您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
盤點分析 | 2021第一季度國內(nèi)外重大數(shù)據(jù)泄漏事件
今年兩會,關(guān)于數(shù)據(jù)安全的提案再次引人關(guān)注。各類關(guān)于數(shù)據(jù)安全的聲音不絕于耳,讓這個全球矚目的問題,再次受到廣泛關(guān)注。
據(jù)不完全統(tǒng)計,從2015年開始,互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)從業(yè)人員就已經(jīng)超過40萬。盡管公開數(shù)據(jù)顯示,2019年中國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模預(yù)計超過600億元,但黑灰產(chǎn)早已達千億元規(guī)模。
網(wǎng)絡(luò)安全和數(shù)據(jù)安全是保障國家安全的重要組成部分。網(wǎng)絡(luò)安全的核心就是大數(shù)據(jù)安全,大數(shù)據(jù)安全關(guān)系并影響著網(wǎng)絡(luò)安全和國家安全、公民個人隱私權(quán)益和社會安全穩(wěn)定等。大數(shù)據(jù)對國家的政治、經(jīng)濟、軍事、科研等重大領(lǐng)域及人們的生活、工作、學習、社交方式具有重要影響。
雖然大數(shù)據(jù)如此重要,但當今世界大多數(shù)國家對大數(shù)據(jù)的安全管理還缺乏明確的相關(guān)法律法規(guī)。對大數(shù)據(jù)的采集、傳輸、存儲、互聯(lián)、共享、應(yīng)用、交易、安全管理等權(quán)責不明確,大數(shù)據(jù)的所有權(quán)、使用權(quán)、運營權(quán)、安全責任等模糊,造成數(shù)據(jù)資源的開發(fā)和使用者經(jīng)常游走在法律的邊緣。
在今年第一季度,“數(shù)據(jù)泄露”這樣的字眼總是活躍在我們眼前。全球各地深受數(shù)據(jù)泄露事件的困擾,已造成重大損失。信息安全與通信保密雜志社梳理了國內(nèi)外各地發(fā)生的重大數(shù)據(jù)泄露事件。這些事件不僅給企業(yè)帶來數(shù)據(jù)資產(chǎn)的嚴重損失,還帶來了巨大的社會影響。
國內(nèi)
01 30人販賣6億條個人信息獲利800余萬
近日,鎮(zhèn)江丹陽警方成功偵破一起公安部督辦的侵犯公民個人信息案,涉及10多個省市,抓獲犯罪嫌疑人30名。
該團伙采用境外聊天工具和區(qū)塊鏈虛擬貨幣收付款,共販賣個人信息6億余條,違法所得800余萬元。犯罪嫌疑人已被移送檢察機關(guān)。
02 一公司賣個人信息被罰320萬
近日,中國裁判文書網(wǎng)公布一份判決書——《北京智借網(wǎng)絡(luò)科技有限公司、賢某某等侵犯公民個人信息罪一審刑事判決書》。
判決書顯示,上述公司在未取得受害人同意的情況下,向下游多家公司出售包含姓名、身份證號、手機號等個人信息,因犯侵犯公民個人信息罪,被判處罰金三百二十萬元。值得注意的是,買方涉及多家知名公司,如平安普惠、拍拍貸、你我貸等。
03 疑似超2億國內(nèi)已泄漏用戶信息在國外暗網(wǎng)論壇兜售
國外安全研究團隊Cyble在一次日常安全監(jiān)控中發(fā)現(xiàn)了多個帖子正在出售與中國公民有關(guān)的個人數(shù)據(jù)。經(jīng)分析,這些數(shù)據(jù)很可能來自微博、QQ等多個社交媒體,其中還發(fā)現(xiàn)了大量湖北省“公安縣”的公民數(shù)據(jù)。
