從雅虎10億事件回顧數(shù)據(jù)泄露的這11年
日前,雅虎公開(kāi)承認(rèn),在2013年8月的時(shí)候就發(fā)生了多達(dá)10億的賬戶數(shù)據(jù)泄露。同時(shí)也創(chuàng)造了有記錄以來(lái)史上最大數(shù)據(jù)泄露案。借此機(jī)會(huì)我們回顧一下自2005年以來(lái)11年間規(guī)模最大、影響最深遠(yuǎn)的數(shù)據(jù)泄露。
初次泄露
關(guān)于數(shù)據(jù)泄露,TechTarget給出了定義:
當(dāng)一場(chǎng)事故中發(fā)生敏感,受保護(hù)或機(jī)密數(shù)據(jù)可能被未經(jīng)授權(quán)的個(gè)人查看、偷竊或使用的事件,即可定義為數(shù)據(jù)泄露。 數(shù)據(jù)泄露往往涉及支付卡信息(PCI),個(gè)人健康信息(PHI),個(gè)人身份信息(PII),商業(yè)秘密或知識(shí)產(chǎn)權(quán)。
隨著大大小小的企業(yè)越來(lái)越依賴電子數(shù)據(jù)、云計(jì)算和流動(dòng)勞動(dòng)力,數(shù)據(jù)泄露得到了廣泛關(guān)注。 由于敏感的業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在本地計(jì)算機(jī)或是企業(yè)數(shù)據(jù)庫(kù)和云服務(wù)器上,對(duì)于一個(gè)黑客而言,侵入一個(gè)公司的數(shù)據(jù)庫(kù)的難度相當(dāng)于獲得對(duì)受限網(wǎng)絡(luò)的訪問(wèn)。
數(shù)據(jù)泄露并不是從數(shù)據(jù)以電子的方式存儲(chǔ)開(kāi)始的。 事實(shí)上,從個(gè)人或公司開(kāi)始保存記錄或存儲(chǔ)私人信息,數(shù)據(jù)泄露就已存在。 在計(jì)算機(jī)普及之前,數(shù)據(jù)泄露可以是簡(jiǎn)單的。例如在沒(méi)有授權(quán)的情況下查看個(gè)人的醫(yī)療文件或者找到未被正確處理的敏感文檔。 這種類型的數(shù)據(jù)泄露在1980年代頻繁增加,直到1990年代和21世紀(jì)初,公眾對(duì)數(shù)據(jù)泄露潛在威脅的認(rèn)識(shí)開(kāi)始上升。
大多數(shù)關(guān)于數(shù)據(jù)泄露發(fā)生2005年至今的時(shí)間段內(nèi)。 這其中主要推動(dòng)力是由于技術(shù)的進(jìn)步以及電子數(shù)據(jù)在全世界的加速擴(kuò)散。在這個(gè)過(guò)程中數(shù)據(jù)泄露逐漸成為企業(yè)和消費(fèi)者關(guān)注的焦點(diǎn)。 在當(dāng)今社會(huì),數(shù)據(jù)泄露一旦發(fā)生,受影響的用戶數(shù)量可能會(huì)在數(shù)十萬(wàn),通常是沖著百萬(wàn)級(jí)去的,乃至更多,而且這些數(shù)據(jù)泄露只是對(duì)一家公司進(jìn)行的單次攻擊。
據(jù)隱私權(quán)信息交流中心(Privacy Rights Clearinghouse,簡(jiǎn)稱PRC)統(tǒng)計(jì),在2005年的時(shí)候發(fā)生了最早的幾起數(shù)據(jù)泄露。其中最早的一起就是發(fā)生在喬治梅森大學(xué)(2005年1月),一個(gè)黑客攻擊了喬治梅森大學(xué)的主要身份服務(wù)器,涉及32000名學(xué)生和員工的個(gè)人信息,包括姓名,圖片,社會(huì)保障號(hào)。
之所以從2005年開(kāi)始回顧數(shù)據(jù)泄露是因?yàn)榇蠖鄶?shù)數(shù)據(jù)泄露發(fā)生2005年之后的時(shí)間段內(nèi)。當(dāng)然,也不是意味著數(shù)據(jù)泄露在05年之前就沒(méi)發(fā)生過(guò),只是數(shù)量少且曝光率低。因此2005年可以看成數(shù)據(jù)泄露元年。
數(shù)量越來(lái)越大了,要溢出來(lái)了!
