[[388529]]

【51CTO.com快譯】不可否認，任何公司一旦遭遇了數據泄露事件，都會涉及到公司形象、財務營收、市場份額、以及用戶信任等方面的巨大損失。實際上，一些重大的安全事故，往往是由多個不同安全級別的細微漏洞，疊加與累積而成。而且不幸的是，就算世界上的那些知名大公司，也無法獨善其身。在本文中，我將為您選擇和解讀業界九大知名數據泄漏與網絡安全事件，以方便貴企業“有則改之，無則加勉”。

1. Clearview AI

Clearview AI是一家頗具爭議的創業公司，它直接收集了數十億張公開、可用的照片，為其面部識別平臺提供素材。2020年2月，入侵者在發現了其平臺漏洞后，獲取了該公司的客戶列表訪問權限。盡管與下面將要提到的其他數據泄露事件相比，該公司泄漏的2200名客戶名單的體量雖小，但是BuzzFeed新聞發現，Clearview AI的客戶群中包括了百思買等大型零售商，而其個人簽約客戶遍及全球27個國家。因此，執法機構仍予以了處罰。事后，該公司對受攻擊的系統，以及相關漏洞進行了及時修補。

2. First American Financial Corporation

First American Financial Corporation(第一美國金融公司)是美國《財富》500強中的一家大型房地產業保險公司。由于房地產交易的性質，First American Financial在其網站存放的文檔中，包括有駕駛執照、電匯交易、社會安全號碼、以及銀行帳戶等大量高度敏感的信息。

由于該網站不需要任何身份驗證，即可查看到相關數據，因此知曉其文檔URL的人，完全可以通過簡單地更改鏈接中的數字部分，以跳轉訪問其他文檔。自2003年以來，攻擊者通過該漏洞，已成功訪問了超過8.85億條敏感數據記錄。

2019年5月，一名房產業開發人員Ben Shoval發現了該問題。由于無法得到該公司的回應，他向KrebsOnSecurity尋求幫助。First American Financial隨后禁用了該文檔網站，并解決了設計上的缺陷。

3. Facebook

眾所周知，Facebook經歷了數輪數據泄露。在此，我們重點關注由第三方Facebook應用所引發的一系列事件。

傳媒組織Culture Colectiva有一個可供公共訪問的Amazon S3 bucket，它能夠訪問包括Facebook ID、用戶名、以及社交媒體活動(如評論)在內的各種信息。不過，在最近的一次大規模泄露事件中，它們暴露了146 GB體量的5.4億條數據記錄。

另一個同類數據泄露事件是：一款名為“At the Pool”的應用，暴露了22,000名用戶的用戶名、密碼、以及其他登錄信息。該應用也是依靠可被公開訪問的Amazon S3 Bucket來備份數據，而且其存儲區中的數據是以純文本的形式存儲的(https://www.xplenty.com/blog/why-pseudonymization-is-critical-for-large-enterprises/)。除了用戶在該應用已注冊的詳細信息，該數據庫還包含了Facebook的用戶ID、偏好、興趣、組別、以及其他社交活動。

Culture Colectiva的反應比較滯后，他們花了四個月的時間，對S3 Bucket進行了安全加固。而“At the Pool”則能夠趕在任何安全組織發布警告之前，悄悄地解決了其漏洞。

4. MongoDB數據庫

2019年5月，由于缺乏保護，MongoDB公司擁有的那些未指定所有者的數據庫，曾泄漏了超過十億條數據記錄。來自Security Discovery的研究員--Bob Diachenko率先發現了其中的一個包含有超2.75億條記錄的數據庫。這些數據主要涉及到印度公民的姓名、電子郵件、工作經歷、出生日期、以及各種專業化的詳細信息。由于MongoDB的這些數據庫采用的是Amazon AWS托管模式，因此該狀態持續了兩個多星期之久。黑客組織Unistellar在發現后，立即攻擊了該數據庫，并刪除了相關記錄。

通過持續調查，Diachenko相繼發現了另外四個具有大規模數據泄漏威脅的MongoDB數據庫。這些數據庫里存有超過8.08億封電子郵件、2億份履歷、以及7700萬條個人信息記錄。由于數據庫管理員(而不是技術本身)的失誤，導致了這些MongoDB實例未被設置密碼，也沒能通過保護性的配置選項，來阻止此類攻擊行為。可見，遵從數據庫管理的相關最佳實踐，對于數據的安全性來說是至關重要的。

