“杀熟”的数据从哪里来?这些用户数据泄露案例说不定你都听过

Winnie Lee

3434

大数据“杀熟”的背后,离不开商家用大数据技术对你的精准画像和分析,更离不开海量的数据。

数据的经济附加价值产生了数据泄露和被窃取的风险。在这个没有隐私的时代,定位、订单甚至浏览偏好都能被以数据形式收集,可以说掌握了数据就是掌握了主动权和控制权。

在你接到各类推销电话、被各种精准推送广告吸引目光的时候,是否想过你的数据是怎么到他们手上的?固然这其中有些是你在注册、使用时主动提供给各在线平台、软件的,但另外一些数据来源却可能不那么光明正大。

2016年360搜索发布的“十大闹心事件排行榜”中,“个人信息泄露”就入围了候选榜单,足见在互联网时代对个人数据安全的担忧已经不是杞人忧天。

但相对于用户的关注,许多企业就没有那么认真了——去年霸占了大半年新闻头条的Facebook剑桥分析数据泄露丑闻涉及近1亿Facebook用户数据,被指干预2016年美国大选,让社交媒体上兴起了注销Facebook账号的运动。后来有媒体爆料,Facebook高管早已知道此事,却刻意掩盖两家公司的关系。

此后欧盟很快实施了《一般数据保护条例》(简称“GDPR”),这被称为“史上最严数据保护法案”,条例一出,谷歌、推特、微软、苹果等科技巨头几乎无一幸免。

有人认为GDPR条例或许对企业要求太过严格,但实际上,数据泄露事件发生得比一般人想象得还要频繁——在酒店预订、航空售票、汽车销售、社交平台等拥有大量用户数据的领域都时有发生。

Facebook

2018年3月17日,美国纽约时报率先曝光了剑桥分析(Cambridge Analytica)未经用户许可,擅自使用Facebook用户个人信息的行为。此后,Facebook公开承认剑桥分析公司不正当使用了8700万未经授权的用户私人信息,对这些用户进行大数据分析,分析他们的喜好、偏向、政治倾向,然后通过facebook的广告系统精准投放他们喜好的新闻和广告。

剑桥分析公司的母公司“SCL 选举公司”被处以 1.5 万英镑(约合 1.9 万美元)的罚款,5月剑桥分析及其母公司 SCL Election宣布公司已在英国启动破产程序,在美国的破产程序也将很快启动,但拒不承认公司违反了法律,指责媒体报道“耸人听闻”,导致公司失去客户。

Facebook创始人扎克伯格为此公开道歉,并亲赴美国及欧洲议会出席听证会。他承认Facebook未能保护其用户,但他指出,Facebook已采取必要措施防止未来的数据滥用。

扎克伯格表示,他将采取多种措施来防止其他人滥用Facebook用户的数据。Facebook将进一步限制开发者的数据访问,防止重蹈覆辙,并且会在新闻Feed上面加入工具,显示他们使用的应用程序并撤销访问相关数据权限。

该公司将禁止任何不同意彻底审核的开发者。“在获取用户帖子或其他私人数据时,我们会要求开发者在获得批准后还要签署协议。 “

2018年9月,Facebook又爆出,由于安全系统的漏洞导致该公司网站受到黑客攻击,可能导致近5000万用户信息的泄露,后将受影响用户数量降至3000万。Facebook表示,在这3000万用户中,有1400万人用户的敏感信息被黑客获取。这些信息包括姓名、联系信息以及搜索记录、登陆位置等敏感信息。

12月,Facebook公司宣布,由于一个软件漏洞,可能导致6800万用户的私人照片遭泄露。

2019年4月,网络安全公司UpGuard的研究人员发现,数亿条Facebook用户信息被公开发布在亚马逊的云计算服务器 AWS 上。

雅虎

2016年12月14日,雅虎宣布该公司有10亿多用户帐号于2013年被黑客窃取。此次被盗的资料中可能包括姓名、联系方式、密码以及安全问答等内容,事件导致该股跌幅超过6%。雅虎还披露该公司在2014年因为类似的攻击泄露了5亿帐号资料。这成为有史以来最大规模的网络帐号被盗事件。

