2018年,“資料洩露”這四個字時常見諸於媒體報端,時刻挑動著人們敏感的神經。隨著網際網路的發展,個人資料的價值已毋庸置疑,而儲存資料的伺服器更是成為駭客經常光顧的“蜜罐”。
近期,IBM委託Ponemon Institute進行的《2018資料洩露損失研究》評估了安全事件的年度損失,首次計算出丟失100-5000萬記錄的資料洩露事件可致的損失金額。評估顯示,大型資料洩露代價高昂,百萬條記錄可致損失4000萬美元,5000萬條記錄可致損失3.5億美元。遭遇資料洩露事件的公司企業平均要損失386萬美元,同比去年增加了6.4%。
根據全球各地爆發的種種資料洩露事件,我們整理了2018年上半年度最具影響力的資料洩露事件,希望以此引起公眾和企業對於資料安全的重視。
No.1 印度Aadhaar
▷ 洩密數量:10億條
▷ 事件時間:2018年1月3日
▷ 事件回顧:今年1月,印度10億公民身份資料庫Aadhaar被曝遭網路攻擊,該資料庫除了名字、電話號碼、郵箱地址等之外還有指紋、虹膜紀錄等極度敏感的資訊。印度Tribune報道指出,他們能夠透過一個WhatsApp匿名群組花上500盧比就能獲得訪問該資料庫的一個賬號。透過輸入任何一個Aadhaar號碼,可以檢索印度身份識別管理局儲存的關於被查詢公民的諸多型別資訊。這些資料包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用後,任何人都可以透過該軟體列印某個Aadhaar號碼歸屬者的身份證。
No.2 圓通
▷ 洩密數量:10億條
▷ 事件時間:2018年6月19日
▷ 事件回顧:今年6月,一位ID為“f666666”的使用者在暗網上開始兜售圓通10億條快遞資料,資料資訊包括寄(收)件人姓名、電話、地址等資訊,10億條資料已經經過去重處理,資料重複率低於20%,並以1比特幣打包出售。並且該使用者還支援使用者對資料真實性進行驗貨,但驗貨費用為0.01比特幣,驗貨資料量為100萬條。此驗貨資料是從10億條資料裡隨機抽選的,每條資料完全不同,也就是說使用者只要花430元人民幣即可購買到100萬條圓通快遞的個人使用者資訊,而10億條資料則需要43197元人民幣。
No.3 華住酒店集團
▷ 洩密數量:5億條
▷ 事件時間:2018年8月28日
▷ 事件回顧:華住旗下多個連鎖酒店開房資訊資料正在暗網出售,受到影響的酒店,包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等,洩露資料總數更是近5億。發帖人聲稱,所有資料脫庫時間是8月14日,每部分資料都提供10000條測試資料。所有資料打包售賣8個比特幣。此次洩露的原因是華住公司程式設計師將資料庫連線方式及密碼上傳到GitHub導致的。而資料庫資訊是20天前傳到了Github上,而駭客拖庫是在14天前,駭客很可能是利用此資訊實施攻擊並拖庫。
No.4 Under Armour
▷ 洩密數量:1.5億條
▷ 事件時間:2018年5月25日
▷ 事件回顧:3月25日,美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal使用者資料被洩露了,MyFitnessPal是一款Under Armour旗下的食物和營養主題應用,以跟蹤使用者每天消耗的卡路里、設定運動目標、整合來自其他運動裝置的資料、分享運動成果到社交平臺而受到廣大歡迎。此次資料洩露事件影響到的使用者資料包括使用者名稱、郵箱地址和加密的密碼,但並沒有涉及到使用者的社會安全號碼、駕駛證號、和銀行卡號等隱私資訊。
No.5 MyHeritage
▷ 洩密數量:超過9200萬條
▷ 事件時間:2018年6月4日
▷ 事件回顧:6月4日,MyHeritage的安全管理員收到一位研究人員發來的訊息稱,其在該公司外部的一個私有伺服器上發現了一份名為《myheritage》的檔案,裡面包含了9228萬個MyHeritage賬號的電子郵件地址和加密密碼。隨後該公司釋出的一份宣告稱,由於MyHeritage依賴第三方服務提供商來處理會員的付款,駭客破解了密碼機制,獲得雜湊密碼,但不包含支付資訊。服務將家譜和DNA資料儲存在與儲存電子郵箱地址的伺服器不同的伺服器上,該公司表示,沒有證據表明檔案中的資料被駭客利用。
No.6 Facebook
▷ 洩密數量:超過8700萬條
▷ 事件時間:2018年3月17日
▷ 事件回顧:今年3月,一家名為Cambridge Analytica的資料分析公司透過一個應用程式收集了5000萬Facebook使用者的個人資訊,該應用程式詳細描述了使用者的個性、社交網路以及在平臺上的參與度。儘管Cambridge Analytica公司聲稱它只擁有3000萬使用者的資訊,但經過Facebook的確認,最初的估計實際上很低。今年 4月,該公司通知了在其平臺上的8700萬名使用者,他們的資料已經遭到洩露。
No.7 Panera
▷ 洩密數量:3700萬條
▷ 事件時間:2018年4月2日
▷ 事件回顧:4月2日,安全研究員Dylan Houlihan聯絡了調查資訊保安記者Brian Krebs,向他講述了他在2017年8月向Panera Bread報告的一個漏洞。該漏洞導致Panerabread.com以明文洩露客戶記錄,這些資料可以透過自動化工具進行抓取和索引。在此後的八個月裡,Houlihan每個月都會檢查一次這個漏洞,直到最終向Krebs披露。在Krebs的報告發布後,Panera Bread暫時關閉了起網站。儘管該公司最初試圖淡化此次資料洩露事件的嚴重程度,並表示受到影響的客戶不到1萬人,但據信真實數字高達3700萬。
No.8 Ticketfly
▷ 洩密數量:超過2700萬條
▷ 事件時間:2018年6月3日
▷ 事件回顧:5月31日,美國票務巨頭Ticketfly遭遇駭客攻擊勒索,導致音樂會和體育賽事票務網站遭到破壞。此次攻擊事件背後的駭客先是警告Ticketfly存在一個漏洞,並要求其支付贖金。當遭到該公司的拒絕後,駭客劫持了Ticketfly網站,替換了它的主頁。據駭客表示,他手中擁有完整的資料庫,裡面包含2700萬個Ticketfly賬戶相關資訊。
資料安全無小事,任何一個細小的疏忽都有可能帶來十分嚴重的後果。當資料正越來越成為具有重要商業價值的資產,無論個人還是企業都理應重視。我們不僅希望從技術上能夠將資料洩露風險降到最低,同時更要增強自我資料安全意識,國家也應建立健全相關法律,多方攜手共同撐起個人隱私和資料安全的“保護傘”。
