2018年十大數據泄露安全事件

發(fā)布日期：2019/01/07

2018年已經(jīng)和我們說(shuō)再見(jiàn)，而在這過(guò)去的一年里，網(wǎng)絡(luò )安全事件層出不窮，這其中出現了多起影響力頗大的用戶(hù)信息泄露事件，現在我們就來(lái)盤(pán)點(diǎn)2018年十大數據泄露安全事件。

1. Facebook：8700萬(wàn)用戶(hù)數據泄露

2018年3月17日，美國紐約時(shí)報率先曝光了劍橋分析(Cambridge  Analytica)未經(jīng)用戶(hù)許可，擅自使用Facebook用戶(hù)個(gè)人信息的行為。此事一出立刻引起軒然大波，隨后英國高等法院授權對涉事單機構進(jìn)行了搜查，并揭開(kāi)了針對該事件司法調查的序幕。

針對沒(méi)有用戶(hù)的許可就使偷偷用個(gè)人信息數據一事，Facebook公開(kāi)回應，承認劍橋分析公司不正當使用了8700萬(wàn)未經(jīng)授權的用戶(hù)私人信息，這也遭到了國外網(wǎng)友的痛斥。這場(chǎng)風(fēng)波還沒(méi)有過(guò)去，今年9月份，Facebook再次通告，黑客利用控制的40萬(wàn)個(gè)賬戶(hù)獲得了3000萬(wàn)Facebook用戶(hù)賬號的信息。他們可以在不輸入密碼的情況下，隨意登陸這些用戶(hù)的個(gè)人主頁(yè)，任意拿走想要的數據等。

從今年3月份，Facebook爆發(fā)的隱私泄露危機至今，公司股價(jià)一度蒸發(fā)590億美元，更讓扎克伯格難受的是，公司股東會(huì )聯(lián)名要求他交出權利(退出CEO之位)，與此同時(shí)，許多國家議會(huì )甚至要求扎克伯格親自出席用戶(hù)信息被盜、偷用的辯證會(huì )，最后這些統統被拒絕。

2. Under Armour：1.5億用戶(hù)信息泄露

2018年3月30日，美國運動(dòng)品牌Under   Armour對外表示，旗下健身應用MyFitnessPal因存在數據漏洞而遭到黑客攻擊，一共有1.5億用戶(hù)的數據被泄露，這些數據中包含了用戶(hù)名、電子郵件地址和密碼等，不過(guò)官方強調，泄密數據并不包含駕駛證號、信用卡號、身份信息等更私密信息。

MyFitnessPal是Under   Armour收購的一家企業(yè)，主要提供運動(dòng)健康飲食指導服務(wù)的應用，在北美地區頗受歡迎，用戶(hù)數量最高峰時(shí)接近2億，當傳出有1.5億用戶(hù)信息被黑客竊取后，Under  Armour官方表示，立刻要求MyFitnessPal用戶(hù)更改密碼。

3. MyHeritage：9200萬(wàn)用戶(hù)信息泄露

相比其他用戶(hù)信息泄漏情況來(lái)說(shuō)，MyHeritage用戶(hù)信息泄露后果可能很?chē)乐?。這是一個(gè)家庭基因和DNA檢測的網(wǎng)站，用戶(hù)信息中存儲不但有私人信息，甚至還有個(gè)人的DNA測試結果。

2018年6月初，MyHeritage給出公告稱(chēng)，網(wǎng)站服務(wù)器被攻擊，攻擊者從中截取了超過(guò)9200萬(wàn)用戶(hù)信息，其中包含了電子郵件和hash密碼，官方則強調不包含支付卡的信息或DNA測試結果，不過(guò)MyHeritag還表示，用戶(hù)帳戶(hù)是安全的，因為密碼是使用每個(gè)用戶(hù)唯一的加密密鑰進(jìn)行hash處理的，為了徹底解決這種攻擊，最終網(wǎng)站啟用了雙因子身份驗證(2FA)功能，即使黑客設法解密hash密碼，如果沒(méi)有第二步驗證碼，第一步的破解也將毫無(wú)用處。

