2021年，數(shù)據(jù)隱私泄露事件頻發(fā)，涉及面廣，影響力大，企業(yè)因此陷入數(shù)據(jù)保護合規(guī)與社會輿情壓力的雙重危機。近日，有國外媒體梳理了2021年十大數(shù)據(jù)泄密事件，并對事件進行了點評分析，可供讀者參考。據(jù)數(shù)據(jù)統(tǒng)計，共有近2.2億人受到以下十大數(shù)據(jù)安全事件的影響，其中三起泄密事件發(fā)生在科技公司，四起涉及敏感記錄的泄露。

1. OneMoreLead

影響人數(shù)：6300萬

發(fā)現(xiàn)時間：2021年8月

事件概要：

vpnMentor的研究團隊在8月份發(fā)現(xiàn)， B2B 營銷公司 OneMoreLead 將至少6300萬美國人的私人數(shù)據(jù)存儲在一個不安全數(shù)據(jù)庫中，該公司任由此數(shù)據(jù)庫完全敞開。該數(shù)據(jù)庫包含列出的每個人的基本個人身份信息數(shù)據(jù)，以及有關(guān)其工作和雇主的類似數(shù)據(jù)和信息。這些信息很可能被提供給注冊其 B2B 營銷服務(wù)的客戶或顧客。vpnMentor 看到了數(shù)據(jù)庫中大量的 .gov 和紐約警察局電子郵件地址，這讓黑客有可能滲透到原本安全的高級政府機構(gòu)。vpnMentor 表示，政府和警察部門成員的私人數(shù)據(jù)如同從事犯罪活動的黑客眼里的金礦，可能導(dǎo)致重大的國家安全事件，使公眾嚴重喪失對政府的信任。據(jù) vpnMentor 稱，姓名、電子郵件地址和工作場所信息暴露在任何擁有網(wǎng)絡(luò)瀏覽器的人面前。

事件點評：

科技和數(shù)據(jù)對于今天的營銷而言非常重要，大數(shù)據(jù)營銷的概念也是方興未艾。當(dāng)營銷者們歡欣鼓舞地收集數(shù)據(jù)，建立模型，去做洞察，以指導(dǎo)營銷時，用戶數(shù)據(jù)的安全性該如何保障，企業(yè)營銷的底線是什么，值得營銷公司深思。

2. T-Mobile

影響人數(shù)：4780萬

發(fā)現(xiàn)時間：2021年8月

事件概要：

T-Mobile 于 8 月 17 日證實，其系統(tǒng)在 3 月18 日遭到了網(wǎng)絡(luò)犯罪攻擊，數(shù)百萬客戶、前客戶和潛在客戶的數(shù)據(jù)因此泄密。T-Mobile 表示，泄露的信息包括姓名、駕照、政府身份證號碼、社會保障號碼、出生日期、 T-Mobile 充值卡 PIN 、地址和電話號碼。T-Mobile表示，不法分子利用了解技術(shù)系統(tǒng)的專長以及專門工具和功能，訪問了該公司的測試環(huán)境，隨后采用蠻力攻擊及其他方法，進入到了含有客戶數(shù)據(jù)的其他 IT 服務(wù)器。T-Mobile 表示，它弄清楚了不法分子如何非法進入其服務(wù)器并關(guān)閉這些入口點。該公司表示，它將向所有可能受到影響的人提供為期兩年的免費身份保護服務(wù)(邁克菲的身份竊取防護服務(wù))。此外， T-Mobile 表示為后付費客戶提供帳戶接管防護服務(wù),這樣一來，客戶帳戶更難被人以欺詐手段外泄和竊取。

事件點評：

T-Mobile 是一家跨國移動電話運營商，是德國電信的子公司，屬于 Freemove 聯(lián)盟。T-Mobile 在西歐和美國運營 GSM 網(wǎng)絡(luò)，并通過金融手段參與東歐和東南亞的網(wǎng)絡(luò)運營。該公司擁有1.09億用戶，是世界上較大的移動電話公司之一。對于網(wǎng)絡(luò)犯罪分子來說，這類公司具有較高價值。通信公司有義務(wù)保護好客戶信息，需要在數(shù)據(jù)安全方面做更多功課。

