2021年,数据隐私泄露事件频发,涉及面广,影响力大,企业因此陷入数据保护合规与社会舆情压力的双重危机。近日,有国外媒体梳理了2021年十大数据泄密事件,并对事件进行了点评分析,可供读者参考。据数据统计,共有近2.2亿人受到以下十大数据安全事件的影响,其中三起泄密事件发生在科技公司,四起涉及敏感记录的泄露。
1、OneMoreLead
影响人数:6300万
发现时间:2021年8月
事件概要:
vpnMentor的研究团队在8月份发现, B2B 营销公司 OneMoreLead 将至少6300万美国人的私人数据存储在一个不安全数据库中,该公司任由此数据库完全敞开。该数据库包含列出的每个人的基本个人身份信息数据,以及有关其工作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中大量的 .gov 和纽约警察局电子邮件地址,这让黑客有可能渗透到原本安全的高级政府机构。vpnMentor 表示,政府和警察部门成员的私人数据如同从事犯罪活动的黑客眼里的金矿,可能导致重大的国家安全事件,使公众严重丧失对政府的信任。据 vpnMentor 称,姓名、电子邮件地址和工作场所信息暴露在任何拥有网络浏览器的人面前。
事件点评:
科技和数据对于今天的营销而言非常重要,大数据营销的概念也是方兴未艾。当营销者们欢欣鼓舞地收集数据,建立模型,去做洞察,以指导营销时,用户数据的安全性该如何保障,企业营销的底线是什么,值得营销公司深思。
2、T-Mobile
影响人数:4780万
发现时间:2021年8月
事件概要:
T-Mobile 于 8 月 17 日证实,其系统在 3 月18 日遭到了网络犯罪攻击,数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile 表示,泄露的信息包括姓名、驾照、政府身份证号码、社会保障号码、出生日期、 T-Mobile 充值卡 PIN 、地址和电话号码。T-Mobile表示,不法分子利用了解技术系统的专长以及专门工具和功能,访问了该公司的测试环境,随后采用蛮力攻击及其他方法,进入到了含有客户数据的其他 IT 服务器。T-Mobile 表示,它弄清楚了不法分子如何非法进入其服务器并关闭这些入口点。该公司表示,它将向所有可能受到影响的人提供为期两年的免费身份保护服务(迈克菲的身份窃取防护服务)。此外, T-Mobile 表示为后付费客户提供帐户接管防护服务,这样一来,客户帐户更难被人以欺诈手段外泄和窃取。
事件点评:
T-Mobile 是一家跨国移动电话运营商,是德国电信的子公司,属于 Freemove 联盟。T-Mobile 在西欧和美国运营 GSM 网络,并通过金融手段参与东欧和东南亚的网络运营。该公司拥有1.09亿用户,是世界上较大的移动电话公司之一。对于网络犯罪分子来说,这类公司具有较高价值。通信公司有义务保护好客户信息,需要在数据安全方面做更多功课。
3、未知的营销数据库
影响人数:3500万
发现时间:2021年6月
数据内容:个人信息
事件概要:
Comparitech研究人员在7月29日报告,一个含有估计3500万个人详细信息的神秘营销数据库泄露在网上,居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的人口统计信息(包括爱好、兴趣、购物习惯和媒体消费等)。相关样本显示,大多数记录与芝加哥、洛杉矶和圣迭戈这些大城市的居民有关。据 Comparitech 声称,凡是拥有网络浏览器和互联网连接的人都可以访问数据库全部内容,里面含有的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。Comparitech网络安全研究团队在6月26日发现了该数据库,尽管使出了浑身解数,还是无法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊网络服务(AWS),要求撤下数据库,不过,该数据在7月27日之前仍可以访问。
事件点评:
互联网在提供精准营销的背后,却是一遍又一遍对用户隐私数据的索取、整理、分析和挖掘。任何国家的任何法律,都没有说不允许使用个人信息,所有的法律和规定,都是围绕如何正确使用这些信息,而不是如何禁止使用这些信息,这是一个大前提。那么,个人数据如何才算正确使用呢?这就涉及到“同意”原则,同意原则是企业使用个人信息的起点。当然,也有例外的情况可以不经过个人同意就使用个人信息,一般都是涉及国家安全等特殊情况。同意原则包含三个类型:默认同意、明示同意和授权同意。
