2020年,新冠疫情肆虐全球,催化各行业加速数字化转型,数据的价值在进一步凸显,数据的泄露也在持续高频发生,企业面临资产与声誉的重大损失,公众深受隐私曝光与骚扰诈骗的困扰。安全419联合华途信息梳理了2020年发生在全球各地的重大数据泄露事件,并针对当前形势给予实用的安全建议,以期对数据安全建设略尽绵薄之力。
【国内时间轴】
1月3日丨中国电信超2亿条用户信息被卖
中国裁判文书网公布的《陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书》显示,2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(中国电信全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以0.01元/条至0.2元/条的价格出售,累计获利2000余万元,涉及公民个人信息2亿余条。
3月19日丨微博5.38亿用户数据在暗网出售
有用户近日发现5.38亿条微博用户信息在暗网出售,其中1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。对此,微博安全总监罗诗尧回应表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
4月16日丨青岛胶州中心医院6千余人就诊名单泄露
当地市民在胶州政务网反应,微信朋友圈中流传着出入胶州中心医院的数千人名单,涉及相关人员个人信息,已严重影响个人生活,并被谣传感染了新冠肺炎。网传文件显示,就诊人员被列入12个胶州市街道和乡镇,内容包括姓名、电话、身份证号码、个人详细居住地址、就诊类型,共涉及6685人。
4月22日丨多地数千高校学生隐私遭泄露
4月24日丨浙江一家银行泄露客户信息被罚30万
4月27日丨B站知名UP主“党妹”数百G视频素材被盗
5月6日丨中信银行违法泄露脱口秀艺人个人隐私
5月7日丨5000多万条个人信息在“暗网”倒卖
5月20日丨建设银行员工贩卖5万多条客户信息
6月5日丨台湾2000万人个人信息在暗网泄露
6月8日丨郑州某民办高校近两万名学生信息遭泄露
6月20日丨蔡英文涉选举机密规划遭黑客攻击外泄
7月1日丨四川某装修公司花240万买业主信息
8月13日丨6000条多“珍爱网”账号信息被盗卖
9月7日丨圆通“内鬼”泄露40万条客户信息
9月27日丨广西医护人员倒卖8万条婴儿信息
10月15日丨泰州警方破获一起侵犯公民个人信息案,涉及800余万条数据
12月2日丨泄露数据近20万条 团伙开发挂号软件获利被判刑
12月7日丨男子泄露成都确诊女孩隐私信息被警方处罚
12月14日丨央视曝光简历信息被贩卖 招聘平台成简历信息泄露源头
12月21日丨万名购买进口白虾的人员信息被泄露
【国外时间轴】
1月20日丨近50万台服务器、路由器和IoT设备密码被泄露
某黑客组织在一个流行的黑客论坛上发布了一份涵盖515000 多台服务器、家庭路由器和物联网智能设备的远程登录Telnet(一种远程访问协议)凭据列表,内容包含每台设备的IP地址、以及Telnet服务的用户名和密码。
1月30日丨化妆品巨头雅诗兰黛泄露4.4亿条邮箱记录
一安全研究人员发现了暴露的数据库,他在数据库中的找到了用户电子邮件地址,在确定了来源后,立即试图与雅诗兰黛取得联系。此次泄露总共涉及440,336,852条记录,其中包含大量的审计日志和电子邮件地址。
2月11日丨以色列640万选民数据遭泄露
