解读九大知名数据泄漏事件

2024-10-31

不可否认，任何公司一旦遭遇了数据泄露事件，都会涉及到公司形象、财务营收、市场份额、以及用户信任等方面的巨大损失。实际上，一些重大的安全事故，往往是由多个不同安全级别的细微漏洞，叠加与累积而成。而且不幸的是，就算世界上的那些知名大公司，也无法独善其身。在本文中，我将为您选择和解读业界九大知名数据泄漏与网络安全事件，以方便贵企业“有则改之，无则加勉”。

1. Clearview AI

Clearview AI是一家颇具争议的创业公司，它直接收集了数十亿张公开、可用的照片，为其面部识别平台提供素材。2020年2月，入侵者在发现了其平台漏洞后，获取了该公司的客户列表访问权限。尽管与下面将要提到的其他数据泄露事件相比，该公司泄漏的2200名客户名单的体量虽小，但是BuzzFeed新闻发现，Clearview AI的客户群中包括了百思买等大型零售商，而其个人签约客户遍及全球27个国家。因此，执法机构仍予以了处罚。事后，该公司对受攻击的系统，以及相关漏洞进行了及时修补。

2. First American Financial Corporation

First American Financial Corporation(第一美国金融公司)是美国《财富》500强中的一家大型房地产业保险公司。由于房地产交易的性质，First American Financial在其网站存放的文档中，包括有驾驶执照、电汇交易、社会安全号码、以及银行帐户等大量高度敏感的信息。

由于该网站不需要任何身份验证，即可查看到相关数据，因此知晓其文档URL的人，完全可以通过简单地更改链接中的数字部分，以跳转访问其他文档。自2003年以来，攻击者通过该漏洞，已成功访问了超过8.85亿条敏感数据记录。

2019年5月，一名房产业开发人员Ben Shoval发现了该问题。由于无法得到该公司的回应，他向KrebsOnSecurity寻求帮助。First American Financial随后禁用了该文档网站，并解决了设计上的缺陷。

3. Facebook

众所周知，Facebook经历了数轮数据泄露。在此，我们重点关注由第三方Facebook应用所引发的一系列事件。

传媒组织Culture Colectiva有一个可供公共访问的Amazon S3 bucket，它能够访问包括Facebook ID、用户名、以及社交媒体活动(如评论)在内的各种信息。不过，在最近的一次大规模泄露事件中，它们暴露了146 GB体量的5.4亿条数据记录。

另一个同类数据泄露事件是：一款名为“At the Pool”的应用，暴露了22,000名用户的用户名、密码、以及其他登录信息。该应用也是依靠可被公开访问的Amazon S3 Bucket来备份数据，而且其存储区中的数据是以纯文本的形式存储的。除了用户在该应用已注册的详细信息，该数据库还包含了Facebook的用户ID、偏好、兴趣、组别、以及其他社交活动。

Culture Colectiva的反应比较滞后，他们花了四个月的时间，对S3 Bucket进行了安全加固。而“At the Pool”则能够赶在任何安全组织发布警告之前，悄悄地解决了其漏洞。

4. MongoDB数据库

2019年5月，由于缺乏保护，MongoDB公司拥有的那些未指定所有者的数据库，曾泄漏了超过十亿条数据记录。来自Security Discovery的研究员--Bob Diachenko率先发现了其中的一个包含有超2.75亿条记录的数据库。这些数据主要涉及到印度公民的姓名、电子邮件、工作经历、出生日期、以及各种专业化的详细信息。由于MongoDB的这些数据库采用的是Amazon AWS托管模式，因此该状态持续了两个多星期之久。黑客组织Unistellar在发现后，立即攻击了该数据库，并删除了相关记录。

通过持续调查，Diachenko相继发现了另外四个具有大规模数据泄漏威胁的MongoDB数据库。这些数据库里存有超过8.08亿封电子邮件、2亿份履历、以及7700万条个人信息记录。由于数据库管理员(而不是技术本身)的失误，导致了这些MongoDB实例未被设置密码，也没能通过保护性的配置选项，来阻止此类攻击行为。可见，遵从数据库管理的相关最佳实践，对于数据的安全性来说是至关重要的。

5. Equifax

Equifax是世界领先的消费者信用报告机构之一，它收集了数百万美国公民和企业的敏感信息。在2017年9月的一次数据泄露事件中，有近半数的美国公民、以及部分加拿大与英国公民的记录被窃取。具体内容涉及到社会安全号码、驾驶执照号码、信用卡号码、地址、以及其他个人信息等。美国国会、联邦贸易委员会、SEC等部门联合对此次攻击展开了调查。据悉，黑客通过使用Apache Struts CVE-2017-5638漏洞，持续近两个月访问了Equifax的信用纠纷应用。虽然该漏洞已在Equifax的前一轮黑客攻击后以补丁的形式被修复，但是该公司未能加固所有的应用系统。

值得一提的是，此类数据泄露的后果对于消费者来说是非常严重的。他们不但可能由此失去工作机会，而且无法使用贷款产品和信用卡，他们的信用报告上甚至出现负评分。消费者只有通过冻结信用报告，并主动监视其信用的变化情况，来发现任何盗用行为的发生。

6. Capital One

作为最大的信用卡发行商之一，Capital One记录着1.06亿客户的违约记录。不过2019年7月，其前软件工程师Paige Thompson使用她的AWS专业知识，利用错配的应用级防火墙，成功地访问了Capital One的一台服务器。该服务器上包含了来自信用卡应用的、大量美国和加拿大客户的社会保险号码、银行帐号、信用评分、以及个人信息等。这些数据横跨了十多年的信息记录，可谓极具价值。

Paige曾在GitHub、Twitter和Slack等多处发帖，详细说明了她如何获取服务器的访问权限。虽然尚不清楚她在各处分发社会保险号码和个人信息的真实动机，但是，她最终承认了其利用Capital One漏洞盗取信息的事实，并因此被捕。

7. US Office of Personnel Management

2015年，US Office of Personnel Management(OPM，美国人事管理办公室)服务器上的2000万个人数据遭遇盗窃。

尽管与其他大规模泄漏相比，此次暴露的记录数较少，但是就数据内容的重要性而言，实属严重事件。其中，泄漏的文件主要是那些用于向联邦政府取得安全许可的SF-86表格，里面包含了大量诸如申请人指纹等敏感信息。

OPM的IT部门早在2014年3月就发现了一些异常迹象。但是，由于无法确定攻击者是如何闯入系统的，以及有谁参与了，因此他们只能持续监视黑客的活动。不幸的是，此法适得其反。攻击者迅速建立了即使系统被重置，仍然存在的后门。从2013年11月到2015年4月间，攻击对于数据的窃取蔓延到了内政部的服务器上。

这次攻击事件所造成的影响包括：国会调查、工会诉讼、以及OPM领导层的引咎辞职等。中情局最终认定：缺少双因素身份验证，是此次漏洞攻击的罪魁祸首。

8. Uber

2016年，一个由两名黑客组成的团队对Uber进行了攻击。他们通过获得一台包含了Uber用户数据的第三方服务器的权限，导致Uber泄露了5700万条客户和驾驶员的记录，其中包括60万份驾驶执照。

值得注意的是，Uber的前首席安全官居然选择通过本组织的漏洞赏金计划，向黑客支付了10万美元的赎金。据称，他还阻碍了联邦贸易委员会的调查，以掩盖其违规行为。目前，他被指控阻碍调查，并正在接受审理。

9. Yahoo

Yahoo在2013年发生的数据泄漏事件，因其暴露的记录体量而让人记忆犹新。该公司的300万账号数据是此次攻击的重灾区，其中包括生日、姓名、以及电子邮件地址等经过哈希处理的信息。Yahoo直到2016年才公开了其漏洞，而直到2017年才公布了其受到影响的用户范围。Yahoo认为，一家有国家资助的黑客通过既有数据创建了Web Cookie。据此，他们无需密码，即可访问用户的账号。在攻击发生的两年后，直至部分数据在暗网上被兜售，Yahoo才发现到该事件。