财新传媒
位置:博客 > 董毅智 > Facebook数据泄露!国内外互联网十大安全事件盘点!

Facebook数据泄露!国内外互联网十大安全事件盘点!

当你使用一个新的网站或者手机上下载了一个新的APP,甚至你买了一部新手机、一台新电脑,你要做的第一件事是什么?注册or登录。现如今,实名制的不断发展,人们对于注册账号过程中填写个人身份信息已经习以为常,但是,一旦这些年信息遭到泄露,将会怎样?2018FACEBOOK信息泄露门再次给我们敲响了警钟!下面,让我们盘点一下国内外互联网安全事件!

 

NO.1 FACEBOOK数据泄密,五千万用户数据遭滥用

 

一、  事件始末 

3月中旬,《纽约时报》等媒体揭露称一家服务特朗普竞选团队的数据分析公司Cambridge Analytica获得了Facebook数千万用户的数据,并进行违规滥用。

3月19日,消息称Facebook已经聘请外部公司对相关数据公司进行调查。

3月22日凌晨,Facebook创始人马克·扎克伯格发表声明,承认平台曾犯下的错误,随后相关国家和机构开启调查。

4月5日,Facebook首席技术官博客文章称,Facebook上约有8700万用户受影响,随后剑桥分析驳斥称受影响用户不超3000万。

4月6日,欧盟声称Facebook确认270万欧洲人的数据被不当共享。

 

根据告密者克里斯托夫·维利的指控,Cambridge Analytica在2016年美国总统大选前获得了5000万名Facebook用户的数据。这些数据最初由亚历山大·科根通过一款名为“this is your digital life”的心理测试应用程序收集。通过这款应用,Cambridge Analytica不仅从接受科根性格测试的用户处收集信息,还获得了他们好友的资料,涉及数千万用户的数据。能参与科根研究的Facebook用户必须拥有约185名好友,因此覆盖的Facebook用户总数达到5000万人。

 

二、事件结果及评价

事发后,Facebook宣布已经聘请了外部专业公司,对数据泄露事件展开调查,并禁止了Cambridge Analytica以及母公司使用Facebook的任何数据。

Facebook还宣布,早在2015年就要求Cambridge Analytica删除上述数据,但该公司对Facebook隐瞒了实情。Facebook接到的其他报告表明,这些被滥用的用户数据并未被销毁。

Facebook聘请的这家外部专业公司在一份声明中表示:“如果这些数据依然存在,则构成了对于Facebook政策的严重违反,也违背了这些机构过去的承诺。”

扎克伯格表示,数据泄露事件还在调查中,Facebook目前已经采取行动禁止科根进入Facebook平台。同时,扎克伯格还表示,将调查科根向多少其他公司出售过数据。扎克伯格表示他已经掌握了一些公司。

关于此事,马云说:“我不对Facebook事件发表评论,但我想说,15年前,Facebook绝不会想到会出现今天这种事情。”

后来他还表示:“我认为,该问题会得到解决,我们不应该因为这些问题而杀死这家公司。最重要的解决方案是:尊重数据,尊重安全,尊重隐私......督促扎克伯格严肃对待Facebook问题,但不应该因Facebook存在问题就抹杀他。”

 

NO.2 WannaCrypt病毒全球大爆发,超10万机构、组织被攻陷

一、事件始末

WannaCrypt(永恒之蓝)勒索蠕虫是从20175月12日开始突然在全球爆发的勒索蠕虫攻击,包括英国医疗系统、快递公司FedEx、俄罗斯内政部、俄罗斯电信公司Megafon、西班牙电信都被攻陷。WannaCrypt(永恒之蓝)勒索蠕虫利用的是泄露的NSA网络军火库中的永恒之蓝攻击程序,这是NSA网络军火民用化的全球第一例。

 

波及范围有多广?从媒体关于此事的报道可见一斑。

据中国工业和信息化部国家互联网应急中心公布的数据显示,从5月13日9:30到5月14日10:30分的监测期间,监测发现全球约242.3万个IP地址遭受勒索软件WannaCrypt蠕虫病毒利用SMB漏洞攻击,发动攻击的IP地址数量近3.5万个,这些IP地址主要位于中国、俄罗斯和阿联酋。另监测发现5471个IP连接WannaCrypt蠕虫病毒的内置域名及IP(可能已感染WannaCrypt蠕虫病毒),IP主要分布在中国广东、浙江、北京和上海等地。

