大數據“殺熟”的背後,離不開商家用大數據技術對你的精準畫像和分析,更離不開海量的數據。(數據銷燬顯的尤為重要)
數據的經濟附加價值產生了數據洩露和被竊取的風險。在這個沒有隱私的時代,定位、訂單甚至瀏覽偏好都能被以數據形式收集,可以說掌握了數據就是掌握了主動權和控制權。
在你接到各類推銷電話、被各種精準推送廣告吸引目光的時候,是否想過你的數據是怎麼到他們手上的?固然這其中有些是你在註冊、使用時主動提供給各在線平臺、軟件的,但另外一些數據來源卻可能不那麼光明正大。
2016年360搜索發佈的“十大鬧心事件排行榜”中,“個人信息洩露”就入圍了候選榜單,足見在互聯網時代對個人數據安全的擔憂已經不是杞人憂天。
但相對於用戶的關注,許多企業就沒有那麼認真了——去年霸佔了大半年新聞頭條的Facebook劍橋分析數據洩露醜聞涉及近1億Facebook用戶數據,被指干預2016年美國大選,讓社交媒體上興起了註銷Facebook賬號的運動。後來有媒體爆料,Facebook高管早已知道此事,卻刻意掩蓋兩家公司的關係。
此後歐盟很快實施了《一般數據保護條例》(簡稱“GDPR”),這被稱為“史上最嚴數據保護法案”,條例一出,谷歌、推特、微軟、蘋果等科技巨頭幾乎無一倖免。
有人認為GDPR條例或許對企業要求太過嚴格,但實際上,數據洩露事件發生得比一般人想象得還要頻繁——在酒店預訂、航空售票、汽車銷售、社交平臺等擁有大量用戶數據的領域都時有發生。
2018年3月17日,美國紐約時報率先曝光了劍橋分析(Cambridge
Analytica)未經用戶許可,擅自使用Facebook用戶個人信息的行為。此後,Facebook公開承認劍橋分析公司不正當使用了8700萬未經授權的用戶私人信息,對這些用戶進行大數據分析,分析他們的喜好、偏向、政治傾向,然後通過facebook的廣告系統精準投放他們喜好的新聞和廣告。
劍橋分析公司的母公司“SCL 選舉公司”被處以 1.5 萬英鎊(約合 1.9 萬美元)的罰款,5月劍橋分析及其母公司 SCL
Election宣佈公司已在英國啟動破產程序,在美國的破產程序也將很快啟動,但拒不承認公司違反了法律,指責媒體報道“聳人聽聞”,導致公司失去客戶。
Facebook創始人扎克伯格為此公開道歉,並親赴美國及歐洲議會出席聽證會。他承認Facebook未能保護其用戶,但他指出,Facebook已採取必要措施防止未來的數據濫用。
扎克伯格表示,他將採取多種措施來防止其他人濫用Facebook用戶的數據。Facebook將進一步限制開發者的數據訪問,防止重蹈覆轍,並且會在新聞Feed上面加入工具,顯示他們使用的應用程序並撤銷訪問相關數據權限。
該公司將禁止任何不同意徹底審核的開發者。“在獲取用戶帖子或其他私人數據時,我們會要求開發者在獲得批准後還要簽署協議。
“
2018年9月,Facebook又爆出,由於安全系統的漏洞導致該公司網站受到黑客攻擊,可能導致近5000萬用戶信息的洩露,後將受影響用戶數量降至3000萬。Facebook表示,在這3000萬用戶中,有1400萬人用戶的敏感信息被黑客獲取。這些信息包括姓名、聯繫信息以及搜索記錄、登陸位置等敏感信息。
12月,Facebook公司宣佈,由於一個軟件漏洞,可能導致6800萬用戶的私人照片遭洩露。
2019年4月,網絡安全公司UpGuard的研究人員發現,數億條Facebook用戶信息被公開發布在亞馬遜的雲計算服務器 AWS
上。
雅虎
2016年12月14日,雅虎宣佈該公司有10億多用戶帳號於2013年被黑客竊取。此次被盜的資料中可能包括姓名、聯繫方式、密碼以及安全問答等內容,事件導致該股跌幅超過6%。雅虎還披露該公司在2014年因為類似的攻擊洩露了5億帳號資料。這成為有史以來最大規模的網絡帳號被盜事件。
