運(yùn)營(yíng)商、電商、保險(xiǎn)公司、銀行、教育考試機(jī)構(gòu)、酒店、車(chē)企等等類(lèi)似存儲(chǔ)了大量公民信息的單位一旦發(fā)生數(shù)據(jù)泄露，影響的范圍非常大。

從2014年到2015年，我們看到了國(guó)家對(duì)于信息安全的重視和行動(dòng)，這對(duì)于提升國(guó)家整體和個(gè)體的信息安全觀念，促進(jìn)企事業(yè)單位加強(qiáng)IT安全建設(shè)，起到了重大作用。

對(duì)于重要數(shù)據(jù)的防泄露，我們建議以入網(wǎng)控制、終端安全管理、核心業(yè)務(wù)數(shù)據(jù)防泄漏三者結(jié)合去打造防護(hù)體系。

下面整理了2015年國(guó)內(nèi)外發(fā)生了網(wǎng)絡(luò)信息安全泄露事件。

事件來(lái)源于網(wǎng)絡(luò)，經(jīng)整理而成。

事件只限于已經(jīng)造成影響的企業(yè)。

存在漏洞但是未造成影響的，未計(jì)入其內(nèi)；國(guó)外的泄露事件，未計(jì)入其內(nèi)；小范圍數(shù)據(jù)泄漏事件，未計(jì)入其內(nèi)；個(gè)人泄密事件，未計(jì)入其內(nèi)。

重要的泄露事件，主要有：機(jī)鋒用戶(hù)數(shù)據(jù)泄露、酒店開(kāi)房記錄泄露、?？低暠O(jiān)控設(shè)備被境外控制、超30省過(guò)5000萬(wàn)社保信息泄露、人壽10萬(wàn)保單信息泄露、考生信息泄露、大麥網(wǎng)600萬(wàn)用戶(hù)信息泄露、蘋(píng)果xcode開(kāi)發(fā)工具大范圍感染APP應(yīng)用、網(wǎng)易郵箱過(guò)億用戶(hù)敏感遭泄露、偉易達(dá)集團(tuán)500萬(wàn)個(gè)家長(zhǎng)和超過(guò)20萬(wàn)個(gè)小童的數(shù)據(jù)資料泄露、申通快遞13個(gè)信息漏洞，越3萬(wàn)信息被竊取等等。

1月： 機(jī)鋒被曝泄露2300萬(wàn)用戶(hù)信息 用戶(hù)信息安全遭威脅 1月5日，就在機(jī)鋒科技二度易主僅半月后，機(jī)鋒科技旗下機(jī)鋒論壇被曝出存在高危漏洞，多達(dá)2300萬(wàn)用戶(hù)的信息遭遇安全威脅。

這也成為2015年國(guó)內(nèi)第一起網(wǎng)絡(luò)信息泄露事件。

據(jù)知情人士稱(chēng)，機(jī)鋒論壇泄露的2300萬(wàn)用戶(hù)數(shù)據(jù)包括用戶(hù)名、注冊(cè)郵箱、加密后的密碼等信息，由于機(jī)構(gòu)數(shù)據(jù)庫(kù)對(duì)用戶(hù)密碼僅使用了簡(jiǎn)單的MD5（計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù)）加密，黑客能夠快速破解出絕大部分明文密碼。

對(duì)此，機(jī)鋒方面通過(guò)微博回應(yīng)稱(chēng)，技術(shù)部門(mén)已展開(kāi)深入調(diào)查，“目前初步判斷是2013年泄露的老數(shù)據(jù)”，并強(qiáng)調(diào)，“機(jī)鋒所有用戶(hù)密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶(hù)信息并不能破解密碼并盜取用戶(hù)賬號(hào)”。

2月： 十大酒店泄露大量房客開(kāi)房信息 2月11日，據(jù)漏洞盒子白帽子提交的報(bào)告顯示，知名連鎖酒店桔子、錦江之星、速八、布?。桓叨司频耆f(wàn)豪（麗思卡爾頓酒店 等）、喜達(dá)屋（喜來(lái)登、艾美酒店等）、洲際（假日酒店等）網(wǎng)站存在高危漏洞——房客開(kāi)房信息大量泄露，一覽無(wú)余，黑客可輕松獲取到千萬(wàn)級(jí)的酒店顧客的訂單信息，包括顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、開(kāi)房時(shí)間、退房時(shí)間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。

