日前，雅虎公開承認，在2013年8月的時候就發(fā)生了多達10億的賬戶數(shù)據(jù)泄露。同時也創(chuàng)造了有記錄以來史上最大數(shù)據(jù)泄露案。借此機會我們回顧一下自2005年以來11年間規(guī)模最大、影響最深遠的數(shù)據(jù)泄露。

初次泄露

關于數(shù)據(jù)泄露，TechTarget給出了定義：

當一場事故中發(fā)生敏感，受保護或機密數(shù)據(jù)可能被未經授權的個人查看、偷竊或使用的事件，即可定義為數(shù)據(jù)泄露。 數(shù)據(jù)泄露往往涉及支付卡信息(PCI)，個人健康信息(PHI)，個人身份信息(PII)，商業(yè)秘密或知識產權。

隨著大大小小的企業(yè)越來越依賴電子數(shù)據(jù)、云計算和流動勞動力，數(shù)據(jù)泄露得到了廣泛關注。 由于敏感的業(yè)務數(shù)據(jù)存儲在本地計算機或是企業(yè)數(shù)據(jù)庫和云服務器上，對于一個黑客而言，侵入一個公司的數(shù)據(jù)庫的難度相當于獲得對受限網(wǎng)絡的訪問。

數(shù)據(jù)泄露并不是從數(shù)據(jù)以電子的方式存儲開始的。 事實上，從個人或公司開始保存記錄或存儲私人信息，數(shù)據(jù)泄露就已存在。 在計算機普及之前，數(shù)據(jù)泄露可以是簡單的。例如在沒有授權的情況下查看個人的醫(yī)療文件或者找到未被正確處理的敏感文檔。 這種類型的數(shù)據(jù)泄露在1980年代頻繁增加，直到1990年代和21世紀初，公眾對數(shù)據(jù)泄露潛在威脅的認識開始上升。

大多數(shù)關于數(shù)據(jù)泄露發(fā)生2005年至今的時間段內。 這其中主要推動力是由于技術的進步以及電子數(shù)據(jù)在全世界的加速擴散。在這個過程中數(shù)據(jù)泄露逐漸成為企業(yè)和消費者關注的焦點。 在當今社會，數(shù)據(jù)泄露一旦發(fā)生，受影響的用戶數(shù)量可能會在數(shù)十萬，通常是沖著百萬級去的，乃至更多，而且這些數(shù)據(jù)泄露只是對一家公司進行的單次攻擊。

據(jù)隱私權信息交流中心(Privacy Rights Clearinghouse，簡稱PRC)統(tǒng)計，在2005年的時候發(fā)生了最早的幾起數(shù)據(jù)泄露。其中最早的一起就是發(fā)生在喬治梅森大學(2005年1月)，一個黑客攻擊了喬治梅森大學的主要身份服務器，涉及32000名學生和員工的個人信息，包括姓名，圖片，社會保障號。

之所以從2005年開始回顧數(shù)據(jù)泄露是因為大多數(shù)數(shù)據(jù)泄露發(fā)生2005年之后的時間段內。當然，也不是意味著數(shù)據(jù)泄露在05年之前就沒發(fā)生過，只是數(shù)量少且曝光率低。因此2005年可以看成數(shù)據(jù)泄露元年。

數(shù)量越來越大了，要溢出來了!