其中一個帖子,威脅者公布了公安縣999名中國公民的戶口登記樣本數(shù)據(jù),以作為黑客攻擊的證據(jù)。并表示共有730萬中國公民的數(shù)據(jù)可供出售,包括身份證,性別,姓名,出生日期,手機號,地址和郵編等記錄。
國外
01 近30TB業(yè)務(wù)數(shù)據(jù)被破壞,數(shù)據(jù)分析公司Polecat遭重大安全事件
英國數(shù)據(jù)分析公司Polecat專為客戶提供各類高級“數(shù)據(jù)分析與人類專業(yè)知識”工具。遺憾的是,這家專注于提供ESG(環(huán)境、社會、治理)管理方案的廠商剛剛成為數(shù)據(jù)泄露的又一位受害者。
根據(jù)Wizcase研究人員的分析,Polecat使用的這臺不安全的Elasticsearch服務(wù)器將接近30 TB的數(shù)據(jù)泄露至公開網(wǎng)絡(luò),服務(wù)器本身未受任何身份驗證或其他加密形式的保護。換言之,任何互聯(lián)網(wǎng)用戶都能隨時訪問存儲在該服務(wù)器上的記錄。
進一步調(diào)查則顯示,該服務(wù)器上存儲著可追溯至2008年的大量業(yè)務(wù)記錄。服務(wù)器中存放有員工用戶名與密碼、超過65億條推文、收集自各個網(wǎng)站及博客的超過10億篇帖子以及社交媒體記錄。
02 印度800萬核酸檢測結(jié)果泄露:網(wǎng)站漏洞太低級
本周,安全研究人員Sourajeet Majumder 稱他發(fā)現(xiàn)另外一個印度政府網(wǎng)站泄露了數(shù)百萬核酸檢測結(jié)果。研究人員發(fā)現(xiàn)網(wǎng)站在實現(xiàn)上存在問題,會導致在特定州進行核酸檢測的人員的測試結(jié)果泄露。報告中含有姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感個人信息。這里的特定州指的就是印度西孟加拉邦。
根據(jù)政府每日公布的公告數(shù)據(jù),研究人員推斷泄露的核酸檢測報告數(shù)大約在800萬。Majumder 指出,泄露可以看到發(fā)送給測試者的消息的內(nèi)容。
03 Clubhouse音頻數(shù)據(jù)遭泄露,引發(fā)安全性擔憂
新浪科技訊 2月22日上午消息,據(jù)報道,廣受歡迎的音頻聊天室應(yīng)用Clubhouse曾表示將采取措施確保用戶數(shù)據(jù)不會被惡意黑客或間諜竊取。然而現(xiàn)在,至少有一名網(wǎng)絡(luò)攻擊者證明了Clubhous平臺的實時音頻是可以被竊取的。
Clubhouse發(fā)言人瑞瑪·巴納西(Reema Bahnasy)表示,本周末,一位身份不明的用戶能夠?qū)lubhouse的音頻從“多個房間”傳送到他們自己的第三方網(wǎng)站上。
04 2020年美國醫(yī)療機構(gòu)數(shù)據(jù)泄露造成130億美元損失
E安全2月20日訊 近日,據(jù)Bitglass的數(shù)據(jù)顯示,去年美國的醫(yī)療保健數(shù)據(jù)泄露事件數(shù)量呈兩位數(shù)倍數(shù)增長,受影響的人數(shù)超過2600萬人。
Bitglass是一家提供安全服務(wù)的技術(shù)公司。這家云安全公司的第七份年度醫(yī)療泄露報告是根據(jù)美國衛(wèi)生和公共服務(wù)部的記錄整理而來的,該報告記錄了受保護的健康信息(PHI)。
報告顯示,與2019年的數(shù)據(jù)相比,泄露事件增加了55%以上,達到599起違規(guī)事件,影響了超過2640萬人。
其中,最主要的原因來自外部攻擊者的“黑客和IT事件”。與其他原因類別相比,此類數(shù)據(jù)占整個泄露記錄的91%以上。
