4月1日,萬豪國際首次披露今年2月底檢測到的數據洩露事件,近520萬房客個人信息被洩露,數據涉及個人姓名、地址、電話號碼以及會員賬戶信息、夥伴關係與從屬關係信息、客戶偏好等。這也是萬豪繼2018年11月喜達屋5億條用戶數據洩露事件後發生的又一起重大安全事件。
在全球來看,數據洩露事故並非偶發現象。據安全情報供應商Risk Based Security (RBS) 的2019年Q3季度的報告,2019年1月1日至2019年9月30日,全球披露的數據洩露事件有5183起,洩露的數據量達到了79.95億條記錄。
2019.3某安全研究人員對外披露一個可公開訪問的 MongoDB 數據庫,包含9.8億條數據記錄;
2019.4 Facebook的應用服務商Cultura Colectiva上5.4億數據由於數據庫配置錯誤導致數據洩露;
2019.5 澳大利亞的平面設計服務網站 Canva被一名黑客攻破,竊取1.39億用戶數據;
2019.5美國房地產和產權保險巨頭First American 8.85億份敏感客戶財務記錄被洩露;
2019.12國外網絡安全研究人員發現Elasticsearch 數據庫27 億個電子郵件地址洩露;
數據“窪地”行業成為洩露的重災區
近幾年,隨著信息技術與眾多產業的融合以及全球資產數字化的發展趨勢,個人與企業數據的價值劇增,掌握海量用戶信息的行業和企業頻繁面臨數據洩露的安全風險。尤其金融、保險、教育、醫療、科技、政府等行業作為數據的“窪地”,已成為黑客和黑產的主要攻擊目標。縱觀歷年數據洩露事故,不僅數據規模驚人,動輒千萬級甚至上億,同時洩露數據的顆粒度愈發精細、全面,對於企業和用戶都造成了直接或間接的巨大損失。
隨著互聯網技術在社會各方面的滲透,個人生活工作的便利與企業效率的提升常常是通過個人讓渡一部分隱私權實現的。這其中有用戶對個人隱私保護的輕視,但更多來源於部分企業對於用戶信息的過度索取,導致大量個人用戶的信息以數據方式存儲於企業的數據庫中,形成了數據聚合的“窪地”。
而數據本身也存在一定的安全風險。產業互聯網時代,企業在生產、運營中都高度依賴數據,數據從生產之初就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環節且循環往復,這些都使得數據面臨安全風險。
企業應如何防護數據安全?
1. 未經數據平臺方的允許,任何第三方不得隨意抓取、使用數據平臺方的數據;
2. 未經用戶的二次授權,不得隨意使用敏感類數據,如通訊錄等信息;
3. 未經用戶同意不得隨意將敏感類數據分享給第三方。數以億計用戶的合法權益能不能得到保護和尊重,決定了互聯網產業是否可以健康發展,互聯網企業是否可以穩健成長。
4. 通過定期對操作系統進行升級和更新的辦法有效堵塞操作系統的安全漏洞,從而滿足操作系統的安全性能指標,提高操作系統的防禦能力。
5. 部署SSL證書,使用HTTPS加密傳輸協議。為網絡通信提供安全及數據完整性的一種安全協議。對網絡連接進行加密,防止傳輸數據被他人竊取、窺視或篡改。
閱讀更多 GDCA數安時代 的文章