第一次泄露信息超過100萬條的記錄發(fā)生在2005年的3月，黑客在DSW(美國俄亥俄州著名鞋坊)的數(shù)據(jù)庫中盜取了140萬條信用卡信息。

僅2005年一年隱私權信息交流中心PRC就記錄了136起數(shù)據(jù)泄露。自2005年至今，已有超過4500起，平均每天都會發(fā)生一起數(shù)據(jù)泄露，共8.16億條個人記錄遭到泄露。

隨后數(shù)值越來越大，2005年最大的數(shù)據(jù)泄露定格在4000萬條信用卡信息，來自CardSystems Solutions(美國一家信用卡管理公司)，被盜的4000萬條信息中有68,000個萬事達卡帳戶，100,000個Visa帳戶和其他信用卡廠商的30,000個帳戶。泄露的數(shù)據(jù)包括姓名，卡號和信用卡密碼。在次年5月12日CardSystems Solutions申請破產。

2007年一月，TJX公司(服裝家居公司)，經歷了那一年最大的數(shù)據(jù)泄露。TJX聲稱黑客分多次作案共盜取了近1億賬戶的信用卡和借賬卡信息以及數(shù)千條退款記錄。這次數(shù)據(jù)泄露由于影響過大，給TJX公司帶來了2.16億美元的直接損失。當局也參與了案件的偵破，并在古巴查到了被盜信用卡的消費記錄。2010年，事件平息，最終以28歲的黑客Albert Gonzalez在聯(lián)邦監(jiān)獄服20年徒刑的形式結束。

2009年Heartland的支付系統(tǒng)(130,000,000)、2013年的Adobe(38,000,000)、2014年的Home Depot(56,000,000)還有2015年的Anthem(80,000,000)都曾發(fā)生過數(shù)據(jù)泄露。

但是這些都沒有2015年5月的MySpace厲害。

今年5月31日，黑客在MySpace盜取了3億6千萬賬戶的用戶名、密碼。在當時已經是大新聞了。

• 這些泄露的數(shù)據(jù)以“SHA-1”的哈希加密的方式存儲的，性能較弱，易于攻破，雪上加霜的是，該公司在散列過程中沒有對密碼進行“salt”

根據(jù)CSC在2012年的預測：

• 到2020年為止，超過三分之一的數(shù)據(jù)會實時存儲或是傳到數(shù)據(jù)云中。
• 在2020年，數(shù)據(jù)產業(yè)可能達到2009年的44倍。專家估計到2020年年度數(shù)據(jù)生成增長4300%。
• 雖然個人用戶負責大多數(shù)(70%)數(shù)據(jù)產出，但所有數(shù)據(jù)的80%還是由企業(yè)存儲。

接下來由雅虎接管比賽!你們都是渣滓!

9月22日，雅虎宣稱他們被盜取了5億個用戶的賬戶密碼。不過這起事件實際是發(fā)生在2014年的。按照雅虎的說法，雅虎也是在今年8月份對另外一起數(shù)據(jù)泄露事件發(fā)起調查的時候，才發(fā)現(xiàn)2014年5億帳號被盜這一事實的。

這次事件一時之間占據(jù)大量媒體版面頭條。雅虎就此事強調了兩點，其一此次事件疑似為“國家背景”的攻擊者所為，另外并未泄露如明文密碼、銀行卡信息這類最具價值的數(shù)據(jù)。

不少美國人已經開始擔心，雅虎5億用戶賬戶被盜事件甚至可能對許多美國人的日常生活產生影響。

[[180015]]

我們本來一度以為5億可能已經是很難超越的數(shù)字了。直到上周三，雅虎又將自己創(chuàng)造的記錄提高了一倍，達到了10億。這一次數(shù)據(jù)泄露似乎還跟上次5億泄露不同，真正的泄露發(fā)生在2013年，2016年11月的時候才第一次發(fā)覺。由于雅虎在2013年以前一直使用的脆弱的算法MD5保存用戶賬號，黑客組織“Group E”盜取了這些數(shù)據(jù)并在暗網(wǎng)上出售。

反思

即使是世界上最大的公司也會遭受巨大的數(shù)據(jù)泄露，影響了數(shù)百萬消費者?，F(xiàn)代企業(yè)需要一個全面的，全方位的數(shù)據(jù)保護和安全的方法。 過去的應對方法根本無法在現(xiàn)代威脅環(huán)境中杜絕數(shù)據(jù)泄露。