信息化觀察網(wǎng)

2020年，新冠疫情肆虐全球，催化各行業(yè)加速數(shù)字化轉(zhuǎn)型，數(shù)據(jù)的價(jià)值在進(jìn)一步凸顯，數(shù)據(jù)的泄露也在持續(xù)高頻發(fā)生，企業(yè)面臨資產(chǎn)與聲譽(yù)的重大損失，公眾深受隱私曝光與騷擾詐騙的困擾。網(wǎng)安信聯(lián)公司梳理了2020年發(fā)生在全球各地的重大數(shù)據(jù)泄露事件，并針對(duì)當(dāng)前形勢(shì)給予實(shí)用的安全建議，以期對(duì)數(shù)據(jù)安全建設(shè)略盡綿薄之力。

一、雅詩(shī)蘭黛泄露4.4億數(shù)據(jù)記錄

2020年1月，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個(gè)數(shù)據(jù)庫(kù)，其中包含“大量記錄”。這個(gè)在網(wǎng)上公開(kāi)的數(shù)據(jù)庫(kù)沒(méi)有密碼保護(hù)，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩(shī)蘭黛。公開(kāi)的數(shù)據(jù)庫(kù)記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫(kù)泄露的其他數(shù)據(jù)則包括：以純文本格式存儲(chǔ)的用戶(hù)電子郵件，包括來(lái)自 estee.com域的內(nèi)部電子郵件地址；內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯(cuò)誤、內(nèi)容管理系統(tǒng)和中間件報(bào)告；參考報(bào)告和其他內(nèi)部文件；對(duì)公司內(nèi)部使用的IP地址，端口、路徑和存儲(chǔ)的引用等。之后該公司稱(chēng)這個(gè)系統(tǒng)不是面向客戶(hù)的，也不包含客戶(hù)數(shù)據(jù)，并立即關(guān)閉了對(duì)該數(shù)據(jù)庫(kù)的訪問(wèn)通道，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

二、以色列640萬(wàn)選民數(shù)據(jù)遭泄露

2月11日，據(jù)外媒報(bào)道，近日由以色列總理內(nèi)塔尼亞胡領(lǐng)導(dǎo)的利庫(kù)德集團(tuán)(Likud)開(kāi)發(fā)的選舉應(yīng)用程序配置中的錯(cuò)誤可能潛在地暴露并損害了近650萬(wàn)以色列公民的個(gè)人資料。

據(jù)了解，此次泄漏是由Verizon Media以色列的前端開(kāi)發(fā)人員Ran Bar-Zik發(fā)現(xiàn)并詳細(xì)描述了這次泄露。目前Haaretz，Calcalist和Ynet等以色列當(dāng)?shù)孛襟w證實(shí)了Bar-Zik的發(fā)現(xiàn)，但是還不清楚在Bar-Zik發(fā)現(xiàn)和公開(kāi)披露之前，暴露的服務(wù)器和數(shù)據(jù)是否被未經(jīng)授權(quán)的人獲取。

三、迪卡儂1.23億個(gè)人信息泄露

體育連鎖巨頭迪卡儂（Decathlon）發(fā)生大范圍數(shù)據(jù)泄露，起因是1.23億條記錄被保存在一個(gè)并不安全的數(shù)據(jù)庫(kù)中。這是由vpnMentor安全研究人員發(fā)現(xiàn)的，并在2020年2月24日（本周一）公布。該數(shù)據(jù)庫(kù)屬于迪卡儂西班牙和迪卡儂英國(guó)公司。泄露的數(shù)據(jù)涉及員工系統(tǒng)用戶(hù)名、未加密的密碼、API日志、API用戶(hù)名、個(gè)人身份信息等。對(duì)于迪卡儂員工來(lái)說(shuō)，涉及的信息包括姓名、地址、電話號(hào)碼、生日、學(xué)歷和合同明細(xì)，而對(duì)于客戶(hù)來(lái)說(shuō)，涉及的信息包括未加密的電子郵件、登錄信息和IP地址。該數(shù)據(jù)庫(kù)漏洞于2020年2月12日被發(fā)現(xiàn)，迪卡儂于2月16日得到通知，隨后數(shù)據(jù)庫(kù)于2月17日下線。

