热门问题
时间线
聊天
视角

數據泄露

来自维基百科,自由的百科全书

Remove ads

數據泄露指的是個人或組織的私有、機密信息被有意或無意地發布到危險環境中。這類事件通常與黑客攻擊、有組織犯罪政治運動、國際競爭有關;也有因為員工疏忽、違規使用或處置存儲介質導致的數據泄露。小到如員工將打印的少量內部使用的材料遺失在公共交通工具上的意外,嚴重如算機黑客組織攻破政府防火牆,竊取目標軍事、政治機密的事故[1]均時有發生。常見的被泄露數據一般包括金融信息(如信用卡賬戶、銀行信息)、個人健康數據個人識別信息、商業機密與知識產權(及其細節)。[2]

對一個組織而言,發生數據泄露可能導致嚴重的直接或間接損失。發生數據泄露後,組織的聲譽將受到嚴重影響,被泄露數據也可能被用於犯罪活動,而該組織也需要付出時間和經濟成本進行事故調查與善後處理。

根據非盈利消費者權益組織Privacy Rights Clearinghouse的報告,在美國,僅2005年一月到2008年四月期間,總計227,052,199條包含敏感信息的數據能夠確定遭到泄露。鑑於嚴峻的數據安全形勢,許多國家的司法管轄實體(如各國司法部、立法機關)通過了要求公司通告消費者並採取措施減輕消費者損失的數據泄露處理相關法律法規。

Remove ads

數據泄露的定義

一起數據泄露事件可能包含多起事故或疏忽:數據存儲設備的丟失或失竊(如未加密磁盤、筆記本電腦的丟失)、敏感數據被上傳至互聯網、設備未使用合適的信息安全保護措施即連接至互聯網、使用個人或未加密的組織郵箱傳輸不適宜公開的信息或採購了植入惡意程序或硬件的設備。ISO/IEC 27040標準將數據泄露定義為一種造成意外、非法數據損毀、丟失、修改,未經授權的披露或訪問受保護的數據傳輸、存儲等數據處理過程的安全問題[3]

信任與隱私

某一環境是否是可信任的環境並不是一成不變的:如果在一名處於可信環境的員工離職後仍能訪問該可信環境中的數據,那麼該員工便可能成為數據泄露事件的突破口,而該「可信環境」也就不再「可信」。在分布式系統中,當信任網絡中的某一節點遭入侵,上述情況也有可能發生。對此,在保護數據時使用數據分級策略可以有效降低數據泄露的風險。數據分級後,數據管理者可以根據數據的重要性調整安全策略來保護更加重要的數據。

大多數公開報道的事件中,個人信息(如身份證號碼)是最常遭到泄露的數據;由於公眾缺乏對泄露公司商業機密、敏感的合作信息、合同細節或是政府數據可能造成何種損失的認知,此類數據泄露事件一般並不會見諸報端。更何況公開這樣的嚴重事故本身可能會造成比丟失數據更嚴重的損害。[4]

內部與外部的威脅

在引發數據泄露事件的各種原因中,最常見的組織內員工工作疏忽或蓄意破壞。波耐蒙研究所(Ponemon Institute)報告稱「大約37%的數據泄露由人為因素引發」 Privacy Rights Clearinghouse(PRC)報告顯示,從2005年一月到2018年12月供發生泄露事件9000多起,主要原因為組織內部攻擊、員工丟失或遭竊便攜設備、組織中計算機感染病毒、向錯誤收件人發送電子郵件等。這充分證明人為因素是導致數據泄露的重要原因。 [5]

能夠引發數據泄露的外部原因則包括個人或團體網絡犯罪者(即黑客與黑客組織)、政府特工等。

後果

儘管數據泄露可能導致身份盜竊等嚴重後果,大多數可能導致數據泄露的事件並沒有對相關方產生長遠影響:大多數安全事件在數據遭非法訪問前就被遏止,有些硬件盜竊事件的嫌疑人只對偷竊的硬件感興趣或無法破譯硬件上的安全措施。儘管如此,當此類事件發生後,大多數責任方會向受影響的客戶(或是受害者)提供諸如更換信用卡的額外安全服務。

然而,一起成功發生的數據泄露事件仍能造成嚴重損害:2013年目標百貨數據泄露事件披露後,該公司當年第四季度的盈利大約縮水40%,次年報告中,該公司聲稱數據泄露事件總共對其造成2.9億美元的經濟損失。[6][7]互聯網犯罪平均每年對能源和公共事業公司造成1280萬美元的損失[8]。在醫療領域,僅2014、15兩年,數據泄露問題就導致了62億美元的損失;[9]僅波蘭一國,超過2500萬人的醫保數據遭竊,600萬人的身份信息泄露,其居民為此增加支出達560億美元[10]

互聯網領域的數據泄露事件造成的損失則更為嚴重:2016年雅虎爆出數據泄露事件後,Verizon公司隨即要求重新就收購雅虎進行談判,最終,這起事件導致雅虎的收購價格降低了3.2億美元。[11]

