2021 开年暴击 | 从源代码到信用卡，还有什么是不会泄露的吗？

• 1 月 6 日，外媒报道称日产北美公司一台配置错误（使用了默认的管理员用户名密码组合：admin/admin）的Bitbucket Git服务器的信息出现在Telegram和黑客论坛。包括日产 NA Mobile 应用程序、内部核心移动代码库、车辆联网服务、后端及内部工具等大量源代码泄露。这与 2020 年 5 月奔驰车载逻辑单元（OLU）源代码事件如出一辙。

  
  

• 1 月 6 日，外媒报道印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售。

  
  

• 1 月 4 日，美国电信巨头 T-Mobile 在其官网发布声明，称因遭受恶意入侵，约 20 万名用户的账户信息（通话时长、呼叫号码、接听号码等通话记录）泄露。

  
  

• 1 月 4 日，意大利移动运营商 Ho Mobile 证实发生大规模数据泄露，约 250 万客户个人信息（姓名、电话号码、电子邮件地址、国籍、家庭住址、社会安全号码等）被窃取并流入暗网售卖。Ho Mobile 表示将为受影响的用户免费更换 SIM 卡。

回顾这几年，信息泄露规模逐年扩大。攻击者通过不同攻击（勒索、钓鱼、凭证填充等）手段获取信息、服务器配置不当或人员操作不当不慎泄露信息、地下交易买卖信息、公网直接暴露信息等，都是造成信息泄露的主要原因。据各大媒体报道，2020 年全年，公开披露的信息泄露事件就高达200多起，总量涉及超 20 亿人。以下为2020年至今较重大信息泄露事件列表：

2020年1月

- 微软 2.5 亿条用户支持数据及个人身份信息泄露；

- 美国 checkpeople.com 网站泄露 5600 万个人信息；

- 50 多万台服务器、家庭路由器和物联网智能设备的远程登录 Telnet 凭据列表泄露；

2020年2月

- 化妆品巨头雅诗兰黛未受保护的数据库暴露在公网，泄露 4.4 亿条客户记录；

- 米高梅酒店超过 1060 万旅客个人信息泄露；

- 以色列超过 640 万选民数据泄露；

2020年3月

- 英国安全公司 Keepnet Labs未保护的 Elasticsearch 数据库暴露在公网，泄露超过 50 亿条安全记录；

- 印尼电商 Tokopedia 超过 9100 万用户数据泄露；

- 5.38 亿微博用户信息在暗网销售；

2020 年 4 月

- 网络安全公司 Cyble 发现 2.67 亿 Facebook 用户信息被盗并在暗网出售；

- 万豪国际泄露 520 多万客人详细信息；

- 在线会议软件 Zoom 超过 50 万的用户账号密码在黑客论坛出售；

2020 年 5 月

- 泰国移动运营商 AIS（Advanced Info Service）某子公司的 ElasticSearch 数据库可公开访问，泄露 83 亿条联网记录；

- 国外成人网站 CAM 4 泄露 108.8 亿条用户敏感数据；

- 法国《费加罗报》（Le Figaro）泄露超过 8 TB 约 74 亿条记录，包括其网站注册用户的登陆凭证；

- 1.29 亿俄罗斯车车主个人信息泄露，研究人员认为这些信息泄露的源头可能是当地警局；

- 奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户因未做安全设置而暴露在网络上，包含车载逻辑单元 (OLUs) 源代码的 580 多个 Git 仓库被公开访问、下载。

