2020年,新冠疫情肆虐全球,催化各行業加速數位化轉型,數據的價值在進一步凸顯,數據的洩露也在持續高頻發生,企業面臨資產與聲譽的重大損失,公眾深受隱私曝光與騷擾詐騙的困擾。安全419(anquan419.com)聯合華途信息梳理了2020年發生在全球各地的重大數據洩露事件,並針對當前形勢給予實用的安全建議,以期對數據安全建設略盡綿薄之力。
【國內時間軸】1月3日丨中國電信超2億條用戶信息被賣中國裁判文書網公布的《陳德武、陳亞華、姜福乾等侵犯公民個人信息罪二審刑事裁定書》顯示,2013年至2016年9月27日,被告人陳亞華從號百信息服務有限公司(中國電信全資子公司)資料庫獲取區分不同行業、地區的手機號碼信息提供給陳德武,被告人陳德武以0.01元/條至0.2元/條的價格出售,累計獲利2000餘萬元,涉及公民個人信息2億餘條。3月19日丨微博5.38億用戶數據在暗網出售有用戶近日發現5.38億條微博用戶信息在暗網出售,其中1.72億條有帳戶基本信息,售價0.177比特幣。涉及到的帳號信息包括用戶ID、帳號發布的微博數、粉絲數、關注數、性別、地理位置等。對此,微博安全總監羅詩堯回應表示:「洩漏的手機號是19年通過通訊錄上傳接口被暴力匹配的,其餘公開信息都是網上抓來的。」4月16日丨青島膠州中心醫院6千餘人就診名單洩露當地市民在膠州政務網反應,微信朋友圈中流傳著出入膠州中心醫院的數千人名單,涉及相關人員個人信息,已嚴重影響個人生活,並被謠傳感染了新冠肺炎。網傳文件顯示,就診人員被列入12個膠州市街道和鄉鎮,內容包括姓名、電話、身份證號碼、個人詳細居住地址、就診類型,共涉及6685人。4月22日丨多地數千高校學生隱私遭洩露4月24日丨浙江一家銀行洩露客戶信息被罰30萬4月27日丨B站知名UP主「黨妹」數百G視頻素材被盜5月6日丨中信銀行違法洩露脫口秀藝人個人隱私5月7日丨5000多萬條個人信息在「暗網」倒賣5月20日丨建設銀行員工販賣5萬多條客戶信息6月5日丨臺灣2000萬人個人信息在暗網洩露6月8日丨鄭州某民辦高校近兩萬名學生信息遭洩露6月20日丨蔡英文涉選舉機密規劃遭黑客攻擊外洩7月1日丨四川某裝修公司花240萬買業主信息8月13日丨6000條多「珍愛網」帳號信息被盜賣9月7日丨圓通「內鬼」洩露40萬條客戶信息9月27日丨廣西醫護人員倒賣8萬條嬰兒信息10月15日丨泰州警方破獲一起侵犯公民個人信息案,涉及800餘萬條數據12月2日丨洩露數據近20萬條 團夥開發掛號軟體獲利被判刑12月7日丨男子洩露成都確診女孩隱私信息被警方處罰12月14日丨央視曝光簡歷信息被販賣 招聘平臺成簡歷信息洩露源頭12月21日丨萬名購買進口白蝦的人員信息被洩露【國外時間軸】1月20日丨近50萬臺伺服器、路由器和IoT設備密碼被洩露某黑客組織在一個流行的黑客論壇上發布了一份涵蓋515000 多臺伺服器、家庭路由器和物聯網智能設備的遠程登錄Telnet(一種遠程訪問協議)憑據列表,內容包含每臺設備的IP位址、以及Telnet服務的用戶名和密碼。1月30日丨化妝品巨頭雅詩蘭黛洩露4.4億條郵箱記錄一安全研究人員發現了暴露的資料庫,他在資料庫中的找到了用戶電子郵件地址,在確定了來源後,立即試圖與雅詩蘭黛取得聯繫。此次洩露總共涉及440,336,852條記錄,其中包含大量的審計日誌和電子郵件地址。2月11日丨以色列640萬選民數據遭洩露由以色列總理內塔尼亞胡領導的利庫德集團(Likud)開發的選舉應用程式配置中的錯誤可能潛在地暴露並損害了近650萬以色列公民的個人資料。