2015年全球数据安全事件盘点分析20,15,年全,球数,据安,全事,件盘,点分大势至软件官网

Verizon发布了《2015年度数据泄露调查报告》报告称：2015年，全球61个国家出现79790起数据泄露事件，其中2122起已经得到确认。

信息安全事件被定义为：任何对信息资产的机密性、完整性、可用性造成破坏的事件。

498)this.width=498;'onmousewheel='javascript:returnbig(this)'src="/uploads/images/2016/45/wKiom1aJ6BqDO8slAAFHub6eY3s831.jpg"width="500"border="0"height="303"alt="2015年全球数据安全事件盘点分析"/>

据统计，信息安全造成的损失取决于信息泄漏的数目，与公司大小无关。报告称一些大公司只是在数据泄漏事件中损失的信息条数比较多，因此信息泄漏的造成的损失相对较高。降低数据泄露成本应在技术上着眼于防止泄漏记录或尽量减少泄漏记录的条数。

下面的图表反映出，一个公司为数据泄露买单的金额取决于丢失记录的条数。

那么，2015年全球都发生了哪些信息泄漏事件又是如何发生的

这些虽然不是信用卡数据，但也是一级数据泄漏。“这些身份信息在网络犯罪行业就像铁矿石一样正规。”英格瓦尔德森表示，这类个人信息经常会被迅速出售给行骗者，行骗者将借助自动软件程序寻找使用相同信息的网站。

安华金和数据库安全专家点评：约会网站数据库中存储了大量的个人隐私信息，这些个人隐私信息的泄漏会被利用去尝试其他网站的用户账户，这就是网上提到的“撞库”.

我们习惯于在不同的网站使用相同的账号密码，如果其中一个网站的数据库泄漏，那就意味着与之用户名密码相同的网站会发生连锁反应。应尽快更改与之账户相同的金融或购物类网站，以避免造成更大损失。

2月28日，大约5万名优步(Uber)司机的个人信息被不知名的第三方人士获取，成为该公司遭遇的较大规模的数据泄露事件。

优步表示，它未曾收到任何有关这些数据“已被滥用的报告”。不过，几个月之后才就泄密事件发出警告，受到安全专家的批评。

美国第二大医疗保险公司Anthem，被黑客入侵并盗走8000万个人信息，包括现在和以前的保险客户和员工。

Anthem在册客户为3700万。一位发言人表示，公司在发现被入侵后马上开始漏洞的修补工作，并与FBI和安全公司Mandiant协同工作以了解信息泄露的程度。

斯维迪什表示，他自己的个人信息在此入侵事件中也被泄露，公司将逐个联系每一位信息被泄露的人，并为受到影响的人提供免费的信用监控和身份保护服务。

此次信息泄露事件称得上是近年来一系列较大的信息泄露事件之一。前年的塔吉特丢失了4000万信用卡信息和7000万客户信息，去年的家得宝的5600万信用卡数据被黑客访问，这次Anthem达到8000万。

自去年8月CHS(美国医疗社区系统)450万条患者信息泄露事件之后，执法部门就开始警告医疗机构要应对即将到来的数据泄露加剧的风险。

2015年3月，美国大型医疗保险商CareFirst表示，该公司去年六月发现有黑客入侵，约有110万医疗保险客户的个人信息遭泄露。BlueCrossBlueShield(BCBS)是一个联邦医疗保险服务商，服务美国近三分之一的人口。CareFirstBCBS是其在大西洋中部的子公司，在哥伦比亚特区、马里兰州和维吉尼亚州为客户提供健康保险。

据悉，此次数据泄露可以追溯到2014年6月20日，由Mandiant安全公司的专家发现，现成为了美国境内该类型网络攻击规模第三大的事件。而CareFirst此次数据泄露时隔近一年才被披露，是因为CareFirst他们发现较初的攻击时，他们试图控制了攻击，并且他们以为自己做到了。

安华金和数据库安全专家点评：医疗保险机构业务系统后台数据库中存储大量的医疗保险客户的个人信息，如客户姓名、生日、医疗保险号码等，专业黑客获取批量的医疗保险客户信息，这个案例值得我们对医疗机构的数据安全引起重视，同时要依靠有实力的信息安全公司，持续不断的在防御外部黑客攻击方面投入，避免由于批量数据泄漏带来损失。

