探索数据王国(上篇):数据泄露之殇

深入阐述数据泄露,以及对用户的负面影响。

本文原作者Connor Hays,发表于Bloom官方博客,由头等仓Saline翻译,转载请注明出处。

在当今数字时代,几乎每天都会发生数据泄露事件,这已司空见惯。大型企业及政府机构每周所泄漏的数据量基本等同于一条船的载货量。谷歌研究发现,数十亿的用户名及密码在暗网市场上被贩卖,其中直接通过黑客攻击盗取的社会保险号码就达到数百万。

有关数据泄露或披露隐私丑闻的新闻铺天盖地,而涉事公司却往往廖廖几句敷衍了事,要么否认,要么推脱责任。从2017年Equifax(美国最大的征信机构之一)的1.43亿美国公民个人信息被泄露到2018年万豪酒店的3.83亿客户数据以及500多万未加密护照号码被泄露,可见数据泄露频率及严重程度都有所增加。

这种无休止的数据泄露现象也助长了黑市拍卖数据的行为。犯罪分子拍卖所有能拍卖的数据,包括姓名、电子邮件地址、密码、社会保险号码、财务报表、医疗记录、信用卡号码、护照号码、位置记录及家庭住址。大量被泄露数据都被打包出售给出价最高者。

而消费者也逐渐对频繁收到不同公司发来的提醒账号数据被盗的邮件波澜不惊,面对无止境的泄露事件,人们似乎已习以为常。

人们无法参透为何突然发生如此多的数据泄漏及隐私丑闻事件,整日只能提心吊胆。数据及其服务是每个人日常生活中不可或缺的一部分。但个人数据不可避免地需要与政府或银行共享。然而最终能够获得你数据的却往往不止政府或银行,这就形成了一个复杂且不透明的数据经济。

那么这对你来说意味着什么呢?什么是数据泄露?为什么你的数据会出现在不该出现的地方?你该如何保护自己的数据?但并非所有问题都能得到答案。

为了解数据泄露、身份信息盗窃和数据经济,我们编写了一个全面指南,帮助你了解被泄露的数据类型及其泄露方式,以便你可以采取主动措施来保护自己的数据和身份信息。

1、什么是数据泄露(data breach)?

当一个实体(无论是个人、公司还是政府)获得未经授权的信息访问权时,就称为数据泄露。 根据欧盟《通用数据保护条例》,数据泄露被定义为“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。

虽然它听起来像是黑客大佬运用高超技术攻击系统,但数据泄露往往是黑客自身发现并利用系统中的基本安全漏洞来窃取信息。如果企业遵循网络安全最佳实践,其中许多问题完全可以避免。然后黑客再利用这些信息进一步获取未经授权的帐户访问权限,窃取资金,执行勒索软件攻击或在黑市上出售数据等。

image.png

被盗数据范围很广,从姓名、电子邮件地址到医疗和财务记录等等,这些高度敏感的私人信息使窃贼能够轻易获得你的身份密钥。如果你所有账户的密码都相同,那么窃贼掌握一个密码就可入侵你的所有帐户或其它线上账户。社会保险号码可用于贷款或税务欺诈;电子邮件地址可用于网络钓鱼诈骗;信用卡号码可用于进行欺诈性购买。

如今,数据泄露已迅速成为一种流行性病毒。据身份盗窃资源中心称,2018年足足有1244起数据泄露事件,而2005年仅为157起。其中的863起(69%)是由黑客未经授权访问数据引起的。自2005年以来,数据泄露行为愈演愈烈,不仅发生频率越来越高,事件也变得越来越严重。但好消息是,企业及政府最终可能会在数字安全方面投入更多心思,做出亟需的安全改进,并投资于更强大的数字基础设施。

2、什么是数据暴露(data leak)?

数据暴露是指信息对不该访问的实体可访问或可见。暴露与泄露的不同之处在于,暴露通常是指企业或政府将未受保护的数据遗留在服务器上,使得偶然发现此数据的任何人(尤其是正寻找这些无安全保护数据库的不法分子)都可访问敏感信息。

很多时候,我们都不清楚信息是否在曝光过程中被访问或窃取了。与数据泄露一样,数据暴露现象也极为常见,甚至有时候它比泄露还严重。包含客户姓名的数据库被暴露可能没什么重大影响,但包含了数百万抵押贷款文件的数据库被暴露却有极大的利害关系。

image.png

由于数据暴露可能会在数月甚至数年内都不被人发现,因此它们构成了重大风险,即不法分子将能够获得他们不该获得的数据。据身份盗窃资源中心的数据显示,2018年美国共发生了115起意外数据暴露事件,而全球则共有26.9亿份用户信息被曝光或被盗。算下来,每天就有785万份,每小时就有32.7万份,每分钟就有5.46万份,而每秒就有91份!