其次是由于端點設(shè)備的丟失或失竊,造成584,000多人受影響,而因為內(nèi)部各方或系統(tǒng)未經(jīng)授權(quán)泄露數(shù)據(jù)的人數(shù)達到763,000。其他雜項裂縫及滲漏影響了超過584,000人。
05 巴西發(fā)生重大數(shù)據(jù)泄露事件:幾乎所有巴西人受波及
據(jù)外媒報道,當?shù)貢r間周二上午,PSafe的網(wǎng)絡(luò)安全實驗室dfndr報告稱,巴西的一個數(shù)據(jù)庫發(fā)生了一起重大泄密事件,數(shù)百萬人的CPF號碼及其他機密信息可能遭到了泄露。據(jù)這些使用AI技術(shù)識別惡意鏈接和虛假新聞的專家們披露,泄露的數(shù)據(jù)包含有1.04億輛汽車和約4000萬家公司的詳細信息,受影響的人員數(shù)量可能有2.2億。
泄露的數(shù)據(jù)庫中包含的信息則覆蓋了幾乎所有巴西人的姓名、出生日期和CPF——包括當局。在一份新聞稿中,dfndr實驗室主任Emilio Simoni指出,最大的風險是這些數(shù)據(jù)會被用于網(wǎng)絡(luò)釣魚詐騙,其將會誘使人們在一個虛假頁面上提供更多的個人信息。
06 7700萬!Nitro PDF用戶數(shù)據(jù)庫大規(guī)模泄露
2021年1月,黑客免費公開泄漏包含超過7700萬條Nitro PDF用戶記錄數(shù)據(jù)庫。
包含超過7700萬條Nitro PDF用戶記錄(電子郵件地址、用戶名和密碼)數(shù)據(jù)庫被盜,昨天已被黑客免費公開泄漏。
黑客公布的這個14GB的泄漏數(shù)據(jù)庫包含77,159,696條記錄,其中包含用戶的電子郵件地址、全名、bcrypt哈希密碼、標題、公司名稱、IP地址以及其他與系統(tǒng)相關(guān)的信息。
該數(shù)據(jù)庫已經(jīng)被添加到“Have I Been Pwned”泄露檢測服務(wù)中,該服務(wù)使用戶可以檢查其信息是否在數(shù)據(jù)泄露中暴露。
07 新西蘭央行大量敏感數(shù)據(jù)泄露
新西蘭中央銀行近日表示,某身份不明的攻擊者已經(jīng)成功入侵其內(nèi)部一個數(shù)據(jù)系統(tǒng),并且可能已經(jīng)訪問了商業(yè)及個人敏感信息。
這家位于新西蘭惠靈頓的國家銀行在聲明中表示,遭到非法訪問的是新西蘭儲備銀行用于共享及存儲敏感信息的第三方文件共享服務(wù)。
銀行行長Adrian Orr表示,違規(guī)行為已經(jīng)得到遏制,該銀行的核心職能“仍然保持著健全性及可操作性?!?/p>
08 弱口令惹禍!日產(chǎn)公司近20GB源代碼遭到泄露
傳統(tǒng)機動車制造廠商近來麻煩不斷,繼去年本田遭遇勒索軟件攻擊、奔馳數(shù)據(jù)泄露、伊始川崎重工和日產(chǎn)公司又接連曝出數(shù)據(jù)泄露事故。
2021年1月,日產(chǎn)北美公司一臺配置錯誤(使用了默認的管理員用戶名密碼組合:admin/admin)的Bitbucket Git服務(wù)器的信息在Telegram頻道和黑客論壇上開始傳播,直到周三該服務(wù)器才脫機。
據(jù)悉,該服務(wù)器是存有日產(chǎn)北美公司開發(fā)和正在使用的移動應(yīng)用程序和內(nèi)部工具的源代碼,目前已在線泄漏。
一位瑞士軟件工程師Tillie Kottmann本周接受媒體采訪時透露,他從匿名來源獲悉泄漏,并分析了日產(chǎn)數(shù)據(jù),發(fā)現(xiàn)泄露的Git存儲庫包括的源代碼。
09 英國一大型整容醫(yī)院遭勒索攻擊,近1TB病人照片泄露
據(jù)外媒體報道,不久之前,有黑客竊取了英國一家大型整容連鎖店-- Hospital Group的數(shù)據(jù)并威脅要公布患者手術(shù)前后的照片和其他細節(jié)。Hospital Group目前已經(jīng)證實遭到了勒索軟件的攻擊。該公司表示,其已將此事告知信息專員(Information Commissioner)。