四、國(guó)泰航空泄露940萬(wàn)乘客資料，被罰款500萬(wàn)港幣

英國(guó)資訊委員會(huì)辦公室（ICO）當(dāng)?shù)貢r(shí)間3月4日公布消息說(shuō)，對(duì)國(guó)泰航空有限公司（Cathay Pacific Airways Limited）罰款50萬(wàn)英鎊（約450萬(wàn)元人民幣或者500萬(wàn)元港幣），原因是該公司未能保護(hù)客戶(hù)個(gè)人數(shù)據(jù)的安全。

ICO稱(chēng)，2014年10月至2018年5月期間，國(guó)泰航空的計(jì)算機(jī)系統(tǒng)缺乏適當(dāng)?shù)陌踩胧瑢?dǎo)致客戶(hù)的個(gè)人信息被泄露，其中111578人來(lái)自英國(guó)，而全球約940萬(wàn)人。

五、英國(guó)安全公司云泄露50億條安全記錄

3月，安全專(zhuān)家Bob Diachenko發(fā)現(xiàn)了一個(gè)疑似屬于英國(guó)安全公司的一個(gè)不安全的Elasticsearch實(shí)例，其中包括在2012年到2019年之間和安全事件有關(guān)的50億條記錄。

根據(jù)Bob Diachenko的說(shuō)法，在3月16日，他在公網(wǎng)發(fā)現(xiàn)了一個(gè)缺乏保護(hù)的Elasticsearch實(shí)例，根據(jù)SSL證書(shū)和反向DNS記錄，發(fā)現(xiàn)這個(gè)Elasticsearch似乎是由一家英國(guó)安全公司所管理。而且特別諷刺的是，其中包括一個(gè)“數(shù)據(jù)泄露數(shù)據(jù)庫(kù)”，收集了2012年至2019年期間大量被報(bào)道（或許還有未報(bào)道）的安全事件中的數(shù)據(jù)。

這個(gè)巨大的Elasticsearch由兩個(gè)集合組成，一個(gè)包含了5,088,635,374條記錄，另一個(gè)正實(shí)時(shí)更新，包含1500萬(wàn)條記錄。被泄露的數(shù)據(jù)包括：哈希類(lèi)型（顯示密碼的方式：MD5/哈希/純文本等）、泄漏日期（年）、密碼（哈希值或純文本）、電子郵件、電子郵件域、泄漏源（某些顯眼的泄漏源：Adobe，Last.fm，Twitter，LinkedIn，Tumblr，VK等）。

六、號(hào)稱(chēng)“世界上最安全的在線備份”云備份，暴露了超過(guò)1.35億在線客戶(hù)的個(gè)人記錄

2020年4月份有媒體報(bào)道，號(hào)稱(chēng)“世界上最安全的在線備份”云備份提供商SOS，發(fā)生了超大規(guī)模數(shù)據(jù)泄露。SOS總部位于加利福尼亞州的El Segundo，在世界各大洲都有數(shù)據(jù)中心，規(guī)模很大，實(shí)力很強(qiáng)。但是，根據(jù)vpnMentor的研究人員小組的說(shuō)法，SOS在線備份已經(jīng)暴露了超過(guò)1.35億在線客戶(hù)的個(gè)人記錄。研究人員總共確定了大約70GB的數(shù)據(jù)屬于公司的用戶(hù)帳戶(hù)。這包括：全名、用戶(hù)名、電話號(hào)碼、電子郵件地址、公司內(nèi)部詳細(xì)信息（公司客戶(hù)）。

七、推特遭大規(guī)模黑客入侵

2020年7月15日，推特遭大規(guī)模黑客入侵，多位名人政要和官方賬號(hào)受影響。其中包括奧巴馬、拜登、布隆伯格、馬斯克、貝佐斯、巴菲特、侃爺、蘋(píng)果官方賬號(hào)等。在130個(gè)目標(biāo)賬戶(hù)中，黑客能夠重置45個(gè)用戶(hù)賬戶(hù)的密碼。黑客利用這些賬戶(hù)發(fā)布了虛假的推文，提出以1000美元的價(jià)格向一個(gè)未知的比特幣地址支付2000美元。據(jù)報(bào)道，經(jīng)過(guò)精心策劃的“推特”事件使得攻擊者通過(guò)近300筆交易騙取了12.1萬(wàn)美元的比特幣。

