盘点2018国内外数据泄露事件:5000万条记录可致损失3.5亿美元

   2018年即将过去,在这一年里,无论是国内还是国外,都发生了大大小小的数据泄露事件,个人的信息安全已然成为一个全球性的话题,而如何保护信息安全也成了大家急需解决的问题。

  艾媒网梳理了2018年以来,国内外发生过的影响较大数据泄露事件,并结合数据分析当中的行业分布、地理分布以及给人们会造成的损失。

  国内:

  1.【多个外卖平台被曝泄露用户信息】

  时间:2018年4月

  事件回顾:4月23日,新京报曝光了美团、饿了么等外卖平台用户信息被泄露,卖家、网络运营公司以及外卖骑手参与其中,每条信息最低不到一毛钱,却精确到你吃的什么、在哪儿吃的等私密信息。

  消息曝出后,美团回应称已启动了相关信息的核实排查,同时已向警方报案。但由于公司业务复杂,犯罪团伙难免获得这些数据。另一家外卖平台饿了么则表示,平台也是受害者,看到相关报道后,已开始全力排查。

  2.【AcFun:900万条用户数据被泄露】

  时间:2018年6月

  事件回顾:6月13日,AcFun弹幕视频网(简称“A站”)发公告称,平台有800-1000万左右的用户数据被黑客窃取。随后,暗网上出现了A站用户信息的售卖,并喊出900万条用户数据,售价40万人民币。而早在今年3月份,暗网论坛中就有人公开出售AcFun的一手用户数据,数量高达800万条,而价格仅为12000元,平均1元能买到800条。

  对此,收购A站的快手表示,在技术和资金上全力支持A站提升安全能力,务必保证用户的数据安全,避免类似事件发生,并对AcFun服务器做了全面系统加固。

  3.【前程无忧:195万条个人求职简历被泄露】

  时间:2018年6月16日

  事件回顾:6月16日,暗网上出现叫卖招聘网站前程无忧的用户信息,其中涉及195万用户的求职简历,随后前程无忧方面确认部分用户账户密码被撞库,并强调,出现这样的情况并非拖库,而是恶意用户通过这些已泄露的邮箱账户及密码,对相应的站点进行登录匹配,然后蓄意倒卖。

  4.【圆通:10亿条用户数据被出售】

  时间:2018年6月

  事件回顾:6月19日,一位ID为“f666666”的用户公然在暗网上兜售圆通10亿条快递数据。按照卖家的说法,这些数据是2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,都是圆通内部人士批量出售而来(只要快递单信息进入电脑他们就可以获取)。

  对此,圆通官方回应称正在展开调查,但并没有承认这些数据是不是从内部流出,同时公司的技术部门通过多种技术手段预防信息外流,提高安全系数。

  5.【顺丰:3亿条用户信息被出售】

  时间:2018年8月

  事件回顾:2018年8月底,一个ID为“bijiaodiao1688”的用户公然在暗网上售卖顺丰快递数据,其中牵扯到了3亿用户数据信息,售价是2个比特币,而这些信息中包含了寄件人、收件人的姓名、地址、电话等,而购买者可以选择先“验货”,验货数据量10万条,验货费用0.01个比特币。

  随后,顺丰回应称,其早在2018年7月就已关注到暗网用户发布的相关信息,并获识了相关数据,但经核实这些并不是顺丰的数据,同时官方也否认了外泄数据来自顺丰内部,至于泄露源头来自哪里官方并没有说明。此前央视曾报道,2018年5月份有顺丰员工故意泄露内部消息获利事情。

  6.【华住集团旗下多个连锁酒店:5亿条数据被打包出售】

  时间:2018年8月

  事件回顾:8月28日,网曝疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售价格为8比特币或520门罗币。

  随后,华住官方证实了这个旗下酒店用户入住信息数据被贩卖的行为,并称已报警,真实性目前无法查证。

  7.【陌陌:3000万数据在暗网低价出售】

  时间:2018年12月

  事件回顾:12月3日,网传陌陌3000万数据在暗网被售卖,以50美元的价格出售。根据网上流传的截图中,卖家以“陌陌3000万数据库”为名称,包含手机号、密码等字段,数据写入时间是2015年7月17日。卖家称数据通过撞库得来。

  随后,陌陌回应称,通过撞库得来的数据,跟陌陌用户的匹配度极低,。此外,陌陌采用高强度单向散列算法加密存储用户密码,任何人无法直接从陌陌数据库中直接获取用户明文密码。

