信息化觀察網(wǎng)

2020年，新冠疫情肆虐全球，催化各行業(yè)加速數(shù)字化轉(zhuǎn)型，數(shù)據(jù)的價(jià)值在進(jìn)一步凸顯，數(shù)據(jù)的泄露也在持續(xù)高頻發(fā)生，企業(yè)面臨資產(chǎn)與聲譽(yù)的重大損失，公眾深受隱私曝光與騷擾詐騙的困擾。網(wǎng)安信聯(lián)公司梳理了2020年發(fā)生在全球各地的重大數(shù)據(jù)泄露事件，并針對當(dāng)前形勢給予實(shí)用的安全建議，以期對數(shù)據(jù)安全建設(shè)略盡綿薄之力。

一、雅詩蘭黛泄露4.4億數(shù)據(jù)記錄

2020年1月，安全研究員Jeremiah Fowler在網(wǎng)上發(fā)現(xiàn)了一個(gè)數(shù)據(jù)庫，其中包含“大量記錄”。這個(gè)在網(wǎng)上公開的數(shù)據(jù)庫沒有密碼保護(hù)，總共包含440,336,852條記錄，連接到總部位于紐約的化妝品巨頭雅詩蘭黛。公開的數(shù)據(jù)庫記錄不包含付款數(shù)據(jù)或敏感的員工信息，數(shù)據(jù)庫泄露的其他數(shù)據(jù)則包括：以純文本格式存儲(chǔ)的用戶電子郵件，包括來自 estee.com域的內(nèi)部電子郵件地址；內(nèi)部大量IT日志，包括生產(chǎn)、審核、錯(cuò)誤、內(nèi)容管理系統(tǒng)和中間件報(bào)告；參考報(bào)告和其他內(nèi)部文件；對公司內(nèi)部使用的IP地址，端口、路徑和存儲(chǔ)的引用等。之后該公司稱這個(gè)系統(tǒng)不是面向客戶的，也不包含客戶數(shù)據(jù)，并立即關(guān)閉了對該數(shù)據(jù)庫的訪問通道，對數(shù)據(jù)進(jìn)行保護(hù)。

二、以色列640萬選民數(shù)據(jù)遭泄露

2月11日，據(jù)外媒報(bào)道，近日由以色列總理內(nèi)塔尼亞胡領(lǐng)導(dǎo)的利庫德集團(tuán)(Likud)開發(fā)的選舉應(yīng)用程序配置中的錯(cuò)誤可能潛在地暴露并損害了近650萬以色列公民的個(gè)人資料。

據(jù)了解，此次泄漏是由Verizon Media以色列的前端開發(fā)人員Ran Bar-Zik發(fā)現(xiàn)并詳細(xì)描述了這次泄露。目前Haaretz，Calcalist和Ynet等以色列當(dāng)?shù)孛襟w證實(shí)了Bar-Zik的發(fā)現(xiàn)，但是還不清楚在Bar-Zik發(fā)現(xiàn)和公開披露之前，暴露的服務(wù)器和數(shù)據(jù)是否被未經(jīng)授權(quán)的人獲取。

三、迪卡儂1.23億個(gè)人信息泄露

體育連鎖巨頭迪卡儂（Decathlon）發(fā)生大范圍數(shù)據(jù)泄露，起因是1.23億條記錄被保存在一個(gè)并不安全的數(shù)據(jù)庫中。這是由vpnMentor安全研究人員發(fā)現(xiàn)的，并在2020年2月24日（本周一）公布。該數(shù)據(jù)庫屬于迪卡儂西班牙和迪卡儂英國公司。泄露的數(shù)據(jù)涉及員工系統(tǒng)用戶名、未加密的密碼、API日志、API用戶名、個(gè)人身份信息等。對于迪卡儂員工來說，涉及的信息包括姓名、地址、電話號(hào)碼、生日、學(xué)歷和合同明細(xì)，而對于客戶來說，涉及的信息包括未加密的電子郵件、登錄信息和IP地址。該數(shù)據(jù)庫漏洞于2020年2月12日被發(fā)現(xiàn)，迪卡儂于2月16日得到通知，隨后數(shù)據(jù)庫于2月17日下線。