據路透社報道,由於遭遇史上最大數據洩密事件,雅虎接受了一項修改後的1.175億美元和解協議,與本案的數百萬受害者達成和解。這起案件在2013至2016年間導致大約30億帳號受到影響,而雅虎則被控在披露此事的過程中反應過慢。
豐田
2019年豐田再次發生數據洩露事件,日本主辦事處8家豐田、雷克薩斯銷售公司超310萬客戶資料被洩露,財務數據不受影響。據悉,3月21日包含310萬客戶數據的服務器上檢測到了未經授權的訪問,3月19日在泰國和越南的子公司也發現了未經授權的訪問。豐田指出,沒有證據表明黑客竊取了數據。
希爾頓國際酒店
2015年2月10日,計算機服務供應商告知希爾頓酒店在他們的系統裡面有可疑的流量。調查顯示,用於盜竊支付卡數據的惡意軟件,於11月18日和12月5日之間在公司系統裡面被激活。
2015年7月發現第二次入侵,攻擊者利用惡意軟件在2015年4月21日和7月27日之間收集了超過36.3萬的支付卡卡號。調查人員發現,一個文件夾內的數據已經準備好外洩。
但是,希爾頓只告知了消費者第一次入侵後9個月(2015年11月)的那次數據洩露。希爾頓解釋說沒有證據證明攻擊者確實盜取了支付卡數據,由於黑客們已經處理了他們的登陸痕跡,所以調查人員無法看到所有的日誌。
在2014和2015年度,美國連鎖酒店希爾頓就支付卡違規問題與紐約州和佛蒙特州達成和解。希爾頓同意支付70萬美元,40萬給紐約州,30萬給佛蒙特州,並且承諾在提高數據安全和入侵披露實踐方面加快腳步。
作為和解方案的一部分,希爾頓酒店還承諾,在未來,一旦發生安全事件將會盡快通知用戶,並且創建和維護一個全面的數據安全項目,還要對PCI
DSS協議的實施情況做出一個年度評估報告。
韓亞航空
2016年,韓亞航空公司(Asiana Airlines)公開承認有部分乘客數據被攻擊破壞,目前正在調查數據洩露事件的發生原因。據外媒報道,此數據洩露案有數萬份航亞乘客文件被公佈至網絡,包括護照掃描件,家庭住址,銀行賬戶細節,乘客家庭成員記錄等。
國泰航空
2018年10月,香港航空國泰航空公司報道了一起安全漏洞,涉及940萬名顧客,洩露了姓名、國籍、出生日期和護照號碼等數據,其中包括86萬護照號碼和24.5萬香港身份證號碼。
英國航空
2018年8月21日至9月5日期間,英國航空網站因為技術問題出現了數據洩露情況,影響了乘客進行機票預訂,大約有38000次支付受到影響。該公司首席執行官表示將採取措施確保此類事件再也不會發生,目前已展開調查並報警。
新加坡航空
2019年1月4日,新加坡航空公司網站在系統升級時,一個“軟件bug”浮出水面:部分KrisFlyer(新航飛行常旅客計劃)會員能夠查看屬於其它旅行者的信息。
事件發生後,新加坡航空立即向新加坡個人數據保護委員會報告了這一事件。該航空公司表示,他們也會通知受到此次洩露事件影響的每一位客戶。
Deep Root Analytics
2017年,UpGuard網絡風險分析師Chris Vickery發現,Deep Root
Analytics公司超過1.1TB的隱私資料存儲在亞馬遜雲服務器上,而且毫無保護密碼,任何人都能訪問。數據洩露了近2億登記選民的個人信息,約佔美國人口的61%,因此該事件被認為是“美國曆史上規模最大的選民信息洩露事件”。
Deep Root
Analytics是一家網絡數據供應商,受僱於共和黨用來分析其政治廣告的受眾群體。此次洩露的數據並非全部來自Deep
Root,其中還有大量其他公司(TargetPoint Consulting和Data
Trust)以及共和黨超級政治行動委員會的絕密資料。
美國郵政服務
2014年11月,美國郵政服務(USPS)的網絡系統曾遭受了一次入侵攻擊,此次攻擊不僅導致了其內部VPN服務和網絡通信發生故障,而且還洩漏了該機構八十多萬名員工的個人數據。
攻擊者成功入侵該機構的網絡系統之後,獲取到了包含有目前所有在崗員工以及2012年5月之後從USPS退休的員工資料,洩漏數據包括員工姓名、社保號碼以及大量其他的個人數據,還曝光了大約290萬名在2014年1月至8月間撥打過USPS呼叫中心服務電話的USPS客戶姓名和電話號碼。
雖然USPS在事件發生之後也發佈了相關的事件公告,不過公告並沒有指明引起此次數據洩漏事件的原因。不過USPS表示,他們的VPN服務中存在安全漏洞,而且調查人員也已經發現了攻擊者所使用的攻擊方法以及IP地址。
Myspace
2016年5月份,時代週刊報道稱,超過3.6億Myspace用戶賬號以及4.27億密碼被竊取,信息包括了用戶名、密碼和郵箱地址——這是Myspace遭遇最嚴重的一次洩露。
儘管Myspace從2008年就已經開始不再流行,不過攻擊者還是可以通過撞庫的方式,對其註冊用戶產生危害。
自那天開始,MySpace重新發布了強度更高的賬戶安全措施。
Tumblr
2016年5月,位於美國紐約的輕博客網站Tumblr被證實捲入一起數據洩露事件,涉及的郵箱賬號和密碼達65,469,298個。之後有匿名用戶通過Tor在暗網市場TheRealDeal上出售。Tumblr稱,洩露數據中包含的密碼並不是明文,但並沒有透露他們用於加密的算法。
2016年5月19日,美國職業社交網站LinkedIn宣佈,有一名叫“peace”的黑客組織在黑市上以5比特幣(約合2200美元)的售價公開銷售1.67億個LinkedIn用戶登錄信息。據瞭解,這些數據來自於2012年LinkedIn發生的一次大範圍的數據洩露事件,其中有1.17億既包括電子郵件,也包括密碼。當時公司方面曾花費100萬美元展開調查,但未真正意識到問題的嚴重性,才在幾年之後造成如此惡劣影響。
事後,LinkedIn已經給用戶發送了電子郵件要求更改密碼,並對從2012年起就從未修改密碼的用戶要求強制修改密碼。
時代華納
2016年1月,美國最大的有線電視公司時代華納公開表示,公司旗下近32萬用戶的郵件和密碼信息已被網絡黑客竊取。據瞭解,這些郵件和密碼信息很有可能是通過網絡釣魚的方式獲得,同時也可能是保存了時代華納用戶數據的第三方合作商信息洩露所致。
事後,時代華納已向客戶發出通知,敦促客戶更改電郵密碼,另一方面,美國FBI也介入了此次調查。
iMesh
2016年6月點對點服務軟件iMesh的5100萬賬戶被感染,據說此次事件可以追溯到2013年9月,之後也發現數據被在暗網銷售。
阿里巴巴
2016年2月份,路透社報道稱淘寶遭遇黑客攻擊——黑客企圖訪問淘寶2000萬活躍賬戶。彭博社報道阿里巴巴的股票應聲下跌3.7%。阿里巴巴發言人表示,公司已經檢測到了“首例”攻擊,並提醒用戶修改密碼,而且正在配合警方調查。
當時公安部一家網站報道,有黑客獲取了多家網站9900萬用戶名和密碼。隨後這些黑客利用阿里巴巴的雲計算平臺,發現在這9900萬用戶名中,約2059萬也是淘寶賬戶。攻擊者在前年10月中旬將這些信息投入到淘寶中去,11月份被發現——阿里巴巴隨後很快上報給了警方,黑客被抓獲。
阿里巴巴隨即封鎖了大批量的登錄請求。這些黑客利用獲取到的賬戶在淘寶上下單,專門用來提升淘寶賣家的信用。此外還通過出售這些賬戶,作欺詐之用。
當時阿里巴巴方面沒有就黑客如何利用雲計算服務發起攻擊做出任何評論,只是表示阿里巴巴系統從未被攻破。
VerticalScope
2016年2月,VerticalScope平臺被黑,感染賬戶4500萬,入侵者竊取了平臺用戶的聊天記錄。超過1000家網站的4500萬條密碼被洩。
Under Armour
2018年3月30日,美國運動品牌Under
Armour對外表示,旗下健身應用MyFitnessPal因存在數據漏洞而遭到黑客攻擊,一共有1.5億用戶的數據被洩露,這些數據中包含了用戶名、電子郵件地址和密碼等,不過官方強調,洩密數據並不包含駕駛證號、信用卡號、身份信息等更私密信息。Under
Armour官方表示,立刻要求MyFitnessPal用戶更改密碼。
MyHeritage
MyHeritage用戶信息洩露後果可能很嚴重。這是一個家庭基因和DNA檢測的網站,用戶信息中存儲不但有私人信息,甚至還有個人的DNA測試結果。2018年6月初,MyHeritage給出公告稱,網站服務器被攻擊,攻擊者從中截取了超過9200萬用戶信息,其中包含了電子郵件和hash密碼,官方則強調不包含支付卡的信息或DNA測試結果。
不過MyHeritag表示,用戶帳戶是安全的,因為密碼是使用每個用戶唯一的加密密鑰進行hash處理的,為了徹底解決這種攻擊,最終網站啟用了雙因子身份驗證(2FA)功能,即使黑客設法解密hash密碼,如果沒有第二步驗證碼,第一步的破解也將毫無用處。
AcFun
2018年6月13日凌晨,AcFun彈幕視頻網(簡稱“A站”)突然發出公告稱,他們有800-1000萬左右的用戶數據被黑客竊取,隨後A站在公告中強調,2017年7月7日之後從未登陸過的用戶以及密碼強度低的用戶需要立刻更改密碼。
黑客攻擊A站後竊取的用戶信息,很快就放在了暗網售賣,並喊出900萬條用戶數據,售價40萬人民幣。如果購買者對信息真實性質疑,那麼可以隨機抽取測試。
其實早在2018年3月,暗網論壇中就有人公開出售AcFun的一手用戶數據,數量高達800萬條,而價格僅為12000元,平均1元能買到800條。
收購A站的快手第一時間表示,在技術和資金上全力支持A站提升安全能力,務必保證用戶的數據安全,避免類似事件發生。隨後A站升級了系統安全等級,對AcFun服務器做了全面系統加固,實現技術架構和安全體系的升級,以確保以後不會出現如此嚴重的洩露事件。
前程無憂
2018年6月16日,有人在暗網開始叫賣招聘網站前程無憂(51job.com)用戶信息,其中涉及195萬用戶求職簡歷,隨後前程無憂方面確認部分用戶賬戶密碼被撞庫。
為了證實洩露數據的真實性,前程無憂方面還進行了一定的測試,結果發現信息是真實可靠的,不過官方強調,數據中絕大部分來自於一些郵箱洩露的賬戶密碼,且都是在2013年之前註冊。對此前程無憂強調,出現這樣的情況並非拖庫,而是惡意用戶通過這些已洩露的郵箱賬戶及密碼,對相應的站點進行登錄匹配,然後蓄意倒賣。
最後,前程無憂不願意公開具體涉及的是哪家郵箱服務商,只是表示讓2013年註冊的用戶及時修改自己的帳號密碼,同時他們也表示已經升級數據庫的安全等級,防止類似的情況再發生。
圓通快遞
2018年6月19日,一位ID為“f666666”的用戶公然在暗網上兜售圓通10億條快遞數據,這引發了外界的廣泛關注,按照賣家的說法,這些數據是2014年下旬的數據,數據信息包括寄(收)件人姓名,電話,地址等信息,都是圓通內部人士批量出售。
隨後,有網友驗證了其中一部分數據,發現所購“單號”中,姓名、電話、住址等信息均屬實。對此,圓通官方稱正在展開調查,但並沒有承認這些數據是不是從內部流出,只是表示,公司的技術部門通過多種技術手段預防信息外流,提高安全係數。
