無(wú)法撤回的2018，他們都說(shuō)有點(diǎn)喪。安全行業(yè)同樣不讓人省心。

“全世界的企業(yè)可以分為兩種：一種數(shù)據(jù)已經(jīng)泄露的和一種將要發(fā)生數(shù)據(jù)泄露的企業(yè)。”

天下熙熙皆為利來(lái)，天下攘攘皆為利往。沒有破不了的盾，數(shù)據(jù)永遠(yuǎn)不會(huì)安全。

2018年雖然沒有出現(xiàn)像2017年那樣造成全球人民恐慌的勒索病毒，但遭媒體曝光的數(shù)據(jù)泄露事件數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)往年，個(gè)人敏感數(shù)據(jù)遭泄露的人數(shù)以億計(jì)算。

盡管數(shù)據(jù)泄露事件層出不窮，仍然有很多組織任由自己的數(shù)據(jù)庫(kù)不加防護(hù)地暴露在外。

就在小編寫稿之際，我司安全人員曝出國(guó)內(nèi)某知名安全公司官網(wǎng)存在SQL注入漏洞，如果遭到惡意利用就會(huì)導(dǎo)致數(shù)據(jù)庫(kù)全泄露(已私下通知對(duì)方修復(fù))。

連安全公司都不安全了?還有誰(shuí)能來(lái)保護(hù)我們的網(wǎng)絡(luò)安全?

在數(shù)不勝數(shù)的泄露事故中，我們精選了年度十起規(guī)模最大、影響最深的數(shù)據(jù)泄露事件。

#10 Panera

[[254659]]

受害人數(shù)：3700萬(wàn)

泄露目標(biāo)：PaneraBread.com網(wǎng)站的注冊(cè)帳戶

泄露內(nèi)容：姓名、郵箱、地址、生日、信用卡賬號(hào)后四位

大致時(shí)間：公布于2018年4月

事件經(jīng)過(guò)：Panera Bread是北美最大的面包連鎖品牌。2017年8月，曾有網(wǎng)絡(luò)安全專家對(duì)Panera發(fā)出安全警告，他們的網(wǎng)站存在客戶數(shù)據(jù)泄露情況，但直到8個(gè)月后，Panera的IT團(tuán)隊(duì)才承認(rèn)數(shù)據(jù)泄露并采取應(yīng)對(duì)措施。

#9 Newegg電商平臺(tái)

受害人數(shù)：5000萬(wàn)

泄露目標(biāo)：Newegg在線消費(fèi)者

泄露內(nèi)容：信用卡賬號(hào)

大致時(shí)間：2018年8月14日-9月18日

事件經(jīng)過(guò)：網(wǎng)絡(luò)犯罪團(tuán)伙Magecart在Newegg網(wǎng)站上注入了信用卡略讀代碼。每當(dāng)消費(fèi)者在線購(gòu)買東西時(shí)，支付信息會(huì)直接發(fā)送到Magecart的C&C(命令和控制服務(wù)器)上。

#8 Elasticsearch

受害人數(shù)：8200萬(wàn)(5700萬(wàn)個(gè)人用戶數(shù)據(jù)，2600萬(wàn)企業(yè)數(shù)據(jù))

泄露目標(biāo)：用戶信息與商業(yè)交易

泄露內(nèi)容：個(gè)人用戶信息包括姓名、電子郵件、郵寄地址、電話號(hào)碼、IP地址、就職單位、職位;企業(yè)信息包括單位名稱、公司詳細(xì)信息、郵政編碼、地址、經(jīng)緯度，、電話、網(wǎng)址、電子郵件地址、員工數(shù)量、營(yíng)業(yè)額等。

大致時(shí)間：發(fā)現(xiàn)于2018年11月14日

事件經(jīng)過(guò)：ElasticSearch是一個(gè)基于Lucene的全文搜索引擎，被眾多程序員追捧的神器之一。由于缺乏定期的數(shù)據(jù)庫(kù)安全審計(jì)，導(dǎo)致有心人士趁機(jī)復(fù)制和竊取所有數(shù)據(jù)。有網(wǎng)絡(luò)安全專家認(rèn)為，他們已經(jīng)將無(wú)人防守的數(shù)據(jù)庫(kù)的來(lái)源追溯到一家數(shù)據(jù)管理公司，但據(jù)說(shuō)該公司已經(jīng)關(guān)閉。

#7 Facebook

[[254661]]

受害人數(shù)：8700萬(wàn)

泄露目標(biāo)：Facebook用戶

泄露內(nèi)容：個(gè)人資料、政治傾向、好友信息、私人消息

大致時(shí)間：公布于2018年9月

事件經(jīng)過(guò)：2018年兩次Facebook的泄露事件均源于Cambridge Analytica這家數(shù)據(jù)收集公司在未經(jīng)許可的情況下非法收集用戶信息，且出于政治動(dòng)機(jī)——即影響2016年美國(guó)總統(tǒng)競(jìng)選活動(dòng)。雖然這次泄露事件發(fā)生在幾年前，但直到今年才被發(fā)現(xiàn)和報(bào)道。

#6 MyHeritage

受害人數(shù)：9200萬(wàn)

