

時間：2018年6月16日

事件回顧：6月16日，暗網上出現叫賣招聘網站前程無憂的用戶信息，其中涉及195萬用戶的求職簡歷，隨后前程無憂方面確認部分用戶賬戶密碼被撞庫，并強調，出現這樣的情況并非拖庫，而是惡意用戶通過這些已泄露的郵箱賬戶及密碼，對相應的站點進行登錄匹配，然后蓄意倒賣。

4.【圓通：10億條用戶數據被出售】

時間：2018年6月

事件回顧：6月19日，一位ID為“f666666”的用戶公然在暗網上兜售圓通10億條快遞數據。按照賣家的說法，這些數據是2014年下旬的數據，數據信息包括寄（收）件人姓名，電話，地址等信息，都是圓通內部人士批量出售而來（只要快遞單信息進入電腦他們就可以獲取）。

對此，圓通官方回應稱正在展開調查，但并沒有承認這些數據是不是從內部流出，同時公司的技術部門通過多種技術手段預防信息外流，提高安全系數。

5.【順豐：3億條用戶信息被出售】

時間：2018年8月

事件回顧：2018年8月底，一個ID為“bijiaodiao1688”的用戶公然在暗網上售賣順豐快遞數據，其中牽扯到了3億用戶數據信息，售價是2個比特幣，而這些信息中包含了寄件人、收件人的姓名、地址、電話等，而購買者可以選擇先“驗貨”，驗貨數據量10萬條，驗貨費用0.01個比特幣。

隨后，順豐回應稱，其早在2018年7月就已關注到暗網用戶發(fā)布的相關信息，并獲識了相關數據，但經核實這些并不是順豐的數據，同時官方也否認了外泄數據來自順豐內部，至于泄露源頭來自哪里官方并沒有說明。此前央視曾報道，2018年5月份有順豐員工故意泄露內部消息獲利事情。

6.【華住集團旗下多個連鎖酒店：5億條數據被打包出售】

時間：2018年8月

事件回顧：8月28日，網曝疑似華住集團旗下連鎖酒店用戶數據在暗網售賣。從賣家發(fā)布內容看，數據包含華住旗下漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店。泄露的信息包括華住官網注冊資料、酒店入住登記的身份信息及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登錄賬號密碼等。賣家對這個約5億條數據打包出售價格為8比特幣或520門羅幣。

隨后，華住官方證實了這個旗下酒店用戶入住信息數據被販賣的行為，并稱已報警,真實性目前無法查證。

7.【陌陌：3000萬數據在暗網低價出售】

時間：2018年12月

事件回顧：12月3日，網傳陌陌3000萬數據在暗網被售賣，以50美元的價格出售。根據網上流傳的截圖中，賣家以“陌陌3000萬數據庫”為名稱，包含手機號、密碼等字段，數據寫入時間是2015年7月17日。賣家稱數據通過撞庫得來。

隨后，陌陌回應稱，通過撞庫得來的數據，跟陌陌用戶的匹配度極低，。此外，陌陌采用高強度單向散列算法加密存儲用戶密碼，任何人無法直接從陌陌數據庫中直接獲取用戶明文密碼。

8.【你我貸：65000條貸款數據被明碼標價售賣】

時間：2018年12月

事件回顧：12月20日，有媒體曝光P2P平臺你我貸的65000條貸款數據在暗網被明碼標價售賣。賣方稱數據是從線下渠道流出，截止到今年10月中旬以前，內容包括用戶真實姓名，手機號和所在地區(qū)。5000條數據售價60美元，全套需要拍10份。

12月22日，你我貸發(fā)聲明稱，根據已有信息的調查結果，沒有明確的證據表明此次所謂的借款用戶數據泄露與你我貸有關。

國外：

1.【Aadhaar：印度超10億公民身份數據被泄露】

時間：2018年1月

事件回顧：1月3日，印度媒體Tribune報道指出，他們能夠通過一個WhatsApp匿名群組花上500盧比就能獲得訪問該數據庫的一個賬號。通過輸入任何一個Aadhaar號碼（一個12位的唯一標識符，每個印度公民會使用到它）檢索印度唯一身份識別管理局（UIDAI）存儲的關于被查詢公民的諸多類型的信息。這些數據包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用后，任何人都可以通過該軟件打印某個Aadhaar號碼歸屬者的身份證。

據悉，這起數據泄露事件已經損害了在印度注冊的11億公民的個人信息。

2.【Facebook：8700萬用戶數據泄露】

時間：2018年3月

事件回顧：今年3月17日，美國紐約時報率先曝光了劍橋分析（Cambridge Analytica）未經用戶許可，擅自使用Facebook用戶個人信息的行為。隨后英國高等法院授權對涉事單機構進行了搜查，并揭開了針對該事件司法調查的序幕。

