2019年第一季度全球大规模数据泄露事件分析

随着网络化和数字化程度不断加深,大量涉及个人隐私、财产信息和行为轨迹的数据在互联网上存储和传输,保护数据安全的重要性不言而喻。然而,近年来,大规模数据泄露事件层出不穷,不断引发社会各界对网络安全的担忧。

为了解世界范围内数据泄露的总体态势,发现其特点和趋势,对2019年一季度发生在世界各地的50起大规模数据泄露事件进行了梳理和总结分析。

01 被泄漏数据类型

就数据泄露事件发生地区来看,排名首位的国家是美国,一季度共发生大规模泄露事件21起,远高于其他国家。

从被泄露的数据类型来看,泄露发生最多的是公民的身份信息,包括:姓名、地址、身份识别号码等。特别是航空、酒店等服务行业,因为其留存顾客的身份证号、护照号等个人识别信息,可以被用户进行不法交易,因而成为黑客攻击的重点目标。例如新加坡航空公司由于软件故障导致多名客户的信息泄露,损害了包括护照和航班细节在内的各项个人信息。

其次是用户账号数据。在互联网时代,人们为使用各种互联网服务而注册了大量的账号,这些账号所涉及的用户信息既可能是真实信息,也可能是虚构信息。获得这些账号不仅获得了用户访问权限,而且还可以用于“撞库”,可能会导致其他网站或应用的程序的账号相继被盗,影响甚广。例如3月21日,Facebook被爆约有2亿至6亿用户的密码以纯文本方式储存,这些文件被数千名Facebook 工程师或开发人员访问了约 900 万次。

再者是机密数据和敏感数据。这里指政府部门或企业掌握的不适宜公开传播的内部信息,包括国家秘密、商业秘密和内部文档等。这些数据的泄露轻则影响机构的声誉,重则直接造成经济损失甚至影响国家安全。例如1月4日,数百名德国政界人士,包括总理安格拉·默克尔的数据文件通过Twitter账户在网上传播,这些数据包括电子邮件、手机号码、地址、私人聊天对话、银行详细信息以及政党内部文件。

图1  2019 Q1被泄数据类型分布

02 泄露数据的来源

从数据泄露的来源来分析,大部分被泄露数据来自于互联网服务公司,共发生16起,涉及社交网站、在线招聘网站、数字营销公司、约会网站、电商网站等。例如,2、3月间出现在暗网上的8.7亿条网站用户账号信息据称全部来自38个热门网站,分4批次被出售。3月8日,电子邮件验证公司Verifications泄露了8.09亿条记录,其中包括姓名、电子邮件地址、电话号码、居住地址、性别、出生日期、个人抵押贷款金额、利率等信息。

位居第二的是公共服务机构,包括医疗机构、银行、天然气公司、电信运营商等,共有8起数据泄露事件发生。公共服务机构由于掌握大量居民的信息,因此也成为数据窃取的主要目标。例如,3月18日,由于第三方供应商的技术疏忽,导致新加坡卫生科学管理局(HSA)所掌握的808,201名献血者个人信息泄露,包含献血者的血型、身份证号码、体重和其他数据。

政府机构的数据泄露也较为严重,一季度共8起大规模数据事件发生。其中有4起都涉及到机密信息的泄露。例如,美国俄克拉荷马州政府服务器意外暴露3TB敏感数据,其中包括许多敏感的FBI调查文件。

图2  2019 Q1大规模数据泄露来源分布

03 数据泄露原因分析

安全管理不善是导致数据泄露的主要原因。本季度共有22起事件可以归结为管理不当,具体原因包括服务器配置不当、数据库未开启访问控制及内部窃取等。网络和系统越来越复杂导致企业在实施安全管理方面面临较大的能力差距,甚至连大的企业机构也无法幸免。例如1月14日发生的NASA因网络应用程序配置不当而导致的内部员工账户名、姓名、电子邮件地址和项目名称等详细信息泄露事件。此外,2月11日有报道称Facebook将超过1400万Instagram帐户的信息保存在一个不安全的数据库中。

