2019年國內外資料洩露事件盤點——個人資訊保護刻不容緩

隨著以人工智慧、大資料和物聯網為代表的資訊科技革命的推進，資料的價值進一步凸顯，資料成為了企業的重要資產和持續創新的推動力。因此，保障資料在採集、傳輸、利用和共享等各個環節安全的重要性不言而喻。

然而，從資料洩露事件來看，當前資料面臨的安全狀況仍然不容樂觀。回顧2019即將過去的一年，大規模的資料洩露事件頻頻發生，呈現爆發遞增的趨勢。據安全情報供應商Risk Based Security (RBS) 的2019年Q3季度的報告，2019年1月1日至2019年9月30日，全球披露的資料洩露事件有5183起，洩露的資料量達到了79.95億條記錄！ 為了展示趨勢，RBS列舉前7年資料洩露情況 （如圖1所示）。從資料洩露事件數量來看，整體呈現出遞增趨勢，其中2019年洩露事件（5183）比2018年（3886）上漲33.3%。資料洩露涉及的記錄數量，可以看出2017年至2019年三年均在一個高點，其中2019年與2017年洩露數量接近，而2019年洩露記錄數量（37.66億）比2018年（79.95億）上漲112%。

圖1 2019年Q3季度前全球資料洩露事件數量概覽（圖來源於RBS報告[1]）

資料洩露影響與危害，一方面給受害企業帶來直接和間接的經濟損失（違法鉅額的罰款（如GDPR）、事後處理成本和名譽損失恢復成本）；另一方面發生大規模事件中絕大部分包括個人資訊以及敏感資料，這給涉及的使用者個人資訊與隱私安全帶來潛在的危害。為了更全面地瞭解全球範圍內資料洩露事件的總體態勢分佈，筆者收集了從2019年1月份至12月份，規模較大或具有代表的公開披露資料洩露事件進行梳理，其中選擇國內5起，國外14起。下面分別從國內和國外發生的事件按洩露數量由大到小順序進行盤點與回顧。

1 國內資料洩露事件

1        2019年7月，智慧家居公司歐瑞博（Orvibo）的資料庫洩露涉及超過 20 億條IoT日誌

事件回顧：據vpnMentor研究人員發現，中國智慧家居公司歐瑞博（Orvibo）的產品資料庫暴露在網際網路上，該資料庫無任何密碼保護，執行在物聯網（IoT）管理平臺。該資料庫超過20億條日誌，包括了從使用者名稱、Email地址、密碼到精確位置等內容[2]。從資料洩露記錄來看，20億級別記錄，為本年度報導的國內外最大資料洩露數量事件。

2        2019年4月，國內多家企業的MongoDB和ElasticSearch伺服器因暴露洩露5.9億份簡歷

事件回顧：據ZDNet報導，研究人員發現，中國企業今年前3個月出現數起簡歷資訊洩露事故，涉及5.9億份簡歷。大多數簡歷之所以洩露，主要原因是MongoDB和ElasticSearch伺服器安全措施不到位，無需密碼就能訪問獲得資料，或者由於防火牆的配置錯誤導致[3]。

3        2019年2月，深網視界（AI安防）洩露250萬人的人臉資料

事件回顧：據荷蘭GDI基金會安全研究員發現，中國深網視界科技有限公司的MongoDB資料庫未做訪問限制，直接被開放在網際網路上面，超過250萬人的資料可被獲取，68萬條資料發生洩露，資料型別包括身份證資訊、人臉識別影像及影像拍攝地點等[4]。

4        2019年9月，國內醫療PACS伺服器洩露涉及中國近28萬條患者記錄

事件回顧：據Securityaffairs 報導，德國Greenbone Networks研究人員發現，600 個未受保護的伺服器暴露於網際網路，其中，中國有 14 個未受保護的 PACS 伺服器系統，洩露了近28萬條資料記錄。這些患者資料記錄非常詳細，大多包括以下個人和醫療細節：姓名、出生日期、檢查日期、調查範圍、成像程式的型別、主治醫師、研究所/診所和生成的影像數量[5]。

5        2019年4月，嗶哩嗶哩公司（B站）後臺原始碼洩露涉及多個使用者密碼

事件回顧：在4月22日，據發現B站的後臺原始碼被上傳至GitHub，出現一個名為openbilibili/go-common的程式碼倉庫，短短6小時已經獲得6000多的Star和Fork，程式碼包含了很多配置檔案、金鑰、密碼等敏感資訊[6]。

2 國外資料洩露事件

1        2019年10月，美國資料公司People Data Labs 和 OxyData.io的Elasticsearch伺服器暴露涉及洩露了12億人的敏感資訊

事件回顧：據報導，研究人員Bob Diachenko和Vinny Troia發現了暴露的Elasticsearch伺服器，裡面包含了超過4TB的的資料，儲存了近12億人的私人和社交資訊。洩露的資料包括姓名、電子郵件地址、電話號碼、LinkedIn和Facebook的個人資訊[7]。從資料洩露記錄來看，12億級別，為本年度報導的國外最大資料洩露事件。