4、ParkMobile
影响人数:2100万
发现时间:2021年3月
事件概要:
ParkMobile在3月份发现一起与第三方软件漏洞有关的网络安全事件。调查发现,其基本的用户信息被人访问,包括车牌号、电子邮件地址、电话号码和车辆昵称。在少数情况下,邮寄地址也被访问。该公司还发现加密的密码被访问,但读取这些密码所需的加密密钥并未被访问。ParkMobile表示,它使用先进的散列和加入随机字符串(salting)技术对用户密码进行加密,以此保护用户密码。ParkMobile表示,用户应考虑更改密码,作为另一道预防措施;信用卡或停车交易历史记录未被访问;它并不收集社会保障号码、驾照号码或出生日期。ParkMobile称:“作为美国较大的停车应用软件,用户的信任是我们的重中之重。请放心,我们认真对待保护用户信息安全的责任。”
事件点评:
ParkMobile是在北美颇受欢迎的移动停车应用,用来显示街头可用的停车位Parkmobile还支持应用内支付停车费,即用户进入符合要求的距离之后可以在手机上为车位付费。不过需要特别注意的是,该功能只面向ParkmobilePro付费用户开放。它还能提供停车费折扣、路边援救以及临时优惠活动。在给用户带来方便的同时,其安全性也需要进一步加强。
5、ClearVoiceResearch.com
影响人数:1570万
发现时间:2021年4月
事件概要:
ClearVoice在4月份获悉,一个未经授权的用户在网上发布了含有2015年8月和9月调查参与者的个人信息数据库,并向公众出售这些信息。可访问数据包括联系信息、密码以及针对用户健康状况、政治派别和种族等问题作出的答复。ClearVoice表示,这批数据可能会被不法分子滥用,导致调查参与者被人(比如广告商)联系。此外,可访问的信息可能用于准备个人资料,而这些资料可用于商业或政治目的。在收到未经授权用户发来的电子邮件的一小时内,ClearVoice表示它找到了备份文件,确保其安全,并消除了云服务端这个文件面临的泄露风险。另外ClearVoice对可能泄露信息的所有会员强行重置了密码,还实施了安全措施,以防止此类事件再次发生,并保护会员数据的隐私。
事件点评:
ClearVoice是一个人才网络和内容营销平台,帮助企业创建引人入胜的内容,以支持他们的博客,SEO,社交媒体和营销自动化。ClearVoice集成的编辑日历和简化的内容工作流程可提高工作效率,并帮助营销人员实现其内容营销目标。显然,在其开展相关营销活动时,并未很好地将安全性纳入到其平台上。
6、Jefit
影响人数:905万
发现时间:2021年3月
事件概要:
锻炼跟踪应用程序Jefit在3月份发现了因安全漏洞而导致的数据泄密,这起事件影响了2020年9月20日之前注册的客户帐户。不法分子访问了以下信息:Jefit帐户用户名、与帐户关联的电子邮件地址、加密的密码以及创建帐户时的IP地址。Jefit保存IP地址用于防止机器人程序,并将滥用帐户登记在册。该公司查明了数据泄密的根本原因,并证实Jefit的其他系统未受影响。Jefit表示,它已采取安全措施来加强网络,以防范将来出现类似的泄密事件,并正在其产品上采用更加强大的密码策略,以便将来进一步保护用户帐户。此外,Jefit表示,敏感的财务数据未受到牵涉,因为该公司从不存储客户的付款信息。客户在Jefit网站购买产品时,所有支付流程都由Google Play Store 、 Apple App Store直接处理,或者由支付网关公司直接处理。
事件点评:
Jefit成立于2010年,立志于成为健身界的Facebook,在这个语境下,它有着同类应用难以比肩的大型数据库:超过1300种训练动作,以及数以百万计用户分享的训练计划。Jefit只能做到对健身训练数据的追踪和管理,想要直观地分析一定周期内个人在健身时的训练状态和身体表现情况,还得借助一些数据整合和分析工具。不管是使用自身系统还是借助于第三方工具,都需要做好数据保护工作。
7、Robinhood
影响人数:700万
发现时间:2021年11月
事件概要:
电子交易平台Robinhood在11月8日披露,未经授权的有关方在五天前通过电话冒充员工,访问了客户支持系统。Robinhood表示,在此次事件中,黑客获得了大约500万人的电子邮件地址列表以及另外大约200万人的全名。Robinhood表示,这700万条记录中的数千个条目包含电话号码,大约310人的姓名、出生日期和邮政编码已被公开,其中大约10个客户的更详细帐户信息被公开。Robinhood在遏制这起入侵后表示,黑客敲诈索要赎金。它及时通知了执法部门,将在Mandiant的帮助下继续调查这起事件。