2020 年 6 月

- 科技巨头甲骨文（Oracle）的数据管理平台 BlueKai 因未设置服务器密码，导致数十亿条包含姓名、住址、电子邮件等敏感信息在内的用户信息泄露；

- 威胁情报机构 Cycle 发现约 2000 万中国台湾公民个人信息在暗网市场售卖；

2020 年 7 月

- 18 家公司超过 3.86 亿条用户数据在黑客论坛售卖；其中 2.7 亿条来自 Wattpad 网站；

- 米高梅酒店的 1.42 亿客户信息被放在暗网售卖；

2020 年 8 月

- 数据采集公司 Social Data 因数据库无需认证即可接入，导致 Instagram、TikTok 和 Youtube 共 2.35 亿账户信息泄露；

- 英特尔公司 20G 敏感信息暴露于公网；

2020年 9 月

- 电子邮件营销公司 Mailfire 因 ElasticSearch 数据库配置错误，导致 70 个网站超过 3.7 亿条数据泄露；

- 微软IT 员工不慎将必应 (Bing) 的后台服务器之一暴露在网上，暴露超过 6.5 TB 的日志文件，包含用户搜索和地址信息；

2020 年 10 月

- 美国 VoIP 网络电话供应商 Broadvoice 因数据库配置错误泄露3.5亿客户记录；

- 1.86 亿美国选民个人信息暴露在黑客论坛；

2020 年 11 月

- 日本游戏巨头 Capcom 遭到勒索软件攻击，35 万客户信息及员工信息被窃取；

- 保险软件服务商 Vertafore承认因为“人为”错误，导致 2770 万得克萨斯州司机个人信息；

2020 年 12 月

- 一家开曼群岛离岸银行的备份数据公开暴露，用户个人银行业务信息、护照数据甚至在线银行PIN码等信息泄露；

- 安全公司火眼（FireEye）因遭遇 APT 攻击而泄露渗透武器；

2021 年 1 月

- 暗网疑似出售超 2 亿中国用户数据；

- 印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售；

- 日产北美公司泄露大量源代码；

- 美国电信巨头 T-Mobile 20 万用户信息泄露；

- 意大利移动运营商 Ho Mobile 250 万用户信息泄露

……

从列表可以看出，大多数数据泄露事件的主角是软件与互联网企业、消费行业。其中，恶意攻击及服务器配置不当（企业或员工自身操作不当）是主要原因。Verizon 《2020 年数据泄露报告》也证实了这一点：45% 的数据泄露来自于黑客攻击，排在所有泄露原因的第一名。其中，最主要的攻击向量是WEB应用；在社工攻击中，最主要的方式是钓鱼攻击；在恶意代码攻击中，勒索软件攻击占到了27%，排第一的是口令盗取。此外，自身错误引发的数据泄露自 2015 年以来排名逐年攀升（其中有50%以上都是被外部安全研究人员发现的），到 2020 年已经跃居第二，占比达到22%。

而在国内，仅因为疫情期间流调而发生的信息泄露就有几十起。2020 年年初，7000 多名武汉返乡人员信息被泄露；4 月，胶州近 7000 人姓名、住址、联系方式、身份证号码等个人信息泄露；年底，成都、重庆、沈阳等地参与流调的个别人员都遭遇信息泄露甚至更进一步的网暴。这些案例大多以警方介入调查、处罚而告终，处理结果则是对泄露信息者处以行政拘留、罚款、立案审查、通报批评等。就在 1 月 4 日，北京警方还拘留了一名泄露患者隐私的航空保安公司员工。1 月 6 日，杭州市一名医师因故意泄露流调报告内容，侵犯他人隐私而被行政拘留。

来源：21世纪经济报道

此外，智联招聘等招聘APP泄露或贩卖用户简历；圆通等快递公司泄露、贩卖用户数据；某些银行员工贩卖数万条客户信等，则大多是因为“内鬼”而造成的隐私侵犯，造成的影响更为恶劣，面临的处罚也更为严重。1 月 1 日，《民法典》正式实施，其中关于个人隐私和信息保护的条例，完善了我国个人信息法律体系，加强了公民个人信息安全的防护墙。

总有人说 2020 年是最糟糕的一年。而 2021 开年就出现的多起数据泄露事件也许表明了，2021 年信息泄露问题说不定更糟糕。IBM Security 发布的《2020年数据泄露成本报告》显示，2020年，数据泄露事件给企业造成的平均成本为 386 万美元，其中员工账户遭受攻击造成的损失最高。而随着疫情的逐步发展，与疫苗相关的数据信息、远程办公的信息传输、流调追踪数据以及个人医疗健康数据都可能成为 2021 年信息泄露的重灾区。当然，还有最常见的企业、用户数据。

发现过大量泄露事件的网络安全公司 Cyble 发布了一些信息保护、预防泄露的小技巧。这些对于很多人来说也许是老生常谈，但就像信息泄露一样，人人都知道其严重性，却也年年都在发生。“历史不会重演，但总会惊人地相似”。而我们还是期望，相似的故事，能为企业和个人敲响警钟。

• 不点击未验证/未确认的链接

• 不打开不受信任的电子邮件附件
  

• 仅从受信任的网站下载文件
  

• 切勿使用不熟悉的USB

• 使用安全软件并保持更新，设置网络防火墙

• 定期备份数据

• 设置不易猜测的复杂密码，定期更新密码

• 经常更新软件和系统，使用最新版本

• 进行网络安全评估

• 对员工进行网络安全培训

……

此外，我们在之前的文章和互动里，也分享了一些合理使用社交网络，保护隐私安全的方法。点击下图即可查看。

明星健康宝照片 2 元 70 张？@所有粉丝，你爱豆的隐私信息又又又泄露了……

*参考来源：securityaffairs; zdnet; securitymagazine; IBM Security等