溯爆发根源,与此前泄露的一处Windows系统漏洞有关。在2017年4月,一个名为 ShadowBrokers 的黑客团体,从美国国家安全局(NSA)挖到了一个 针对Windows 系统攻击工具EternalBlue,从入侵方式和软件特性上来看,这次的WannaCryrt病毒很有可能是在EternalBlue的基础上加入了自我复制功能和比特币勒索功能。

 

二、  事件结果及评价

早在2017年3月,微软就针对135、137、138、139、445等网络端口的安全漏洞发布了安全更新。升级补丁涵盖的范围包括了WindowsVista、WindowsServer 2008、Windows 7、Windows 8.1、Windows 10等版本,如果用户设置了系统自动更新,那么在3月份收到 MS17-010 安全更新后就可以自动升级了。

可以说,微软在Windows系统源头上已经做出了较为及时的更新和修补

但是为何仍有大面积的用户中招?

就目前已知的WannaCrypt受感染主机中,有相当一部分还是在使WindowsXP、Windows8等超龄服役的系统,不少用户不了解软件系统是有生命周期一说,认为只要系统不奔溃就可以一直用下去。此次医疗、银行和学校成为了WannaCrypt传播的重灾区,其实与他们平时日常应用习惯和安全意识息息相关。

 

安全和便捷,在很多时候是一对伴生的矛盾体,现在有不少用户为了方便在局域网内分享文件或者共享打印机,长期为网络端口大开方便之门,或者利用破解软件蹭其他用户的WiFi,这也让一些不法之徒和黑客提供了便捷之门。提高互联网安全意识,对每一个用户来说都很有必要。

 

NO.3 印度麦当劳 220W 用户收据遭泄露,系因API未受保护

一、事件始末

McDelivery(麦乐送)是一款麦当劳推出的订餐应用。印度McDelivery应用泄露了220多万麦当劳用户的个人数据。安全公司Fallible的研究员称,此次泄露的用户数据包括:姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。此次用户数据泄露的根源在于McDelivery公开可访问的API端点(用于获取用户详细信息)未受保护。

攻击者可以利用该问题枚举该应用的所有用户,并访问相关数据。

McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成,因此,攻击者可以枚举并检索用户的数据。

Fallible于20172月7日向麦当劳公司报告了该问题。

20172月13日麦当劳一名高级IT经理于证实了该漏洞,并于修复了漏洞。

Fallible的专家指出此次修复并不完整,端点仍在泄露数据。

补丁发布后,麦当劳在Facebook页面发布声明宣布推出升级版本,并提示用户尽管升级应用。

二、  事件结果及评价

此次事件暂未引发严重后果,但是可以想象,用户的姓名电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接这些资料一旦被有心人组合利用,很可能破解用户其他账号,如金融账号,或导致用户安全受到威胁。APP和网站过度获取用户信息和获取不必要授权需要引起我们的重视。

 

NO.4 加拿大贝尔遇黑客勒索,勒索不成用户数据遭泄露

一、  事件始末

20175月,Bell Canada称一名匿名黑客获取了部分用户的姓名、电话号码和电子邮件地址。这家电信巨头表示,被非法访问的信息包括约190万个使用中的电子邮件地址和约1700名客户的名字和使用中的电话号码。

Bell Canada (加拿大贝尔), 总部位于蒙特利尔,是一家电信和媒体公司,也是加拿大曼尼托巴省主要的通话运营商。其子公司贝尔移动是加拿大三大供应商(其它两个供应商为Telus、Rogers) 之一。加拿大贝尔成立于1880年,该公司的名称是为了纪念电话发明人Alexander Graham Bell 而取。

二、  事件结果及评价

事发后,Bell表示,没有任何迹象表明有财务、密码或其他敏感的个人信息被窃取。Bell表示立即采取了措施保护受影响的系统,并一直在与皇家骑警网络犯罪部门密切合作进行调查。

信息泄露事件发生后,Bell 公司表示已开始逐渐联系受影响的用户。并且他们已经开始配合政府和司法部门调查是何原因导致了此次的信息泄漏。在Bell 发给客户的邮件里,他们提到“数据泄露的风险很小“,为避免可疑的电子邮件和通讯,Bell鼓励用户可以经常性的更改密码以及安全问题。

 

此事提醒我们,作为用户,我们不要过度依赖数据公司对我们个人隐私的保护,自身提高防范意识、定期更改密码对保护个人隐私安全有着至关重要的意义!