黑客組織REvil在其暗網(wǎng)網(wǎng)頁上表示,顧客的照片并不完全是令人愉快的景象。它聲稱已經(jīng)獲得了超過900G的病人照片。遭到網(wǎng)絡(luò)攻擊的Hospital Group--也被稱為Transform Hospital Group--聲稱是英國減肥和美容手術(shù)的領(lǐng)先者。
數(shù)據(jù)安全的挑戰(zhàn)
以移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)日益普及,云計算、大數(shù)據(jù)等信息技術(shù)日趨成熟,復(fù)雜多元、規(guī)模龐大的數(shù)據(jù)所蘊含的經(jīng)濟價值和社會價值逐步凸顯,數(shù)據(jù)安全風險隨之增加,數(shù)據(jù)安全問題不斷涌現(xiàn)。
一是用戶隱私數(shù)據(jù)泄露事件接連不斷,危害影響持續(xù)擴散。
用戶隱私數(shù)據(jù)泄露事件涉及范圍持續(xù)擴大、破壞性不斷增強,對人們生產(chǎn)生活的影響日益深化。全球每年個人信息泄露事件總數(shù)呈遞增趨勢,重大安全事件頻發(fā)。根據(jù)荷蘭 Gemalto 公司2014年至2017年公布的安全違規(guī)水平指數(shù)調(diào)查報告顯示。2017年全球重大數(shù)據(jù)泄露事件高達1765起,比去年同期增長77%。同時,數(shù)據(jù)安全事件帶來的經(jīng)濟成本和經(jīng)濟損失居高不下。
根據(jù)IBM聯(lián)合 Ponemon Institute 發(fā)布,企業(yè)的平均數(shù)據(jù)泄露總成本基本維持在350-400萬美元。此外,數(shù)據(jù)安全威脅蔓延到關(guān)系經(jīng)濟社會運行的基礎(chǔ)設(shè)施,乃至政治領(lǐng)域。2016年,劍橋分析公司不正當使用5000萬Facebook用戶數(shù)據(jù),影響美國總統(tǒng)大選結(jié)果。2017年6月,美國共和黨全國委員會承包商營銷公司托管在AWS S3上超過1.98億美國公民1.1TB的資料數(shù)據(jù)庫泄露,約占選民總數(shù)61%。
據(jù)國際安全公司Risk Based Security 報告顯示,2019年前9個月披露了 5183 起違規(guī)事件,總共泄露了79億條記錄,泄露記錄總數(shù)同比增長112%。
二是全球數(shù)據(jù)泄露整體形勢嚴峻,呈現(xiàn)出多類特點。
根據(jù)國際數(shù)據(jù)安全公司金雅拓(Gemalto)發(fā)布的《全球范圍內(nèi)公共數(shù)據(jù)泄露事件嚴重程度指數(shù)》顯示,全球數(shù)據(jù)泄露形勢依然嚴峻。與2017年同期相比,數(shù)據(jù)丟失、被盜或受損的數(shù)量大增133%,2018年上半年,每天有超過2500萬條數(shù)據(jù)遭到入侵或泄露。數(shù)據(jù)泄露呈現(xiàn)四方面特點:
一是從數(shù)據(jù)泄露源頭來看,外部人員進行惡意活動造成的數(shù)據(jù)泄露事件占比最高,達到56%;第二大原因是意外損失,超過8.79億(9%)。
二是從數(shù)據(jù)泄露類型來看,身份盜竊漏洞的數(shù)量占比超過64%,財務(wù)數(shù)據(jù)泄露條數(shù)高達3.59億(2017年同期為270萬)。
