2017-2018年度數(shù)據(jù)泄密安全報(bào)告

2017-2018年度數(shù)據(jù)泄密安全報(bào)告

全球重大數(shù)據(jù)泄密事件回顧

全年泄密數(shù)據(jù)統(tǒng)計(jì)

41G

數(shù)據(jù)泄露和暗網(wǎng)2017

年度安全報(bào)告——數(shù)據(jù)泄密2近年來

,

全球各地?zé)o論是政府組織還是知名企業(yè)

,

頻繁被爆出大規(guī)模數(shù)據(jù)泄露事件

,

尤

以信息化程度發(fā)達(dá)的國家更為嚴(yán)重。2017

年全年有大量重大泄密的事件發(fā)生

,

與之前的數(shù)據(jù)

相比

,

數(shù)據(jù)隱患并不2017

年

6

月IBM

S

和

P

I

兩家研究機(jī)構(gòu)針對(duì)

13

個(gè)國家和

419家公司進(jìn)行調(diào)研并形成“2017

年數(shù)據(jù)泄露成本調(diào)研:全球概述”報(bào)告。通過調(diào)研顯示數(shù)據(jù)

泄露總成本達(dá)到

362

萬美元。令人樂觀。

2017

年

10

月

威瑞森電信公司

(Verizon)

又發(fā)布了一年一度的《2017

年的數(shù)據(jù)泄露調(diào)查報(bào)告》,

對(duì)以往的的安全事件和數(shù)據(jù)泄露進(jìn)行了分析。這份最新報(bào)告

總共分析了

42068

個(gè)安全事件以及來自

84

個(gè)國家的

1935

個(gè)漏洞。2017

年的數(shù)據(jù)泄露報(bào)告是一份“10

周年報(bào)”,

統(tǒng)計(jì)結(jié)果主要基于威瑞森

公司在過去十年里從

65

家不同的組織獲得的泄露數(shù)據(jù)。

在數(shù)據(jù)泄露原因方面

,62%

的數(shù)據(jù)泄露與黑客攻擊有關(guān)

;81%

的的數(shù)據(jù)泄露涉及到撞庫或弱口令。

也就是說

,

直到

2017

年

,

人們使用密碼的習(xí)慣依然不太好

,

絕大部分人并沒有養(yǎng)成定

期修改密碼的習(xí)慣。2017

DataBreach

Investigations

Report2017

Poor

Internal

SecurityPracticesTake

a

Toll32017

年度安全報(bào)告——數(shù)據(jù)泄密

2017

年

12

月

2017

年

12

月

,360CERT

通過大量數(shù)據(jù)調(diào)研和成本分析

,

對(duì)于含有敏感信息和機(jī)密信息的記錄

,

發(fā)現(xiàn)數(shù)據(jù)泄露問題變的很嚴(yán)重

,

全年數(shù)據(jù)泄露

事件的平均規(guī)模上升

2%,

財(cái)產(chǎn)損失高達(dá)上億。很多企業(yè)均遭遇過數(shù)據(jù)泄露

,

受損數(shù)據(jù)不等。

2017

年整體數(shù)據(jù)比

2016

年全年增加了

13%,

其中

,

身份泄密很是堪憂

,

相比去年一年

,

增長了

49%。約

190

億的數(shù)據(jù)泄密記錄是在過去

一

年期間丟失和被盜

,

相比去年

,

增加了

164%。同時(shí)超過

5000

個(gè)數(shù)據(jù)泄密未知和未報(bào)告。

在接下來的幾年中

,

這很可能會(huì)開始改變

,

因?yàn)檎?/p>

制定了相關(guān)的規(guī)章

,

提高數(shù)據(jù)泄密的透明度。2017

年度安全報(bào)告——數(shù)據(jù)泄密4重大數(shù)據(jù)泄露事件回顧

回顧整個(gè)

2017

年

,

產(chǎn)業(yè)信息化、數(shù)字化、網(wǎng)絡(luò)化進(jìn)程加速

,互聯(lián)網(wǎng)

+

已然成為一種不

可逆的趨勢

,

互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)帶來更新式革命

,

然而新趨勢下的數(shù)據(jù)安全狀況變得

越發(fā)嚴(yán)峻。

針對(duì)全年的數(shù)據(jù)泄露事件

,360CERT

通過數(shù)據(jù)泄露指數(shù)來表明數(shù)據(jù)泄露事件的危害和影響力。

360CERT

梳理了

2017

年全球十大影響力的數(shù)據(jù)泄露事件,以此警示各企事業(yè)單位關(guān)注數(shù)據(jù)安全防護(hù)

,

保護(hù)其系統(tǒng)免受或降低泄密風(fēng)險(xiǎn)。

在

2017

年

,

有幾個(gè)數(shù)據(jù)泄露評(píng)分指數(shù)達(dá)到

9.0

以上。下面是一些頂級(jí)數(shù)據(jù)泄露的總結(jié)

:數(shù)據(jù)泄露指數(shù)是由泄密受損紀(jì)錄數(shù)據(jù)、泄密數(shù)據(jù)類型以及風(fēng)險(xiǎn)評(píng)估指數(shù)構(gòu)成。泄密指數(shù)是通過以上三個(gè)因素（權(quán)重）計(jì)算而來。52017

年度安全報(bào)告——數(shù)據(jù)泄密

事件一：全球最大管理咨詢公司埃森哲大量敏感

數(shù)據(jù)泄露

泄露紀(jì)錄：4

臺(tái)云存儲(chǔ)服務(wù)器

泄露指數(shù)：9.2

分

事件時(shí)間：2017

年

10

月

事件回顧：2017

年

9

月

17

日，UpGuard

網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管

Chris

Vickery（克里斯·維克里）發(fā)現(xiàn)不安全的亞馬遜

S3

存儲(chǔ)桶，任何人將存儲(chǔ)桶網(wǎng)頁地址輸入瀏覽器就能公開訪問、下載。

9

月

18

日研究人員粗略分析后發(fā)現(xiàn)，4

個(gè)存儲(chǔ)桶（acp-deployment、acpcollector、acp-software

和

acp-ssl）暴露了埃森哲的內(nèi)部重要數(shù)據(jù)，包括云平臺(tái)憑證和配置文件。

暴露的數(shù)據(jù)包括

API

數(shù)據(jù)、身份驗(yàn)證憑證、證書、加密密鑰、客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的其它更多數(shù)據(jù)。如果泄露的數(shù)據(jù)有效，攻擊者可能會(huì)利用這些數(shù)據(jù)對(duì)客戶發(fā)起攻擊。CSTAR（UpGuard