 

NO.5 战斗民族黑客黑掉60多所高校和政府机构

一、事件始末

据威胁情报公司Recorded Future分析,俄罗斯黑帽黑客Rasputin黑掉了60多所大学和美国政府机构的系统。

2016年12月,Recorded Future公司人员第一次见到了Rasputin,当时他正在出售美国政府机构的登录凭证(美国选举系统的登录凭证)。Rasputin是利用SQL注入漏洞获得系统的访问权限,并且从中窃取了大量的敏感信息。

Recorded Future在2015年就已经注意到Rasputin,并对其进行了默默跟查。之前中东政府机构因一个SQL注入漏洞被黑掉,这事也和Rasputin有关。

Rasputin黑掉的受害者有:10所英国大学、20多所美国大学、大量美国政府机构(包括邮政管理委员会、联邦医疗资源和服务管理局、美国住房及城市发展部、美国国家海洋和大气管理局)。

被黑的英国大学有:

被黑的美国大学有:

 

、事件结果

“Rasputin”利用SQL注入漏洞获得了系统的访问权限,黑掉了60多所大学和美国政府机构的系统,并从中窃取了大量的敏感信息。遭到Rasputin攻击的受害者包括了10所英国大学、20多所美国大学以及大量美国政府机构,例如邮政管理委员会、联邦医疗资源和服务管理局、美国住房及城市发展部、美国国家海洋和大气管理局等。

此事件的处理结果未公开。

 

NO.6 “棱镜门”事件:美国政府窥探着全世界

一、事件始末

2013年6月,美国中情局前职员爱德华·斯诺登爆料“美国棱镜窃听计划”。“棱镜”计划开始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节,其中包括两个秘密监视项目:一、监视、监听民众电话的通话记录;二、监视民众的网络活动。

在斯诺登的爆料里,谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控,这些公司涉嫌向美国国家安全局开放其服务器,使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。虽然这些企业极力否认这一罪名。但到了6月14日,Facebook、微软两公司首次承认,美国政府确曾向它们索要用户数据,并公布了部分资料数据内容,以期尽早摆脱“棱镜门”泥淖。

“棱镜泄密门事件”一时在世界范围内爆炸开来,引起了世界范围的广泛关注。作为事件的主角,美国中央情报局前雇员爱德华·斯诺登不但让美国政府坐立不安,他所透露出的很多信息同样让我国网络信息产业担忧。据斯诺登称,借助棱镜项目,美国国家安全局一直通过路由器等设备监控中国网络和电脑,因此国人在互联网上的隐私,包括我们的政府和高官们的隐私,都在网络上暴露无遗……

二、事件结果

事件引发全球哗然。

德国绿党籍议员菲利普·阿尔布雷希特主持一个旨在全面修订欧盟数据保护法的小组委员会,告诉记者:“我们需要退一步,明确地说:我们不要大规模监视。”

欧盟委员会分管司法的副主席维维亚娜·雷丁11日说,14日举行欧美部长级会谈时,她将向美国司法部长埃里克·霍尔德提及泄密事件,要求美方承诺尊重欧盟成员国公民的基本权利,保护他们的个人信息。

德国内政部长汉斯—彼得·弗里德里希当天说,德方将要求美国政府澄清一系列疑问,包括监视活动的范围、动机,随后“可能”会公之于众。弗里德里希说,美方先前向德方提供“非常不错、非常可靠的情报”,帮助德国阻止恐怖袭击,只是,他不知道那些情报是否包含借助“棱镜”截取的信息。

 

国外的互联网安全事件频频发生,国内的互联网安全也岌岌可危,下面,我们来盘点一下过内互联网事件!

 

NO. 7 央视曝光个人信息泄露网上贩卖新闻

一、  事件始末

2月中旬,央视曝光了一则关于个人信息泄露网上贩卖的新闻,掀起了广大市民对个人隐私被泄露的担忧,感觉到危机重重。据央视记者发现贩卖个人信息的黑市在网络上十分活跃,一些信息贩子甚至公然叫卖,只要提供一个人的手机号码,就能查到他最为私密的个人信息,包括身份户籍、婚姻关联、名下资产、手机通话记录等等,甚至信息贩子声称可以通过三网定位就是移动、联通和电信的手机定位,可以实时定位这些手机用户的位置

 

 

 

