2016年7月,一家名为“Peace”的卖家列出约2亿个雅虎账号和密码被出售,雅虎数据泄露事件开始发酵。一年后,雅虎正式承认约有30亿个账户受到2013年黑客攻击的影响,该黑客泄露了多年来在暗网上流传的数据。迄今为止,有关雅虎数据泄露的报告仍然是涉及用户数量的最大数据泄露事件。数据泄露应该是普通大众听说过的为数不多的网络安全概念之一。广为人知的主要原因是它经常发生,一旦爆发数据泄露,往往影响深远。五年前的数据泄露在今天可能会爆发,将用户的个人信息暴露给公众。1、数据泄露历史根据笔者查到的资料,最早记录的数据泄露事件发生在2004年。2004年,互联网服务公司“AOL”的一名软件工程师利用职务之便黑进公司内部系统,窃取9200万枚硬币,并将其出售给垃圾邮件服务提供商。当年,全球互联网用户数量只有8亿,而这一次,人为数据泄露覆盖率占比达到11%。在题为“AOL员工因垃圾邮件被捕”的报告发布后,数据泄露事件开始爆发。回顾中国,早期数据泄露事件的曝光主要始于2011年底。2011年,两起数据泄露事件影响了当时绝大多数中国互联网用户。一是天涯社区4000万用户信息泄露。泄露的数据包括天涯的用户名、密码和电子邮件地址。大部分可以直接登录天涯社区;二是CSDN用户数据库泄露事件,多达600万个明文注册邮箱账号和密码被曝光,成为中国互联网史上具有深远意义的网络安全事件。2011年数据泄露事件一览表——图源澎湃新闻据统计,2011年数据泄露事件共影响了1亿用户。再来看一个对比数据。据中国互联网络信息中心报告,2011年中国网民规模为5.13亿。中国互联网络信息中心报告截图及当年的数据泄露事件影响了全国1/5的网民。回到现在,2020年的这三个月里,数据泄露事件频发。印象最深的是前几天安全公司KeepnetLabs泄露了一个包含50亿条泄露记录的数据库。(问号很多吗?安全公司也泄露数据……)事件发生后,专家们发现了一个属于安全公司KeepnetLabs的不受保护的数据库,其中包含超过50亿条此前泄露的网络安全事件数据记录。泄漏的数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源。随着互联网的快速发展,数据泄露也从互联网公司蔓延到一些传统行业。其中包括酒店、航空、快递等涉及大量用户隐私信息的行业,涉及的数据量非常大。2018年,仅华住酒店集团一次数据泄露事件,就涉及5亿条客户隐私信息……从目前的情况来看,数据泄露比你想象的更“贴近”你的生活。2、数据泄露的途径数据泄露可能是针对性攻击,也可能是人为失误、安全漏洞或安全措施缺失造成的。具体有以下几种方式:1.黑客攻击据统计,黑客攻击是数据泄露的主要方式。我们想象一个场景:黑客入侵A网站后,拖拽网站上的数据库,获取到的数据可以存入自己的社工数据库,可以直接刷洗变现,然后到B网站去命中数据库。纯手工画图是不是被里面的各种库搞糊涂了?不要惊慌,让我们继续。拖库:原为数据库领域的专用名词,指从数据库中导出数据。现在它被用来指代黑客在网站被入侵后窃取数据库的行为。数据库清洗:黑客入侵网站,获取大量用户数据后,通过一系列技术手段和黑色产业链变现有价值的用户数据。社会工程数据库:黑客将获取的各种数据库关联起来,对用户进行综合画像。崩溃库:很多人喜欢把不同网站的密码设置成一样的。一旦你在网络安全性较弱的网站上的密码被黑客获取,黑客就可以利用该密码对其他网站进行循环测试。这种方法称为“命中库”。2.内部泄露像卖美国在线数据的软件工程师,为了钱从内部泄露数据。也有可能是由于员工安全意识不足,导致数据被误泄露。3.主动出售一些小公司会为了自己的利益主动出售现有的用户数据,或者与同行交换。4、爬虫获取的API接口代码不严谨或风控不够,恶意或非授权爬取数据,导致数据泄露。三、后数据泄露时代的思考数据不仅是企业的核心财产,也是用户的重要隐私。如今,我们更难通过个人努力降低数据泄露带来的安全风险。这么多的个人隐私存储在网络上,谁知道下一个被泄露的是自己。企业有义务也更有能力保护用户隐私不受侵犯。毕竟,能力越大,责任越大。电影《蜘蛛侠》截图例如,企业的数据采集必须符合法律法规的要求,确保数据采集是在一定的框架和许可范围内进行的,同时明确告知用户收集的数据和数据的真实用途。其次,应对数据安全风险,企业必须从技术和管理层面多方面入手。一方面,在隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储、通道加密、传输行为审计、数据脱敏、数据锁定等各个方面做好技术层面的工作,等,了解隐私数据红线在哪里,统计网络行为模型,实时监控是否有黑客入侵窃取数据。另一方面,在管理层层面,应设立一名首席数据安全官负责数据安全,并设立多名数据安全保护官或多个团队,确保数据安全。同时,要建立良好的攻防对抗机制,通过攻防对抗,真正检验系统安全性,了解黑客攻击手段和技术手段,更好地保护企业安全。