的專有網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分系統(tǒng)）對(duì)這起泄露事件的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分為

790。這起數(shù)據(jù)泄露表明，即使最先進(jìn)、安全的企業(yè)也可能會(huì)將重要數(shù)據(jù)暴露在網(wǎng)上，造成嚴(yán)重后果。

這些數(shù)據(jù)一旦落入威脅攻擊者之手，這些云服務(wù)器可能會(huì)將埃森哲及其數(shù)千個(gè)知名企業(yè)客戶置于惡意攻擊的風(fēng)險(xiǎn)之中，可能會(huì)造成不可估量的經(jīng)濟(jì)損失。62017

年度安全報(bào)告——數(shù)據(jù)泄密

事件二：德勤

500

萬數(shù)據(jù)泄漏，竟因員工將

G+

公開平臺(tái)當(dāng)記事本

(28

日更新

)

泄露紀(jì)錄：500

萬數(shù)據(jù)

泄露指數(shù)：9.2

分

事件時(shí)間：2017

年

9

月

事件回顧：

2017

年

9

月

28

日德勤已成待宰魚肉：關(guān)鍵系統(tǒng)

RDP、VPN

及代理登錄細(xì)節(jié)泄露。

周一：跨國咨詢公司德勤遭遇黑客攻擊，公司稱只是一次小事故

周二：德勤公司大量

VPN

泄露，其中包括用戶名、密碼以及操作細(xì)節(jié)，這些都被發(fā)布在一個(gè)

Github

倉庫中（內(nèi)容在不久之

后經(jīng)查證，一位德勤員工在大約六個(gè)月前將公司代理登錄憑證上傳至他的

Google+

上，這些信息直到剛剛才被刪除。通過對(duì)泄露的登錄信息分析可知，德勤將一些關(guān)鍵的系統(tǒng)公開在外，并且開啟了遠(yuǎn)程桌面訪問。然而安全起見這些都是應(yīng)該設(shè)置在防火墻后并開啟雙因子認(rèn)證的，事實(shí)上，德勤往往對(duì)他的客戶推薦這種做法，雖然他自己并沒有做到。

全球稅務(wù)與審計(jì)公司Delloitte（德勤）已經(jīng)發(fā)表了官方公告稱，公司遭受了一次網(wǎng)絡(luò)攻擊，在此次攻擊中，攻擊者成功竊取了大量數(shù)據(jù)，其中包括公司某些客戶的私人郵件以及機(jī)密文檔。后被刪除）。

正如其他信息安全專家發(fā)現(xiàn)的那樣，除此之外還有很多信息

在傳播，這些信息可以通過

Shodan

搜索到。利用這些信息，黑

客們可以黑入德勤的內(nèi)部網(wǎng)絡(luò)。Google+

頁面上的信息是所有人

都能看到的，所以黑客可以通過

Google

搜索到非常多的信息，

這些信息足以讓他對(duì)德勤發(fā)起一次攻擊。

當(dāng)然了，此次的Deloitte（德勤）數(shù)據(jù)泄露事件并不是第一次，

而且肯定也不是最后一次，希望其他公司要提高警惕，千萬不要“事

不關(guān)己高高掛起”！72017

年度安全報(bào)告——數(shù)據(jù)泄密

事件三、搞事情！影子經(jīng)紀(jì)人響應(yīng)團(tuán)隊(duì)正在為

NSA

泄露工具進(jìn)行公開眾籌

泄密類型：黑客組織

泄密指數(shù)：9.2

分

事件時(shí)間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：近期影子經(jīng)紀(jì)人正式對(duì)外宣布稱他們將會(huì)提供一個(gè)“月度漏洞披露計(jì)劃”服務(wù)，而這項(xiàng)服務(wù)的訂閱費(fèi)為

100

個(gè)ZCASH

幣。這也就意味著，如果我們支付了影子經(jīng)紀(jì)人所要求的月服務(wù)費(fèi)，我們就能夠第一時(shí)間拿到最新泄漏的漏洞信息。因此在這個(gè)眾籌活動(dòng)中，我們希望能夠集中整個(gè)安全社區(qū)的可用資源，這樣不僅能夠盡量避免類似

WannaCry

這樣的事件再次發(fā)生，而且這對(duì)于那些資金不夠的白帽社區(qū)來說也是一次訂閱最新月度披露數(shù)據(jù)的機(jī)會(huì)。

簡而言之，我們的目標(biāo)就是從利益相關(guān)的第三方籌到足夠的資金來訂閱影子經(jīng)紀(jì)人每個(gè)月披露的漏洞信息。我們希望通過自己的努力完成以下幾個(gè)任務(wù)：

1.

籌到足夠的資金以購買

100

個(gè)

ZCASH

幣；

2.

從正規(guī)合法的虛擬貨幣交易所購買

100

個(gè)

ZCASH

幣；

3.通過電子郵件地址將100個(gè)ZCASH幣轉(zhuǎn)賬給影子經(jīng)紀(jì)人；

4.

訪問影子經(jīng)紀(jì)人每個(gè)月公布的泄漏數(shù)據(jù)，并將其與所有資助者分享；

5.

對(duì)泄漏數(shù)據(jù)進(jìn)行分析，確定披露數(shù)據(jù)的影響程度；

根據(jù)影子經(jīng)紀(jì)人所提供的月度披露服務(wù)條款，每個(gè)月他們給出的漏洞內(nèi)容可能與下列幾種項(xiàng)目有關(guān)：

1.Web瀏覽器、路由器和手機(jī)漏洞，以及相應(yīng)的漏洞利用工具；

2.

NSA

Ops

Disk

中的最新資料，包括

Windows

10

的漏洞以及相應(yīng)的漏洞利用技術(shù)；

3.

