数据是如何泄露?该如何制止?
数据泄露被熟知的主要原因是发生频率高,并且数据泄露事件一旦爆出,往往影响深远。5年前的一次数据泄露,可能会在今天突然爆发,导致用户的个人信息被公之于众。
一、数据泄露案例 国内,早期曝光的数据泄露事件主要从2011年底开始。2011年,有两起数据泄露事件影响了当时绝大部分的中国网民。 第一,天涯社区4000万用户资料泄露,泄露的数据里面包括天涯的用户名、密码、邮箱三个数据。其中大部分都可以直接登录到天涯社区; 第二,CSDN用户数据库泄露事件,高达600多万个明文的注册邮箱账号和密码遭到曝光,成为中国互联网历史上一次具有深远意义的网络安全事故。 据中国互联网信息中心报告统计2011年里的数据泄露事件,共累计影响了1亿用户。根据中国互联网信息中心的报道,2011年中国网民共计5.13亿。而当年的数据泄露影响了全国1/5的网民。 其他典型案例 华住集团数据泄露 2018年8月28日,网曝疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。卖家对这个约5亿条数据打包出售价格为8比特币或520门罗币。 深网视界(AI安防)泄露250万人的人脸数据 2019年2月,荷兰非盈利机构GDI基金会研究人员发现,位于深圳的人脸识别公司发生大规模数据泄露事件,超过250万用户的680多万条信息记录被泄露,泄露数据包括身份证信息、人脸识别图像、24小时内的位置记录等敏感信息。据悉,这家公司主营业务为面部识别技术和人群分析服务,此次泄露源为其面部识别数据库。 哔哩哔哩公司(B站) 后台源码泄露涉及多个用户密码 2019年4月22日,Github出现一个名为openbilibili/go-common的代码仓库引发网友热议,该仓库短短6小时已经获得了6K+的Star和6K+的Fork,泄漏的仓库压缩包大小足足有46MB,疑似是哔哩哔哩的业务系统源代码,其中包含了很多配置文件、密钥、密码等重要敏感信息。 Capital One银行数据泄漏事件 2019年7月,Capital One透露,黑客已经窃取了美国和加拿大约1.06亿信用卡申请人和客户的个人信息。这家总部位于弗吉尼亚州麦克莱恩的金融服务业巨头表示,此次事件涉及100万个加拿大客户社保号码、14万美国客户的社保号码以及80,000个关联银行帐户号码,黑客窃取了在2005年至2019年初期间申请Capital One信用卡的客户的姓名、地址、邮编、电话号码、电子邮件地址、出生日期和收入等信息。 二、数据泄露的方式 数据泄露可能是有针对性的攻击,也可能只是人为错误、安全漏洞或缺乏安全措施导致。具体有以下几种方式: 1.黑客入侵 据统计,黑客入侵是数据泄露的主要方式。 举个例子:黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,可以直接洗库变现,还可以再去B网站撞库。 拖库:本来是数据库领域的专用语,指从数据库中导出数据。而现在它被用来指网站遭到入侵后,黑客窃取数据库的行为。 洗库:黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。 社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。 2.内部外泄 就如顺丰内部人员将个人掌握的公司网站账号及密码出售他人,为了赚钱从内部泄露数据。也有可能是由于员工安全意识不足,失误将数据外泄。 3.主动出售 一些小公司为了自身利益会主动出售自己已有的用户数据,或者与同行交换。 4.爬虫获取 API接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,导致数据泄露。 三、个人信息泄露有哪些危害 1.垃圾短信源源不断:这已经是非常普遍的事,央视曾经连续两次在3.15晚会上将垃圾短信进行曝光。曾有事件,利用小区短信,可以基站作为发送中心,向基站覆盖区域内的移动用户发送短信,这一发短信系统每十分钟可以发送上万条。 2.骚扰电话接二连三:本来只有朋友、同学或亲戚知道的电话,会经常被陌生人打过来,有推销保险的,有推销装修的,有推销婴儿用品的。你可能还在纳闷他们怎么知道你的电话之时,孰不知你的信息早被卖过多少回了。 3.垃圾邮件铺天盖地:个人信息被泄露后,你的电子邮箱可能每天都会收到很多垃圾邮件,也是以推销为主,而且还是些乱七八糟且没有创意的广告。 4.冒名办卡透支欠款:有人通过买来你的个人信息,办个你的身份证,在网上骗取银行的信用,从银行办理出各种各样的信用卡,恶意透支消费,然后银行可能直接将欠费的催款单寄给了身份证的主人。 5.不法公司前来诈骗:有些不法公司知道了你的个人信息,编出来些耸人听闻的消息,甚至对你的哪个朋友、同学或亲戚知根知底,还能报出姓名与单位,在你心神不宁之时,可以做出错误判断,在慌乱中上了骗子的当。 6.个人名誉无端受毁:个人信息被泄露后,不法分子冒用你的名义所干的一切坏事都归到你的名下了,那怕最后费心周折得个清白,但再怎么说你的个人名誉还是受到了破坏,至少不会提高你的声誉。 四、防止数据泄露的一些对策 对于企业组织: 了解企业数据:以“信息”为核心部署安全防护技术,而非仅仅考虑以设备或数据中心等基础设施为核心的保护,了解敏感数据的存储位置及流向,以确定最佳的安全策略和流程。 重视员工教育:为员工提供信息安全指导,内容包括公司安全政策,以及针对个人设备和企业设备中敏感数据的保护措施。 部署强大的安全防御系统:加强安全基础设施的建设,部署包括数据泄露防护、网络安全、端点安全、加密、验证和信誉技术在内的必要安全防护解决方案。 对于消费者: 成为安全达人:密码是开启一切的钥匙。可以使用密码管理软件为您所登陆的每一个站点创建安全等级更高的密码,并及时将个人设备(包括智能手机)中的安全软件更新至最新版本。 时刻保持警惕:检查您的银行卡和信用卡账单是否存在异常情况,谨慎处理来路不明的意外邮件,谨记“天上掉下的馅饼”往往都是陷阱。 了解商家:对于那些要求您提供银行或个人信息的零售商或在线服务,最好在分享您的信息之前详细阅读其相关政策。
- 上一条: 公安网安部门发布违法收集公民个人信息十大APP案例 网络安全知识普及 5月22日 2020-07-22
- 下一条: 中华人民共和国网络安全法(全文) 2022-10-24