以色列當地媒體證實了事件,但是還不清楚在被發現和公開披露之前,暴露的伺服器和數據是否被未經授權的人獲取。2月21日丨米高梅酒店數據轉儲1060萬旅客信息被洩露2月底丨萬豪國際再曝520萬用戶數據洩露3月4日丨國泰航空洩露940萬乘客資料,被罰款500萬港幣3月23日丨某英國安全公司雲洩露50億條安全記錄4月11日丨麥哲倫健康遭勒索軟體攻擊和數據洩露4月14日丨50萬個ZOOM用戶憑證信息外洩4月23日丨2.67億個Facebook帳戶信息在暗網出售5月6日丨成人網站洩露超百億條用戶敏感記錄5月8日丨印尼電商巨頭Tokopedia9000萬帳號信息在暗網售賣5月8日丨4400萬巴基斯坦移動用戶的詳細信息在線洩漏5月19日丨英國廉價航空公司easyJet數據洩露面臨180億英鎊巨額訴訟5月26日丨泰國移動運營商AIS雲洩露83億條網際網路記錄6月8日丨WordPress數百萬網站資料庫遭到竊取6月10日丨印度BellTroX為客戶提供黑客服務7年入侵1萬多電郵帳戶6月19日丨谷歌瀏覽器大規模用戶安全信息洩露6月22日丨甲骨文公司洩露數十億條網絡數據記錄7月16日丨美國多位名人政要推特帳號遭黑客入侵7月25日丨任天堂洩露大量內部遊戲與設備資料8月8日丨英特爾20GB內部數據洩漏8月18日丨美國酒業巨頭百富門被竊取超1TB數據8月19日丨遊戲硬體廠商Razer(雷蛇)在線商店洩露大量用戶數據8月20日丨益百利(南非)2400萬客戶數據洩露8月20日丨美國AI公司被曝洩露近260萬醫療數據8月25日丨網站Freepik用戶數據洩露,影響830萬用戶9月10日丨SK海力士和LG電子機密資料大量外洩9月21日丨美國金融犯罪執法網絡局FinCEN機密文件洩露10月15日丨在線書店Barnes & Noble被黑,消費者郵箱和購買記錄洩露10月16日丨希臘電信巨頭用戶信息洩露10月30日丨 美國安泰人壽用戶信息洩露10月31日丨阿里旗下電商平臺Lazada 110萬帳戶信息被黑客入侵11月4日丨瑞典保險巨頭Folksam數據洩露將100萬瑞典人的信息洩露給谷歌、Facebook11月10日丨西班牙Prestige軟體洩漏洩露了酒店住客的個人數據11月25日丨基督教信仰應用程式Pray.com洩漏使用者的個人資料12月4日丨巴西衛生部官網存嚴重漏洞 2.43億巴西人個人信息被洩露12月8日丨義大利國防巨頭Leonardo S.p.A10GB機密數據洩露12月9日丨富士康約1200臺伺服器常規業務文檔和報告數據面臨洩露12月16日丨全球4500萬醫學影像照片在線暴露12月22日丨英國能源公司數據遭洩露 整個客戶資料庫受損【數據防洩漏 刻不容緩】這些真實鮮活的案例背後,是公眾被迫遭受隱私曝光、騷擾及詐騙,是組織商業數據資產的丟失和品牌信譽的塌陷,一些更嚴重的數據洩露,甚至讓社會穩定和國家安全面臨威脅。防止數據洩露,保護數據安全刻不容緩,華途信息產品總監陳彬作出以下分析:全球疫情下的安全管理鬆懈及攻擊激增2020年幾乎對所有企業來說都是充滿挑戰的一年,COVID-19的肆虐流行引發了健康危機,導致全球經濟遭到破壞,許多惡意行為者利用混亂的局面,對網絡安全進行攻擊並通過販賣各類隱私數據從而獲利。因此相較於以往年份,今年的數據洩露和監管罰款事件發生的頻率及嚴重程度更高。隨著社會對數據安全重視程度的提高,對於企業來說,如何保證數據安全將成為其重要工作之一。