Thumb
每起數據泄露造成的平均損失(德國)[12]

隨着數字時代的發展,數據量指數級增長,數據泄露也越來越頻繁地發生。防止敏感數據泄露已經成為許多企業在安全領域的重點工作。[13] 為保障數據、財務安全,各方在防止數據泄露方面投入巨大:文獻指出,從2017年到2021年,全球已在互聯網安全領域花費超過1萬億美元。

Remove ads

嚴重數據泄露事故列表

自2005年以來,世界上發生過的嚴重數據泄露事故有:

2005年

  • 2月,ChoicePoint泄露163,000條客戶記錄
  • 11月,波音泄露161,000條雇員的信息
  • 12月24日,Ameriprise Financial有筆記本電腦被盜,損失260,000條客戶記錄

2006年

  • 2月,安永泄露38,000條雇員信息。
  • 5月,美國退伍軍人事務部,泄露28,600,000條退役、預備役和現役軍人信息[14]
  • 5月,安永泄露Hotels.com網站234,000條客戶信息。
  • 8月4日,AOL在其網站上走泄了該公司約65.8萬匿名用戶在3個月期間所進行的2000萬份左右的搜索信息,相當於同期搜索量的0.3%以上。[15]
  • 12月,波音泄露382,000條雇員的信息(同年四月亦泄露3600名雇員的信息)[16]

2007年

  • 埃森哲泄露俄亥俄州和康涅狄格州數據。
  • 3月29日,TJ Maxx泄露4500萬銀行賬號。[17]
  • 8月,CGI集團泄露283,000名紐約退休雇員的個人信息。
  • 9月,The Gap泄露了800,000份求職申請。
  • 11月20日,英國稅務海關總署泄露超過2600萬條兒童福利相關數據。
  • 12月,Memorial Blood Center泄露268,000名獻血者數據。
  • 12月,田納西州戴維森縣選舉委員會遭到闖入,投票人名冊被盜,泄露337,000名投票人的姓名、地址、SSN[18]
  • 12月25日,D. A. Davidson & Co. 泄露192,000名客戶的姓名、賬戶、社會安全號碼(SSN)、地址和生日[19]

2008年

  • 1月,通用電氣金融集團確認存儲於鐵山公司的一卷存有650,000名客戶、150,000條SSN和信用卡信息的磁帶丟失,傑西潘尼零售公司在受影響的230個零售商之列。[20]
  • 1月,新澤西州公司Horizon Blue Cross and Blue Shield泄露其300,000名會員的信息。
  • 2月,Lifeblood泄露 321,000名獻血者個人信息。
  • 8月24日,美國國家金融服務公司員工小雷內·雷波洛(Rene L.Rebollo Jr.)被發現竊取並銷售了250萬客戶包括SSN在內的個人信息。[21]
  • 11月18日,英國國家黨成員列表泄露[22]

2009年

  • 1月,Heartland Payment Systems (HPS)宣布其處理系統遭到黑客入侵,估計有650家金融服務公司的1億張信用卡信息遭竊。[23]
  • 12月, RockYou! 的密碼數據庫遭攻破,3200萬用戶名及其明文儲存的密碼被泄露

2010年

2011年

  • 4月,索尼旗下PlayStation Network服務數次遭入侵,預計7700萬用戶的信息遭到泄露,損失超過10億美元[24]
  • 3月, RSA安全公司SecurID令牌系統的鑰匙種子倉庫出現漏洞,其兩步驗證使用的鑰匙種子失竊,使得攻擊者能夠複製RSA的硬件令牌類產品並對使用此類產品的用戶發動攻擊。[25]
  • 6月, 花旗集團對外公布其信用卡操作系統發生數據泄露,據估計,有21萬(1%)用戶賬戶受到影響。[26]

2012年

  • 8月, 連線雜誌資深編輯馬特·霍南(Mat Honan)撰文稱「黑客在一小時內摧毀了我的全部數字生活」。攻擊者獲取了他的蘋果、推特、Gmail賬戶密碼,控制了他的推特並抹除了他所有電子設備上的所有消息、文件,連他為自己18個月大的女兒拍的照片也沒有放過。[27]這一起攻擊事件是由於攻擊者對亞馬遜的技術支持人員發動社會工程學攻擊獲取到他蘋果賬戶密碼恢復系統用到的信息導致的。[28] 根據他的經歷,馬特就「為什麼密碼無法保護用戶安全」撰文。[29]
  • 10月,美聯邦執法部門帶證據聯繫南卡羅來納州稅務局,稱有三位公民的身份識別信息失竊。[30] 隨後爆出實際上共約有360萬SSN與38.7萬信用卡信息遭竊。[31]

