編者按:數字空間身份問題是數字經濟的核心問題。隨著互聯網身份數據不斷擴充,每一次觸目驚心的數據泄露事件的發生,都將進一步加劇數字空間身份危機。本文節選了汪德嘉博士《身份危機》一書中部分國內外知名且影響巨大的數據泄露事件,以期能夠引起廣大讀者和互聯網從業者對數字身份保護的重視。
當一場事故中發生敏感,受保護或機密數據可能被未經授權的個人查看、偷竊或使用的事件,即可定義為數據泄露。 數據泄露往往涉及支付卡信息(PCI),個人健康信息(PHI),個人身份信息(PII),商業秘密或知識產權。
隨著科技的發展,互聯網數據越來越多,也越來越詳實,數據泄露好比現實世界的核泄漏,給人們帶來巨大影響。對于個人,用戶信息泄露,則用戶賬號面臨被盜風險,個人隱私及財產安全難以保障。對于企業,信息泄露事件會導致其在公眾中的威望和信任度下降,會直接使客戶改變原有選擇傾向。數據泄露事件可能會使企業失去一大批已有的或者潛在的客戶。
因此也可以說,在數據信息的作用與地位日漸重要的今天,數據信息的安全問題是關乎企業聲譽、公眾信任感、經濟利益、生死存亡的問題,企業數據信息的安全程度將會影響企業的外部競爭力。
1.美國醫療保險公司Anthem八千萬個人信息被竊
2015年2月,美國第二大醫療保險公司Anthem(見圖1-1)表示被黑客入侵并盜走8000萬個人信息,包括當前和以前的保險客戶和員工。
圖1-1 Anthem公司
在一封致客戶的聲明中,Anthem首席執行官約瑟夫·斯維迪什表示,Anthem受到的外部攻擊“非常高端精密”,丟失的個人數據包括姓名、出生日期、客戶ID、社會保險碼、地址、電話號碼、郵件地址和員工信息。但他同時表示,沒有任何信用卡及醫療記錄被泄露的證據。
Anthem目前在冊客戶為3700萬。一位發言人表示,公司在發現入侵后馬上開始漏洞的修補工作,并與FBI和安全公司Mandiant協同工作以了解信息泄露的程度。
斯維迪什表示,他自己的個人信息在此入侵事件中也被泄露,公司將逐個聯系每一位信息被泄露的人,并為受到影響的人提供免費的信用監控和身份保護服務。
從2014年8月CHS(美國醫療社區系統)信息泄露450萬條患者信息事件之后,執法部門就開始警告醫療機構將面臨數據泄露加劇的風險。
2.Hacking Team 400G數據泄露
Hacking Team是一家專注于開發網絡監聽軟件的公司,他們開發的軟件可以監聽幾乎所有的桌面計算機和智能手機,包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等,Hacking Team不僅提供監聽程序,還提供能夠協助偷偷安裝監聽程序的未公開漏洞(0day)的全套服務。
Hacking Team的客戶不乏各國的執法機構,甚至包括了聯合國武器禁運清單上的國家,不愧為新時代的IT軍火供應商。搞笑的事情發生了,在我們的印象中,軍火商都應該是荷槍實彈、戒備森嚴的,可是Hacking Team的老板一覺醒來,卻發現自己的軍火倉庫和賬房被偷了個底朝天。
2015年7月初,Hacking Team的官方推特被黑(見圖1-2),官方主頁面的banner更名為“Hacked Team”,隨后更新的推文展示了已經被竊的數據,包括公司創始人兼CEO Vincent Vincenzetti的郵件。
圖1-2 Hacking Team官方推特被黑
