在網絡安全領域,數據泄露堪稱2019年最引人關注的話題之一。 小到公民個人,大到企業、政府乃至國家,都陷入了數據泄露事件。
2019年,數據泄露事件層出不窮,影響深遠,涉及金融保險、教育、醫療、科技和政府等行業。並且,受數據泄露影響的用戶範圍廣泛,類型多樣,既有網站註冊用戶、大學員工、醫療患者,也有艾滋病感染者、警察、孕婦等。
最近一兩年,數據泄露事件愈加頻繁,受影響用戶不斷擴大,少則數千萬,多達數億乃至十幾億。當筆者撰寫此文時,一個Elasticsearch數據庫泄露,包括27億個電子郵件地址,其中10億個密碼是以簡單的明文存儲,涉及國內多家互聯網公司。
根據IBM的數據泄露年度研究,如果將通知成本、調查、損失控制和修復的相關費用,以及監管部門罰款和訴訟考慮在內,那麼數據泄露的平均成本高達392萬美元。比如,2018年鬧得沸沸揚揚的Facebook數據泄露一事,Facebook2019年以50億美元與美國FTC和解。對於上市公司,數據泄露一旦公開,可能導致涉事公司平均股價應聲下跌7.27%,而股價低迷在隨後幾年將成爲現實。據FireEye估計,面對網絡攻擊或數據泄露,只有不到一半的組織已經做好了準備。
因此,我們盤點2019年最大的10起數據泄露事件,試圖得到一些更深的認識。
TOP1:Elasticsearch 27億數據泄露
報道時間:12月4日
大致情況:
12月4日,國外網絡安全研究人員發現一個Elasticsearch數據庫泄露,包括27億個電子郵件地址,其中10億個密碼都是以簡單的明文存儲。據悉,大多數被盜郵件域名來自中國郵件提供商,涵蓋騰訊、新浪、搜狐和網易等。另外,雅虎、Gmail以及一些俄羅斯的郵件域名也受到影響。
數據類型:電子郵件地址、密碼等
泄露原因:未知
後續:12月9日,該數據庫被禁止訪問
TOP2:Verifications.io 9.8億數據泄露
報道時間:3月7日
大致情況:3月7日,Security Discovery 安全研究人員 Bob Diachenko披露一個可公開訪問的MongoDB 數據庫,包含982864972條記錄。據悉,這些記錄包含7.98 億的電子郵件記錄、超過 400 萬備註了電話號碼的 E-mail 地址、以及超過 600 萬條被識別爲‘商業線索’的信息。
數據類型:姓名、地址、電子郵件地址、出生日期、電話號碼、傳真號碼、性別、IP地址、郵政編碼
泄露原因:數據庫配置錯誤而暴露於網上
後續:網站脫機,公司稱已對數據庫做好保護
TOP3:First American Financial Corporation 8.85億數據泄露
報道時間:5月24日
大致情況:
5月24日,獨立安全記者Brian Krebs透露,美國房地產和產權保險巨頭First American 8.85億份敏感客戶財務記錄被泄露。據悉,這些記錄可以追溯到2003年,而且任何人都可以進行訪問。Krebs稱攻擊者如果知道該公司文檔的url格式,就可以通過輸入以 “000000075” 開頭的任何記錄號,調出相關客戶材料。
數據類型:姓名、社會安全號碼、電話號碼、電子郵件、地址、駕照、銀行賬號和對賬單、抵押貸款和稅務文件,以及電匯收據
泄露原因:IDOR漏洞
後續:公司關閉網站,禁止外部對該應用程序的訪問,內部進行審查
TOP4:16家國外網站6.2億用戶數據泄露
報道時間:2月13日
大致情況:
2月13日,據國外媒體The Register獨家披露,一個名爲Dream Market的暗網市場正在出售6.2億用戶信息,交易通過比特幣轉賬,打包售價不高於2萬美元。該賣家宣稱這些數據來自16個被攻擊的網站:
Dubsmash(1.62億)、MyFitnessPal(1.51億)、MyHeritage(9200萬)、ShareThis(4100萬)、HauteLook(2800萬)、Animoto(2500萬)、EyeEm(2200萬),8fit(2000萬)、Whitepages(1800萬)、Fotolog(1600萬)、500px(1500萬)、Armor Games(1100萬)、BookMate(800萬)、CoffeeMeetsBagel(600萬)、Artsy(100萬)和DataCamp(70萬)。
數據類型:賬戶持有人姓名、電子郵件地址、位置、密碼、社交媒體身份驗證信息等
泄露原因:黑客攻擊
後續:在暗網被販賣
TOP5:Cultura Colectiva 5.4億數據泄露
報道時間:4月3日
大致情況:
4月3日,有安全人員發現兩個 Facebook 集成應用的數據集,這些應用不受保護地在 Amazon S3 服務器上存儲。其中一個應用來自名爲 Cultura Colectiva 的墨西哥公司,該公司存儲了 146 GB 大小的用戶數據,總計超過 5.4 億條記錄。研究人員通知了 Cultura Colectiva 和亞馬遜網絡服務部門,讓他們知道數據公開曝光這件事。第一封電子郵件通知在今年 1 月 10 日發出,然而直到4月份,數據庫纔得到保障。
數據類型:Facebook用戶ID、賬戶名、評論和喜歡的內容
泄露原因:數據庫配置錯誤
後續:數據庫得到很快保護
TOP6:2.75億印度公民個人信息泄露
報道時間:5月1日
大致情況:
5月1日,據外媒Security Discovery報道,他們發現一個未經保護和公開索引的MongoDB數據庫,其中包括275265298條印度公民個人信息記錄。這個數據庫本身託管在亞馬遜AWS上,沒有泄露源或從屬關係的標籤,反向DNS也沒有顯示任何結果。
數據類型:印度公民姓名、電子郵件地址、性別、出生日期、電話號碼、教育詳細信息、就業詳細信息(工資、專業技能、僱主歷史記錄等)
泄露原因:黑客竊取
後續:外媒反饋給印度CERT團隊
TOP7:Zynga2.18億遊戲玩家數據泄露
報道時間:10月1日
大致情況:
一名巴基斯坦黑客聲稱聲稱入侵移動社交遊戲公司Zynga。這位黑客設法突破由Zynga開發的流行字謎遊戲“Words with Friends”,並未經授權訪問超過2.18億用戶的龐大數據庫。數據泄露影響所有今年9月2日及之前註冊遊戲的安卓和iOS遊戲玩家。此事被披露後,Zynga承認數據泄露。
據悉,Zynga市值超過50億美元,是全球最成功的社交遊戲開發商之一,擁有超過10億美元的熱門在線遊戲集合,包括FarmVille、Words With Friends、Zynga Poker、Mafia Wars和CaféWorld等。
數據類型:姓名、電子郵件地址、登錄ID、密碼、密碼重置令牌(如果有)、電話號碼(如果有)、Facebook ID(如果已連接)、Zynga帳戶ID
泄露原因:黑客入侵
後續:該公司與執法部門聯繫,並採取措施保護用戶賬戶
TOP8:2.02億中國求職者個人信息泄露
報道時間:1月10日
大致情況:
1月10日,HackenProof安全研究員Bob Diachenko發現,MongoDB數據庫中有超過2.02億中國求職者的詳細簡歷信息已在網上被公佈,疑似第三方應用泄露。經一位Twitter用戶查證,已被刪除的應用主要來源之一是bj.58.com。據悉,這份數據庫存儲的2.02億簡歷中包含202730434 條記錄,信息非常詳細,總計854GB。
數據類型:求職者姓名、身高、體重、地址、出生日期、電話號碼、電子郵件地址、政治傾向、技能、工作經歷、工資預期、婚姻狀況、駕駛執照號碼、專業經驗和職業期望
泄露原因:數據庫配置錯誤
後續:事件披露後不久,該數據庫被加入保護機制
TOP9:Dubsmash 1.62億用戶數據泄露
報道時間:2月12日
大致情況:
2月13日,據Register報道,有近6.17億個在線賬戶的詳細信息在暗網上出售,這些賬戶是黑客從16個網站上竊取的。其中,數據泄露最多的是Dubsmash,有1.62億賬戶信息被泄露。