三是從數(shù)據(jù)泄漏嚴重的行業(yè)或領(lǐng)域看,社交媒體泄露的數(shù)據(jù)條數(shù)(56%)排名第一,醫(yī)療領(lǐng)域在數(shù)據(jù)安全事故數(shù)量上繼續(xù)領(lǐng)先(27%)。
四是從數(shù)據(jù)泄露地理分布來看,北美仍占大頭,違規(guī)行為占59%,數(shù)據(jù)受損占72%,歐洲的事件數(shù)量減少了36%,但違規(guī)記錄數(shù)量增加了28%,澳大利亞的事件披露數(shù)量從18 個增加到 308 個。
三是云計算安全事故頻發(fā),數(shù)據(jù)安全問題日益突出。
近年來,云安全導致的數(shù)據(jù)安全事件不斷發(fā)生。2016年9月,Cloudflare 數(shù)百萬網(wǎng)絡(luò)托管客戶數(shù)據(jù)被泄露;2017年6月,亞馬遜AWS 共和黨數(shù)據(jù)庫中的美國2億選民個人信息被曝光。
與此同時,數(shù)據(jù)相關(guān)企業(yè)內(nèi)部安全管理問題日益凸顯,主要表現(xiàn)在未得到用戶授權(quán)的情況下,收集和使用用戶數(shù)據(jù)信息;安全運維策略缺陷,運維人員可接觸用戶數(shù)據(jù)信息以及用戶數(shù)據(jù)不切合自身利益,忽略長期潛在的未知安全問題。
四是移動互聯(lián)網(wǎng)數(shù)據(jù)安全威脅日益加深,安全隱患難以緩解。
當前,移動互聯(lián)網(wǎng)已成為數(shù)據(jù)安全威脅擴散的重要途徑。侵犯數(shù)據(jù)安全的惡意應(yīng)用、木馬等日益增多,對用戶的人身、財產(chǎn)安全構(gòu)成了極大隱患。根據(jù)騰訊安全聯(lián)合實驗室發(fā)布的《2018 上半年互聯(lián)網(wǎng)黑產(chǎn)研究報告》,2018年上半年手機病毒類型多達數(shù)十種,個人隱私信息獲取成為繼資費消耗、惡意扣費之后的第三大病毒類型,占手機病毒數(shù)量總比重的20.40%。同時,由于手機病毒功能的日益復(fù)雜化,一款病毒往往兼具多種惡意行為。
2018年4月初,騰訊TRP-AI反病毒引擎曾捕獲一款名為“銀行節(jié)日提款機”的惡意木馬,偽裝成正常的支付插件,在用戶不知情的情況下,私自發(fā)送訂購短信,同步上傳用戶手機固件信息和隱私,造成用戶資費損耗和隱私泄露。
五是數(shù)據(jù)交易黑色地下產(chǎn)業(yè)鏈活動猖獗,治理之路漫漫。
數(shù)據(jù)交易黑色地下產(chǎn)業(yè)鏈交易的數(shù)據(jù)范圍日益廣泛,主要包括:用戶賬號、密碼、網(wǎng)銀賬戶等可以直接用以進行經(jīng)濟犯罪的信息以及手機號碼、家庭住址、興趣愛好等隱私信息。我國的數(shù)據(jù)交易黑色地下產(chǎn)業(yè)鏈存在已久,近年來,地下產(chǎn)業(yè)鏈的規(guī)模,產(chǎn)值不斷擴大,不僅侵犯虛擬數(shù)據(jù)資產(chǎn),更帶來了實際的經(jīng)濟利益損失,對數(shù)據(jù)安全和經(jīng)濟安全構(gòu)成了極大威脅。地下產(chǎn)業(yè)鏈治理非一日之功。
推進我國數(shù)據(jù)安全保護工作的思考與建議
面對當前數(shù)據(jù)安全嚴峻形勢,我國需要從實際出發(fā),不斷完善管理制度,積極研發(fā)數(shù)據(jù)安全技術(shù),多管齊下,建立以法律法規(guī)為準繩、戰(zhàn)略政策為方向、管理體制機制為保障、技術(shù)手段為依托、標準指引和評估規(guī)范為支撐的全方位數(shù)據(jù)安全保護體系。
