2019年,数据泄露引发全民关注。上至国家政府,下至公民、企业,都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府,数据泄露涉及许多行业。并且,受数据泄露影响的用户范围广泛,类型多样,既有网站注册用户、大学员工、医疗患者,也有艾滋病感染者、警察、孕妇等。
最近一两年,数据泄露事件愈加频繁,受影响用户不断扩大,少则数千万,多达数亿乃至十几亿。当笔者撰写此文时,一个Elasticsearch数据库泄露,包括27亿个电子邮件地址,其中10亿个密码是以简单的明文存储,涉及国内多家互联网公司。
根据IBM的数据泄露年度研究,如果将通知成本、调查、损失控制和修复的相关费用,以及监管部门罚款和诉讼考虑在内,那么数据泄露的平均成本高达392万美元。比如,2018年闹得沸沸扬扬的Facebook数据泄露一事,Facebook2019年以50亿美元与美国FTC和解。对于上市公司,数据泄露一旦公开,可能导致涉事公司平均股价应声下跌7.27%,而股价低迷在随后几年将成为现实。据FireEye估计,面对网络攻击或数据泄露,只有不到一半的组织已经做好了准备。
因此,我们盘点2019年最大的10起数据泄露事件,试图得到一些更深的认识。
2019数据泄露TOP10
TOP10:Canva1.39亿用户数据泄露
报道时间:5月24日
大致情况:
5月24日,一名自称GnosticPlayers的黑客声称窃取了澳大利亚网站Canva的1.39亿用户数据。据悉,黑客窃取的数据包括用户姓名、用户名、电子邮件地址、城市国家信息,其中6100万用户的哈希密码,其他用户的信息还有用于登陆的Google令牌。有7800万用户使用了Gmail地址。Canva证实它的数据库遭到非法访问,表示尚未发现账号被入侵,出于谨慎考虑它已经鼓励用户更改密码。
Canva是一个非常受欢迎的平面设计服务,在Alexa排名200以内。
数据类型:姓名、用户名、电子邮件地址、位置信息等
泄露原因:黑客窃取
后续:公司通知用户更改密码
TOP9:Dubsmash1.62亿用户数据泄露
报道时间:2月12日
大致情况:
2月13日,据Register报道,有近6.17亿个在线账户的详细信息在暗网上出售,这些账户是黑客从16个网站上窃取的。其中,数据泄露最多的是Dubsmash,有1.62亿账户信息被泄露。
据悉,Dubsmash公司创立于2014年,在其应用程序上,用户可以进行对嘴型表演,题材覆盖了卡通动画以及电影和广告短片等,短片录制完成后,可以分享给他人。
数据类型:用户姓名、ID、电子邮件地址、用户名、密码等
泄露原因:黑客窃取
后续:数据被黑客出售
TOP8:2.02亿中国求职者个人信息泄露
报道时间:1月10日
大致情况:
1月10日,HackenProof安全研究员BobDiachenko发现,MongoDB数据库中有超过2.02亿中国求职者的详细简历信息已在网上被公布,疑似第三方应用泄露。据悉,这份数据库存储的2.02亿简历中包含202730434条记录,信息非常详细,总计854GB。
数据类型:求职者姓名、身高、体重、地址、出生日期、电话号码、电子邮件地址、政治倾向、技能、工作经历、工资预期、婚姻状况、驾驶执照号码、专业经验和职业期望
泄露原因:数据库配置错误
后续:事件披露后不久,该数据库被加入保护机制
TOP7:Zynga2.18亿游戏玩家数据泄露
报道时间:10月1日
大致情况:
一名巴基斯坦黑客声称声称入侵移动社交游戏公司Zynga。这位黑客设法突破由Zynga开发的流行字谜游戏“WordswithFriends”,并未经授权访问超过2.18亿用户的庞大数据库。数据泄露影响所有今年9月2日及之前注册游戏的安卓和iOS游戏玩家。此事被披露后,Zynga承认数据泄露。
据悉,Zynga市值超过50亿美元,是全球最成功的社交游戏开发商之一,拥有超过10亿美元的热门在线游戏集合,包括FarmVille、WordsWithFriends、ZyngaPoker、MafiaWars和CaféWorld等。
数据类型:姓名、电子邮件地址、登录ID、密码、密码重置令牌(如果有)、电话号码(如果有)、FacebookID(如果已连接)、Zynga帐户ID
泄露原因:黑客入侵
后续:该公司与执法部门联系,并采取措施保护用户账户
TOP6:2.75亿印度公民个人信息泄露
报道时间:5月1日
大致情况:
5月1日,据外媒SecurityDiscovery报道,他们发现一个未经保护和公开索引的MongoDB数据库,其中包括275265298条印度公民个人信息记录。这个数据库本身托管在亚马逊AWS上,没有泄露源或从属关系的标签,反向DNS也没有显示任何结果。
