Verizon發佈了《2015年度數據泄露調查報告》報告稱:2015年,全球61個國家出現79790起數據泄露事件,其中2122起已經得到確認。
信息安全事件被定義爲:任何對信息資產的機密性、完整性、可用性造成破壞的事件。
數據泄漏則被定義爲:數據被泄漏到任何非授權方的事故。
今年的數據泄漏調查報告考查了191項與支付卡、個人信息、病歷相關的保險理賠個案。
據統計,信息安全造成的損失取決於信息泄漏的數目,與公司大小無關。報告稱一些大公司只是在數據泄漏事件中損失的信息條數比較多,因此信息泄漏的造成的損失相對較高。降低數據泄露成本應在技術上着眼於防止泄漏記錄或儘量減少泄漏記錄的條數。
下面的圖表反映出,一個公司爲數據泄露買單的金額取決於丟失記錄的條數。
那麼,2015年全球都發生了哪些信息泄漏事件?又是如何發生的?
事件一:【時間:2015.1】 俄羅斯約會網站泄露2000萬用戶數據
http://tech.sina.com.cn/i/2015-01-26/doc-iawzunex9376035.shtml 來源:新浪科技
俄羅斯約會網站Topface 2000萬訪客的用戶名和電子郵件地址被盜。 Easy solutionCTO 英格瓦爾德森稱,***可以使用這些賬號來嘗試獲取銀行、病例或其他敏感數據信息。他是在發現一個網名Mastermind的***發佈的帖子後,發表相關聲 明的。
受此影響的用戶約有50%位於俄羅斯,40%來自歐盟。總體來看,這2000萬用戶使用的電子郵件地址來自34.5萬個不同的域名,其中700萬人使用Hotmail郵箱,250萬人使用雅虎郵箱,還有230萬人使用Gmail郵箱。
這些雖然不是信用卡數據,但也是一級數據泄漏。 “這些身份信息在網絡犯罪行業就像鐵礦石一樣正規。”英格瓦爾德森表示,這類個人信息經常會被迅速出售給行騙者,行騙者將藉助自動軟件程序尋找使用相同信息的網站。
安華金和數據庫安全專家點評:約會網站數據庫中存儲了大量的個人隱私信息,這些個人隱私信息的泄漏會被利用去嘗試其他網站的用戶賬戶,這就是網上提到的“撞庫”.
我們習慣於在不同的網站使用相同的賬號密碼,如果其中一個網站的數據庫泄漏,那就意味着與之用戶名密碼相同的網站會發生連鎖反應。應儘快更改與之賬戶相同的金融或購物類網站,以避免造成更大損失。
事件二:【時間:2015.2】 5萬名優步司機信息遭泄露 Uber公司最大數據事故
http://tech.huanqiu.com/original/2015-02/5777913.html 來源:環球網科技
2月28日,大約5萬名優步(Uber)司機的個人信息被不知名的第三方人士獲取,成爲該公司遭遇的最大規模的數據泄露事件。
去年9月Uber系統中出現一個漏洞,能讓外人在未經授權的情況下,獲取部分司機的姓名和駕照號碼。雖然Uber聲稱已堵上這一漏洞,但隨後的調查顯示,去年5月,相關數據曾遭遇“一次未授權的訪問“。
優步表示,它未曾收到任何有關這些數據“已被濫用的報告”。不過,幾個月之後才就泄密事件發出警告,受到安全專家的批評。
安華金和數據庫安全專家點評:從漏洞發現到報告的時間竟然長達五個月。不過在業內,這種拖延現象十分普遍,這對客戶來說是非常不負責任的。客戶需要儘早瞭解情況,以便仔細檢查其信用報告和賬單,確保他們的身份沒有失竊。
事件三:【時間:2015.2】Anthem八千萬個人信息被竊 或成美國最大醫療相關機構泄露事件
http://www.hackdig.com/02/hack-18353.htm 來源:***技術
美國第二大醫療保險公司Anthem,被******並盜走8000萬個人信息,包括現在和以前的保險客戶和員工。
在一封致客戶的聲明中,Anthem首席執行官約瑟夫·斯維迪什表示,Anthem受到的外部***“非常高端精密”,丟失的個人數據包括姓名、 出生日期、客戶ID、社會保險碼、地址、電話號碼、郵件地址和員工信息。但他同時表示,沒有任何信用卡及醫療記錄被泄露的證據。
