freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

年终盘点 | 2018年最引人注目的国内外十大数据泄露事件
2018-12-29 18:10:08


时光如梭,2018年即将与我们挥手再见。在过去的一年里,虽然互联网的整体安全性都在提升,但是数据泄露事件依然频繁发生,动辄几亿用户数据遭到外泄,给企业和用户带来了不可估量的严重后果。

据《2018 数据泄露损失研究》评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失高达3.5 亿美元。遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了 6.4%。

可见,在大数据、互联网迅速发展的全球大背景下,为人类带来无限发展机遇的同时却也催生了大量的信息泄露事件,这些触目惊心的数据让世界警惕信息安全已经危及全球,现在,我们就来一起盘点那些发生在2018年的较高关注度的数据泄露事件。

事件一:Facebook:8700万用户数据泄露

1.png

2018年3月Facebook公开承认剑桥分析公司不正当使用了8700万未经授权的用户私人信息,这也遭到了国外网友的痛斥。今年9月份,Facebook再次通告,黑客利用控制的40万个账户获得了3000万Facebook用户账号的信息。他们可以在不输入密码的情况下,随意登陆这些用户的个人主页,任意拿走想要的数据等。Facebook爆发的隐私泄露危机至今,公司股价一度蒸发590亿美元。

事件二: Under Armour:1.5亿用户信息泄露

 2.png

 2018年3月,美国著名运动装备品牌Under Armour称有人未经授权访问了MyFitnessPal平台,超过1.5亿用户的数据被泄露。据美国全国广播公司财经频道(CNBC)报道,入侵的黑客访问了用户的用户名、地址和哈希密码等。MyFitnessPal是Under Armour旗下一款非常受欢迎的手机应用,主要为用户提供运动健康饮食指导。当用户数据被黑客窃取的消息传出后,该公司股价应声下跌。 

事件三: Panera Bread:3700万用户信息泄露

3.png

2018年4月4日,美国最大面包连锁店Panerabread表示,旗下网站panerabread.com泄露了3700万用户信息,而更可怕的是,在官方没有给出公告前,这种泄露信息行为已经持续了超过8个月。随后,安全机构KrebsOnSecurity表示,他们在早在2017年8月2日就曾发现了Panerabread网站的漏洞,告知对方后并没有进行及时修复,所以造成的结果就是严重的。

事件四: MyHeritage:9200万用户信息泄露

4.png

相比其他用户信息泄漏情况来说,MyHeritage用户信息泄露后果可能很严重。这是一个家庭基因和DNA检测的网站,用户信息中存储不但有私人信息,甚至还有个人的DNA测试结果。

2018年6月初,MyHeritage给出公告称,网站服务器被攻击,攻击者从中截取了超过9200万用户信息,其中包含了电子邮件和hash密码,官方则强调不包含支付卡的信息或DNA测试结果,不过MyHeritag还表示,用户帐户是安全的,因为密码是使用每个用户唯一的加密密钥进行hash处理的,为了彻底解决这种攻击,最终网站启用了双因子身份验证(2FA)功能,即使黑客设法解密hash密码,如果没有第二步验证码,第一步的破解也将毫无用处。

事件五:AcFun:900万条用户数据泄露

5.png

2018年6月13日凌晨,AcFun弹幕视频网突然发出公告称,他们有800-1000万左右的用户数据被黑客窃取。黑客攻击A站后窃取的用户信息,很快就放在了暗网售卖,并喊出900万条用户数据,售价40万人民币。如果购买者对信息真实性质疑,那么可以随机抽取测试,此事对用户造成了不小的影响。其实早在今年3月份,暗网论坛中就有人公开出售AcFun的一手用户数据,数量高达800万条,而价格仅为12000元,平均1元能买到800条。

事件六:前程无忧:195万条个人求职简历泄露

6.png 

2018年6月16日,有人在暗网开始叫卖招聘网站前程无忧(51job.com)用户信息,其中涉及195万用户求职简历,随后前程无忧方面确认部分用户账户密码被撞库。

为了证实泄露数据的真实性,前程无忧方面还进行了一定的测试,结果发现信息是真实可靠的,不过官方强调,数据中绝大部分来自于一些邮箱泄露的账户密码,且都是在2013年之前注册。对此前程无忧强调,出现这样的情况并非拖库,而是恶意用户通过这些已泄露的邮箱账户及密码,对相应的站点进行登录匹配,然后蓄意倒卖。