事件点评:
冒充他人登录到企业网络,事实上就是窃取员工的身份。身份认证也称为"身份验证"或"身份鉴别",是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。单一的身份认证手段容易导致账号被冒用,造成内部信息泄露,企业需要进一步加固自身的身份认证体系,来保障网络信息的安全。
8、Accellion
影响人数:676万
发现时间:2021年初
事件概要:
2021年初,黑客结合旧版Accellion文件传输设备(FTA)中多个零日漏洞工具,向外泄露数据,要求付款以确保归还和删除数据。据HIPAA Guide网站报道, Clop勒索软件团伙的数据泄露网站被用来发布一些被盗数据,劝诱受害者支付赎金。截至2021年4月份,已知至少九家医疗保健组织受到了Accellion数据泄密事件影响,其中包括Kroger Pharmacy的147万客户、Health Net的124万会员、Trinity Health的58.7万患者、California Health&Wellness的8万会员、Trillium Health Plan的5万客户,以及Arizona Complete Health的2.9万会员。Stanford Medicine 、 University of Miami Health和 Centene Corp也受到了这次泄密事件的影响,不过这每家组织中受影响的人数尚未得到证实。泄露信息包括姓名、社会保障号码、出生日期、信用或银行账号、健康保险号码及/或与健康有关的信息。
事件点评:
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。有证据显示,黑客更加善于在发现安全漏洞不久后利用它们,实施攻击活动。虽然目前不能完全防范零日漏洞攻击,但是,科学完善的防御体系能有效减少被零日攻击的机率,以及降低零日攻击造成的损失。
9、Infinity保险公司
影响人数:572万
发现时间:2021年8月
事件概要:
Infinity保险公司在3月份披露,在2020年12月的两天内,有人未经授权,短暂访问了Infinity网络中服务器上的文件。Infinity全面审查保存在被访问服务器上的文件后发现,一些社会保障号码或驾照号码包含在文件中。这起事件还影响了Infinity现在和以前的员工,泄露信息包括员工姓名、社会保障号码及/或有限情况下与病假或员工赔偿索赔有关的医疗信息。受影响员工和客户将获得为期一年的免费信用监控服务会员资格。为了降低发生类似事件的风险,Infinity继续审查其网络安全计划,并利用调查信息来确定另外的措施,以进一步增强网络安全性。该公司在致员工的一封信中写道:“我们理解保护个人信息的重要性,对由此造成的不便深表歉意。”
事件点评:
Infinity财产保险公司是总部设立在伯明翰,为美国各州提供汽车保险的公司。作为美国表现良好的公司之一,提供非标准的汽车保险,为那些不能通过标准保险公司获得安全保障的个人提供保险服务。这些不标准的因素可能是因为驾驶记录里有事故记录,驾驶者的年龄,车型以及其他各种原因。Infinity财产保险公司是在非标准承保行业中第三大保险公司,作为有如此影响力的保险公司,应加强其数据安全。
10、尼曼集团(Neiman Marcus Group)
影响人数:435万
发现时间:2021年9月
事件概要:
奢侈品百货连锁店尼曼在9月份披露,未经授权的有关方于2020年5月获取了与客户在线帐户有关的个人信息。该公司表示,它已将该事件通知执法部门,已与Mandiant密切合作开展调查。泄露信息可能包括:姓名及联系资料、支付卡号及有效期、尼曼虚拟代金券号码,以及与在线帐户有关的用户名、密码以及安全问题和答案。尼曼称,大约310万张支付卡和虚拟代金券受到了影响,其中超过85%为过期或无效。尼曼回应称,它要求自2020年5月以来未更改密码的受影响客户重置在线帐户密码。此外该公司表示,如果受影响客户为其他任何在线帐户使用的登录信息与用于其尼曼帐户的登录信息相同或相似,应更改登录信息。
事件点评:
尼曼集团( Neiman Marcus )是美国以经营奢侈品为主的连锁高端百货商店,是当今世界高档、独特时尚商品的零售商,已有100多年的发展历史,其总部在美国得克萨斯州达拉斯,能进入该百货的品牌都是各个行业中的翘楚。此次数据泄露事件,使其公众声望受损。