近十年數(shù)據(jù)泄露事件大觀近來,國內外大規(guī)模數(shù)據(jù)泄露事件密集發(fā)生。
11月30日,萬豪發(fā)公告稱旗下酒店喜達屋5億房客信息被泄露����;12月3日�����,社交平臺陌陌3000萬用戶數(shù)據(jù)在暗網被銷售���;12月4日����,問答網站鼻祖Quora遭惡意攻擊,1億用戶數(shù)據(jù)被竊�;12月10日����,谷歌因可能出現(xiàn)的數(shù)據(jù)泄露問題關閉旗下產品����。
大數(shù)據(jù)時代,數(shù)據(jù)不僅是企業(yè)的核心財產��,也事關用戶最關心的隱私安全��。
然而�,數(shù)據(jù)泄露事件卻屢屢發(fā)生����。
本文梳理了近十年來有關企業(yè)數(shù)據(jù)泄露的報道后發(fā)現(xiàn),企業(yè)數(shù)據(jù)泄露事件不僅發(fā)生頻率未減�,被泄露的數(shù)據(jù)規(guī)模還在不斷擴大����。
數(shù)據(jù)泄露:中招的不僅僅是互聯(lián)網公司數(shù)據(jù)泄露是指“受保護或機密數(shù)據(jù)可能被未經授權的人查看�、偷竊或使用”。
互聯(lián)網公司則是數(shù)據(jù)泄露事件的多發(fā)領域���,包括阿里、騰訊在內的知名互聯(lián)網公司都被爆出過數(shù)據(jù)泄露的負面消息��。
不過����,不少公司并不承認用戶數(shù)據(jù)發(fā)生了泄露�。
在2013年支付寶數(shù)據(jù)泄露事件中,支付寶稱泄露非通過其網站,而且泄露的只是賬號名���,不構成安全威脅。
而發(fā)生在2015年的數(shù)億網易163、126郵箱賬號泄露事件中,網易的回應也和支付寶類似——賬號密碼泄露源于第三方網站����,不存在自身用戶數(shù)據(jù)庫被泄露的問題���。
大部分數(shù)據(jù)泄露是由黑客攻擊導致�。
根據(jù)IBM公司(國際商業(yè)機器公司)發(fā)布的研究報告(《2018 Cost of a Data Breach Study:Global Overview》)顯示��,數(shù)據(jù)泄露的主要原因是惡意和犯罪攻擊(48%)��。
除了攻擊漏洞、使用病毒外,黑客會利用人們在不同平臺賬戶使用同一賬號和密碼的習慣,通過“撞庫”(通過已泄露的賬戶和密碼去登錄其他網站)的手段來侵入更多網站。
而很多掌握大量用戶數(shù)據(jù)的企業(yè)從未建立有效的安全管理系統(tǒng)��,這讓泄露事件難以被阻止�。
2011年年底,中國互聯(lián)網爆發(fā)了史上規(guī)模最大的數(shù)據(jù)泄密事件,包括天涯社區(qū)、百合網���、人人網在內的多家網站被指用戶數(shù)據(jù)疑遭泄露����。
讓人大跌眼鏡的是�����,最早被爆出數(shù)據(jù)泄露的CSDN論壇��,被發(fā)現(xiàn)使用明文存儲密碼,這樣一個以程序員為主要用戶的大型社區(qū)����,卻沒有使用任何加密保護。
“互聯(lián)網+”時代,企業(yè)的數(shù)據(jù)安全挑戰(zhàn)會越來越嚴峻���。
越來越多的行業(yè)也要建立應對數(shù)據(jù)泄露的機制。
由于越來越多的設備、平臺相互聯(lián)通��,以及云計算���、物聯(lián)網的不斷融合����,數(shù)據(jù)泄露的高風險將不再僅限于互聯(lián)網行業(yè)。
2017年10月���,一家醫(yī)療設備公司存放在亞馬遜云存儲庫的47GB醫(yī)療數(shù)據(jù)遭破解,15萬患者的姓名��、地址���、醫(yī)生和病例紀錄等隱私信息被泄露��。
面對數(shù)據(jù)泄露���,多數(shù)企業(yè)反應遲鈍用戶數(shù)據(jù)的重要性對企業(yè)而言不言而喻�����,然而,大部分公司并沒有應對經驗和有效的反應機制,甚至都不能快速察覺數(shù)據(jù)遭遇泄露�����。
