开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

  • A+
所属分类:安全新闻



1 月 3 日,元旦的节日氛围尚未散尽,国外网络情报公司 Cyble 发布博客称,在一次对暗网的日常安全监控过程中,发现有人在售卖大量中国用户的隐私信息……


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?


分析发现,这些数据主要有三部分,加起来数量超过 2 亿。


1. 730 万中国公民信息,包括身份证、性别、姓名、出生日期、手机号、地址和邮编等。为了证明真实性,网上还贴出了湖北省公安县 999 名中国公民的户口登记样本数据。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?


2. 在一个俄语网络犯罪论坛中,约 4180 万微博用户信息(微博 ID 及对应的手机号)在售。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

3. 约 1.92 亿 QQ 用户信息(QQ 账号与对应的手机号)在暗网出售。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

目前,关于这一信息还没有更近一步的调查。但从部分网友回复能看出,这些可能是此前就泄露过的信息,且真实度较高。


回顾这几年,信息泄露规模逐年扩大。攻击者通过不同攻击(勒索、钓鱼、凭证填充等)手段获取信息、服务器配置不当或人员操作不当不慎泄露信息、地下交易买卖信息、公网直接暴露信息等,都是造成信息泄露的主要原因。据各大媒体报道,2020 年全年,公开披露的信息泄露事件就高达200多起,总量涉及超 20 亿人。以下为2020年较重大信息泄露事件列表:


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

2020年1月

- 微软 2.5 亿条用户支持数据及个人身份信息泄露;
- 美国 checkpeople.com 网站泄露 5600 万个人信息;
- 50 多万台服务器、家庭路由器和物联网智能设备的远程登录 Telnet 凭据列表泄露;


2020年2月

化妆品巨头雅诗兰黛未受保护的数据库暴露在公网,泄露 4.4 亿条客户记录;
- 米高梅酒店超过 1060 万旅客个人信息泄露;
- 以色列超过 640 万选民数据泄露;


2020年3月

- 英国安全公司 Keepnet Labs未保护的 Elasticsearch 数据库暴露在公网,泄露超过 50 亿条安全记录;
- 印尼电商 Tokopedia 超过 9100 万用户数据泄露;
- 5.38 亿微博用户信息在暗网销售;


2020 年 4 月

- 网络安全公司 Cyble 发现 2.67 亿 Facebook 用户信息被盗并在暗网出售;
- 万豪国际泄露 520 多万客人详细信息;
- 在线会议软件 Zoom 超过 50 万的用户账号密码在黑客论坛出售;


2020 年 5 月

- 泰国移动运营商 AIS(Advanced Info Service)某子公司的 ElasticSearch 数据库可公开访问,泄露 83 亿条联网记录;
- 国外成人网站 CAM 4 泄露 108.8 亿条用户敏感数据;
- 法国《费加罗报》(Le Figaro)泄露超过 8 TB 约 74 亿条记录,包括其网站注册用户的登陆凭证;
- 1.29 亿俄罗斯车车主个人信息泄露,研究人员认为这些信息泄露的源头可能是当地警局;


2020 年 6 月

- 科技巨头甲骨文(Oracle)的数据管理平台 BlueKai 因未设置服务器密码,导致数十亿条包含姓名、住址、电子邮件等敏感信息在内的用户信息泄露;
- 威胁情报机构 Cycle 发现约 2000 万中国台湾公民个人信息在暗网市场售卖;


2020 年 7 月

- 18 家公司超过 3.86 亿条用户数据在黑客论坛售卖;其中 2.7 亿条来自 Wattpad 网站;
- 米高梅酒店的 1.42 亿客户信息被放在暗网售卖;


2020 年 8 月

- 数据采集公司 Social Data 因数据库无需认证即可接入,导致 Instagram、TikTok 和 Youtube 共 2.35 亿账户信息泄露;
- 英特尔公司 20G 敏感信息暴露于公网;


2020年 9 月

电子邮件营销公司 Mailfire 因 ElasticSearch 数据库配置错误,导致 70 个网站超过 3.7 亿条数据泄露;
微软IT 员工不慎将必应 (Bing) 的后台服务器之一暴露在网上,暴露超过 6.5 TB 的日志文件,包含用户搜索和地址信息;