據悉,Dubsmash 公司創立於 2014 年,在其應用程序上,用戶可以進行對嘴型表演,題材覆蓋了卡通動畫以及電影和廣告短片等,短片錄製完成後,可以分享給他人。
數據類型:用戶姓名、ID、電子郵件地址、用戶名、密碼等
泄露原因:黑客竊取
後續:數據被黑客出售
TOP10:Canva 1.39億用戶數據泄露
報道時間:5月24日
大致情況:
5月24日,一名自稱GnosticPlayers 的黑客聲稱竊取了澳大利亞網站 Canva 的 1.39 億用戶數據。據悉,黑客竊取的數據包括用戶姓名、用戶名、電子郵件地址、城市國家信息,其中 6100 萬用戶的哈希密碼,其他用戶的信息還有用於登陸的 Google 令牌。有 7800 萬用戶使用了 Gmail 地址。Canva 證實它的數據庫遭到非法訪問,表示尚未發現賬號被入侵,出於謹慎考慮它已經鼓勵用戶更改密碼。
Canva 是一個非常受歡迎的平面設計服務,在Alexa 排名200 以內。
數據類型:姓名、用戶名、電子郵件地址、位置信息等
泄露原因:黑客竊取
後續:公司通知用戶更改密碼
截至筆者撰寫此文,上述是2019年TOP 10數據泄露事件。它們有兩大特點:一是泄露數據驚人,動輒億級,且受影響用戶數巨大。更誇張的是,甚至有幾十億的數據泄露。
二是泄露數據內容詳細,維度多,顆粒度細。以2.02億中國求職者個人信息泄露爲例,泄露數據維度有15種,幾乎包含了其他人想知道的“所有信息”。如果這些信息被不法分子所利用,可以生出“無窮禍患”。
當然,這10起數據泄露雖然被視爲“TOP 10”,但是過少的數據泄露事件無法揭示更多信息。因此,筆者進一步統計了2019年媒體公開報道的數據泄露事件(注:因個人收集渠道有限,難免有遺漏,歡迎讀者補充)
2019年,筆者從公開渠道統計出數據泄露事件一共有43件,如下表:
數據泄露統計
數據泄露原因
(注:在這裏爲方便統計,將黑客入侵和黑客竊取統一歸爲黑客行爲)
這43起數據泄露事件,泄露原因多種多樣,既有黑客行爲造成,比如黑客入侵,又有數據庫配置錯誤、網站漏洞、非授權訪問以及“內鬼”等諸多原因。
泄露原因佔比
從統計的泄露原因中,我們發現:42起數據泄露,黑客入侵和竊取有14起,佔比超過三分之一;其次是公開數據庫,這往往是一些數據庫,未加保護而暴露於互聯網上。因公開數據庫造成數據泄露的事件有7起,達到16%。第三則是非授權訪問和數據庫配置錯誤。
以數據庫配置錯誤爲例,根據《2019 年雲安全報告》顯示,大約有 40% 的組織表示,雲平臺配置不當是他們最擔心的網絡安全問題。一位名叫Ericka Chickowski的人寫道,“對互聯網服務(Internet-as-a-service,IaaS)的依賴和對雲數據存儲的錯誤配置,是導致當下一些最具破壞性的雲入侵和數據泄露的主要原因。無論是錯誤地關閉雲提供商標準化的默認安全設置,還是使用默認密碼,或者對某些服務允許不受限制的訪問,以及其他種種原因,錯誤配置問題都會帶來大量隱藏風險。“
值得注意的是,我們發現“內鬼”所爲同樣是某些數據泄露的原因。爲利益驅使,組織內部人員會私自盜竊數據,造成數據泄露,智聯招聘、趨勢科技、加拿大Desjardins信用合作社和俄羅斯Sberbank就是例子。
因此,我們尤其需要注意這六大數據泄露原因:黑客、公開數據庫、非授權訪問、數據庫配置錯誤、“內鬼”和網站漏洞。
其次,我們試圖觀察哪些行業更容易發生數據泄露。
在所有的數據泄露事件中,科技行業數據泄露事件最多,佔比爲37%,相當驚人。衆所周知,科技行業是信息化、數字化程度最高的行業,善於利用數據,發揮數據價值,因此其擁有的數據更完善、顆粒度更細、價值更大。
其次是政府機構,數據泄露佔比排名第二,爲16%。作爲管理機構,政府會收集大量的社會經濟和公民各種信息。因此,其數據價值巨大。