4. AcFun：900萬(wàn)條用戶(hù)數據泄露

2018年6月13日凌晨，AcFun彈幕視頻網(wǎng)(以下簡(jiǎn)稱(chēng)“A站”)突然發(fā)出公告稱(chēng)，他們有800-1000萬(wàn)左右的用戶(hù)數據被黑客竊取，隨后A站在公告中強調，2017年7月7日之后從未登陸過(guò)的用戶(hù)以及密碼強度低的用戶(hù)需要立刻更改密碼，而跟A站用戶(hù)信息中密碼保持一致的，也要一并更改。

黑客攻擊A站后竊取的用戶(hù)信息，很快就放在了暗網(wǎng)(就是黑暗網(wǎng)絡(luò )，又稱(chēng)深層網(wǎng)絡(luò )或隱形網(wǎng)絡(luò ))售賣(mài)，并喊出900萬(wàn)條用戶(hù)數據，售價(jià)40萬(wàn)人民幣。如果購買(mǎi)者對信息真實(shí)性質(zhì)疑，那么可以隨機抽取測試，此事對用戶(hù)造成了不小的影響。其實(shí)早在今年3月份，暗網(wǎng)論壇中就有人公開(kāi)出售AcFun的一手用戶(hù)數據，數量高達800萬(wàn)條，而價(jià)格僅為12000元，平均1元能買(mǎi)到800條。

為了挽回用戶(hù)，收購A站的快手第一時(shí)間表示，在技術(shù)和資金上全力支持A站提升安全能力，務(wù)必保證用戶(hù)的數據安全，避免類(lèi)似事件發(fā)生。隨后A站升級了系統安全等級，對AcFun服務(wù)器做了全面系統加固，實(shí)現技術(shù)架構和安全體系的升級，以確保以后不會(huì )出現如此嚴重的泄露事件。

5. 前程無(wú)憂(yōu)：195萬(wàn)條個(gè)人求職簡(jiǎn)歷泄露

2018年6月16日，有人在暗網(wǎng)開(kāi)始叫賣(mài)招聘網(wǎng)站前程無(wú)憂(yōu)(51job.com)用戶(hù)信息，其中涉及195萬(wàn)用戶(hù)求職簡(jiǎn)歷，隨后前程無(wú)憂(yōu)方面確認部分用戶(hù)賬戶(hù)密碼被撞庫。

為了證實(shí)泄露數據的真實(shí)性，前程無(wú)憂(yōu)方面還進(jìn)行了一定的測試，結果發(fā)現信息是真實(shí)可靠的，不過(guò)官方強調，數據中絕大部分來(lái)自于一些郵箱泄露的賬戶(hù)密碼，且都是在2013年之前注冊。對此前程無(wú)憂(yōu)強調，出現這樣的情況并非拖庫，而是惡意用戶(hù)通過(guò)這些已泄露的郵箱賬戶(hù)及密碼，對相應的站點(diǎn)進(jìn)行登錄匹配，然后蓄意倒賣(mài)。

最后，前程無(wú)憂(yōu)不愿意公開(kāi)具體涉及的是哪家郵箱服務(wù)商，只是表示是2013年注冊的用戶(hù)，及時(shí)修改自己的帳號密碼，同時(shí)他們也表示已經(jīng)升級數據庫的安全等級，防止類(lèi)似的情況再發(fā)生。

6. 圓通：10億條用戶(hù)信息數據被出售

2018年6月19日，一位ID為“f666666”的用戶(hù)公然在暗網(wǎng)上兜售圓通10億條快遞數據，這引發(fā)了外界的廣泛關(guān)注，按照賣(mài)家的說(shuō)法，這些數據是2014年下旬的數據，數據信息包括寄(收)件人姓名，電話(huà)，地址等信息，都是圓通內部人士批量出售而來(lái)(只要快遞單信息進(jìn)入電腦他們就可以獲取)。