?？低暠O(jiān)控設(shè)備存嚴(yán)重漏洞，部門(mén)設(shè)備被境外IP控制 2月27日，江蘇省公安廳發(fā)布《關(guān)于立即對(duì)全省?？低暠O(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》稱(chēng)，主營(yíng)安防產(chǎn)品的?？低暺渖a(chǎn)的監(jiān)控設(shè)備被曝嚴(yán)重的安全隱患，部分設(shè)備已被境外IP地址控制，并要求各地立即進(jìn)行全面清查，開(kāi)展安全加固，消除安全隱患。

而后，海康威視發(fā)表聲明稱(chēng)，此事是因?yàn)椴糠衷诨ヂ?lián)網(wǎng)上的海康威視設(shè)備采用了弱口令（弱口令是指使用產(chǎn)品初始密碼或其他簡(jiǎn)單密碼），并向用戶(hù)致歉。

?？低暰痛耸抡匍_(kāi)投資者電話(huà)會(huì)議作出進(jìn)一步說(shuō)明。

海康威視表示，江蘇事件涉及的設(shè)備安全問(wèn)題為弱口令漏洞，確實(shí)只需通過(guò)修改初始密碼或簡(jiǎn)單密碼，或者升級(jí)設(shè)備固件即可解決，并不需要召回或更換設(shè)備。

4月： 超30省市曝安全管理漏洞，數(shù)千萬(wàn)社保用戶(hù)敏感信息或遭泄露 4月22日，據(jù)報(bào)道，目前重慶、上海、山西、沈陽(yáng)、貴州、河南等超30個(gè)省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬(wàn)用戶(hù)的社保信息可能因此被泄露。

從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示，目前圍繞社保系統(tǒng)、戶(hù)籍查詢(xún)系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過(guò)30個(gè)，僅社保類(lèi)信息安全漏洞統(tǒng)計(jì)就達(dá)到5279.4萬(wàn)條，涉及人員數(shù)量達(dá)數(shù)千萬(wàn)，其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息。

另?yè)?jù)業(yè)內(nèi)人士透露，目前市面上隨處可售的個(gè)人信息，除了一部分是持有信息者主動(dòng)售賣(mài)外，有接近3成的比例來(lái)自社保系統(tǒng)的漏洞被利用。

5月： 中國(guó)人壽廣東10萬(wàn)份保單或遭泄露 5月21日，在補(bǔ)天漏洞響應(yīng)平臺(tái)上觀察發(fā)現(xiàn)，有專(zhuān)業(yè)級(jí)別的網(wǎng)友披露中國(guó)人壽廣東分公司系統(tǒng)存在高危漏洞，10萬(wàn)客戶(hù)信息存在隨時(shí)大面積泄露的可能性。

保單信息、微信支付信息、客戶(hù)姓名、電話(huà)、身份證、住址、收入多少、職業(yè)等敏感信息一覽無(wú)余。

在發(fā)布漏洞信息五天之后，于5月26日下午3:37分，“廠商”中國(guó)人壽對(duì)漏洞信息進(jìn)行了確認(rèn)，并對(duì)發(fā)現(xiàn)漏洞的網(wǎng)友表示感謝：“已確認(rèn)漏洞，非常感謝!"但是，根據(jù)平臺(tái)處理過(guò)程顯示條的顯示，對(duì)于這一漏洞，長(zhǎng)時(shí)間中國(guó)人壽尚未修復(fù)。

8月： 約10萬(wàn)條高考生信息泄露 8月初，武漢警方接到舉報(bào)，稱(chēng)有人利用渠道不明的高考生信息進(jìn)行招生，并培訓(xùn)了一批大學(xué)生兼職充當(dāng)話(huà)務(wù)員與這些考生溝通。

民警接報(bào)后在一民房?jī)?nèi)清查出約5公斤重的紙質(zhì)高考生信息，包括考生姓名、高考考分、學(xué)校、詳細(xì)家庭地址和聯(lián)系電話(huà)等重要內(nèi)容。

