来源:GDCA数安时代
2020 年是不平凡的一年。新冠疫情不仅对人们的生活和工作产生重大影响,而且加速了许多行业的数字化进程,比如远程办公得到快速普及。同时,新冠疫情也给数据泄露带来一些新变化,例如,由远程办公带来的潜在数据泄露让企业组织面临更严峻的挑战。
回顾 2020 年,数据泄露现状依然严峻,让人担忧。据《IBM 2020 年数据泄露报告》显示,数据泄露的平均总成本为 386 万美元(约合人民币 2521 万元)。对企业来说,数据泄露的后果越来越严重。一方面,企业会受到监管机构处罚,比如英国航空因数据泄露被英国信息专员办公室 (ICO) 罚款 2.04 亿欧元。另一方面,一旦发生数据泄露,不仅会让企业失去客户和用户的信任,而且影响公司长期发展。对个人消费者而言,数据泄露的后果虽然短期不是很明显,但是从长期看,影响非常坏。一旦个人数据遭泄露,这些数据可能会在网上流传,并且被不法分子利用,比如黑客、黑灰产等等。
成人视频网站 CAM4 的数据泄露堪称 2020 年规模最大的数据泄露事件,它泄露了 108 亿条记录,影响美国、巴西、法国、英国和中国等全球十几个国家的用户;罚金最高的则是英国航空泄露 50 万名客户个人信息,英国信息专员办公室 (ICO) 对其开出了 2.04 亿欧元(约合 16 亿元人民币)的罚单。
此外,我们观察到 2020 年数据泄露的两个新变化:第一,与新冠疫情有关的数据泄露事件非常多;第二,由勒索软件引发的数据泄露事件快速增加。
国内
1、泰州警方破获一起侵犯公民个人信息案,涉及800余万条数据
4月,公安高港分局胡庄派出所接到群众举报,有人在QQ群中大量贩卖公民身份证号码,民警立即对该情况展开调查,发现有人通过QQ群、网络交易平台,售卖数百万条公民个人信息。随后,该局组织网安、刑侦等部门民警成立专案组,截至10月9日,共有7名犯罪嫌疑人落网。
2、装修公司花240万买业主信息
7月30日,成都商报-红星新闻记者从德昌警方获悉,截至今年7月1日,法院依法判决27人,还有多人被行政处罚,扣押、罚没涉案资金达200万元。目前,多家楼盘被行政处罚。针对所涉5市房管局,德昌警方已将相关线索通报5市网安部门。
3、“珍爱网”账号信息被盗卖
据财经网报道,8月,钱塘新区警方成功破获一起侵犯公民个人信息案,抓获犯罪嫌疑人2名,扣押涉案电脑1台、电脑主机2台、硬盘2台、手机11部、手机卡8张、电话卡40余张,相关公民隐私信息资料6000余条。
4、圆通“内鬼”泄露信息
据公开报道,今年8月,河北省邯郸市永年区某物流公司委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。
警方调查,涉案的“某物流公司内部员工”为五位圆通员工。9月7日,警方将嫌疑人张某行、高某桥、马某杰抓获。该案涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额120余万元。
5、广西一医护人员倒卖8万条婴儿信息被追责
据南宁法院网消息,9月27日下午,广西壮族自治区南宁市青秀区人民法院公开审理了一起8万多条新生儿、产妇信息被倒卖的案件,涉案人员包括一名医护人员。自2018年初开始,被告人李某某利用在广西壮族自治区妇幼保健院工作的便利,在为新生儿办理出生证时,非法下载新生儿和产妇的个人信息,总量达89904条。
#国外
1、阿里旗下电商平台Lazada 110万账户信息被黑客入侵
据外媒报道,阿里巴巴旗下电商平台、新加坡电子商务公司Lazada宣布,其110万账号信息被黑客入侵。在这个拥有570万人口的国家(新加坡),这显然是一次重大的黑客入侵事件。
这些账号信息包括用户的家庭住址和部分信用卡号码等。Lazada在一封电子邮件中称,这些信息是从其杂货子公司RedMart的数据库中窃取的,属于18个月前的数据。
2、安泰人寿用户信息泄露