Anthem在冊客戶爲3700萬。一位發言人表示,公司在發現被***後馬上開始漏洞的修補工作,並與FBI和安全公司Mandiant協同工作以瞭解信息泄露的程度。
斯維迪什表示,他自己的個人信息在此***事件中也被泄露,公司將逐個聯繫每一位信息被泄露的人,併爲受到影響的人提供免費的信用監控和身份保護服務。
此次信息泄露事件稱得上是近年來一系列最大的信息泄露事件之一。前年的塔吉特丟失了4000萬信用卡信息和7000萬客戶信息,去年的家得寶的5600萬信用卡數據被***訪問,這次Anthem達到8000萬。
自去年8月CHS(美國醫療社區系統)450萬條患者信息泄露事件之後,執法部門就開始警告醫療機構要應對即將到來的數據泄露加劇的風險。
安華金和數據庫安全專家點評:***得以進入系統的關鍵點在於:Anthem並未設置額外的認證機制,僅憑一個登錄口令或一個Key就能夠以管理 員權限訪問整個數據庫。客觀的 說,Anthem重大的安全失誤不僅是缺少數據加密,還有不正確的訪問控制機制。要知道TeraData本身就提供了數種安全機制,包括加密和數據屏蔽功 能。因此很可能,漏洞並不出在軟件本身,而是基於業務和運營需要所做的系統及訪問控制的安全策略問題。
事件四:【時間:2015.3】美醫療保險公司CareFirst被黑,110萬用戶信息泄露
http://www.freebuf.com/news/68110.html 來源:FREEBUF
2015年3月,美國大型醫療保險商CareFirst表示,該公司去年六月發現有******,約有110萬醫療保險客戶的個人信息遭泄露。 BlueCross BlueShield(BCBS)是一個聯邦醫療保險服務商,服務美國近三分之一的人口。CareFirst BCBS是其在大西洋中部的子公司,在哥倫比亞特區、馬里蘭州和維吉尼亞州爲客戶提供健康保險。
證據顯示公司遭到水平極高的專業******。***者可能竊取了客戶姓名、生日、郵箱地址、醫療保險號碼等信息。雖然CareFirst用戶名必須 與創建的密碼同時使用才能得到訪問數據的權限,而***並沒有***這些密碼的數據庫。因此這次出現問題的數據中不包括社安號碼、信用卡號碼、工作信息、客戶 病歷等更爲重要的信息。
據悉,此次數據泄露可以追溯到2014年6月20日,由Mandiant安全公司的專家發現,現成爲了美國境內該類型網絡***規模第三大的事 件。而 CareFirst此次數據泄露時隔近一年才被披露,是因爲CareFirst他們發現最初的***時,他們試圖控制了***,並且他們以爲自己做到了。
安華金和數據庫安全專家點評:醫療保險機構業務系統後臺數據庫中存儲大量的醫療保險客戶的個人信息,如客戶姓名、生日、醫療保險號碼等,專業黑 客獲取批量的醫療保險客戶信息,這個案例值得我們對醫療機構的數據安全引起重視,同時要依靠有實力的信息安全公司,持續不斷的在防禦外部******方面投 入,避免由於批量數據泄漏帶來損失。
事件五:【時間:2015.4】美國Metropolitan State大學16萬學生信息泄漏
http://netsecurity.51cto.com/art/201512/500035_1.htm 來源:51CTO 網絡安全頻道
美國Metropolitan State大學16萬學生個人信息泄露,包括出生日期、家庭住址、電話、個人成績。
安華金和數據庫安全專家點評:隨着校園信息化的快速建設,教務、教學系統中存在大量漏洞,國內高校成爲信息泄漏的重災區。自2014年至 2015年3月,漏洞分析平臺補天顯示:有效的高校網站漏洞多達3495個。這些漏洞有的已造成教職員工或學生個人信息泄漏。除了面高校涉及人數衆多,包 括大量學生和教授的隱私信息;另一方面很多重要院校還承擔着國家衆多科研項目,這都可能成爲不法分子的目標。
事件六:【時間:2015.5】美國國稅局超過10萬名納稅人的財務信息泄露
