2015年普华永道全球信息安全性调查发现,在全球范围内,客户信息的安全事件数量上升了35%,中国大陆及香港则上升了64%,其中内部数据和“硬性”知识产权遭窃取的程度远远超过其他任何数据。惨遭攻击者黑手的不仅有美、英、日等国家的政府机构;甚至就连最恶名昭著的黑客团队(HackingTeam),也被同行痛下狠手、一举掳走大量私密数据。国内的安全形势同样不容乐观,数据泄露事件频发,政府系统也相继被曝出高危漏洞。
2018年5月,Verizon发布“数据泄露调查报告”(DBIR),对包括65个国家的数据泄露样本进行统计和分析结果如下:
安全事件:近一年内全球范围内共发生53,308次安全事件,2,216次数据泄露。
犯罪目的:76%的数据泄露事件以金钱为目的。勒索软件在恶意软件中居首,占比39%。
威胁来源:几乎四分之三(73%)的网络攻击来自外部人员,超过四分之一(28%)涉及内部人员的窃取,由于很难发现犯罪迹象,这部分内部泄露行为更加难以防范。
安全意识:有4%的人会点击网络钓鱼攻击;有68%的漏洞需要数月甚至更长时间才能发现。
过去的几年间,大型数据泄露事件层出不穷,这其中不免存在媒体聚焦度提升带来的舆论转移,但究其根本是社会各界对于数据资产安全的关注度与日俱增。从刚刚发生的Facebook 数据泄露事件看全球数据安全态势,AWS、德勤、网易、Equifax、京东、优酷、58同城等商业巨头纷纷中招,政府机构和组织也不能幸免,考生信息、公民医疗信息等民生数据泄露事件正在倒逼政府主管机构和企业对数据安全建设重视与落实。
通过对近年来国内外影响严重的部分数据泄露事件进行整理汇总,便于我们对目前国内外数据安全现状能有一个更为直观的了解:
分类 | 序号 | 事件名称 | 事件时间 | 泄露人员 | 泄露数据量或非法所得 |
国外 | 1 | Facebook数据泄露事件 | 2018年3月 | 共享第三方,剑桥分析公司,特朗普团队大选数据合作公司 | 5千万条 |
2 | 美国国家安全局泄露绝密数据 | 2017年11月 | 内部人员,存储服务器技术人员错误配置 | 100GB以上 | |
3 | 德勤数据泄漏 | 2017年10月 | 黑客,利用早先获得的管理员账号的黑客 | 500万条 | |
4 | Equifax信息泄漏事件 | 2017年9月 | 黑客,利用应用漏洞攻击的黑客 | 1.43亿条 | |
5 | 亚马逊AWS服务器存储文件泄漏 | 2017年8月 | 内部人员,Election Systems & Software公司 | 180万条 | |
6 | 共和党数据库泄露 | 2017年6月 | 合作方,受雇于共和党的一家网络数据供应商Deep Root Analytics | 2亿条 | |
7 | Dun & Bradstreet 数据库遭泄露 | 2017年3月 | 合作方,疑似以往出售给过数据的企业用户 | 52GB数据库遭到泄露,涉及千万美国军方企业信息 | |
8 | MongoDB再出安全事故 | 2016年10月 | 黑客,利用引擎软件发现敏感数据的黑客 | 5800万条 | |
9 | 美国班纳健康中心患者信息遭泄露 | 2016年7月 | 黑客,通过销售端系统入侵的黑客 | 370万条 | |
10 | ADP税务福利信息泄密 | 2016年5月 | 黑客,上次入侵获得用户数据的黑客 | 64万条 | |
11 | 英国信用卡数据外泄 | 2015年8月 | 黑客,直接入侵的黑客 | 240万条 | |
互联网 | 12 | 美国外卖信息泄露 | 2018年4月 | 身份不详,调查进行中 | 数十万条 |
13 | 58同城简历数据泄露事件 | 2017年3月 | 黑客,通过黑产软件 | 爬虫软件每小时可以采集千份用户数据 | |
