最近几年数据库泄漏事件
泄露事故统计数字正在逐步下降,但数据仍然面临着由数据库、应用以及终端保护不当所引发的严重风险。
从多个角度来看,2013年的数据泄露趋势已经得到有效扼制,这对于安全行业来说当然是个好消息。不同于过去四到五年,今年的记录当中不再充斥着大型数据库泄露所导致的数以千万计个人身份信息的外流。根据隐私权信息交流中心的调查,本年度公开报道的泄露事故数量及记录在案的泄露事故数量双双呈下降趋势。去年同期,得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。而在今年,目前为止记录在案的泄露事故约为107万条,漏洞报告则为483份。这充分证明整个安全行业在合规性与安全最佳实践方面所迎来的进步——然而这样的战绩与理想目标相比仍然相去甚远。
在对年初至今的数字进行比较时,我们发现记录在案的泄露事故数量大幅降低了61.7%,然而报告提及的泄露事故数量则仅降低了24.2%。这表明泄露事故仍然快速发生——只不过如今的犯罪活动及违规事件开始逐步扩散而非集中于一点。泄露事件影响范围更小,而且根据安全业内人士的说法,此类恶意活动的目标也更为广泛。现在犯罪分子开始更多地窃取IP或者其它数字资产,由此引发的损失可能比客户记录本身更为严重——同时这也更加难以量化,无法提供头条新闻所必需的统计结果。
通过对今年发生的泄露事故的深入钻研,我们发现安全行业明显仍有大量工作要做。2013年的追踪记录证明,有价值数据库仍然没有受到严格保护与加密、应用程序仍然存在大量安全漏洞、用户们则仍然能够从敏感数据库中下载大量信息并将其保存在缺乏保护的终端当中。为了帮助大家更好地理解当前安全形势,我们选取了几项最具代表意义的实例,希望各位能够从中吸取可资借鉴的教训。
当事企业: CorporateCarOnline.com
泄露统计: 850,000份记录被盗
事故细节:作为全美最具知名度的专业体育、娱乐外加五百强企业,CorporateCarOnline.com拥有大量用户个人资料、信用卡号码以及其它个人身份信息,然而由于其开发出的全球豪车租赁SaaS数据库解决方案将全部信息以纯文本形式储存,最终导致这一切成为犯罪分子的囊中之物。名单中涉及不少大牌,包括汤姆·汉克斯、汤姆·达施勒以及唐纳德·特朗普等。
经验教训:最重要的教训在于认清这样一个现实:面对极具价值的财务与社会工程信息,攻击者们会爆发出极为可怕的技术能量。根据KrebsOnSecurity.com网站的调查,目前遭遇过违规活动的美国运通卡当中有四分之一为高额度甚至无限额度卡片,而且企业间谍分子或者娱乐小报记者也希望通过这类个人信息挖掘到有价值结论。与此同时,该公司在管理收支账目时完全没有考虑过信息安全性,甚至从未尝试采取任何最基本的加密措施。
当事企业: Adobe
泄露统计: 约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未说明产品的源代码惨遭窃取。
事故细节: 自最初的违规事件发生之后,接踵而来的更多攻击活动持续了一个多月之久,并最终导致了此次重大事故的发生。目前情况已经明确,Adobe正在努力恢复其失窃的大量登录凭证信息——更令人惊讶的是,连其产品源代码也一并泄露。
经验教训: 通过Adobe遭遇的这一轮震惊世界的攻击活动,我们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害,同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响,其潜在后果恐怕在很长一段时间内都无法彻底消除。
当事企业: 美国能源部
泄露统计: 53000位前任及现任能源部员工的个人身份信息遭到窃取
事故细节: 攻击者将矛头指向了DOEInfo——该机构利用ColdFusion所打造的、已经弃之不用的CFO办公室公开访问系统。能源部官员表示,此次泄露事故只限于内部员工的个人身份信息。
经验教训: 我们从中应该吸取两大教训。首先,安装补丁过去是、现在是、未来也将一直是最为重要的安全任务。其次,各机构必须通过重新审视与敏感数据库相对接的系统最大程度减少攻击面,保证只向公众开放必要的网站。
当事企业: Advocate Medical Group
泄露统计: 四百万病人记录遭到窃取
事故细节: 仅仅由于犯罪分子从办公室里偷走了四台由该公司拥有的计算机,最终导致了这起四百万病人记录丢失的事故——公司官方将此称为自2009年卫生部强制要求通告安全事故以来、美国发生过的第二大医疗信息泄露案件。
