什麽是数据泄露?
定义数据泄露:一种造成意外、非法数据损毁、丢失、修改,未经授权的披露或访问受保护的数据传输、存储等数据处理过程的安全问题。
一起数据泄露事件可能包含多起事故或疏忽:数据存放装置的丢失或失窃、敏感性数据被上传至网路、设备未使用合适的资讯安全保护措施即连接至网路、使用个人或未加密的组织邮箱传输不适宜公开的资讯或采购了植入恶意程式或硬体的设备。
数据泄露真的不重要吗?
网路安全和数据安全一向是国家安全的重要组成,但由於许多人不重视网路中的安全威胁,所以往往会出现一个小漏洞就导致了大规模的数据泄露。这对於个人、商业组织,甚至是政府组织,数据泄露的影响也是长远而巨大的。
数据泄露并不像你所想的那麽简单,一旦发生,它们就有可能改变你的生活轨迹。
即便如此,当今世界上多数国家对大数据的隐私数据的安全管理还缺乏明确的法规。许多数据资源的开发和使用者经常因为没有法律限制,随意对使用者数据进行采集、存储、共用和销售等,也就给数据泄露提供了源头。
2020 – 2021 年,“数据泄露”类的新闻层出不穷。我们梳理了全球各地发生的重大数据泄露事件,这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。
截至 2021 年 9 月 30 日的数据泄露事件数量比 2020 年的事件总数高出 17%,2021 年发生了 1,291 起泄露事件,而 2020 年发生了 1,108 起泄露事件。
数据泄露是如何发生的?
外部骇客不是数据泄露的唯一原因,它也很容易由个人的简单疏忽或公司基础设施的缺陷造成。以下是数据泄露的发生方式:
数据泄露事件
1. 5 亿 Facebook 使用者个人数据遭到泄露
2021 年 4 月,“脸书”被曝有超 5.3 亿使用者的数据遭泄露,公开的数据包括来自 106 个国家和地区的超过 5.33 亿 Facebook 使用者的个人资讯,其中包括超过 3200 万条美国使用者记录,1100 万条英国使用者记录和 600 万条印度使用者记录。官方表示数据是在 2019 年 9 月之前於‘脸书’平台上抓取而来的资讯。
2. 印度 800 万核酸检测结果泄露
2021 年 3 月,安全研究人员 Sourajeet Majumder 发现一个印度政府网站泄露了大约 800 万核酸检测结果。报告中含有姓名、年龄、婚姻状况、检测时间、居住位址等敏感个人资讯。
3. 六所美国高校数据遭泄露
2021 年 4 月,斯坦福大学官方发布了一则公告。文中证实:骇客 – Cl0p 组织利用学校的协力厂商传输系统存在的漏洞窃取资讯,导致学生数据泄漏。声称可访问斯坦福大学等六所美国顶尖高校的学生和教职员工的相片、 出生日期、 住家位址、 护照号码、 移民身份 、个人名字、 社会安全号码。
这些大学包括:叶史瓦大学 、斯坦福大学、 迈阿密大学、 马里兰大学、 科罗拉多大学博尔德分校、 加州大学默塞德分校。
4. 以色列泄露 650 万选民资讯
以色列大选前数小时,650 万公民的个人身份与选举登记资讯遭到大规模外泄。此次外泄的数据包括登记选民的住址、电话号码和出生日期。值得注意的是,这与 2020 年的一起数据泄露事件极为相似。
5. 巴西发生重大数据泄露事件:几乎所有巴西人受波及
2021 年一月,巴西的一个数据库发生了一起重大泄密事件,数百万人的 CPF 号码及其他机密资讯可能遭到了泄露。泄露的数据包含有 1.04 亿辆汽车和约 4000 万家公司的详细资讯,受影响的人员数量可能有 2.2 亿,其中包括公民、政府官员甚至总统博索纳罗的个人数据。。
6. 英国一大型整容医院泄露近 1TB 病人照片
有骇客窃取了英国大型整容连锁店– Hospital Group 超过 900G 的数据并威胁要公布患者手术前後的照片和其他细节。目前没有明确声明勒索金额。
7. 日产公司近 20GB 原始程式码遭到泄露
从去年本田遭遇勒索软体攻击、宾士数据泄露、伊始川崎重工和日产公司又接连曝出数据泄露事故。2021 年 1 月,日产北美公司一台配置错误(使用了预设的管理员用户名密码组合:admin/admin)的伺服器的资讯在 Telegram 频道和骇客论坛上泄露。
8. 纽西兰央行大量敏感性数据泄露
纽西兰中央银行於 2021 年一月表示,该行的一个数据系统已被一名身份不明的骇客入侵,该骇客有可能已经获取商业和个人敏感资讯。遭到非法访问的是纽西兰储备银行用於共用及存储敏感资讯的协力厂商档共用服务。
9. 7700 万 Nitro PDF 使用者数据库泄露
2021 年 1 月,骇客免费公开 14GB 泄露数据,包含超过 7700 万条 Nitro PDF 使用者记录数据库,有电子邮寄地址、用户名,密码,公司名称、IP 位址以及其他与系统相关的资讯。
10.数据泄露导致美国石油公司瘫痪
骇客组织 DarkSide 对美国最大燃油管道 Colonial Pipeline 进行了毁灭性的网路攻击,导致该公司被迫关闭了美国大约 5500 英里的管道,从而使美国东南部各州的天然气输送系统陷入瘫痪。该组织从 47 名受害者那里获得了至少价值 9000 万美元的比特币赎金。
11.数据分析公司 Polecat 近 30TB 业务数据被破坏
Polecat 是英国着名的数据分析公司,专注於提供 ESG(环境、社会、治理)管理方案。其使用的一台不安全的 Elasticsearch 伺服器将接近 30 TB 的数据泄露至公开网路,伺服器本身未受任何身份验证或其他加密形式的保护。该伺服器中存放有员工用户名与密码、超过 65 亿条推文、收集来自各个网站及博客的超过 10 亿篇帖子以及社交媒体记录。
12. 疑似超 2 亿国内已泄漏使用者资讯在国外暗网论坛兜售
国外安全研究团队 Cyble 发现多个帖子正在出售与中国公民有关的个人数据。经分析,这些数据很可能来自微博、QQ 等多个社交媒体,其中还发现了湖北省“公安县”999 名中国公民的户口登记样本数据。并表示共有 730 万中国公民的数据可供出售,包括身份证,性别,姓名,出生日期,手机号,位址和邮编等记录。
总结
人们对数字安全的需求越来越迫切,那用户该如何保护自己免受数据泄露?
企业和个人对数据进行加密是非常有必要的,使用 VPN 就是一个很好的选择。VPN 可以为企业创建一个私人网路络,在这个网路里,数据传输、储存和备份都会经过加密处理,任何外部人员均无法进入这个网路,因此可以保证企业数据的安全,不过一定要避免使用免费 VPN。
以下是一些保护数据的提示,尽管这些操作本身并不能保证数据安全:
