近期國內外重大數據洩露事件

2020年還未過半，「數據洩露」這樣的字眼卻顯得異常活躍。全球各地深受數據洩露事件的困擾，同時也造成了重大損失。

根據IBM最新的數據洩露年度成本研究，平均數據洩露成本現在高達392萬美元。這些費用在過去五年裡增加了12%。據FireEye估計，不到一半的組織準備好面對網絡攻擊或數據洩露。

下面，我們來看看近期國內外發生的數據洩露和網絡攻擊事件。

一、國內數據洩露事件

高校學生信息洩露事件

近日，河南財經政法大學、西北工業大學明德學院、重慶大學城市科技學院等高校的數千名學生發現，自己的個人所得稅App上有陌生公司的就職記錄。稅務人員稱，很可能是學生信息被企業冒用，以達到偷稅的目的。

此外，有類似遭遇的還包括湖北武漢、山東青島、安徽滁州等多地的高校學生。企業冒用大學生信息偷稅儼然成為行業潛規則，而受害的大學生因無就業經驗，往往對此難以察覺，維權更是困難重重。

醫院名單洩露事件

4月16日11時17分，有當地市民在膠州政務網反應，微信朋友圈中流傳著出入膠州中心醫院的數千人名單，涉及相關人員個人信息，已嚴重影響個人生活，並被謠傳感染了新冠肺炎。

網傳文件顯示，就診人員被列入12個膠州市街道和鄉鎮，內容包括姓名、電話、身份證號碼、個人詳細居住地址、就診類型，共涉及6685人。

銀行客戶信息疑遭售賣

近日，有疑似國內多家銀行、保險等金融行業的客戶數據在境外黑客論壇上售賣，包括姓名、手機號、身份證號、住址、郵箱等個人信息。

對此，有銀行負責人回應南都記者稱，已經關注到該事件並向主管部門匯報。經調查，樣本數據部分屬實，但絕大多數都有誤，而且數據中不含任何銀行帳戶信息，無法證明為銀行數據或為銀行洩露。

微博用戶數據洩露

近日，有用戶發現5.38億條微博用戶信息在暗網出售，其中，1.72億條有帳戶基本信息，售價0.177比特幣。涉及到的帳號信息包括用戶ID、帳號發布的微博數、粉絲數、關注數、性別、地理位置等。

對此，微博安全總監羅詩堯回應表示：「洩漏的手機號是19年通過通訊錄上傳接口被暴力匹配的，其餘公開信息都是網上抓來的。」

公民信息被盜取出售

投資失敗的民警肖某在苦尋投資之道時發現了「商機」——盜取公民信息出售。他利用支付寶打起了廣告，很快買家找上門了。不到兩年時間裡，肖某獲利180餘萬元，用於購買奢侈品等。日前，衡陽市中級人民法院二審審理了該起案件。

二、國外數據洩露事件

蘋果用戶數據被竊事件

華盛頓/舊金山(路透社)-蘋果公司正計劃修復一個安全公司發現的漏洞，半數以上的iPhone、iPad可能因此漏洞遭受黑客攻擊。

這是位於舊金山的移動安全取證公司ZecOps發現的漏洞，當時其正在對2019年針對客戶端的複雜網絡攻擊進行調查。ZecOps執行長ZukAvraham說他發現該漏洞至少被六個網絡安全破壞程序利用。

Facebook帳戶信息洩露事件

根據網絡安全公司Cyble透露，53萬Zoom帳號在暗網上公開叫賣，1個帳號的價格只有0.002美分，總價也才10美元左右。

Cyble買下了這53萬個帳戶信息，用來給用戶發帳戶洩露風險的提示。

如今，Cyble發現，又有2.67億Facebook用戶信息被盜，包括姓名、郵箱地址、電話、社會身份、性別等，這些信息在暗網上以僅600美元的價格出售。

目前，尚未清楚這些信息是如何在第一時間被洩露的，不過根據Cyble工作人員的說法，很可能是第三方API洩露或報廢導致的。

勒索軟體建立數據洩露網站事件

據奇安信病毒響應中心監測，2020年以來越來越多的勒索家族在暗網建立了自己的數據洩露網站，公開逾期未支付贖金的廠商數據，其中作為勒索軟體的老大哥「Sodinokibi」，給其他「同行」做了「模範的榜樣」，在Sodinokibi洩露的網站中，該團夥直接將竊取來的數據全部公開。

個人數據被出售事件

近日據外媒報導，一名網絡犯罪分子正在黑客論壇上出售美國境內141萬名醫生的個人信息和聯繫方式。這對於大流行期間忙於挽救生命的醫生和醫護人員而言，信息洩露有可能為他們的抗疫工作帶來巨大困擾。

從Hackread.com獲悉，被洩露的數據是於2020年4月11日從在線服務網站qa.findadoctor.com被盜，該網站位於新澤西州愛迪生市，由Millennium Technology Solutions擁有。據悉該服務網站使人們可以搜索醫療保健專業人員，進行即時溝通並在線諮詢醫生獲取醫療意見，該網站允許醫生和患者使用自己的電子郵件地址進行實名註冊。

舊金山國際機場遭網絡攻擊事件

上周五，舊金山國際機場(SFO)披露了一起數據洩露事件，起因是其兩個網站遭遇網絡攻擊，黑客竊取了用戶的Windows登錄憑據。目前，在有關數據洩露聲明的通知中，SFO已經提醒相關用戶修改Windows密碼。