据路透社报道,由于遭遇史上最大数据泄密事件,雅虎接受了一项修改后的1.175亿美元和解协议,与本案的数百万受害者达成和解。这起案件在2013至2016年间导致大约30亿帐号受到影响,而雅虎则被控在披露此事的过程中反应过慢。

丰田

2019年丰田再次发生数据泄露事件,日本主办事处8家丰田、雷克萨斯销售公司超310万客户资料被泄露,财务数据不受影响。据悉,3月21日包含310万客户数据的服务器上检测到了未经授权的访问,3月19日在泰国和越南的子公司也发现了未经授权的访问。丰田指出,没有证据表明黑客窃取了数据。

希尔顿国际酒店

2015年2月10日,计算机服务供应商告知希尔顿酒店在他们的系统里面有可疑的流量。调查显示,用于盗窃支付卡数据的恶意软件,于11月18日和12月5日之间在公司系统里面被激活。

2015年7月发现第二次入侵,攻击者利用恶意软件在2015年4月21日和7月27日之间收集了超过36.3万的支付卡卡号。调查人员发现,一个文件夹内的数据已经准备好外泄。

但是,希尔顿只告知了消费者第一次入侵后9个月(2015年11月)的那次数据泄露。希尔顿解释说没有证据证明攻击者确实盗取了支付卡数据,由于黑客们已经处理了他们的登陆痕迹,所以调查人员无法看到所有的日志。

在2014和2015年度,美国连锁酒店希尔顿就支付卡违规问题与纽约州和佛蒙特州达成和解。希尔顿同意支付70万美元,40万给纽约州,30万给佛蒙特州,并且承诺在提高数据安全和入侵披露实践方面加快脚步。

作为和解方案的一部分,希尔顿酒店还承诺,在未来,一旦发生安全事件将会尽快通知用户,并且创建和维护一个全面的数据安全项目,还要对PCI DSS协议的实施情况做出一个年度评估报告。

韩亚航空

2016年,韩亚航空公司(Asiana Airlines)公开承认有部分乘客数据被攻击破坏,目前正在调查数据泄露事件的发生原因。据外媒报道,此数据泄露案有数万份航亚乘客文件被公布至网络,包括护照扫描件,家庭住址,银行账户细节,乘客家庭成员记录等。

国泰航空

2018年10月,香港航空国泰航空公司报道了一起安全漏洞,涉及940万名顾客,泄露了姓名、国籍、出生日期和护照号码等数据,其中包括86万护照号码和24.5万香港身份证号码。

英国航空

2018年8月21日至9月5日期间,英国航空网站因为技术问题出现了数据泄露情况,影响了乘客进行机票预订,大约有38000次支付受到影响。该公司首席执行官表示将采取措施确保此类事件再也不会发生,目前已展开调查并报警。

新加坡航空

2019年1月4日,新加坡航空公司网站在系统升级时,一个“软件bug”浮出水面:部分KrisFlyer(新航飞行常旅客计划)会员能够查看属于其它旅行者的信息。

事件发生后,新加坡航空立即向新加坡个人数据保护委员会报告了这一事件。该航空公司表示,他们也会通知受到此次泄露事件影响的每一位客户。

Deep Root Analytics

2017年,UpGuard网络风险分析师Chris Vickery发现,Deep Root Analytics公司超过1.1TB的隐私资料存储在亚马逊云服务器上,而且毫无保护密码,任何人都能访问。数据泄露了近2亿登记选民的个人信息,约占美国人口的61%,因此该事件被认为是“美国历史上规模最大的选民信息泄露事件”。

Deep Root Analytics是一家网络数据供应商,受雇于共和党用来分析其政治广告的受众群体。此次泄露的数据并非全部来自Deep Root,其中还有大量其他公司(TargetPoint Consulting和Data Trust)以及共和党超级政治行动委员会的绝密资料。

