據統計,2018年共10餘家公司發生數據泄露,超10億人受到影響,企業應該如何避免此類事件發生?
回顧2018年,全球數據泄露事件不斷,當事公司不乏技術實力雄厚、人才充足的大型互聯網企業,但都沒有逃脫數據泄露的命運,個別企業的安全漏洞甚至被黑客利用數年之久,泄露的總體數據量超過10億。
2018數據泄露事件回顧
最大的數據泄露事件應該是萬豪酒店數據泄露門,目前此事件已被百度百科詞條收錄。根據萬豪國際集團官方微博聲明,喜達屋旗下酒店客戶預訂數據庫被黑客入侵,在2018年9月10日或之前曾在該酒店預定的最多5億條客戶數據或被泄露。喜達屋旗下酒店包括瑞吉酒店、威斯汀酒店、喜來登酒店、雅樂軒酒店,福朋酒店以及W酒店等品牌。消息公佈後,萬豪國際美股盤前跌逾5%。
萬豪方面表示,黑客在過去四年一直可以訪問預訂系統和客戶數據。被盜數據包括客戶姓名、地址、電話、卡號和護照信息等,甚至有關旅行的地點和人員信息。
但是,此次如此大規模的信息泄露事件卻並未被貨幣化,不少專家懷疑可能不是黑客的個人行爲,或許是有組織和有規劃的竊取。
除此之外,Twitter的密碼散列出現問題,導致無法對密碼進行加密並以純文本格式保存,此次事件影響了3.3億用戶;華住集團被爆數據泄露,用戶信息在暗網公開出售,標價8個比特幣(當時的市值大約等價37萬人民幣),被泄露用戶信息近5億;Under Armour旗下軟件My Fitness Pal泄漏1.5億用戶數據;谷歌旗下開發平臺Firebase泄露超過1億用戶敏感信息; Quora被第三方軟件惡意攻擊,1億用戶數據遭遇泄露風險;Facebook大約有1.47億帳戶暴露在漏洞之下;Uber、Ticket Fly、英國航空、新加坡航空等公司均未能倖免。
企業和個人安全措施
這些數據泄露事件的發生讓用戶對企業的信任大打折扣,用戶很難放心將數據暴露給這些組織。對這些事件進行復盤,企業和個人應該如何儘可能避免這類事件帶來的影響呢?
對企業而言,數據泄露的方式大致分爲黑客攻擊、內部泄漏和軟件漏洞等,企業在整個業務流程開始時就應該認真考慮安全因素。在架構設計層面有明確的授權管理、用戶認證和日誌審計要求,必要的漏洞修復和架構升級需要有專業技術人員負責。
目前常見的系統安全設計分爲三部分:在技術架構層面,採用分層架構,實現底層業務邏輯有效隔離,避免將底層實現細節暴露給最終用戶; 在部署架構層面,採用應用服務器、數據庫服務器分離的部署模式,即站庫分離思想,避免核心應用數據泄露;在外部接口設計層面,採用最小接口暴露原則,避免因開發不必要的服務而帶來的安全隱患。
對於數據存儲,比如對象存儲、Redis數據庫等,每種存儲方式都具有完備的數據安全方案, 通過安全隔離、加密存儲、訪問控制、隱私保護、數據監控等技術手段保證數據安全。此外,對於擁有大量隱私數據的企業而言,加強內部員工管理也很關鍵,內因往往是造成此類事件發生的最大原因之一。
如果用戶想要避免自身利益受損,也可以採取一些安全措施,比如使用複雜而獨特的密碼;在社交平臺發佈內容前多次調整;使用信用卡進行網上購物,如果財務信息泄露,欺詐性收費的責任就會減少;僅對外提供必要信息,信息提供越少,泄漏的就可能越少;在終端設備上選擇一些安全防護軟件;如果數據已被通知泄露,請立即更改密碼並採取相應公司建議。