四、國泰航空泄露940萬乘客資料，被罰款500萬港幣

英國資訊委員會(huì)辦公室（ICO）當(dāng)?shù)貢r(shí)間3月4日公布消息說，對國泰航空有限公司（Cathay Pacific Airways Limited）罰款50萬英鎊（約450萬元人民幣或者500萬元港幣），原因是該公司未能保護(hù)客戶個(gè)人數(shù)據(jù)的安全。

ICO稱，2014年10月至2018年5月期間，國泰航空的計(jì)算機(jī)系統(tǒng)缺乏適當(dāng)?shù)陌踩胧?，?dǎo)致客戶的個(gè)人信息被泄露，其中111578人來自英國，而全球約940萬人。

五、英國安全公司云泄露50億條安全記錄

3月，安全專家Bob Diachenko發(fā)現(xiàn)了一個(gè)疑似屬于英國安全公司的一個(gè)不安全的Elasticsearch實(shí)例，其中包括在2012年到2019年之間和安全事件有關(guān)的50億條記錄。

根據(jù)Bob Diachenko的說法，在3月16日，他在公網(wǎng)發(fā)現(xiàn)了一個(gè)缺乏保護(hù)的Elasticsearch實(shí)例，根據(jù)SSL證書和反向DNS記錄，發(fā)現(xiàn)這個(gè)Elasticsearch似乎是由一家英國安全公司所管理。而且特別諷刺的是，其中包括一個(gè)“數(shù)據(jù)泄露數(shù)據(jù)庫”，收集了2012年至2019年期間大量被報(bào)道（或許還有未報(bào)道）的安全事件中的數(shù)據(jù)。

這個(gè)巨大的Elasticsearch由兩個(gè)集合組成，一個(gè)包含了5,088,635,374條記錄，另一個(gè)正實(shí)時(shí)更新，包含1500萬條記錄。被泄露的數(shù)據(jù)包括：哈希類型（顯示密碼的方式：MD5/哈希/純文本等）、泄漏日期（年）、密碼（哈希值或純文本）、電子郵件、電子郵件域、泄漏源（某些顯眼的泄漏源：Adobe，Last.fm，Twitter，LinkedIn，Tumblr，VK等）。

六、號(hào)稱“世界上最安全的在線備份”云備份，暴露了超過1.35億在線客戶的個(gè)人記錄

2020年4月份有媒體報(bào)道，號(hào)稱“世界上最安全的在線備份”云備份提供商SOS，發(fā)生了超大規(guī)模數(shù)據(jù)泄露。SOS總部位于加利福尼亞州的El Segundo，在世界各大洲都有數(shù)據(jù)中心，規(guī)模很大，實(shí)力很強(qiáng)。但是，根據(jù)vpnMentor的研究人員小組的說法，SOS在線備份已經(jīng)暴露了超過1.35億在線客戶的個(gè)人記錄。研究人員總共確定了大約70GB的數(shù)據(jù)屬于公司的用戶帳戶。這包括：全名、用戶名、電話號(hào)碼、電子郵件地址、公司內(nèi)部詳細(xì)信息（公司客戶）。

七、推特遭大規(guī)模黑客入侵

2020年7月15日，推特遭大規(guī)模黑客入侵，多位名人政要和官方賬號(hào)受影響。其中包括奧巴馬、拜登、布隆伯格、馬斯克、貝佐斯、巴菲特、侃爺、蘋果官方賬號(hào)等。在130個(gè)目標(biāo)賬戶中，黑客能夠重置45個(gè)用戶賬戶的密碼。黑客利用這些賬戶發(fā)布了虛假的推文，提出以1000美元的價(jià)格向一個(gè)未知的比特幣地址支付2000美元。據(jù)報(bào)道，經(jīng)過精心策劃的“推特”事件使得攻擊者通過近300筆交易騙取了12.1萬美元的比特幣。