http://www.aqniu.com/news/8270.html 來源:安全牛
2015年5月,美國國稅局經歷了數據泄露事件,約有10萬名美國公民的個人信息在無意中被泄露。這個有組織的犯罪團伙通過更改IRS網頁上的 一個名爲Get Transcript的應用,獲得了對納稅人賬戶的未授權訪問權限。該應用的功能是幫助用戶方便地訪問歷史稅務申報記錄以及稅務報表。
安華金和數據庫安全專家點評:在大量個人信息庫在網上泄漏的情況下,重要信息系統如報稅系統,應該採取一些手段更好地防止身份欺詐行爲。應該有 由報稅部門和軟件公司的代表、工資和國家稅收管理員三方組成,發佈一些新的舉措,以提高納稅申報過程中的安全性。比如通過安華金和的數據庫的監控與審計系 統會對數據庫訪問操作進行全面審計。報稅者在訪問時將需要通過IP地址和計算機設備特徵電子碼的對照,另外填寫報稅表的所需時長也將被設爲判斷是否爲機器 自動填表的重要標尺。
事件七:【時間:2015.8】英國240萬網絡用戶遭***侵襲:加密信用卡數據外泄
http://tech.ifeng.com/a/20150809/41414265_0.shtml 來源:鳳凰科技
8月9日,英國電信運營商Carphone Warehouse在******事件中,包含加密信用卡數據的約240萬在線用戶的個人信息遭到******。
Carphone Warehouse在一份新聞稿中透露,其網站和互聯網服務遭到***侵襲。期間展開的一項調查顯示:這240萬用戶的個人數據包括姓名、地址、出生 日期和銀行卡細節……都有可能遭到***訪問。“其中多達9萬名客戶的加密信用卡數據可能也遭到******。”Carphone Warehouse補充說。
7月,約會網站AshleyMadison稱,其系統遭到了******。***甚至威脅稱將泄露3700萬用戶包括真實姓名、地址以及其他個人信息,除非該公司將網站徹底關閉。
舊金山電腦安全公司OPSWAT的副總裁麥克·斯皮克曼(Mike Spykerman)表示,“現實情況來看,數據外泄已經不再是什麼大不了的問題,但對於Carphone Warehouse數據外泄應該另當別論,因爲其大量數據都沒有加密。”
安華金和數據庫安全專家點評:電信運營商數據庫中存儲了許多個人數據,如姓名、地址、出生日期和銀行卡信息……被******後,這些數據的批量泄 漏會導致一系列電信詐騙致使電信運營商信譽受損,建議使用安華金和的數據庫保險箱對敏感信息按列加密存儲,同時使用數據庫防火牆系統對外部******進行防 御。
事件八:【時間:2015.9】英國史上最慘數據泄露:400萬人信息泄漏
http://news.mydrivers.com/1/453/453003.htm 來源:驅動之家
今年9月英國寬帶服務提供商TalkTalk表示,該公司網站日前所遭受的網絡***可能導致其400多萬客戶的個人數據被盜,這可能是英國史上最大規模的數據泄漏事件之一。
該公司表示很客戶的姓名、地址、生日、電話號碼、電郵地址、賬戶詳細情況、信用卡詳細情況等數據很有可能都被竊取了。
本次***可能是英國企業迄今爲止遭受的最大規模和最具破壞性的網絡***事件。
這是TalkTalk今年第三次遭受網絡***,計算機安全專家格雷漢姆·克魯利(Graham Cluley)指出:“他們的品牌將受損,他們的客戶可能已經忍無可忍了。”
在股市早盤交易中,TalkTalk股價下跌8.5%至2年低位238便士。
15年年初,TalkTalk網站遭遇***,包括姓名、地址和電話號碼在內的客戶個人數據被盜;8月份,TalkTalk的創辦企業Carphone Warehouse所擁有的服務器遭遇***,大約48萬TalkTalk移動用戶受影響。
安華金和數據庫安全專家點評:作爲英國主要的寬帶服務提供商,對於有可能面臨的網絡***要做好持續防禦工作。數據庫中存儲的姓名、地址和電話號碼都需要重點甚至是加密保護,以防止被數據盜竊。
