很快2018年就要跟我們說再見,而在這過去的一年里�����,雖然互聯(lián)網(wǎng)的整體安全性都在提升�,但依然出現(xiàn)了幾波影響力頗大的用戶信息被黑客盜走泄密的事件。
Facebook:8700萬用戶數(shù)據(jù)泄露
2018年3月17日����,美國(guó)紐約時(shí)報(bào)率先曝光了劍橋分析(Cambridge
Analytica)未經(jīng)用戶許可,擅自使用Facebook用戶個(gè)人信息的行為��。此事一出立刻引起軒然大波,隨后英國(guó)高等法院授權(quán)對(duì)涉事單機(jī)構(gòu)進(jìn)行了搜查����,并揭開了針對(duì)該事件司法調(diào)查的序幕。
針對(duì)沒有用戶的許可就使偷偷用個(gè)人信息數(shù)據(jù)一事�,F(xiàn)acebook公開回應(yīng),承認(rèn)劍橋分析公司不正當(dāng)使用了8700萬未經(jīng)授權(quán)的用戶私人信息�,這也遭到了國(guó)外網(wǎng)友的痛斥。這場(chǎng)風(fēng)波還沒有過去����,今年9月份�����,F(xiàn)acebook再次通告�����,黑客利用控制的40萬個(gè)賬戶獲得了3000萬Facebook用戶賬號(hào)的信息����。他們可以在不輸入密碼的情況下,隨意登陸這些用戶的個(gè)人主頁���,任意拿走想要的數(shù)據(jù)等����。
對(duì)于這接二連三的危機(jī),F(xiàn)acebook掌門人扎克伯格出面回應(yīng)�,首先被黑客利用的漏洞已經(jīng)封堵,請(qǐng)大家繼續(xù)使用����,其次他們已經(jīng)停止私下偷用用戶數(shù)據(jù)的行為,最后還懇請(qǐng)全球用戶原諒他們�����,至于相應(yīng)的補(bǔ)償并沒有提及����,這也讓用戶非常不爽,“刪除Facebook”一時(shí)成為熱門標(biāo)簽�。
從今年3月份,F(xiàn)acebook爆發(fā)的隱私泄露危機(jī)至今����,公司股價(jià)一度蒸發(fā)590億美元,更讓扎克伯格難受的是�����,公司股東會(huì)聯(lián)名要求他交出權(quán)利(退出CEO之位),與此同時(shí)����,許多國(guó)家議會(huì)甚至要求扎克伯格親自出席用戶信息被盜、偷用的辯證會(huì)�����,最后這些統(tǒng)統(tǒng)被拒絕��。
AcFun:900萬條用戶數(shù)據(jù)泄露
2018年6月13日凌晨����,AcFun彈幕視頻網(wǎng)(以下簡(jiǎn)稱“A站”)突然發(fā)出公告稱�,他們有800-1000萬左右的用戶數(shù)據(jù)被黑客竊取,隨后A站在公告中強(qiáng)調(diào)����,2017年7月7日之后從未登陸過的用戶以及密碼強(qiáng)度低的用戶需要立刻更改密碼,而跟A站用戶信息中密碼保持一致的���,也要一并更改���。
黑客攻擊A站后竊取的用戶信息����,很快就放在了暗網(wǎng)(就是黑暗網(wǎng)絡(luò)�����,又稱深層網(wǎng)絡(luò)或隱形網(wǎng)絡(luò))售賣���,并喊出900萬條用戶數(shù)據(jù)�����,售價(jià)40萬人民幣���。如果購買者對(duì)信息真實(shí)性質(zhì)疑,那么可以隨機(jī)抽取測(cè)試�,此事對(duì)用戶造成了不小的影響。其實(shí)早在今年3月份�����,暗網(wǎng)論壇中就有人公開出售AcFun的一手用戶數(shù)據(jù),數(shù)量高達(dá)800萬條��,而價(jià)格僅為12000元����,平均1元能買到800條。
為了挽回用戶��,收購A站的快手第一時(shí)間表示�,在技術(shù)和資金上全力支持A站提升安全能力,務(wù)必保證用戶的數(shù)據(jù)安全�,避免類似事件發(fā)生。隨后A站升級(jí)了系統(tǒng)安全等級(jí)�����,對(duì)AcFun服務(wù)器做了全面系統(tǒng)加固�����,實(shí)現(xiàn)技術(shù)架構(gòu)和安全體系的升級(jí)�����,以確保以后不會(huì)出現(xiàn)如此嚴(yán)重的泄露事件�。