事件七:圆通:10亿条用户信息数据被出售

7.png

2018年6月19日,一位ID为“f666666”的用户公然在暗网上兜售圆通10亿条快递数据,这引发了外界的广泛关注,按照卖家的说法,这些数据是2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,都是圆通内部人士批量出售而来(只要快递单信息进入电脑他们就可以获取)。

随后,有网友验证了其中一部分数据,发现所购“单号”中,姓名、电话、住址等信息均属实。按照当时售价来说,用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息(10亿条数据1比特币),而10亿条数据则需要约43000元人民币。能够泄漏如此多用户信息,且准确率如此之高,外界普遍认为来源是圆通内部级别较高的工作人员。

事件八: 华住旗下多个连锁酒店:5亿条信息泄露 

8.png

2018年8月28日,网上突然出现了华住旗下多个连锁酒店入住信息数据售卖的行为,这引起了用户的广泛关注,毕竟数据涉及5亿条的用户个人信息及入住记录,而这些泄密的数据中,包含的不少私密信息,比如身份证号、家庭住址、银行卡号等等,共计140G约5亿条信息。 经业内人士对出售者提供的测试数据进行验证后,确认真实性非常高。此事可能成为国内近几年规模最大且最严重的信息泄露事件。

事件九: 顺丰:3亿条用户信息数据被出售

9.png

2018年8月底,某用户在暗网上公然售卖顺丰快递数据,其中牵扯到了3亿用户数据信息,售价2个比特币,而这些信息中包含了寄件人、收件人的姓名、地址、电话等,为了证明数据的准确性,购买者可以选择先“验货”,验货数据量10万条,验货费用0.01个比特币。从交易情况来看,至少有超过90万条疑似顺丰快递用户个人信息流向了市场。从一些匿名测试用户反馈的数据来看,随机抽选50个,准确率在90%以上。

事件十: 万豪喜达屋:5亿客户的用户信息泄露

10.png

2018年11月30日,万豪对外发出公告称,旗下喜达屋酒店预订系统2014年起遭网络“黑客”入侵,泄露大约5亿客户的用户信息。消息出来后,纽约大学教授卡普斯表示,万豪在过去4年时间里一直使用错误的安全系统,是出事的主因。

经过复查后得知,万豪泄露的这5亿用户信息中,用户的姓名、住址、电话号码、电子邮件地址、护照号码、信用卡等所有核心的信息统统被泄露出去,性质十分恶劣。美国诉讼集团代表众多消费者向万豪提起诉讼,索赔金额高达125亿美元。

小结:

由此可见,数据经济时代,数据越来越价值化。在企业利用数据创造价值时,暗处也有那么一群人正在伺机而动,想要窃取企业数据、为自己谋利。正因为如此,数据泄露事件在2018年可谓是接二连三的发生,快递、酒店、社交一样没落下,归根究底,事件关键词还是这几个因素所致:企业内鬼、数据内部权限、数据盗卖、越权访问、外包服务数据权限 、个人隐私泄露。

数据安全任重道远,如何在互联网发展的大潮下同时确保信息安全,已经成为全世界各行业普遍关注的焦点问题。在2019年即将到来之际,闪捷信息作为国内专业的数据安全解决方案提供商,温馨提醒大家,无论企业或个人一定要意识到数据安全保护的重要性。对于企业级用户而言,这就要从数据库谈起。数据库承载着企业的核心数据,服务于企业的核心交易业务和实时交互应用,有统计显示,绝大多数数据泄露源自数据库。因此,数据库安全防护应当成为不可或缺的安防体系的重要一环,企业应在做好网络合规审计的基础上,加强重视数据核心层的安全堤口。而作为入选2018年安全牛数据库领域竞争者,经过多年市场积累和对数据安全行业的深刻理解,闪捷信息自主研发的业界首创细粒度分析、全方位防护等数据库安全产品,将有效完善数据安全防护手段,尽可能避免数据泄露问题的发生,从而最大化的保证用户的数据安全!

而作为个人用户如何尽可能地避免卷入数据泄露风波?一方面提高个人信息保护意识,慎重注册APP和扫二维码,提高密码设置难度,不同平台使用不同密码,并设置字母+数字+符号的加强密码,注意不定期修改密码。此外,任何情况都不能将双因素认证中的密码告知他人。

 


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者