隨后，有網(wǎng)友驗證了其中一部分數據，發(fā)現所購“單號”中，姓名、電話(huà)、住址等信息均屬實(shí)。對于這件事，圓通官方稱(chēng)正在展開(kāi)調查，但并沒(méi)有承認這些數據是不是從內部流出，只是表示，公司的技術(shù)部門(mén)通過(guò)多種技術(shù)手段預防信息外流，提高安全系數。

按照當時(shí)售價(jià)來(lái)說(shuō)，用戶(hù)只要花430元人民幣即可購買(mǎi)到100萬(wàn)條圓通快遞的個(gè)人用戶(hù)信息(10億條數據1比特幣)，而10億條數據則需要約43000元人民幣。能夠泄漏如此多用戶(hù)信息，且準確率這么高，外界普遍認為來(lái)源是圓通內部級別較高的工作人員。

按照刑法修正案(七)規定，出售、非法提供公民個(gè)人信息罪，處三年以下有期徒刑或者拘役，并處或者單處罰金，對于郵政企業(yè)、快遞企業(yè)來(lái)說(shuō)，除了要做好安全措施，同時(shí)還要健全管理制度，杜絕從公司內部泄露快遞單信息的舉動(dòng)。

7. 華住旗下多個(gè)連鎖酒店：2.4億入住記錄泄露

2018年8月28日，網(wǎng)上突然出現了華住旗下多個(gè)連鎖酒店入住信息數據售賣(mài)的行為，這引起了用戶(hù)的廣泛關(guān)注，畢竟數據涉及5億條的用戶(hù)個(gè)人信息及入住記錄，而這些泄密的數據中，包含的不少私密信息，比如身份證號、家庭住址、銀行卡號等等。

隨后，華住官方證實(shí)了這個(gè)旗下酒店用戶(hù)入住信息數據被販賣(mài)的行為，并希望售賣(mài)者立即停止這種行為，同時(shí)他們內部展開(kāi)核查，針對旗下國內超過(guò)370座城市的3700多家酒店，由此可見(jiàn)這次用戶(hù)數據泄露有多嚴重。

經(jīng)過(guò)排查泄露的用戶(hù)數據多達2.4億條(66.2G)，這是酒店入住的記錄，還有約1.3億條入住登記身份信息(共22.3G)和約1.23億條官網(wǎng)注冊資料(共53G)，而這些數據中把用戶(hù)的姓名、銀行卡號、手機號、郵箱、開(kāi)房人、家庭住址等等核心信息全部泄露出來(lái)。

對于華住酒店用戶(hù)入住信息被泄漏一事，安全人員分析后認為，是華住公司程序員將數據庫連接方式及密碼上傳到GitHub導致的，黑客利用這個(gè)漏洞，對華住酒店數據庫實(shí)施攻擊并拖庫。

8. 順豐：3億條用戶(hù)信息數據被出售

2018年8月底又是在暗網(wǎng)上，一個(gè)ID為“bijiaodiao1688”的用戶(hù)在公然售賣(mài)順豐快遞數據，其中牽扯到了3億用戶(hù)數據信息，售價(jià)是2個(gè)比特幣，而這些信息中包含了寄件人、收件人的姓名、地址、電話(huà)等，為了證明數據的準確性，購買(mǎi)者可以選擇先“驗貨”，驗貨數據量10萬(wàn)條，驗貨費用0.01個(gè)比特幣。

按照當時(shí)0.01個(gè)比特幣大約為66.66美元的行情來(lái)看，這3億用戶(hù)數據在當時(shí)價(jià)值是92000元，從當時(shí)的交易情況來(lái)看，至少有超過(guò)90萬(wàn)條的疑似順豐快遞用戶(hù)個(gè)人信息流向了市場(chǎng)。從一些匿名測試用戶(hù)反饋的數據來(lái)看，隨機抽選50個(gè)，準確率在90%以上，這真實(shí)性還是很?chē)樔说摹?

