2019全年盘点|让人“触目惊心”的数据泄露篇

数据安全问题很重要

导致数据泄露的途径有哪些？
（1）通过U盘、移动硬盘、QQ、微信、邮箱等等将数据文件外发出去；
（2）竞争对手窃取商业机密
（3）******造成数据丢失或泄露
（4） 内部人员无意泄密和恶意泄密
（5）存储设备丢失和维修造成数据泄露
防止数据泄露的方法：
（1）防止移动设备造成的数据泄露:
在底层对数据文件进行加密，加密后的文件在指定环境内可以正常使用，未获得允许脱离环境，加密文件呈现乱码，或者无法打开。经过金甲加密软件加密软件的，无论是通过何种方式将加密文件带走，加密文件都无法打开，除非获得授权的文件，才能在脱离指定环境以外的地方使用。
（2）防止邮件系统、即时通讯软件造成的数据泄露
在企业工作中，无论对内对外，大家越来越多地依靠邮件、通讯软件进行沟通。虽然它给我们的工作带来了便利，也在一定程度上，加大了企业的信息安全隐患。金甲加密软件，在驱动层对数据文件进行加密，数据文件在产生的时候就处于加密状态，控制加密文件的使用，未获得允许脱离环境，文件乱码。
（3）防止存储设备丢失和维修造成数据泄露
经过金甲加密软件加密的文件，只要在指定环境以外，数据文件都是乱码，除非获得授权，能够在指定环境以外使用。所以即使加密文件外发，设备丢失……等等情况，都能保证数据安全，防止数据泄露

2019数据泄露十大事件盘点

TOP10：Canva 1.39 亿用户数据泄露
报道时间：5 月 24 日
大致情况：
5 月 24 日，一名自称 GnosticPlayers 的黑客声称窃取了澳大利亚网站 Canva 的 1.39 亿用户数据。据悉，黑客窃取的数据包括用户姓名、用户名、电子邮件地址、城市国家信息，其中 6100 万用户的哈希密码，其他用户的信息还有用于登陆的 Google 令牌。有 7800 万用户使用了 Gmail 地址。Canva 证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。
Canva 是一个非常受欢迎的平面设计服务，在 Alexa 排名 200 以内。
数据类型： 姓名、用户名、电子邮件地址、位置信息等
泄露原因： 黑客窃取
后续： 公司通知用户更改密码

TOP9：Dubsmash 1.62 亿用户数据泄露
报道时间：2 月 12 日
大致情况：
2 月 13 日，据 Register 报道，有近 6.17 亿个在线账户的详细信息在暗网上出售，这些账户是黑客从 16 个网站上窃取的。其中，数据泄露最多的是 Dubsmash，有 1.62 亿账户信息被泄露。
据悉，Dubsmash 公司创立于 2014 年，在其应用程序上，用户可以进行对嘴型表演，题材覆盖了卡通动画以及电影和广告短片等，短片录制完成后，可以分享给他人。
数据类型： 用户姓名、ID、电子邮件地址、用户名、密码等
泄露原因： 黑客窃取
后续： 数据被黑客出售

TOP8：2.02 亿中国求职者个人信息泄露
报道时间：1 月 10 日
大致情况：
1 月 10 日，HackenProof 安全研究员 Bob Diachenko 发现，MongoDB 数据库中有超过 2.02 亿中国求职者的详细简历信息已在网上被公布，疑似第三方应用泄露。据悉，这份数据库存储的 2.02 亿简历中包含 202730434 条记录，信息非常详细，总计 854GB。
数据类型： 求职者姓名、身高、体重、地址、出生日期、电话号码、电子邮件地址、政治倾向、技能、工作经历、工资预期、婚姻状况、驾驶执照号码、专业经验和职业期望
泄露原因： 数据库配置错误
后续： 事件披露后不久，该数据库被加入保护机制

TOP7：Zynga2.18 亿游戏玩家数据泄露
报道时间：10 月 1 日
大致情况：
一名巴基斯坦黑客声称声称入侵移动社交游戏公司 Zynga。这位黑客设法突破由 Zynga 开发的流行字谜游戏“Words with Friends”，并未经授权访问超过 2.18 亿用户的庞大数据库。数据泄露影响所有今年 9 月 2 日及之前注册游戏的安卓和 iOS 游戏玩家。此事被披露后，Zynga 承认数据泄露。
据悉，Zynga 市值超过 50 亿美元，是全球最成功的社交游戏开发商之一，拥有超过 10 亿美元的热门在线游戏集合，包括 FarmVille、Words With Friends、Zynga Poker、Mafia Wars 和 CaféWorld 等。
数据类型： 姓名、电子邮件地址、登录 ID、密码、密码重置令牌（如果有）、电话号码（如果有）、Facebook ID（如果已连接）、Zynga 帐户 ID
泄露原因： 黑客入侵
后续： 该公司与执法部门联系，并采取措施保护用户账户

TOP6：2.75 亿印度公民个人信息泄露
报道时间：5 月 1 日
大致情况：
5 月 1 日，据外媒 Security Discovery 报道，他们发现一个未经保护和公开索引的 MongoDB 数据库，其中包括 275265298 条印度公民个人信息记录。这个数据库本身托管在亚马逊 AWS 上，没有泄露源或从属关系的标签，反向 DNS 也没有显示任何结果。
数据类型： 印度公民姓名、电子邮件地址、性别、出生日期、电话号码、教育详细信息、就业详细信息（工资、专业技能、雇主历史记录等）
泄露原因： 黑客窃取
后续： 外媒反馈给印度 CERT 团队