事件九:【時間:2015.10】音樂衆籌網站Patreon被黑,超過16GB資料流落網絡
http://www.caimiao.cn/jinrong/hangye/gjzx/15794.html 來源:菜苗網 國際諮詢
10月,獨立安全研究人員Troy Hunt在他自己所設立的haveibeenpwned網站上公佈:音樂衆籌網站Patreon已遭駭客***,並有超過16GB的資料在網路上流竄, Patreon也已證實此事。
Patreon是由音樂家Jack Conte及開發人員Sam Yam在2013年創立的衆籌網站,主要是替音樂或影片的作者籌募創作基金。
Hunt指出,***公佈了超過16GB的Patreon資料,其中包含14GB的資料庫紀錄,還有逾230萬個電子郵件位址與數百萬封的訊息,甚至還有Patreon網站的原始碼。
Patreon 共同創辦人暨執行長Conte承認在9月28日發覺******正在公測的網站,該測試網站含有一個運作中的資料庫快照,但並未儲存可存取其他伺服器的私密金鑰。在得知遭到***後便關閉了測試網站的伺服器,並將所有非運作中的伺服器全數移到防火牆之後。
***所存取的資料包含註冊名稱、電子郵件位址、張貼內容、送貨地址,以及2014年以前的某些帳單地址。不過Patreon並未儲存完整的信用卡資訊,而信用卡號碼也未被存取。
安華金和數據庫安全專家點評:音樂衆籌網站Patreon的16GB資料中包括註冊名稱、電子郵件地址等,但未存儲完整的信用卡資訊,信用卡也 未有存取記錄,該站用戶的密碼、社會安全碼與稅賦資訊,這些機密的個人資訊皆通過2048 bit的RSA金鑰加密保護,雖然泄漏的數據條目很多,涉及主要信息數據已經有密碼保護,這點也值得很多國內互聯網公司學習。
事件十:【時間:2015.10】美股券商Scottrade數據泄露 或影響460萬用戶
http://tech.qq.com/a/20151003/027929.htm 來源:騰訊科技
10月3日, CNBC財經電視臺網站公佈,國內常用的美股券商服務Scottrade發生了數據泄露事故,數百萬用戶的敏感數據可能受到影響。
Scottrade將向發生泄露事故的460萬客戶發送通知,並提供身份保護服務。受影響的數據庫中包含用戶的社會安全號碼和電子郵件地址。Scottrade表示:“我們非常嚴肅地對待信息安全,並全面配合司法部門進行調查,將犯罪者繩之以法。”
安華金和數據庫安全專家點評:美股券商是屬於金融行業之一的證券業。這類金融企業在要重點保護證券交易信息和客戶信息。雖然沒有影響交易平臺或客戶的諮詢信息,一旦發生損失不可估量,證券行業一定要加強信息安全防護,尤其是數據庫的安全防護。
事件十一:【時間:2015.11】喜達屋54家酒店遭POS惡意軟件植入 房客銀行數據泄露
http://netsecurity.51cto.com/art/201511/498071.htm 來源:51CTO 網絡安全頻道
11月,喜達屋集團旗下54家酒店發現竊取信用卡信息的惡意軟件,包括客戶名稱、信用卡號碼、信用卡安全碼和到期日期等信息泄露,泄露數量尚未公佈。
喜達屋集團,是全球最大的飯店及娛樂休閒集團之一,旗下擁有着喜來登、威斯丁、W酒店等衆多全球高檔豪華酒店品牌。據分析,該惡意軟件最早從2014年11月開始成功***進酒店。最開始,惡意軟件是在禮品店,飯館和銷售登記的付款系統中被發現的。
安華金和數據庫安全專家點評:任何在上述酒店居住過的顧客都應該對銀行賬單保持密切關注,特別是有可疑的費用產生的時候,應特別注意,受到影響的顧客要注意對身份信息保護和信用卡監控服務。
小結:
可以看到,在互聯網時代***已經不再是躲在地下室,爲了一時的興趣進行破壞,越來越多的***正在“商業化”,愈發成熟的黑產一次次的證明數據的價值。企業賴以生存的用戶信息都存其數據庫內,所以數據庫的安全事關企業生死存亡。