2016年7月臭名昭著的暗网市场“真实交易”(TheRealDeal)里一位名叫 “和平”的卖家挂出了约2亿个雅虎账户和密码进行出售,雅虎数据泄露事件就此开始发酵。一年后,雅虎官方承认共有约30亿个账户受到2013年黑客攻击影响,而那次攻击导致泄露的数据,之后几年里一直在暗网里流传。
关于雅虎数据泄露的相关报道
截止目前,这仍是有史以来涉及用户数量最多的数据泄露事件。
数据泄露,应该是为数不多普通大众都有所耳闻的网络安全概念。它被熟知的主要原因是发生频率太高,并且数据泄露事件一旦爆出,往往影响深远。5年前的一次数据泄露,可能会在今天突然爆发,导致用户的个人信息被公之于众。
据我查找到的信息来看,最早有记录的数据泄露事件发生在2004年。2004年互联网服务公司“美国在线(AOL)”的一名软件工程师,利用自己职务便利黑入公司内部系统,窃取了9200万个****卖给了垃圾邮件服务商。当年全球互联网用户人数也仅有8亿而已,这一次人为的数据泄露覆盖量就占到了11%。
名为“美国在线员工因垃圾邮件被捕”的相关报道
在此之后,数据泄露事件开始爆发式的增长。
目光回到国内,早期曝光的数据泄露事件主要从2011年底开始。2011年,有两起数据泄露事件影响了当时绝大部分的中国网民。
第一,天涯社区4000万用户资料泄露,泄露的数据里面包括天涯的用户名、密码、邮箱三个数据。其中大部分都可以可直接登录到天涯社区;
第二,CSDN用户数据库泄露事件,高达600多万个明文的注册邮箱账号和密码遭到曝光,成为中国互联网历史上一次具有深远意义的网络安全事故。
2011年数据泄露事件表-图源澎湃新闻
据统计2011年里的数据泄露事件,共累计影响了1亿用户。我们再来看一个对比数据,根据中国互联网信息中心的报道,2011年中国网民共计5.13亿。
中国互联网信息中心报告截图
而当年的数据泄露影响了全国1/5的网民。
回到现在,2020年过去3个月,发生的数据泄露事件也不少。让我记忆最深刻的是前些日子安全公司 Keepnet Labs 泄露了一个包括50亿条已泄露记录的数据库。(是不是有许多问号?安全公司也会数据泄露…)
事件经过是有专家发现一个属于安全公司 Keepnet Labs 的未受保护的数据库,其中包含超过50亿条以前泄露的数据记录网络安全事件。泄露数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源。
随着互联网的快速发展,数据泄露也从互联网公司蔓延到一些传统行业。其中包括酒店、航空、快递等涉及大量用户私密信息的行业,而且涉及数据量都非常之大。2018年仅是一个华住酒店集团数据泄露事件,就涉及了5亿条客户隐私信息…
以目前的情况来看,数据泄露比你想象的更“贴近”你的生活。
数据泄露可能是有针对性的攻击,也可能只是人为错误、安全漏洞或缺乏安全措施导致。具体有以下几种方式:
据统计,黑客入侵是数据泄露的主要方式。
让我们来设想一个场景:黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,可以直接洗库变现,还可以再去B网站撞库。
纯手工绘图
是不是被里面的各种库绕晕了?别慌我们接着看。
拖库:本来是数据库领域的专用语,指从数据库中导出数据。而现在它被用来指网站遭到入侵后,黑客窃取数据库的行为。
洗库:黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。
社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。
撞库:很多人喜欢将不同网站的密码设置为同一个,一旦你在某个网络安全能力较弱的网站密码被黑客获取,黑客就可以用该密码循环测试其他网站,这种手段就叫“撞库”。
就如出售“美国在线”数据的那位软件工程师一样,为了赚钱从内部泄露数据。也有可能是由于员工安全意识不足,失误将数据外泄。
一些小公司为了自身利益会主动出售自己已有的用户数据,或者与同行交换。
API接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,导致数据泄露。
数据不仅是企业的核心财产,更是用户重要的隐私。现如今我们通过个人的努力去减少数据泄露带来的安全风险可谓是难上加难。太多的个人隐私被存储在了互联网中,谁知道它们会不会是下一个被泄露的。
企业有义务也更有能力去保护用户隐私不被侵犯。毕竟,能力越大,责任越大。
电影《蜘蛛侠》截图
例如企业的数据收集必须要符合法律法规的要求,保证数据收集是在一定的框架和允许的范围内进行,同时对于所收集的数据以及数据的真实用途要明确告知用户。
其次企业应对数据安全风险,要从技术层面和管理层面多方着手。
一方面在技术层面做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工作,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据。
另一方面,在管理层面则应该设立首席数据安全官来负责数据安全,要设立多个数据安全保护官,或者是多支团队保障数据安全。同时还要建立好攻防对抗的机制,通过攻防对抗真正的检验系统安全性,了解黑客的攻击方法和技术手段才能更好的保护企业安全。【来自FreeBuf.COM】
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...