被入侵網(wǎng)絡(luò)中的數(shù)據(jù)，包括

SWIFT（環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)）或核武器計(jì)劃；

影子經(jīng)紀(jì)人手中可能沒有太多額外的數(shù)據(jù)了，他們很有可能是在虛張聲勢，這也有可能是一次明目張膽的欺詐活動(dòng)。但是我們可以從公告

MS17-010

中看到，他們不僅很有可能擁有更多強(qiáng)大的攻擊工具，而且還有可能擁有最新版

iOS

的越獄技術(shù)以及先進(jìn)的

Android

端惡意軟件。但這一切都只是我們的猜測，事實(shí)到底如何現(xiàn)在我們也無從得知。我們之前對(duì)影子經(jīng)紀(jì)人泄漏的所有數(shù)據(jù)進(jìn)行了分析，而結(jié)論就是這個(gè)黑客組織絕對(duì)是一個(gè)可信的威脅，因此我們認(rèn)為他們這項(xiàng)月度披露服務(wù)的可信度非常高。82017

年度安全報(bào)告——數(shù)據(jù)泄密

事件四、Equifax

美國征信機(jī)構(gòu)數(shù)據(jù)泄露

泄密記錄：1.5

億用戶

泄密指數(shù)：9.6

事件時(shí)間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：美國征信機(jī)構(gòu)

Equifax

稱它們的數(shù)據(jù)庫遭到了攻擊，將近

1.43

億美國人的個(gè)人信息可能被泄露，這幾乎是全美人口的一半。

美國有線電視臺(tái)(CNN)稱，從被泄露信息的廣度和類型來看，此次數(shù)據(jù)泄露可能是有史以來“最糟糕的”。將近

1.43

億美國人的數(shù)據(jù)庫詳情的的確確掌握在黑客手中。這些數(shù)據(jù)可能導(dǎo)致不同層面的身份欺詐。一旦黑客將這些數(shù)據(jù)公布出去，就是一場大災(zāi)難。如今指責(zé)黑客似乎也無濟(jì)于事，畢竟還是

Equifax

自己安保工作不到位才導(dǎo)致這次泄露。

那么黑客到底是通過什么方式獲取到數(shù)據(jù)庫的密碼的呢？這

些控制面板的確安全性很差，但其他部分是否安全？事實(shí)上，這些

控制面板中還儲(chǔ)存了一些加密數(shù)據(jù)，但密鑰卻放在面板內(nèi)部。一旦

面板被入侵，加密數(shù)據(jù)也不再安全。截圖表明，這些密鑰以及所有

Equifax

子公司的信息都保存妥善，但最后他們還是都被黑了。

Equifax

與執(zhí)法部門配合展開了調(diào)查，并表示將在明年為其

客戶提供免費(fèi)的身份盜竊保護(hù)和信用監(jiān)控。

報(bào)道稱，網(wǎng)絡(luò)犯罪者已經(jīng)接觸到了包括姓名、社會(huì)安全號(hào)碼、出生日期、地址和駕照編號(hào)等在內(nèi)的敏感信息。還有約

20.9

萬美國客戶的信用卡卡號(hào)泄露。此外，居住在英國和加拿大的人也受到影響。Equifax稱，這次信息泄露可能發(fā)生在5月中旬到7月之間。公司稱它們于

7

月

29

日制止了此次攻擊。92017

年度安全報(bào)告——數(shù)據(jù)泄密

事件五、Uber

為

5700

萬份數(shù)據(jù)向黑客買賬泄密紀(jì)錄：5700

用戶泄密指數(shù)：9.3

分事件時(shí)間：2017

年

9

月包括

5700

萬司機(jī)與乘客的信息，而這件事則被當(dāng)時(shí)的

CSO

以向黑客付款10萬美元破財(cái)消災(zāi)的方式壓制了下去。Uber的CSO（首席安全官）和他的助理因他們的惡劣行為被解雇。

黑客攻擊過程如下：兩個(gè)攻擊者訪問了

Uber

軟件工程師的私有

Github

倉庫并用從中拿到的登錄憑證登錄到了公司用來處理計(jì)算任務(wù)的亞馬遜

Web

服務(wù)賬戶上，并在這個(gè)賬戶的數(shù)據(jù)中發(fā)現(xiàn)

了乘客和司機(jī)的信息。接下來就是已知的勒索過程了。事件回顧：去年

Uber

遭遇了大規(guī)模的數(shù)據(jù)泄露，泄露數(shù)據(jù)

Uber

此

次

大

規(guī)

模

泄

露

事

件

相

比

Yahoo、MySpace、Target、Anthem、Equifax

等黑客入侵事件來說并不算嚴(yán)重，但值得我們注意的是他們極端的問題處理方式：隱藏消息，而不是

公之于眾。這是

Khosrowshahi

從前輩

Travis

Kalanick

手中繼

承

Uber

后最近的一次丑聞。

各州和聯(lián)邦的法律都有要求公司在敏感數(shù)據(jù)泄露發(fā)生時(shí)要通

知用戶和政府部門。Uber

表示它有義務(wù)通知駕駛證信息被泄露的

司機(jī)用戶，但可惜當(dāng)時(shí)并沒有做到。

Kalanick

在六月時(shí)因投資者壓力被迫辭掉

CEO

職位，投資

者認(rèn)為他把公司置于嚴(yán)重的風(fēng)險(xiǎn)中。Uber

同時(shí)招聘了國家安全機(jī)

構(gòu)的前法律總顧問

Matt

Olsen，希望他能幫助公司重建安全隊(duì)伍，

還請隸屬于

FireEye

公司的

Mandiant

來協(xié)助調(diào)查這起事件。

Uber

最終聲明并沒有證據(jù)表示此次事件的泄露數(shù)據(jù)被黑客利

用，并將為信息被泄露的司機(jī)提供免費(fèi)的信息保護(hù)監(jiān)控服務(wù)。

數(shù)據(jù)泄露發(fā)生在去年十月份，包括5000萬Uber用戶的姓名、郵箱、電話號(hào)碼和

700

萬

Uber

司機(jī)的個(gè)人信息以及

60

萬份美國司機(jī)駕駛證號(hào)碼。不過

Uber

聲稱社會(huì)保障號(hào)、信用卡信息、交通地理信息等其他數(shù)據(jù)并未泄露。2017

年度安全報(bào)告——數(shù)據(jù)泄密10事

件

六、

絕

密

文

件！

100G

！

泄

露！

NSA

！Amazon

S3!