经验教训: 医疗行业的数据泄露事故在2013年的违规披露名单当中一直占据主导,但这一次的案件造成的影响显然特别恶劣。仅仅由于一台物理计算设备失窃就最终导致从上世纪九十年代至今的病人记录泄露,这充分暴露了该公司在物理安全、终端安全、加密以及数据保护等各个方面的全线失误。需要强调的是,终端设备被盗与丢失在医疗行业中已经屡见不鲜。现在这些机构可能需要尽快思考终端设备到底能够下载并保存多少来自中央数据库的信息。
泄露用户信息300余万条,80多房产中介人员被抓
2017年1月4日,新年伊始,公民信息泄露就爆出了大案件,警方一次性抓了80多个嫌疑犯,涉及的公民个人信息多达一个G(约300余万条)。而这些嫌疑犯,全是房产中介的经纪人。
此案件,可谓是房产中介行业信息泄露的一个缩影——对内鬼的无能为力。此案中,主犯之一的范某,在2012年进入一家房地产公司从事房产销售工作,当上了部门经理后,因职务关系其手上握有大小总计近1GB的客户资料,包含了约300余万条客户信息。内容包括客户的看房信息(姓名、电话等)、物业业主信息(姓名、住址、电话等)、中介房东信息(姓名、住址、电话等)等等。
范某从房产公司离职,悄悄带走了这近1个G的客户数据。此后,范某开始利用以前加的一些房产经纪群,在群里兜售这些资料。中介行业里,员工离职率普遍在30%-80%之间,范某这样利用职务便利带走公司客户资料的员工也很多,中介企业因此蒙受巨大损失。
资料带走后,除了“内鬼”自己使用,也会有偿或者无偿提供给别人使用。如此一来,用户信息不可避免的就扩散开来,从而不可避免的造成进一步的泄露:从一个人泄露到另外一个人,从一个中介泄露到另外一个中介,从中介行业泄露到其他行业……最后流转到电话诈骗团伙一类的犯罪分子手中,给用户造成巨大损失。2016年8月,清华大学教授就是因此被骗1700多万的。
此案中也是如此,范某将用户资料无偿提供给另一名主犯毛某,毛某贩卖这些资料牟利。在被抓捕的80余人中的,还有很多人都是这些用户信息的购买者,他们同样是房产中介从业人员。从毛某处购买信息后又再次转卖的人也不在少数,最终这些信息究竟泄露到了哪种程度还待警方进一步查证。
这样的信息泄露事件,在中介行业可谓是司空见惯,中介企业非常心疼因此造成的商业机密泄露,营收受损,不仅入职、离职要签署保密合同,员工手册中也明确规定严禁泄露用户信息,为此不惜花费重金部署了员工、客户管理软件,但对这种“内鬼”风气以及因此造成的用户信息泄露收效甚微。
面对如此局面,房产中介行业要突破信息泄露这一痛点难点,95013安全号(以下简称安全号)一类的新型信息防泄露通信解决方案或是中介行业破冰的绝佳选择,且已经得到了行业客户的使用认证。
具体使用中,通过天舟呼叫中心系统为每一位房产客户分配一个安全号,该号码与客户真实电话号码实现一对一绑定。业务期间,企业业务系统只向地产经纪人提供客户的安全号,双方拨打该号码均会呼叫到对方真实手机号码上,双方的来电显示均为该95013安全号,保护双方的真实手机号码不会因此泄露。业务结束后,安全号失效,即使内鬼带走用户的资料,也联系不到用户,从而实现从根源上杜绝了用户资料的流失。
企业合作热线:95013800
安全号官网:
企业邮箱:95013@cvtt.cn
去年公安机关侦破侵犯公民个人信息案件4900余起吗?
从公安部了解到,2017年以来,公安部组织全国公安机关深入推进打击整治网络侵犯公民个人信息犯罪专项行动,侦破了一批大要案件,有力打击了犯罪分子的嚣张气焰,有效肃清网络环境,切实保护公民合法权益。
据统计,截至2017年12月20日,全国公安机关当年累计侦破侵犯公民个人信息案件4911起,抓获犯罪嫌疑人15463名,打掉涉案公司164个。
近日,福建福州公安机关破获一起特大侵犯公民个人信息案,查获公民个人房产、征信报告、车辆、联系方式等信息超过千万条,抓获的19名犯罪嫌疑人,绝大多数是房产开发、销售、中介等内部人员。他们利用职务便利,非法收集、交换、出售公民个人信息,从中牟利。
从已破获案件看,“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。当前,内部人员作案突出,非法获取公民个人信息新技术、新手段不断出现,涉案单位和人员反侦查意识日益增强,涉案单位和人员以及侵犯公民个人信息的黑色产业链条,拥有海量公民个人信息数据。
过去的一年,公安机关严厉打击利用工作之便窃取、泄露公民个人信息的各部门、各行业内部人员以及入侵信息系统窃取公民个人信息的黑客,抓获各部门、各行业内部涉案人员831名,抓获涉案黑客389名。
近几年网络隐私泄露的经典案例都有哪些?
