日前,雅虎公开承认,在2013年8月的时候就发生了多达10亿的账户数据泄露。同时也创造了有记录以来史上最大数据泄露案。借此机会我们回顾一下自2005年以来11年间规模最大、影响最深远的数据泄露。
初次泄露
关于数据泄露,TechTarget给出了定义:
当一场事故中发生敏感,受保护或机密数据可能被未经授权的个人查看、偷窃或使用的事件,即可定义为数据泄露。 数据泄露往往涉及支付卡信息(PCI),个人健康信息(PHI),个人身份信息(PII),商业秘密或知识产权。
随着大大小小的企业越来越依赖电子数据、云计算和流动劳动力,数据泄露得到了广泛关注。 由于敏感的业务数据存储在本地计算机或是企业数据库和云服务器上,对于一个黑客而言,侵入一个公司的数据库的难度相当于获得对受限网络的访问。
数据泄露并不是从数据以电子的方式存储开始的。 事实上,从个人或公司开始保存记录或存储私人信息,数据泄露就已存在。 在计算机普及之前,数据泄露可以是简单的。例如在没有授权的情况下查看个人的医疗文件或者找到未被正确处理的敏感文档。 这种类型的数据泄露在1980年代频繁增加,直到1990年代和21世纪初,公众对数据泄露潜在威胁的认识开始上升。
大多数关于数据泄露发生2005年至今的时间段内。 这其中主要推动力是由于技术的进步以及电子数据在全世界的加速扩散。在这个过程中数据泄露逐渐成为企业和消费者关注的焦点。 在当今社会,数据泄露一旦发生,受影响的用户数量可能会在数十万,通常是冲着百万级去的,乃至更多,而且这些数据泄露只是对一家公司进行的单次攻击。
据隐私权信息交流中心(Privacy Rights Clearinghouse,简称PRC)统计,在2005年的时候发生了最早的几起数据泄露。其中最早的一起就是发生在乔治梅森大学(2005年1月),一个黑客攻击了乔治梅森大学的主要身份服务器,涉及32000名学生和员工的个人信息,包括姓名,图片,社会保障号。
之所以从2005年开始回顾数据泄露是因为大多数数据泄露发生2005年之后的时间段内。当然,也不是意味着数据泄露在05年之前就没发生过,只是数量少且曝光率低。因此2005年可以看成数据泄露元年。
数量越来越大了,要溢出来了!
第一次泄露信息超过100万条的记录发生在2005年的3月,黑客在DSW(美国俄亥俄州著名鞋坊)的数据库中盗取了140万条信用卡信息。
仅2005年一年隐私权信息交流中心PRC就记录了136起数据泄露。自2005年至今,已有超过4500起,平均每天都会发生一起数据泄露,共8.16亿条个人记录遭到泄露。
随后数值越来越大,2005年最大的数据泄露定格在4000万条信用卡信息,来自CardSystems Solutions(美国一家信用卡管理公司),被盗的4000万条信息中有68,000个万事达卡帐户,100,000个Visa帐户和其他信用卡厂商的30,000个帐户。泄露的数据包括姓名,卡号和信用卡密码。在次年5月12日CardSystems Solutions申请破产。
2007年一月,TJX公司(服装家居公司),经历了那一年最大的数据泄露。TJX声称黑客分多次作案共盗取了近1亿账户的信用卡和借账卡信息以及数千条退款记录。这次数据泄露由于影响过大,给TJX公司带来了2.16亿美元的直接损失。当局也参与了案件的侦破,并在古巴查到了被盗信用卡的消费记录。2010年,事件平息,最终以28岁的黑客Albert Gonzalez在联邦监狱服20年徒刑的形式结束。
2009年Heartland的支付系统(130,000,000)、2013年的Adobe(38,000,000)、2014年的Home Depot(56,000,000)还有2015年的Anthem(80,000,000)都曾发生过数据泄露。
但是这些都没有2015年5月的MySpace厉害。
今年5月31日,黑客在MySpace盗取了3亿6千万账户的用户名、密码。在当时已经是大新闻了。
- 这些泄露的数据以“SHA-1”的哈希加密的方式存储的,性能较弱,易于攻破,雪上加霜的是,该公司在散列过程中没有对密码进行“salt”
根据CSC在2012年的预测:
- 到2020年为止,超过三分之一的数据会实时存储或是传到数据云中。
- 在2020年,数据产业可能达到2009年的44倍。专家估计到2020年年度数据生成增长4300%。
- 虽然个人用户负责大多数(70%)数据产出,但所有数据的80%还是由企业存储。
接下来由雅虎接管比赛!你们都是渣滓!
9月22日,雅虎宣称他们被盗取了5亿个用户的账户密码。不过这起事件实际是发生在2014年的。按照雅虎的说法,雅虎也是在今年8月份对另外一起数据泄露事件发起调查的时候,才发现2014年5亿帐号被盗这一事实的。
这次事件一时之间占据大量媒体版面头条。雅虎就此事强调了两点,其一此次事件疑似为“国家背景”的攻击者所为,另外并未泄露如明文密码、银行卡信息这类最具价值的数据。
不少美国人已经开始担心,雅虎5亿用户账户被盗事件甚至可能对许多美国人的日常生活产生影响。
我们本来一度以为5亿可能已经是很难超越的数字了。直到上周三,雅虎又将自己创造的记录提高了一倍,达到了10亿。这一次数据泄露似乎还跟上次5亿泄露不同,真正的泄露发生在2013年,2016年11月的时候才第一次发觉。由于雅虎在2013年以前一直使用的脆弱的算法MD5保存用户账号,黑客组织“Group E”盗取了这些数据并在暗网上出售。
反思
即使是世界上最大的公司也会遭受巨大的数据泄露,影响了数百万消费者。现代企业需要一个全面的,全方位的数据保护和安全的方法。 过去的应对方法根本无法在现代威胁环境中杜绝数据泄露。