隨后，Facebook公開回應，承認劍橋分析公司不正當使用了8700萬未經授權的用戶私人信息。

今年9月，Facebook再次通告，黑客利用控制的40萬個賬戶獲得了3000萬Facebook用戶賬號的信息。他們可以在不輸入密碼的情況下，隨意登陸這些用戶的個人主頁，任意拿走想要的數據等。

3.【Under Armour：1.5億用戶信息泄露】

時間：2018年3月

事件回顧：3月30日，美國運動品牌Under Armour對外表示，旗下健身應用MyFitnessPal因存在數據漏洞而遭到黑客攻擊，一共有1.5億用戶的數據被泄露，這些數據中包含了用戶名、電子郵件地址和密碼等，不過官方強調，泄密數據并不包含駕駛證號、信用卡號、身份信息等更私密信息。

彼時，Under Armour官方表示，立刻要求MyFitnessPal用戶更改密碼。

4.【Panera Bread：泄露數據3700萬條】

時間：2018年4月

事件回顧：4月4日，美國最大面包連鎖店Panerabread表示，旗下網站panerabread.com泄露了3700萬用戶信息。隨后，安全機構KrebsOnSecurity表示，他們在早在2017年8月2日就曾發(fā)現了Panerabread網站的漏洞，告知對方后并沒有進行及時修復，所以造成的結果就是嚴重的。

盡管該公司最初試圖淡化此次數據泄露事件的嚴重程度，并表示受到影響的客戶不到1萬人，但據信真實數字高達3700萬。

5.【Saks和Lord&Taylor：500萬條數據被泄露】

披露時間：2018年4月

事件回顧：3月底，安全公司Gemini Advisory偶然發(fā)現了一個來自JokerStash黑客集團發(fā)布的公告，宣稱已出售有關500萬張被盜信用卡和借記卡的數據。經調查，數據泄露歸因于Saks Fifth Avenue和Lord&Taylor的系統入侵。

6.【Ticketfly：泄露數據超過2700萬條】

披露時間：2018年6月

事件回顧：5月31日，美國票務巨頭Ticketfly遭遇黑客攻擊勒索，導致音樂會和體育賽事票務網站遭到破壞，并離線和中斷一周。據報道，此次攻擊事件背后的黑客先是警告Ticketfly存在一個漏洞，并要求其支付贖金。當遭到該公司的拒絕后，黑客劫持了Ticketfly網站，替換了它的主頁。

據黑客IsHaKdZ表示，他手中擁有完整的數據庫，里面包含2700萬個Ticketfly賬戶相關信息（如姓名、家庭住址、電子郵箱地址和電話號碼等，涉及員工和用戶）。

7.【MyHeritage：超9200萬用戶信息泄露】

時間：2018年6月

事件回顧：今年6月初，MyHeritage給出公告稱，網站服務器被攻擊，攻擊者從中截取了超過9200萬用戶信息，其中包含了電子郵件和hash密碼，官方則強調不包含支付卡的信息或DNA測試結果。不過MyHeritag還表示，用戶帳戶是安全的，因為密碼是使用每個用戶唯一的加密密鑰進行hash處理的，為了徹底解決這種攻擊，最終網站啟用了雙因子身份驗證（2FA）功能，即使黑客設法解密hash密碼，如果沒有第二步驗證碼，第一步的破解也將毫無用處。

8.【Exactis：泄露數據超過4億條】

時間：2018年6月

事件回顧：安全研究員Vinny Troia在2018年6月發(fā)現，總部位于佛羅里達州的市場營銷和數據聚合公司Exactis已將一個數據庫暴露在可公開訪問的服務器上。該數據庫包含2TB的信息，其中包括數億美國人和企業(yè)的詳細信息。在撰寫本文時，Exactis尚未確認受此事件影響的確切人數，但Troia表示他能夠找到近3.4億條個人記錄。他還向Wired證實，此事件暴露了消費者的電子郵箱地址、實際地址、電話號碼以及一系列的其他個人信息，在某些情況下包括極其敏感的細節(jié)，如孩子的姓名和性別。

9.【Sacramento Bee：泄露數據1950萬條】

披露時間：2018年6月

事件回顧：今年2月，一名匿名攻擊者截獲了由Sacramento Bee擁有并運營的兩個數據庫。其中一個IT資產包含加利福尼亞州州務卿提供的加州選民登記數據，而另一個則存儲了用戶為訂閱該報刊而提供的聯系信息。在截獲了這些資源之后，攻擊者要求支付贖金以換取重新獲得對數據的訪問權限。

Sacramento Bee最終拒絕了這一要求，并刪除了數據庫，以防止在將來這些數據庫在被利用來進行其他更多的攻擊。根據Sacramento Bee的說法，這起黑客攻擊事件共暴露了5.3萬名訂閱者的聯系信息以及1940萬加州選民的個人數據。