八、微軟Bing應(yīng)用數(shù)據(jù)庫(kù)或遭泄露，多達(dá)1億條搜索紀(jì)錄被截取

2020年9月?lián)W(wǎng)絡(luò)安全網(wǎng)站W(wǎng)izcase報(bào)導(dǎo)，一個(gè)不受保護(hù)的Elastic服務(wù)器可能已經(jīng)將微軟旗下的Bing移動(dòng)版應(yīng)用的數(shù)據(jù)庫(kù)泄露出去。這次的安全事故是由Wizcase的網(wǎng)絡(luò)安全團(tuán)隊(duì)在白帽黑客Ata Hakcil的帶領(lǐng)下發(fā)現(xiàn)的，并且最終追蹤至Bing的移動(dòng)版應(yīng)用。這個(gè)不安全的服務(wù)器暴露的數(shù)據(jù)還包括明文搜索詞、執(zhí)行搜索的確切時(shí)間、位置坐標(biāo)、用戶(hù)從搜索結(jié)果中訪問(wèn)過(guò)的URL地址、設(shè)備型號(hào)、操作系統(tǒng)以及分配給每個(gè)用戶(hù)的3個(gè)獨(dú)立ID。這些用戶(hù)搜索記錄來(lái)自70多個(gè)國(guó)家及地區(qū)，多達(dá)1億條搜索結(jié)果被人截獲。這些暴露的數(shù)據(jù)可能會(huì)被不法分子用于勒索、釣魚(yú)攻擊甚至在現(xiàn)實(shí)中進(jìn)行人身攻擊或搶劫，因?yàn)椴环ǚ肿涌梢酝ㄟ^(guò)GPS定位紀(jì)錄來(lái)推斷用戶(hù)所在的位置以及活動(dòng)范圍。不過(guò)幸運(yùn)的是，Wizcase在13日就已經(jīng)向微軟回報(bào)了這個(gè)發(fā)現(xiàn)，而微軟在16日就給這個(gè)服務(wù)器加上了密碼，減少了進(jìn)一步泄露。

九、美國(guó)1.86億選民數(shù)據(jù)在暗網(wǎng)被黑客出售

據(jù)NBC新聞網(wǎng)于2020年10月22日?qǐng)?bào)道，美國(guó)一家網(wǎng)絡(luò)安全公司Trustwave表示，他們發(fā)現(xiàn)一名黑客正在出售超過(guò)2億美國(guó)人的個(gè)人識(shí)別信息，其中包括1.86億選民的注冊(cè)數(shù)據(jù)。網(wǎng)絡(luò)安全公司Trustwave表示，他們識(shí)別出的大部分?jǐn)?shù)據(jù)都是公開(kāi)可用的，并且?guī)缀跛袛?shù)據(jù)都是可供合法企業(yè)定期買(mǎi)賣(mài)的。但事實(shí)上，他們發(fā)現(xiàn)大量有關(guān)姓名、電子郵件地址、電話號(hào)碼和選民登記記錄的信息數(shù)據(jù)在暗網(wǎng)成批出售。

十、巴西衛(wèi)生部官網(wǎng)存嚴(yán)重漏洞2.43億巴西人個(gè)人信息被泄露

在一周前報(bào)道1600萬(wàn)巴西COVID-19患者個(gè)人數(shù)據(jù)被曝光之后，巴西當(dāng)?shù)孛襟wEstadao于2020年12月再次放出重料：包括在世和已故的在內(nèi)，有超過(guò)2.43億巴西人的個(gè)人信息已經(jīng)在網(wǎng)絡(luò)上曝光。這些數(shù)據(jù)來(lái)自于巴西衛(wèi)生部官方網(wǎng)站的源代碼，開(kāi)發(fā)者在其中發(fā)現(xiàn)了重要政府?dāng)?shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)包含巴西人提供給政府的所有個(gè)人信息，從全名到家庭住址，從電話號(hào)碼到醫(yī)療詳細(xì)信息?，F(xiàn)在已經(jīng)從站點(diǎn)的源代碼中刪除了憑據(jù)，但是尚不清楚是否有人訪問(wèn)過(guò)該系統(tǒng)并竊取了巴西公民的數(shù)據(jù)。

