2018年終盤點之數據安全 數據泄露讓人「觸目驚心」

在DT(數據)時代，數據價值不斷彰顯並被人們視為智能時代的「石油」。無論是數據量的增長，還是數據的種類，大數據時代已經來臨。利用數據，企業可以洞察用戶行為，實現精準產品定位和改進;利用數據，企業可以進行業務轉型，不斷創新;利用數據，企業可以改變自身，成為數據驅動型企業。

但是，數據泄露卻成為許多企業和消費者的「心病」。數據安全事關個人隱私和重要信息，一旦泄露，將成為廣告、營銷人員的目標，甚至被電信詐騙分子「鎖定」。對企業而言，數據安全可以說關乎生死存亡，這並不誇張。

有人說，「全世界的企業可以分為兩種：一種數據已經泄露的和一種將要發生數據泄露的企業。」

相比以往，2018年數據泄露事件遠遠超過往年，還包括許多沒有被曝光的。我們看到，個人數據泄露事件越來越嚴重，輕則波及數千萬人，重則影響數十億人，形勢不斷惡化。

在眾多的數據泄露事故中，天極網記者精選年度十起規模最大、影響最深的數據泄露事件。

1. Aadhaar印度國家身份認證系統

時間：2017.8—2018.1

受害人數：11億

泄露對象：印度公民

泄露內容：號碼、姓名、電子郵箱、住址、電話號碼及照片

事件經過：

Aadhaar是世界上最龐大最複雜的生物身份識別系統，該項目2010年9月在印度啟動。該項目針對印度公民實施生物識別數據採集，包括照片、十指指紋和虹膜掃描等。並且，Aadhaar號碼與印度公民的銀行賬戶、手機號碼、保險賬戶、永久性賬號卡以及其他服務綁定起來。

2018年1月4日，印度鄉村企業家 Bharat Bhushan Gupta爆料說，有人在移動社交工具WhatsApp上向他推銷Aadhaar資料庫，購買之後，Aadhaar資料庫確實為他提供了大量意想不到的用戶信息。

2. 萬豪酒店

時間：2018.9.10，但泄露最早時間可追溯至2014年

受害人數：5億

泄露對象：萬豪旗下喜達屋酒店消費者

泄露內容：姓名、電子郵箱、郵寄地址、電話號碼、護照號碼、賬戶信息、出生日期、性別、旅行信息、住宿信息、信用卡信息等。

事件經過：

11月底，萬豪酒店宣布，旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂資料庫被黑客入侵，可能有多達5億人次預訂喜達屋酒店客人的詳細個人信息遭到泄露。據悉，黑客入侵早在2014年就已經開始，但公司直到2018年9月才第一次收到警報。該消息公布後，萬豪國際酒店股價一度下跌逾5%。

同時，相關人士對萬豪酒店發起集體訴訟，索賠125億美元。

3. Exactis

時間：2018.6

受害人數：3.4億(2.3億消費者數據，1.1億企業數據)

泄露對象：互聯網個人和企業用戶

泄露內容：數據種類超400類，包括電話號碼、電子郵箱、郵寄地址、興趣愛好、年齡、宗教信仰、寵物情況等

事件經過：

Exactis採集了大約3.4億條記錄，大小2TB，可能涵蓋2.3億人，幾乎是全美的上網人口。Exactis此次的信息泄露並不是黑客撞庫引起或者其它惡意攻擊，而是他們自己的伺服器沒有防火牆加密，直接暴露在公共的資料庫查找範圍內。

4. Under Armour旗下健身應用

時間：2018.2

受害人數：1.5億

泄露對象：MyFitnessPal用戶

泄露內容：姓名、電子郵箱、加密密碼

事件經過：3月份，美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal用戶數據在上個月被泄露。MyFitnessPal是一款Under Armour旗下的食物和營養主題應用，允許用戶跟蹤每天消耗的卡路里、設置運動目標、集成來自其他運動設備的數據，還可以分享運動成果到類似Facebook這樣的社交平台上。

3月25日，該公司發現此次數據泄露事件，並開始通知受影響用戶。此次聲明，讓公司股票價格下跌2.4%。Under Armour正和一家數據安全公司一起協作調查此次事件，有關監管部門也參與到了其中。

5. 華住酒店集團

時間：2018.8.28

受害人數：1.3億

泄露對象：華住酒店集團的消費者

泄露內容：卡號、姓名、手機號、郵箱、身份證號、登錄密碼、入住時間、離開時間、酒店 id 號、房間號、消費金額

事件經過：8日，暗網中文論壇出現一個帖子，聲稱售賣華住集團旗下所有酒店數據，包括華住官網註冊資料、酒店入住登記身份信息、開房記錄。本次數據泄露涵蓋漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊和海友14個酒店品牌。經過測試，泄露數據為真實數據。華住集團發布聲明稱「我集團非常重視，已在內部迅速開展核查，確保客人信息安全;我集團已經第一時間報警，公安機關正在開展調查。」