面對3億用戶(hù)數據泄露，順豐也是第一時(shí)間進(jìn)行了回應，其強調早在2018年7月份，他們就已經(jīng)關(guān)注到暗網(wǎng)用戶(hù)發(fā)布的相關(guān)信息，并獲識了相關(guān)數據，但經(jīng)過(guò)核實(shí)這些并不是順豐的數據，同時(shí)官方也否認了外泄數據來(lái)自順豐內部，至于泄露源頭來(lái)自哪里官方并沒(méi)有說(shuō)明。之前央視曾報道，2018年5月份有順豐員工故意泄露內部消息獲利事情。

至于最終這件事的結果是怎樣，順豐沒(méi)有及時(shí)通報，不過(guò)按照他們的表示，事情一出來(lái)的時(shí)，就第一時(shí)間向有關(guān)部門(mén)進(jìn)行了報案，要求徹查泄密者到底是誰(shuí)，泄密源到底出自哪里。

9. 萬(wàn)豪喜達屋：5億客戶(hù)的用戶(hù)信息泄露

跟華住一樣，知名連鎖酒店萬(wàn)豪也陷入了用戶(hù)數據被黑客盜取的情況。2018年11月30日，萬(wàn)豪對外發(fā)出公告稱(chēng)，旗下喜達屋酒店預訂系統2014年起遭網(wǎng)絡(luò )“黑客”入侵，泄露大約5億客戶(hù)的用戶(hù)信息。消息出來(lái)后，紐約大學(xué)教授卡普斯表示，萬(wàn)豪在過(guò)去4年時(shí)間里一直使用錯誤的安全系統，是出事的主因。

經(jīng)過(guò)復查后得知，萬(wàn)豪泄露的這5億用戶(hù)信息中，用戶(hù)的姓名、住址、電話(huà)號碼、電子郵件地址、護照號碼、信用卡等所有核心的信息統統被泄露出去，性質(zhì)十分惡劣。隨后，美國5個(gè)州的總檢察長(cháng)和英國信息專(zhuān)員對外表示，將徹底調查這件事，并讓萬(wàn)豪付出相應的懲罰。

有美國訴訟集團代表眾多消費者向萬(wàn)豪提起訴訟，索賠金額高達125億美元(僅相當于5億潛在被盜用戶(hù)中每人得到25美元的賠償)，之所以索賠如此多金額，主要還是萬(wàn)豪在過(guò)去4年中，對旗下系統安全性沒(méi)有及時(shí)跟進(jìn)，從而造成了如此惡意的用戶(hù)數據泄漏。目前他們仍然在評估這次泄漏事件帶來(lái)的影響，至于相應的賠償是否會(huì )跟進(jìn)，也并不清楚。

10.60萬(wàn)賬戶(hù)信息、410萬(wàn)聯(lián)系人的12306數據疑似泄露

12月28日當天，網(wǎng)傳“包括60萬(wàn)賬戶(hù)信息、410萬(wàn)聯(lián)系人的12306數據”疑似流出，其中包括“ID、手機號、明文密碼、姓名、身份證號、郵箱、問(wèn)題、答案”等內容，傳言在暗網(wǎng)售價(jià)20美元多條。

12月31日據北京市公安局網(wǎng)絡(luò )安全保衛總隊微博消息，北京警方破獲一起侵犯公民個(gè)人信息案，網(wǎng)上販賣(mài)470余萬(wàn)條疑似12306鐵路訂票網(wǎng)站用戶(hù)數據的犯罪嫌疑人陳某，已被刑拘。

經(jīng)訊問(wèn)，陳某供述60余萬(wàn)條用戶(hù)注冊信息，系其前期在網(wǎng)上非法購買(mǎi)所得，并非通過(guò)對12306官方網(wǎng)站技術(shù)入侵獲取。其余410余萬(wàn)條鐵路乘客信息，系其利用上述用戶(hù)注冊信息，通過(guò)第三方網(wǎng)絡(luò )訂票平臺非法獲取。