即将开播: 4 月 29 日, 民生银行郭庆谈商业银行金融科技赋能的探索与实践
2020 年还未过半,"数据泄露" 这样的字眼却显得异常活跃. 全球各地深受数据泄露事件的困扰, 同时也造成了重大损失.
根据 IBM 最新的数据泄露年度成本研究, 平均数据泄露成本现在高达 392 万美元. 这些费用在过去五年里增加了 12%. 据 FireEye 估计, 不到一半的组织准备好面对网络攻击或数据泄露.
下面, 我们来看看近期国内外发生的数据泄露和网络攻击事件.
一, 国内数据泄露事件
高校学生信息泄露事件
近日, 河南财经政法大学, 西北工业大学明德学院, 重庆大学城市科技学院等高校的数千名学生发现, 自己的个人所得税 App 上有陌生公司的就职记录. 税务人员称, 很可能是学生信息被企业冒用, 以达到偷税的目的.
此外, 有类似遭遇的还包括湖北武汉, 山东青岛, 安徽滁州等多地的高校学生. 企业冒用大学生信息偷税俨然成为行业潜规则, 而受害的大学生因无就业经验, 往往对此难以察觉, 维权更是困难重重.
医院名单泄露事件
4 月 16 日 11 时 17 分, 有当地市民在胶州政务网反应, 微信朋友圈中流传着出入胶州中心医院的数千人名单, 涉及相关人员个人信息, 已严重影响个人生活, 并被谣传感染了新冠肺炎.
网传文件显示, 就诊人员被列入 12 个胶州市街道和乡镇, 内容包括姓名, 电话, 身份证号码, 个人详细居住地址, 就诊类型, 共涉及 6685 人.
银行客户信息疑遭售卖
近日, 有疑似国内多家银行, 保险等金融行业的客户数据在境外黑客论坛上售卖, 包括姓名, 手机号, 身份证号, 住址, 邮箱等个人信息.
对此, 有银行负责人回应南都记者称, 已经关注到该事件并向主管部门汇报. 经调查, 样本数据部分属实, 但绝大多数都有误, 而且数据中不含任何银行账户信息, 无法证明为银行数据或为银行泄露.
微博用户数据泄露
近日, 有用户发现 5.38 亿条微博用户信息在暗网出售, 其中, 1.72 亿条有账户基本信息, 售价 0.177 比特币. 涉及到的账号信息包括用户 ID, 账号发布的微博数, 粉丝数, 关注数, 性别, 地理位置等.
对此, 微博安全总监罗诗尧回应表示:"泄漏的手机号是 19 年通过通讯录上传接口被暴力匹配的, 其余公开信息都是网上抓来的."
公民信息被盗取出售
投资失败的民警肖某在苦寻投资之道时发现了 "商机"-- 盗取公民信息出售. 他利用支付宝打起了广告, 很快买家找上门了. 不到两年时间里, 肖某获利 180 余万元, 用于购买奢侈品等. 日前, 衡阳市中级人民法院二审审理了该起案件.
二, 国外数据泄露事件
苹果用户数据被窃事件
华盛顿 / 旧金山(路透社)- 苹果公司正计划修复一个安全公司发现的漏洞, 半数以上的 iPhone,iPad 可能因此漏洞遭受黑客攻击.
这是位于旧金山的移动安全取证公司 ZecOps 发现的漏洞, 当时其正在对 2019 年针对客户端的复杂网络攻击进行调查. ZecOps 首席执行官 ZukAvraham 说他发现该漏洞至少被六个网络安全破坏程序利用.
Facebook 帐户信息泄露事件
根据网络安全公司 Cyble 透露, 53 万 Zoom 账号在暗网上公开叫卖, 1 个账号的价格只有 0.002 美分, 总价也才 10 美元左右.
Cyble 买下了这 53 万个账户信息, 用来给用户发账户泄露风险的提示.
如今, Cyble 发现, 又有 2.67 亿 Facebook 用户信息被盗, 包括姓名, 邮箱地址, 电话, 社会身份, 性别等, 这些信息在暗网上以仅 600 美元的价格出售.
目前, 尚未清楚这些信息是如何在第一时间被泄露的, 不过根据 Cyble 工作人员的说法, 很可能是第三方 API 泄露或报废导致的.
勒索软件建立数据泄露网站事件
据奇安信病毒响应中心监测, 2020 年以来越来越多的勒索家族在暗网建立了自己的数据泄露网站, 公开逾期未支付赎金的厂商数据, 其中作为勒索软件的老大哥 "Sodinokibi", 给其他 "同行" 做了 "模范的榜样", 在 Sodinokibi 泄露的网站中, 该团伙直接将窃取来的数据全部公开.
个人数据被出售事件
近日据外媒报道, 一名网络犯罪分子正在黑客论坛上出售美国境内 141 万名医生的个人信息和联系方式. 这对于大流行期间忙于挽救生命的医生和医护人员而言, 信息泄露有可能为他们的抗疫工作带来巨大困扰.
从 Hackread.com 获悉, 被泄露的数据是于 2020 年 4 月 11 日从在线服务网站 qa.findadoctor.com 被盗, 该网站位于新泽西州爱迪生市, 由 Millennium Technology Solutions 拥有. 据悉该服务网站使人们可以搜索医疗保健专业人员, 进行即时沟通并在线咨询医生获取医疗意见, 该网站允许医生和患者使用自己的电子邮件地址进行实名注册.