数据类型:印度公民姓名、电子邮件地址、性别、出生日期、电话号码、教育详细信息、就业详细信息(工资、专业技能、雇主历史记录等)
泄露原因:黑客窃取
后续:外媒反馈给印度CERT团队
TOP5:CulturaColectiva5.4亿数据泄露
报道时间:4月3日
大致情况:
4月3日,有安全人员发现两个Facebook集成应用的数据集,这些应用不受保护地在AmazonS3服务器上存储。其中一个应用来自名为CulturaColectiva的墨西哥公司,该公司存储了146GB大小的用户数据,总计超过5.4亿条记录。研究人员通知了CulturaColectiva和亚马逊网络服务部门,让他们知道数据公开曝光这件事。第一封电子邮件通知在今年1月10日发出,然而直到4月份,数据库才得到保障。
数据类型:Facebook用户ID、账户名、评论和喜欢的内容
泄露原因:数据库配置错误
后续:数据库得到很快保护
TOP4:16家国外网站6.2亿用户数据泄露
报道时间:2月13日
大致情况:
2月13日,据国外媒体TheRegister独家披露,一个名为DreamMarket的暗网市场正在出售6.2亿用户信息,交易通过比特币转账,打包售价不高于2万美元。该卖家宣称这些数据来自16个被攻击的网站:
Dubsmash(1.62亿)、MyFitnessPal(1.51亿)、MyHeritage(9200万)、ShareThis(4100万)、HauteLook(2800万)、Animoto(2500万)、EyeEm(2200万),8fit(2000万)、Whitepages(1800万)、Fotolog(1600万)、500px(1500万)、ArmorGames(1100万)、BookMate(800万)、CoffeeMeetsBagel(600万)、Artsy(100万)和DataCamp(70万)。
数据类型:账户持有人姓名、电子邮件地址、位置、密码、社交媒体身份验证信息等
泄露原因:黑客攻击
后续:在暗网被贩卖
TOP3:FirstAmericanFinancialCorporation8.85亿数据泄露
报道时间:5月24日
大致情况:
5月24日,独立安全记者BrianKrebs透露,美国房地产和产权保险巨头FirstAmerican8.85亿份敏感客户财务记录被泄露。据悉,这些记录可以追溯到2003年,而且任何人都可以进行访问。Krebs称攻击者如果知道该公司文档的url格式,就可以通过输入以“000000075”开头的任何记录号,调出相关客户材料。
数据类型:姓名、社会安全号码、电话号码、电子邮件、地址、驾照、银行账号和对账单、抵押贷款和税务文件,以及电汇收据
泄露原因:IDOR漏洞
后续:公司关闭网站,禁止外部对该应用程序的访问,内部进行审查
TOP2:Verifications.io9.8亿数据泄露
报道时间:3月7日
大致情况:
3月7日,SecurityDiscovery安全研究人员BobDiachenko披露一个可公开访问的MongoDB数据库,包含982864972条记录。据悉,这些记录包含7.98亿的电子邮件记录、超过400万备注了电话号码的E-mail地址、以及超过600万条被识别为‘商业线索’的信息。
数据类型:姓名、地址、电子邮件地址、出生日期、电话号码、传真号码、性别、IP地址、邮政编码
泄露原因:数据库配置错误而暴露于网上
后续:网站脱机,公司称已对数据库做好保护
TOP1:Elasticsearch27亿数据泄露
报道时间:12月4日
大致情况:
12月4日,国外网络安全研究人员发现一个Elasticsearch数据库泄露,包括27亿个电子邮件地址,其中10亿个密码都是以简单的明文存储。据悉,大多数被盗邮件域名来自中国邮件提供商,涵盖腾讯、新浪、搜狐和网易等。另外,雅虎、Gmail以及一些俄罗斯的邮件域名也受到影响。
数据类型:电子邮件地址、密码等
泄露原因:未知
后续:12月9日,该数据库被禁止访问
数据泄露原因分析
截至笔者撰写此文,上述是2019年TOP10数据泄露事件。它们有两大特点:一是泄露数据惊人,动辄亿级,且受影响用户数巨大。更夸张的是,甚至有几十亿的数据泄露。
二是泄露数据内容详细,维度多,颗粒度细。以2.02亿中国求职者个人信息泄露为例,泄露数据维度有15种,几乎包含了其他人想知道的“所有信息”。如果这些信息被不法分子所利用,可以生出“无穷祸患”。
当然,这10起数据泄露虽然被视为“TOP10”,但是过少的数据泄露事件无法揭示更多信息。因此,笔者进一步统计了2019年媒体公开报道的数据泄露事件