(一)科學推進數(shù)據(jù)安全保護立法進程,擴展現(xiàn)有法律的調(diào)整范圍。一是加快立法進程,盡快立法明確數(shù)據(jù)保護對象、范疇和違法責任,制定關(guān)于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款;二是拓寬法律調(diào)整范疇,將工業(yè)互聯(lián)網(wǎng)、云計算等新技術(shù)新應(yīng)用場景下的數(shù)據(jù)保護納入法律調(diào)整范疇。
(二)盡快出臺數(shù)據(jù)保護的戰(zhàn)略規(guī)劃和政策法規(guī)。首先,應(yīng)從國家戰(zhàn)略資源、經(jīng)濟生產(chǎn)要素的高度重塑數(shù)據(jù)安全的定位,強化數(shù)據(jù)安全與發(fā)展的戰(zhàn)略統(tǒng)籌;其次,出臺針對數(shù)據(jù)跨境流動、長臂管轄等熱點問題的監(jiān)管政策,制定通信、金融等重點行業(yè)的重要數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策,推動立法規(guī)范我國公民個人信息和重要數(shù)據(jù)的境內(nèi)存儲;此外,要積極參與國際規(guī)則的制定,提升我國在數(shù)據(jù)保護領(lǐng)域的話語權(quán),為我國開展數(shù)據(jù)安全保護營造良好的國際環(huán)境。
(三)完善機制,將數(shù)據(jù)安全保護納入國家網(wǎng)絡(luò)安全管理的核心范疇。在國家層面,設(shè)立或者指定統(tǒng)領(lǐng)性的數(shù)據(jù)安全管理機構(gòu),在各行業(yè)設(shè)置或指定數(shù)據(jù)安全的接口部門,完善數(shù)據(jù)保護行政監(jiān)管體系,確立數(shù)據(jù)保護的行業(yè)監(jiān)管模式,建立覆蓋備案、評估、舉報、處罰等各個環(huán)節(jié)的數(shù)據(jù)保護行政監(jiān)管機制,鼓勵行業(yè)自律組織制定、實施行業(yè)自律規(guī)范,建立企業(yè)間交流溝通的渠道和平臺;在行政監(jiān)管方面,加強網(wǎng)絡(luò)數(shù)據(jù)資源開放共享和商業(yè)合作的安全管理,建立完備的數(shù)據(jù)跨境流動審查機制,建立健全大規(guī)模用戶信息泄露事件企業(yè)向行業(yè)主管部門報告和社會公告制度,健全完善用戶隱私泄露舉報機制。
(四)加強數(shù)據(jù)保護關(guān)鍵技術(shù)攻關(guān),提升數(shù)據(jù)跨境流動監(jiān)管能力。一是要提升數(shù)據(jù)基礎(chǔ)設(shè)施安全可控水平,加大自主創(chuàng)新力度,突破存儲設(shè)備、服務(wù)器等關(guān)鍵設(shè)備,操作系統(tǒng)等基礎(chǔ)軟件的核心關(guān)鍵技術(shù),加快推動安全可控軟硬件的應(yīng)用推廣;二是要加強數(shù)據(jù)保護關(guān)鍵技術(shù)手段建設(shè),加快身份管理、防御 APT 攻擊等關(guān)鍵技術(shù)研發(fā);三是要加快能夠有效發(fā)現(xiàn)、處置敏感數(shù)據(jù)違法跨境流動行為的監(jiān)管支撐能力研發(fā)。
(五)統(tǒng)籌規(guī)劃制定數(shù)據(jù)安全相關(guān)標準,推動開展數(shù)據(jù)跨境流動安全評估。一是加強標準研發(fā)工作,構(gòu)建我國數(shù)據(jù)安全標準體系,積極研發(fā)通用和專用的數(shù)據(jù)安全標準;二是建立安全評估制度,引導行業(yè)內(nèi)第三方機構(gòu)開展數(shù)據(jù)安全相關(guān)的檢測和評估,開展針對數(shù)據(jù)跨境流動的專項安全評估。
文章來源:信息安全與通信保密雜志社,作者Cismag