華住旗下多個(gè)連鎖酒店:2.4億入住記錄泄露
2018年8月28日,網(wǎng)上突然出現(xiàn)了華住旗下多個(gè)連鎖酒店入住信息數(shù)據(jù)售賣的行為���,這引起了用戶的廣泛關(guān)注��,畢竟數(shù)據(jù)涉及5億條的用戶個(gè)人信息及入住記錄��,而這些泄密的數(shù)據(jù)中����,包含的不少私密信息����,比如身份證號(hào)、家庭住址��、銀行卡號(hào)等等�。
隨后,華住官方證實(shí)了這個(gè)旗下酒店用戶入住信息數(shù)據(jù)被販賣的行為���,并希望售賣者立即停止這種行為���,同時(shí)他們內(nèi)部展開核查,針對(duì)旗下國(guó)內(nèi)超過370座城市的3700多家酒店����,由此可見這次用戶數(shù)據(jù)泄露有多嚴(yán)重��。
經(jīng)過排查泄露的用戶數(shù)據(jù)多達(dá)2.4億條(66.2G)��,這是酒店入住的記錄�����,還有約1.3億條入住登記身份信息(共22.3G)和約1.23億條官網(wǎng)注冊(cè)資料(共53G)���,而這些數(shù)據(jù)中把用戶的姓名、銀行卡號(hào)�、手機(jī)號(hào)、郵箱����、開房人、家庭住址等等核心信息全部泄露出來���。
對(duì)于華住酒店用戶入住信息被泄漏一事�,安全人員分析后認(rèn)為�����,是華住公司程序員將數(shù)據(jù)庫連接方式及密碼上傳到GitHub導(dǎo)致的��,黑客利用這個(gè)漏洞��,對(duì)華住酒店數(shù)據(jù)庫實(shí)施攻擊并拖庫���。
萬豪喜達(dá)屋:5億客戶的用戶信息泄露
跟華住一樣�����,知名連鎖酒店萬豪也陷入了用戶數(shù)據(jù)被黑客盜取的情況�。2018年11月30日�,萬豪對(duì)外發(fā)出公告稱,旗下喜達(dá)屋酒店預(yù)訂系統(tǒng)2014年起遭網(wǎng)絡(luò)“黑客”入侵���,泄露大約5億客戶的用戶信息�����。消息出來后���,紐約大學(xué)教授卡普斯表示,萬豪在過去4年時(shí)間里一直使用錯(cuò)誤的安全系統(tǒng)�,是出事的主因����。
經(jīng)過復(fù)查后得知���,萬豪泄露的這5億用戶信息中���,用戶的姓名、住址�、電話號(hào)碼、電子郵件地址�、護(hù)照號(hào)碼、信用卡等所有核心的信息統(tǒng)統(tǒng)被泄露出去�����,性質(zhì)十分惡劣�。隨后,美國(guó)5個(gè)州的總檢察長(zhǎng)和英國(guó)信息專員對(duì)外表示���,將徹底調(diào)查這件事����,并讓萬豪付出相應(yīng)的懲罰���。
有美國(guó)訴訟集團(tuán)代表眾多消費(fèi)者向萬豪提起訴訟�,索賠金額高達(dá)125億美元(僅相當(dāng)于5億潛在被盜用戶中每人得到25美元的賠償)����,之所以索賠如此多金額,主要還是萬豪在過去4年中�,對(duì)旗下系統(tǒng)安全性沒有及時(shí)跟進(jìn),從而造成了如此惡意的用戶數(shù)據(jù)泄漏���。目前他們?nèi)匀辉谠u(píng)估這次泄漏事件帶來的影響���,至于相應(yīng)的賠償是否會(huì)跟進(jìn),也并不清楚�。
圓通:10億條用戶信息數(shù)據(jù)被出售
2018年6月19日,一位ID為“f666666”的用戶公然在暗網(wǎng)上兜售圓通10億條快遞數(shù)據(jù)�����,這引發(fā)了外界的廣泛關(guān)注���,按照賣家的說法�����,這些數(shù)據(jù)是2014年下旬的數(shù)據(jù)�,數(shù)據(jù)信息包括寄(收)件人姓名,電話���,地址等信息�����,都是圓通內(nèi)部人士批量出售而來(只要快遞單信息進(jìn)入電腦他們就可以獲取)���。