經(jīng)過(guò)清查，這些信息涉及10萬(wàn)名考生，遍及四川、湖北、貴州、河南、重慶、甘肅、陜西等13個(gè)省區(qū)市。

據(jù)知情人士介紹，高考生信息在網(wǎng)上被肆意出售。

10萬(wàn)條信息標(biāo)價(jià)1萬(wàn)元，平均每一條信息價(jià)格為0.1元。

這些信息被一些不法分子購(gòu)買(mǎi)后用來(lái)進(jìn)行招生詐騙，也就是常說(shuō)的“低分高錄”。

目前，武漢警方已將此案兩名主要嫌疑人控制。

華語(yǔ)類(lèi)排名第一的票務(wù)網(wǎng)站--大麥網(wǎng)存安全漏洞，600余萬(wàn)用戶(hù)信息遭泄漏、售賣(mài) 8月27日，烏云漏洞報(bào)告平臺(tái)發(fā)布報(bào)告顯示，線上票務(wù)營(yíng)銷(xiāo)平臺(tái)大麥網(wǎng)再次被發(fā)現(xiàn)存在安全漏洞，600余萬(wàn)用戶(hù)賬戶(hù)密碼遭到泄露。

白帽子黑客起初發(fā)現(xiàn)有大麥網(wǎng)用戶(hù)數(shù)據(jù)庫(kù)在黑產(chǎn)論壇被公開(kāi)售賣(mài)，于是對(duì)泄露的用戶(hù)數(shù)據(jù)進(jìn)行驗(yàn)證，發(fā)現(xiàn)相鄰賬號(hào)的用戶(hù)ID也是連續(xù)的，并均可登錄。

因此，叢技術(shù)的角度可以初步證明本次大麥網(wǎng)的數(shù)據(jù)泄露有很大拖庫(kù)嫌疑(網(wǎng)站用戶(hù)注冊(cè)信息數(shù)據(jù)庫(kù)被黑客竊取)。

目前這一漏洞問(wèn)題已經(jīng)得到大麥網(wǎng)方面的技術(shù)確認(rèn)，正在等待廠商處理中。

作為號(hào)稱(chēng)“華語(yǔ)類(lèi)排名第一的票務(wù)網(wǎng)站”，大麥網(wǎng)已經(jīng)不止一次發(fā)生過(guò)類(lèi)似的安全問(wèn)題。

在過(guò)去一年多時(shí)間來(lái)，大麥網(wǎng)因?yàn)?ldquo;不同嚴(yán)重程度”的漏洞問(wèn)題已經(jīng)陸續(xù)被烏云平臺(tái)警告提醒了41次。

2014年3月，大麥網(wǎng)因?yàn)榕渲貌划?dāng)可導(dǎo)致全部用戶(hù)信息泄漏； 2014年6月，大麥網(wǎng)服務(wù)器漏洞未修補(bǔ)可能導(dǎo)致770W用戶(hù)數(shù)據(jù)泄露； 2014年8月27日，涉及600萬(wàn)用戶(hù)數(shù)據(jù)信息的泄露。

9月： 內(nèi)蒙古19萬(wàn)高考考生信息遭遇泄露，敏感信息包括考生父母電話(huà)等 9月2日，有媒體稱(chēng)內(nèi)蒙古自治區(qū)192211名高考考生信息遭到泄露。

這些信息中包括考生的姓名、身份證號(hào)碼及其父母姓名、電話(huà)，名單覆蓋了內(nèi)蒙古自治區(qū)的12個(gè)盟市，數(shù)量最多的地方達(dá)4萬(wàn)多條。

據(jù)內(nèi)蒙古自治區(qū)教育招生考試中心主任韓榮飛介紹，9月2日上午得知此事后，教育招生考試中心立即組織人員進(jìn)行研判，并確認(rèn)網(wǎng)傳信息基本屬實(shí)。

隨后，該單位立即報(bào)警，希望警方進(jìn)行徹查。

微信等近350款蘋(píng)果APP現(xiàn)Xcode"惡意后門(mén)"可致用戶(hù)私密信息泄露 9月14日，據(jù)國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)——國(guó)家互聯(lián)網(wǎng)應(yīng)急中心報(bào)告顯示，“開(kāi)發(fā)者使用非蘋(píng)果公司官方渠道的工具Xcode開(kāi)發(fā)蘋(píng)果應(yīng)用程序（蘋(píng)果APP）時(shí)，會(huì)向正常的蘋(píng)果APP中植入惡意代碼。

