2014国内外数据泄密事件大盘点

Verizon发布了《2014年度数据泄露调查报告》,报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄漏事件。报告数据显示:由于数据库原因产生的信息泄漏高达25%。

赛博一词源于希腊语,意指在掌控或管治方面是很有技能的人、动物和任何东西。美国东西方研究所与莫斯科国立大学情报安全学院成立的联合工作小组在一份报告中指出,赛博是“信息”超集的一个子集,人们可以从这一“信息子集”中获得“利益”和“好处”。

2014年国内外都发生了哪些信息泄漏事件?这些事件的背后的深层技术原因是什么?且听且分析:

春运第一天12306爆用户信息泄露漏洞

2014年铁路春运售票第一天,在经历了早上宕机1小时之后,12306铁路客户服务中心网站再次爆发用户账号串号的问题,大量用户***等信息遭泄露。下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名、***号码、手机号码等信息。下午17时34分,新版12306网站出现用户资料大量泄露的漏洞,并表明危害等级为高。

支付宝前员工贩卖20G用户资料 一条可卖数十元

此则消息引发了用户对于信息安全问题的关注,也令网络信息贩卖产业链浮现。一条价值较高的用户信息甚至可以被卖至数十元。此次支付宝信息泄露中,超过20G的海量用户信息,被支付宝员工在后台下载并有偿出售给电商公司、数据公司。

一二线电商企业本身有完善的用户数据库,需要进行严格的数据监控,防止数据泄露至黑色交易链。此类信息贩卖产业,有的甚至采取公司的运作方式,从互联网上购买个人或单位信息,转卖他人获利;通过网上购买公民户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。

2000万开房信息泄露案开庭

该案件在上海浦东法院第一次开庭审理。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司,并要求赔偿20万元。“开房数据泄露”事件爆发后,隐私权受到严重侵害,还饱受推销广告、短信的骚扰。实名认证的新浪微博账户@股社区 发布了一个名为“查开房”的网址。只需输入姓名或***号,即可查询到包括***号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

小米陷“泄密”门  业内称违法成本低是根源

小米论坛“被脱裤”,可能影响小米移动云等敏感信息,或导致用户资料大量泄漏。随后,乌云平台再度曝出小米的另一漏洞,称“小米科技某安全漏洞影响88W+360W数据”,漏洞或导致用户资料大量泄漏。随后,小米公司官方回应确认,有部分2012年8月前注册的论坛账号信息被非法获取。

软件商“侵”车管所系统“删违”万余条

今年,一位多地公安车管系统软件供应商竟变身“黑客”,勾结“黄牛”,在车管所软件系统植入程序,专门代人删除交通违章记录达1.4万余条。截止到案发,公安机关查明李某共计非法删除14000余条交通违章记录,涉案金额1800余万元。作案者利用为车管所软件系统提供运维技术支持的便利条件,躲避现场监管,将事先编好的删除程序输入,通过修改公安内网服务器的网络配置,避开公安内网报警体系,从互联网远程侵入公安网络系统,非法删除车辆违章记录上万条获利。

国内130万考研用户信息遭泄漏 正被黑产利用

乌云网站报道《国内考研130W报名信息泄漏事件》的漏洞,并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130W考研用户,而且数据已经被多次专卖,经过与卖家了解,数据泄漏了考研用户的姓名、手机、座机、***、住址、邮编、学校、专业等敏感数据,并且表明已经不是第一手数据了。

棱镜门事件再发酵

由人民出版社出版的《美国是如何监视中国的-美国全球监听行动纪录》中披露,中国国内网络安全权威技术部门检测发现,美国思科公司的路由器存在严重的预置式“后门”。受到美国国安局信息监视项目-"棱镜"监控的主要有10类信息:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被政府监控。通过棱镜项目,国安局甚至可以实时监控一个人正在进行的网络搜索内容。

韩2000万信用卡信息泄露 引发“销户潮”

韩国发生史上最大规模的信用卡个人信息泄露事件,KB国民卡、乐天卡及NH农协卡公司的一亿多条用户个人信息被泄露,三家公司社长全部引咎辞职。信用评级公司职员朴某等在受信用卡公司委托开发电脑程序的过程中,非法收集和泄露上述信用卡公司的1.04亿条用户个人信息,除了姓名、电话号码、住所、公司名等,还包含***号码、贷款交易内容、信用卡认可免税书等5391件敏感的信用信息,占全部泄露信息的一半以上。信用信息作为可以了解顾客的消费模式及习惯的信息,很容易被金融欺诈电话或强制贷款所利用。

