2020年,新冠疫情肆虐全球,催化各行业加速数字化转型,数据的价值在进一步凸显,数据的泄露也在持续高频发生,企业面临资产与声誉的重大损失,公众深受隐私曝光与骚扰诈骗的困扰。网安信联公司梳理了2020年发生在全球各地的重大数据泄露事件,并针对当前形势给予实用的安全建议,以期对数据安全建设略尽绵薄之力。
一、雅诗兰黛泄露4.4亿数据记录
2020年1月,安全研究员Jeremiah Fowler在网上发现了一个数据库,其中包含“大量记录”。这个在网上公开的数据库没有密码保护,总共包含440,336,852条记录,连接到总部位于纽约的化妆品巨头雅诗兰黛。公开的数据库记录不包含付款数据或敏感的员工信息,数据库泄露的其他数据则包括:以纯文本格式存储的用户电子邮件,包括来自 estee.com域的内部电子邮件地址;内部大量IT日志,包括生产、审核、错误、内容管理系统和中间件报告;参考报告和其他内部文件;对公司内部使用的IP地址,端口、路径和存储的引用等。之后该公司称这个系统不是面向客户的,也不包含客户数据,并立即关闭了对该数据库的访问通道,对数据进行保护。
二、以色列640万选民数据遭泄露
2月11日,据外媒报道,近日由以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误可能潜在地暴露并损害了近650万以色列公民的个人资料。
据了解,此次泄漏是由Verizon Media以色列的前端开发人员Ran Bar-Zik发现并详细描述了这次泄露。目前Haaretz,Calcalist和Ynet等以色列当地媒体证实了Bar-Zik的发现,但是还不清楚在Bar-Zik发现和公开披露之前,暴露的服务器和数据是否被未经授权的人获取。
三、迪卡侬1.23亿个人信息泄露
体育连锁巨头迪卡侬(Decathlon)发生大范围数据泄露,起因是1.23亿条记录被保存在一个并不安全的数据库中。这是由vpnMentor安全研究人员发现的,并在2020年2月24日(本周一)公布。该数据库属于迪卡侬西班牙和迪卡侬英国公司。泄露的数据涉及员工系统用户名、未加密的密码、API日志、API用户名、个人身份信息等。对于迪卡侬员工来说,涉及的信息包括姓名、地址、电话号码、生日、学历和合同明细,而对于客户来说,涉及的信息包括未加密的电子邮件、登录信息和IP地址。该数据库漏洞于2020年2月12日被发现,迪卡侬于2月16日得到通知,随后数据库于2月17日下线。
四、国泰航空泄露940万乘客资料,被罚款500万港币
英国资讯委员会办公室(ICO)当地时间3月4日公布消息说,对国泰航空有限公司(Cathay Pacific Airways Limited)罚款50万英镑(约450万元人民币或者500万元港币),原因是该公司未能保护客户个人数据的安全。
ICO称,2014年10月至2018年5月期间,国泰航空的计算机系统缺乏适当的安全措施,导致客户的个人信息被泄露,其中111578人来自英国,而全球约940万人。
五、英国安全公司云泄露50亿条安全记录
3月,安全专家Bob Diachenko发现了一个疑似属于英国安全公司的一个不安全的Elasticsearch实例,其中包括在2012年到2019年之间和安全事件有关的50亿条记录。
根据Bob Diachenko的说法,在3月16日,他在公网发现了一个缺乏保护的Elasticsearch实例,根据SSL证书和反向DNS记录,发现这个Elasticsearch似乎是由一家英国安全公司所管理。而且特别讽刺的是,其中包括一个“数据泄露数据库”,收集了2012年至2019年期间大量被报道(或许还有未报道)的安全事件中的数据。
这个巨大的Elasticsearch由两个集合组成,一个包含了5,088,635,374条记录,另一个正实时更新,包含1500万条记录。被泄露的数据包括:哈希类型(显示密码的方式:MD5/哈希/纯文本等)、泄漏日期(年)、密码(哈希值或纯文本)、电子邮件、电子邮件域、泄漏源(某些显眼的泄漏源:Adobe,Last.fm,Twitter,LinkedIn,Tumblr,VK等)。
六、号称“世界上最安全的在线备份”云备份,暴露了超过1.35亿在线客户的个人记录
2020年4月份有媒体报道,号称“世界上最安全的在线备份”云备份提供商SOS,发生了超大规模数据泄露。SOS总部位于加利福尼亚州的El Segundo,在世界各大洲都有数据中心,规模很大,实力很强。但是,根据vpnMentor的研究人员小组的说法,SOS在线备份已经暴露了超过1.35亿在线客户的个人记录。研究人员总共确定了大约70GB的数据属于公司的用户帐户。这包括:全名、用户名、电话号码、电子邮件地址、公司内部详细信息(公司客户)。
七、推特遭大规模黑客入侵
2020年7月15日,推特遭大规模黑客入侵,多位名人政要和官方账号受影响。其中包括奥巴马、拜登、布隆伯格、马斯克、贝佐斯、巴菲特、侃爷、苹果官方账号等。在130个目标账户中,黑客能够重置45个用户账户的密码。黑客利用这些账户发布了虚假的推文,提出以1000美元的价格向一个未知的比特币地址支付2000美元。据报道,经过精心策划的“推特”事件使得攻击者通过近300笔交易骗取了12.1万美元的比特币。