2020 年 10 月

- 美国 VoIP 网络电话供应商 Broadvoice 因数据库配置错误泄露3.5亿客户记录;
- 1.86 亿美国选民个人信息暴露在黑客论坛;


2020 年 11 月

日本游戏巨头 Capcom 遭到勒索软件攻击,35 万客户信息及员工信息被窃取;
- 保险软件服务商 Vertafore承认因为“人为”错误,导致 2770 万得克萨斯州司机个人信息;


2020 年 12 月

一家开曼群岛离岸银行的备份数据公开暴露,用户个人银行业务信息、护照数据甚至在线银行PIN码等信息泄露;

- 安全公司火眼(FireEye)因遭遇 APT 攻击而泄露渗透武器;


2021 年 1 月

- 暗网出售超 2 亿来自微博、QQ等用户数据;

……


从列表可以看出,大多数数据泄露事件的主角是软件与互联网企业、消费行业。其中,恶意攻击及服务器不当配置是主要原因。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?


而在国内,仅因为疫情期间流调而发生的信息泄露就有几十起。2020年年初,7000多名武汉返乡人员信息被泄露;4月,胶州近7000人姓名、住址、联系方式、身份证号码等个人信息泄露;年底,成都、重庆、沈阳等地参与流调的个别人员都遭遇信息泄露甚至更进一步的网暴。这些案例大多以警方介入调查、处罚而告终,处理结果则是对泄露信息者处以行政拘留、罚款、立案审查、通报批评等。就在1月4日,北京警方还拘留了一名泄露患者隐私的航空保安公司员工。

开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

来源:21世纪经报道


此外,智联招聘等招聘APP泄露或贩卖用户简历;圆通等快递公司泄露、贩卖用户数据;某些银行员工贩卖数万条客户信等,则大多是因为“内鬼”而造成的隐私侵犯,造成的影响更为恶劣,面临的处罚也更为严重。


总有人说 2020 年是最糟糕的一年。而 2021 开年就出现的“2 亿公民信息在暗网售卖”这一新闻也许表明了,2021 年信息泄露问题说不定更糟糕。随着疫情的逐步发展,与疫苗相关的数据信息、远程办公的信息传输、流调追踪数据以及个人医疗健康数据都可能成为 2021 年信息泄露的重灾区。当然,还有最常见的企业、用户数据。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?


发现 2 亿国民信息泄露的 Cyble 还发布了一些信息保护小技巧。这些技巧对于很多人来说也许是老生常谈,但就像信息泄露一样,人人都知道其严重性,却也年年都在发生。“历史不会重演,但总会惊人地相似”。而我们还是期望,相似的故事,能让企业学会些什么。


  • 不点击未验证/未确认的链接

  • 不打开不受信任的电子邮件附件

  • 仅从受信任的网站下载文件

  • 切勿使用不熟悉的USB

  • 使用安全软件并保持更新,设置网络防火墙

  • 定期备份数据

  • 设置不易猜测的复杂密码,定期更新密码

  • 经常更新软件和系统,使用最新版本

  • 进行网络安全评估

  • 对员工进行网络安全培训

……


此外,我们在之前的文章和互动里,也分享了一些合理使用社交网络,保护隐私安全的方法。点击下图即可查看。


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
明星健康宝照片 2 元 70 张?@所有粉丝,你爱豆的隐私信息又又又泄露了……

*参考来源:cybleinc; securityaffairs; zdnet; securitymagazine等


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

“双面”充电宝 | 充满电的安全感,要拿隐私来交换?


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

【含视频】如果马赛克等于安全,那马赛克 + AI 等于?


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
SolarWinds 事件启示录 | 供应链攻击可能会晚到,但不会缺席


开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
点分享
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
点收藏
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
点点赞
开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?
点在看

本文始发于微信公众号(GeekPwn):开年暴击 | 2亿国民信息在暗网售卖,我们的隐私保护还会更糟吗?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: