360亿条！历史新高！国内外数据泄露事件大盘点

外媒报道，近日根据风险基础安全（Risk Based Security）的数据，2020年第三季度公开报告的数据泄露事件的数量有所下降，但全球另有数十亿条记录被暴露，使得今年的总数达到360亿。

它声称，在第三季度有83亿的记录之前，2020年就已经是有记录以来最糟糕的一年了，然而，这些数据不仅包括窃取的数据，还包括基于云的错误配置，这些错误配置可能危及信息，但不会导致恶意行为者获取信息。

大数据、互联网、5G的迅速发展，为人类带来无限发展机遇的同时却也催生了大量的信息泄露事件，在今年上半年里，“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰，已造成重大损失。

信息安全与通信保密杂志社梳理了 近期在国内外各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失，还带来了巨大的社会影响。

01泰州警方破获一起侵犯公民个人信息案，涉及800余万条数据

今年4月，公安高港分局胡庄派出所接到群众举报，有人在QQ群中大量贩卖公民身份证号码，民警立即对该情况展开调查，发现有人通过QQ群、网络交易平台，售卖数百万条公民个人信息。随后，该局组织网安、刑侦等部门民警成立专案组，截至10月9日，共有7名犯罪嫌疑人落网。

02广西一医护人员倒卖8万条婴儿信息被追责

据南宁法院网消息，9月27日下午，广西壮族自治区南宁市青秀区人民法院公开审理了一起8万多条新生儿、产妇信息被倒卖的案件，涉案人员包括一名医护人员。自2018年初开始，被告人李某某利用在广西壮族自治区妇幼保健院工作的便利，在为新生儿办理出生证时，非法下载新生儿和产妇的个人信息，总量达89904条。

03“珍爱网”账号信息被盗卖

据财经网报道，8月，钱塘新区警方成功破获一起侵犯公民个人信息案，抓获犯罪嫌疑人2名，扣押涉案电脑1台、电脑主机2台、硬盘2台、手机11部、手机卡8张、电话卡40余张，相关公民隐私信息资料6000余条。

04圆通“内鬼”泄露信息

据公开报道，今年8月，河北省邯郸市永年区某物流公司委托人报案称：其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为，导致大量客户隐私信息有可能泄露。

警方调查，涉案的“某物流公司内部员工”为五位圆通员工。9月7日，警方将嫌疑人张某行、高某桥、马某杰抓获。该案涉案嫌疑人涉及河北、河南、山东等全国多个省市，涉案金额120余万元。

05装修公司花240万买业主信息

7月30日，成都商报-红星新闻记者从德昌警方获悉，截至今年7月1日，法院依法判决27人，还有多人被行政处罚，扣押、罚没涉案资金达200万元。目前，多家楼盘被行政处罚。针对所涉5市房管局，德昌警方已将相关线索通报5市网安部门。

01阿里旗下电商平台Lazada 110万账户信息被黑客入侵

据外媒报道，阿里巴巴旗下电商平台、新加坡电子商务公司Lazada今日宣布，其110万账号信息被黑客入侵。在这个拥有570万人口的国家（新加坡），这显然是一次重大的黑客入侵事件。

这些账号信息包括用户的家庭住址和部分信用卡号码等。Lazada在一封电子邮件中称，这些信息是从其杂货子公司RedMart的数据库中窃取的，属于18个月前的数据。

02安泰人寿用户信息泄露

近日，美国安泰人寿保险公司（Aetna）向美国卫生与公众服务部（HHS）下属的民权办公室支付100万美金并采取整改措施，以补救其此前违反《健康保险可携性和责任法案（HIPAA）》导致的损害后果。根据HHS的通讯稿，安泰曾三次违反HIPAA的相关义务：2017年4月，安泰发现其网站某页面的文件无需登录即可访问，造成超过5000人的信息泄露；2017年8月，安泰用窗信封给用户寄送受益通知，"HIV Medication"的字样出现在了信封窗中，导致逾1万人的信息泄露；2017年11月，安泰寄送的研究报告信封上印有收件人所参加的房颤研究项目的名称及标志，导致1600人的信息泄露。

03希腊电信巨头用户信息泄露

中新网10月17日电 据希腊《中希时报》16日报道，日前，希腊最大的电信网络公司Cosmote发生了一起重大数据泄露事件。大量希腊人的个人信息遭泄露，可能会对“国家安全问题”产生重大影响。

据报道，此次信息泄露是不明身份“黑客”攻击网络造成的，他们窃取了2020年9月1日至5日期间的电话等数据。Cosmote的高管们认为，此次“突袭者”来自国外，并表示，希望这只是一次商业炒作。

04在线书店Barnes & Noble被黑

据外媒报道，虽然Nook在很大程度上已经被亚马逊的Kindle抛在脑后，但Barnes & Noble（以下简称B&N）仍是一个拥有相当数量忠实客户的知名品牌。然而这些顾客现在可能有些担心，因为这家书商向他们提供了一些令人不安的消息。报告显示，B&N的公司系统遭到了网络安全攻击，黑客可能已经获得了B&N客户的一些重要信息，其中可能包括他们的住址。

05FinCEN机密文件泄露

据英国广播公司21日报道，9月20日，美国金融犯罪执法网络局（FinCEN）2500多个机密文件又遭泄露，涉及约2万亿美元的交易。这些文件揭露了一些国际性银行让犯罪分子在世界各地转移赃款的行为，也揭露了俄罗斯寡头是如何利用银行来逃避西方国家的制裁。

FinCEN文件的泄露是过去五年来发生的一系列泄密事件中最新的一次，其文件内容揭露了秘密交易、洗钱和金融犯罪。

06游戏硬件厂商Razer用户数据泄露

8月19日左右，安全研究员Bob Diachenko发现了一个不安全的Elasticsearch数据库，该数据库暴露了大约10万个从Razer在线商店购买商品的用户信息。暴露的信息包括客户的姓名、电子邮件地址、电话号码、订单号、订单明细以及账单和送货地址，如下所示：

07SK海力士和LG电子机密资料大量外泄

据韩国《东亚日报》9月10日消息，SK海力士和LG电子9日遭到一个黑客团体的网络软件攻击，内部机密资料大量外泄。被黑客入侵的文件中相当一部分包含客户交易信息等机密资料，因此有可能产生进一步的损失。

08网站Freepik用户数据泄露

E安全8月25日讯 Freepik是一个致力于提供高质量免费照片和设计图形访问的网站，也是互联网上最受欢迎的网站之一。近日，Freepik披露了一起重大安全漏洞，一名黑客(或多名黑客)利用SQL注入漏洞访问其存储用户数据的数据库，并获得了其Freepik和Flaticon网站上830 万注册用户的用户名和密码。

09美AI公司泄露医疗数据

8月，安全研究人员耶利米·福勒（Jeremiah Fowler）在Secure Thoughts上发表文章称，他发现近260万条包含姓名、医疗诊断记录、保险记录和支付记录在内的个人病历数据被泄露了。福勒指出，不少被泄露的数据都指向一家名叫Cense的美国AI公司。

10美国酒业巨头百富门被窃取超1TB数据

E安全8月18日讯 近日据外媒报道，Sodinokibi（REvil）勒索软件运营商上周宣布，他们已经破坏了Brown-Forman的网络系统，该公司是美国烈酒和葡萄酒行业最大公司之一。

事件发生后，威胁行动者声称已窃取1TB的机密数据，并计划将最敏感的信息用于拍卖，并会泄漏其余信息。据统计，该团伙窃取的数据包括机密员工的信息，公司协议，合同，财务报表和内部消息。

写在最后

据IBM中国调研发现，源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因，所造成的代价也最惨重。恶意数据泄露平均给调研中的受访企业带来445万美元的损失，比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。

这些数据泄露事件带来的威胁日益严重，在过去六年的调研期间，报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从42% 上升至51%（同比增长21%）。
此外，调研结果还显示，人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半（49%），分别给企业造成了平均350万美元和324万美元的损失。从人为和机器错误导致的数据泄露事件中可总结出改进方法，

而降低其发生的次数。比如对员工开展安全意识培训，进行技术投资，以及测试服务以尽早发现意外泄露事件端倪，从而进行有效预防或阻断。

IBM X-Force 威胁情报指数显示，云服务器配置不当是特别值得关注的数据泄露原因之一，这一原因在2018年曾导致9.9亿条记录被曝光，占全年记录数据丢失总数的43%。

过去14年，Ponemon Institute 一直在对导致数据泄露成本增加或减少的多项因素进行深入研究。研究表明，企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响。

去年的调研显示，数据泄露的平均生命周期为279天，即在事件发生后企业平均需要206天才能发现，另需73天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业，其数据泄露事件的总体成本可减少120万美元。

此外，关注于响应能力可帮助企业加快响应速度。建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措。采用这两项措施的企业，其数据泄露事件的总体平均成本要比二者皆无的企业少123万美元（前者为351万美元，后者为474万美元）。

本次调研还研究了不同行业和地区的数据泄露成本的差别，发现美国的数据泄露成本更高，平均可达819 万美元，是调研中全球受访企业平均水平的两倍多。在过去14年的调研中，美国的数据泄露成本增长了130%，其2006年的调研结果为354万美元。

中东地区的受访企业指出，他们每次事件泄露的记录平均数量最多近4万条（全球平均值约为2.55万条）。此外，医疗保健组织已经连续第9年蝉联数据泄露损失排行榜冠军，平均成本接近650万美元，高出其他行业总体平均的60%。

中安威士：保护核心数据，捍卫网络安全

来源：信息安全与通信保密杂志社