由以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误可能潜在地暴露并损害了近650万以色列公民的个人资料。以色列当地媒体证实了事件,但是还不清楚在被发现和公开披露之前,暴露的服务器和数据是否被未经授权的人获取。
2月21日丨米高梅酒店数据转储1060万旅客信息被泄露
2月底丨万豪国际再曝520万用户数据泄露
3月4日丨国泰航空泄露940万乘客资料,被罚款500万港币
3月23日丨某英国安全公司云泄露50亿条安全记录
4月11日丨麦哲伦健康遭勒索软件攻击和数据泄露
4月14日丨50万个ZOOM用户凭证信息外泄
4月23日丨2.67亿个Facebook帐户信息在暗网出售
5月6日丨成人网站泄露超百亿条用户敏感记录
5月8日丨印尼电商巨头Tokopedia9000万账号信息在暗网售卖
5月8日丨4400万巴基斯坦移动用户的详细信息在线泄漏
5月19日丨英国廉价航空公司easyJet数据泄露面临180亿英镑巨额诉讼
5月26日丨泰国移动运营商AIS云泄露83亿条互联网记录
6月8日丨WordPress数百万网站数据库遭到窃取
6月10日丨印度BellTroX为客户提供黑客服务7年入侵1万多电邮账户
6月19日丨谷歌浏览器大规模用户安全信息泄露
6月22日丨甲骨文公司泄露数十亿条网络数据记录
7月16日丨美国多位名人政要推特账号遭黑客入侵
7月25日丨任天堂泄露大量内部游戏与设备资料
8月8日丨英特尔20GB内部数据泄漏
8月18日丨美国酒业巨头百富门被窃取超1TB数据
8月19日丨游戏硬件厂商Razer(雷蛇)在线商店泄露大量用户数据
8月20日丨益百利(南非)2400万客户数据泄露
8月20日丨美国AI公司被曝泄露近260万医疗数据
8月25日丨网站Freepik用户数据泄露,影响830万用户
9月10日丨SK海力士和LG电子机密资料大量外泄
9月21日丨美国金融犯罪执法网络局FinCEN机密文件泄露
10月15日丨在线书店Barnes & Noble被黑,消费者邮箱和购买记录泄露
10月16日丨希腊电信巨头用户信息泄露
10月30日丨 美国安泰人寿用户信息泄露
10月31日丨阿里旗下电商平台Lazada 110万账户信息被黑客入侵
11月4日丨瑞典保险巨头Folksam数据泄露将100万瑞典人的信息泄露给谷歌、Facebook
11月10日丨西班牙Prestige软件泄漏泄露了酒店住客的个人数据
11月25日丨基督教信仰应用程式Pray.com泄漏使用者的个人资料
12月4日丨巴西卫生部官网存严重漏洞 2.43亿巴西人个人信息被泄露
12月8日丨意大利国防巨头Leonardo S.p.A10GB机密数据泄露
12月9日丨富士康约1200台服务器常规业务文档和报告数据面临泄露
12月16日丨全球4500万医学影像照片在线暴露
12月22日丨英国能源公司数据遭泄露 整个客户数据库受损
【数据防泄漏 刻不容缓】
这些真实鲜活的案例背后,是公众被迫遭受隐私曝光、骚扰及诈骗,是组织商业数据资产的丢失和品牌信誉的塌陷,一些更严重的数据泄露,甚至让社会稳定和国家安全面临威胁。防止数据泄露,保护数据安全刻不容缓,华途信息产品总监陈彬作出以下分析:
全球疫情下的安全管理松懈及攻击激增
2020年几乎对所有企业来说都是充满挑战的一年,COVID-19的肆虐流行引发了健康危机,导致全球经济遭到破坏,许多恶意行为者利用混乱的局面,对网络安全进行攻击并通过贩卖各类隐私数据从而获利。因此相较于以往年份,今年的数据泄露和监管罚款事件发生的频率及严重程度更高。随着社会对数据安全重视程度的提高,对于企业来说,如何保证数据安全将成为其重要工作之一。
内部滥用及泄露的情况显著增多,内部管理起到关键作用