土耳其黑客入侵本国电力系统,怒删贫困地区巨额债务账单

土耳其黑客组织RedHack宣布:他们入侵了电力管理系统,撤销了Soma地区需要付给电力公司的150万土耳其币的账单(约合65万美元)。除了抹去了巨额的债务记录,RedHack小组似乎意犹未尽,还放出了该电力管理系统数据库的用户名和密码,RedHack也上传了一个关于此次事件的记录视频,即漫游电力管理系统网站及删除债务数据的细节。

安华金和,作为数据库领域的安全专家进行分析,数据泄密大致有几类原因:

大多数企业的安全管理和防护都无法跟上网络犯罪的脚步,入侵只需要数分钟或数小时,而企业发现和识别攻击则需要数周甚至数月。

使用失窃账户密码依然是非法获取信息的最主要途径,三分之二的数据泄露都与漏洞或失窃密码有关,这进一步凸显了两步认证的必要性。

虽然外部攻击远超过内部攻击,但是内部攻击有抬头趋势,尤其是与知识产权有关的内部攻击。

总体来讲,Version报告中指出,内部人员权限滥用导致泄密的占18%,物理盗窃/损失占14%,在数据泄露中,对网页应用程序的攻击导致了35%的数据泄露。

安华金和建议从以下几点措施来实现数据的安全防护:

措施一:保护核心数据安全,建议使用数据库风险评估工具,定期对数据库进行安全风险检查,发现数据库使用中的安全隐患,及时人工进行加固;

措施二:安全管理员要了解本单位数据库中的敏感信息,采取有针对性的安全防御措施,对数据库中的敏感字段进行加密存储,即使整库丢失也不会泄密;

措施三:通过网络上的虚拟补丁技术对数据库漏洞的攻击特征进行识别,及时拦截来自外网的黑客数据库攻击;

措施四:运维人员对数据库中的敏感数据修改,一定要记入审计记录,如果出现非法篡改行为可以通过事后追责定责;

措施五:对从数据库批量导出数据的行为、整表删除、不带条件的更新等恶意行为及时中断数据库操作,防止数据库非法操作行为的发生;

措施六:在应用系统上线前,要对应用和数据库进行安全风险评估测试,及时发现并修复存在的安全隐患,如:SQL注入点、后门程序、缓冲区溢出漏洞等。

时间: 2024-10-10 06:38:24

2014国内外数据泄密事件大盘点的相关文章

挨踢(IT)脱口秀--2014年&2015上半年特别“任性”的网络流行语大盘点

收听方式1(推荐):下载荔枝FM手机客户端并安装,进入应用后搜索"挨踢脱口秀"你可以看到一个坐在马桶赛思考的逗比头像,这样就可订阅我们了 收听方式2:http://www.lizhi.fm/200893/21289271942687238 如果你有好的内容亦或你想来展示自己的观点,都可以加入QQ群:462865559来联系我. 如果你觉得我们的节目还不错,希望能转发分享一下,你的支持是我们最大的动力! ================分割线============== 1. 且行且珍惜

论大数据的十大局限

“忽如一夜春风来,千树万树梨花开”,似乎在一夜之间,大数据就红遍了南北半球,,大数据被神化得无处不在,无所不包,无所不能.这里面有认识上的原因,也有故意忽悠的成份.笔者以为,越是在热得发烫的时候,越是需要有人在旁边吹吹冷风.在这里谈大数据的十大局限性,并非要否定其价值.相反,只有我们充分认识了大数据的特点和优劣势,才能更加有效地对其进行采集.加工.应用,充分挖掘和发挥其价值.         1.数据噪声:与生俱来的不和谐 大数据之所以为大数据,首先是因为其数据体量巨大.然而,在这海量的数据中,

从泄密事件说起

说到"泄密"这个词,估计也不是什么新鲜话题了,因为美国斯诺登早已给全世界上了一课 --"棱镜门事件",不管你清楚此事件也好,不清楚也罢,其实这些并不重要,但我们应清醒的认识到泄密事件离我们并不远,可能正在我们身边默默的发生着. 斯诺登事件引起了政府对信息安全的高度视,2014年2月27日,中央网络安全和信息化领导小组宣告成立,习大大任组长.由此可见,信息安全在未来很长一段时间里将被高度重视,而且将遍及所有行业.信息安全本身包含的范围很大,我只将我专注的同大家分享一下

