近十年數(shù)據(jù)泄露事件大觀近來,國內(nèi)外大規(guī)模數(shù)據(jù)泄露事件密集發(fā)生����。
11月30日��,萬豪發(fā)公告稱旗下酒店喜達屋5億房客信息被泄露����;12月3日,社交平臺陌陌3000萬用戶數(shù)據(jù)在暗網(wǎng)被銷售�;12月4日,問答網(wǎng)站鼻祖Quora遭惡意攻擊����,1億用戶數(shù)據(jù)被竊;12月10日���,谷歌因可能出現(xiàn)的數(shù)據(jù)泄露問題關(guān)閉旗下產(chǎn)品���。
大數(shù)據(jù)時代,數(shù)據(jù)不僅是企業(yè)的核心財產(chǎn)��,也事關(guān)用戶最關(guān)心的隱私安全�。
然而,數(shù)據(jù)泄露事件卻屢屢發(fā)生�����。
本文梳理了近十年來有關(guān)企業(yè)數(shù)據(jù)泄露的報道后發(fā)現(xiàn)��,企業(yè)數(shù)據(jù)泄露事件不僅發(fā)生頻率未減,被泄露的數(shù)據(jù)規(guī)模還在不斷擴大��。
數(shù)據(jù)泄露:中招的不僅僅是互聯(lián)網(wǎng)公司數(shù)據(jù)泄露是指“受保護或機密數(shù)據(jù)可能被未經(jīng)授權(quán)的人查看����、偷竊或使用”。
互聯(lián)網(wǎng)公司則是數(shù)據(jù)泄露事件的多發(fā)領(lǐng)域��,包括阿里����、騰訊在內(nèi)的知名互聯(lián)網(wǎng)公司都被爆出過數(shù)據(jù)泄露的負面消息。
不過���,不少公司并不承認用戶數(shù)據(jù)發(fā)生了泄露���。
在2013年支付寶數(shù)據(jù)泄露事件中,支付寶稱泄露非通過其網(wǎng)站��,而且泄露的只是賬號名����,不構(gòu)成安全威脅。
而發(fā)生在2015年的數(shù)億網(wǎng)易163����、126郵箱賬號泄露事件中,網(wǎng)易的回應(yīng)也和支付寶類似——賬號密碼泄露源于第三方網(wǎng)站��,不存在自身用戶數(shù)據(jù)庫被泄露的問題�����。
大部分數(shù)據(jù)泄露是由黑客攻擊導(dǎo)致��。
根據(jù)IBM公司(國際商業(yè)機器公司)發(fā)布的研究報告(《2018 Cost of a Data Breach Study:Global Overview》)顯示�,數(shù)據(jù)泄露的主要原因是惡意和犯罪攻擊(48%)。
除了攻擊漏洞�、使用病毒外,黑客會利用人們在不同平臺賬戶使用同一賬號和密碼的習(xí)慣��,通過“撞庫”(通過已泄露的賬戶和密碼去登錄其他網(wǎng)站)的手段來侵入更多網(wǎng)站����。
而很多掌握大量用戶數(shù)據(jù)的企業(yè)從未建立有效的安全管理系統(tǒng),這讓泄露事件難以被阻止���。
2011年年底�,中國互聯(lián)網(wǎng)爆發(fā)了史上規(guī)模最大的數(shù)據(jù)泄密事件�,包括天涯社區(qū)、百合網(wǎng)、人人網(wǎng)在內(nèi)的多家網(wǎng)站被指用戶數(shù)據(jù)疑遭泄露����。
讓人大跌眼鏡的是,最早被爆出數(shù)據(jù)泄露的CSDN論壇���,被發(fā)現(xiàn)使用明文存儲密碼�����,這樣一個以程序員為主要用戶的大型社區(qū)�����,卻沒有使用任何加密保護���。
“互聯(lián)網(wǎng)+”時代,企業(yè)的數(shù)據(jù)安全挑戰(zhàn)會越來越嚴峻����。
越來越多的行業(yè)也要建立應(yīng)對數(shù)據(jù)泄露的機制。
由于越來越多的設(shè)備����、平臺相互聯(lián)通�����,以及云計算���、物聯(lián)網(wǎng)的不斷融合�,數(shù)據(jù)泄露的高風(fēng)險將不再僅限于互聯(lián)網(wǎng)行業(yè)。
2017年10月�,一家醫(yī)療設(shè)備公司存放在亞馬遜云存儲庫的47GB醫(yī)療數(shù)據(jù)遭破解,15萬患者的姓名���、地址�、醫(yī)生和病例紀錄等隱私信息被泄露����。
面對數(shù)據(jù)泄露,多數(shù)企業(yè)反應(yīng)遲鈍用戶數(shù)據(jù)的重要性對企業(yè)而言不言而喻�����,然而����,大部分公司并沒有應(yīng)對經(jīng)驗和有效的反應(yīng)機制�����,甚至都不能快速察覺數(shù)據(jù)遭遇泄露����。
