2020年,新冠疫情肆虐全球,催化各行业加速数字化转型,数据的价值在进一步凸显,数据的泄露也在持续高频发生,企业面临资产与声誉的重大损失,公众深受隐私曝光与骚扰诈骗的困扰。梳理了2020年发生在全球各地的重大数据泄露事件,并针对当前形势给予实用的安全建议,以期对数据安全建设略尽绵薄之力。
【国内时间轴】
1月3日丨中国电信超2亿条用户信息被卖
中国裁判文书网公布的《陈德武、陈亚华、姜福乾等侵犯公民个人信息罪二审刑事裁定书》显示,2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(中国电信全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以0.01元/条至0.2元/条的价格出售,累计获利2000余万元,涉及公民个人信息2亿余条。
3月19日丨微博5.38亿用户数据在暗网出售
有用户近日发现5.38亿条微博用户信息在暗网出售,其中1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。对此,微博安全总监罗诗尧回应表示:“泄漏的手机号是19年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的。”
4月16日丨青岛胶州中心医院6千余人就诊名单泄露
当地市民在胶州政务网反应,微信朋友圈中流传着出入胶州中心医院的数千人名单,涉及相关人员个人信息,已严重影响个人生活,并被谣传感染了新冠肺炎。网传文件显示,就诊人员被列入12个胶州市街道和乡镇,内容包括姓名、电话、身份证号码、个人详细居住地址、就诊类型,共涉及6685人。
4月22日丨多地数千高校学生隐私遭泄露
4月24日丨浙江一家银行泄露客户信息被罚30万
4月27日丨B站知名UP主“党妹”数百G视频素材被盗
5月6日丨中信银行违法泄露脱口秀艺人个人隐私
5月7日丨5000多万条个人信息在“暗网”倒卖
5月20日丨建设银行员工贩卖5万多条客户信息
6月5日丨台湾2000万人个人信息在暗网泄露
6月8日丨郑州某民办高校近两万名学生信息遭泄露
6月20日丨蔡英文涉选举机密规划遭黑客攻击外泄
7月1日丨四川某装修公司花240万买业主信息
8月13日丨6000条多“珍爱网”账号信息被盗卖
9月7日丨圆通“内鬼”泄露40万条客户信息
9月27日丨广西医护人员倒卖8万条婴儿信息
10月15日丨泰州警方破获一起侵犯公民个人信息案,涉及800余万条数据
12月2日丨泄露数据近20万条 团伙开发挂号软件获利被判刑
12月7日丨男子泄露成都确诊女孩隐私信息被警方处罚
12月14日丨央视曝光简历信息被贩卖 招聘平台成简历信息泄露源头
12月21日丨万名购买进口白虾的人员信息被泄露
【国外时间轴】
1月20日丨近50万台服务器、路由器和IoT设备密码被泄露
某黑客组织在一个流行的黑客论坛上发布了一份涵盖515000 多台服务器、家庭路由器和物联网智能设备的远程登录Telnet(一种远程访问协议)凭据列表,内容包含每台设备的IP地址、以及Telnet服务的用户名和密码。
1月30日丨化妆品巨头雅诗兰黛泄露4.4亿条邮箱记录
一安全研究人员发现了暴露的数据库,他在数据库中的找到了用户电子邮件地址,在确定了来源后,立即试图与雅诗兰黛取得联系。此次泄露总共涉及440,336,852条记录,其中包含大量的审计日志和电子邮件地址。
2月11日丨以色列640万选民数据遭泄露
由以色列总理内塔尼亚胡领导的利库德集团(Likud)开发的选举应用程序配置中的错误可能潜在地暴露并损害了近650万以色列公民的个人资料。以色列当地媒体证实了事件,但是还不清楚在被发现和公开披露之前,暴露的服务器和数据是否被未经授权的人获取。
2月21日丨米高梅酒店数据转储1060万旅客信息被泄露
2月底丨万豪国际再曝520万用户数据泄露
3月4日丨国泰航空泄露940万乘客资料,被罚款500万港币
3月23日丨某英国安全公司云泄露50亿条安全记录
4月11日丨麦哲伦健康遭勒索软件攻击和数据泄露
4月14日丨50万个ZOOM用户凭证信息外泄
4月23日丨2.67亿个Facebook帐户信息在暗网出售
5月6日丨成人网站泄露超百亿条用户敏感记录
5月8日丨印尼电商巨头Tokopedia9000万账号信息在暗网售卖
5月8日丨4400万巴基斯坦移动用户的详细信息在线泄漏
5月19日丨英国廉价航空公司easyJet数据泄露面临180亿英镑巨额诉讼
5月26日丨泰国移动运营商AIS云泄露83亿条互联网记录
6月8日丨WordPress数百万网站数据库遭到窃取
6月10日丨印度BellTroX为客户提供黑客服务7年入侵1万多电邮账户
6月19日丨谷歌浏览器大规模用户安全信息泄露
6月22日丨甲骨文公司泄露数十亿条网络数据记录
7月16日丨美国多位名人政要推特账号遭黑客入侵
7月25日丨任天堂泄露大量内部游戏与设备资料
8月8日丨英特尔20GB内部数据泄漏
8月18日丨美国酒业巨头百富门被窃取超1TB数据
8月19日丨游戏硬件厂商Razer(雷蛇)在线商店泄露大量用户数据
8月20日丨益百利(南非)2400万客户数据泄露
8月20日丨美国AI公司被曝泄露近260万医疗数据
