开年暴击 ｜ 2亿国民信息在暗网售卖，我们的隐私保护还会更糟吗？

分析发现，这些数据主要有三部分，加起来数量超过 2 亿。

1. 730 万中国公民信息，包括身份证、性别、姓名、出生日期、手机号、地址和邮编等。为了证明真实性，网上还贴出了湖北省公安县 999 名中国公民的户口登记样本数据。

2. 在一个俄语网络犯罪论坛中，约 4180 万微博用户信息（微博 ID 及对应的手机号）在售。

3. 约 1.92 亿 QQ 用户信息（QQ 账号与对应的手机号）在暗网出售。

目前，关于这一信息还没有更近一步的调查。但从部分网友回复能看出，这些可能是此前就泄露过的信息，且真实度较高。

回顾这几年，信息泄露规模逐年扩大。攻击者通过不同攻击（勒索、钓鱼、凭证填充等）手段获取信息、服务器配置不当或人员操作不当不慎泄露信息、地下交易买卖信息、公网直接暴露信息等，都是造成信息泄露的主要原因。据各大媒体报道，2020 年全年，公开披露的信息泄露事件就高达200多起，总量涉及超 20 亿人。以下为2020年较重大信息泄露事件列表：

2020年1月

- 微软 2.5 亿条用户支持数据及个人身份信息泄露；

- 美国 checkpeople.com 网站泄露 5600 万个人信息；

- 50 多万台服务器、家庭路由器和物联网智能设备的远程登录 Telnet 凭据列表泄露；

2020年2月

- 化妆品巨头雅诗兰黛未受保护的数据库暴露在公网，泄露 4.4 亿条客户记录；

- 米高梅酒店超过 1060 万旅客个人信息泄露；

- 以色列超过 640 万选民数据泄露；

2020年3月

- 英国安全公司 Keepnet Labs未保护的 Elasticsearch 数据库暴露在公网，泄露超过 50 亿条安全记录；

- 印尼电商 Tokopedia 超过 9100 万用户数据泄露；

- 5.38 亿微博用户信息在暗网销售；

2020 年 4 月

- 网络安全公司 Cyble 发现 2.67 亿 Facebook 用户信息被盗并在暗网出售；

- 万豪国际泄露 520 多万客人详细信息；

- 在线会议软件 Zoom 超过 50 万的用户账号密码在黑客论坛出售；

2020 年 5 月

- 泰国移动运营商 AIS（Advanced Info Service）某子公司的 ElasticSearch 数据库可公开访问，泄露 83 亿条联网记录；

- 国外成人网站 CAM 4 泄露 108.8 亿条用户敏感数据；

- 法国《费加罗报》（Le Figaro）泄露超过 8 TB 约 74 亿条记录，包括其网站注册用户的登陆凭证；

- 1.29 亿俄罗斯车车主个人信息泄露，研究人员认为这些信息泄露的源头可能是当地警局；

2020 年 6 月

- 科技巨头甲骨文（Oracle）的数据管理平台 BlueKai 因未设置服务器密码，导致数十亿条包含姓名、住址、电子邮件等敏感信息在内的用户信息泄露；

- 威胁情报机构 Cycle 发现约 2000 万中国台湾公民个人信息在暗网市场售卖；

2020 年 7 月

- 18 家公司超过 3.86 亿条用户数据在黑客论坛售卖；其中 2.7 亿条来自 Wattpad 网站；

- 米高梅酒店的 1.42 亿客户信息被放在暗网售卖；

2020 年 8 月

- 数据采集公司 Social Data 因数据库无需认证即可接入，导致 Instagram、TikTok 和 Youtube 共 2.35 亿账户信息泄露；

- 英特尔公司 20G 敏感信息暴露于公网；

2020年 9 月

- 电子邮件营销公司 Mailfire 因 ElasticSearch 数据库配置错误，导致 70 个网站超过 3.7 亿条数据泄露；

- 微软IT 员工不慎将必应 (Bing) 的后台服务器之一暴露在网上，暴露超过 6.5 TB 的日志文件，包含用户搜索和地址信息；

2020 年 10 月

- 美国 VoIP 网络电话供应商 Broadvoice 因数据库配置错误泄露3.5亿客户记录；

- 1.86 亿美国选民个人信息暴露在黑客论坛；

2020 年 11 月

- 日本游戏巨头 Capcom 遭到勒索软件攻击，35 万客户信息及员工信息被窃取；

- 保险软件服务商 Vertafore承认因为“人为”错误，导致 2770 万得克萨斯州司机个人信息；

2020 年 12 月

- 一家开曼群岛离岸银行的备份数据公开暴露，用户个人银行业务信息、护照数据甚至在线银行PIN码等信息泄露；

- 安全公司火眼（FireEye）因遭遇 APT 攻击而泄露渗透武器；

2021 年 1 月

- 暗网出售超 2 亿来自微博、QQ等用户数据；

……

从列表可以看出，大多数数据泄露事件的主角是软件与互联网企业、消费行业。其中，恶意攻击及服务器不当配置是主要原因。

而在国内，仅因为疫情期间流调而发生的信息泄露就有几十起。2020年年初，7000多名武汉返乡人员信息被泄露；4月，胶州近7000人姓名、住址、联系方式、身份证号码等个人信息泄露；年底，成都、重庆、沈阳等地参与流调的个别人员都遭遇信息泄露甚至更进一步的网暴。这些案例大多以警方介入调查、处罚而告终，处理结果则是对泄露信息者处以行政拘留、罚款、立案审查、通报批评等。就在1月4日，北京警方还拘留了一名泄露患者隐私的航空保安公司员工。

来源：21世纪经济报道

此外，智联招聘等招聘APP泄露或贩卖用户简历；圆通等快递公司泄露、贩卖用户数据；某些银行员工贩卖数万条客户信等，则大多是因为“内鬼”而造成的隐私侵犯，造成的影响更为恶劣，面临的处罚也更为严重。

总有人说 2020 年是最糟糕的一年。而 2021 开年就出现的“2 亿公民信息在暗网售卖”这一新闻也许表明了，2021 年信息泄露问题说不定更糟糕。随着疫情的逐步发展，与疫苗相关的数据信息、远程办公的信息传输、流调追踪数据以及个人医疗健康数据都可能成为 2021 年信息泄露的重灾区。当然，还有最常见的企业、用户数据。

发现 2 亿国民信息泄露的 Cyble 还发布了一些信息保护小技巧。这些技巧对于很多人来说也许是老生常谈，但就像信息泄露一样，人人都知道其严重性，却也年年都在发生。“历史不会重演，但总会惊人地相似”。而我们还是期望，相似的故事，能让企业学会些什么。

• 不点击未验证/未确认的链接

• 不打开不受信任的电子邮件附件
  

• 仅从受信任的网站下载文件
  

• 切勿使用不熟悉的USB

• 使用安全软件并保持更新，设置网络防火墙

• 定期备份数据

• 设置不易猜测的复杂密码，定期更新密码

• 经常更新软件和系统，使用最新版本

• 进行网络安全评估

• 对员工进行网络安全培训

……

此外，我们在之前的文章和互动里，也分享了一些合理使用社交网络，保护隐私安全的方法。点击下图即可查看。

明星健康宝照片 2 元 70 张？@所有粉丝，你爱豆的隐私信息又又又泄露了……

*参考来源：cybleinc; securityaffairs; zdnet; securitymagazine等