回顾:2015年十大信息泄露事件

  • 发表于
  • 业界

在古代,人们只要藏住自己的名字与八字、店铺只要收好独家的秘方,就能保得“信息”安全;而随着电话、银行卡、邮箱等事物被不断的发明,人、企业、乃至国家需要保管的信息数据越来越多、且越来越重要。也正是因为看中了这些数据的价值,不法分子攻击网站、机构,并窃取其储存私密信息的事件愈发频繁。

在2015年,惨遭攻击者黑手的不仅有无良的婚外情网站与美、英、日等国家的政府机构;甚至就连最恶名昭著的黑客团队(Hacking Team),也被同行痛下狠手、一举掳走大量私密数据。国内的安全形势同样不容乐观:1024、机锋网等论坛数据泄露事件频发,政府系统也相继被曝出高危漏洞。

国际

黑客的扭曲正义,全球最大婚外情网站Ashley Madison被黑

Ashley Madison专职为已婚人士提供约会服务,让已婚的丈夫或妻子找到适合自己的艳遇;换言之,Ashley Madison就是已婚者的约炮网站。今年8月,黑客团队“Impact Team”公布了从该网站窃取的近10G的用户数据。该事件中,电视明星兼政客Josh Duggar、英国著名伊斯兰传教士Hamza Tzortzis等社会名流纷纷膝盖中箭,身败名裂的阴云飘向整个社会。

1

最初,攻击者向Ashley Madison开出的条件堪称义正言辞——即刻永久关闭Ashley Madison,否则将会有更多更详细的数据流出。后续事件的转变略显突然:“Impact team”在发给Ashley Madison用户的邮件中称,可以支付1.0000001比特币(约和225美金)到黑客的账户中以换取泄露数据的永久删除。

看来即便是黑客的正义,也会为了高额的赎金而低头。

英宽带运营商TalkTalk被反复攻击后,400余万用户隐私数据终泄露

英国宽带服务提供商TalkTalk于10月23日证实,约400多万用户的隐私数据被泄露。其中包括用户姓名、地址、出生日期、电话号码、电子邮箱、TalkTalk账号信息,甚至信用卡或银行账号的详细信息等。事实上,这已经是TalkTalk今年第三次遭受黑客攻击,但即便是在早有预警的情况下,此次攻击依然造成了“可怕的损失”。

美国有史以来最大医疗机构泄露事件,Anthem失8000万个人信息

与TalkTalk同样遭殃的,还有美国第二大医疗保险公司Anthem。据Anthem首席执行官约瑟夫声明称,Anthem受到了“有针对性的外部攻击”,丢失数据包括用户姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址等。

2

美国医疗机构数据泄露早有先例:14年家得宝5600万信用卡数据被黑客访问;13年塔吉特丢失4000万信用卡和7000万客户信息……即便是世界警察,在遭遇黑客的攻击时同样毫无反击之力。

操刀者必死于刀下,黑客公司Hacking Team惨遭黑吃黑

美国政府机构被黑也属正常,毕竟同为黑客组织的Hacking Team都没能在15年幸免于难。据悉Hacking Team是全球最臭名昭著的黑客公司,曾因强大的监控软件系统Remote Code System (RCS)及媒体监控工具达芬奇(Da Vinci)而出名。然而,素有“网络军火商”之称的Hacking Team,却在今年马失前蹄——军火库被端,至少400G的文件被窃取。

3

失窃的“弹药”中,包括各种平台的木马程序(含源代码)、未公开漏洞(0day)、大量电子邮件与各种商业合同、Hacking Team内部部分员工的个人资料和密码……讽刺的是,失窃的绝大部分数据本是Hacking Team用不光彩手段所采集,未料到却遭另一黑客团队截胡——所谓螳螂捕蝉黄雀在后,或正是此意。

冲冠一怒为红颜,因争风吃醋3K党名单被“匿名者”曝光

该数据泄露事件所涉及的是两个组织全部名声在外:规模庞大的国际黑客组织“匿名者”,以及奉行白人至上主义的“3K党”。今年11月,匿名者组织攻垮了众多三K党网站,并且公开了1000位三K党成员名单。而引发匿名者组织攻击3K党的原因却令人啼笑皆非——某位匿名者组织成员的女友被三K党成员骚扰。

4

想不到“匿名者”中,竟也不乏吴三桂、周幽王这般痴情人物。

国内

社保系统漏洞曝光,险泄露千万用户信息

纵观世界风云,国内的风景并没有更好。4月中旬,全球最大的漏洞响应平台“补天漏洞响应平台”发布信息称:30余个省市的社保、户籍查询、疾控中心等系统存在高危漏洞;仅社保类信息安全漏洞涉及数据就达到5279.4万条,包括身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

5

人社部对此回应:“从目前监控的情况看,尚未发现公民个人信息泄漏事件。”国内大众只得庆幸——若非补天平台发现及时,中国社保系统或将成为另一个TalkTalk与Anthem。不过令人担忧的是,社保系统等漏洞尚未完全修复,大量敏感信息仍处在危险的环境中。

网易邮箱数据疑似泄露,却遭官方矢口否认

同样遭漏洞爆料的还有网易邮箱。乌云爆料称:网易的用户数据库疑似泄露,影响数据总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。网易邮箱绑定的其他账户也受到波及,如iPhone用户的Apple ID等。

6

新闻显示,自10月17日起已经有相当多的网易用户受到影响,Apple ID被锁;微博、支付宝、百度云盘、游戏等账号被盗等不一而足。而对于数据泄露事件,网易邮箱团队却一口否定;并通过微博发布官方声明,称邮箱被暴力破解“属于网络谣传”。孰真孰假,愈显扑朔迷离。

国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户

该漏洞于国庆长假前夕被补天漏洞响应平台披露,涉及全国6000万客户、6W+旅行社账号密码、百万导游信息;并且攻击者可利用该漏洞进行审核、拒签等操作。通过该漏洞,安全工作者获取了一则长长的名单,能够直接观看到每位用户的详细行程及个人信息。

草榴遭攻击,千万狼友哀嚎遍野

11月初,著名成人论坛草榴社区发生异常无法登陆,一时间网上鬼哭狼嚎;随后草榴发布公告,表示论坛遭到攻击导致数据库外泄,泄露内容包括:登陆邮箱、密码和登陆IP等。据了解,1024用户量在千万左右,且多为20岁以上的社会中坚力量,其数据泄露的影响难以估计。有网友戏称“CSDN脱裤我可以当作没看见,小米脱裤我也无所谓,10086泄密我都不怕,这次我真的怕了……”

7

当然,不要问我为什么会知道的这么详细,你懂的……

15年信息泄露第一弹,机锋网被曝泄2300万用户信息

机锋网的数据泄漏事件,可谓给2015年来了个“开门黑”。1月5日,知名微博“互联网的那点事”发布消息称,机锋论坛2300万用户数据泄露,包含用户名、邮箱、加密密码在内的用户信息在网上疯传。涉及数据总数多达4亿多条,远超此前的12306等泄漏事件。

文中列举的10大事件只能算作冰山一角,15年度发生的信息泄漏事件不胜枚举:美国人事管理局OPM数据泄露规模达2570万,直接导致主管引咎辞职;摩根士丹利35万客户信息涉嫌被员工盗取;日养老金系统遭网络攻击上百万份个人信息泄露……

信息泄露事件频发背后,是互联网地下黑色产业链正日益壮大:黑客用技术手段对企业网络系统进行攻击,然后将获得数据中的用户信息拿到“黑市”上贩卖;并根据数据内容的价值,为其标注不同的价格。据称,10000条用户数据就能卖到几百至上千元不等的价格,而这也成为黑客攻击网站、系统,获得信息数据的最大驱动力。

然而,与信息泄露事件逐年增多想成鲜明对比的,却是全球组织、企业乃至政府的不作为。“没有网络安全,就没有国家安全”,习大大的话早已从另一个角度诠释了皮之不存毛之焉附的道理;奈何仍有大量的企业管理、执行者执迷不悟,置数据安全于不顾。

待巨大的威胁来临时,互联网数据安全究竟该何去何从?要知道,不论普通大众,还是政客、明星甚至是黑客,在大范围的数据泄露面前,谁都不可能独善其身。

http://science.china.com.cn/2015-12/15/content_8450900.htm