一个网名叫“斩魄刀”的人声称可以查到身份户籍、婚姻关联、名下资产、手机通话记录等;一个QQ名为8569966的人留言,只要提供对方的手机号,就可以查到手机通讯录、滴滴打车记录,名下支付宝账号、全国开房记录、淘宝、顺丰送货地址等信息,个人信息在这里被称为数据或轨迹。

很快,记者就被多名信息贩子主动加为好友,随后又被拉进了10多个兜售个人信息的QQ群。

一个网名叫“水中取火”的人,给记者发来了一张可以交易的信息清单,图表里列出的个人信息有28类,几乎包括了一个人的全部个人信息,并且表示价格优惠,甚至可以先验货后付款。

二、  事件结果及评价

此事经央视曝光后,受到警方关注,很多犯罪嫌疑人被抓。但尽管如此,我们仍能在网上找到购买个人信息的渠道。个人隐私泄露,比我们想的要严重的多。

 

从记者暗访中我们得知,不法分子的信息来源除了民航、饿了么、酒店等民间机构,也有些信息可能是从银行、基层警务人员、公检法人员手中流出。在这个时代,我们可能真的毫无隐私可言,没有隐私,只有有没有人想查你的详细信息!

 

NO.8  58同城全国简历遭泄露,淘宝每条仅售3毛

一、事件始末

20173月,有媒体报道称58同城用户简历被泄露,只要打开淘宝,搜索“58同城简历数据”,一位淘宝店主表示, “一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”,而其他店主则表示700块买一套软件可以自己采集58同城的数据,有效期长达一个月。种爬虫软件,用卖家提供的账号登录后就能不断采集应聘者的相关信息,并且将所采集信息按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等格式自动录入到excel表格中。该软件每小时可以采集数千份用户数据。

 

二、事件结果及评价

事后,58同城CEO姚劲波在博鳌论坛上针对“简历数据泄露门”回应称,“这次的情况是你在58上登记了一份简历,这份简历是保密的,但是你同时在58发布了一套房子,这个号码是明文的,黑客就把这两者关联起来,因为在我们网站上登记的简历,企业是可以公开看到的,但是看不到求职者的联系方式,然而通过房源信息,黑客就可以把号码拿出来拼在一起,我们会通过新的技术方法把这种漏洞给补上,让黑客看不到这种关联。”

 此前,58同城给出的回应称,其信息安全部门依据报道内容迅速开展追查,同时采取措施,加固信息安全系统,提升防爬虫技术手段,严格区隔个人信息物理存档,同时也已向警方报案。

 

目前,招聘行业普遍存在信息泄露风险。一位曾在智联工作人士透露“内部对于信息保护并不严格,新来的实习生也可以跟主管要个账号,登录数据库把求职者简历下载到个人电脑上,想下多少都可以,没有限制。”看来,企业对于用户数据保护方面,还存在很大问题,我们呼吁有关部门完善相关法律法规,有力督促企业保护用户隐私安全。

 

NO.9  黑产团伙长期贩卖公民信息,泄露数据达 50 亿条

 

一、事件始末

2017年2月9日晚,绍兴市公安局越城区分局城南派出所接到公民虞玉华报案称,虞当晚收到好友王甜的一条信息,王甜购买一件价值1922元的商品,因手机支付不成功,请虞帮忙代付。虞玉华通过手机为好友支付货款后,对方再次要求付款,她疑心被骗因而报案。结果证明,王甜的账号被盗,有人冒充王甜对其好友实施诈骗。

接到虞玉华报警后,越城警方在哈尔滨抓获这个利用社交软件冒充好友实施代付诈骗的犯罪团伙。团伙成员十余人,均为同学关系。

他们在哈尔滨一个居民小区里租了一套两居室,客厅被改造成工作室,码放8台电脑作为作案工具,吃住、诈骗都在这套出租屋内进行。团伙分工明确,头目郑前负责招募人员、培训和购买作案工具,其他成员登录不同种类的社交软件实施诈骗。

在这个团伙的电脑中,绍兴警方发现大量公民个人信息。“信息最多的一台电脑中有300多GB的个人信息,包括多个邮箱、社交软件的账号和密码,而且都很准确。”越城区公安分局网警大队大队长钱立锋说。