  8.【你我贷:65000条贷款数据被明码标价售卖】

  时间:2018年12月

  事件回顾:12月20日,有媒体曝光P2P平台你我贷的65000条贷款数据在暗网被明码标价售卖。卖方称数据是从线下渠道流出,截止到今年10月中旬以前,内容包括用户真实姓名,手机号和所在地区。5000条数据售价60美元,全套需要拍10份。

  12月22日,你我贷发声明称,根据已有信息的调查结果,没有明确的证据表明此次所谓的借款用户数据泄露与你我贷有关。

  国外:

  1.【Aadhaar:印度超10亿公民身份数据被泄露】

  时间:2018年1月

  事件回顾:1月3日,印度媒体Tribune报道指出,他们能够通过一个WhatsApp匿名群组花上500卢比就能获得访问该数据库的一个账号。通过输入任何一个Aadhaar号码(一个12位的唯一标识符,每个印度公民会使用到它)检索印度唯一身份识别管理局(UIDAI)存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后,任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

  据悉,这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

  2.【Facebook:8700万用户数据泄露】

  时间:2018年3月

  事件回顾:今年3月17日,美国纽约时报率先曝光了剑桥分析(Cambridge Analytica)未经用户许可,擅自使用Facebook用户个人信息的行为。随后英国高等法院授权对涉事单机构进行了搜查,并揭开了针对该事件司法调查的序幕。

  随后,Facebook公开回应,承认剑桥分析公司不正当使用了8700万未经授权的用户私人信息。

  今年9月,Facebook再次通告,黑客利用控制的40万个账户获得了3000万Facebook用户账号的信息。他们可以在不输入密码的情况下,随意登陆这些用户的个人主页,任意拿走想要的数据等。

  3.【Under Armour:1.5亿用户信息泄露】

  时间:2018年3月

  事件回顾:3月30日,美国运动品牌Under Armour对外表示,旗下健身应用MyFitnessPal因存在数据漏洞而遭到黑客攻击,一共有1.5亿用户的数据被泄露,这些数据中包含了用户名、电子邮件地址和密码等,不过官方强调,泄密数据并不包含驾驶证号、信用卡号、身份信息等更私密信息。

  彼时,Under Armour官方表示,立刻要求MyFitnessPal用户更改密码。

  4.【Panera Bread:泄露数据3700万条】

  时间:2018年4月

  事件回顾:4月4日,美国最大面包连锁店Panerabread表示,旗下网站panerabread.com泄露了3700万用户信息。随后,安全机构KrebsOnSecurity表示,他们在早在2017年8月2日就曾发现了Panerabread网站的漏洞,告知对方后并没有进行及时修复,所以造成的结果就是严重的。

  尽管该公司最初试图淡化此次数据泄露事件的严重程度,并表示受到影响的客户不到1万人,但据信真实数字高达3700万。

  5.【Saks和 Lord & Taylor:500万条数据被泄露】

  披露时间:2018年4月

  事件回顾:3月底,安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告,宣称已出售有关500万张被盗信用卡和借记卡的数据。经调查,数据泄露归因于Saks Fifth Avenue和Lord&Taylor的系统入侵。

  6.【Ticketfly:泄露数据超过2700万条】

  披露时间:2018年6月

  事件回顾:5月31日,美国票务巨头Ticketfly遭遇黑客攻击勒索,导致音乐会和体育赛事票务网站遭到破坏,并离线和中断一周。据报道,此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞,并要求其支付赎金。当遭到该公司的拒绝后,黑客劫持了Ticketfly网站,替换了它的主页。

  据黑客IsHaKdZ表示,他手中拥有完整的数据库,里面包含2700万个Ticketfly账户相关信息(如姓名、家庭住址、电子邮箱地址和电话号码等,涉及员工和用户)。

  7.【MyHeritage:超9200万用户信息泄露】

  时间:2018年6月

  事件回顾:今年6月初,MyHeritage给出公告称,网站服务器被攻击,攻击者从中截取了超过9200万用户信息,其中包含了电子邮件和hash密码,官方则强调不包含支付卡的信息或DNA测试结果。不过MyHeritag还表示,用户帐户是安全的,因为密码是使用每个用户唯一的加密密钥进行hash处理的,为了彻底解决这种攻击,最终网站启用了双因子身份验证(2FA)功能,即使黑客设法解密hash密码,如果没有第二步验证码,第一步的破解也将毫无用处。

  8.【Exactis:泄露数据超过4亿条】

  时间:2018年6月

  事件回顾:安全研究员Vinny Troia在2018年6月发现,总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息,其中包括数亿美国人和企业的详细信息。在撰写本文时,Exactis尚未确认受此事件影响的确切人数,但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实,此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息,在某些情况下包括极其敏感的细节,如孩子的姓名和性别。