10.【萬豪喜達屋：約5億客戶信息被泄露】

時間：2018年11月

事件回顧：11月30日，萬豪對外發(fā)出公告稱，旗下喜達屋酒店預訂系統2014年起遭網絡“黑客”入侵，泄露大約5億客戶的用戶信息，包括用戶的姓名、住址、電話號碼、電子郵件地址、護照號碼、信用卡等所有核心的信息。

隨后，美國5個州的總檢察長和英國信息專員對外表示，將徹底調查這件事，并讓萬豪付出相應的懲罰。有美國訴訟集團代表眾多消費者向萬豪提起訴訟，索賠金額高達125億美元（僅相當于5億潛在被盜用戶中每人得到25美元的賠償）。

11.【谷歌+：5200萬用戶數據被泄露】

時間：2018年12月

事件回顧：12月11日，有媒體報道稱，在發(fā)現因軟件漏洞導致5200萬用戶數據泄露后，谷歌表示將提前4個月關閉旗下社交網絡Google+的消費者版本。據悉，該漏洞影響了5250萬用戶的信息，這些信息不僅包括Google+個人用戶的姓名、電子郵件地址、性別和年齡，還包括一些企業(yè)用戶的賬號。

解讀：

身份盜竊系數據泄露主因，美國成主要攻擊目標

上文屢次提到的撞庫，是指黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址，這就可以理解為撞庫攻擊。

而與撞庫相反的則是拖庫，原義指從數據庫中導出數據。但到了黑客攻擊泛濫的今天，它被用來指網站遭到入侵后，黑客竊取其數據庫。

根據數字安全公司金雅拓（Gemalto）10月發(fā)布的全球數據泄露水平指數報告，2018年上半年共發(fā)生了945次數據泄露事件，致使45億條數據泄露。盡管與2017年同期相比，違規(guī)事件總數略有下降，但數據丟失、被盜或受損的數量大增了133％。

至于數據泄露的主要原因，外部人員進行惡意活動造成的數據泄露事件占比最高，達56%，比2017年下半年相比略減近7％，占所有被盜、外泄或丟失記錄的80％以上。今年上半年意外丟失的數據記錄逾8.79億條（9％），是數據泄露的第二大最常見原因，占泄露事件的逾三分之一。與2017年同期相比，惡意內部攻擊造成的數據泄露記錄和事件數量下降了50％。

而數據泄露的主要類型有身份盜竊和財務數據入侵事件兩大類，其中身份盜竊是自2013年金雅拓首次開始追蹤數據泄露事件至今，最突出的一種數據泄露類型。

根據報告，醫(yī)療保健行業(yè)和社交媒體成為受數據泄露影響最嚴重的行業(yè)。數據顯示，與2017年上半年相比，大多數行業(yè)的泄露事件數量都有所增加，但政府、專業(yè)服務、零售和技術行業(yè)是例外，盡管政府和零售業(yè)的泄露事件次數減少但泄露的記錄數量卻是增加的。而醫(yī)療保健行業(yè)仍然是泄露事件發(fā)生次數最多的行業(yè)（27％）。

值得注意的是，由于Facebook和Twitter大量的用戶數據泄露，使得社交媒體成為泄露記錄數量最多的行業(yè)（56％），兩家公司分別有22億和3.36億條信息被泄露。

此外，報告還分析了數據泄露事件的地理分布。其中，北美在所有泄露事件次數和泄露記錄數量方面仍占據主導地位，二者所占比例分別為59％和72％。美國則是最受歡迎的攻擊目標，占全球泄露事件的57％以上，占所有被盜記錄的72％，但總體事件數量比上年同期下降了17％。

數據泄露代價高昂：5000萬條記錄可致損失3.5億美元

據BM Security和Ponemon Institute此前發(fā)布的《2018數據泄露損失研究》評估顯示，2018年全球數據泄露的平均成本為386萬美元，比2017年的報告高出6.4%。

該研究還首次計算了與“超大型泄露(超過100萬條記錄)行為相關”的成本。評估顯示，大型數據泄露代價高昂，百萬條記錄可致損失4000萬美元，5000萬條記錄可致損失3.5億美元。

當今，雖然移動互聯網發(fā)展得越來越快，給人們的生活帶來了極大的便利，但人們要想獲得更多的服務，就必須更多地把自己的個人信息作為交換。這樣做所潛在的危險，就是個人信息或被盜竊，或被泄露，被販賣，更甚者還會帶來巨額的財產損失。艾媒網此次盤點，希望能給大家?guī)硪欢ǖ牧私夂退伎肌?/p>

（原標題：盤點2018國內外數據泄露事件：5000萬條記錄可致損失3.5億美元）