3、重大数据泄露及暴露事件

尽管过去几年已发生了数千起黑客入侵事件,但仍有几起因其特别严重的安全漏洞以及使数百万人面临的风险严重程度而引人注目。以下是过去几年中最闹得人心惶惶的数据泄露事件。

image.png

Equifax黑客事件——2017年9月

·泄露的身份数量:1.47亿

·泄露的信息:姓名、社会保险号码、出生日期、地址和驾照号码

Equifax数据泄露事件是美国历史上最严重和最令人震惊的数据泄露事件之一。2017年9月7日,Equifax发布声明称1.43亿美国公民的个人及财务信息,包括姓名、社会保险号码、地址、出生日期及信用卡号码均被黑客非法访问及窃取。该数据泄露事件泄露了近一半美国人口的高度敏感私人信息,使得1.477亿美国人的身份盗窃风险显著增加。

Equifax的黑客攻击事件之所以如此严重,都要归结为此次事件中被盗的社保号码数量。在美国,你的社保号就代表了你的身份。一旦被曝光,你就可能会跌入各种诈骗陷阱,并可能会对你未来几年的财务生活产生负面影响。要是再来一次Equifax事件,超过一亿的美国公民的身份和幸福生活都会立即受到威胁。

在Equifax事件中,诈骗者盗走了大多贷款所需的身份信息:SSN、出生日期、驾照号码和家庭住址。而准确、安全和可靠的信用信息对于想贷款、找工作、买房或租房的消费者来说至关重要。由于这些个人信息被泄露,这些数据及其保护机构的可信度都受到了质疑。

Aadhaar数据泄露事件——2018年1月

·泄露的身份数量:11亿

·泄露的信息:印度居民姓名、唯一身份证号码及银行账户

印度《论坛报(Tribune)》于2018年1月报道指出,Aadhaar数据泄露事件使得人人都能在WhatsApp匿名群组花费500卢比(约7美元)获得一个数据库账号,并能够获得用户姓名、地址、邮编、照片、电话号码和电子邮件地址等数据。如果再额外支付300卢比甚至还能打印一张伪造的Aadhaar身份证。

Aadhaar是印度的国家生物识别身份系统。自2009年成立以来,该系统已分配了超过11亿个唯一识别号。它是世界上最大的生物识别和人口统计数据库之一。Aadhaar网络由当地政府机构和个体组织共同运行,他们可在印度唯一身份识别机构(UIDAI)的权限范围内,依法采集印度公民的指纹、虹膜等,并对居民进行面部识别扫描,然后向其发放12位唯一识别码。

UIDAI坚称,自Aadhaar成立以来,没有任何生物识别数据遭到破坏,而且如果没有可验证身份的数据,黑客就无法盗窃身份。但话虽如此,Aadhaar造成的数据泄露事件也已使数亿印度公民和居民面临身份欺诈的高风险,并且银行账户信息的泄露已产生重大经济损失。

Cambridge Analytica(剑桥数据分析公司)丑闻——2018年3月

·泄露的身份数量:8600万

·泄露的信息:姓名、出生日期、公共档案、居住地、网页喜好、消息等

2018年3月,当《纽约时报》爆出超过8600万Facebook用户的私人数据被泄露给政治咨询公司Cambridge Analytica时,Cambridge Analytica丑闻随即爆发。据悉,这些数据是通过英国学者Aleksandr Kogan开发的一款心理测试应用程序收集的。

Kogan从2014年就开始收集数据,大约花费80万美元收集了8600万左右的用户数据。并且约有27万人下载了此应用并登录了他们的Facebook账户,尽管那些人并没意识到该应用的邪恶用途。Kogan不仅收集了这27万用户的数据,还获得了其好友的数据访问权限,但他们对这些毫不知情。

让这一消息成为爆炸性新闻就是由于其非法的数据用途,因为它与用户最初同意的条款相去甚远。Kogan将收集到的数据卖给了Cambridge Analytica,该公司利用这些数据来识别美国选民的性格特征并以此建立他们的心理档案,试图影响2016年的美国总统大选。

很快就有消息称,早在2015年Facebook就发现Cambridge Analytica在收集数据了,并试图让该公司悄悄删除这些数据,但Facebook从未警告用户他们的个人信息已被窃取。Cambridge Analytica丑闻事件向大家揭示了全球数万家公司每天收集到的数据数量究竟有多庞大,以及这些公司面对数据泄漏问题时是如何的不堪一击。