  9.【Sacramento Bee:泄露数据1950万条】

  披露时间:2018年6月

  事件回顾:今年2月,一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据,而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后,攻击者要求支付赎金以换取重新获得对数据的访问权限。

  Sacramento Bee最终拒绝了这一要求,并删除了数据库,以防止在将来这些数据库在被利用来进行其他更多的攻击。根据Sacramento Bee的说法,这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

  10.【万豪喜达屋:约5亿客户信息被泄露】

  时间:2018年11月

  事件回顾:11月30日,万豪对外发出公告称,旗下喜达屋酒店预订系统2014年起遭网络“黑客”入侵,泄露大约5亿客户的用户信息,包括用户的姓名、住址、电话号码、电子邮件地址、护照号码、信用卡等所有核心的信息。

  随后,美国5个州的总检察长和英国信息专员对外表示,将彻底调查这件事,并让万豪付出相应的惩罚。有美国诉讼集团代表众多消费者向万豪提起诉讼,索赔金额高达125亿美元(仅相当于5亿潜在被盗用户中每人得到25美元的赔偿)。

  11.【谷歌+:5200万用户数据被泄露】

  时间:2018年12月

  事件回顾:12月11日,有媒体报道称,在发现因软件漏洞导致5200万用户数据泄露后,谷歌表示将提前4个月关闭旗下社交网络Google+的消费者版本。据悉,该漏洞影响了5250万用户的信息,这些信息不仅包括Google+个人用户的姓名、电子邮件地址、性别和年龄,还包括一些企业用户的账号。

  解读:

       身份盗窃系数据泄露主因,美国成主要攻击目标

  上文屡次提到的撞库,是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

  而与撞库相反的则是拖库,原义指从数据库中导出数据。但到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。

  根据数字安全公司金雅拓(Gemalto)10月发布的全球数据泄露水平指数报告,2018年上半年共发生了945次数据泄露事件,致使45亿条数据泄露。尽管与2017年同期相比,违规事件总数略有下降,但数据丢失、被盗或受损的数量大增了133%。

  至于数据泄露的主要原因,外部人员进行恶意活动造成的数据泄露事件占比最高,达56%,比2017年下半年相比略减近7%,占所有被盗、外泄或丢失记录的80%以上。今年上半年意外丢失的数据记录逾8.79亿条(9%),是数据泄露的第二大最常见原因,占泄露事件的逾三分之一。与2017年同期相比,恶意内部攻击造成的数据泄露记录和事件数量下降了50%。

  而数据泄露的主要类型有身份盗窃和财务数据入侵事件两大类,其中身份盗窃是自2013年金雅拓首次开始追踪数据泄露事件至今,最突出的一种数据泄露类型。

  根据报告,医疗保健行业和社交媒体成为受数据泄露影响最严重的行业。数据显示,与2017年上半年相比,大多数行业的泄露事件数量都有所增加,但政府、专业服务、零售和技术行业是例外,尽管政府和零售业的泄露事件次数减少但泄露的记录数量却是增加的。而医疗保健行业仍然是泄露事件发生次数最多的行业(27%)。

        值得注意的是,由于Facebook和Twitter大量的用户数据泄露,使得社交媒体成为泄露记录数量最多的行业(56%),两家公司分别有22亿和3.36亿条信息被泄露。

  此外,报告还分析了数据泄露事件的地理分布。其中,北美在所有泄露事件次数和泄露记录数量方面仍占据主导地位,二者所占比例分别为59%和72%。美国则是最受欢迎的攻击目标,占全球泄露事件的57%以上,占所有被盗记录的72%,但总体事件数量比上年同期下降了17%。

  数据泄露代价高昂:5000万条记录可致损失3.5亿美元

  据BM Security和Ponemon Institute此前发布的《2018数据泄露损失研究》评估显示,2018年全球数据泄露的平均成本为386万美元,比2017年的报告高出6.4%。

    该研究还首次计算了与“超大型泄露(超过100万条记录)行为相关”的成本。评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失3.5亿美元。

   当今,虽然移动互联网发展得越来越快,给人们的生活带来了极大的便利,但人们要想获得更多的服务,就必须更多地把自己的个人信息作为交换。这样做所潜在的危险,就是个人信息或被盗窃,或被泄露,被贩卖,更甚者还会带来巨额的财产损失。艾媒网此次盘点,希望能给大家带来一定的了解和思考。