泄密紀(jì)錄：

100G

數(shù)據(jù)

泄密指數(shù)：9.9

分

事件時(shí)間：2017

年

9

月

事件回顧：近日，據(jù)外媒報(bào)道稱，屬于美國國家安全局（NSA）的一個(gè)高度敏感的硬盤驅(qū)動(dòng)器的內(nèi)容已經(jīng)公開在了Amazon

WebServices

存儲(chǔ)服務(wù)器上。

該虛擬磁盤鏡像中包含了來自代號(hào)為“紅色磁盤（RedDisk）”的陸軍情報(bào)項(xiàng)目的超過

100GB

數(shù)據(jù)。分析顯示，該磁盤鏡像屬于美國陸軍的情報(bào)和安全司令部——被稱為

INSCOM，它是隸屬美國陸軍和國家安全局的一個(gè)部門。

據(jù)悉，該磁盤鏡像保留在非公開的

Amazon

Web

Services存儲(chǔ)服務(wù)器上，但卻沒有設(shè)置密碼，這意味著任何發(fā)現(xiàn)它的人，都可以通過政府秘密文件挖掘信息。本次數(shù)據(jù)泄露事件是由安全公司UpGuard

的網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管

Chris

Vickery

于今年

10

月份率先發(fā)現(xiàn)，并隨即通報(bào)了相關(guān)政府機(jī)構(gòu)這一違規(guī)行為的存在。隨后，該存儲(chǔ)服務(wù)器已經(jīng)得到了保護(hù)。

此次泄漏事件是政府機(jī)密數(shù)據(jù)的又一次大曝光。自

2013

年愛德華

?

斯諾登（Edward

Snowden）披露“棱鏡門”以來，美國國家安全局已經(jīng)成為頭條新聞的常客。今年年初，前

NSA

合同工

Harold

Martin

就曾因在

Booz

Allen

Hamilton

任職期間盜取國家文件及數(shù)據(jù)遭到

20

項(xiàng)刑事指控；6

月份，另一名

NSA

合同工

Reality

Winner，又因涉嫌泄漏

NSA

關(guān)于“俄羅斯試圖干擾美國總統(tǒng)選舉”的絕密級(jí)別（Top

Secret

level）文件而遭到逮捕。112017

年度安全報(bào)告——數(shù)據(jù)泄密

事件七、五角大樓

AWS

S3

配置錯(cuò)誤，意外暴

露

18

億公民信息

泄密紀(jì)錄：18

億用戶數(shù)據(jù)

泄密指數(shù)：9.2

分

事件時(shí)間：2017

年

11

月

事件回顧：11

月

22

日，據(jù)外媒報(bào)道稱，美國五角大樓意外暴露了美國國防部的分類數(shù)據(jù)庫，其中包含美國當(dāng)局在全球社交媒體平臺(tái)中收集到的

18

億用戶的個(gè)人信息。

此次泄露的數(shù)據(jù)為架在亞馬遜

S3

云存儲(chǔ)上的數(shù)據(jù)庫。由于配置錯(cuò)誤導(dǎo)致三臺(tái)

S3

服務(wù)器“可公開下載”，其中一臺(tái)服務(wù)器數(shù)據(jù)庫中包含了近

18

億條來自社交媒體和論壇的帖子，據(jù)猜測，這些信息很有可能是國防部從2009年到2017年8月時(shí)間內(nèi)收集的。

美

國

網(wǎng)

絡(luò)

安

全

公

司

UpGuard

的

安

全

研

究

人

員

ChrisVickery

率先發(fā)現(xiàn)了這三個(gè)可以公開訪問和下載的數(shù)據(jù)庫，并分別將其命名為“centcom-backup”、“centcom-archive”以及“pacom-archive”。

美國中央司令部發(fā)言人

Josh

Jacques

近期證實(shí)：“此次泄露事件由

AWS

S3

配置錯(cuò)誤導(dǎo)致，其用戶可繞過安全協(xié)議訪問數(shù)據(jù)。不過，我們現(xiàn)在已對(duì)其進(jìn)行了保護(hù)與監(jiān)控。一旦發(fā)現(xiàn)未授權(quán)訪問，我們將采取額外措施，以防網(wǎng)絡(luò)犯罪分子非法訪問。此外，我們搜集用戶社交信息并無他意，僅僅用于政府公共網(wǎng)站的在線課程策劃。2017

年度安全報(bào)告——數(shù)據(jù)泄密12事件八、雅虎

30

億帳號(hào)或已全部泄露，政監(jiān)機(jī)構(gòu)參與調(diào)查

泄密紀(jì)錄：30

億賬號(hào)

泄密指數(shù)：9.2

分

事件時(shí)間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：早在

2013

年

8

月，雅虎曾發(fā)生過一起嚴(yán)重的數(shù)據(jù)泄露事件，有超過

10

億用戶的信息遭到外泄。威瑞森通信公司（Verizon

Communications）的業(yè)務(wù)合并過程中獲得的新情報(bào)證實(shí)，此次網(wǎng)絡(luò)攻擊的影響范圍遠(yuǎn)超過此前的估計(jì)，“所有帳戶都有可能受到了影響?！?/p>

其實(shí)，早在

2014

年發(fā)生的數(shù)據(jù)泄露事件導(dǎo)致了至少

5

億用戶數(shù)據(jù)泄露。但雅虎在

2016

年

9

月才對(duì)外披露了那次泄露事件。對(duì)此，就雅虎公司的兩起大規(guī)模數(shù)據(jù)泄露是否應(yīng)該盡早報(bào)告給投資者一事，美國政府監(jiān)管機(jī)構(gòu)還進(jìn)行了調(diào)查。事件九、南非