3. 未知的營銷數(shù)據(jù)庫

影響人數(shù)：3500萬

發(fā)現(xiàn)時間：2021年6月

數(shù)據(jù)內(nèi)容：個人信息

事件概要：

Comparitech研究人員在7月29日報告，一個含有估計3500萬個人詳細信息的神秘營銷數(shù)據(jù)庫泄露在網(wǎng)上，居然未設(shè)密碼。該數(shù)據(jù)庫包括姓名、聯(lián)系信息、家庭住址、種族以及眾多的人口統(tǒng)計信息(包括愛好、興趣、購物習(xí)慣和媒體消費等)。相關(guān)樣本顯示，大多數(shù)記錄與芝加哥、洛杉磯和圣迭戈這些大城市的居民有關(guān)。據(jù) Comparitech 聲稱，凡是擁有網(wǎng)絡(luò)瀏覽器和互聯(lián)網(wǎng)連接的人都可以訪問數(shù)據(jù)庫全部內(nèi)容，里面含有的信息可用于有針對性的垃圾郵件和詐騙活動以及網(wǎng)絡(luò)釣魚。Comparitech網(wǎng)絡(luò)安全研究團隊在6月26日發(fā)現(xiàn)了該數(shù)據(jù)庫，盡管使出了渾身解數(shù)，還是無法確定該數(shù)據(jù)庫歸誰所有。該公司聯(lián)系了托管該數(shù)據(jù)庫服務(wù)器的亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)，要求撤下數(shù)據(jù)庫，不過，該數(shù)據(jù)在7月27日之前仍可以訪問。

事件點評：

互聯(lián)網(wǎng)在提供精準營銷的背后，卻是一遍又一遍對用戶隱私數(shù)據(jù)的索取、整理、分析和挖掘。任何國家的任何法律，都沒有說不允許使用個人信息，所有的法律和規(guī)定，都是圍繞如何正確使用這些信息，而不是如何禁止使用這些信息，這是一個大前提。那么，個人數(shù)據(jù)如何才算正確使用呢?這就涉及到“同意”原則，同意原則是企業(yè)使用個人信息的起點。當(dāng)然，也有例外的情況可以不經(jīng)過個人同意就使用個人信息，一般都是涉及國家安全等特殊情況。同意原則包含三個類型：默認同意、明示同意和授權(quán)同意。

4. ParkMobile

影響人數(shù)：2100萬

發(fā)現(xiàn)時間：2021年3月

事件概要：

ParkMobile在3月份發(fā)現(xiàn)一起與第三方軟件漏洞有關(guān)的網(wǎng)絡(luò)安全事件。調(diào)查發(fā)現(xiàn)，其基本的用戶信息被人訪問，包括車牌號、電子郵件地址、電話號碼和車輛昵稱。在少數(shù)情況下，郵寄地址也被訪問。該公司還發(fā)現(xiàn)加密的密碼被訪問，但讀取這些密碼所需的加密密鑰并未被訪問。ParkMobile表示，它使用先進的散列和加入隨機字符串(salting)技術(shù)對用戶密碼進行加密，以此保護用戶密碼。ParkMobile表示，用戶應(yīng)考慮更改密碼，作為另一道預(yù)防措施;信用卡或停車交易歷史記錄未被訪問;它并不收集社會保障號碼、駕照號碼或出生日期。ParkMobile稱：“作為美國較大的停車應(yīng)用軟件，用戶的信任是我們的重中之重。請放心，我們認真對待保護用戶信息安全的責(zé)任。”

事件點評：

ParkMobile是在北美頗受歡迎的移動停車應(yīng)用，用來顯示街頭可用的停車位Parkmobile還支持應(yīng)用內(nèi)支付停車費，即用戶進入符合要求的距離之后可以在手機上為車位付費。不過需要特別注意的是，該功能只面向ParkmobilePro付費用戶開放。它還能提供停車費折扣、路邊援救以及臨時優(yōu)惠活動。在給用戶帶來方便的同時，其安全性也需要進一步加強。

5. ClearVoiceResearch.com

影響人數(shù)：1570萬

發(fā)現(xiàn)時間：2021年4月

事件概要：

ClearVoice在4月份獲悉，一個未經(jīng)授權(quán)的用戶在網(wǎng)上發(fā)布了含有2015年8月和9月調(diào)查參與者的個人信息數(shù)據(jù)庫，并向公眾出售這些信息?？稍L問數(shù)據(jù)包括聯(lián)系信息、密碼以及針對用戶健康狀況、政治派別和種族等問題作出的答復(fù)。ClearVoice表示，這批數(shù)據(jù)可能會被不法分子濫用，導(dǎo)致調(diào)查參與者被人(比如廣告商)聯(lián)系。此外，可訪問的信息可能用于準備個人資料，而這些資料可用于商業(yè)或政治目的。在收到未經(jīng)授權(quán)用戶發(fā)來的電子郵件的一小時內(nèi)，ClearVoice表示它找到了備份文件，確保其安全，并消除了云服務(wù)端這個文件面臨的泄露風(fēng)險。另外ClearVoice對可能泄露信息的所有會員強行重置了密碼，還實施了安全措施，以防止此類事件再次發(fā)生，并保護會員數(shù)據(jù)的隱私。