14 | 京东数据泄露门 | 2016年12月 | 内部人员,2016年底入职京东的试用期的网络工程师郑某鹏,黑产团伙的重要成员 | 数千万条 | |
15 | 优酷数据泄露事件 | 2016年-2017年 | 黑客,长期持续撞库攻击的黑客 | 1亿条 | |
16 | 网易邮箱数据泄漏事件 | 2015年10月 | 黑客,疑似拖库黑客 | 5亿条 | |
17 | 腾讯QQ群数据库泄露 | 2013年11月 | 黑客,业务漏洞获取权限的黑客 | 7000万多个QQ群,12亿QQ号 | |
政府部门 | 18 | 南京公务员泄露居民信息 | 2018年1月 | 内部人员,副主任科员刘某 | 82万条 |
19 | 明星购房信息泄露 | 2016年3月 | 内部人员,青岛市不动产登记中心工作人员 | 明星购房信息 | |
20 | 国家旅游局安全事件 | 2015年 | 外部不法分子 | 6000万客户、6W+旅行社账号密码、百万导游信息 | |
21 | 12306网站用户信息外泄事件 | 2014年12月 | 黑客,撞库黑客 | 13万条 | |
22 | 车管所违章记录被篡改 | 2014年11月 | 合作开发方,公安车管系统软件供应商 | 1.4万条 | |
23 | 国家宏观经济数据泄露 | 2010年-2011年 | 内部人员,原国家统计局干部孙振、原中国人民银行干部伍超明、4名证券行业从业人员 | 多次泄露 | |
教育 | 24 | 学信网疑被拖库 | 2016年4月 | 黑客,疑似拖库黑客 | 35G(蓝点网) |
25 | 教育考试信息泄露 | 2016年8月 | 黑客,直接攻击的黑客 | 5万 | |
社保 | 26 | 篡改退休人员数据非法牟利 | 2010年-2011年 | 内部人员,某市社保局退管中心蔡某、市社保局信息中心陈某 | 非法所得280万 |
27 | 非法获得养老金 | 2005年-2008年 | 内部人员,外部勾结;某区社保事业管理处副主任王某、某银行电脑维护员向某 | 非法所得190.5万 | |
28 | 冒领他人社保 | 2005年-2009年 | 内部人员,某市社保局支付股股长胡某 | 非法所得99万 | |
医疗 | 29 | 疾控中心信息泄露 | 2016年7月 | 黑客 | 30个省的275例 |
30 | 上海新生儿信息外泄 | 2016年7月 | 离职人员,韩某原是上海疾控中心工作人员,张某原是黄浦区疾控中心工作人员 | 20万新生儿信息 | |
金融 | 31 | 湖南某银行信息泄露 | 2016年10月14日 | 内部人员,某农商支行行长夏某、中信银行员工戴某、韩某 | 50万余份公民个人征信报告 |
32 | 信诚人寿内控、信息安全均曝漏洞 | 2016年 | 黑客,意图牟利的不法分子 | 千万客户信息 | |
33 | 工行快捷支付被曝存在严重漏洞 | 2015年 | 黑客,截取短信验证码的犯罪分子 | 多起 | |
其他 | 34 | 博士黑客贩卖公民信息 | 2018年4月 | 内部人员,某国有大型科技公司数据库相关工作人员 | 500余万条,60G的容量 |
对上述事件分析发现,既有黑客的攻击,更有内部员工的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规操作等;究其原因,既有安全意识的薄弱,也有由于安全体系的老旧或安全策略的过时而导致的数据泄露。
这些复杂的泄露途径无一不在证明:传统网络安全中以抵御攻击为中心、以黑客为防御对象的策略和安全体系构建存在重大的安全缺陷,传统网络安全为中心需要向以数据为中心的安全策略转变
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号