例如:2017年3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而该信息加密级别并不够高,可以被骇客轻易获取。泄露的信息包括用户的:持卡人姓名、身份证、所持银行卡类别、卡号、CVV码以及用于支付的6位密码。
相关信息
个人信息主要包括以下类别:
1.基本信息。包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息,有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等相对隐私的个人基本信息。
2.设备信息。主要是指所使用的各种计算机终端设备(包括移动和固定终端)的基本信息,如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。
3.账户信息。主要包括网银账号、第三方支付账号,社交账号和重要邮箱账号等。
数十亿条个人信息明码标价售卖,个人信息泄露规模到底有多大?
业务情报安全企业永安在线产品经理邹洪志对《经济参考报》记者表示,永安在线数据泄露监测平台从2018年正式开始运营至今,已发现数据泄露事件超70000起,影响人数超过2亿。
事实上,数据泄露在全球都处于高发态势。近日,据外媒报道,WizCase安全团队在扫描国际在线外汇交易平台FBS服务器时发现了严重的数据泄露事件。此次数据泄漏多达20TB,包括超过160亿条记录。泄漏信息包括姓名、电话、邮件、护照号、个人照片、驾驶执照等个人基础信息。同时,存款金额、货币、交易ID、交易日期、余额、股本等用户财务数据也在其内。
根据ForgeRock《消费者身份信息违规报告》最近公布的数据,网络犯罪分子在2019年暴露了超过50亿条数据记录。尽管2020年第一季度数据泄露事故数量下降了57%,但从泄露量来看,只增未减,泄露了多达16亿条记录,比2019年同期增加了9%。
扩展资料:
被侵犯的公民个人信息数量从‘倍数级’进阶至‘指数级’爆炸式增长
北京市第三中级人民法院副院长辛尚民此前在介绍涉公民个人信息犯罪案件审理情况时指出,随着信息技术的发展,可利用的信息数量日益庞大,从过去的姓名、身份证号、手机号、住址等传统静态信息,增加了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面多维度信息。
同时,储存信息的载体从传统的U盘、硬盘等变为储存量更大的云盘,也让存储成本和难度大幅度降低。
参考资料来源:新华网-数十亿条个人信息明码标价 “潜规则”盛行售卖泛滥成灾
1亿条个人信息遭泄露是怎么回事?
央视曝光:1亿条个人信息遭泄露
【1亿条个人信息遭泄露】近日,西安警方侦破了一起特大侵犯公民个人信息案件,查获的被非法获取售卖的公民个人信息达上亿条次,令警方感到震惊的是,信息泄露源头竟是它!这些信息不仅包括业主所住小区的门牌号、业主的姓名、电话,甚至还有业主本人的身份证号码、工作单位等等。
提醒!上亿条次个人信息被非法获取售卖
近日,西安警方侦破了一起特大侵犯公民个人信息案件,查获的被非法获取售卖的公民个人信息达上亿条次,这些个人信息主要包括陕西省内千余个住宅小区业主的个人资料、还有西安市高档轿车车主的资料、以及西安市企业法人的信息。
这一案件揭开了收集、贩卖个人信息黑色产业链的冰山一角。那么,这些个人信息泄露的源头在哪儿?到底是什么样的人在买卖个人信息呢?来看记者对这一案件的调查。
这起大案最初的线索,来得有些偶然,2016年11月,西安警方对一起案件调查取证过程中,在一家房产中介的办公电脑里发现了上千条业主的个人信息,这些信息不仅包括业主所住小区的门牌号、业主的姓名、电话,甚至还有业主本人的身份证号码、工作单位等等。
这些涉及到业主隐私的信息资料明显超出了房产中介的经营范围,办案民警对相关人员进行了调查,其结果证实了之前的判断:电脑里这些详细的个人信息的确来路不正。
西安市公安局雁塔分局经侦大队张昊:就是通过一些买卖和一些交换的手段,通过一些非法渠道获取的这些业主信息,然后呢他们再通过给这些业主打电话,就是他们所谓的寻找房源。
警方展开了持续的调查,一个月后,一个名叫向某的犯罪嫌疑人被警方抓获,他被认为是这起案件的关键人物,办案人员在向某的电脑里发现了共计40个G的涉案电子数据。
西安市公安局雁塔分局经侦大队张昊:这40G包括上亿条公民个人信息,囊括了西安市所有小区的住户信息,有业主的姓名,业主的电话,业主的房号,以及业主,这个房屋面积,还有业主的身份证号码。
向某掌握的个人信息数量之多让警方感到吃惊,据初步统计,向某的这个信息库里还包括西安一些高档商场的会员卡信息、以及高档轿车车主的资料、和企业法人的信息。向某把这些信息四处贩卖,最初引起警方怀疑的那家房产中介只是向某众多买家中的一个。
经过西安警方数月的调查,截至目前,包括向某在内,有15名犯罪嫌疑人以涉嫌侵犯公民个人信息罪被当地检察机关批捕,案件正在进一步审理中。
西安市公安局雁塔分局经侦大队张昊:这个主犯向某,他是一个长期以买卖公民个人信息为生的这么一个人,他从源头买了这个信息,然后再把信息卖给下线,赚取这个差价。
0条大神的评论