盘点分析 | 2021第一季度国内外重大数据泄露事件

今年两会，关于数据安全的提案再次引人关注。各类关于数据安全的声音不绝于耳，让这个全球瞩目的问题，再次受到广泛关注。

据不完全统计，从2015年开始，互联网黑灰产业从业人员就已经超过40万。尽管公开数据显示，2019年中国网络安全产业规模预计超过600亿元，但黑灰产早已达千亿元规模。

网络安全和数据安全是保障国家安全的重要组成部分。网络安全的核心就是大数据安全，大数据安全关系并影响着网络安全和国家安全、公民个人隐私权益和社会安全稳定等。大数据对国家的政治、经济、军事、科研等重大领域及人们的生活、工作、学习、社交方式具有重要影响。

虽然大数据如此重要，但当今世界大多数国家对大数据的安全管理还缺乏明确的相关法律法规。对大数据的采集、传输、存储、互联、共享、应用、交易、安全管理等权责不明确，大数据的所有权、使用权、运营权、安全责任等模糊，造成数据资源的开发和使用者经常游走在法律的边缘。

在今年第一季度，“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰，已造成重大损失。现梳理了国内外各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失，还带来了巨大的社会影响。

国内

01

30人贩卖6亿条个人信息获利800余万

近日，镇江丹阳警方成功侦破一起公安部督办的侵犯公民个人信息案，涉及10多个省市，抓获犯罪嫌疑人30名。
该团伙采用境外聊天工具和区块链虚拟货币收付款，共贩卖个人信息6亿余条，违法所得800余万元。犯罪嫌疑人已被移送检察机关。

02

一公司卖个人信息被罚320万

近日，中国裁判文书网公布一份判决书——《北京智借网络科技有限公司、贤某某等侵犯公民个人信息罪一审刑事判决书》。
判决书显示，上述公司在未取得受害人同意的情况下，向下游多家公司出售包含姓名、身份证号、手机号等个人信息，因犯侵犯公民个人信息罪，被判处罚金三百二十万元。值得注意的是，买方涉及多家知名公司，如平安普惠、拍拍贷、你我贷等。

03

疑似超2亿国内已泄露用户信息在国外暗网论坛兜售

国外安全研究团队Cyble在一次日常安全监控中发现了多个帖子正在出售与中国公民有关的个人数据。经分析，这些数据很可能来自微博、QQ等多个社交媒体，其中还发现了大量湖北省“公安县”的公民数据。
其中一个帖子，威胁者公布了公安县999名中国公民的户口登记样本数据，以作为黑客攻击的证据。并表示共有730万中国公民的数据可供出售，包括身份证，性别，姓名，出生日期，手机号，地址和邮编等记录。

国外

01

近30TB业务数据被破坏，数据分析公司Polecat遭重大安全事件

英国数据分析公司Polecat专为客户提供各类高级“数据分析与人类专业知识”工具。遗憾的是，这家专注于提供ESG（环境、社会、治理）管理方案的厂商刚刚成为数据泄露的又一位受害者。
根据Wizcase研究人员的分析，Polecat使用的这台不安全的Elasticsearch服务器将接近30 TB的数据泄露至公开网络，服务器本身未受任何身份验证或其他加密形式的保护。换言之，任何互联网用户都能随时访问存储在该服务器上的记录。
进一步调查则显示，该服务器上存储着可追溯至2008年的大量业务记录。服务器中存放有员工用户名与密码、超过65亿条推文、收集来自各个网站及博客的超过10亿篇帖子以及社交媒体记录。

02

印度800万核酸检测结果泄露：网站漏洞太低级

本周，安全研究人员Sourajeet Majumder 称他发现另外一个印度政府网站泄露了数百万核酸检测结果。研究人员发现网站在实现上存在问题，会导致在特定州进行核酸检测的人员的测试结果泄露。报告中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息。这里的特定州指的就是印度西孟加拉邦。
根据政府每日公布的公告数据，研究人员推断泄露的核酸检测报告数大约在800万。Majumder 指出，泄露可以看到发送给测试者的消息的内容。