8月25日丨网站Freepik用户数据泄露,影响830万用户
9月10日丨SK海力士和LG电子机密资料大量外泄
9月21日丨美国金融犯罪执法网络局FinCEN机密文件泄露
10月15日丨在线书店Barnes & Noble被黑,消费者邮箱和购买记录泄露
10月16日丨希腊电信巨头用户信息泄露
10月30日丨 美国安泰人寿用户信息泄露
10月31日丨阿里旗下电商平台Lazada 110万账户信息被黑客入侵
11月4日丨瑞典保险巨头Folksam数据泄露将100万瑞典人的信息泄露给谷歌、Facebook
11月10日丨西班牙Prestige软件泄漏泄露了酒店住客的个人数据
11月25日丨基督教信仰应用程式Pray.com泄漏使用者的个人资料
12月4日丨巴西卫生部官网存严重漏洞 2.43亿巴西人个人信息被泄露
12月8日丨意大利国防巨头Leonardo S.p.A10GB机密数据泄露
12月9日丨富士康约1200台服务器常规业务文档和报告数据面临泄露
12月16日丨全球4500万医学影像照片在线暴露
12月22日丨英国能源公司数据遭泄露 整个客户数据库受损
【数据防泄漏 刻不容缓】
这些真实鲜活的案例背后,是公众被迫遭受隐私曝光、骚扰及诈骗,是组织商业数据资产的丢失和品牌信誉的塌陷,一些更严重的数据泄露,甚至让社会稳定和国家安全面临威胁。防止数据泄露,保护数据安全刻不容缓,
全球疫情下的安全管理松懈及攻击激增
2020年几乎对所有企业来说都是充满挑战的一年,COVID-19的肆虐流行引发了健康危机,导致全球经济遭到破坏,许多恶意行为者利用混乱的局面,对网络安全进行攻击并通过贩卖各类隐私数据从而获利。因此相较于以往年份,今年的数据泄露和监管罚款事件发生的频率及严重程度更高。随着社会对数据安全重视程度的提高,对于企业来说,如何保证数据安全将成为其重要工作之一。
内部滥用及泄露的情况显著增多,内部管理起到关键作用
根据IBM和Ponemon Institute 的2020年数据泄露成本报告显示,52%的数据泄露是由恶意外部人员造成的,另外25%是由系统故障和攻击造成的,23%的人为错误,客户的个人身份信息(PII)占所有数据泄露的80%,是较经常丢失或被盗的记录类型。鉴于PII因其敏感性而成为较有价值的数据类型,所以它也是数据保护法规较经常保护的数据类型。
医疗、金融等关键信息基础设施单位为重要保护对象
近年来,数据泄露事件频繁爆出在医疗、酒店、公共部门、零售、金融等行业,造成了相关企业严重的声誉损失和经济损失,作为企业应着重保护自身机密数据以及用户的隐私数据。事实证明,在某些行业,员工疏忽是造成数据泄露的一大原因。例如排在榜首的是娱乐业,其中34%的数据泄露是由粗心的员工造成的,其次是公共和消费产品部门,其中人为错误占数据泄露的28%。在医疗保健领域,尽管有严格的法规,但员工疏忽是造成所有数据泄露的27%。另一方面,在交通运输中,只有13%的数据泄露是由人为错误引起的,而在零售和科技行业,则占17%。
泄露违法成本太低,个人、企业、国家监管部门都应重视
由于面临着COVID-19大流行带来的困难,恶意行为者一直在寻找获利的机会,因此必须重视网络安全。同时,尽管数据保护机构由于当前的情况而表现出宽容,但当他们发现完全忽视了数据保护要求时,他们并没有施加令人垂涎的惩罚。现象表明,许多企业仍将数据安全视为一项事后考虑。如今,数据安全已成为业务运营的关键部分,并且不再有可以忽略的时间了。不管是国外还是国内,都相继出台了法律法规以保障数据安全。特别是2020年,国内《数据安全法(草案)》《个人信息保护法(草案)》两部重磅法律的相继出台,为我们的信息保护注入强心针,提高安全管理,让企业和个人远离数据泄露带来的巨额代价。
当国家监管趋严,用法律夯实保护公民个人信息的安全防线;当数据泄露频发,数据安全态势面临内忧外患、防护低效等多重挑战,建议采取相关有效的措施防止数据泄露:
从安全需求角度
伴随社会高速发展,数据的安全越来越受到重视,而不法分子的攻击手段也层出不穷,传统权限类、枷锁类数据防护产品性能逐渐无法满足企业需要。此外,数据防护体系建设前,需开展数据治理工作,对数据进行分类分级,完整梳理企业数据资产,并针对重要数据和敏感数据采取适当、合理的管理和安全防护措施,对数据资产进行规范化管理和保护,确保数据安全,促进数据共享。
从法律监管角度
《网络安全法》中规定未经被搜集者同意,不得向他人提供个人信息。《数据安全管理办法》中也对数据的使用、保存、发送等层面进行防泄漏方面的规定,因此安腾软件除满足企业自身的数据安全需求外,可为行业合规管理和审计的时候提供内控相关的证据,提供基于合规审计的资料,帮助企业轻松应对审查及行业规范、数据安全监管要求。
从企业IT管理角度
大多数公司缺乏针对敏感、涉密数据的管控和审计能力,确保公司敏感、涉密数据遵循统一的策略,在共享和开放的过程中保障数据安全,需要部署数据安全防护措施,防止敏感数泄漏导致对公司产生的严重影响。通过整体解决方案对设计行业的设计研发作品等核心数据泄漏风险进行管控,将有效增强数据防泄密力度,为设计企业核心作品数据安全保障提供了强有力地保障。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。