根據Speech(美國公民自由聯盟的隱私和技術項目)的首席技術官Christopher Soghoian表示,Hacking Team被竊取超過400GB大小的數據。被盜數據包括Hacking Team一些產品的源代碼、電子郵件、錄音和客戶詳細信息。據了解,Hacking Team掌握的大量漏洞和攻擊工具也暴露在這400GB數據中。更可怕的是,此次事件一下就把已經工程化的漏洞和后門代碼全部公開了,泄露的數據可以在互聯網上公開下載和傳播,等于數萬噸TNT炸藥讓恐怖分子隨意領取,對世界安全形勢造成嚴重威脅。
3.領英一億用戶數據泄露
2016年5月外號“和平”(peace)黑客成功入侵全球最大職業社交網站LinkedIn(領英)(見圖1-3)的服務器,盜取1.67億筆使用者登入資料,其中包含了用戶密碼及電子郵箱地址,并在在網上轉售些數據,售價僅為5個比特幣(約合兩千多美元)。
圖1-3 領英
此次被盜密碼都用了SHA1算法進行過散列化處理,雖然SHA1是一套非常強大的數據加密算法,但如果有足夠的時間和資源,攻破它也不算難事兒。另外,再加上那個時候LinkedIn還沒有對用戶數據進行salting(加鹽)處理,也就是說,在那個時期里,拿下用戶的密碼對于不法分子來說是件容易的事情。
官方發公告表示,相信該次黑客入侵事件是2012年的延伸,當年一名黑客從該網站上竊取了650萬個用戶密碼,隨后將其上傳至俄羅斯的一個黑客論壇上。如今看來,“650萬”這個數字僅僅是冰山一角。這一次數據泄露的資料可能一半以上是來自上一次的盜取所得。LinkedIn現已著手要求安全員工追查事件并改善系統安保,為了保持私人數據的安全性,領英建議用戶應及時更換在該網站的密碼(以及在其他任何網站上使用的與其相同的用戶名及密碼),同時采取雙因素認證的方式保證安全性(即在用戶登陸時向其手機發送安全認證碼)兩步驗證以確保就算密碼被盜第三方也無法登入用戶帳號。
4 . 雅虎十億用戶數據泄露
2016年9月,雅虎公司(見圖1-4)披露了一起大規模數據泄露事件,稱會影響到至少5億個用戶。并且,雅虎相信這是一次得到國家支持的網絡攻擊。
華爾街見聞之前曾報道,2016年8月份,就有黑客在網上售賣2億雅虎用戶資料信息。
而僅僅過去三個月,雅虎又遭遇了數據泄露。2016年12月雅虎稱發現了新的安全漏洞,該漏洞可追溯至2013年8月,該漏洞造成至少10億用戶的信息被盜,雅虎方面稱支付卡數據和銀行賬戶信息沒有儲存在受影響的系統中,但被盜信息“可能包含”姓名、電子郵件地址、電話號碼、出生年月、散列密碼,甚至加密或未加密的安全問題及答案。
圖1-4 雅虎
據悉,這次造成密碼外泄是因為雅虎用了MD5算法,而這種算法2013年時對黑客來說就已經是小兒科了,因此,這些賬戶對黑客來說根本就是不設防的。
雅虎還表示,該公司認為發動此次攻擊的黑客已經接觸到雅虎的專有代碼,學會了如何通過偽造cookie的方式,在無需輸入密碼的情況下進入用戶帳號。如此大規模的單一網站信息遭竊的案件,使得雅虎股價跌幅超過6%。
最令人震驚的是,這次10億的數據泄露跟9月的5億用戶數據泄露并無關聯,這就意味著在短短3個月內,雅虎用戶數據泄露總數已經達到15億人次。接二連三的負面新聞,讓網友紛紛表示很難再信任雅虎。
5 . 洲際酒店集團二度遭遇信用卡數據泄露
洲際酒店(見圖1-5)集團2017年4月公布,該集團旗下逾1000家酒店遭遇信用卡數據泄露。這是洲際酒店第二次發生信用卡數據泄露。今年早些時候,集團曾告知其客戶,2016年8月至12月在美國12家IHG酒店的餐廳及酒吧使用的信用卡數據遭泄露。
