2016年7月臭名昭著的暗网市场“真实交易”(TheRealDeal)里一位名叫 “和平”的卖家挂出了约2亿个雅虎账户和密码进行出售,雅虎数据泄露事件就此开始发酵。一年后,雅虎官方承认共有约30亿个账户受到2013年黑客攻击影响,而那次攻击导致泄露的数据,之后几年里一直在暗网里流传。
关于雅虎数据泄露的相关报道
截止目前,这仍是有史以来涉及用户数量最多的数据泄露事件。
数据泄露,应该是为数不多普通大众都有所耳闻的网络安全概念。它被熟知的主要原因是发生频率太高,并且数据泄露事件一旦爆出,往往影响深远。5年前的一次数据泄露,可能会在今天突然爆发,导致用户的个人信息被公之于众。
据我查找到的信息来看,最早有记录的数据泄露事件发生在2004年。2004年互联网服务公司“美国在线(AOL)”的一名软件工程师,利用自己职务便利黑入公司内部系统,窃取了9200万个****卖给了垃圾邮件服务商。当年全球互联网用户人数也仅有8亿而已,这一次人为的数据泄露覆盖量就占到了11%。
名为“美国在线员工因垃圾邮件被捕”的相关报道
在此之后,数据泄露事件开始爆发式的增长。
目光回到国内,早期曝光的数据泄露事件主要从2011年底开始。2011年,有两起数据泄露事件影响了当时绝大部分的中国网民。
第一,天涯社区4000万用户资料泄露,泄露的数据里面包括天涯的用户名、密码、邮箱三个数据。其中大部分都可以可直接登录到天涯社区;
第二,CSDN用户数据库泄露事件,高达600多万个明文的注册邮箱账号和密码遭到曝光,成为中国互联网历史上一次具有深远意义的网络安全事故。
2011年数据泄露事件表-图源澎湃新闻
据统计2011年里的数据泄露事件,共累计影响了1亿用户。我们再来看一个对比数据,根据中国互联网信息中心的报道,2011年中国网民共计5.13亿。
中国互联网信息中心报告截图
而当年的数据泄露影响了全国1/5的网民。
回到现在,2020年过去3个月,发生的数据泄露事件也不少。让我记忆最深刻的是前些日子安全公司 Keepnet Labs 泄露了一个包括50亿条已泄露记录的数据库。(是不是有许多问号?安全公司也会数据泄露…)
事件经过是有专家发现一个属于安全公司 Keepnet Labs 的未受保护的数据库,其中包含超过50亿条以前泄露的数据记录网络安全事件。泄露数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源。
随着互联网的快速发展,数据泄露也从互联网公司蔓延到一些传统行业。其中包括酒店、航空、快递等涉及大量用户私密信息的行业,而且涉及数据量都非常之大。2018年仅是一个华住酒店集团数据泄露事件,就涉及了5亿条客户隐私信息…
以目前的情况来看,数据泄露比你想象的更“贴近”你的生活。
数据泄露可能是有针对性的攻击,也可能只是人为错误、安全漏洞或缺乏安全措施导致。具体有以下几种方式:
据统计,黑客入侵是数据泄露的主要方式。
让我们来设想一个场景:黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,可以直接洗库变现,还可以再去B网站撞库。
纯手工绘图
是不是被里面的各种库绕晕了?别慌我们接着看。
拖库:本来是数据库领域的专用语,指从数据库中导出数据。而现在它被用来指网站遭到入侵后,黑客窃取数据库的行为。
洗库:黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。
社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。
撞库:很多人喜欢将不同网站的密码设置为同一个,一旦你在某个网络安全能力较弱的网站密码被黑客获取,黑客就可以用该密码循环测试其他网站,这种手段就叫“撞库”。
就如出售“美国在线”数据的那位软件工程师一样,为了赚钱从内部泄露数据。也有可能是由于员工安全意识不足,失误将数据外泄。
一些小公司为了自身利益会主动出售自己已有的用户数据,或者与同行交换。
API接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,导致数据泄露。
数据不仅是企业的核心财产,更是用户重要的隐私。现如今我们通过个人的努力去减少数据泄露带来的安全风险可谓是难上加难。太多的个人隐私被存储在了互联网中,谁知道它们会不会是下一个被泄露的。
企业有义务也更有能力去保护用户隐私不被侵犯。毕竟,能力越大,责任越大。
电影《蜘蛛侠》截图
例如企业的数据收集必须要符合法律法规的要求,保证数据收集是在一定的框架和允许的范围内进行,同时对于所收集的数据以及数据的真实用途要明确告知用户。
其次企业应对数据安全风险,要从技术层面和管理层面多方着手。
一方面在技术层面做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工作,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据。
另一方面,在管理层面则应该设立首席数据安全官来负责数据安全,要设立多个数据安全保护官,或者是多支团队保障数据安全。同时还要建立好攻防对抗的机制,通过攻防对抗真正的检验系统安全性,了解黑客的攻击方法和技术手段才能更好的保护企业安全。【来自FreeBuf.COM】
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...