2013年

  • 10月, Adobe公布其數據庫遭到入侵,約1.3億用戶記錄遭竊[32]
  • 11-12月,目標百貨宣布該公司7000萬信用/儲蓄卡賬戶信息泄露。[33]
  • 愛德華·斯諾登在2013年公布了一系列美國國家安全局及其駐其他國家的分支機構的機密檔案。

2014年

  • 8月,蘋果iCloud服務爆出將近200位知名人士的照片遭竊並被公開在4chan網站上。蘋果稱,調查顯示此次攻擊「對特定目標的用戶名、密碼與安全問題具有極高針對性」。[34] 此次事件後蘋果通過加裝兩步驗證增強了iCloud的安全措施。[35]參見:2014年8月名人照片泄露事件
  • 9月,家得寶發生數據泄露事件,5600萬信用卡號遭竊。[36][37]
  • 10月,史泰博發生數據泄露事件,116萬銀行卡信息遭竊。[38]
  • 11月, 索尼影業發生數據泄露事件,其員工的個人信息、家庭信息、高管薪資、未發布的電影副本等信息遭到泄露。黑客宣稱他們獲取了超過100TB數據。[39]參見:索尼影業遭黑客攻擊事件

2015年

2016年

  • 2月,15歲的英國黑客凱恩·甘博(Kane Gamble)公布了超過2萬名FBI雇員包括姓名、職務、電話號碼、郵箱在內的個人詳細信息[43][44]。法院判決稱凱恩涉嫌「有政治目的的網絡恐怖主義行動」。[45]
  • 3月,菲律賓選舉委員會網站被黑客組織「菲律賓匿名者」入侵並惡意修改,隨後黑客組織LulzSec Pilipinas將整個委員會數據庫上傳至Facebook。[46]
  • 9月,雅虎報告稱5億2014年以前的用戶賬戶被「政府支持的黑客組織」竊取。不久後,2017年10月雅虎被爆出其全部30億賬戶被泄露。[47][48]

2017年

  • 7月,Equifax被爆泄露1.455億條用戶消費記錄。[49]
  • 10月,韓國宣稱朝鮮黑客竊取了235GB美韓機密軍事檔案[50]

2018年

  • 3月,英國諮詢公司劍橋分析公司在未經Facebook用戶同意的情況下獲取數百萬Facebook用戶的個人數據,這些數據主要用於政治廣告[51]。參見:FaceBook-劍橋分析數據醜聞
  • 3月,谷歌發現一個可能導致50萬用戶數據泄露的漏洞,但在修復漏洞時,谷歌並沒有將漏洞存在的事實告知用戶,直到六個月後華爾街日報就此作出報道。[52]
  • 3月29日,Under Armour公布旗下MyFitnessPal服務約1.5億用戶的姓名、郵箱賬號和哈希後密碼發生泄露。[53]
  • 4月1日,奢侈品牌薩克斯第五大道Lord & Taylor爆出泄露其在北美約500萬用戶的信用卡信息。[54]
  • 7月,新加坡醫療服務部門SingHealth被爆出泄露包括總理李顯龍在內約150萬用戶的醫療信息。參見:2018SingHealth數據泄露事件
  • 8月1日,Reddit宣布其服務器遭到入侵,黑客繞過兩步驗證系統登錄了其員工賬戶,但Reddit拒絕披露受影響的用戶數目。[55]
  • 9月7日,英國航空發生數據泄露,38萬用戶包括銀行信息詳情在內的記錄遭竊。[56][57]
  • 10月19日,美國醫療保險和醫療補助服務中心泄露7.5萬人的個人信息。[58]
  • 12月3日,Quora報告了一起影響1億用戶的數據泄露事件。[59]

2019年

  • 7月16日,保加利亞國稅局發生數據泄露事件。[60]
  • 7月17日,提供賬單和保險數據處理的醫療保健供應商Medico Inc.泄露了近14,000個文檔。[61]
  • 7月25日,美國民主黨參議院競選委員會在配置錯誤的Amazon S3存儲桶中公開了大約620萬個電子郵件地址。[62]
  • 9月,市場分析公司Novestrat的服務器由於漏洞遭到利用泄露了厄瓜多爾全國共計1700萬公民及已故者的全名,日期,出生地,教育水平,電話號碼和國民身份證號碼。[63]

2020年

2021年

  • 3月12日,微軟Exchange郵件服務器漏洞導致約3000個英國郵件服務器有數據泄露風險。[65][66]

2022年

  • 6月,黑客公開售賣據稱來自超星學習通app的1.7億條高校學生數據,其中包含姓名、手機號、性別、學校、學號和郵箱等個人信息[67]
  • 6月30日上午8時,一位帳號名叫「ChinaDan」的用戶在網上以10比特幣(時價約合20萬美元)的價格出售上海國家警察數據庫(SHGA.gov.cn)的泄露,據稱該數據包括十億多的中國居民信息和刑事案件記錄。[68]

另見

  • 完全披露 (計算機安全)

參考資料

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads