2016年7月臭名昭著的暗網市場“真實交易”(TheRealDeal)里一位名叫 “和平”的賣家掛出了約2億個雅虎賬戶和密碼進行出售，雅虎數據泄露事件就此開始發(fā)酵。一年后，雅虎官方承認共有約30億個賬戶受到2013年黑客攻擊影響，而那次攻擊導致泄露的數據，之后幾年里一直在暗網里流傳。

關于雅虎數據泄露的相關報道

截止目前，這仍是有史以來涉及用戶數量最多的數據泄露事件。

數據泄露，應該是為數不多普通大眾都有所耳聞的網絡安全概念。它被熟知的主要原因是發(fā)生頻率太高，并且數據泄露事件一旦爆出，往往影響深遠。5年前的一次數據泄露，可能會在今天突然爆發(fā)，導致用戶的個人信息被公之于眾。

一、數據泄露歷史

據我查找到的信息來看，最早有記錄的數據泄露事件發(fā)生在2004年。2004年互聯(lián)網服務公司“美國在線(AOL)”的一名軟件工程師，利用自己職務便利黑入公司內部系統(tǒng)，竊取了9200萬個****賣給了垃圾郵件服務商。當年全球互聯(lián)網用戶人數也僅有8億而已，這一次人為的數據泄露覆蓋量就占到了11%。

名為“美國在線員工因垃圾郵件被捕”的相關報道

在此之后，數據泄露事件開始爆發(fā)式的增長。

目光回到國內，早期曝光的數據泄露事件主要從2011年底開始。2011年，有兩起數據泄露事件影響了當時絕大部分的中國網民。

• 第一，天涯社區(qū)4000萬用戶資料泄露，泄露的數據里面包括天涯的用戶名、密碼、郵箱三個數據。其中大部分都可以可直接登錄到天涯社區(qū);
• 第二，CSDN用戶數據庫泄露事件，高達600多萬個明文的注冊郵箱賬號和密碼遭到曝光，成為中國互聯(lián)網歷史上一次具有深遠意義的網絡安全事故。

2011年數據泄露事件表-圖源澎湃新聞

據統(tǒng)計2011年里的數據泄露事件，共累計影響了1億用戶。我們再來看一個對比數據，根據中國互聯(lián)網信息中心的報道，2011年中國網民共計5.13億。

中國互聯(lián)網信息中心報告截圖

而當年的數據泄露影響了全國1/5的網民。

回到現(xiàn)在，2020年過去3個月，發(fā)生的數據泄露事件也不少。讓我記憶最深刻的是前些日子安全公司 Keepnet Labs 泄露了一個包括50億條已泄露記錄的數據庫。(是不是有許多問號?安全公司也會數據泄露…)

[[323542]]

事件經過是有專家發(fā)現(xiàn)一個屬于安全公司 Keepnet Labs 的未受保護的數據庫，其中包含超過50億條以前泄露的數據記錄網絡安全事件。泄露數據包括哈希類型、泄漏年份、密碼、電子郵件、電子郵件域和泄漏源。

隨著互聯(lián)網的快速發(fā)展，數據泄露也從互聯(lián)網公司蔓延到一些傳統(tǒng)行業(yè)。其中包括酒店、航空、快遞等涉及大量用戶私密信息的行業(yè)，而且涉及數據量都非常之大。2018年僅是一個華住酒店集團數據泄露事件，就涉及了5億條客戶隱私信息…

以目前的情況來看，數據泄露比你想象的更“貼近”你的生活。

二、數據泄露的方式

數據泄露可能是有針對性的攻擊，也可能只是人為錯誤、安全漏洞或缺乏安全措施導致。具體有以下幾種方式：

1. 黑客入侵

據統(tǒng)計，黑客入侵是數據泄露的主要方式。

讓我們來設想一個場景：黑客入侵A網站后對網站拖庫，拿到的數據可以存到自己的社工庫里，可以直接洗庫變現(xiàn)，還可以再去B網站撞庫。

純手工繪圖

是不是被里面的各種庫繞暈了?別慌我們接著看。

• 拖庫：本來是數據庫領域的專用語，指從數據庫中導出數據。而現(xiàn)在它被用來指網站遭到入侵后，黑客竊取數據庫的行為。
• 洗庫：黑客入侵網站在取得大量的用戶數據之后，通過一系列的技術手段和黑色產業(yè)鏈將有價值的用戶數據變現(xiàn)。
• 社工庫：黑客將獲取的各種數據庫關聯(lián)起來，對用戶進行全方位畫像。
• 撞庫：很多人喜歡將不同網站的密碼設置為同一個，一旦你在某個網絡安全能力較弱的網站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測試其他網站，這種手段就叫“撞庫”。

2. 內部外泄

就如出售“美國在線”數據的那位軟件工程師一樣，為了賺錢從內部泄露數據。也有可能是由于員工安全意識不足，失誤將數據外泄。

3. 主動出售

一些小公司為了自身利益會主動出售自己已有的用戶數據，或者與同行交換。

4. 爬蟲獲取

API接口代碼不嚴謹或風控不足，數據被惡意爬取或越權爬取，導致數據泄露。

三、后數據泄露時代的思考

數據不僅是企業(yè)的核心財產，更是用戶重要的隱私?，F(xiàn)如今我們通過個人的努力去減少數據泄露帶來的安全風險可謂是難上加難。太多的個人隱私被存儲在了互聯(lián)網中，誰知道它們會不會是下一個被泄露的。

企業(yè)有義務也更有能力去保護用戶隱私不被侵犯。畢竟，能力越大，責任越大。

[[323544]]

電影《蜘蛛俠》截圖

例如企業(yè)的數據收集必須要符合法律法規(guī)的要求，保證數據收集是在一定的框架和允許的范圍內進行，同時對于所收集的數據以及數據的真實用途要明確告知用戶。

其次企業(yè)應對數據安全風險，要從技術層面和管理層面多方著手。

• 一方面在技術層面做好隱私基準評估、隱私數據識別、數據監(jiān)控掃描、數據加密、安全存儲，通道加密、傳輸行為審計，數據脫敏，數據鎖等多方面工作，了解隱私數據的紅線在哪里，統(tǒng)計網絡行為模型，實時監(jiān)測是否有黑客入侵偷取數據。
• 另一方面，在管理層面則應該設立首席數據安全官來負責數據安全，要設立多個數據安全保護官，或者是多支團隊保障數據安全。同時還要建立好攻防對抗的機制，通過攻防對抗真正的檢驗系統(tǒng)安全性，了解黑客的攻擊方法和技術手段才能更好的保護企業(yè)安全。