泄露目標(biāo)：MyHeritage用戶

泄露內(nèi)容：郵箱地址、加密密碼

大致時(shí)間：公開于2018年6月

事件經(jīng)過(guò)：網(wǎng)絡(luò)安全研究人員于2018年6月對(duì)MyHeritage發(fā)出安全警告，發(fā)現(xiàn)外部服務(wù)器上存有敏感的MyHeritage信息。該公司確認(rèn)信息真實(shí)性后立即發(fā)布通告，提醒用戶立即更改密碼，所有在2017年10月26日之前注冊(cè)的帳戶都存在泄露風(fēng)險(xiǎn)。

#5 Quora(美版知乎)

受害人數(shù)：1億

泄露目標(biāo)：Quora用戶

泄露內(nèi)容：姓名、電子郵箱、加密密碼、個(gè)人資料

大致時(shí)間：公開于2018年12月3日

事件經(jīng)過(guò)：12月3日，美國(guó)知名問(wèn)答社區(qū) Quora 發(fā)公告稱，1億用戶數(shù)據(jù)因?yàn)榈谌胶诳蛺阂夤舳獾叫孤?，其中包括用戶的郵箱、姓名和被加密的密碼，以及他們?cè)诰W(wǎng)站上分享的內(nèi)容。

#4 Under Armour旗下健身應(yīng)用

受害人數(shù)：1.5億

泄露目標(biāo)：MyFitnessPal用戶

泄露內(nèi)容：姓名、電子郵箱、加密密碼

大致時(shí)間：2018年2月下旬

事件經(jīng)過(guò)：美國(guó)著名運(yùn)動(dòng)裝備品牌Under Armour稱有1.5億MyFitnessPal用戶數(shù)據(jù)被泄露了，MyFitnessPal是一款在蘋果和谷歌應(yīng)用商店中很受歡迎的應(yīng)用，跟蹤用戶每天消耗的卡路里、設(shè)置運(yùn)動(dòng)目標(biāo)、集成來(lái)自其它運(yùn)動(dòng)設(shè)備的數(shù)據(jù)，還可以分享運(yùn)動(dòng)成果到類似Facebook這樣的社交平臺(tái)上。此次關(guān)于用戶數(shù)據(jù)泄露的聲明使得該公司的股票價(jià)格盤后下跌了2.4%。

#3 Exactis

受害人數(shù)：3.4億(2.3億消費(fèi)者數(shù)據(jù)，1.1億企業(yè)數(shù)據(jù))

泄露目標(biāo)：互聯(lián)網(wǎng)個(gè)人和企業(yè)用戶

泄露內(nèi)容：數(shù)據(jù)種類超過(guò)400類，包括電話號(hào)碼、電子郵箱、郵寄地址、興趣愛好、年齡、宗教信仰、寵物情況等。

大致時(shí)間：2018年6月

事件經(jīng)過(guò)：美國(guó)市場(chǎng)營(yíng)銷公司Exactis采集了大約3.4億條記錄，大小約2TB，可能涵蓋了2.3億人的個(gè)人數(shù)據(jù)，幾乎是全美的上網(wǎng)人口。Exactis此次的信息泄露并不是黑客撞庫(kù)引起或者其它惡意攻擊，而是他們自己的服務(wù)器沒有防火墻加密，直接暴露在公共的數(shù)據(jù)庫(kù)查找范圍內(nèi)。

#2 喜達(dá)屋酒店

[[254664]]

受害人數(shù)：5億

泄露目標(biāo)：喜達(dá)屋酒店消費(fèi)者

泄露內(nèi)容：姓名、電子郵箱、郵寄地址、電話號(hào)碼、護(hù)照號(hào)碼、帳戶信息、出生日期、性別、旅行信息、住宿信息、信用卡信息等。

大致時(shí)間：2018年9月10日，但泄露真正發(fā)生時(shí)間可追溯到2014年。

事件經(jīng)過(guò)：與很多其它官方違規(guī)聲明一樣，這家萬(wàn)豪旗下的連鎖酒店發(fā)布了一份稱其服務(wù)器遭受“未授權(quán)訪問(wèn)”的聲明，一個(gè)顧客預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵，可能有約5億顧客的信息泄露。該消息公布后，萬(wàn)豪國(guó)際酒店股價(jià)在當(dāng)天盤前交易中一度下跌逾5%。

#1 Aadhaar印度國(guó)家身份認(rèn)證系統(tǒng)

受害人數(shù)：11億

泄露目標(biāo)：印度公民

泄露內(nèi)容：Aadhaar號(hào)碼、姓名、電子郵箱、住址、電話號(hào)碼以及照片

大致時(shí)間：2017年8月—2018年1月

事件經(jīng)過(guò)：2018年1月4日，印度鄉(xiāng)村企業(yè)家 Bharat Bhushan Gupta爆料說(shuō)，有人在移動(dòng)社交工具WhatsApp上向他推銷Aadhaar數(shù)據(jù)庫(kù)，購(gòu)買之后，Aadhaar數(shù)據(jù)庫(kù)確實(shí)為他提供了大量意想不到的用戶信息。

如果擔(dān)心我的密碼已經(jīng)泄露怎么辦?

更改與發(fā)生泄露帳戶密碼相同的所有密碼，同時(shí)也應(yīng)該從中吸取不應(yīng)重復(fù)使用相同密碼的上網(wǎng)習(xí)慣。

以一句自己喜歡的名言并加上特殊字符等方式作為密碼，強(qiáng)度相對(duì)更高。

任何情況都不能將雙因素認(rèn)證中的密碼告知他人。

警惕銀行和保險(xiǎn)公司的可疑短信和郵件。