十年數據泄露事件大觀:“互聯網+”時代,各行各業都易中招
近來,國內外大規模數據泄露事件密集發生。11月30日,萬豪發公告稱旗下酒店喜達屋5億房客信息被泄露;12月3日,社交平臺陌陌3000萬用戶數據在暗網被銷售;12月4日,問答網站鼻祖Quora遭惡意攻擊,1億用戶數據被竊;12月10日,谷歌因可能出現的數據泄露問題關閉旗下產品。
大數據時代,數據不僅是企業的核心財產,也事關用戶最關心的隱私安全。然而,數據泄露事件卻屢屢發生。本文梳理了近十年來有關企業數據泄露的報道后發現,企業數據泄露事件不僅發生頻率未減,被泄露的數據規模還在不斷擴大。
數據泄露:中招的不僅僅是互聯網公司
數據泄露是指“受保護或機密數據可能被未經授權的人查看、偷竊或使用”。互聯網公司則是數據泄露事件的多發領域,包括阿里、騰訊在內的知名互聯網公司都被爆出過數據泄露的負面消息。
不過,不少公司并不承認用戶數據發生了泄露。在2013年支付寶數據泄露事件中,支付寶稱泄露非通過其網站,而且泄露的只是賬號名,不構成安全威脅。而發生在2015年的數億網易163、126郵箱賬號泄露事件中,網易的回應也和支付寶類似——賬號密碼泄露源于第三方網站,不存在自身用戶數據庫被泄露的問題。
大部分數據泄露是由黑客攻擊導致。根據IBM公司(國際商業機器公司)發布的研究報告(《2018 Cost of a Data Breach Study:Global Overview》)顯示,數據泄露的主要原因是惡意和犯罪攻擊(48%)。除了攻擊漏洞、使用病毒外,黑客會利用人們在不同平臺賬戶使用同一賬號和密碼的習慣,通過“撞庫”(通過已泄露的賬戶和密碼去登錄其他網站)的手段來侵入更多網站。而很多掌握大量用戶數據的企業從未建立有效的安全管理系統,這讓泄露事件難以被阻止。
2011年年底,中國互聯網爆發了史上規模最大的數據泄密事件,包括天涯社區、百合網、人人網在內的多家網站被指用戶數據疑遭泄露。讓人大跌眼鏡的是,最早被爆出數據泄露的CSDN論壇,被發現使用明文存儲密碼,這樣一個以程序員為主要用戶的大型社區,卻沒有使用任何加密保護。
“互聯網+”時代,企業的數據安全挑戰會越來越嚴峻。
越來越多的行業也要建立應對數據泄露的機制。由于越來越多的設備、平臺相互聯通,以及云計算、物聯網的不斷融合,數據泄露的高風險將不再僅限于互聯網行業。2017年10月,一家醫療設備公司存放在亞馬遜云存儲庫的47GB醫療數據遭破解,15萬患者的姓名、地址、醫生和病例紀錄等隱私信息被泄露。
面對數據泄露,多數企業反應遲鈍
用戶數據的重要性對企業而言不言而喻,然而,大部分公司并沒有應對經驗和有效的反應機制,甚至都不能快速察覺數據遭遇泄露。
在IBM公司發布的報告中,企業發現數據泄露的平均時間是197天,而控制住由此產生的后果還額外需要平均69天。發現和控制的時間越久,由此產生的損失也越高。
國際知名酒店集團萬豪國際在今年11月底告知外界旗下喜達屋酒店預訂數據庫被外人訪問。令人震驚的是,數據庫早在2014年起就遭黑客入侵,但直到2018年9月,萬豪才收到內部安全工具的警報。這意味著2018年9月及之前,喜達屋酒店預訂數據庫中的賓客信息都一直在泄露。
“遲鈍”的不止萬豪一家,事實上,連許多高科技公司都遲遲沒有發現自己的用戶數據遭遇泄露。
雅虎曾在2013年、2014年多次遭遇黑客攻擊,被竊取了大量用戶信息,察覺時已是三年后。2016年9月,雅虎調查后發現約有5億賬號數據在2014年時被泄露。到了同年12月,雅虎才發現2013年的攻擊導致自己10億用戶數據被破解。直到2017年10月,雅虎發現自己當年所有的用戶數據都已泄露,30億用戶賬號無一幸免。
企業數據泄露的損失有多少?
數據泄露帶給企業和用戶的損失不容小覷。
IBM的研究報告調查了全球477家公司過去一年2200多起數據泄露事件,發現大型數據泄露的代價十分高昂。平均來看,泄露百萬條記錄會導致損失2.8億人民幣,而泄露5000萬條記錄的損失高達24.1億人民幣。
而不同行業的數據泄露成本也不同。在監管較嚴的行業,如醫療保健和金融行業,數據泄露的成本非常的高,而物流、酒店行業的數據泄露成本就要低很多。雖然中國公司并未被列入調查范圍,但這一結論依然可以參考。
對公司而言,數據泄露的損失主要由檢測與升級、通知各方、賠償與罰款以及用戶流失這四個方面構成。在監管較嚴格的地區,數據泄露的罰款非常大,由此帶來的股價下跌也經常發生。
今年5月,旨在保護用戶數據的《通用數據保護條例》(GDPR)在歐盟生效,企業如果沒有保護好數據而導致數據泄露,將會被處以1000萬歐元(約合7825萬人民幣),或全球年營業額2%的高額罰款;而主動泄露用戶數據的,處罰將會翻倍。
值得一提的是,目前在中國,還沒有企業因數據泄露問題而被重罰。雖然現行有關個人信息保護的法律法規并不少,重慶大學網絡與大數據戰略研究院院長齊愛民曾統計過,有關個人信息的法律有52部,行政法規有42部,司法解釋或者文件有50部,部門規章更多。但是眾多法律法規并沒有形成完整體系,企業違法行為難以認定,用戶維權也很艱難。
不過,縱然沒有高額的罰款,用戶也會用腳投票。雅虎發生大規模數據泄露后,有研究顯示多達97%的用戶會對雅虎失去信任。當一家企業不能保護他們的用戶數據,用戶的信任將很難回歸,即便“中國人更加開放,愿意用隱私交換便捷服務或效率”。