在IBM公司發(fā)布的報告中�����,企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露的平均時間是197天�����,而控制住由此產(chǎn)生的后果還額外需要平均69天����。
發(fā)現(xiàn)和控制的時間越久,由此產(chǎn)生的損失也越高�。
國際知名酒店集團萬豪國際在今年11月底告知外界旗下喜達屋酒店預(yù)訂數(shù)據(jù)庫被外人訪問。
令人震驚的是��,數(shù)據(jù)庫早在2014年起就遭黑客入侵�����,但直到2018年9月,萬豪才收到內(nèi)部安全工具的警報��。
這意味著2018年9月及之前����,喜達屋酒店預(yù)訂數(shù)據(jù)庫中的賓客信息都一直在泄露。
“遲鈍”的不止萬豪一家�����,事實上���,連許多高科技公司都遲遲沒有發(fā)現(xiàn)自己的用戶數(shù)據(jù)遭遇泄露。
雅虎曾在2013年���、2014年多次遭遇黑客攻擊�,被竊取了大量用戶信息�����,察覺時已是三年后��。
2016年9月��,雅虎調(diào)查后發(fā)現(xiàn)約有5億賬號數(shù)據(jù)在2014年時被泄露。
到了同年12月����,雅虎才發(fā)現(xiàn)2013年的攻擊導(dǎo)致自己10億用戶數(shù)據(jù)被破解。
直到2017年10月��,雅虎發(fā)現(xiàn)自己當(dāng)年所有的用戶數(shù)據(jù)都已泄露�,30億用戶賬號無一幸免。
企業(yè)數(shù)據(jù)泄露的損失有多少�����?數(shù)據(jù)泄露帶給企業(yè)和用戶的損失不容小覷�。
IBM的研究報告調(diào)查了全球477家公司過去一年2200多起數(shù)據(jù)泄露事件,發(fā)現(xiàn)大型數(shù)據(jù)泄露的代價十分高昂��。
平均來看�����,泄露百萬條記錄會導(dǎo)致?lián)p失2.8億人民幣���,而泄露5000萬條記錄的損失高達24.1億人民幣����。
而不同行業(yè)的數(shù)據(jù)泄露成本也不同。
在監(jiān)管較嚴的行業(yè)����,如醫(yī)療保健和金融行業(yè),數(shù)據(jù)泄露的成本非常的高�����,而物流���、酒店行業(yè)的數(shù)據(jù)泄露成本就要低很多�����。
雖然中國公司并未被列入調(diào)查范圍,但這一結(jié)論依然可以參考��。
對公司而言�,數(shù)據(jù)泄露的損失主要由檢測與升級、通知各方��、賠償與罰款以及用戶流失這四個方面構(gòu)成���。
在監(jiān)管較嚴格的地區(qū)����,數(shù)據(jù)泄密的罰款非常大,由此帶來的股價下跌也經(jīng)常發(fā)生��。
今年5月�����,旨在保護用戶數(shù)據(jù)的《通用數(shù)據(jù)保護條例》(GDPR)在歐盟生效�����,企業(yè)如果沒有保護好數(shù)據(jù)而導(dǎo)致數(shù)據(jù)泄露�,將會被處以1000萬歐元(約合7825萬人民幣),或全球年營業(yè)額2%的高額罰款�;而主動泄露用戶數(shù)據(jù)的,處罰將會翻倍�。
值得一提的是,目前在中國�����,還沒有企業(yè)因數(shù)據(jù)泄露問題而被重罰��。
雖然現(xiàn)行有關(guān)個人信息保護的法律法規(guī)并不少,重慶大學(xué)網(wǎng)絡(luò)與大數(shù)據(jù)戰(zhàn)略研究院院長齊愛民曾統(tǒng)計過���,有關(guān)個人信息的法律有52部�����,行政法規(guī)有42部�,司法解釋或者文件有50部���,部門規(guī)章更多�。
但是眾多法律法規(guī)并沒有形成完整體系�,企業(yè)違法行為難以認定,用戶維權(quán)也很艱難�����。
不過����,縱然沒有高額的罰款���,用戶也會用腳投票��。
雅虎發(fā)生大規(guī)模數(shù)據(jù)泄露后��,有研究顯示多達97%的用戶會對雅虎失去信任��。
當(dāng)一家企業(yè)不能保護他們的用戶數(shù)據(jù)���,用戶的信任將很難回歸���,即便“中國人更加開放,愿意用隱私交換便捷服務(wù)或效率”����。