美国安泰人寿保险公司(Aetna)向美国卫生与公众服务部(HHS)下属的民权办公室支付100万美金并采取整改措施,以补救其此前违反《健康保险可携性和责任法案(HIPAA)》导致的损害后果。根据HHS的通讯稿,安泰曾三次违反HIPAA的相关义务:2017年4月,安泰发现其网站某页面的文件无需登录即可访问,造成超过5000人的信息泄露;2017年8月,安泰用窗信封给用户寄送受益通知,"HIV Medication"的字样出现在了信封窗中,导致逾1万人的信息泄露;2017年11月,安泰寄送的研究报告信封上印有收件人所参加的房颤研究项目的名称及标志,导致1600人的信息泄露。
3、希腊电信巨头用户信息泄露
中新网10月17日电 据希腊《中希时报》16日报道,日前,希腊最大的电信网络公司Cosmote发生了一起重大数据泄露事件。大量希腊人的个人信息遭泄露,可能会对“国家安全问题”产生重大影响。
据报道,此次信息泄露是不明身份“黑客”攻击网络造成的,他们窃取了2020年9月1日至5日期间的电话等数据。Cosmote的高管们认为,此次“突袭者”来自国外,并表示,希望这只是一次商业炒作。
4、在线书店Barnes & Noble被黑
据外媒报道,虽然Nook在很大程度上已经被亚马逊的Kindle抛在脑后,但Barnes & Noble(以下简称B&N)仍是一个拥有相当数量忠实客户的知名品牌。然而这些顾客现在可能有些担心,因为这家书商向他们提供了一些令人不安的消息。报告显示,B&N的公司系统遭到了网络安全攻击,黑客可能已经获得了B&N客户的一些重要信息,其中可能包括他们的住址。
5、FinCEN机密文件泄露
据英国广播公司21日报道,9月20日,美国金融犯罪执法网络局(FinCEN)2500多个机密文件又遭泄露,涉及约2万亿美元的交易。这些文件揭露了一些国际性银行让犯罪分子在世界各地转移赃款的行为,也揭露了俄罗斯寡头是如何利用银行来逃避西方国家的制裁。
FinCEN文件的泄露是过去五年来发生的一系列泄密事件中最新的一次,其文件内容揭露了秘密交易、洗钱和金融犯罪。
6、游戏硬件厂商Razer用户数据泄露
8月19日左右,安全研究员Bob Diachenko发现了一个不安全的Elasticsearch数据库,该数据库暴露了大约10万个从Razer在线商店购买商品的用户信息。暴露的信息包括客户的姓名、电子邮件地址、电话号码、订单号、订单明细以及账单和送货地址,如下所示:
7、SK海力士和LG电子机密资料大量外泄
据韩国《东亚日报》9月10日消息,SK海力士和LG电子9日遭到一个黑客团体的网络软件攻击,内部机密资料大量外泄。被黑客入侵的文件中相当一部分包含客户交易信息等机密资料,因此有可能产生进一步的损失。
8、网站Freepik用户数据泄露
E安全8月25日讯 Freepik是一个致力于提供高质量免费照片和设计图形访问的网站,也是互联网上最受欢迎的网站之一。近日,Freepik披露了一起重大安全漏洞,一名黑客(或多名黑客)利用SQL注入漏洞访问其存储用户数据的数据库,并获得了其Freepik和Flaticon网站上830 万注册用户的用户名和密码。
9、美AI公司泄露医疗数据
8月,安全研究人员耶利米·福勒(Jeremiah Fowler)在Secure Thoughts上发表文章称,他发现近260万条包含姓名、医疗诊断记录、保险记录和支付记录在内的个人病历数据被泄露了。福勒指出,不少被泄露的数据都指向一家名叫Cense的美国AI公司。
10、美国酒业巨头百富门被窃取超1TB数据
E安全8月18日讯 近日据外媒报道,Sodinokibi(REvil)勒索软件运营商上周宣布,他们已经破坏了Brown-Forman的网络系统,该公司是美国烈酒和葡萄酒行业最大公司之一。
事件发生后,威胁行动者声称已窃取1TB的机密数据,并计划将最敏感的信息用于拍卖,并会泄漏其余信息。据统计,该团伙窃取的数据包括机密员工的信息,公司协议,合同,财务报表和内部消息。