隨后,有網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù)��,發(fā)現(xiàn)所購“單號(hào)”中���,姓名���、電話、住址等信息均屬實(shí)���。對(duì)于這件事���,圓通官方稱正在展開調(diào)查����,但并沒有承認(rèn)這些數(shù)據(jù)是不是從內(nèi)部流出����,只是表示���,公司的技術(shù)部門通過多種技術(shù)手段預(yù)防信息外流����,提高安全系數(shù)���。
按照當(dāng)時(shí)售價(jià)來說����,用戶只要花430元人民幣即可購買到100萬條圓通快遞的個(gè)人用戶信息(10億條數(shù)據(jù)1比特幣)����,而10億條數(shù)據(jù)則需要約43000元人民幣。能夠泄漏如此多用戶信息����,且準(zhǔn)確率這么高�����,外界普遍認(rèn)為來源是圓通內(nèi)部級(jí)別較高的工作人員��。
按照刑法修正案(七)規(guī)定�,出售���、非法提供公民個(gè)人信息罪���,處三年以下有期徒刑或者拘役,并處或者單處罰金����,對(duì)于郵政企業(yè)、快遞企業(yè)來說���,除了要做好安全措施����,同時(shí)還要健全管理制度�,杜絕從公司內(nèi)部泄露快遞單信息的舉動(dòng)。
順豐:3億條用戶信息數(shù)據(jù)被出售
2018年8月底又是在暗網(wǎng)上,一個(gè)ID為“bijiaodiao1688”的用戶在公然售賣順豐快遞數(shù)據(jù)�����,其中牽扯到了3億用戶數(shù)據(jù)信息����,售價(jià)是2個(gè)比特幣,而這些信息中包含了寄件人����、收件人的姓名����、地址、電話等���,為了證明數(shù)據(jù)的準(zhǔn)確性�,購買者可以選擇先“驗(yàn)貨”�,驗(yàn)貨數(shù)據(jù)量10萬條,驗(yàn)貨費(fèi)用0.01個(gè)比特幣����。
按照當(dāng)時(shí)0.01個(gè)比特幣大約為66.66美元的行情來看,這3億用戶數(shù)據(jù)在當(dāng)時(shí)價(jià)值是92000元,從當(dāng)時(shí)的交易情況來看�,至少有超過90萬條的疑似順豐快遞用戶個(gè)人信息流向了市場(chǎng)。從一些匿名測(cè)試用戶反饋的數(shù)據(jù)來看�����,隨機(jī)抽選50個(gè)�,準(zhǔn)確率在90%以上,這真實(shí)性還是很嚇人的�。
面對(duì)3億用戶數(shù)據(jù)泄露,順豐也是第一時(shí)間進(jìn)行了回應(yīng)�����,其強(qiáng)調(diào)早在2018年7月份���,他們就已經(jīng)關(guān)注到暗網(wǎng)用戶發(fā)布的相關(guān)信息�����,并獲識(shí)了相關(guān)數(shù)據(jù)����,但經(jīng)過核實(shí)這些并不是順豐的數(shù)據(jù)����,同時(shí)官方也否認(rèn)了外泄數(shù)據(jù)來自順豐內(nèi)部�����,至于泄露源頭來自哪里官方并沒有說明���。之前央視曾報(bào)道,2018年5月份有順豐員工故意泄露內(nèi)部消息獲利事情���。
至于最終這件事的結(jié)果是怎樣����,順豐沒有及時(shí)通報(bào)�,不過按照他們的表示���,事情一出來的時(shí)�����,就第一時(shí)間向有關(guān)部門進(jìn)行了報(bào)案�,要求徹查泄密者到底是誰�,泄密源到底出自哪里�����。
前程無憂:195萬條個(gè)人求職簡(jiǎn)歷泄露
2018年6月16日�,有人在暗網(wǎng)開始叫賣招聘網(wǎng)站前程無憂(51job.com)用戶信息�,其中涉及195萬用戶求職簡(jiǎn)歷,隨后前程無憂方面確認(rèn)部分用戶賬戶密碼被撞庫�����。