03

Clubhouse音频数据遭泄露，引发安全性担忧

新浪科技讯 2月22日上午消息，据报道，广受欢迎的音频聊天室应用Clubhouse曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在，至少有一名网络攻击者证明了Clubhous平台的实时音频是可以被窃取的。
Clubhouse发言人瑞玛·巴纳西（Reema Bahnasy）表示，本周末，一位身份不明的用户能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。

04

2020年美国医疗机构数据泄露造成130亿美元损失

E安全2月20日讯 近日，据Bitglass的数据显示，去年美国的医疗保健数据泄露事件数量呈两位数倍数增长，受影响的人数超过2600万人。
Bitglass是一家提供安全服务的技术公司。这家云安全公司的第七份年度医疗泄露报告是根据美国卫生和公共服务部的记录整理而来的，该报告记录了受保护的健康信息（PHI）。
报告显示，与2019年的数据相比，泄露事件增加了55％以上，达到599起违规事件，影响了超过2640万人。
其中，最主要的原因来自外部攻击者的“黑客和IT事件”。与其他原因类别相比，此类数据占整个泄露记录的91％以上。
其次是由于端点设备的丢失或失窃，造成584,000多人受影响，而因为内部各方或系统未经授权泄露数据的人数达到763,000。其他杂项裂缝及渗漏影响了超过584,000人。

05

巴西发生重大数据泄露事件：几乎所有巴西人受波及

据外媒报道，当地时间周二上午，PSafe的网络安全实验室dfndr报告称，巴西的一个数据库发生了一起重大泄密事件，数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露，泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息，受影响的人员数量可能有2.2亿。
泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF——包括当局。在一份新闻稿中，dfndr实验室主任Emilio Simoni指出，最大的风险是这些数据会被用于网络钓鱼诈骗，其将会诱使人们在一个虚假页面上提供更多的个人信息。

06

7700万！Nitro PDF用户数据库大规模泄露

2021年1月，黑客免费公开泄露包含超过7700万条Nitro PDF用户记录数据库。
包含超过7700万条Nitro PDF用户记录（电子邮件地址、用户名和密码）数据库被盗，昨天已被黑客免费公开泄露。
黑客公布的这个14GB的泄露数据库包含77,159,696条记录，其中包含用户的电子邮件地址、全名、bcrypt哈希密码、标题、公司名称、IP地址以及其他与系统相关的信息。
该数据库已经被添加到“Have I Been Pwned”泄露检测服务中，该服务使用户可以检查其信息是否在数据泄露中暴露。

07

新西兰央行大量敏感数据泄露

新西兰中央银行近日表示，某身份不明的攻击者已经成功入侵其内部一个数据系统，并且可能已经访问了商业及个人敏感信息。
这家位于新西兰惠灵顿的国家银行在声明中表示，遭到非法访问的是新西兰储备银行用于共享及存储敏感信息的第三方文件共享服务。
银行行长Adrian Orr表示，违规行为已经得到遏制，该银行的核心职能“仍然保持着健全性及可操作性。”

08

弱口令惹祸！日产公司近20GB源代码遭到泄露

传统机动车制造厂商近来麻烦不断，继去年本田遭遇勒索软件攻击、奔驰数据泄露、伊始川崎重工和日产公司又接连曝出数据泄露事故。
2021年1月，日产北美公司一台配置错误（使用了默认的管理员用户名密码组合：admin/admin）的Bitbucket Git服务器的信息在Telegram频道和黑客论坛上开始传播，直到周三该服务器才脱机。
据悉，该服务器是存有日产北美公司开发和正在使用的移动应用程序和内部工具的源代码，目前已在线泄露。
一位瑞士软件工程师Tillie Kottmann本周接受媒体采访时透露，他从匿名来源获悉泄漏，并分析了日常数据，发现泄露的Git存储库包括的源代码。