洲際集團成立于1777年,是目前全球最大及網絡分布最廣的專業酒店管理集團,擁有洲際、皇冠假日、假日酒店等多個國際知名酒店品牌和超過60年國際酒店管理經驗。同時洲際酒店集團也是世界上客房擁有量最大(高達650,000間)、跨國經營范圍最廣,分布將近100個國家,并且在中國接管酒店最多的超級酒店集團。包括中國大陸25個省、區、市。
圖1-5 洲際酒店
據通告內容,支付卡網絡告知IHG在美洲運營的旗下連鎖酒店,客戶在這些地點合法使用信用卡之后,出現了一些未經授權的收費。酒店方面已經雇傭了一家頂級網絡安全企業調查美洲地區連鎖酒店的支付卡處理系統。
“調查發現惡意程序運行跡象,2016年9月29日至12月29日期間在IHG旗下連鎖酒店前臺使用的支付卡數據遭該惡意程序訪問。雖然2016年12月29日之后沒有未授權訪問的跡象,但是直到2017年2月和3月這些酒店接受調查之后,才確認該惡意程序已被徹底清除。此事件發生前,許多IHG品牌酒店已經部署安全支付解決方案(SPS)——點到點加密支付接收解決方案。已經部署SPS的酒店并未受到影響。”
客戶在受影響酒店進行信用卡支付后,該惡意程序從信用卡磁條中讀取記錄數據,包括信用卡號碼、有效期、內部驗證碼,有些情況下還包括持卡人姓名。酒店表示其他信息并未受到影響。
洲際集團目前已發布一個網頁,供用戶查詢自己是否受到此次事件影響。目前集團并沒有公布受影響酒店的具體數據,但是根據查詢頁面的信息,受影響的酒店分布于美國和波多黎各的多個省市,粗略統計總數超過1000家。
洲際酒店專門設立了專線來解答用戶疑問。酒店還建議信用卡用戶時刻保持警惕,檢查信用卡賬單明細,注意任何未授權活動,嚴防詐騙,如發現任何未授權收費,請上報信用卡發行方,或者立即聯邦貿易委員會等相關組織并報警。
6 . 美征信機構數據庫遭攻擊 1.43億美國人信息或泄露
2017年9月美國征信機構Equifax(見圖1-6)稱它們的數據庫遭到了攻擊,將近1.43億美國人的個人信息可能被泄露,這幾乎是全美人口的一半。
報道稱,網絡犯罪者已經接觸到了包括姓名、社會安全號碼、出生日期、地址和駕照編號等在內的敏感信息。還有約20.9萬美國客戶的信用卡卡號泄露。此外還有18.2萬用戶的個人識別信息,連居住在英國和加拿大的人也受到影響。
Equifax稱,這次信息泄露可能發生在5月中旬到7月之間。公司稱它們于7月29日制止了此次攻擊。Equifax表示,攻擊者可以通過利用應用程序漏洞來訪問特定文件,從而進入公司的網絡系統。但是,該公司并未說明是哪個應用程序或哪個漏洞造成了此次數據泄漏事件。
圖1-6 Equifax
美國有線電視臺(CNN)稱,從被泄露信息的廣度和類型來看,此次數據泄露可能是有史以來“最糟糕的”。
Equifax的董事長兼首席執行官理查德·史密斯稱:“對我們的公司來說,這顯然是一起令人失望的事件,打擊了我們工作的核心。”
Equifax是全美三大征信機構之一,追蹤和評估美國消費者的財務狀況。它有客戶的貸款和信用卡資料,并有相關的決定信用評分的信息。
Equifax的數據是從信用卡公司、銀行和銷售商等多種渠道獲得。這些機構會將客戶個人的信用活動報給征信機構。因此,并非所有受到此次信息泄露影響的人,都知道他們是Equifax的客戶。