3000

多萬份個(gè)人信息遭公布或包括總統(tǒng)和部長

泄密紀(jì)錄：3000

萬用戶信息

泄密指數(shù)：9.2

分

事件時(shí)間：2017

年

10

月

事件回顧：據(jù)稱，該事件為南非史上規(guī)模最大的數(shù)據(jù)泄露事件，共有

3160

萬份用戶的個(gè)人資料被公之于眾，其中包括姓名、身份

證號(hào)、年齡、收入、地址、職業(yè)以及電話號(hào)碼等。這些數(shù)據(jù)來自“拼

圖控股”集團(tuán)旗下的艾達(dá)、ER

和房地產(chǎn)

-1

等子公司。南非《時(shí)報(bào)》

19

日披露稱，祖馬總統(tǒng)和財(cái)政部長吉加巴、警察部長姆巴魯拉的

個(gè)人信息可能也在其中。

南非的互聯(lián)網(wǎng)安全專家表示，這些個(gè)人信息可能會(huì)被人拿

到互聯(lián)網(wǎng)上兜售。約堡大學(xué)互聯(lián)網(wǎng)安全中心主任索爾姆斯表示，

“有這些信息就夠了，互聯(lián)網(wǎng)犯罪分子可以冒充開辦信用卡或進(jìn)

行網(wǎng)上訂購等?！贝舜伪缓诳凸嫉臄?shù)據(jù)來源于

Dracore

Data

Sciences

企業(yè)的

GoVault

平臺(tái)，其公司客戶包括南非最大的金

融信貸機(jī)構(gòu)——TransUnion。但在今年

10

月，雅虎對(duì)這一事件進(jìn)行了新的披露：稱通過與

事件發(fā)生后，安全研究人員立即進(jìn)行搜索調(diào)查，發(fā)現(xiàn)GoVault

平臺(tái)將用戶數(shù)據(jù)發(fā)布到了一臺(tái)完全未經(jīng)保護(hù)的

Web

服務(wù)器上，允許任意用戶進(jìn)行訪問。2017

年度安全報(bào)告——數(shù)據(jù)泄密13事件十、維基解密公布

CIA

用于追蹤泄密者的源代碼

泄密紀(jì)錄：3

萬用戶

泄密指數(shù)：9.1

分

事件時(shí)間：2017

年

7

月

涂鴉工具如何運(yùn)作？

涂鴉的編程語言是

C#，它為每個(gè)文檔都生成隨機(jī)水印，并

將水印插入文檔、將所有經(jīng)處理的文檔保存在導(dǎo)出目錄中，并創(chuàng)建

一個(gè)日志文件識(shí)別插入每個(gè)文檔中的水印。

這種技術(shù)跟“追蹤像素”的運(yùn)作方式一致，后者就是將微小

的像素圖像內(nèi)嵌到郵件中，這樣影響人員和活動(dòng)人員就能追蹤有多

說明用戶查看了廣告。而

CIA

通過將微小的唯一生成的文件插入“可能被盜”的機(jī)密文檔中，而文件托管在由

CIA

控制的服務(wù)器上。

這樣，每次有人查看水印文檔時(shí)包括泄密者，它都會(huì)秘密在后臺(tái)加

載一個(gè)嵌入式文件，在

CIA

服務(wù)器上創(chuàng)建一個(gè)條目包括訪問這些

文件的人員信息如時(shí)間戳及其

IP

地址。

僅在微軟

Office

產(chǎn)品中起作用

用戶手冊還指出這款工具旨在針對(duì)

Office

離線文檔，因此如果打水印的文檔在

OpenOffice

或者

LibreOffice

中打開的話，水印和

URL

會(huì)被暴露給用戶。它在微軟

Office

2013（Windows8.1×64）文檔，Office

97

至

2016

（Windows

95

上不起作用）文檔，以及表單未被鎖定、未加密或不受密碼保護(hù)的文檔中起作用。

然而，由于隱藏的水印是從遠(yuǎn)程服務(wù)器加載的，因此這種技術(shù)應(yīng)該只有在訪問水印文檔的用戶聯(lián)網(wǎng)的情況下才起作用。

維基解密指出，最新的涂鴉版本（v1.0

RC1）是在

2016

年3

月

1

日發(fā)布，這說明至少在去年還在使用而且本來應(yīng)該在

2066年才解密。更多技術(shù)詳情可訪問《用戶手冊》。

截至目前，維基解密發(fā)布了

CIA

針對(duì)流行硬件和軟件的入侵利用代碼“Year

Zero”文檔、針對(duì)

iPhone

和

Mac

的利用代碼“Dark

Matter”、“Marble”文檔、以及披露了能入侵微軟Windows

并繞過殺毒保護(hù)措施的能輕易創(chuàng)建自定義惡意軟件的一個(gè)框架即“Grasshopper”文檔。

“涂鴉”項(xiàng)目即“斯諾登阻止器”是一款用于聲稱將“webbeacon（網(wǎng)絡(luò)信標(biāo)）”標(biāo)簽嵌入機(jī)密文檔中的軟件，以便監(jiān)控機(jī)構(gòu)追蹤泄密者和外國間諜。自

3月份開始，維基解密已公布

Vault7

系列中的數(shù)千份文檔和其它聲稱來自

CIA

的機(jī)密信息。

CIA

稱“涂鴉”是“一款批量處理工具，用于處理預(yù)生成水印并將這些水印插入由外國情報(bào)官員竊取的文檔中”。2017

年度安全報(bào)告——數(shù)據(jù)泄密14事件十一、韓最大加密貨幣交易所被黑客攻擊：3萬客戶數(shù)據(jù)泄露

泄密紀(jì)錄：3

萬用戶

泄密指數(shù)：9.2

分

事件時(shí)間：2017

年

7

月

事件回顧：正當(dāng)韓國正被對(duì)比特幣和以太幣等加密貨幣進(jìn)行監(jiān)管立法的時(shí)候，卻有報(bào)道稱該國最大的加密貨幣交易所Bithumb

遭到了黑客入侵。據(jù)