被植入惡意程序的蘋(píng)果APP可以在APPStore正常下載并安裝使用。

該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。

”蘋(píng)果系統(tǒng)程序編寫(xiě)軟件Xcode曝出被黑客植入惡意代碼，已有微信、滴滴打車(chē)、高德地圖、網(wǎng)易云音樂(lè)等近350款A(yù)PP被感染，可致用戶(hù)私密信息泄露，騰訊發(fā)布報(bào)告稱(chēng)受影響用戶(hù)可能超過(guò)1億。

目前蘋(píng)果方面已經(jīng)將相關(guān)軟件下架。

10月： 網(wǎng)易郵箱過(guò)億用戶(hù)敏感信息遭泄露 10月19日，烏云漏洞報(bào)告平臺(tái)接到一起驚人的數(shù)據(jù)泄密報(bào)告后發(fā)布新漏洞，漏洞顯示網(wǎng)易用戶(hù)數(shù)據(jù)庫(kù)疑似泄露，影響到網(wǎng)易163、126郵箱過(guò)億數(shù)據(jù)，泄露信息包括用戶(hù)名、密碼、密碼密保信息、登錄IP以及用戶(hù)生日等。

烏云方面指出，前不久，有網(wǎng)友抱怨稱(chēng)自己的iCloud帳號(hào)被黑，綁定的iPhone手機(jī)被鎖敲詐等，其共同點(diǎn)是都采用了網(wǎng)易郵箱作為iCloud帳號(hào)。

對(duì)此網(wǎng)易郵箱方面在官方微博中表示否認(rèn)，認(rèn)為是用戶(hù)采用網(wǎng)易賬戶(hù)和密碼在其他平臺(tái)使用泄露導(dǎo)致的撞庫(kù)引起的，同時(shí)表示網(wǎng)易獲得目前國(guó)內(nèi)最高級(jí)別的郵件系統(tǒng)安全認(rèn)證了“EAL3+級(jí)信息安全等級(jí)認(rèn)證”，也是國(guó)內(nèi)唯一一個(gè)獲此認(rèn)證的郵件服務(wù)商。

11月： 偉易達(dá)集團(tuán)500萬(wàn)個(gè)家長(zhǎng)和超過(guò)20萬(wàn)個(gè)小童的數(shù)據(jù)資料泄露 世界最大的電子玩具生產(chǎn)商之一偉易達(dá)集團(tuán)（VTech）于11月27日指出，11 月 14日黑客入侵了 Learning Lodge 的客戶(hù)資料庫(kù)，但在接受報(bào)章查詢(xún)時(shí)不肯透露實(shí)際人數(shù)，只表示有香港客戶(hù)受影響；然而國(guó)外媒體 Motherboard 表示，他收到黑客入侵 VTech 的客戶(hù)資料，當(dāng)中有大約500萬(wàn)個(gè)家長(zhǎng)和超過(guò)20萬(wàn)個(gè)小童的資料，包括姓名、電郵地址、密碼和個(gè)人住址。

申通被曝13個(gè)信息安全漏洞 黑客借此竊取3萬(wàn)多客戶(hù)信息 黑客利用申通快遞公司的管理系統(tǒng)漏洞，侵入該公司服務(wù)器，非法獲取了3萬(wàn)余條個(gè)人信息，之后非法出售。

在烏云網(wǎng)網(wǎng)站我們發(fā)現(xiàn)，2013年以來(lái)，該網(wǎng)站至少公布了申通公司與信息泄露隱患有關(guān)的漏洞報(bào)告13篇，涉及系統(tǒng)弱口令、服務(wù)器目錄、管理后臺(tái)、快遞短信等各個(gè)方面，其中9份報(bào)告被標(biāo)注的危害等級(jí)為“高”。

審查此案的上海市青浦區(qū)檢察院檢察官告訴記者，黑客是看到著名安全網(wǎng)“烏云網(wǎng)”公布的申通公司系統(tǒng)漏洞后作案的；買(mǎi)這些信息的人，多數(shù)是為了行騙。