為了證實(shí)泄露數(shù)據(jù)的真實(shí)性�����,前程無憂方面還進(jìn)行了一定的測(cè)試���,結(jié)果發(fā)現(xiàn)信息是真實(shí)可靠的��,不過官方強(qiáng)調(diào)����,數(shù)據(jù)中絕大部分來自于一些郵箱泄露的賬戶密碼����,且都是在2013年之前注冊(cè)����。對(duì)此前程無憂強(qiáng)調(diào)��,出現(xiàn)這樣的情況并非拖庫�,而是惡意用戶通過這些已泄露的郵箱賬戶及密碼,對(duì)相應(yīng)的站點(diǎn)進(jìn)行登錄匹配����,然后蓄意倒賣。
最后�,前程無憂不愿意公開具體涉及的是哪家郵箱服務(wù)商,只是表示是2013年注冊(cè)的用戶�����,及時(shí)修改自己的帳號(hào)密碼�,同時(shí)他們也表示已經(jīng)升級(jí)數(shù)據(jù)庫的安全等級(jí),防止類似的情況再發(fā)生���。
Under Armour:1.5億用戶信息泄露
2018年3月30日,美國(guó)運(yùn)動(dòng)品牌Under
Armour對(duì)外表示����,旗下健身應(yīng)用MyFitnessPal因存在數(shù)據(jù)漏洞而遭到黑客攻擊����,一共有1.5億用戶的數(shù)據(jù)被泄露���,這些數(shù)據(jù)中包含了用戶名�����、電子郵件地址和密碼等�,不過官方強(qiáng)調(diào)�����,泄密數(shù)據(jù)并不包含駕駛證號(hào)�����、信用卡號(hào)��、身份信息等更私密信息��。
MyFitnessPal是Under
Armour收購的一家企業(yè)�����,主要提供運(yùn)動(dòng)健康飲食指導(dǎo)服務(wù)的應(yīng)用,在北美地區(qū)頗受歡迎�����,用戶數(shù)量最高峰時(shí)接近2億�,當(dāng)傳出有1.5億用戶信息被黑客竊取后,Under
Armour官方表示��,立刻要求MyFitnessPal用戶更改密碼����。
MyHeritage:9200萬用戶信息泄露
相比其他用戶信息泄漏情況來說,MyHeritage用戶信息泄露后果可能很嚴(yán)重�����。這是一個(gè)家庭基因和DNA檢測(cè)的網(wǎng)站���,用戶信息中存儲(chǔ)不但有私人信息��,甚至還有個(gè)人的DNA測(cè)試結(jié)果����。
2018年6月初�,MyHeritage給出公告稱,網(wǎng)站服務(wù)器被攻擊����,攻擊者從中截取了超過9200萬用戶信息,其中包含了電子郵件和hash密碼�,官方則強(qiáng)調(diào)不包含支付卡的信息或DNA測(cè)試結(jié)果,不過MyHeritag還表示���,用戶帳戶是安全的��,因?yàn)槊艽a是使用每個(gè)用戶唯一的加密密鑰進(jìn)行hash處理的����,為了徹底解決這種攻擊���,最終網(wǎng)站啟用了雙因子身份驗(yàn)證(2FA)功能���,即使黑客設(shè)法解密hash密碼,如果沒有第二步驗(yàn)證碼���,第一步的破解也將毫無用處����。
Panera Bread:3700萬用戶信息泄露
2018年4月4日,美國(guó)最大面包連鎖店P(guān)anerabread表示���,旗下網(wǎng)站panerabread.com泄露了3700萬用戶信息�����,而更可怕的是�����,在官方?jīng)]有給出公告前�����,這種泄露信息行為已經(jīng)持續(xù)了超過8個(gè)月�����。
隨后�����,安全機(jī)構(gòu)KrebsOnSecurity表示�,他們?cè)谠缭?017年8月2日就曾發(fā)現(xiàn)了Panerabread網(wǎng)站的漏洞,告知對(duì)方后并沒有進(jìn)行及時(shí)修復(fù)����,所以造成的結(jié)果就是嚴(yán)重的�。
中研網(wǎng) 發(fā)現(xiàn)資訊的價(jià)值 
研究院 掌握產(chǎn)業(yè)最新情報(bào) 
谷歌新隱私漏洞影響5250萬用戶 CEO本周二將參加美國(guó)國(guó)會(huì)聽證 