BBC

報(bào)道，3萬名客戶數(shù)據(jù)被泄露，黑客利用欺騙來的數(shù)據(jù)竊取用戶賬戶里的資金。BraveNewCoin則解釋了

Bithumb

用戶是“語音釣魚”的受害者，因?yàn)橛凶苑Q該交易所工作人員的騙子打電話來忽悠他們。

交易所聲稱受本次事件影響的客戶約占總數(shù)的

3%

。

據(jù)悉，本次泄露發(fā)生于

2

月份，原因是一名員工的家用PC

涉入其中（而不是公司總部的計(jì)算機(jī)服務(wù)器出現(xiàn)了問題）。Bithumb

表示在

6

月

29

日發(fā)現(xiàn)了此事，并于次日向當(dāng)局進(jìn)行了匯報(bào)。

作為全球五大比特幣交易所之一，Bithumb

去年的比特幣交易量達(dá)到了

2

萬億韓元左右（約合

118

億

RMB），日交易量也超過了

1.3

萬比特幣（占全球交易量

10%）。

Bithumb

已承諾初步向每位客戶賠償

10

萬韓元（約

86

美元

/

590

元

RMB），剩余部分將在驗(yàn)證后補(bǔ)足。事件十二、趣店數(shù)百萬學(xué)生數(shù)據(jù)泄露，稱或遭內(nèi)部員工報(bào)復(fù)

泄密紀(jì)錄：100

萬用戶

泄密指數(shù)：9.1

分

事件時(shí)間：2017

年

11

月

事件回顧：11

月

20

日，有關(guān)媒體發(fā)布消息稱，趣店數(shù)據(jù)疑似外泄，十萬可買百萬學(xué)生信息，離職員工稱“內(nèi)鬼”所為。此次泄露的數(shù)據(jù)維度極為細(xì)致，除學(xué)生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學(xué)生父母電話、學(xué)信網(wǎng)賬號(hào)密碼等隱私信息。趣店以校園貸起家，之后退出校園，轉(zhuǎn)向白領(lǐng)市場，提供“現(xiàn)金貸”和消費(fèi)分期貸款。2017

年

10

月

19

日，趣店正式登陸美國納斯達(dá)克。

有媒體采訪內(nèi)部員工得知，趣店曾因

9

月的大規(guī)模裁員事件未能合理安排離職員工的撫恤問題，造成此次數(shù)據(jù)泄露事件有可能是內(nèi)鬼所為。此外，多位趣店離職員工表示，早期趣店數(shù)據(jù)管理存在巨大安全隱患。152017

年度安全報(bào)告——數(shù)據(jù)泄密

綜述：

隨著網(wǎng)絡(luò)攻擊日趨復(fù)雜、日益頻發(fā)，國內(nèi)外各行各業(yè)的公司和機(jī)構(gòu)對(duì)數(shù)據(jù)泄漏問題越發(fā)擔(dān)憂。事實(shí)上，CDW

的研究顯示，在過去的兩年里，每四家機(jī)構(gòu)當(dāng)中就有一家遭遇過數(shù)據(jù)泄漏。許多公司稱，這類事故嚴(yán)重威脅了公司郵件、網(wǎng)絡(luò)和敏感信息的安全。并且隨著遠(yuǎn)程辦公和移動(dòng)計(jì)算的普及，防止數(shù)據(jù)泄漏也變得愈加復(fù)雜和困難。

針對(duì)企業(yè)：

第一步就是承認(rèn)數(shù)據(jù)泄漏的風(fēng)險(xiǎn)確實(shí)存在。認(rèn)識(shí)到這點(diǎn)之后才能建立有效的防止數(shù)據(jù)泄漏的計(jì)劃。

第二步，定義機(jī)構(gòu)的所有數(shù)據(jù)。這項(xiàng)工作看似艱巨繁雜，但為防止數(shù)據(jù)泄漏而做的數(shù)據(jù)定義并非那么困難。關(guān)鍵在于將機(jī)密信息（如社保號(hào)）和機(jī)密文檔（如含有社保賬號(hào)的文件）明確區(qū)分開來。同時(shí)也要明白，任何機(jī)構(gòu)都有自己的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，這部分?jǐn)?shù)據(jù)必須加以保護(hù)。

第三步，中小企業(yè)需要制定移動(dòng)設(shè)備的安全使用政策，考慮現(xiàn)有的安全保護(hù)措施，以及完善移動(dòng)設(shè)備的管理機(jī)制。

第四步：把數(shù)據(jù)保護(hù)政策傳達(dá)給員工。政策要簡明實(shí)用，明確哪些數(shù)據(jù)是機(jī)密的，機(jī)密數(shù)據(jù)應(yīng)如何使用，以及員工應(yīng)如何使用移動(dòng)設(shè)備。

針對(duì)個(gè)人用戶：

謹(jǐn)防釣魚網(wǎng)站、慎連wifi、不在社交平臺(tái)中隨意透露個(gè)人信息、慎重參加網(wǎng)絡(luò)調(diào)查、抽獎(jiǎng)活動(dòng)、妥善處理快遞單、車票等、及時(shí)清除舊手機(jī)的數(shù)據(jù)信息。大數(shù)據(jù)時(shí)代，挖掘個(gè)人隱私的方法數(shù)不勝數(shù)，即使很簡單的信息，多維度湊到一起也能發(fā)現(xiàn)你不可告人的秘密。目前還有沒有保護(hù)隱私很好的方法，除非你回歸原始社會(huì)。

針對(duì)第三方數(shù)據(jù)平臺(tái)：

第三方系統(tǒng)的安全問題是最近一些數(shù)據(jù)泄露事件的原因，

包括

Target，

JP

Morgan

的數(shù)據(jù)泄露事件，都或多或少與第三方系統(tǒng)有關(guān)。

比如黑客對(duì)

Target

的攻擊就是從

Target

的空調(diào)服務(wù)商入手的，而

JP

Morgan

則是通過第三方網(wǎng)站進(jìn)行的滲透。如何泄密？數(shù)據(jù)利用？數(shù)據(jù)信封數(shù)據(jù)資源黑客攻擊金融類——直接提現(xiàn)虛擬物品，如游戲裝備——洗號(hào)涉及個(gè)人信息——咋騙、隱私泄密公司業(yè)務(wù)數(shù)據(jù)——商業(yè)競爭撞庫木馬內(nèi)部人員自身資源價(jià)值由大——————————————————小（越來越?。┯脩舾兄尚　螅ㄔ絹碓酱螅?017

年度安全報(bào)告——數(shù)據(jù)泄密16數(shù)據(jù)泄密重要數(shù)據(jù)統(tǒng)計(jì)數(shù)據(jù)泄密的流程