八、微軟Bing應(yīng)用數(shù)據(jù)庫或遭泄露，多達(dá)1億條搜索紀(jì)錄被截取

2020年9月?lián)W(wǎng)絡(luò)安全網(wǎng)站W(wǎng)izcase報(bào)導(dǎo)，一個(gè)不受保護(hù)的Elastic服務(wù)器可能已經(jīng)將微軟旗下的Bing移動(dòng)版應(yīng)用的數(shù)據(jù)庫泄露出去。這次的安全事故是由Wizcase的網(wǎng)絡(luò)安全團(tuán)隊(duì)在白帽黑客Ata Hakcil的帶領(lǐng)下發(fā)現(xiàn)的，并且最終追蹤至Bing的移動(dòng)版應(yīng)用。這個(gè)不安全的服務(wù)器暴露的數(shù)據(jù)還包括明文搜索詞、執(zhí)行搜索的確切時(shí)間、位置坐標(biāo)、用戶從搜索結(jié)果中訪問過的URL地址、設(shè)備型號(hào)、操作系統(tǒng)以及分配給每個(gè)用戶的3個(gè)獨(dú)立ID。這些用戶搜索記錄來自70多個(gè)國家及地區(qū)，多達(dá)1億條搜索結(jié)果被人截獲。這些暴露的數(shù)據(jù)可能會(huì)被不法分子用于勒索、釣魚攻擊甚至在現(xiàn)實(shí)中進(jìn)行人身攻擊或搶劫，因?yàn)椴环ǚ肿涌梢酝ㄟ^GPS定位紀(jì)錄來推斷用戶所在的位置以及活動(dòng)范圍。不過幸運(yùn)的是，Wizcase在13日就已經(jīng)向微軟回報(bào)了這個(gè)發(fā)現(xiàn)，而微軟在16日就給這個(gè)服務(wù)器加上了密碼，減少了進(jìn)一步泄露。

九、美國1.86億選民數(shù)據(jù)在暗網(wǎng)被黑客出售

據(jù)NBC新聞網(wǎng)于2020年10月22日報(bào)道，美國一家網(wǎng)絡(luò)安全公司Trustwave表示，他們發(fā)現(xiàn)一名黑客正在出售超過2億美國人的個(gè)人識(shí)別信息，其中包括1.86億選民的注冊數(shù)據(jù)。網(wǎng)絡(luò)安全公司Trustwave表示，他們識(shí)別出的大部分?jǐn)?shù)據(jù)都是公開可用的，并且?guī)缀跛袛?shù)據(jù)都是可供合法企業(yè)定期買賣的。但事實(shí)上，他們發(fā)現(xiàn)大量有關(guān)姓名、電子郵件地址、電話號(hào)碼和選民登記記錄的信息數(shù)據(jù)在暗網(wǎng)成批出售。

十、巴西衛(wèi)生部官網(wǎng)存嚴(yán)重漏洞2.43億巴西人個(gè)人信息被泄露

在一周前報(bào)道1600萬巴西COVID-19患者個(gè)人數(shù)據(jù)被曝光之后，巴西當(dāng)?shù)孛襟wEstadao于2020年12月再次放出重料：包括在世和已故的在內(nèi)，有超過2.43億巴西人的個(gè)人信息已經(jīng)在網(wǎng)絡(luò)上曝光。這些數(shù)據(jù)來自于巴西衛(wèi)生部官方網(wǎng)站的源代碼，開發(fā)者在其中發(fā)現(xiàn)了重要政府?dāng)?shù)據(jù)庫。該數(shù)據(jù)庫包含巴西人提供給政府的所有個(gè)人信息，從全名到家庭住址，從電話號(hào)碼到醫(yī)療詳細(xì)信息?，F(xiàn)在已經(jīng)從站點(diǎn)的源代碼中刪除了憑據(jù)，但是尚不清楚是否有人訪問過該系統(tǒng)并竊取了巴西公民的數(shù)據(jù)。