09

英国一大型整容医院遭勒索攻击，近1TB病人照片泄露

据外媒体报道，不久之前，有黑客窃取了英国一家大型整容连锁店-- Hospital Group的数据并威胁要公布患者手术前后的照片和其他细节。Hospital Group目前已经证实遭到了勒索软件的攻击。该公司表示，其已将此事告知信息专员(Information Commissioner)。
黑客组织REvil在其暗网网页上表示，顾客的照片并不完全是令人愉快的景象。它声称已经获得了超过900G的病人照片。遭到网络攻击的Hospital Group--也被称为Transform Hospital Group--声称是英国减肥和美容手术的领先者。

数据安全的挑战

以移动互联网、物联网为代表的信息网络日益普及，云计算、大数据等信息技术日趋成熟，复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显，数据安全风险随之增加，数据安全问题不断涌现。

一是用户隐私数据泄露事件接连不断，危害影响持续扩散。

用户隐私数据泄露事件涉及范围持续扩大、破坏性不断增强，对人们生产生活的影响日益深化。全球每年个人信息泄露事件总数呈递增趋势，重大安全事件频发。根据荷兰 Gemalto 公司2014年至2017年公布的安全违规水平指数调查报告显示。2017年全球重大数据泄露事件高达1765起，比去年同期增长77%。同时，数据安全事件带来的经济成本和经济损失居高不下。

根据IBM联合 Ponemon Institute 发布，企业的平均数据泄露总成本基本维持在350-400万美元。此外，数据安全威胁蔓延到关系经济社会运行的基础设施，乃至政治领域。2016年，剑桥分析公司不正当使用5000万Facebook用户数据，影响美国总统大选结果。2017年6月，美国共和党全国委员会承包商营销公司托管在AWS　S3上超过1.98亿美国公民1.1TB的资料数据库泄露，约占选民总数61%。

据国际安全公司Risk Based Security 报告显示，2019年前9个月披露了 5183 起违规事件，总共泄露了79亿条记录，泄露记录总数同比增长112%。

二是全球数据泄露整体形势严峻，呈现出多类特点。

根据国际数据安全公司金雅拓（Gemalto）发布的《全球范围内公共数据泄露事件严重程度指数》显示，全球数据泄露形势依然严峻。与2017年同期相比，数据丢失、被盗或受损的数量大增133％，2018年上半年，每天有超过2500万条数据遭到入侵或泄露。数据泄露呈现四方面特点：

• 一是从数据泄露源头来看，外部人员进行恶意活动造成的数据泄露事件占比最高，达到56%；第二大原因是意外损失，超过8.79亿（9％）。
• 二是从数据泄露类型来看，身份盗窃漏洞的数量占比超过64%，财务数据泄露条数高达3.59亿（2017年同期为270万）。
• 三是从数据泄露严重的行业或领域看，社交媒体泄露的数据条数（56％）排名第一，医疗领域在数据安全事故数量上继续领先（27％）。
• 四是从数据泄露地理分布来看，北美仍占大头，违规行为占59%，数据受损占72％，欧洲的事件数量减少了36％，但违规记录数量增加了28％，澳大利亚的事件披露数量从18 个增加到 308 个。

三是云计算安全事故频发，数据安全问题日益突出。

近年来，云安全导致的数据安全事件不断发生。2016年9月，Cloudflare 数百万网络托管客户数据被泄露；2017年6月，亚马逊AWS 共和党数据库中的美国2亿选民个人信息被曝光。

与此同时，数据相关企业内部安全管理问题日益凸显，主要表现在未得到用户授权的情况下，收集和使用用户数据信息；安全运维策略缺陷，运维人员可接触用户数据信息以及用户数据不切合自身利益，忽略长期潜在的未知安全问题。