數(shù)據(jù)資源在整個(gè)互聯(lián)網(wǎng)中起著相關(guān)重要的作用，這些數(shù)據(jù)資源關(guān)乎著每個(gè)人的財(cái)產(chǎn)安全。數(shù)據(jù)資源隱藏著龐大的經(jīng)濟(jì)效益，真因?yàn)檫@許多黑客痛過定點(diǎn)滲透、外掛木馬、釣魚、偽基站等方式方法來獲取這些數(shù)據(jù)資源。由于受利益的驅(qū)使，除了黑客之外，還有一部分公司內(nèi)部人員惡意出售接觸到的數(shù)據(jù)，從中獲取很大的現(xiàn)金。也有部分公司員工缺乏安全意識(shí)把數(shù)據(jù)存放在不安全的地方，導(dǎo)致數(shù)據(jù)被泄露。

數(shù)據(jù)一旦被泄露，那么就會(huì)產(chǎn)生一系列的危害，很多用戶由于缺乏安全意識(shí)，不能及時(shí)的發(fā)現(xiàn)自己的數(shù)據(jù)泄露，只有當(dāng)自己的財(cái)產(chǎn)受到損失才能被感知，所以用戶感知是越來越慢的。

與往常一樣，2017

年全年的數(shù)據(jù)泄密事件有各種來源。但是在一個(gè)大數(shù)據(jù)統(tǒng)計(jì)以及記錄數(shù)據(jù)表明，數(shù)據(jù)泄密的最大來源是意外丟失和因疏忽而使信息暴露的數(shù)據(jù)。172017

年度安全報(bào)告——數(shù)據(jù)泄密

數(shù)據(jù)泄露的流程整個(gè)流程可以分為：拖庫、洗庫、撞庫。入侵者通過不法手段來入侵有價(jià)值的數(shù)據(jù)系統(tǒng)，然后對(duì)數(shù)據(jù)進(jìn)行逐層分離，找到一些金融類的帳戶，然后通過入侵支付寶、網(wǎng)銀、網(wǎng)游賬號(hào)獲取高額的現(xiàn)金收益。

另一方面也可以將用戶的個(gè)人信息批量出售獲取現(xiàn)金。當(dāng)數(shù)據(jù)一旦被利用，在進(jìn)行建立人肉數(shù)據(jù)庫，進(jìn)行撞庫。2017

年度安全報(bào)告——數(shù)據(jù)泄密18數(shù)據(jù)泄露的來源

與往常一樣，2017

年全年的數(shù)據(jù)泄密事件有各種來源。但是在一個(gè)大數(shù)據(jù)統(tǒng)計(jì)以及記錄數(shù)據(jù)表明，數(shù)據(jù)泄密的最大來源是意外丟失和因疏忽而使信息暴露的數(shù)據(jù)。

2017

年全年數(shù)據(jù)泄露最大的來源是惡意攻擊，占總比重的

在這些事件中

,

有

47%

涉及惡意攻擊或犯罪攻擊

,25%

因員工或承包商疏忽所致

(

人為因素

),28%

與系統(tǒng)故障相關(guān)

,

包括

IT故障、業(yè)務(wù)流程故障等等。數(shù)據(jù)泄露的影響因素

A：成本因素。

據(jù)悉《2017

年數(shù)據(jù)泄露成本調(diào)研全球概述》統(tǒng)計(jì)有大約

20個(gè)因素對(duì)數(shù)據(jù)泄露成本會(huì)有影響。有些因素可以使數(shù)據(jù)泄露成本下降，有些因素是會(huì)讓成本增加。47%。這導(dǎo)致很大的數(shù)據(jù)都是被盜的。

影響成本下將：如圖所示,事件響應(yīng)團(tuán)隊(duì)、廣泛使用加密技術(shù)、

員工培訓(xùn)、BCM

參與、參與威脅共享計(jì)劃及使用安全

分析工具

等因素使得單條受損記錄產(chǎn)生的數(shù)據(jù)泄露單條成本下降了。

影響成本上升：第三方參與、廣泛遷移至云端、合規(guī)缺陷、

廣泛使用移動(dòng)平臺(tái)、設(shè)備丟失或被盜、急于通知等因素使

得數(shù)據(jù)

泄露的單條成本

(

以負(fù)數(shù)顯示

)

上升了。

B：丟失的記錄數(shù)量。

丟失紀(jì)錄條數(shù)越多，數(shù)據(jù)泄露的成本越高。事件規(guī)模越大，

相對(duì)應(yīng)的成本就越高。

C：行業(yè)客戶流失。

客戶流失的越多，數(shù)據(jù)泄密的成本越高。通告數(shù)據(jù)表明，影響客戶流失的因素有兩方面，一方面是所處的國家，不同國家流失程度不一樣，日本流失最大；另一方面是行業(yè)因素，行業(yè)更容易出現(xiàn)客戶流失的情況。2017

年度安全報(bào)告——數(shù)據(jù)泄密19數(shù)據(jù)泄露的類型

由于一直如此

,

在過去的幾年里

,

身份盜竊是攻擊在

2017

年這個(gè)戰(zhàn)術(shù)是全年的數(shù)據(jù)泄露事件中最常用的模式

,

占期間所有事件的大約四分之三

(74%)。事實(shí)上，和

2016

年相比較身份盜竊破壞的數(shù)量繼續(xù)保持高位，并且導(dǎo)致多條紀(jì)錄被竊取顯示，安全機(jī)構(gòu)和數(shù)據(jù)泄露涉及行業(yè)比重

在行業(yè)分布上，金融行業(yè)依然首當(dāng)其沖，24%

的數(shù)據(jù)泄露事件和金融機(jī)構(gòu)有關(guān)；其次是醫(yī)療保健行業(yè)

15%；再往后是銷售行業(yè)

15%

以及公共部門

12%。其中醫(yī)療行業(yè)是勒索的重災(zāi)區(qū)，真可謂“不給錢就撕票”相關(guān)機(jī)構(gòu)沒有充分應(yīng)對(duì)這一威脅。

