细思极恐！2018年前三季度全球重点数据泄露事件大盘点

2018年，“数据泄露”这四个字时常见诸于媒体报端，时刻挑动着人们敏感的神经。随着互联网的发展，个人数据的价值已毋庸置疑，而储存数据的服务器更是成为黑客经常光顾的“蜜罐”。

近期，IBM委托Ponemon Institute进行的《2018数据泄露损失研究》评估了安全事件的年度损失，首次计算出丢失100-5000万记录的数据泄露事件可致的损失金额。评估显示，大型数据泄露代价高昂，百万条记录可致损失4000万美元，5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的公司企业平均要损失386万美元，同比去年增加了6.4%。

根据全球各地爆发的种种数据泄露事件，我们整理了2018年上半年度最具影响力的数据泄露事件，希望以此引起公众和企业对于数据安全的重视。

1、印度Aadhaar

▷ 泄密数量：10亿条

▷ 事件时间：2018年1月3日

▷ 事件回顾：今年1月，印度10亿公民身份数据库Aadhaar被曝遭网络攻击，该数据库除了名字、电话号码、邮箱地址等之外还有指纹、虹膜纪录等极度敏感的信息。印度Tribune报道指出，他们能够通过一个WhatsApp匿名群组花上500卢比就能获得访问该数据库的一个账号。通过输入任何一个Aadhaar号码，可以检索印度身份识别管理局存储的关于被查询公民的诸多类型信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后，任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

2、圆通

▷ 泄密数量：10亿条

▷ 事件时间：2018年6月19日

▷ 事件回顾：今年6月，一位ID为“f666666”的用户在暗网上开始兜售圆通10亿条快递数据，数据信息包括寄(收)件人姓名、电话、地址等信息，10亿条数据已经经过去重处理，数据重复率低于20%，并以1比特币打包出售。并且该用户还支持用户对数据真实性进行验货，但验货费用为0.01比特币，验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的，每条数据完全不同，也就是说用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息，而10亿条数据则需要43197元人民币。

3、华住酒店集团

▷ 泄密数量：5亿条

▷ 事件时间：2018年8月28日

▷ 事件回顾：华住旗下多个连锁酒店开房信息数据正在暗网出售，受到影响的酒店，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等，泄露数据总数更是近5亿。发帖人声称，所有数据脱库时间是8月14日，每部分数据都提供10000条测试数据。所有数据打包售卖8个比特币。此次泄露的原因是华住公司 程序员 将数据库连接方式及密码上传到GitHub导致的。而数据库信息是20天前传到了Github上，而黑客拖库是在14天前，黑客很可能是利用此信息实施攻击并拖库。

4、Under Armour

▷ 泄密数量：1.5亿条

▷ 事件时间：2018年5月25日

▷ 事件回顾：3月25日，美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据被泄露了，MyFitnessPal是一款Under Armour旗下的食物和营养主题应用，以跟踪用户每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据、分享运动成果到社交平台而受到广大欢迎。此次数据泄露事件影响到的用户数据包括用户名、邮箱地址和加密的密码，但并没有涉及到用户的社会安全号码、驾驶证号、和银行卡号等隐私信息。

5、MyHeritage

▷ 泄密数量：超过9200万条

▷ 事件时间：2018年6月4日

▷ 事件回顾：6月4日，MyHeritage的安全管理员收到一位研究人员发来的消息称，其在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件，里面包含了9228万个MyHeritage账号的电子邮件地址和加密密码。随后该公司发布的一份声明称，由于MyHeritage依赖第三方服务提供商来处理会员的付款，黑客破解了密码机制，获得哈希密码，但不包含支付信息。服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上，该公司表示，没有证据表明文件中的数据被黑客利用。

6、Facebook

▷ 泄密数量：超过8700万条

▷ 事件时间：2018年3月17日

▷ 事件回顾：今年3月，一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息，该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息，但经过Facebook的确认，最初的估计实际上很低。今年 4月，该公司通知了在其平台上的8700万名用户，他们的数据已经遭到泄露。

7、Panera

▷ 泄密数量：3700万条

▷ 事件时间：2018年4月2日

▷ 事件回顾：4月2日，安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs，向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录，这些数据可以通过自动化 工具 进行抓取和索引。在此后的八个月里，Houlihan每个月都会检查一次这个漏洞，直到最终向Krebs披露。在Krebs的报告发布后，Panera Bread暂时关闭了起网站。尽管该公司最初试图淡化此次数据泄露事件的严重程度，并表示受到影响的客户不到1万人，但据信真实数字高达3700万。

8、Ticketfly

▷ 泄密数量：超过2700万条

▷ 事件时间：2018年6月3日

▷ 事件回顾：5月31日，美国票务巨头Ticketfly遭遇黑客攻击勒索，导致音乐会和体育赛事票务网站遭到破坏。此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞，并要求其支付赎金。当遭到该公司的拒绝后，黑客劫持了Ticketfly网站，替换了它的主页。据黑客表示，他手中拥有完整的数据库，里面包含2700万个Ticketfly账户相关信息。

数据安全无小事，任何一个细小的疏忽都有可能带来十分严重的后果。当数据正越来越成为具有重要商业价值的资产，无论个人还是企业都理应重视。我们不仅希望从技术上能够将数据泄露风险降到最低，同时更要增强自我数据安全意识，国家也应建立健全相关法律，多方携手共同撑起个人隐私和数据安全的“保护伞”。

（作者：IDHub数字身份，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）