2.2 信息泄露事件及危害_网络安全意识导论-QQ阅读男生玄幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.2 信息泄露事件及危害

随着互联网的不断发展，个人生活与互联网已经密不可分，几乎日常的一切活动都与网络息息相关。由于网络具有巨大的存储能力，用户在互联网的全部活动都会留下记录，致使攻击者可以通过技术手段对这些数据进行追踪和还原。

在如此背景下，隐私信息泄露事件就变得异常普遍，2016年全球发生逾3000起公开的数据泄露事件，近22亿条记录被披露。截至2018年8月统计数据表明，世界各地深受数据泄露事件的困扰，已造成数以亿万美元计的损失。据《2018数据泄露损失研究》评估显示，大型数据泄露代价高昂，百万条记录可致损失4000万美元，5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的企业平均损失386万美元，同比2017年增加了6.4%。

以下是ITPUB技术论坛整理的2018年上半年发生的10起国内外影响最大的数据泄露事件[3]，其影响和危害可见一斑。

1．Aadhaar

泄密数量：10亿条

事件时间：2018年1月3日

事件回顾：

2018年1月，印度10亿公民身份数据库Aadhaar被曝遭网络攻击，该数据库除了名字、电话号码、邮箱地址等，还有指纹、虹膜等极度敏感的信息。

印度Tribune报道指出，攻击者通过一个WhatsApp匿名群组，花500卢比就能获得访问该数据库的一个账号。通过输入任何一个Aadhaar号码（每个印度公民都拥有的12位的唯一标识符），可检索印度唯一身份识别管理局（UIDAI）存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后，任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

2．Facebook

泄密数量：超过8700万条

事件时间：2018年3月17日

事件回顾：

2018年3月，一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息，该应用程序详细描述了用户的个性、社交网络，以及其在平台上的参与度。尽管Cambridge Analytica公司声称公司只拥有3000万用户的信息，但经过Facebook的确认，这个估计实际上很低。同年4月，该公司通知了在其平台上的8700万用户，他们的数据已经遭到泄露。

随着对Facebook应用程序更深入的审查，Cambridge Analytica丑闻只是冰山一角。2018年6月27日，安全研究员Inti DeCeukelaire透露另一个名为Nametests.com的应用程序已经泄露了超过1.2亿用户的信息。

3．Panera

泄密数量：3700万条

事件时间：2018年4月2日

事件回顾：

2018年4月2日，安全研究员Dylan Houlihan联系了调查信息安全的记者Brian Krebs，向记者讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致panerabread.com以明文泄露客户记录，这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞，但他的报告被驳回了。在此后的8个月里，Houlihan每个月都会检查一次这个漏洞，直至最终向记者Krebs披露。随后，Krebs在他的博客上公布了这些细节。在Krebs的报告发布后，Panera Bread暂时关闭了网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度，并表示受到影响的客户不到1万人，但真实数字可能高达3700万人。

4．Under Armour

泄密数量：1.5亿条

事件时间：2018年3月25日

事件回顾：

2018年3月25日，美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据被泄露了，MyFitnessPal是Under Armour旗下的一款食物和营养主题应用App，可以跟踪用户每天消耗的热量，并可以设置运动目标、集成来自其他运动设备的数据、分享运动成果到社交平台，广受欢迎。

据该公司称，此次数据泄露事件影响的用户数据包括用户名、邮箱地址和加密的密码，但并没有涉及用户的社会安全号码（Social Security Numbers）、驾驶证号和银行卡号等隐私信息。

5．MyHeritage

泄密数量：超过9200万条

事件时间：2018年6月4日

事件回顾：

2018年6月4日，MyHeritage的安全管理员收到一位研究人员发来的消息称，其在该公司外部的一个私有服务器上发现了一份名为Myheritage 的文件，里面包含了9228万个MyHeritage账号的电子邮件地址和加密密码。在检查文件后，MyHeritage的安全管理员确认该文件中包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。

随后该公司发布的一份声明称，由于MyHeritage依赖第三方服务提供商来处理会员的付款，黑客破解了密码机制，获得哈希密码，但不包含支付信息。服务商将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上，该公司表示，没有证据表明文件中的数据被黑客利用。

6．Ticketfly

泄密数量：超过2700万条

事件时间：2018年6月3日

事件回顾：

2018年5月31日，美国票务巨头Ticketfly遭遇黑客攻击勒索，导致音乐会和体育赛事票务网站遭到破坏，并离线和中断一周。据报道，此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞，并要求其支付赎金。当遭到Ticketfly的拒绝后，黑客劫持了Ticketfly网站，替换了它的主页。

据黑客IsHaKdZ表示，他手中拥有完整的数据库，里面包含2700万个Ticketfly账户相关信息（如姓名、家庭住址、电子邮箱地址和电话号码等，涉及员工和用户）。

7．Sacramento Bee

泄密数量：1945.3万条

事件时间：2018年6月7日

事件回顾：

2018年2月，一名匿名攻击者截获了由Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据，另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后，攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求，并删除了数据库，以防将来这些数据库再被利用来进行其他更多的攻击。