美国邮政服务

2014年11月,美国邮政服务(USPS)的网络系统曾遭受了一次入侵攻击,此次攻击不仅导致了其内部VPN服务和网络通信发生故障,而且还泄漏了该机构八十多万名员工的个人数据。

攻击者成功入侵该机构的网络系统之后,获取到了包含有目前所有在岗员工以及2012年5月之后从USPS退休的员工资料,泄漏数据包括员工姓名、社保号码以及大量其他的个人数据,还曝光了大约290万名在2014年1月至8月间拨打过USPS呼叫中心服务电话的USPS客户姓名和电话号码。

虽然USPS在事件发生之后也发布了相关的事件公告,不过公告并没有指明引起此次数据泄漏事件的原因。不过USPS表示,他们的VPN服务中存在安全漏洞,而且调查人员也已经发现了攻击者所使用的攻击方法以及IP地址。

Myspace

2016年5月份,时代周刊报道称,超过3.6亿Myspace用户账号以及4.27亿密码被窃取,信息包括了用户名、密码和邮箱地址——这是Myspace遭遇最严重的一次泄露。

尽管Myspace从2008年就已经开始不再流行,不过攻击者还是可以通过撞库的方式,对其注册用户产生危害。

自那天开始,MySpace重新发布了强度更高的账户安全措施。

Tumblr

2016年5月,位于美国纽约的轻博客网站Tumblr被证实卷入一起数据泄露事件,涉及的邮箱账号和密码达65,469,298个。之后有匿名用户通过Tor在暗网市场TheRealDeal上出售。Tumblr称,泄露数据中包含的密码并不是明文,但并没有透露他们用于加密的算法。

LinkedIn

2016年5月19日,美国职业社交网站LinkedIn宣布,有一名叫“peace”的黑客组织在黑市上以5比特币(约合2200美元)的售价公开销售1.67亿个LinkedIn用户登录信息。据了解,这些数据来自于2012年LinkedIn发生的一次大范围的数据泄露事件,其中有1.17亿既包括电子邮件,也包括密码。当时公司方面曾花费100万美元展开调查,但未真正意识到问题的严重性,才在几年之后造成如此恶劣影响。

事后,LinkedIn已经给用户发送了电子邮件要求更改密码,并对从2012年起就从未修改密码的用户要求强制修改密码。

时代华纳

2016年1月,美国最大的有线电视公司时代华纳公开表示,公司旗下近32万用户的邮件和密码信息已被网络黑客窃取。据了解,这些邮件和密码信息很有可能是通过网络钓鱼的方式获得,同时也可能是保存了时代华纳用户数据的第三方合作商信息泄露所致。

事后,时代华纳已向客户发出通知,敦促客户更改电邮密码,另一方面,美国FBI也介入了此次调查。

iMesh

2016年6月点对点服务软件iMesh的5100万账户被感染,据说此次事件可以追溯到2013年9月,之后也发现数据被在暗网销售。

阿里巴巴

2016年2月份,路透社报道称淘宝遭遇黑客攻击——黑客企图访问淘宝2000万活跃账户。彭博社报道阿里巴巴的股票应声下跌3.7%。阿里巴巴发言人表示,公司已经检测到了“首例”攻击,并提醒用户修改密码,而且正在配合警方调查。

当时公安部一家网站报道,有黑客获取了多家网站9900万用户名和密码。随后这些黑客利用阿里巴巴的云计算平台,发现在这9900万用户名中,约2059万也是淘宝账户。攻击者在前年10月中旬将这些信息投入到淘宝中去,11月份被发现——阿里巴巴随后很快上报给了警方,黑客被抓获。