第一次泄露信息超過(guò)100萬(wàn)條的記錄發(fā)生在2005年的3月,黑客在DSW(美國(guó)俄亥俄州著名鞋坊)的數(shù)據(jù)庫(kù)中盜取了140萬(wàn)條信用卡信息。
僅2005年一年隱私權(quán)信息交流中心PRC就記錄了136起數(shù)據(jù)泄露。自2005年至今,已有超過(guò)4500起,平均每天都會(huì)發(fā)生一起數(shù)據(jù)泄露,共8.16億條個(gè)人記錄遭到泄露。
隨后數(shù)值越來(lái)越大,2005年最大的數(shù)據(jù)泄露定格在4000萬(wàn)條信用卡信息,來(lái)自CardSystems Solutions(美國(guó)一家信用卡管理公司),被盜的4000萬(wàn)條信息中有68,000個(gè)萬(wàn)事達(dá)卡帳戶,100,000個(gè)Visa帳戶和其他信用卡廠商的30,000個(gè)帳戶。泄露的數(shù)據(jù)包括姓名,卡號(hào)和信用卡密碼。在次年5月12日CardSystems Solutions申請(qǐng)破產(chǎn)。
2007年一月,TJX公司(服裝家居公司),經(jīng)歷了那一年最大的數(shù)據(jù)泄露。TJX聲稱黑客分多次作案共盜取了近1億賬戶的信用卡和借賬卡信息以及數(shù)千條退款記錄。這次數(shù)據(jù)泄露由于影響過(guò)大,給TJX公司帶來(lái)了2.16億美元的直接損失。當(dāng)局也參與了案件的偵破,并在古巴查到了被盜信用卡的消費(fèi)記錄。2010年,事件平息,最終以28歲的黑客Albert Gonzalez在聯(lián)邦監(jiān)獄服20年徒刑的形式結(jié)束。
2009年Heartland的支付系統(tǒng)(130,000,000)、2013年的Adobe(38,000,000)、2014年的Home Depot(56,000,000)還有2015年的Anthem(80,000,000)都曾發(fā)生過(guò)數(shù)據(jù)泄露。
但是這些都沒(méi)有2015年5月的MySpace厲害。
今年5月31日,黑客在MySpace盜取了3億6千萬(wàn)賬戶的用戶名、密碼。在當(dāng)時(shí)已經(jīng)是大新聞了。
- 這些泄露的數(shù)據(jù)以“SHA-1”的哈希加密的方式存儲(chǔ)的,性能較弱,易于攻破,雪上加霜的是,該公司在散列過(guò)程中沒(méi)有對(duì)密碼進(jìn)行“salt”
根據(jù)CSC在2012年的預(yù)測(cè):
- 到2020年為止,超過(guò)三分之一的數(shù)據(jù)會(huì)實(shí)時(shí)存儲(chǔ)或是傳到數(shù)據(jù)云中。
- 在2020年,數(shù)據(jù)產(chǎn)業(yè)可能達(dá)到2009年的44倍。專家估計(jì)到2020年年度數(shù)據(jù)生成增長(zhǎng)4300%。
- 雖然個(gè)人用戶負(fù)責(zé)大多數(shù)(70%)數(shù)據(jù)產(chǎn)出,但所有數(shù)據(jù)的80%還是由企業(yè)存儲(chǔ)。
接下來(lái)由雅虎接管比賽!你們都是渣滓!
9月22日,雅虎宣稱他們被盜取了5億個(gè)用戶的賬戶密碼。不過(guò)這起事件實(shí)際是發(fā)生在2014年的。按照雅虎的說(shuō)法,雅虎也是在今年8月份對(duì)另外一起數(shù)據(jù)泄露事件發(fā)起調(diào)查的時(shí)候,才發(fā)現(xiàn)2014年5億帳號(hào)被盜這一事實(shí)的。
這次事件一時(shí)之間占據(jù)大量媒體版面頭條。雅虎就此事強(qiáng)調(diào)了兩點(diǎn),其一此次事件疑似為“國(guó)家背景”的攻擊者所為,另外并未泄露如明文密碼、銀行卡信息這類最具價(jià)值的數(shù)據(jù)。
不少美國(guó)人已經(jīng)開(kāi)始擔(dān)心,雅虎5億用戶賬戶被盜事件甚至可能對(duì)許多美國(guó)人的日常生活產(chǎn)生影響。
我們本來(lái)一度以為5億可能已經(jīng)是很難超越的數(shù)字了。直到上周三,雅虎又將自己創(chuàng)造的記錄提高了一倍,達(dá)到了10億。這一次數(shù)據(jù)泄露似乎還跟上次5億泄露不同,真正的泄露發(fā)生在2013年,2016年11月的時(shí)候才第一次發(fā)覺(jué)。由于雅虎在2013年以前一直使用的脆弱的算法MD5保存用戶賬號(hào),黑客組織“Group E”盜取了這些數(shù)據(jù)并在暗網(wǎng)上出售。
反思
即使是世界上最大的公司也會(huì)遭受巨大的數(shù)據(jù)泄露,影響了數(shù)百萬(wàn)消費(fèi)者。現(xiàn)代企業(yè)需要一個(gè)全面的,全方位的數(shù)據(jù)保護(hù)和安全的方法。 過(guò)去的應(yīng)對(duì)方法根本無(wú)法在現(xiàn)代威脅環(huán)境中杜絕數(shù)據(jù)泄露。