華住酒店
2018年8月28日,網上突然出現了華住旗下多個連鎖酒店入住信息數據售賣的行為,數據涉及5億條的用戶個人信息及入住記錄,而這些洩密的數據中包含不少私密信息,比如身份證號、家庭住址、銀行卡號等等。
隨後,華住官方證實了這個旗下酒店用戶入住信息數據被販賣的行為,並希望售賣者立即停止這種行為,同時他們內部針對旗下國內超過370座城市的3700多家酒店展開核查。
經過排查洩露的用戶數據多達2.4億條(66.2G),這是酒店入住的記錄,還有約1.3億條入住登記身份信息(共22.3G)和約1.23億條官網註冊資料(共53G)。
華住集團酒店官方微博回應此事稱,“已經報警了。真實性目前無法查證,我們信息安全部門在緊急處理中”。
順豐
2018年8月底又是在暗網上,一個ID為“bijiaodiao1688”的用戶在公然售賣順豐快遞數據,其中牽扯到了3億用戶數據信息,售價是2個比特幣,而這些信息中包含了寄件人、收件人的姓名、地址、電話等,為了證明數據的準確性,購買者可以選擇先“驗貨”,驗貨數據量10萬條,驗貨費用0.01個比特幣。從當時的交易情況來看,至少有超過90萬條的疑似順豐快遞用戶個人信息流向了市場。
順豐方面在官方微博發佈回應稱,該公司已第一時間報警,經技術手段交叉驗證,暗網所售數據非順豐數據。其次暗網所售數據均不涉及快件單號、託寄物、收發件時間等物流特徵信息,其來源不明,冠以順豐名義目的可疑。由於暗網匿名性很強,已成為網絡黑市和犯罪收益的溫床,存在極大隱患和風險,大家務必注意防範鑑別。
萬豪酒店
2018年11月30日,萬豪對外發出公告稱,旗下喜達屋酒店預訂系統2014年起遭網絡“黑客”入侵,洩露大約5億客戶的用戶信息。消息出來後,紐約大學教授卡普斯表示,萬豪在過去4年時間裡一直使用錯誤的安全系統,是出事的主因。
經過複查後得知,萬豪洩露的這5億用戶信息中,用戶的姓名、住址、電話號碼、電子郵件地址、護照號碼、信用卡等所有核心信息統統被洩露。隨後,美國5個州的總檢察長和英國信息專員對外表示,將徹底調查這件事,並讓萬豪付出相應的懲罰。
有美國訴訟集團代表眾多消費者向萬豪提起訴訟,索賠金額高達125億美元(僅相當於5億潛在被盜用戶中每人得到25美元的賠償)。
萬豪國際集團(Marriott International)首席執行官索倫森(Arne
Sorenson)就此事向美國參議院委員會道歉,並誓言要防範未來的類似攻擊。
索倫森表示,自2014年7月以來,有證據表明喜達屋網絡上存在未經授權的入侵者,但“我們的調查人員在2018年11月中旬之前沒有發現任何證據表明攻擊者曾訪問過賓客數據”。
萬豪最初表示,有多達5億名客人牽涉其中,但在今年1月將其估計數字修正至3.83億。
大麥網
2014年上半年,中國部分大型網站陸續出現數據庫被黑客攻擊的情況,大麥網在該事件中也受到牽連。
大麥網表示,2014年事件發生後,大麥網已經引導大部分用戶修改密碼,2014年6月後註冊用戶不會受到牽連。經歷2014年事件後,大麥網技術團隊全力加強信息的安全管控,包括上線安全中心、手機驗證碼登陸、安全掃描監控、外部安全滲透檢查等加固,並獲得公安網監部門組織的信息系統安全等級認證。
菜鳥驛站
2018年,杭州公安破獲一個非法獲取公民信息團伙,該團伙對“菜鳥驛站”APP進行破解後植入控件程序。通過相關省份“菜鳥驛站”服務商進行推廣安裝後,直接通過數據回傳獲得數據。截至破案,遭非法竊取的“菜鳥驛站”快遞數據超過1000萬條。
破案後,經警方通報,菜鳥網絡已對上述漏洞進行了封堵。