2        2019年12月，美國簡訊服務商TrueDialog資料庫暴露洩露10億條資料

事件回顧：據vpnMentor研究人員發現，TrueDialog管理的一個資料庫被洩露，該資料庫包含數年來企業向潛在客戶傳送的數千萬條SMS簡訊，包含簡訊內容、電話號碼和客戶的使用者名稱和密碼。該資料庫包含10億個記錄，涉及影響1億多美國公民。據悉，該資料庫不受線上保護，資料以純文字格式儲存，由Microsoft Azure託管，並在Oracle Marketing Cloud上執行[8]。

3        2019年 2 月，美國電子郵件驗證公司Verifications.io的MongoDB資料庫洩露超過8億電子郵件地址資訊

事件回顧：Security Discovery 安全研究人員發現，一個不受保護的伺服器公開了4個Verifications.io（電子郵件驗證公司）線上MongoDB資料庫，其中包含了150 GB的詳細營銷資料，以及8億多個不同的電子郵箱地址，它不僅包含了個人消費者的資料，而且還有類似“商業情報”的資料，比如來自不同公司的員工和收入資料[9]。

4        2019年5月，印度某公司的MongoDB資料庫洩露了約2.75億條包含印度公民詳細個人資訊

事件回顧：據報導，安全發現研究員Bob Diachenko使用Shodan發現了在Amazon AWS上託管的可公開訪問的MongoDB資料庫，該大型資料庫包括約2.75億條包含印度公民詳細個人資訊的記錄，包含了姓名、性別、出生日期、電子郵件、手機號碼、教育程度、專業資訊(僱主、工作經歷、技能、職能領域)、現有工資等資訊[10]。

5        2019年3月，美國第一資本投資國際集團Capital One洩露1.06億信用記錄

事件回顧：2019年3月22日和23日，一個名叫佩奇·湯普森(Paige Thompson)的黑客潛入了Capital One，使用亞馬遜提供的雲服務（AWS）。據美國司法部稱，湯普森利用了一個配置錯誤的web應用程式防火牆來獲取資訊。導致本次1.06億資訊被洩露，包括名字，地址，郵政編碼，電話號碼，電子郵件地址，生日和自我報告的收入；某些情況下，還會暴露客戶的信用評分、信用限額、餘額、付款歷史和聯絡資訊[11]。

6        2019年2月，美國金融公司Evite洩露1億客戶的資訊

事件回顧：Evite報告稱， 2019年2月未經授權的一方（黑客）獲得了一個不活躍的資料儲存檔案，該檔案包含了該公司2013年及更早時候的使用者資訊。根據Evite的安全更新，暴露的資訊可能包括姓名、使用者名稱、電子郵件地址、密碼[11]。

7        2019年3月，美國醫療機構Medical Collection Agency洩露近2000萬條付款記錄

事件回顧：Medical Collection Agency長期的資料洩露，累計2000萬實驗室客戶的逾期付款記錄被洩露，包括社會安全號碼和銀行賬戶資訊等敏感資訊。網路安全公司Gemini 2月28日在暗網上發現了這些資訊，該公司的分析認為，這些資訊可能是從美國醫療資訊收集機構的線上入口網站上竊取的。美國醫療回收機構在2019年6月申請破產保護[11]。

8        2019年9月，厄瓜多Novaestrat公司伺服器發生資料洩露涉及超過2000萬人的記錄

事件回顧：網路安全公司vpnMentor近日發現一起厄瓜多資料洩露洩露事件，涉及到超過2千萬人的資料（厄瓜多總人口1600萬，包括已故人口），洩露資訊包括公民的全名，出生年月、地點，家庭住址、電子郵箱地址，身份證件號碼，個人稅號和僱傭資訊等。此外，個人財務資訊也被洩露，包括銀行賬戶資訊、個人收支情況和信用型別等，事件起因系厄瓜多資料分析公司Novaestrat位於邁阿密的伺服器出現了漏洞[12]。

9        2019年2月，印度天然氣能源公司Indane洩露可能超過670萬客戶資訊

事件回顧：據報導，法國安全研究員發現印度國有天然氣公司Indane，由於存在“繞過登陸頁面，直接獲得對經銷商資料庫的自有訪問許可權”的漏洞，又一次暴露了數以百萬計的 Aadhaar 生物識別資料庫資訊，預計洩露總人數可能超過670萬客戶，其中包括客戶的姓名、地址、以及隱藏在每條記錄連結中的身份Aadhaar ID號碼[13]。

10    2019年3月，美國聯邦應急管理局 (FEMA) 洩露230萬條敏感資訊

事件回顧：並非所有的資料洩露都是黑客所為，有時政府機構或公司的錯誤會暴露人們的個人資訊。根據監察長辦公室 (Office of The Inspector General) 的訊息，今年3月份聯邦應急管理局釋出了幾次自然災害倖存者的個人身份敏感資訊，累計包括230萬條敏感資訊，監察長辦公室表示，這些資訊本不應該公佈，稱聯邦應急管理局這樣做違反了1974年的《隱私法》(Privacy Act)[11]。