事件點評：

ClearVoice是一個人才網(wǎng)絡(luò)和內(nèi)容營銷平臺，幫助企業(yè)創(chuàng)建引人入勝的內(nèi)容，以支持他們的博客，SEO，社交媒體和營銷自動化。ClearVoice集成的編輯日歷和簡化的內(nèi)容工作流程可提高工作效率，并幫助營銷人員實現(xiàn)其內(nèi)容營銷目標。顯然，在其開展相關(guān)營銷活動時，并未很好地將安全性納入到其平臺上。

6. Jefit

影響人數(shù)：905萬

發(fā)現(xiàn)時間：2021年3月

事件概要：

鍛煉跟蹤應(yīng)用程序Jefit在3月份發(fā)現(xiàn)了因安全漏洞而導(dǎo)致的數(shù)據(jù)泄密，這起事件影響了2020年9月20日之前注冊的客戶帳戶。不法分子訪問了以下信息：Jefit帳戶用戶名、與帳戶關(guān)聯(lián)的電子郵件地址、加密的密碼以及創(chuàng)建帳戶時的IP地址。Jefit保存IP地址用于防止機器人程序，并將濫用帳戶登記在冊。該公司查明了數(shù)據(jù)泄密的根本原因，并證實Jefit的其他系統(tǒng)未受影響。Jefit表示，它已采取安全措施來加強網(wǎng)絡(luò)，以防范將來出現(xiàn)類似的泄密事件，并正在其產(chǎn)品上采用更加強大的密碼策略，以便將來進一步保護用戶帳戶。此外，Jefit表示，敏感的財務(wù)數(shù)據(jù)未受到牽涉，因為該公司從不存儲客戶的付款信息。客戶在Jefit網(wǎng)站購買產(chǎn)品時，所有支付流程都由Google Play Store 、 Apple App Store直接處理，或者由支付網(wǎng)關(guān)公司直接處理。

事件點評：

Jefit成立于2010年，立志于成為健身界的Facebook，在這個語境下，它有著同類應(yīng)用難以比肩的大型數(shù)據(jù)庫：超過1300種訓(xùn)練動作，以及數(shù)以百萬計用戶分享的訓(xùn)練計劃。Jefit只能做到對健身訓(xùn)練數(shù)據(jù)的追蹤和管理，想要直觀地分析一定周期內(nèi)個人在健身時的訓(xùn)練狀態(tài)和身體表現(xiàn)情況，還得借助一些數(shù)據(jù)整合和分析工具。不管是使用自身系統(tǒng)還是借助于第三方工具，都需要做好數(shù)據(jù)保護工作。

7. Robinhood

影響人數(shù)：700萬

發(fā)現(xiàn)時間：2021年11月

事件概要：

電子交易平臺Robinhood在11月8日披露，未經(jīng)授權(quán)的有關(guān)方在五天前通過電話冒充員工，訪問了客戶支持系統(tǒng)。Robinhood表示，在此次事件中，黑客獲得了大約500萬人的電子郵件地址列表以及另外大約200萬人的全名。Robinhood表示，這700萬條記錄中的數(shù)千個條目包含電話號碼，大約310人的姓名、出生日期和郵政編碼已被公開，其中大約10個客戶的更詳細帳戶信息被公開。Robinhood在遏制這起入侵后表示，黑客敲詐索要贖金。它及時通知了執(zhí)法部門，將在Mandiant的幫助下繼續(xù)調(diào)查這起事件。

事件點評：

冒充他人登錄到企業(yè)網(wǎng)絡(luò)，事實上就是竊取員工的身份。身份認證也稱為"身份驗證"或"身份鑒別"，是指在計算機及計算機網(wǎng)絡(luò)系統(tǒng)中確認操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限，進而使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，保證系統(tǒng)和數(shù)據(jù)的安全，以及授權(quán)訪問者的合法利益。單一的身份認證手段容易導(dǎo)致賬號被冒用，造成內(nèi)部信息泄露，企業(yè)需要進一步加固自身的身份認證體系，來保障網(wǎng)絡(luò)信息的安全。

