回顾2020年数据泄露重大事件,数据保护将何去何从?
2021-01-05 13:30:25 Author: www.freebuf.com(查看原文) 阅读量:144 收藏

2020年即将过去,后疫情时代的生产生活在继续向网络空间迈进,站在企业的角度,从物理世界到虚拟世界的转变就是数字化转型的过程。数据的量级激增与价值凸显,也带来了更多的数据滥用、攻击与盗窃。

在这一年里,国内外发生了多起重大的数据泄露事件,社会公民的隐私被无情曝光,招致骚扰和诈骗;企业的商业机密被勒索、窃取,面临重大的经济和信誉损失;一些更严重的数据泄露,让社会安定和国家安全面临威胁。

数安行整理并选取了部分典型的数据泄露事件,和大家一起探讨当今安全形势之下,有效可行的数据保护之路。

国内

银行内部人员泄露用户信息牟利

2020年4月,浙江岱山农商银行因违规泄露用户信息,被罚款30万元。另外,对泄露用户信息负有主要责任的该银行员工被禁业3年。

2020年5月,江苏淮安警方破获一起贩卖公民个人信息案,建设银行员工以每条80-100元的价格,将使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息50000多条。

医院患者个人信息被泄露

因青岛市胶州中心医院发现新冠肺炎确诊病例,2020年4月,一份出入这家医院的名单在当地微信群里被广泛转发,涉及6000余人的姓名、住址、联系方式、身份号码等个人身份信息。

2020年9月27日,广西南宁法院审理一起8万多条新生儿、产妇信息被倒卖的案件,被告人利用在广西妇幼保健院工作的便利,在为新生儿办理出生证时,非法下载新生儿和产妇的个人信息,总量达89904条。

多地高校数万学生隐私遭泄露

2020年4月,河南财经政法大学、西北工业大学明德学院、重庆大学城市科技学院等高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。

2020年6月,再次发生高校学生信息泄露事件。郑州西亚斯学院近两万名学生信息遭到泄露,包括姓名、身份号、专业、宿舍门牌号等二十余项信息,多名学生反映收到骚扰电话。

快递行业倒卖用户信息产业链被曝光

2020年8月,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖,导致40万条公民个人信息被泄露。案件在11月被曝光后引起轩然大波。

紧接着有媒体连日调查发现,此现象不止圆通一家,网上存在贩卖快递用户信息的“黑产”链条,涉及申通、德邦、EMS、韵达等多家快递公司。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等。

微博5.38亿用户数据在暗网出售

3月,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

国外

化妆品巨头雅诗兰黛云泄露4.4亿条邮箱记录

1月底,化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上,其中存储了4.4亿条记录,其中包含大量的审计日志和电子邮件地址。

以色列640万选民数据遭泄露

2月,以色列总理领导的利库德集团(Likud)开发的选举应用程序因配置错误,可能潜在地暴露并损害了近640万以色列公民的个人资料。

万豪国际再曝520万用户数据泄露

连锁酒店万豪国际4月宣布,已受到第二次数据泄露攻击,暴露了“多达520万名客人”的个人详细信息。包括姓名、地址、出生日期、性别、电子邮件地址和电话号码,还披露了雇主名称、性别、住宿偏好和会员卡帐号。

印尼电商9100万账号信息在暗网售卖

5月,有黑客在黑客论坛出售超过1500万Tokopedia(印尼最大电商平台)用户信息,访问该数据需支付8个网站积分(约合16元)。同时,该黑客也在出售完整的9100万用户数据集,售价5000美元。

2.43亿巴西人个人信息被泄露

巴西媒体12月爆料,包括在世和已故的在内,有超过 2.43 亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码,开发者在其中发现了重要政府数据库。

根据2020年数据泄露大事件,数安行分析——

多数事件由内部滥用或恶意泄密造成:内部泄密逐渐超过黑客攻击、撞库等外部进攻手段成为数据泄露的主要途径。然而企业或组织长期忽略了对于内部的管控和权限的追踪。

传统防护面对现今的数据泄露效率低下:数据泄露事件遍布于基础设施行业和大型企业,虽然部署了安全防护,但泄露依然源源不断。传统的防护策略已经不完全适应当下的数据安全态势。

数据泄露的违法成本较低:关于数据泄露的监管判例显示,目前基本以行政处罚为主,不足以震慑企业落实数据安全保护义务,企业人员的安全和法律意识比较淡薄。

针对以上现状,数安行提出了基于数据运营安全(DataSecOps)的个人信息保护策略,在数据运营中内嵌数据安全属性,解决数据运营过程中的数据安全问题。即对数据运营的全流程进行安全防护服务,所有的安全防护都围绕数据运营展开,既覆盖数据业务全流程,又与数据业务流程独立运行互不影响。


文章来源: https://www.freebuf.com/articles/paper/259829.html
如有侵权请联系:admin#unsafe.sh