據(jù)IBM中國調(diào)研發(fā)現(xiàn)，源自惡意網(wǎng)絡(luò)攻擊的數(shù)據(jù)泄露不僅是引發(fā)數(shù)據(jù)泄露事件最常見的根本原因，所造成的代價(jià)也最慘重。惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來445萬美元的損失，比系統(tǒng)故障和人為錯(cuò)誤等意外原因?qū)е碌臄?shù)據(jù)泄露高出100多萬美元。

這些數(shù)據(jù)泄露事件帶來的威脅日益嚴(yán)重，在過去六年的調(diào)研期間，報(bào)告中因惡意或犯罪攻擊而引發(fā)的數(shù)據(jù)泄露事件的百分比已從42%上升至51%（同比增長21%）。

此外，調(diào)研結(jié)果還顯示，人為錯(cuò)誤和系統(tǒng)故障導(dǎo)致的數(shù)據(jù)泄露事件仍占事件總量的近一半（49%），分別給企業(yè)造成了平均350萬美元和324萬美元的損失。從人為和機(jī)器錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露事件中可總結(jié)出改進(jìn)方法，從而降低其發(fā)生的次數(shù)。比如對員工開展安全意識(shí)培訓(xùn)，進(jìn)行技術(shù)投資，以及測試服務(wù)以盡早發(fā)現(xiàn)意外泄露事件端倪，從而進(jìn)行有效預(yù)防或阻斷。

IBM X-Force威脅情報(bào)指數(shù)顯示，云服務(wù)器配置不當(dāng)是特別值得關(guān)注的數(shù)據(jù)泄露原因之一，這一原因在2018年曾導(dǎo)致9.9億條記錄被曝光，占全年記錄數(shù)據(jù)丟失總數(shù)的43%。

過去14年，Ponemon Institute一直在對導(dǎo)致數(shù)據(jù)泄露成本增加或減少的多項(xiàng)因素進(jìn)行深入研究。研究表明，企業(yè)應(yīng)對數(shù)據(jù)泄露事件的響應(yīng)速度和效率將對總體成本產(chǎn)生重大影響。

去年的調(diào)研顯示，數(shù)據(jù)泄露的平均生命周期為279天，即在事件發(fā)生后企業(yè)平均需要206天才能發(fā)現(xiàn)，另需73天才能控制住事件發(fā)展態(tài)勢?？稍?00天內(nèi)發(fā)現(xiàn)并有效控制數(shù)據(jù)泄露事件的調(diào)研受訪企業(yè)，其數(shù)據(jù)泄露事件的總體成本可減少120萬美元。

此外，關(guān)注于響應(yīng)能力可幫助企業(yè)加快響應(yīng)速度。建立完善的事件響應(yīng)團(tuán)隊(duì)以及對事件響應(yīng)計(jì)劃開展全面測試是節(jié)省成本的兩項(xiàng)重要舉措。采用這兩項(xiàng)措施的企業(yè)，其數(shù)據(jù)泄露事件的總體平均成本要比二者皆無的企業(yè)少123萬美元（前者為351萬美元，后者為474萬美元）。

本次調(diào)研還研究了不同行業(yè)和地區(qū)的數(shù)據(jù)泄露成本的差別，發(fā)現(xiàn)美國的數(shù)據(jù)泄露成本更高，平均可達(dá)819萬美元，是調(diào)研中全球受訪企業(yè)平均水平的兩倍多。在過去14年的調(diào)研中，美國的數(shù)據(jù)泄露成本增長了130%，其2006年的調(diào)研結(jié)果為354萬美元。

中東地區(qū)的受訪企業(yè)指出，他們每次事件泄露的記錄平均數(shù)量最多近4萬條（全球平均值約為2.55萬條）。此外，醫(yī)療保健組織已經(jīng)連續(xù)第9年蟬聯(lián)數(shù)據(jù)泄露損失排行榜冠軍，平均成本接近650萬美元，高出其他行業(yè)總體平均的60%。