阿里巴巴随即封锁了大批量的登录请求。这些黑客利用获取到的账户在淘宝上下单,专门用来提升淘宝卖家的信用。此外还通过出售这些账户,作欺诈之用。

当时阿里巴巴方面没有就黑客如何利用云计算服务发起攻击做出任何评论,只是表示阿里巴巴系统从未被攻破。

VerticalScope

2016年2月,VerticalScope平台被黑,感染账户4500万,入侵者窃取了平台用户的聊天记录。超过1000家网站的4500万条密码被泄。

Under Armour

2018年3月30日,美国运动品牌Under Armour对外表示,旗下健身应用MyFitnessPal因存在数据漏洞而遭到黑客攻击,一共有1.5亿用户的数据被泄露,这些数据中包含了用户名、电子邮件地址和密码等,不过官方强调,泄密数据并不包含驾驶证号、信用卡号、身份信息等更私密信息。Under Armour官方表示,立刻要求MyFitnessPal用户更改密码。

MyHeritage

MyHeritage用户信息泄露后果可能很严重。这是一个家庭基因和DNA检测的网站,用户信息中存储不但有私人信息,甚至还有个人的DNA测试结果。2018年6月初,MyHeritage给出公告称,网站服务器被攻击,攻击者从中截取了超过9200万用户信息,其中包含了电子邮件和hash密码,官方则强调不包含支付卡的信息或DNA测试结果。

不过MyHeritag表示,用户帐户是安全的,因为密码是使用每个用户唯一的加密密钥进行hash处理的,为了彻底解决这种攻击,最终网站启用了双因子身份验证(2FA)功能,即使黑客设法解密hash密码,如果没有第二步验证码,第一步的破解也将毫无用处。

AcFun

2018年6月13日凌晨,AcFun弹幕视频网(简称“A站”)突然发出公告称,他们有800-1000万左右的用户数据被黑客窃取,随后A站在公告中强调,2017年7月7日之后从未登陆过的用户以及密码强度低的用户需要立刻更改密码。

黑客攻击A站后窃取的用户信息,很快就放在了暗网售卖,并喊出900万条用户数据,售价40万人民币。如果购买者对信息真实性质疑,那么可以随机抽取测试。

其实早在2018年3月,暗网论坛中就有人公开出售AcFun的一手用户数据,数量高达800万条,而价格仅为12000元,平均1元能买到800条。

收购A站的快手第一时间表示,在技术和资金上全力支持A站提升安全能力,务必保证用户的数据安全,避免类似事件发生。随后A站升级了系统安全等级,对AcFun服务器做了全面系统加固,实现技术架构和安全体系的升级,以确保以后不会出现如此严重的泄露事件。

前程无忧

2018年6月16日,有人在暗网开始叫卖招聘网站前程无忧(51job.com)用户信息,其中涉及195万用户求职简历,随后前程无忧方面确认部分用户账户密码被撞库。

为了证实泄露数据的真实性,前程无忧方面还进行了一定的测试,结果发现信息是真实可靠的,不过官方强调,数据中绝大部分来自于一些邮箱泄露的账户密码,且都是在2013年之前注册。对此前程无忧强调,出现这样的情况并非拖库,而是恶意用户通过这些已泄露的邮箱账户及密码,对相应的站点进行登录匹配,然后蓄意倒卖。

最后,前程无忧不愿意公开具体涉及的是哪家邮箱服务商,只是表示让2013年注册的用户及时修改自己的帐号密码,同时他们也表示已经升级数据库的安全等级,防止类似的情况再发生。

圆通快递

2018年6月19日,一位ID为“f666666”的用户公然在暗网上兜售圆通10亿条快递数据,这引发了外界的广泛关注,按照卖家的说法,这些数据是2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,都是圆通内部人士批量出售。

随后,有网友验证了其中一部分数据,发现所购“单号”中,姓名、电话、住址等信息均属实。对此,圆通官方称正在展开调查,但并没有承认这些数据是不是从内部流出,只是表示,公司的技术部门通过多种技术手段预防信息外流,提高安全系数。