據(jù)IBM中國(guó)調(diào)研發(fā)現(xiàn)，源自惡意網(wǎng)絡(luò)攻擊的數(shù)據(jù)泄露不僅是引發(fā)數(shù)據(jù)泄露事件最常見(jiàn)的根本原因，所造成的代價(jià)也最慘重。惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來(lái)445萬(wàn)美元的損失，比系統(tǒng)故障和人為錯(cuò)誤等意外原因?qū)е碌臄?shù)據(jù)泄露高出100多萬(wàn)美元。

這些數(shù)據(jù)泄露事件帶來(lái)的威脅日益嚴(yán)重，在過(guò)去六年的調(diào)研期間，報(bào)告中因惡意或犯罪攻擊而引發(fā)的數(shù)據(jù)泄露事件的百分比已從42%上升至51%（同比增長(zhǎng)21%）。

此外，調(diào)研結(jié)果還顯示，人為錯(cuò)誤和系統(tǒng)故障導(dǎo)致的數(shù)據(jù)泄露事件仍占事件總量的近一半（49%），分別給企業(yè)造成了平均350萬(wàn)美元和324萬(wàn)美元的損失。從人為和機(jī)器錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露事件中可總結(jié)出改進(jìn)方法，從而降低其發(fā)生的次數(shù)。比如對(duì)員工開(kāi)展安全意識(shí)培訓(xùn)，進(jìn)行技術(shù)投資，以及測(cè)試服務(wù)以盡早發(fā)現(xiàn)意外泄露事件端倪，從而進(jìn)行有效預(yù)防或阻斷。

IBM X-Force威脅情報(bào)指數(shù)顯示，云服務(wù)器配置不當(dāng)是特別值得關(guān)注的數(shù)據(jù)泄露原因之一，這一原因在2018年曾導(dǎo)致9.9億條記錄被曝光，占全年記錄數(shù)據(jù)丟失總數(shù)的43%。

過(guò)去14年，Ponemon Institute一直在對(duì)導(dǎo)致數(shù)據(jù)泄露成本增加或減少的多項(xiàng)因素進(jìn)行深入研究。研究表明，企業(yè)應(yīng)對(duì)數(shù)據(jù)泄露事件的響應(yīng)速度和效率將對(duì)總體成本產(chǎn)生重大影響。

去年的調(diào)研顯示，數(shù)據(jù)泄露的平均生命周期為279天，即在事件發(fā)生后企業(yè)平均需要206天才能發(fā)現(xiàn)，另需73天才能控制住事件發(fā)展態(tài)勢(shì)?？稍?00天內(nèi)發(fā)現(xiàn)并有效控制數(shù)據(jù)泄露事件的調(diào)研受訪企業(yè)，其數(shù)據(jù)泄露事件的總體成本可減少120萬(wàn)美元。

此外，關(guān)注于響應(yīng)能力可幫助企業(yè)加快響應(yīng)速度。建立完善的事件響應(yīng)團(tuán)隊(duì)以及對(duì)事件響應(yīng)計(jì)劃開(kāi)展全面測(cè)試是節(jié)省成本的兩項(xiàng)重要舉措。采用這兩項(xiàng)措施的企業(yè)，其數(shù)據(jù)泄露事件的總體平均成本要比二者皆無(wú)的企業(yè)少123萬(wàn)美元（前者為351萬(wàn)美元，后者為474萬(wàn)美元）。

本次調(diào)研還研究了不同行業(yè)和地區(qū)的數(shù)據(jù)泄露成本的差別，發(fā)現(xiàn)美國(guó)的數(shù)據(jù)泄露成本更高，平均可達(dá)819萬(wàn)美元，是調(diào)研中全球受訪企業(yè)平均水平的兩倍多。在過(guò)去14年的調(diào)研中，美國(guó)的數(shù)據(jù)泄露成本增長(zhǎng)了130%，其2006年的調(diào)研結(jié)果為354萬(wàn)美元。

中東地區(qū)的受訪企業(yè)指出，他們每次事件泄露的記錄平均數(shù)量最多近4萬(wàn)條（全球平均值約為2.55萬(wàn)條）。此外，醫(yī)療保健組織已經(jīng)連續(xù)第9年蟬聯(lián)數(shù)據(jù)泄露損失排行榜冠軍，平均成本接近650萬(wàn)美元，高出其他行業(yè)總體平均的60%。