這里需要注意，學(xué)術(shù)界正逐漸“崛起”成為黑客攻擊的目標(biāo)，

比如高校的高新科研部門。犯罪分子已經(jīng)意識(shí)到很多知識(shí)產(chǎn)權(quán)和商

業(yè)機(jī)密都是起源于高等院校的學(xué)術(shù)研究，而且，和入侵政府系統(tǒng)以

及成熟的商業(yè)系統(tǒng)相比，入侵大學(xué)的系統(tǒng)和竊取研究機(jī)密更加簡單。2017

年度安全報(bào)告——數(shù)據(jù)泄密20數(shù)據(jù)泄露的主要采取的手段

導(dǎo)致數(shù)據(jù)泄露的主要手段分為技術(shù)手段（黑客入侵、軟件漏洞、惡意木馬）、非技術(shù)手段（內(nèi)部人員泄密、非有意識(shí)泄密）。組織出現(xiàn)其他數(shù)據(jù)泄露事件的可能性

360CERT

對(duì)以往的的安全事件和數(shù)據(jù)泄露進(jìn)行了分析，分析指出在調(diào)查的幾萬個(gè)安全事件中，內(nèi)部威脅占

25%，75%

是外部攻擊導(dǎo)致。

在外部攻擊中，51%

的網(wǎng)絡(luò)攻擊涉及到有組織有計(jì)劃的犯罪集團(tuán)。18%

的外部攻擊涉及國家背景。212017

年度安全報(bào)告——數(shù)據(jù)泄密

41G

密碼泄露和暗網(wǎng)

2017

年

12

月

5

日，一位名為

tomasvanagas

的用戶在reddit

論壇上公開了一份高達(dá)

41GB

的數(shù)據(jù)泄密文件

(“社工庫”)，文件包含了

14

億條明文性質(zhì)的互聯(lián)網(wǎng)用戶密碼記錄。近幾年大大小小的數(shù)據(jù)泄密事件頻發(fā)，而這可能是迄今為止被公開的最大的一次數(shù)據(jù)泄密文件，而且從這份數(shù)據(jù)的完整性來看，數(shù)據(jù)整理者做得較為完整和專業(yè)。在萬物互聯(lián)的大安全時(shí)代里，需要互聯(lián)網(wǎng)用戶，信息安全行業(yè)和相關(guān)受影響的公司實(shí)體對(duì)數(shù)據(jù)泄密事件有足夠清醒的認(rèn)識(shí)和作為。文檔主要信息如下：

①、README

說明文件一方面對(duì)數(shù)據(jù)文件作了較為詳細(xì)，專業(yè)的介紹，

同時(shí)也提供了“比特幣”和“Dogecoin”幣捐贈(zèng)地址（1NrNf6E3rTuDDGeUdU2CMpGNyrQAeB7dNT，DFqkJHnb5t5Y6e4mbXTiS9aEhspFkzxkPU），此舉可能是為了保證“收錢”的匿名性。

②、數(shù)據(jù)文件包含了

14

億條記錄（1,400,553,869），全部

是明文密碼。

③、此次

14

億條用戶密碼信息不全是未公開的數(shù)據(jù)泄露，而

是包含了此前

252

起數(shù)據(jù)泄露事件的合集。數(shù)據(jù)導(dǎo)入日志顯示，

整理者從

2017

年

8

月

7

日開始到

2017

年

11

月

9

日分批進(jìn)行了

252

次數(shù)據(jù)導(dǎo)入。大部分導(dǎo)入為數(shù)字編號(hào)，一部分導(dǎo)入有很清楚

的數(shù)據(jù)源，其中疑似包括

Anti

Public

Combo

List，Exploit.in，

MySpace，Linkedin，YouPorn，Last.FM

和部分國內(nèi)公司實(shí)

體等在內(nèi)的的用戶隱私數(shù)據(jù)。

在

41G

的文件中，整理者提供了完整的數(shù)據(jù)和專業(yè)的操作說明，文件操作日期顯示文檔作者在

11

月

29

日作了最后一次更新。排名百分比注解域名119.49%213.47%38.38%48.01%mail.ru53.94%63.14%yandex.ru72.06%rambler.ru81.71%91.18%163.com101.15%hotmail.fr111.07%web.de120.94%130.90%140.90%gmx.de150.81%bk.ru160.72%list.ru170.70%hotmail.co.uk180.68%inbox.ru190.66%yahoo.fr200.63%yahoo.co.uk222017

年度安全報(bào)告——數(shù)據(jù)泄密

④、從密碼長度分布圖觀察，密碼長度為

9

的最多，數(shù)據(jù)量

為

380304432，三億

8

千萬條。12345678910123456123456789qwerty111111password12345678abc1231234567homelesspapassword111121314151617181920123123000000123456789012345iloveyou1q2w3e4r5tqwertyuiop1234123321123456a21222324252627282930monkeydragon1236666666543211qaz2wsx121212123qwea123456qwe12331323334353637383940tinkletarget123gwerty1g2w3e4rgwerty123zag12wsx1q2w3e4r7777777zxcvbnm123abc41424344454647484950qwerty123987654321222222qwerty1qazwsx11223355555512345a1q2w3e12312312351525354555657585960asdfghjklfuckyouFQRG7CS4931234qweraaaaaa159753computer1111111112365488888861626364656667686970iloveyou1789456123michaelfuckyou1princesssunshinefootball777777j38ifUbn99999971727374757677787980asdfgh11111linkedin789456princess1123456789a88888888a12345abcd1234football18182838485868788899012qwaszxjordan23monkey1qwer1234asd123gfhjkmsamsungshadowlove123Status919293949596979899100333333azertysupermanmichael1asdfdanielbaseballzxcvbn1111111love232017

年度安全報(bào)告——數(shù)據(jù)泄密

⑤、最長用密碼

top100242017

年度安全報(bào)告——數(shù)據(jù)泄密

暗網(wǎng)中的隱私數(shù)據(jù)交易

據(jù)悉，此次公開的數(shù)據(jù)文件源自于“暗網(wǎng)”（常規(guī)方式訪問

不到的網(wǎng)絡(luò)）。在“暗網(wǎng)”中，提供了一系列包括毒品，武器，黑

客服務(wù)，惡意軟件，隱私數(shù)據(jù)等形形色色的交易服務(wù)，因其具備匿