內部濫用及洩露的情況顯著增多,內部管理起到關鍵作用根據IBM和Ponemon Institute 的2020年數據洩露成本報告顯示,52%的數據洩露是由惡意外部人員造成的,另外25%是由系統故障和攻擊造成的,23%的人為錯誤,客戶的個人身份信息(PII)佔所有數據洩露的80%,是最經常丟失或被盜的記錄類型。鑑於PII因其敏感性而成為最有價值的數據類型,所以它也是數據保護法規最經常保護的數據類型。醫療、金融等關鍵信息基礎設施單位為重要保護對象近年來,數據洩露事件頻繁爆出在醫療、酒店、公共部門、零售、金融等行業,造成了相關企業嚴重的聲譽損失和經濟損失,作為企業應著重保護自身機密數據以及用戶的隱私數據。事實證明,在某些行業,員工疏忽是造成數據洩露的一大原因。例如排在榜首的是娛樂業,其中34%的數據洩露是由粗心的員工造成的,其次是公共和消費產品部門,其中人為錯誤佔數據洩露的28%。在醫療保健領域,儘管有嚴格的法規,但員工疏忽是造成所有數據洩露的27%。另一方面,在交通運輸中,只有13%的數據洩露是由人為錯誤引起的,而在零售和科技行業,則佔17%。洩露違法成本太低,個人、企業、國家監管部門都應重視由於面臨著COVID-19大流行帶來的困難,惡意行為者一直在尋找獲利的機會,因此必須重視網絡安全。同時,儘管數據保護機構由於當前的情況而表現出寬容,但當他們發現完全忽視了數據保護要求時,他們並沒有施加令人垂涎的懲罰。現象表明,許多企業仍將數據安全視為一項事後考慮。如今,數據安全已成為業務運營的關鍵部分,並且不再有可以忽略的時間了。不管是國外還是國內,都相繼出臺了法律法規以保障數據安全。特別是2020年,國內《數據安全法(草案)》《個人信息保護法(草案)》兩部重磅法律的相繼出臺,為我們的信息保護注入強心針,提高安全管理,讓企業和個人遠離數據洩露帶來的巨額代價。當國家監管趨嚴,用法律夯實保護公民個人信息的安全防線;當數據洩露頻發,數據安全態勢面臨內憂外患、防護低效等多重挑戰,建議採取相關有效的措施防止數據洩露:①從安全需求角度伴隨社會高速發展,數據的安全越來越受到重視,而不法分子的攻擊手段也層出不窮,傳統權限類、枷鎖類數據防護產品性能逐漸無法滿足企業需要。此外,數據防護體系建設前,需開展數據治理工作,對數據進行分類分級,完整梳理企業數據資產,並針對重要數據和敏感數據採取適當、合理的管理和安全防護措施,對數據資產進行規範化管理和保護,確保數據安全,促進數據共享。基於上述數據安全需求,具備智能化內容識別能力的DLP產品應運而生。②從法律監管角度《網絡安全法》中規定未經被搜集者同意,不得向他人提供個人信息。《數據安全管理辦法》中也對數據的使用、保存、發送等層面進行防洩漏方面的規定,因此DLP產品除滿足企業自身的數據安全需求外,可為行業合規管理和審計的時候提供內控相關的證據,提供基於合規審計的資料,幫助企業輕鬆應對審查及行業規範、數據安全監管要求。③從產品用戶體驗角度傳統的磁碟加密、文件加密類產品都採用從源頭一刀切的方式防止數據洩漏,該方式固然安全性高,但在一定程度會改變用戶原有操作習慣,影響業務效率,用戶體驗不太友好。而DLP產品通過內容深度識別,可在多種場景下進行智能化防護,對用戶使用來說該防護的存在是無感知的,即絲毫不改變原有操作習慣,提高用戶體驗。④從企業IT管理角度大多數公司缺乏針對敏感、涉密數據的管控和審計能力,確保公司敏感、涉密數據遵循統一的策略,在共享和開放的過程中保障數據安全,需要部署數據安全防護措施,防止敏感數洩漏導致對公司產生的嚴重影響。DLP產品可有效支撐企業的IT管理,幫助規範內部網絡,減少IT管理人員工作量、工作複雜度,從而優化IT環境,同時結合企業的相關規章制度,把數據安全管理要求落地。