四是移动互联网数据安全威胁日益加深，安全隐患难以缓解。

当前，移动互联网已成为数据安全威胁扩散的重要途径。侵犯数据安全的恶意应用、木马等日益增多，对用户的人身、财产安全构成了极大隐患。根据腾讯安全联合实验室发布的《2018 上半年互联网黑产研究报告》，2018年上半年手机病毒类型多达数十种，个人隐私信息获取成为继资费消耗、恶意扣费之后的第三大病毒类型，占手机病毒数量总比重的20.40%。同时，由于手机病毒功能的日益复杂化，一款病毒往往兼具多种恶意行为。

2018年4月初，腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马，伪装成正常的支付插件，在用户不知情的情况下，私自发送订购短信，同步上传用户手机固件信息和隐私，造成用户资费损耗和隐私泄露。

五是数据交易黑色地下产业链活动猖獗，治理之路漫漫。

数据交易黑色地下产业链交易的数据范围日益广泛，主要包括：用户账号、密码、网银账户等可以直接用以进行经济犯罪的信息以及手机号码、家庭住址、兴趣爱好等隐私信息。我国的数据交易黑色地下产业链存在已久，近年来，地下产业链的规模，产值不断扩大，不仅侵犯虚拟数据资产，更带来了实际的经济利益损失，对数据安全和经济安全构成了极大威胁。地下产业链治理非一日之功。

推进我国数据安全保护工作的思考与建议

面对当前数据安全严峻形势，我国需要从实际出发，不断完善管理制度，积极研发数据安全技术，多管齐下，建立以法律法规为准绳、战略政策为方向、管理体制机制为保障、技术手段为依托、标准指引和评估规范为支撑的全方位数据安全保护体系。

（一）科学推进数据安全保护立法进程，扩展现有法律的调整范围。一是加快立法进程，尽快立法明确数据保护对象、范畴和违法责任，制定关于数据开放共享和跨境流动监管的法律条款；二是拓宽法律调整范畴，将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。

（二）尽快出台数据保护的战略规划和政策法规。首先，应从国家战略资源、经济生产要素的高度重塑数据安全的定位，强化数据安全与发展的战略统筹；其次，出台针对数据跨境流动、长臂管辖等热点问题的监管政策，制定通信、金融等重点行业的重要数据和用户信息的跨境流动监管政策；推动立法规范我国公民个人信息和重要数据的境内存储；此外，要积极参与国际规则的制定，提升我国在数据保护领域的话语权，为我国开展数据安全保护营造良好的国际环境。

（三）完善机制，将数据安全保护纳入国家网络安全管理的核心范畴。在国家层面，设立或者指定统领性的数据安全管理机构，在各行业设置或指定数据安全的接口部门，完善数据保护行政监管体系，确立数据保护的行业监管模式，建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制，鼓励行业自律组织制定、实施行业自律规范，建立企业间交流沟通的渠道和平台；在行政监管方面，加强网络数据资源开放共享和商业合作的安全管理，建立完备的数据跨境流动审查机制，建立健全大规模用户信息泄露事件企业向行业主管部门报告和社会公告制度，健全完善用户隐私泄露举报机制。

（四）加强数据保护关键技术攻关，提升数据跨境流动监管能力。一是要提升数据基础设施安全可控水平，加大自主创新力度，突破存储设备、服务器等关键设备，操作系统等基础软件的核心关键技术，加快推动安全可控软硬件的应用推广；二是要加强数据保护关键技术手段建设，加快身份管理、防御 APT 攻击等关键技术研发；三是要加快能够有效发现、处置敏感数据违法跨境流动行为的监管支撑能力研发。

（五）统筹规划制定数据安全相关标准，推动开展数据跨境流动安全评估。一是加强标准研发工作，构建我国数据安全标准体系，积极研发通用和专用的数据安全标准；二是建立安全评估制度，引导行业内第三方机构开展数据安全相关的监测和评估，开展针对数据跨境流动的专项安全评估。

【参考来源： 信息安全与通信保密杂志社】