安华金和数据库安全专家点评：随着校园信息化的快速建设，教务、教学系统中存在大量漏洞，国内高校成为信息泄漏的重灾区。自2014年至2015年3月，漏洞分析平台补天显示：有效的高校网站漏洞多达3495个。这些漏洞有的已造成教职员工或学生个人信息泄漏。除了面高校涉及人数众多，包括大量学生和教授的隐私信息;另一方面很多重要院校还承担着国家众多科研项目，这都可能成为不法分子的目标。

安华金和数据库安全专家点评：在大量个人信息库在网上泄漏的情况下，重要信息系统如报税系统，应该采取一些手段更好地防止身份欺诈行为。应该有由报税部门和软件公司的代表、工资和国家税收管理员三方组成，发布一些新的举措，以提高纳税申报过程中的安全性。比如通过安华金和的数据库的监控与审计系统会对数据库访问操作进行全面审计。报税者在访问时将需要通过IP地址和计算机设备特征电子码的对照，另外填写报税表的所需时长也将被设为判断是否为机器自动填表的重要标尺。

8月9日，英国电信运营商CarphoneWarehouse在黑客入侵事件中，包含加密信用卡数据的约240万在线用户的个人信息遭到黑客入侵。

CarphoneWarehouse在一份新闻稿中透露，其网站和互联网服务遭到黑客侵袭。期间展开的一项调查显示：这240万用户的个人数据包括姓名、地址、出生日期和银行卡细节……都有可能遭到黑客访问。“其中多达9万名客户的加密信用卡数据可能也遭到黑客入侵。”CarphoneWarehouse补充说。

7月，约会网站AshleyMadison称，其系统遭到了黑客攻击。黑客甚至威胁称将泄露3700万用户包括真实姓名、地址以及其他个人信息，除非该公司将网站彻底关闭。

旧金山电脑安全公司OPSWAT的副总裁麦克·斯皮克曼(MikeSpykerman)表示，“现实情况来看，数据外泄已经不再是什么大不了的问题，但对于CarphoneWarehouse数据外泄应该另当别论，因为其大量数据都没有加密。”

安华金和数据库安全专家点评：电信运营商数据库中存储了许多个人数据，如姓名、地址、出生日期和银行卡信息……被黑客攻击后，这些数据的批量泄漏会导致一系列电信诈骗致使电信运营商信誉受损，建议使用安华金和的数据库保险箱对敏感信息按列加密存储，同时使用数据库防火墙系统对外部黑客攻击进行防御。

今年9月英国宽带服务提供商TalkTalk表示，该公司网站日前所遭受的网络攻击可能导致其400多万客户的个人数据被盗，这可能是英国史上较大规模的数据泄漏事件之一。

本次攻击可能是英国企业迄今为止遭受的较大规模和较具破坏性的网络入侵事件。

这是TalkTalk今年第三次遭受网络攻击，计算机安全专家格雷汉姆·克鲁利(GrahamCluley)指出：“他们的品牌将受损，他们的客户可能已经忍无可忍了。”

在股市早盘交易中，TalkTalk股价下跌8.5%至2年低位238便士。

10月，独立安全研究人员TroyHunt在他自己所设立的haveibeenpwned网站上公布：音乐众筹网站Patreon已遭骇客入侵，并有超过16GB的资料在网路上流窜，Patreon也已证实此事。

Patreon是由音乐家JackConte及开发人员SamYam在2013年创立的众筹网站，主要是替音乐或影片的作者筹募创作基金。

Hunt指出，黑客公布了超过16GB的Patreon资料，其中包含14GB的资料库纪录，还有逾230万个电子邮件位址与数百万封的讯息，甚至还有Patreon网站的原始码。

Patreon共同创办人暨执行长Conte承认在9月28日发觉黑客入侵正在公测的网站，该测试网站含有一个运作中的资料库快照，但并未储存可存取其他伺服器的私密金钥。在得知遭到入侵后便关闭了测试网站的伺服器，并将所有非运作中的伺服器全数移到防火之后。

黑客所存取的资料包含注册名称、电子邮件位址、张贴内容、送货地址，以及2014年以前的某些帐单地址。不过Patreon并未储存完整的信用卡资讯，而信用卡号码也未被存取。

安华金和数据库安全专家点评：音乐众筹网站Patreon的16GB资料中包括注册名称、电子邮件地址等，但未存储完整的信用卡资讯，信用卡也未有存取记录，该站用户的密码、社会安全码与税赋资讯，这些机密的个人资讯皆通过2048bit的RSA金钥加密保护，虽然泄漏的数据条目很多，涉及主要信息数据已经有密码保护，这点也值得很多国内互联网公司学习。

10月3日，CNBC财经电视台网站公布，国内常用的美股券商服务Scottrade发生了数据泄露事故，数百万用户的敏感数据可能受到影响。

Scottrade将向发生泄露事故的460万客户发送通知，并提供身份保护服务。受影响的数据库中包含用户的社会安全号码和电子邮件地址。Scottrade表示：“我们非常严肃地对待信息安全，并全面配合司法部门进行调查，将犯罪者绳之以法。”

安华金和数据库安全专家点评：美股券商是属于金融行业之一的证券业。这类金融企业在要重点保护证券交易信息和客户信息。虽然没有影响交易平台或客户的咨询信息，一旦发生损失不可估量，证券行业一定要加强信息安全防护，尤其是数据库的安全防护。

11月，喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件，包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露，泄露数量尚未公布。

喜达屋集团，是全球较大的饭店及娱乐休闲集团之一，旗下拥有着喜来登、威斯丁、W酒店等众多全球高档豪华酒店品牌。据分析，该恶意软件较早从2014年11月开始成功渗透进酒店。较开始，恶意软件是在礼品店，饭馆和销售登记的付款系统中被发现的。

小结：

可以看到，在互联网时代黑客已经不再是躲在地下室，为了一时的兴趣进行破坏，越来越多的黑客正在“商业化”，愈发成熟的黑产一次次的证明数据的价值。企业赖以生存的用户信息都存其数据库内，所以数据库的安全事关企业生死存亡。

【编辑推荐】

三、漏洞影响转入地下

现在我们来看看今年有哪些重大漏洞，这里的漏洞不包括尚未大范围曝光和尚未产生实际重大影响的漏洞。

在这一连串的漏洞中，有系统级的如Stagefright，也有协议级的，如FREAK和SS7。有应用性质的如Wormhole，还有“长老级”的漏洞，如SMB重定向。但无论哪种，均未造成如去年心脏出血漏洞那种级别的影响或损失。原因不外乎，整个业内在各个环节对安全工作的加强，以及应急能力的提升和漏洞提交机制的完善。但不可忽视的是，地下黑市对流行软件漏洞和零日漏洞的交易极大的危害着全球上网人的利益，甚至是国家和社会安全。

四、信息泄露汹涌依旧

2015年数量较大的四起信息泄露事件分别为，美国人事管理局(OPM)2700万政府雇员及申请人信息泄露;美国第二大医疗保险公司Anthem8000万客户及员工信息泄露;面向全球的婚外恋网站AshleyMadison3700万用户信息泄露;意大利间谍软件公司HackingTeam被黑，包含多个零日漏洞、入侵工具和大量工作邮件及客户名单的400G数据被传到网上任意下载。

这四起信息泄露事件的影响面各有不同，OPM上升到国与国之间网络战争的政治影响，Anthem主要事关客户个人保险号和病历，AshleyMadison则主要为隐私和道德问题，已有两人因此事而自杀。HackingTeam的影响主要在于工程化的漏洞和后门代码公开，等于把网络武器交到不法人员的手中，轻易地提高了整个地下黑产的平均技术水平。

2015年1月，俄罗斯约会网站Topface，2000万用户名和电子邮件地址被盗;

2月，优步(Uber)披露，5万名优步司机的个人信息被不知名的第三方人士获取，包括社保码、司机相片、车辆登记号等信息;

3月，医保提供商Premera蓝十字披露，1100万客户的医疗和财务数据泄露;

5月，全球知名成人约会网站AdultFriendFinder390万用户信息泄露，包括电子邮件、IP、甚至是性偏好信息;

5月，手机监听软件制造商mSpy约40万用户信息泄露，包括电子邮件、短信、照片、付款记录和跟踪数据;

5月，美国国税局超过10万名纳税人的财务信息泄露;

7月，FireKeepersCasino酒店披露8.5万信息卡和借记卡信息在2014年泄露，包括银行卡号、姓名、验证码和卡终止日期等信息。;

8月，在线票务销售平台大麦网600余万用户账户密码泄露并在黑产论坛公开售卖;

8月，英国电信运营商CarphoneWarehouse约240万在线用户个人信息泄露，其中包括姓名、地址、出生日期和加密的信用卡数据;

10月，音乐众筹网站Patreon超过16GB的文档资料泄露，包括230万个用户的电子邮件地址;

10月，美股券商Scottrade，460万客户的姓名及地址信息泄露;

10月，美国网络券商史考特超过460万客户的联系人信息被攻击者获取，泄露的信息为客户姓名与地址;

11月，喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件，包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露，泄露数量尚未公布;

值得注意的是，与2014年相比，国内信息泄露事件的曝光度有上升的趋势。