Verizon发布了《2014年度数据泄露调查报告》,报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄漏事件。报告数据显示:由于数据库原因产生的信息泄漏高达25%。盘点2014年发生在国内外的数据泄密事件,探寻其背后的深层技术原因。实际上还有许多泄密事件,或正在调查,或无从确认,或无法公开。可以预见,2015年可能出现更为严重的泄露事件。
FreeBuf科普:什么是赛博
赛博一词源于希腊语,意指在掌控或管治方面是很有技能的人、动物和任何东西。美国东西方研究所与莫斯科国立大学情报安全学院成立的联合工作小组在一份报告中指出,赛博是“信息”超集的一个子集,人们可以从这一“信息子集”中获得“利益”和“好处”。
2014信息泄露事件盘点
2014年国内外都发生了哪些信息泄漏事件?这些事件的背后的深层技术原因是什么?且听且分析:
春运第一天12306爆用户信息泄露漏洞
2014年铁路春运售票第一天,在经历了早上宕机1小时之后,12306铁路客户服务中心网站再次爆发用户账号串号的问题,大量用户身份证等信息遭泄露。下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名、身份证号码、手机号码等信息。下午17时34分,新版12306网站出现用户资料大量泄露的漏洞,并表明危害等级为高。
支付宝前员工贩卖20G用户资料 一条可卖数十元
此则消息引发了用户对于信息安全问题的关注,也令网络信息贩卖产业链浮现。一条价值较高的用户信息甚至可以被卖至数十元。此次支付宝信息泄露中,超过20G的海量用户信息,被支付宝员工在后台下载并有偿出售给电商公司、数据公司。
一二线电商企业本身有完善的用户数据库,需要进行严格的数据监控,防止数据泄露至黑色交易链。此类信息贩卖产业,有的甚至采取公司的运作方式,从互联网上购买个人或单位信息,转卖他人获利;通过网上购买公民户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。
2000万开房信息泄露案开庭
该案件在上海浦东法院第一次开庭审理。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司,并要求赔偿20万元。“开房数据泄露”事件爆发后,隐私权受到严重侵害,还饱受推销广告、短信的骚扰。实名认证的新浪微博账户@股社区 发布了一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。
小米陷“泄密”门 业内称违法成本低是根源
小米论坛“被脱裤”,可能影响小米移动云等敏感信息,或导致用户资料大量泄漏。随后,乌云平台再度曝出小米的另一漏洞,称“小米科技某安全漏洞影响88W+360W数据”,漏洞或导致用户资料大量泄漏。随后,小米公司官方回应确认,有部分2012年8月前注册的论坛账号信息被非法获取。
棱镜门事件再发酵
由人民出版社出版的《美国是如何监视中国的-美国全球监听行动纪录》中披露,中国国内网络安全权威技术部门检测发现,美国思科公司的路由器存在严重的预置式“后门”。受到美国国安局信息监视项目-"棱镜"监控的主要有10类信息:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被政府监控。通过棱镜项目,国安局甚至可以实时监控一个人正在进行的网络搜索内容。
软件商“侵”车管所系统“删违”万余条
今年,一位多地公安车管系统软件供应商竟变身“黑客”,勾结“黄牛”,在车管所软件系统植入程序,专门代人删除交通违章记录达1.4万余条。截止到案发,公安机关查明李某共计非法删除14000余条交通违章记录,涉案金额1800余万元。作案者利用为车管所软件系统提供运维技术支持的便利条件,躲避现场监管,将事先编好的删除程序输入,通过修改公安内网服务器的网络配置,避开公安内网报警体系,从互联网远程侵入公安网络系统,非法删除车辆违章记录上万条获利。
国内130万考研用户信息遭泄漏 正被黑产利用
某漏洞平台报道《国内考研130W报名信息泄漏事件》的漏洞,并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130W考研用户,而且数据已经被多次专卖,经过与卖家了解,数据泄漏了考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等敏感数据,并且表明已经不是第一手数据了。
韩2000万信用卡信息泄露 引发“销户潮”
韩国发生史上最大规模的信用卡个人信息泄露事件,KB国民卡、乐天卡及NH农协卡公司的一亿多条用户个人信息被泄露,三家公司社长全部引咎辞职。信用评级公司职员朴某等在受信用卡公司委托开发电脑程序的过程中,非法收集和泄露上述信用卡公司的1.04亿条用户个人信息,除了姓名、电话号码、住所、公司名等,还包含身份证号码、贷款交易内容、信用卡认可免税书等5391件敏感的信用信息,占全部泄露信息的一半以上。信用信息作为可以了解顾客的消费模式及习惯的信息,很容易被金融欺诈电话或强制贷款所利用。
土耳其黑客入侵本国电力系统,怒删贫困地区巨额债务账单
土耳其黑客组织RedHack宣布:他们入侵了电力管理系统,撤销了Soma地区需要付给电力公司的150万土耳其币的账单(约合65万美元)。除了抹去了巨额的债务记录,RedHack小组似乎意犹未尽,还放出了该电力管理系统数据库的用户名和密码,RedHack也上传了一个关于此次事件的记录视频,即漫游电力管理系统网站及删除债务数据的细节。