Equifax還專門建立了新網站,為用戶評估個人數據的泄露程度。消費者可以通過提交姓氏和社會安全號的后六位來查詢自己是否受到影響。Equifax也將寄送文件給那些受到影響的客戶。通常在出現公司數據泄露事件之后,都會提供免費的信用文件監控和身份保護服務,如果用戶的信息出現在泄露文件的名單中,那么就必須要采取后續的補救措施。
數據泄露事故曝光后,Equifax股價累計跌幅達30%以上,市值蒸發近50億美元。美國證券交易委員會(SEC)的文件顯示, Equifax的三名高管在這起大規模數據泄露事故被發現后的三天內拋售了他們所持的價值近200萬美元的公司股票,當時這起泄漏事件還未向公眾曝光。近四十名參議員在9月12日要求司法部、SEC和FTC聯手調查這家公司高管在泄密發生后拋售股票的操作。
其實,這并不是Equifax或其他大型信用局第一次遭遇如此大規模的泄漏事件。今年5月份,據外媒報道稱,攻擊者利用了Equifax公司TALX薪資部門的安全漏洞,實施了攻擊活動。據悉,該部門主要提供在線薪資、人力資源以及稅務等方面的服務。
2015年,Experian發生數據泄漏事件,至少1500萬用戶的個人信息受到影響。之后,Experian還在幾個月內允許一名冒充美國私人調查員的越南人訪問其數據庫。實際上,這名越南人是在進行身份盜竊活動,幫助網絡竊賊查找超過2億美國公民的個人和財務數據。
結語:互聯網數據泄露帶來的危機還遠不止于此,除個人信息泄露、信用卡支付信息泄露、賬戶被盜、影響企業股價等危害外,嚴重的互聯網數據泄露問題,尤其是政府部門數據泄露,還將直接導致危害國家安全的嚴重后果,具體內容我們將在《數據泄露引發網絡身份危機(下篇)》中進行詳細內容刊載,敬請期待。
構。因此,并非所有受到此次信息泄露影響的人,都知道他們是Equifax的客戶。
Equifax還專門建立了新網站,為用戶評估個人數據的泄露程度。消費者可以通過提交姓氏和社會安全號的后六位來查詢自己是否受到影響。Equifax也將寄送文件給那些受到影響的客戶。通常在出現公司數據泄露事件之后,都會提供免費的信用文件監控和身份保護服務,如果用戶的信息出現在泄露文件的名單中,那么就必須要采取后續的補救措施。
數據泄露事故曝光后,Equifax股價累計跌幅達30%以上,市值蒸發近50億美元。美國證券交易委員會(SEC)的文件顯示, Equifax的三名高管在這起大規模數據泄露事故被發現后的三天內拋售了他們所持的價值近200萬美元的公司股票,當時這起泄漏事件還未向公眾曝光。近四十名參議員在9月12日要求司法部、SEC和FTC聯手調查這家公司高管在泄密發生后拋售股票的操作。
其實,這并不是Equifax或其他大型信用局第一次遭遇如此大規模的泄漏事件。今年5月份,據外媒報道稱,攻擊者利用了Equifax公司TALX薪資部門的安全漏洞,實施了攻擊活動。據悉,該部門主要提供在線薪資、人力資源以及稅務等方面的服務。
2015年,Experian發生數據泄漏事件,至少1500萬用戶的個人信息受到影響。之后,Experian還在幾個月內允許一名冒充美國私人調查員的越南人訪問其數據庫。實際上,這名越南人是在進行身份盜竊活動,幫助網絡竊賊查找超過2億美國公民的個人和財務數據。
結語:互聯網數據泄露帶來的危機還遠不止于此,除個人信息泄露、信用卡支付信息泄露、賬戶被盜、影響企業股價等危害外,嚴重的互聯網數據泄露問題,尤其是政府部門數據泄露,還將直接導致危害國家安全的嚴重后果,具體內容我們將在《數據泄露引發網絡身份危機(下篇)》中進行詳細內容刊載,敬請期待。