漏洞是导致数据泄露的最重要的原因之一。本季度共发生14起黑客利用程序或系统漏洞窃取大规模数据的事件。例如,沙特智能电话本应用Dalil的数据库中存在一个重大的安全漏洞,导致500多万用户的完整数据集被泄露;儿童智能手表制造商Tech Sixty Four旗下的Gator系列儿童手表存在漏洞,暴露约3.5万名儿童的敏感数据,包括他们的实时位置、姓名、父母的详细信息等。

此外勒索软件、网络钓鱼等手段也是导致数据泄露的原因。

图3  2019 Q1大规模数据泄露原因分布

04 几点结论

(1)数据安全已到了非管不可的程度。“数据泄露”已经成为当下网络时代的一个无法抹去的注脚。人类社会从未经历过如此大规模数据“满天飞”的时代,动辄上百万甚至上亿批量的用户信息被泄露,下至亿万网民上至政府要员都也不能幸免。在享受数字化、网络化巨大红利的同时,如何保护数据安全成为了摆着各国政府、产业界和网民面前的巨大难题。尽管形势不容乐观,但采取行动更为紧迫,加快立法、加强监管是唯一可行的出路。

(2)漏洞无处不在,漏洞依然是网络安全心头大患。代码中隐藏着未被发现的漏洞,或者漏洞修复不及时,都可能会使数据安全防护处于失效状态。

(3)内部安全管理不完善以及能力不足不容忽视。部分企业甚至大型互联网企业内部,安全管理制度松懈或得不到有效执行,造成数据主动泄露。同时,具备足够的技术能力必不可少,例如正确配置服务器、采取必要的数据加密措施等,避免给黑客留下可乘之机。

(4)数据持有者应将保护用户数据安全放在更重要的位置上。大规模数据泄露如果得不到有效制止,不仅损害网民利益,而且会动摇社会安全根基。应从法律角度赋予数据持有者更大的保护义务,促使其采取更加完善有效的安全技术手段和管理措施。例如3月27日,美国议会提交《参议院网络安全保护法案》,意加大对参议员及其身边工作人员的个人手机和电脑的安全保护。

(5)应加大数据泄露事件执法力度。执法部门有必要加强网络技侦和取证技术手段,加大执法力度,对数据泄露的作案者和责任人依法采取惩处措施,改变数据泄露事件发生多、惩处少的现状。同时为个人因数据被泄露进行权益申诉提供更加高效、方便的渠道。

附:2019 Q1数据泄露事件TOP5

(1)黑客在暗网出售8.7亿条个人信息

今年2-3月份,Gnosticplayers在暗网分四轮出售从38个热门网站窃取的8.7亿条用户信息。第一轮出售了来自16个网站的6.2亿用户信息,第二轮出售了来自8个网站的1.27亿数据,第三轮出售了来自8个网站的9200万用户信息。第四轮出售2700万用户信息,共来自6个网站数据库。

(2)网络软件公司思杰大量敏感数据遭窃取

3月8日,网络软件公司思杰(Citrix Systems)对外表示,该公司发生数据泄露事故,黑客通过侵入多个员工账号获得内网权限,窃取了6-10TB的敏感数据,包括电子邮件、网络共享文件,以及项目管理和采购相关文档等。FBI表示黑客可能使用了一种名为“密码喷雾”(Password Spraying)的密码破解技术。

(3)MEGA上出现7.73亿份邮箱地址和2200万个密码

1月16日,安全研究专家特洛伊·亨特(Troy Hunt)在博客中称,在云存储服务平台MEGA上,被黑客公开了窃取的7.73亿个电子邮件地址和近2200万个密码。这些文件一共超过1.2万份,数据超过87GB。

(4)Facebook被爆内部2万员工可随意访问数亿用户密码

3月21日,外媒报道,约有2亿至6亿Facebook用户的密码以纯文本方式储存。这些包含纯文本用户密码的数据元素被数千名Facebook 工程师或开发人员访问了约 900 万次,而且这些数据还能被2万多名Facebook员工搜索到。

(5)IT安全和云数据巨头Rubrik数据库泄露

1月29日,因服务器出现安全漏洞,IT安全和云数据管理巨头Rubrik的数据库遭到泄露,该数据库存储了数十GB的数据,包括每个客户的姓名和联系方式等。