在IBM公司發(fā)布的報告中����,企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露的平均時間是197天�����,而控制住由此產生的后果還額外需要平均69天���。
發(fā)現(xiàn)和控制的時間越久�,由此產生的損失也越高�。
國際知名酒店集團萬豪國際在今年11月底告知外界旗下喜達屋酒店預訂數(shù)據(jù)庫被外人訪問。
令人震驚的是���,數(shù)據(jù)庫早在2014年起就遭黑客入侵,但直到2018年9月�����,萬豪才收到內部安全工具的警報����。
這意味著2018年9月及之前,喜達屋酒店預訂數(shù)據(jù)庫中的賓客信息都一直在泄露��。
“遲鈍”的不止萬豪一家�����,事實上�,連許多高科技公司都遲遲沒有發(fā)現(xiàn)自己的用戶數(shù)據(jù)遭遇泄露。
雅虎曾在2013年�、2014年多次遭遇黑客攻擊����,被竊取了大量用戶信息���,察覺時已是三年后���。
2016年9月�����,雅虎調查后發(fā)現(xiàn)約有5億賬號數(shù)據(jù)在2014年時被泄露。
到了同年12月��,雅虎才發(fā)現(xiàn)2013年的攻擊導致自己10億用戶數(shù)據(jù)被破解�。
直到2017年10月,雅虎發(fā)現(xiàn)自己當年所有的用戶數(shù)據(jù)都已泄露�,30億用戶賬號無一幸免���。
企業(yè)數(shù)據(jù)泄露的損失有多少��?數(shù)據(jù)泄露帶給企業(yè)和用戶的損失不容小覷。
IBM的研究報告調查了全球477家公司過去一年2200多起數(shù)據(jù)泄露事件�����,發(fā)現(xiàn)大型數(shù)據(jù)泄露的代價十分高昂�。
平均來看,泄露百萬條記錄會導致?lián)p失2.8億人民幣�,而泄露5000萬條記錄的損失高達24.1億人民幣����。
而不同行業(yè)的數(shù)據(jù)泄露成本也不同�����。
在監(jiān)管較嚴的行業(yè)�,如醫(yī)療保健和金融行業(yè)����,數(shù)據(jù)泄露的成本非常的高��,而物流���、酒店行業(yè)的數(shù)據(jù)泄露成本就要低很多�����。
雖然中國公司并未被列入調查范圍,但這一結論依然可以參考。
對公司而言�����,數(shù)據(jù)泄露的損失主要由檢測與升級��、通知各方�、賠償與罰款以及用戶流失這四個方面構成��。
在監(jiān)管較嚴格的地區(qū)�,數(shù)據(jù)泄密的罰款非常大�����,由此帶來的股價下跌也經常發(fā)生�。
今年5月�,旨在保護用戶數(shù)據(jù)的《通用數(shù)據(jù)保護條例》(GDPR)在歐盟生效,企業(yè)如果沒有保護好數(shù)據(jù)而導致數(shù)據(jù)泄露,將會被處以1000萬歐元(約合7825萬人民幣),或全球年營業(yè)額2%的高額罰款�;而主動泄露用戶數(shù)據(jù)的�����,處罰將會翻倍。
值得一提的是,目前在中國,還沒有企業(yè)因數(shù)據(jù)泄露問題而被重罰。
雖然現(xiàn)行有關個人信息保護的法律法規(guī)并不少,重慶大學網絡與大數(shù)據(jù)戰(zhàn)略研究院院長齊愛民曾統(tǒng)計過,有關個人信息的法律有52部�,行政法規(guī)有42部�����,司法解釋或者文件有50部,部門規(guī)章更多�����。
但是眾多法律法規(guī)并沒有形成完整體系�����,企業(yè)違法行為難以認定����,用戶維權也很艱難��。
不過����,縱然沒有高額的罰款���,用戶也會用腳投票��。
雅虎發(fā)生大規(guī)模數(shù)據(jù)泄露后��,有研究顯示多達97%的用戶會對雅虎失去信任。
當一家企業(yè)不能保護他們的用戶數(shù)據(jù)�,用戶的信任將很難回歸����,即便“中國人更加開放����,愿意用隱私交換便捷服務或效率”。
