像數(shù)據(jù)泄露的代價(jià)高昂的安全事件源于各種原因,包括勒索軟件攻擊、物理盜竊、網(wǎng)絡(luò)釣魚活動(dòng)以及木馬活動(dòng)等。
許多數(shù)據(jù)泄露是由蓄意的網(wǎng)絡(luò)犯罪行為造成的,但Tessian和斯坦福大學(xué)的一項(xiàng)研究發(fā)現(xiàn),2020年88%的數(shù)據(jù)泄露事件僅僅是因?yàn)槟硞€(gè)地方有人搞砸了。
人為錯(cuò)誤應(yīng)該是造成如此多數(shù)據(jù)泄露的原因,有時(shí)只需要不小心點(diǎn)擊電子郵件上的抄送按鈕或忽略將云存儲(chǔ)設(shè)備設(shè)置為私有。
美國(guó)去年報(bào)告的近4000起數(shù)據(jù)泄露事件中暴露了超過370億條記錄。如果我們多年前沒有達(dá)到“破壞疲勞”,這樣的統(tǒng)計(jì)數(shù)據(jù)會(huì)令人震驚。
為了打破對(duì)數(shù)據(jù)泄露的疲勞,這里有一些歷史上最大、最奇怪或最令人尷尬的數(shù)據(jù)泄露事件。
1.LifeLock
LifeLock聯(lián)合創(chuàng)始人兼前首席執(zhí)行官托德·戴維斯(ToddDavis)在2007年至2008年期間13次成為身份盜用的受害者。該活動(dòng)描繪了戴維斯穿著嚴(yán)肅的表情、西裝和領(lǐng)帶,并舉著他的社會(huì)保障卡。印在這張圖片旁邊的是戴維斯的姓名和社會(huì)安全號(hào)碼。在廣告中,該公司承諾保護(hù)其客戶免遭身份盜用。以廣告為邀請(qǐng),冒充戴維斯的網(wǎng)絡(luò)犯罪分子獲得了一筆貸款,并在AT&T、Verizon和德克薩斯州的一家公用事業(yè)公司開設(shè)了賬戶,將賬單留給了戴維斯。聯(lián)邦貿(mào)易委員會(huì)后來以欺騙性廣告為由對(duì)LifeLock處以1200萬美元的罰款。
2.FriendFinder網(wǎng)絡(luò)
當(dāng)成人約會(huì)和娛樂公司FriendFinderNetworks遭遇2016年最嚴(yán)重的違規(guī)事件時(shí),不僅暴露了數(shù)據(jù)。黑客泄露了存儲(chǔ)在屬于Adultfriendfinder.com、Cams.com、Penthouse.com、Stripshow.com和iCams.com的數(shù)據(jù)庫(kù)中的412,214,295條記錄后,獲得了20年的歷史客戶數(shù)據(jù)。刪除賬戶的前用戶一定已經(jīng)意識(shí)到他們的電子郵件地址與鏈接到活動(dòng)賬戶的電子郵件地址一起暴露了。
3.雅虎
曾經(jīng)流行的搜索引擎和網(wǎng)絡(luò)郵件成為遭受有史以來最大的數(shù)據(jù)泄露(以及其他泄露)的名單。雅虎表示,在2012年的兩次數(shù)據(jù)泄露事件中沒有獲取任何數(shù)據(jù),但該公司最終承認(rèn),網(wǎng)絡(luò)攻擊者在2013年獲得了令人眼花繚亂的30億雅虎賬戶。次年,這家互聯(lián)網(wǎng)服務(wù)公司的另一起違規(guī)事件影響了超過5億用戶賬戶。黑客竊取了姓名、電子郵件地址、出生日期、電話號(hào)碼和用戶安全問題的答案——這些數(shù)據(jù)后來在暗網(wǎng)上出售。
4.波音
價(jià)值20億美元的數(shù)據(jù)從航空航天公司波音公司竊取,這可能是美國(guó)歷史上持續(xù)時(shí)間最長(zhǎng)的數(shù)據(jù)泄露事件。從1976年到2006年,GregChung竊取了大約250,000頁(yè)與美國(guó)航天飛機(jī)和軍用飛機(jī)(包括B-1轟炸機(jī))有關(guān)的敏感航空航天文件。出生在中國(guó)的鐘,在成為美國(guó)公民后改名為格雷格,將偷來的文件存放在他安裝在加利福尼亞州奧蘭治家下的爬行空間的臨時(shí)架子上。2009年,鐘成為第一個(gè)被判犯有經(jīng)濟(jì)間諜罪的美國(guó)人,并被判處15年零9個(gè)月的監(jiān)禁。他于2020年死于Covid-19。
5.瑞典交通系統(tǒng)
幾乎所有瑞典公民的個(gè)人數(shù)據(jù)都在有史以來最嚴(yán)重的政府信息安全災(zāi)難之一中泄露。使這種巨大的曝光變得更糟的是,瑞典運(yùn)輸系統(tǒng)基本上是自己做的。2015年,Transportstyrelsen聘請(qǐng)IBM管理其網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)。然后該機(jī)構(gòu)將一個(gè)IBM數(shù)據(jù)庫(kù)上傳到云服務(wù)器,其中包含該國(guó)每輛車的詳細(xì)信息。接下來,該機(jī)構(gòu)通過電子郵件將整個(gè)數(shù)據(jù)庫(kù)以明文形式發(fā)送給訂閱的營(yíng)銷人員。在發(fā)現(xiàn)他們的錯(cuò)誤后,該機(jī)構(gòu)試圖通過將新列表通過電子郵件發(fā)送給訂閱者并要求他們刪除先前的列表來修復(fù)錯(cuò)誤。
瑞典IT企業(yè)家RickFalkvinge表示,該事件“暴露并泄露了所有可以想象的絕密數(shù)據(jù)庫(kù):戰(zhàn)斗機(jī)飛行員、海豹突擊隊(duì)隊(duì)員、警方嫌疑人、目擊者搬遷人員。”
后來發(fā)現(xiàn),該機(jī)構(gòu)的總干事瑪麗亞·奧格倫(MariaÅgren)簽署了一項(xiàng)協(xié)議,允許捷克斯洛伐克和羅馬尼亞的IBM員工在沒有安全許可的情況下訪問數(shù)據(jù)庫(kù)。她后來被解雇并被罰款。