根据IBM和Ponemon Institute 的2020年数据泄露成本报告显示,52%的数据泄露是由恶意外部人员造成的,另外25%是由系统故障和攻击造成的,23%的人为错误,客户的个人身份信息(PII)占所有数据泄露的80%,是最经常丢失或被盗的记录类型。鉴于PII因其敏感性而成为最有价值的数据类型,所以它也是数据保护法规最经常保护的数据类型。
医疗、金融等关键信息基础设施单位为重要保护对象
近年来,数据泄露事件频繁爆出在医疗、酒店、公共部门、零售、金融等行业,造成了相关企业严重的声誉损失和经济损失,作为企业应着重保护自身机密数据以及用户的隐私数据。事实证明,在某些行业,员工疏忽是造成数据泄露的一大原因。例如排在榜首的是娱乐业,其中34%的数据泄露是由粗心的员工造成的,其次是公共和消费产品部门,其中人为错误占数据泄露的28%。在医疗保健领域,尽管有严格的法规,但员工疏忽是造成所有数据泄露的27%。另一方面,在交通运输中,只有13%的数据泄露是由人为错误引起的,而在零售和科技行业,则占17%。
泄露违法成本太低,个人、企业、国家监管部门都应重视
由于面临着COVID-19大流行带来的困难,恶意行为者一直在寻找获利的机会,因此必须重视网络安全。同时,尽管数据保护机构由于当前的情况而表现出宽容,但当他们发现完全忽视了数据保护要求时,他们并没有施加令人垂涎的惩罚。现象表明,许多企业仍将数据安全视为一项事后考虑。如今,数据安全已成为业务运营的关键部分,并且不再有可以忽略的时间了。不管是国外还是国内,都相继出台了法律法规以保障数据安全。特别是2020年,国内《数据安全法(草案)》《个人信息保护法(草案)》两部重磅法律的相继出台,为我们的信息保护注入强心针,提高安全管理,让企业和个人远离数据泄露带来的巨额代价。
当国家监管趋严,用法律夯实保护公民个人信息的安全防线;当数据泄露频发,数据安全态势面临内忧外患、防护低效等多重挑战,建议采取相关有效的措施防止数据泄露:
①从安全需求角度
伴随社会高速发展,数据的安全越来越受到重视,而不法分子的攻击手段也层出不穷,传统权限类、枷锁类数据防护产品性能逐渐无法满足企业需要。此外,数据防护体系建设前,需开展数据治理工作,对数据进行分类分级,完整梳理企业数据资产,并针对重要数据和敏感数据采取适当、合理的管理和安全防护措施,对数据资产进行规范化管理和保护,确保数据安全,促进数据共享。基于上述数据安全需求,具备智能化内容识别能力的DLP产品应运而生。
②从法律监管角度
《网络安全法》中规定未经被搜集者同意,不得向他人提供个人信息。《数据安全管理办法》中也对数据的使用、保存、发送等层面进行防泄漏方面的规定,因此DLP产品除满足企业自身的数据安全需求外,可为行业合规管理和审计的时候提供内控相关的证据,提供基于合规审计的资料,帮助企业轻松应对审查及行业规范、数据安全监管要求。
③从产品用户体验角度
传统的磁盘加密、文件加密类产品都采用从源头一刀切的方式防止数据泄漏,该方式固然安全性高,但在一定程度会改变用户原有操作习惯,影响业务效率,用户体验不太友好。而DLP产品通过内容深度识别,可在多种场景下进行智能化防护,对用户使用来说该防护的存在是无感知的,即丝毫不改变原有操作习惯,提高用户体验。
④从企业IT管理角度
大多数公司缺乏针对敏感、涉密数据的管控和审计能力,确保公司敏感、涉密数据遵循统一的策略,在共享和开放的过程中保障数据安全,需要部署数据安全防护措施,防止敏感数泄漏导致对公司产生的严重影响。DLP产品可有效支撑企业的IT管理,帮助规范内部网络,减少IT管理人员工作量、工作复杂度,从而优化IT环境,同时结合企业的相关规章制度,把数据安全管理要求落地。
点击获取完整版报告,查看数据泄露大事件详情及更多数据安全防护指南。