6. Quora(美版知乎)

時間：2018.12.3公開泄露事件

受害人數：1億

泄露對象：Quora用戶

泄露內容：姓名、電子郵箱、加密密碼、個人資料

事件經過：12月3日，美國知名問答社區 Quora 發公告稱，1億用戶數據因為第三方黑客惡意攻擊而遭到泄露，其中包括用戶的郵箱、姓名和被加密的密碼，以及他們在網站上分享的內容。

Quora已經向可能受到影響的1億用戶發送了提醒郵件，並提醒用戶重置密碼。Quora CEO Adam D』Angelo還建議用戶，如果在不同的網站使用了相同的密碼，最好也做出修改。

7. MyHeritage

時間：2018.6公開

受害人數：9200萬

泄露對象：MyHeritage用戶

泄露內容：郵箱地址、加密密碼

事件經過：MyHeritage 是一家提供家族歷史調查服務的公司，能通過 DNA 分析，幫用戶重建族譜。該公司網站現在有約 9600 萬註冊用戶，接受過基因檢測服務的用戶有 140 萬人。

網路安全研究人員於2018年6月對MyHeritage發出安全警告，發現外部伺服器上存有敏感的MyHeritage信息。該公司確認信息真實性後立即發布通告，提醒用戶立即更改密碼，所有在2017年10月26日之前註冊的帳戶都存在泄露風險。

8. Facebook

時間：2018.3

受害人數：8700萬

泄露對象：Facebook用戶

泄露內容：賬戶名稱、性別、關係狀況、好友情況等

事件經過：3月中旬，《紐約時報》等媒體揭露稱一家服務特朗普競選團隊的數據分析公司Cambridge Analytica獲得了Facebook數千萬用戶的數據，並進行違規濫用。4月5日，Facebook首席技術官博客文章稱，Facebook上約有8700萬用戶受影響。

據悉，Cambridge Analytica在2016年美國總統大選前獲得了5000萬名Facebook用戶的數據。這些數據最初由亞歷山大·科根通過一款名為「thisis your digital life」的心理測試應用程序收集。通過這款應用，Cambridge Analytica不僅從接受科根性格測試的用戶處收集信息，還獲得了他們好友的資料，涉及數千萬用戶的數據。

9. Elasticsearch

時間：2018.11.14

受害人數：8200萬(5700萬個人用戶數據 2600萬企業數據)

泄露對象：用戶信息與商業交易

泄露內容：個人信息包括姓名、電子郵件、郵寄地址、電話號碼、IP地址、就職單位、職位;企業信息包括單位名稱、公司詳細信息、郵政編碼、地址、經緯度、電話、網址、電子郵件地址、員工數量、營業額等。

事件經過：11月底，網路安全公司Hacken的網路風險研究主管Bob Diachenko發現，他表示ElasticSearch伺服器共泄漏了超過73GB的數據，並且幾個資料庫被緩存在伺服器的內存中。而其中一個資料庫就包含有美國公民的個人信息共計56,934,021份。

ElasticSearch是一個基於Lucene的全文搜索引擎，被眾多程序員追捧的神器之一。由於缺乏定期的資料庫安全審計，導致有心人士趁機複製和竊取所有數據。有網路安全專家認為，他們已經將無人防守的資料庫的來源追溯到一家數據管理公司，但據說該公司已經關閉。

10. Newegg電商平台

時間：2018.8.14-2018.9.18

受害人數：5000萬

泄露對象：Newegg在線消費者

泄露內容：信用卡賬號

事件經過：Newegg是美國知名的在線零售商，2016年營收26.5億美元，旗下平台月獨立訪問用戶達4500多萬。有安全研究人員發現，黑客將15行銀行卡盜刷代碼植入新蛋網支付頁面，從8月14月-9月18日，代碼一直存在。這種惡意代碼從用戶手中竊取信用卡數據，傳輸到由黑客控制的伺服器。

這些事情的發生，說明數據安全和保護面臨著越來越嚴峻的挑戰。同時，Commvault亞太區企業解決方案架構師李可認為，「個人和企業數據面臨的威脅越來越大，數據保護和快速恢復的要求隨著雲時代的到來變得更加迫切;同時，對個人隱私和敏感數據的管理要求更高，面臨的法規監管也更加嚴格。」

對企業來說，「企業數據資產的分布和管理更加複雜，對非結構化的數據管理要求越來越高。」他說。更重要的是，企業應加強多雲環境下對多種類型數據應用的統一管理，並且給企業提供可自服務、自定義管理流程的數據管理框架，讓其成為數據安全管理的最後一道防線。

對普通消費者來說，既要警惕銀行和保險公司的可疑簡訊和郵件，又要養成一個良好的密碼設置習慣，提高個人網路安全意識，盡最大努力保護個人數據安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！