万豪数据泄露事件——2018年11月

·被盗的身份数量:3.83亿

·被盗的信息:姓名、地址、出生日期、护照号码、电子邮件地址、电话号码和加密的信用卡号码

万豪于2018年11月首次披露其喜达屋预订系统遭到大规模入侵,并宣布此次入侵泄露了5亿名客人的个人及财务信息。万豪当时表示,被盗的预订记录包括姓名、地址、出生日期、护照号码、电子邮件地址、电话号码以及加密信用卡号码。

万豪于去年9月才首次得知此事。最初,万豪在喜达屋系统上发现了一种名为“远程访问木马”的间谍软件工具和一种名为“Mimikatz”的渗透工具,但没有发现客户数据已被获取的证据。直到去年11月万豪才发现,自2014年7月以来,黑客就已入侵该系统。

根据万豪首席执行官Arne Sorenson的最新证词,该公司最终确定已有3.83亿名客户的个人信息被盗,其中包括1850万个加密护照号码、910万个加密支付卡号码、525万个未加密护照号码以及38.5万个有效卡号。

与其他闹得沸沸扬扬的泄露事件一样,过了数月万豪才决定向客户或监管机构通报此事。万豪事件的规模和范围使其成为近年来最严重的数据安全事件之一。

First American数据暴露事件——2019年5月

·暴露的身份数量:8.85亿

·暴露的信息:社会保险号码、银行对账单、银行账号、税务记录、电汇交易及驾照

2019年5月,房地产和产权保险巨头First American在其网站上暴露了数亿份抵押贷款相关文件。这些记录可追溯到2003年,包括银行对账单、税务记录、银行账号、社会保险号码、电汇交易及驾照等。First American公司网站总共曝光了约8.85亿份财务文件,而且任何人都可以通过网络浏览器访问。

First American数据曝光可为诈骗者提供大量宝贵数据,并使数百万购房者和卖家面临大范围的身份欺诈风险。安全专家预测,这次曝光事件对网络钓鱼者和诈骗者来说将是一个福音,他们可利用这些信息进行电子邮件诈骗,诈骗者可能会冒充房地产经纪人或托管公司来欺骗购房者向他们发送电汇。

由于曝光的文件几乎包含了个人所能提供的所有敏感私人信息,身份窃贼也很容易以受害者名义开设银行账户,获得未经授权的信贷额度,或通过提交虚假纳税申报表进行税务欺诈。如此大规模的泄漏加上如此大量的财务信息,瞬间就将客户身份及财务生活方面的所有关键信息暴露在阳光下。虽然目前还没有证据表明有人发现并窃取了这些数据,但显然,掌管敏感财务数据的公司仍未采取能够保护消费者信息的必要措施。

Quest Diagnostics数据泄露事件——2019年6月

·泄露的身份数量:1190万

·泄露的信息:患者姓名、出生日期、地址、社会保险号码、电话号码、服务日期、护理提供者、信用卡及银行账户信息

实验室测试巨头Quest Diagnostics于6月份披露了数据泄露事件,称其第三方供应商遭遇数据泄露,造成1190万名Quest患者的个人信息被盗。被盗数据包括患者姓名、出生日期、地址、社会保险号码、电话号码、服务日期、护理提供者、信用卡和银行账户信息。

不过Quest的系统并未直接受到该事件的影响,而是第三方计费提供商American Medical Collection Agency(AMCA)的系统遭受黑客入侵。本次泄露从2018年8月持续到2019年3月,也就意味着“未经授权用户”可访问AMCA系统长达九个月。

Quest Diagnostics事件让人联想起2014年的Anthem(美国第二大医疗保险公司)数据泄露事件,该事件造成了7900万的客户信息被盗,是历史上规模最大的医疗数据黑客攻击事件。保险和计费公司手上的财务数据对黑客来说非常有利可图,而且始终是黑客的首要攻击目标。据身份盗窃资源中心称,仅去年一年,医疗部门就发生了超363起数据泄露事件。

近年来发生了如此频繁且大规模的数据泄露及暴露事件,你可能不禁发问,到底谁才是真正的罪魁祸首?年复一年,数十亿的个人数据怎么说偷走就偷走?如果你也在找寻这一系列事件背后的罪魁祸首,且看当今数字时代的数据经济。

原文:https://bloom.co/blog/ultimate-guide-to-data-breaches-and-identity-theft/?utm_source=reddit&utm_medium=post&utm_campaign=data_breach_guide

稿源(译):https://first.vip/shareNews?id=1955&uid=1

本文章来自网络,只做学习使用,不代表牛弹财经观点,不作为投资参考。发布者:小牛,转转请注明出处:https://niutan.com/12506.html

发表评论

登录后才能评论