5. Equifax

Equifax是世界領先的消費者信用報告機構之一，它收集了數百萬美國公民和企業的敏感信息。在2017年9月的一次數據泄露事件中，有近半數的美國公民、以及部分加拿大與英國公民的記錄被竊取。具體內容涉及到社會安全號碼、駕駛執照號碼、信用卡號碼、地址、以及其他個人信息等。美國國會、聯邦貿易委員會、SEC等部門聯合對此次攻擊展開了調查。據悉，黑客通過使用Apache Struts CVE-2017-5638漏洞，持續近兩個月訪問了Equifax的信用糾紛應用。雖然該漏洞已在Equifax的前一輪黑客攻擊后以補丁的形式被修復，但是該公司未能加固所有的應用系統。

值得一提的是，此類數據泄露的后果對于消費者來說是非常嚴重的。他們不但可能由此失去工作機會，而且無法使用貸款產品和信用卡，他們的信用報告上甚至出現負評分。消費者只有通過凍結信用報告，并主動監視其信用的變化情況，來發現任何盜用行為的發生。

6. Capital One

作為最大的信用卡發行商之一，Capital One記錄著1.06億客戶的違約記錄。不過2019年7月，其前軟件工程師Paige Thompson使用她的AWS專業知識，利用錯配的應用級防火墻，成功地訪問了Capital One的一臺服務器。該服務器上包含了來自信用卡應用的、大量美國和加拿大客戶的社會保險號碼、銀行帳號、信用評分、以及個人信息等。這些數據橫跨了十多年的信息記錄，可謂極具價值。

Paige曾在GitHub、Twitter和Slack等多處發帖，詳細說明了她如何獲取服務器的訪問權限。雖然尚不清楚她在各處分發社會保險號碼和個人信息的真實動機，但是，她最終承認了其利用Capital One漏洞盜取信息的事實，并因此被捕。

7. US Office of Personnel Management

2015年，US Office of Personnel Management(OPM，美國人事管理辦公室)服務器上的2000萬個人數據遭遇盜竊。

盡管與其他大規模泄漏相比，此次暴露的記錄數較少，但是就數據內容的重要性而言，實屬嚴重事件。其中，泄漏的文件主要是那些用于向聯邦政府取得安全許可的SF-86表格，里面包含了大量諸如申請人指紋等敏感信息。

OPM的IT部門早在2014年3月就發現了一些異常跡象。但是，由于無法確定攻擊者是如何闖入系統的，以及有誰參與了，因此他們只能持續監視黑客的活動。不幸的是，此法適得其反。攻擊者迅速建立了即使系統被重置，仍然存在的后門。從2013年11月到2015年4月間，攻擊對于數據的竊取蔓延到了內政部的服務器上。

這次攻擊事件所造成的影響包括：國會調查、工會訴訟、以及OPM領導層的引咎辭職等。中情局最終認定：缺少雙因素身份驗證，是此次漏洞攻擊的罪魁禍首。

8. Uber

2016年，一個由兩名黑客組成的團隊對Uber進行了攻擊。他們通過獲得一臺包含了Uber用戶數據的第三方服務器的權限，導致Uber泄露了5700萬條客戶和駕駛員的記錄，其中包括60萬份駕駛執照。

值得注意的是，Uber的前首席安全官居然選擇通過本組織的漏洞賞金計劃，向黑客支付了10萬美元的贖金。據稱，他還阻礙了聯邦貿易委員會的調查，以掩蓋其違規行為。目前，他被指控阻礙調查，并正在接受審理。

9. Yahoo

Yahoo在2013年發生的數據泄漏事件，因其暴露的記錄體量而讓人記憶猶新。該公司的300萬賬號數據是此次攻擊的重災區，其中包括生日、姓名、以及電子郵件地址等經過哈希處理的信息。Yahoo直到2016年才公開了其漏洞，而直到2017年才公布了其受到影響的用戶范圍。Yahoo認為，一家有國家資助的黑客通過既有數據創建了Web Cookie。據此，他們無需密碼，即可訪問用戶的賬號。在攻擊發生的兩年后，直至部分數據在暗網上被兜售，Yahoo才發現到該事件。

解決您的網絡安全漏洞

綜上所述，即便是知名的大公司，如果未能遵循網絡安全的各項最佳實踐，無法全面實施數據安全計劃，沒法主動提供多層防護，就難以在黑客的暗中攻擊中幸免，也就不能避免數據泄露事件的發生。不知貴組織當前的系統與網絡安全態勢如何?您是否能夠從上述九大事件中，找到信息保護的思路呢?

原文標題：Top 9 Most Damaging Data Breaches at Major Companies，作者: Abe Dearmer

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】