這起網絡攻擊事件發生在2020年3月期間，受到攻擊的網站為SFOConnect.com和SFOConstruction.com，目前黑客已經獲得了兩個數據洩露網站上的用戶登錄憑據的訪問權限。

酒店用戶數據洩露事件

連鎖酒店萬豪國際近期宣布，它已受到第二次數據洩露的打擊，該數據洩露暴露了「多達520萬名客人」的個人詳細信息。

該漏洞始於2020年1月中旬，並於2020年2月底被發現，其中包含了詳細的聯繫方式，包括姓名、地址、出生日期、性別、電子郵件地址和電話號碼。還披露了僱主名稱、性別、住宿偏好和會員卡帳號。

安全公司雲洩露事件

近日，安全專家Bob Diachenko發現了一個疑似屬於英國安全公司的一個不安全的Elasticsearch實例，其中包括在2012年到2019年之間和安全事件有關的50億條記錄。

根據Bob Diachenko的說法，在3月16日，他在公網發現了一個缺乏保護的Elasticsearch實例，根據SSL證書和反向DNS記錄，發現這個Elasticsearch似乎是由一家英國安全公司所管理。而且特別諷刺的是，其中包括一個「數據洩露資料庫」，收集了2012年至2019年期間大量被報導(或許還有未報導)的安全事件中的數據。

這個巨大的Elasticsearch由兩個集合組成，一個包含了5,088,635,374條記錄，另一個正實時更新，包含1500萬條記錄。

國泰航空洩露乘客資料事件

航空圈訊 英國資訊委員會辦公室(ICO)當地時間3月4日公布消息說，對國泰航空有限公司(Cathay Pacific Airways Limited)罰款50萬英鎊(約450萬元人民幣或者500萬元港幣)，原因是該公司未能保護客戶個人數據的安全。ICO稱，2014年10月至2018年5月期間，國泰航空的計算機系統缺乏適當的安全措施，導致客戶的個人信息被洩露，其中111578人來自英國，而全球約940萬人。

被洩露乘客的個人信息包括：姓名、護照和身份信息、出生日期、電子郵件地址、電話號碼和歷史旅行信息等。

雅詩蘭黛雲洩露事件

有安全研究人員表示，化妝品公司雅詩蘭黛將一個缺乏保護措施的資料庫暴露在網際網路上，其中存儲了4.4億條記錄。

雅詩蘭黛總部設在紐約，旗下化妝品銷往135多個國家和地區。雅詩蘭黛公司擁有多個國際知名品牌。

安全研究人員Jeremiah Fowler於1月30日發現了這個暴露的資料庫，他在資料庫中的找到了用戶電子郵件地址，在確定了來源後，立即試圖與雅詩蘭黛取得聯繫。

此次洩露總共涉及440,336,852條記錄，其中包含大量的審計日誌和電子郵件地址。

據IBM中國調研發現，源自惡意網絡攻擊的數據洩露不僅是引發數據洩露事件最常見的根本原因，所造成的代價也最慘重。惡意數據洩露平均給調研中的受訪企業帶來445萬美元的損失，比系統故障和人為錯誤等意外原因導致的數據洩露高出100多萬美元。

這些數據洩露事件帶來的威脅日益嚴重，在過去六年的調研期間，報告中因惡意或犯罪攻擊而引發的數據洩露事件的百分比已從42% 上升至51%(同比增長21%)。

此外，調研結果還顯示，人為錯誤和系統故障導致的數據洩露事件仍佔事件總量的近一半(49%)，分別給企業造成了平均350萬美元和324萬美元的損失。從人為和機器錯誤導致的數據洩露事件中可總結出改進方法，從而降低其發生的次數。比如對員工開展安全意識培訓，進行技術投資，以及測試服務以儘早發現意外洩露事件端倪，從而進行有效預防或阻斷。

IBM X-Force 威脅情報指數顯示，雲伺服器配置不當是特別值得關注的數據洩露原因之一，這一原因在2018年曾導致9.9億條記錄被曝光，佔全年記錄數據丟失總數的43%。

過去14年，Ponemon Institute 一直在對導致數據洩露成本增加或減少的多項因素進行深入研究。研究表明，企業應對數據洩露事件的響應速度和效率將對總體成本產生重大影響。

去年的調研顯示，數據洩露的平均生命周期為279天，即在事件發生後企業平均需要206天才能發現，另需73天才能控制住事件發展態勢。可在200天內發現並有效控制數據洩露事件的調研受訪企業，其數據洩露事件的總體成本可減少120萬美元。

此外，關注於響應能力可幫助企業加快響應速度。建立完善的事件響應團隊以及對事件響應計劃開展全面測試是節省成本的兩項重要舉措。採用這兩項措施的企業，其數據洩露事件的總體平均成本要比二者皆無的企業少123萬美元(前者為351萬美元，後者為474萬美元)。

本次調研還研究了不同行業和地區的數據洩露成本的差別，發現美國的數據洩露成本更高，平均可達819 萬美元，是調研中全球受訪企業平均水平的兩倍多。在過去14年的調研中，美國的數據洩露成本增長了 130%，其2006年的調研結果為 354 萬美元。

中東地區的受訪企業指出，他們每次事件洩露的記錄平均數量最多近4萬條(全球平均值約為2.55萬條)。此外，醫療保健組織已經連續第9年蟬聯數據洩露損失排行榜冠軍，平均成本接近650萬美元，高出其他行業總體平均的60%。

【編輯推薦】

【責任編輯：

趙寧寧

TEL：（010）68476606】

點讚 0