8. Accellion

影響人數(shù)：676萬

發(fā)現(xiàn)時間：2021年初

事件概要：

2021年初，黑客結(jié)合舊版Accellion文件傳輸設(shè)備(FTA)中多個零日漏洞工具，向外泄露數(shù)據(jù)，要求付款以確保歸還和刪除數(shù)據(jù)。據(jù)HIPAA Guide網(wǎng)站報道， Clop勒索軟件團伙的數(shù)據(jù)泄露網(wǎng)站被用來發(fā)布一些被盜數(shù)據(jù)，勸誘受害者支付贖金。截至2021年4月份，已知至少九家醫(yī)療保健組織受到了Accellion數(shù)據(jù)泄密事件影響，其中包括Kroger Pharmacy的147萬客戶、Health Net的124萬會員、Trinity Health的58.7萬患者、California Health&Wellness的8萬會員、Trillium Health Plan的5萬客戶，以及Arizona Complete Health的2.9萬會員。Stanford Medicine 、 University of Miami Health和 Centene Corp也受到了這次泄密事件的影響，不過這每家組織中受影響的人數(shù)尚未得到證實。泄露信息包括姓名、社會保障號碼、出生日期、信用或銀行賬號、健康保險號碼及/或與健康有關(guān)的信息。

事件點評：

"零日漏洞"(zero-day)又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。有證據(jù)顯示，黑客更加善于在發(fā)現(xiàn)安全漏洞不久后利用它們，實施攻擊活動。雖然目前不能完全防范零日漏洞攻擊，但是，科學(xué)完善的防御體系能有效減少被零日攻擊的機率，以及降低零日攻擊造成的損失。

9. Infinity保險公司

影響人數(shù)：572萬

發(fā)現(xiàn)時間：2021年8月

事件概要：

Infinity保險公司在3月份披露，在2020年12月的兩天內(nèi)，有人未經(jīng)授權(quán)，短暫訪問了Infinity網(wǎng)絡(luò)中服務(wù)器上的文件。Infinity全面審查保存在被訪問服務(wù)器上的文件后發(fā)現(xiàn)，一些社會保障號碼或駕照號碼包含在文件中。這起事件還影響了Infinity現(xiàn)在和以前的員工，泄露信息包括員工姓名、社會保障號碼及/或有限情況下與病假或員工賠償索賠有關(guān)的醫(yī)療信息。受影響員工和客戶將獲得為期一年的免費信用監(jiān)控服務(wù)會員資格。為了降低發(fā)生類似事件的風(fēng)險，Infinity繼續(xù)審查其網(wǎng)絡(luò)安全計劃，并利用調(diào)查信息來確定另外的措施，以進一步增強網(wǎng)絡(luò)安全性。該公司在致員工的一封信中寫道：“我們理解保護個人信息的重要性，對由此造成的不便深表歉意。”

事件點評：

Infinity財產(chǎn)保險公司是總部設(shè)立在伯明翰，為美國各州提供汽車保險的公司。作為美國表現(xiàn)良好的公司之一，提供非標準的汽車保險，為那些不能通過標準保險公司獲得安全保障的個人提供保險服務(wù)。這些不標準的因素可能是因為駕駛記錄里有事故記錄，駕駛者的年齡，車型以及其他各種原因。Infinity財產(chǎn)保險公司是在非標準承保行業(yè)中第三大保險公司，作為有如此影響力的保險公司，應(yīng)加強其數(shù)據(jù)安全。

10. 尼曼集團(Neiman Marcus Group)

 

影響人數(shù)：435萬

發(fā)現(xiàn)時間：2021年9月

事件概要：

奢侈品百貨連鎖店尼曼在9月份披露，未經(jīng)授權(quán)的有關(guān)方于2020年5月獲取了與客戶在線帳戶有關(guān)的個人信息。該公司表示，它已將該事件通知執(zhí)法部門，已與Mandiant密切合作開展調(diào)查。泄露信息可能包括：姓名及聯(lián)系資料、支付卡號及有效期、尼曼虛擬代金券號碼，以及與在線帳戶有關(guān)的用戶名、密碼以及安全問題和答案。尼曼稱，大約310萬張支付卡和虛擬代金券受到了影響，其中超過85%為過期或無效。尼曼回應(yīng)稱，它要求自2020年5月以來未更改密碼的受影響客戶重置在線帳戶密碼。此外該公司表示，如果受影響客戶為其他任何在線帳戶使用的登錄信息與用于其尼曼帳戶的登錄信息相同或相似，應(yīng)更改登錄信息。

事件點評：

尼曼集團( Neiman Marcus )是美國以經(jīng)營奢侈品為主的連鎖高端百貨商店，是當(dāng)今世界高檔、獨特時尚商品的零售商，已有100多年的發(fā)展歷史，其總部在美國得克薩斯州達拉斯，能進入該百貨的品牌都是各個行業(yè)中的翹楚。此次數(shù)據(jù)泄露事件，使其公眾聲望受損。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文