大数据落地的大挑战,明略数据在老环境中寻找新路径

"大数据"一词进入了十九大报告中,报告提出要"推动互联网.大数据.人工智能和实体经济深度融合".换句话说,就是要把大数据这样的先进技术,落地到实际的行业应用和业务场景中,对实体经济发挥真正的作用,创造实在的价值. 从2015年起,"大数据"一词就被移出了Gartner的新兴技术炒作曲线.然而,据有关统计,截至2017年8月初,我国大数据领域有183家企业获得融资,其中A轮81家.天使轮51家,也就是72%的大数据企业仍处于创业初期,商业模式仍有待

回望2017,基于深度学习的NLP研究大盘点

回望2017,基于深度学习的NLP研究大盘点 雷锋网 百家号01-0110:31 雷锋网 AI 科技评论按:本文是一篇发布于 tryolabs 的文章,作者 Javier Couto 针对 2017 年基于深度学习的自然语言处理研究进行了大盘点.雷锋网 AI 科技评论根据原文进行了编译. 在过去的几年里,深度学习(DL)架构和算法在诸如图像识别和语音处理等领域取得了世人瞩目的进步.然而在最开始的时候,深度学习在自然语言处理(Natural Language Processing, NLP)领域的

大数据的十大来源及其应用价值

当你开车路过一家餐厅的停车场时,你的手机屏幕上弹出了这家餐厅的当日特价菜品推荐,这种体验是不是很棒?如果×××老板把发牌人忘记付给你的20美元亲自送还给你,你的心里是不是有点儿小激动?如果在线视频游戏能够把和我们玩法相近的用户即刻告知我们,这世界会不会变得很美妙?你是不是要下调汽车保险费率?大数据能让这一切变成现实. 网络数据即使不是最原始的大数据源,也是使用最广泛.认可度最高的大数据源.除此之外,还有很多大数据源,它们都有各自的使用价值.其中一些广为人知,而另一些几乎没有名气.我们在此要借用本

公司局域网监控软件维护你的网络使用安全杜绝泄密事件的发生!

计算机网络是一个开放.自由.互连.共享的平台,是现代社会信息存储.传播和使用过程中最重要的载体,它增强了信息流通的灵活性和便利性,同时也给涉 密信息的安全带来了巨大挑战.网络窃密和反窃密的斗争愈演愈烈,据全国人大内务司法委员会的一项调研报告显示,目前计算机网络泄密事件已占泄密总数的 70%以上,并呈逐渐增长趋势.如何更有效地保护涉密信息和防止网络失泄密事件的发生? 网络泄密是指以网络为载体,使不对外公开的信息被非授权主体知悉的行为.网络窃密的手段多种多样,造成网络失泄密事件的原因也各有不同,归结

让工程科技造福人类、创造未来—在2014年国际工程科技大会上的主旨演讲

在2014国际工程科技大会发表主旨演讲 女士们,先生们,朋友们: 在这个美好的时节,国际工程科技大会在北京隆重召开,这是世界工程科技界和中国工程科技界的一件盛事.我很高兴有机会同来自世界各地的工程科技专家学者见面,也很愿意聆听大家对工程科技发展.人类社会未来的高见. 首先,我谨代表中国政府和中国人民,并以我个人的名义,向大会的召开,表示衷心的祝贺!向出席大会的全体代表,表示诚挚的欢迎!向国际工程与技术科学院理事会会议的召开,表示衷心的祝贺! 工程科技与人类生存息息相关.温故而知新.回顾人类文明历

Hadoop! | 大数据百科 | 数据观 | 中国大数据产业观察_大数据门户

你正在使用过时的浏览器,Amaze UI 暂不支持. 请 升级浏览器 以获得更好的体验! 深度好文丨读完此文,就知道Hadoop了! 来源:BiThink 时间:2016-04-12 15:14:39 作者:陈飚 “昔我十年前,与君始相识.” 一瞬间Hadoop也到了要初中择校的年龄了. 十年前还没有Hadoop,几年前国内IT圈里还不知道什么是Hadoop,而现在几乎所有大型企业的IT系统中有已经有了Hadoop的集群在运行了各式各样的任务. 2006年项目成立的一开始,“Hadoop”这个单