郑前称,这些信息是他以一组2元左右的价格,共花40多万元从吴杰等人手中买来的。而吴杰手中的信息则来自一个黑客犯罪团伙,该团伙利用超级SQL注入工具、网站漏洞扫描软件,批量扫描网站程序漏洞,非法获取网站后台用户注册数据,这被称为“脱库”。

这些数据大多是邮箱账号和密码。获取网站后台数据后,黑客团伙将包含各类邮箱和密码的数据分门别类进行销售,以每10万条数据50元到100元的价格卖给吴杰等人。

 

二、事件结果及评价

在查获巨量个人信息后,越城警方意识到,这一系列案件中的“打码”绝非人工识别完成。随后警方调查发现,该案中,拿到原始数据的数据商,通过一个名为“快啊”的打码平台进一步进行深加工。

工商信息显示,“快啊”平台是沈阳纳信科技有限公司旗下产品,警方在调查中发现,该平台专为网络黑产和灰产识别破解字符型验证码提供技术帮助。

越城警方对“快啊”平台数据分析获知,接入该平台提供验证码识别服务的“撞库”软件有100多款,接入平台的用户达1.1万余人,从2016年6月到2017年3月,平台资金进账累计达1650万元,为国内最大的“打码”平台。

中央网信办网络安全协调局负责人透露,《网安法》的配套法规正在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备、网络安全专用产品目录和个人信息安全规范等。

业内共识,后续立法执法将决定数据地下产业的走向。一位大型互联网公司法务人士,目前的立法大方向兼顾技术商业创新和用户利益,缺点是“不细”。一位仍然游走在灰色地带的人则表示“我们都在等新法后的第一个大案,看看怎么判。”

 

NO.10 中国互联网DNS大劫难

一、事件始末

20151月21日下午3点10分左右,国内通用顶级域的根服务器忽然出现异常,导致众多知名网站出现DNS解析故障,用户无法正常访问。虽然国内访问根服务器很快恢复,但由于DNS缓存问题,部分地区用户“断网”现象仍将持续数个小时,至少有2/3的国内网站受到影响。微博调查显示,“1·21全国DNS大劫难”影响空前。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。

二、事件结果

据事故调查发现,在此期间网民的域名访问请求被跳转到了65.49.2.178这一IP地址,据查证,该地址位于美国北卡罗来纳州卡里镇DynamicInternetTechnology公司。

有网络安全专家称,从目前调查结果看,该事故极可能是黑客攻击行为,但幕后黑手具体是谁仍未可知。虽然该IP地址指向一家美国公司,但不能排除真正的黑客借这一IP地址作为跳板发动攻击的可能。

“这次DNS污染事件影响之广、范围之大在国内尚属首例。”金山安全方面指出,该IP地址曾有过传播送垃圾邮件及其他有政治目的的黑客活动,因此,此次攻击不排除个别黑客操作的可能性。

对此,国家创新与发展战略研究会网络空间战略研究中心主任秦安则认为,这次事件是个别黑客还是组织性行为并不重要,重要的是,人们赖以生存的网络安全存在随时被攻击的威胁,而这次事件可以视为网络大战的预警。

 

结语

根据中国互联网协会公布的《中国网民权益保护调查报告2016》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。据统计,自2015下半年至2016上半年的一年时间里,个人信息泄露造成的总体经济损失达915亿元。

在巨额损失背后是隐藏极深却又庞大的黑色产业链:数据黑产。

数据黑色产业虽然隐藏的非常深,但是发展历史长久,地下产业链也随之成熟,对于如何把数据变成货币,已经有了非常完整的程序的分工协作渠道。

整个产业链模式相对简单:包括盗取数据,清洗数据卖掉变现,也可以利用这些数据信息自用(建立黑数据库、登录网站直接窃取财产、发展下游等)三部分;业内术语:脱库、洗库、撞库。一言以蔽之,数据黑产即黑客黑进数据库然后卖掉,不小心黑大了,发展成从单枪匹马变成了有组织有预谋的行动。

国内知名信息安全团队“雨袭团”发布报告称,在一年半的时间内,高达8.6亿条个人信息数据被明码标价售卖,个人数据基本出裸奔状态。

个人信息安全难以保障,围绕个人信息数据形成的黑色产业链 “悄无声息”地运营着。小到被垃圾短信轰炸,大到影响家国政治,例如希拉里邮件门、朴槿惠邮件门,信息安全已经是我们不可忽视的问题。在此我们在此呼吁,相关部门尽快完善相关法律法规,还公众一个安全的信息环境。

推荐 0