数据泄密分析
通过2014年Verizon数据泄漏调查报告和全年的数据安全事件,可以发现以下几种数据泄漏原因:
以上事件,不难发现,大多数企业的安全管理和防护都无法跟上网络犯罪的脚步,入侵只需要数分钟或数小时,而企业发现和识别攻击则需要数周甚至数月。
使用失窃账户密码依然是非法获取信息的最主要途径,三分之二的数据泄露都与漏洞或失窃密码有关,这进一步凸显了两步认证的必要性。
虽然外部攻击远超过内部攻击,但是内部攻击有抬头趋势,尤其是与知识产权有关的内部攻击。总体来讲,Version报告发现病毒是第二重要的赛博安全事件,占20%,紧随其后的是内部人员权限滥用(占18%)和物理盗窃/损失(占14%),在数据泄露中,对网页应用程序的攻击导致了35%的数据泄露。内部人员的滥用数据库存储的有价值信息导致数据资产丢失。
安华金和安全研究人员建议从以下几点措施来实现数据的安全防护:
措施一:保护核心数据安全,建议使用数据库风险评估工具,定期对数据库进行安全风险检查,发现数据库使用中的安全隐患,及时人工进行加固;
措施二:安全管理员要了解本单位数据库中的敏感信息,采取有针对性的安全防御措施,对数据库中的敏感字段进行加密存储,即使整库丢失也不会泄密;
措施三:通过网络上的虚拟补丁技术对数据库漏洞的攻击特征进行识别,及时拦截来自外网的黑客数据库攻击;
措施四:运维人员对数据库中的敏感数据修改,一定要记入审计记录,如果出现非法篡改行为可以通过事后追责定责;
措施五:对从数据库批量导出数据的行为、整表删除、不带条件的更新等恶意行为及时中断数据库操作,防止数据库非法操作行为的发生;
措施六:在应用系统上线前,要对应用和数据库进行安全风险评估测试,及时发现并修复存在的安全隐患,如:SQL注入点、后门程序、缓冲区溢出漏洞等。
数据分析咨询请扫描二维码
数据分析需要学习的内容非常广泛,涵盖了从理论知识到实际技能的多个方面。以下是数据分析所需学习的主要内容: 数学和统计学 ...
2024-11-24数据分析师需要具备一系列多方面的技能和能力,以应对复杂的数据分析任务和业务需求。以下是数据分析师所需的主要能力: 统计 ...
2024-11-24数据分析师需要学习的课程内容非常广泛,涵盖了从基础理论到实际应用的多个方面。以下是根据我搜索到的资料整理出的数据分析师需 ...
2024-11-24《Python数据分析极简入门》 第2节 6 Pandas合并连接 在pandas中,有多种方法可以合并和拼接数据。常见的方法包括append()、conc ...
2024-11-24《Python数据分析极简入门》 第2节 5 Pandas数学计算 importpandasaspdd=np.array([[81,&n ...
2024-11-23数据分析涉及多个方面的学习,包括理论知识和实践技能。以下是数据分析需要学习的主要方面: 基础知识: 数据分析的基本概念 ...
2024-11-22数据分析适合在多个单位工作,包括但不限于以下领域: 金融行业:金融行业对数据分析人才的需求非常大,数据分析师可以从事经 ...
2024-11-22数据分析是一种涉及从大量数据中提取有用信息和洞察力的过程。其工作内容主要包括以下几个方面: 数据收集与整理:数据分析师 ...
2024-11-22数据分析师需要掌握多种技能,以确保能够有效地处理和分析数据,并为业务决策提供支持。以下是数据分析师需要掌握的主要技能: ...
2024-11-22数据开发和数据分析是两个密切相关但又有所区别的领域。以下是它们的主要区别: 定义和目标: 数据开发:数据开发涉及数据的 ...
2024-11-22数据架构师是负责设计和管理企业数据架构的关键角色,其职责涵盖了多个方面,包括数据治理、数据模型设计、数据仓库构建、数据安 ...
2024-11-22数据分析师需要具备一系列技能,以确保能够有效地处理、分析和解释数据,从而支持决策制定。以下是数据分析师所需的关键技能: ...
2024-11-22数据分析师需要具备一系列技能,以确保能够有效地处理、分析和解释数据,从而支持决策制定。以下是数据分析师所需的关键技能: ...
2024-11-22数据分析师需要具备一系列的技能和能力,以确保能够有效地处理、分析和解释数据,从而支持业务决策。以下是数据分析师所需的主要 ...
2024-11-22需求持续增长 - 未来数据分析师需求将持续上升,企业对数据驱动决策的依赖加深。 - 预测到2025年,中国将需要高达220万的数据人 ...
2024-11-22《Python数据分析极简入门》 第2节 4 Pandas条件查询 在pandas中,可以使用条件筛选来选择满足特定条件的数据 importpanda ...
2024-11-22数据分析师的工作内容涉及多个方面,主要包括数据的收集、整理、分析和可视化,以支持商业决策和问题解决。以下是数据分析师的一 ...
2024-11-21数据分析师必须掌握的技能可以从多个方面进行归纳和总结。以下是数据分析师需要具备的主要技能: 统计学基础:数据分析师需要 ...
2024-11-21数据分析入门的难易程度因人而异,总体来看,入门并不算特别困难,但需要一定的学习和实践积累。 入门难度:数据分析入门相对 ...
2024-11-21数据分析是一项通过收集、整理和解释数据来发现有用信息的过程,它在现代社会中具有广泛的应用和重要性。数据分析能够帮助人们更 ...
2024-11-21