旧金山国际机场遭网络攻击事件
上周五, 旧金山国际机场 (SFO) 披露了一起数据泄露事件, 起因是其两个网站遭遇网络攻击, 黑客窃取了用户的 Windows 登录凭据. 目前, 在有关数据泄露声明的通知中, SFO 已经提醒相关用户修改 Windows 密码.
这起网络攻击事件发生在 2020 年 3 月期间, 受到攻击的网站为 SFOConnect.com 和 SFOConstruction.com, 目前黑客已经获得了两个数据泄露网站上的用户登录凭据的访问权限.
酒店用户数据泄露事件
连锁酒店万豪国际近期宣布, 它已受到第二次数据泄露的打击, 该数据泄露暴露了 "多达 520 万名客人" 的个人详细信息.
该漏洞始于 2020 年 1 月中旬, 并于 2020 年 2 月底被发现, 其中包含了详细的联系方式, 包括姓名, 地址, 出生日期, 性别, 电子邮件地址和电话号码. 还披露了雇主名称, 性别, 住宿偏好和会员卡帐号.
安全公司云泄露事件
近日, 安全专家 Bob Diachenko 发现了一个疑似属于英国安全公司的一个不安全的 Elasticsearch 实例, 其中包括在 2012 年到 2019 年之间和安全事件有关的 50 亿条记录.
根据 Bob Diachenko 的说法, 在 3 月 16 日, 他在公网发现了一个缺乏保护的 Elasticsearch 实例, 根据 SSL 证书和反向 DNS 记录, 发现这个 Elasticsearch 似乎是由一家英国安全公司所管理. 而且特别讽刺的是, 其中包括一个 "数据泄露数据库", 收集了 2012 年至 2019 年期间大量被报道 (或许还有未报道) 的安全事件中的数据.
这个巨大的 Elasticsearch 由两个集合组成, 一个包含了 5,088,635,374 条记录, 另一个正实时更新, 包含 1500 万条记录.
国泰航空泄露乘客资料事件
航空圈讯 英国资讯委员会办公室 (ICO) 当地时间 3 月 4 日公布消息说, 对国泰航空有限公司 (Cathay Pacific Airways Limited) 罚款 50 万英镑(约 450 万元人民币或者 500 万元港币), 原因是该公司未能保护客户个人数据的安全. ICO 称, 2014 年 10 月至 2018 年 5 月期间, 国泰航空的计算机系统缺乏适当的安全措施, 导致客户的个人信息被泄露, 其中 111578 人来自英国, 而全球约 940 万人.
被泄露乘客的个人信息包括: 姓名, 护照和身份信息, 出生日期, 电子邮件地址, 电话号码和历史旅行信息等.
雅诗兰黛云泄露事件
有安全研究人员表示, 化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上, 其中存储了 4.4 亿条记录.
雅诗兰黛总部设在纽约, 旗下化妆品销往 135 多个国家和地区. 雅诗兰黛公司拥有多个国际知名品牌.
安全研究人员 Jeremiah Fowler 于 1 月 30 日发现了这个暴露的数据库, 他在数据库中的找到了用户电子邮件地址, 在确定了来源后, 立即试图与雅诗兰黛取得联系.
此次泄露总共涉及 440,336,852 条记录, 其中包含大量的审计日志和电子邮件地址.
据 IBM 中国调研发现, 源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因, 所造成的代价也最惨重. 恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失, 比系统故障和人为错误等意外原因导致的数据泄露高出 100 多万美元.
这些数据泄露事件带来的威胁日益严重, 在过去六年的调研期间, 报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从 42% 上升至 51%(同比增长 21%).
此外, 调研结果还显示, 人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半(49%), 分别给企业造成了平均 350 万美元和 324 万美元的损失. 从人为和机器错误导致的数据泄露事件中可总结出改进方法, 从而降低其发生的次数. 比如对员工开展安全意识培训, 进行技术投资, 以及测试服务以尽早发现意外泄露事件端倪, 从而进行有效预防或阻断.
IBM X-Force 威胁情报指数显示, 云服务器配置不当是特别值得关注的数据泄露原因之一, 这一原因在 2018 年曾导致 9.9 亿条记录被曝光, 占全年记录数据丢失总数的 43%.
过去 14 年, Ponemon Institute 一直在对导致数据泄露成本增加或减少的多项因素进行深入研究. 研究表明, 企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响.
去年的调研显示, 数据泄露的平均生命周期为 279 天, 即在事件发生后企业平均需要 206 天才能发现, 另需 73 天才能控制住事件发展态势. 可在 200 天内发现并有效控制数据泄露事件的调研受访企业, 其数据泄露事件的总体成本可减少 120 万美元.
此外, 关注于响应能力可帮助企业加快响应速度. 建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措. 采用这两项措施的企业, 其数据泄露事件的总体平均成本要比二者皆无的企业少 123 万美元(前者为 351 万美元, 后者为 474 万美元).
本次调研还研究了不同行业和地区的数据泄露成本的差别, 发现美国的数据泄露成本更高, 平均可达 819 万美元, 是调研中全球受访企业平均水平的两倍多. 在过去 14 年的调研中, 美国的数据泄露成本增长了 130%, 其 2006 年的调研结果为 354 万美元.
中东地区的受访企业指出, 他们每次事件泄露的记录平均数量最多近 4 万条(全球平均值约为 2.55 万条). 此外, 医疗保健组织已经连续第 9 年蝉联数据泄露损失排行榜冠军, 平均成本接近 650 万美元, 高出其他行业总体平均的 60%.
来源: http://netsecurity.51cto.com/art/202005/615764.htm