TOP5：Cultura Colectiva 5.4 亿数据泄露
报道时间：4 月 3 日
大致情况：
4 月 3 日，有安全人员发现两个 Facebook 集成应用的数据集，这些应用不受保护地在 Amazon S3 服务器上存储。其中一个应用来自名为 Cultura Colectiva 的墨西哥公司，该公司存储了 146 GB 大小的用户数据，总计超过 5.4 亿条记录。研究人员通知了 Cultura Colectiva 和亚马逊网络服务部门，让他们知道数据公开曝光这件事。第一封电子邮件通知在今年 1 月 10 日发出，然而直到 4 月份，数据库才得到保障。 数据类型：Facebook 用户 ID、账户名、评论和喜欢的内容。
泄露原因： 数据库配置错误
后续： 数据库得到很快保护

TOP4：16 家国外网站 6.2 亿用户数据泄露
报道时间：2 月 13 日
大致情况：
2 月 13 日，据国外媒体 The Register 独家披露，一个名为 Dream Market 的暗网市场正在出售 6.2 亿用户信息，交易通过比特币转账，打包售价不高于 2 万美元。该卖家宣称这些数据来自 16 个被攻击的网站： Dubsmash(1.62 亿)、MyFitnessPal(1.51 亿)、MyHeritage(9200 万)、ShareThis(4100 万)、HauteLook(2800 万)、Animoto(2500 万)、EyeEm(2200 万)，8fit(2000 万)、Whitepages(1800 万)、Fotolog(1600 万)、500px(1500 万)、Armor Games(1100 万)、BookMate(800 万)、CoffeeMeetsBagel(600 万)、Artsy(100 万) 和 DataCamp(70 万)。
数据类型： 账户持有人姓名、电子邮件地址、位置、密码、社交媒体身份验证信息等
泄露原因： 黑客攻击
后续： 在暗网被贩卖

TOP3：First American Financial Corporation 8.85 亿数据泄露
报道时间：5 月 24 日
大致情况：
5 月 24 日，独立安全记者 Brian Krebs 透露，美国房地产和产权保险巨头 First American 8.85 亿份敏感客户财务记录被泄露。据悉，这些记录可以追溯到 2003 年，而且任何人都可以进行访问。Krebs 称攻击者如果知道该公司文档的 url 格式，就可以通过输入以 “000000075” 开头的任何记录号，调出相关客户材料。
数据类型： 姓名、社会安全号码、电话号码、电子邮件、地址、驾照、银行账号和对账单、抵押贷款和税务文件，以及电汇收据
泄露原因：IDOR 漏洞
后续： 公司关闭网站，禁止外部对该应用程序的访问，内部进行审查

TOP2：Verifications.io 9.8 亿数据泄露
报道时间：3 月 7 日
大致情况：
3 月 7 日，Security Discovery 安全研究人员 Bob Diachenko 披露一个可公开访问的 MongoDB 数据库，包含 982864972 条记录。据悉，这些记录包含 7.98 亿的电子邮件记录、超过 400 万备注了电话号码的 E-mail 地址、以及超过 600 万条被识别为‘商业线索’的信息。
数据类型： 姓名、地址、电子邮件地址、出生日期、电话号码、传真号码、性别、IP 地址、邮政编码
泄露原因： 数据库配置错误而暴露于网上
后续： 网站脱机，公司称已对数据库做好保护

TOP1：Elasticsearch 27 亿数据泄露
报道时间：12 月 4 日
大致情况：
12 月 4 日，国外网络安全研究人员发现一个 Elasticsearch 数据库泄露，包括 27 亿个电子邮件地址，其中 10 亿个密码都是以简单的明文存储。据悉，大多数被盗邮件域名来自中国邮件提供商，涵盖腾讯、新浪、搜狐和网易等。另外，雅虎、Gmail 以及一些俄罗斯的邮件域名也受到影响。
数据类型： 电子邮件地址、密码等
泄露原因： 未知
后续：12 月 9 日，该数据库被禁止访问
数据泄露原因分析

截至笔者撰写此文，上述是 2019 年 TOP 10 数据泄露事件。它们有两大特点：一是泄露数据惊人，动辄亿级，且受影响用户数巨大。更夸张的是，甚至有几十亿的数据泄露。 二是泄露数据内容详细，维度多，颗粒度细。以 2.02 亿中国求职者个人信息泄露为例，泄露数据维度有 15 种，几乎包含了其他人想知道的“所有信息”。如果这些信息被不法分子所利用，可以生出“无穷祸患”。
当然，这 10 起数据泄露虽然被视为“TOP 10”，但是过少的数据泄露事件无法揭示更多信息。因此，笔者进一步统计了 2019 年媒体公开报道的数据泄露事件（注：因个人收集渠道有限，难免有遗漏，欢迎读者补充）

2019 年，笔者从公开渠道统计出数据泄露事件一共有 43 件，如上表。

这 43 起数据泄露事件，泄露原因多种多样，既有黑客行为造成，比如黑客入侵，又有数据库配置错误、网站漏洞、非授权访问以及“内鬼”等诸多原因。

从统计的泄露原因中，我们发现：42 起数据泄露，黑客入侵和窃取有 14 起，占比超过三分之一；其次是公开数据库，这往往是一些数据库，未加保护而暴露于互联网上。因公开数据库造成数据泄露的事件有 7 起，达到 16%。第三则是非授权访问和数据库配置错误。