华住酒店

2018年8月28日,网上突然出现了华住旗下多个连锁酒店入住信息数据售卖的行为,数据涉及5亿条的用户个人信息及入住记录,而这些泄密的数据中包含不少私密信息,比如身份证号、家庭住址、银行卡号等等。

随后,华住官方证实了这个旗下酒店用户入住信息数据被贩卖的行为,并希望售卖者立即停止这种行为,同时他们内部针对旗下国内超过370座城市的3700多家酒店展开核查。

经过排查泄露的用户数据多达2.4亿条(66.2G),这是酒店入住的记录,还有约1.3亿条入住登记身份信息(共22.3G)和约1.23亿条官网注册资料(共53G)。

华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。

顺丰

2018年8月底又是在暗网上,一个ID为“bijiaodiao1688”的用户在公然售卖顺丰快递数据,其中牵扯到了3亿用户数据信息,售价是2个比特币,而这些信息中包含了寄件人、收件人的姓名、地址、电话等,为了证明数据的准确性,购买者可以选择先“验货”,验货数据量10万条,验货费用0.01个比特币。从当时的交易情况来看,至少有超过90万条的疑似顺丰快递用户个人信息流向了市场。

顺丰方面在官方微博发布回应称,该公司已第一时间报警,经技术手段交叉验证,暗网所售数据非顺丰数据。其次暗网所售数据均不涉及快件单号、托寄物、收发件时间等物流特征信息,其来源不明,冠以顺丰名义目的可疑。由于暗网匿名性很强,已成为网络黑市和犯罪收益的温床,存在极大隐患和风险,大家务必注意防范鉴别。

万豪酒店

2018年11月30日,万豪对外发出公告称,旗下喜达屋酒店预订系统2014年起遭网络“黑客”入侵,泄露大约5亿客户的用户信息。消息出来后,纽约大学教授卡普斯表示,万豪在过去4年时间里一直使用错误的安全系统,是出事的主因。

经过复查后得知,万豪泄露的这5亿用户信息中,用户的姓名、住址、电话号码、电子邮件地址、护照号码、信用卡等所有核心信息统统被泄露。随后,美国5个州的总检察长和英国信息专员对外表示,将彻底调查这件事,并让万豪付出相应的惩罚。

有美国诉讼集团代表众多消费者向万豪提起诉讼,索赔金额高达125亿美元(仅相当于5亿潜在被盗用户中每人得到25美元的赔偿)。

万豪国际集团(Marriott International)首席执行官索伦森(Arne Sorenson)就此事向美国参议院委员会道歉,并誓言要防范未来的类似攻击。

索伦森表示,自2014年7月以来,有证据表明喜达屋网络上存在未经授权的入侵者,但“我们的调查人员在2018年11月中旬之前没有发现任何证据表明攻击者曾访问过宾客数据”。

万豪最初表示,有多达5亿名客人牵涉其中,但在今年1月将其估计数字修正至3.83亿。

大麦网

2014年上半年,中国部分大型网站陆续出现数据库被黑客攻击的情况,大麦网在该事件中也受到牵连。

大麦网表示,2014年事件发生后,大麦网已经引导大部分用户修改密码,2014年6月后注册用户不会受到牵连。经历2014年事件后,大麦网技术团队全力加强信息的安全管控,包括上线安全中心、手机验证码登陆、安全扫描监控、外部安全渗透检查等加固,并获得公安网监部门组织的信息系统安全等级认证。

菜鸟驿站

2018年,杭州公安破获一个非法获取公民信息团伙,该团伙对“菜鸟驿站”APP进行破解后植入控件程序。通过相关省份“菜鸟驿站”服务商进行推广安装后,直接通过数据回传获得数据。截至破案,遭非法窃取的“菜鸟驿站”快递数据超过1000万条。

破案后,经警方通报,菜鸟网络已对上述漏洞进行了封堵。

可行性研究报告

广告、内容合作请点这里:寻求合作

咨询·服务

相关阅读

精彩推荐