八、微软Bing应用数据库或遭泄露,多达1亿条搜索纪录被截取
2020年9月据网络安全网站Wizcase报导,一个不受保护的Elastic服务器可能已经将微软旗下的Bing移动版应用的数据库泄露出去。这次的安全事故是由Wizcase的网络安全团队在白帽黑客Ata Hakcil的带领下发现的,并且最终追踪至Bing的移动版应用。这个不安全的服务器暴露的数据还包括明文搜索词、执行搜索的确切时间、位置坐标、用户从搜索结果中访问过的URL地址、设备型号、操作系统以及分配给每个用户的3个独立ID。这些用户搜索记录来自70多个国家及地区,多达1亿条搜索结果被人截获。这些暴露的数据可能会被不法分子用于勒索、钓鱼攻击甚至在现实中进行人身攻击或抢劫,因为不法分子可以通过GPS定位纪录来推断用户所在的位置以及活动范围。不过幸运的是,Wizcase在13日就已经向微软回报了这个发现,而微软在16日就给这个服务器加上了密码,减少了进一步泄露。
九、美国1.86亿选民数据在暗网被黑客出售
据NBC新闻网于2020年10月22日报道,美国一家网络安全公司Trustwave表示,他们发现一名黑客正在出售超过2亿美国人的个人识别信息,其中包括1.86亿选民的注册数据。网络安全公司Trustwave表示,他们识别出的大部分数据都是公开可用的,并且几乎所有数据都是可供合法企业定期买卖的。但事实上,他们发现大量有关姓名、电子邮件地址、电话号码和选民登记记录的信息数据在暗网成批出售。
十、巴西卫生部官网存严重漏洞2.43亿巴西人个人信息被泄露
在一周前报道1600万巴西COVID-19患者个人数据被曝光之后,巴西当地媒体Estadao于2020年12月再次放出重料:包括在世和已故的在内,有超过2.43亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码,开发者在其中发现了重要政府数据库。该数据库包含巴西人提供给政府的所有个人信息,从全名到家庭住址,从电话号码到医疗详细信息。现在已经从站点的源代码中删除了凭据,但是尚不清楚是否有人访问过该系统并窃取了巴西公民的数据。
据IBM中国调研发现,源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因,所造成的代价也最惨重。恶意数据泄露平均给调研中的受访企业带来445万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。
这些数据泄露事件带来的威胁日益严重,在过去六年的调研期间,报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从42%上升至51%(同比增长21%)。
此外,调研结果还显示,人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半(49%),分别给企业造成了平均350万美元和324万美元的损失。从人为和机器错误导致的数据泄露事件中可总结出改进方法,从而降低其发生的次数。比如对员工开展安全意识培训,进行技术投资,以及测试服务以尽早发现意外泄露事件端倪,从而进行有效预防或阻断。
IBM X-Force威胁情报指数显示,云服务器配置不当是特别值得关注的数据泄露原因之一,这一原因在2018年曾导致9.9亿条记录被曝光,占全年记录数据丢失总数的43%。
过去14年,Ponemon Institute一直在对导致数据泄露成本增加或减少的多项因素进行深入研究。研究表明,企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响。
去年的调研显示,数据泄露的平均生命周期为279天,即在事件发生后企业平均需要206天才能发现,另需73天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业,其数据泄露事件的总体成本可减少120万美元。
此外,关注于响应能力可帮助企业加快响应速度。建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措。采用这两项措施的企业,其数据泄露事件的总体平均成本要比二者皆无的企业少123万美元(前者为351万美元,后者为474万美元)。
本次调研还研究了不同行业和地区的数据泄露成本的差别,发现美国的数据泄露成本更高,平均可达819万美元,是调研中全球受访企业平均水平的两倍多。在过去14年的调研中,美国的数据泄露成本增长了130%,其2006年的调研结果为354万美元。
中东地区的受访企业指出,他们每次事件泄露的记录平均数量最多近4万条(全球平均值约为2.55万条)。此外,医疗保健组织已经连续第9年蝉联数据泄露损失排行榜冠军,平均成本接近650万美元,高出其他行业总体平均的60%。