根据Sacramento Bee的说法，这起黑客攻击事件共泄露了5.3万名订阅者的联系信息，以及1940万名加州选民的个人数据。

8．AcFun

泄密数量：800万条

事件时间：2018年6月14日

事件回顾：

2018年6月14日凌晨，国内著名弹幕视频网站AcFun（A站）在官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称，该网站曾遭遇黑客攻击，近千万条用户数据已发生外泄，其中包括用户ID、网名，以及加密存储的密码等数据。

其实在当年3月，在暗网论坛中就有人公开出售AcFun的一手用户数据，数量高达800万条，价格仅为12000元，平均1元能买到800条。而在AcFun发布此次数据泄露公告之前，暗网中也早有人兜售AcFun的Shell和内网权限，主要卖点就是数据量大、日流量高。

9．圆通

泄密数量：10亿条

事件时间：2018年6月19日

事件回顾：

2018年6月19日，一位ID为“f666666”的用户在暗网上开始兜售圆通10亿条快递数据，该用户表示售卖的数据为2014年下旬的数据，数据信息包括寄（收）件人姓名、电话、地址等信息，10亿条数据已经经过去重处理，数据重复率低于20%，以1比特币打包出售。

该用户还支持对数据真实性进行验货，但验货费用为0.01比特币（约合431.98元），验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的，每条数据完全不同，也就是说，用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息，而购买10亿条数据则需要花费43198元人民币。

10．华住旗下多个连锁酒店开房信息

泄密数量：5亿条

事件时间：2018年8月28日

事件回顾：

华住旗下多个连锁酒店开房信息数据正在暗网出售，受到影响的酒店，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等连锁酒店，泄露数据总数近5亿条。

从网络上流传的截图可以看出，黑客出售的数据信息如下，其中几大数字需要引起我们高度注意。

• 华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等，共53 GB，大约1.23亿条记录。

• 酒店入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3 GB，约1.3亿人身份证信息。

• 酒店开房记录，包括内部ID账号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID账号、房间号、消费金额等，共66.2 GB，约2.4亿条记录。数据之齐全，令人咋舌。

发帖人声称，所有数据脱库 “脱库”，黑客术语，是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。时间是8月14日，每部分数据都提供10000条测试数据。所有数据打包售卖8比特币，按照当天汇率约合37万元人民币。而经过媒体报道之后，该发帖人称要减价至1比特币出售。

据研究人员表示，此次泄露是由华住公司程序员将数据库连接方式及密码上传到GitHub导致的。数据库信息是20天前传到了GitHub上，黑客脱库是在14天前，黑客很可能是利用此信息实施攻击并脱库。

用户的隐私信息一旦被泄露，通常会带来多方面的损失。首先，隐私信息泄露会给当事人的个人生活带来困扰。这其中既有由于单个网络服务出现问题导致的信息泄露，也有针对个人用户更为严重的隐私泄露威胁。其次，个人隐私泄露很容易升级为针对个人的违法侵害，如恶意广告和诈骗活动等。

据北京多个派出所的综合统计，近年来接报的电信诈骗案件数量约占立案总数的1/3，是当前比例最高的发案类型，而此类诈骗通常采用以下手段。

• 用户个人或社交信息泄露后，犯罪分子冒充公检法机关、邮政、电信、银行、社保等部门的工作人员或亲友等实施诈骗。

• 用户购物信息泄露后，不法分子冒充卖家进行诈骗。

• 用户电话、QQ、微信或邮箱等通信方式泄露后遭遇中奖诈骗。

• 用户寻求工作信息泄露后收到虚假招聘信息。

• 用户交友信息泄露后遭到网络交友诈骗。

• 家庭信息泄露后遭受绑架诈骗。

这些诈骗案件通常是基于已获得的用户隐私信息设计的针对性欺骗方案，具有极大的迷惑性。

此外，隐私泄露还可能导致更加严重的犯罪活动，如冒用他人身份信息进行非法活动，利用他人银行卡信息进行洗钱等犯罪活动。

泄露的隐私数据会成为黑客攻击的素材，不仅被用作交易而广泛传播，还会被黑客用于社会工程学攻击（指利用社会工程学手法进行的攻击，详见第4章），从而在后续攻击中起重要作用。例如，黑客通过收集用户的姓名、电话号码、生日、邮箱地址等私人信息构建破解所需的字典表，通过用户的生活、工作信息构建欺骗邮件等。

因此，无论是对于个人层面还是单位、机构、国家等层面，都应该重视和切实采取措施提高隐私保护的能力，提高网络安全意识。由于网络空间安全的复杂性，信息存储和使用的方法多种多样，责任主体也不尽相同，攻击手段更是千变万化，难以通过一套通用的过程保护信息，所以必须针对不同场景设计不同的保护方法[4]。提高网络安全意识，保护个人隐私不仅需要用户提高隐私保护的能力，也需要提供网络服务的企业在研究技术时考虑隐私保护的需求。针对网络安全意识领域而言，无论是何种机构的业务关系总是交由不同岗位的人员进行操作，因此，提升不同岗位人员的网络安全意识，提升个人在网络空间中隐私保护的能力则显得尤为重要。