然後是金融和醫療,佔比分別是14%和9%。金融業是錢之彙集地和流通地,其手中的數據自然價值極大。並且與普通行業相比,金融業的數據“更值錢”。可以說,金融業一直是數據泄露的“常客”。在全部6起與金融相關的數據泄露事件中,黑客竊取和“內鬼”所爲是主要原因,此外還有安全漏洞。
醫療行業與每個人息息相關。醫療機構往往會建立病人信息檔案,比如病歷等,這些信息不僅包括基本的個人信息,而且還有關於病人身體狀況的詳情,這些數據價值意義重大。據悉,黑市對健康數據的需求已經使醫院成爲攻擊者的首選目標。這些攻擊者或內部人員可能利用醫院信息系統中的內部漏洞。
如果從時間上看,2019年,數據泄露有兩個高峯期,一是4月,有6起媒體報道的數據泄露事件;二是9月和10月,同樣有6起。(不過,需要說明的是,有大量的數據泄露事件未知或者沒有被媒體報道。)
此外,數據泄露不分國家,43起數據泄露涉及全球16個國家,包括美國、英國、中國、澳大利亞、印度、厄瓜多爾等等。
然而,需要說明的是,互聯網上有大量的數據泄露事件“未知”或沒有被媒體報道。筆者統計出的43起數據泄露,僅僅是冰山一角。
數據泄露冰山理論
對於數據泄露,啓明星辰一位數據安全專家表示,“數據丟失和個人信息泄露事件頻發,黑灰產造成的內部惡意數據泄露事件不斷出現,社會熱點事件層出不窮。這些都與數據的屬性從內部資產向價值資源的轉變有關。”
如今,數據的高價值資源屬性讓數據泄露帶來的損失不斷升級,同時也帶來非常不好的社會影響,甚至危害國家安全。
知道創宇CTO兼COO楊冀龍在筆者的一次採訪中,談到數據泄露時說,“數據泄露是個20年的老話題了,還是很難(防止數據泄露)。現在,國家出臺相關法律法規,(情況)好多了,比如等級保護法有要求,而有公民隱私數據的企業必須過等保安檢。“
並且,現在“兩高”司法已經有解釋: 泄露用戶通信內容五百條即可入罪。
無疑,法律法規的頒佈施行有利於遏制數據泄露的頻頻發生。
對企業或組織機構而言,數據泄露採取積極主動的態度,避免數據泄露事件發生。那企業和組織機構可以採取哪些措施防止數據泄露?
啓明星辰數據安全專家給出了3條建議:
1.完善數據安全防護手段
當前,企業對數據安全主要採取防範計算機病毒、網絡攻擊、網絡侵入的網絡邊界防護和終端管控手段,缺少對內容的深度識別或感知技術,並且缺少對敏感數據的全方位治理和安全管理手段。
敏感數據是什麼、存放在什麼位置、流轉經過哪些節點、數據泄露後如何溯源追責,企業都應該採取相應的數據安全產品和技術手段來解決這些問題。
2.建立可落地的行業性數據安全規範和企業數據安全管理制度
最近幾年,數據安全已經被逐步納入國家法規和行業規範中,包括《網絡安全法》、《網絡安全等級保護基本要求2.0》、《個人信息安全規範》、歐盟《GDPR》等。數據安全已經成爲新一代信息安全標準的基本內容。
雖然這些已頒佈的法律法規對數據安全和個人信息保護進行了明確立法規定,對各類組織承擔的數據安全保障義務與責任進行明確要求,並保障個人對其個人信息的安全可控。
這位專家表示,“如果上述法規要指導企業落實具體的數據安全保護手段,仍然需要結合具體行業特點,對數據安全防護的技術手段進行明確要求,增強可落實性和可執行性。”
3.提高安全意識,增加對內部數據泄露風險的防護
目前,企業對數據安全的投入,主要是針對外部攻擊的防護,如防火牆、IDS、防病毒軟件等,而這些技術手段很難對內部人員有意或無意的泄露行爲進行識別和防護。
調查結果表明,絕大部分的泄露風險來自企業內部,其中郵件外發和互聯網上傳是兩個最方便的數據外傳手段,也是泄露事件發生概率最高的兩個渠道。
因此,企業應加強對內部員工或運維人員的安全意識管理,增加對數據防泄漏產品的投入,實行對內部人員泄露行爲的檢測和管控,降低內部人員有意無意的拷貝、外發和上傳等操作帶來的數據泄露風險。
本文是InfoQ“解讀2019”年終技術盤點系列文章之一