11    2019年3月，喬治亞理工學院洩露130萬人教師和學生資訊

事件回顧：從2018年12月開始，一個未知的外部實體（黑客）訪問了佐治亞理工大學(Georgia Tech University)的一箇中央資料庫。該資料庫包含了該校現任和前任學生、教師和職員的姓名、地址、社會安全號碼和出生日期。佐治亞理工學院表示，130萬人的資訊可能在這次入侵中被曝光[11]。

12    2019年9月，馬印航空資料洩露可能影響數百萬乘客

事件回顧：據馬印航空證實，有數百萬條乘客護照資訊、住址和電話號碼等資訊外洩，並被上傳到資料交換論壇。該公司表示，洩漏的資訊包括護照資訊、住址和電話號碼等。據馬印航空23日在一份宣告中表示，資料洩露是由於兩名曾供職於為馬印航空提供電商服務的GoQuo公司前職員“不恰當地獲取並盜竊了乘客的個人資料”[14]。

13    2019年5月，優衣庫資料洩露超過46萬名客戶的資料

事件回顧：據日媒報導，優衣庫的母公司迅銷集團在一份宣告中表示 “2019年5月10日，除客戶以外的第三方未經授權登入我們公司運營的線上商店網站”。由於存在漏洞使得黑客可以訪問線上購物網站客戶的資料，洩露資料涉及影響超過46萬名客戶，包括他們的姓名、地址和聯絡方式。優衣庫表示此次事件不包括中國地區的使用者資料[15]。

14    2019年6月，美國資料管理公司Attunity的Amazon S3儲存桶洩露超過1TB的資料

事件回顧：據UpGuard的研究人員發現，美國資料管理公司Attunity的三個存在未授權漏洞的雲端儲存桶洩露了超過1TB的資料，包含有關Attunity自身運營的資訊，以及其部分客戶的資料，以及財富100強公司，如Netflix，TD銀行和福特等。據悉，Attunity在沒有密碼的情況下將三個Amazon S3儲存桶暴露在網際網路導致資料洩露[16]。

3 分析與解讀

結論1：2019年資料洩露更加嚴峻，8起上億級大規模重大洩露事件中累計洩露數量超過60億。

回顧2019的一年，大規模的資料洩露事件屢屢發生。在梳理的19起資料洩露事件中，國內有2起為上億級別；國外有6起為上億級別。這8起上億級洩露事件中累計的記錄數量超過60億，從數量上看，形勢比往年更加嚴峻。

圖2  2019年的8起億級別的資料洩露

結論2：資料洩露型別最多的是個人基本資訊，IoT日誌、人臉影像等新洩露趨勢值得關注。

從洩露的資料型別來看，洩露最多的是個人基本資訊，具體包括姓名、住址、出生日期、身份證件號碼和電話號碼等，有一半（53%）的事件涉及；其二是使用者賬號密碼資訊；後面三類是三種敏感資訊：包括生物識別敏感資訊、收入敏感資訊和醫療敏感資訊。生物識別敏感資訊是一種新的資料型別，包括人臉識別、虹膜和指紋等資訊，這與近年來AI安防廣泛推廣應用有關。

圖3 資料洩露型別分佈

結論3：伺服器暴露與配置問題是資料洩露主要原因，其中MongoDB和ElasticSearch伺服器的安全性配置不容忽視。

從資料洩露原因來看，伺服器網際網路暴露與配置問題是主要原因，同時也是造成大規模資料洩露的主要原因。其中，絕大數事件與在企業中廣受歡迎的MongoDB和ElasticSearch伺服器有關；雲伺服器的暴露與配置問題也不容忽視盤點事件中有2起與AWS雲有關； 有1起事件與IoT伺服器的暴露有關，物聯網的安全重要性逐步凸顯；此外，伺服器存在漏洞是造成資料洩露與黑客入侵竊取資料的重要原因。企業應該重視重要伺服器的安全防護能力，採取及時更新軟體補丁、定期進行漏洞掃描與檢查等安全措施。

圖4 資料洩露原因分析

結論4：19起大規模資料洩露事件均為個人資訊的資料洩露，企業保護措施不力導致資料洩露將觸犯法律，個人隱私保護的安全合規性不容忽視。

在全球各國的個人資訊與資料安全相關立法中，多數對“個人資訊”或“個人資料”採取寬泛的定義，包括我國的《網路安全法》和歐盟的《通用資料保護條例》（General Data Protection Regulation，GDPR）。如果按這些法規的定義與範疇，本文列舉的19起資料洩露事件中，與其說是普通資料的大規模洩露，不如說是個人資訊資料的大規模洩露，其中人臉資料、IoT日誌（與客戶裝置相關）、賬號密碼均屬於個人資訊）、財務資訊、SMS簡訊和醫療診斷記錄。這些個人敏感資訊一旦流入黑產暗網，定向電信詐騙、定向網路攻擊以及導致的其他違法犯罪行為不堪設想。

       個人資訊的資料洩露事件頻頻發生，屢禁不止。如何更好地應對個人資訊與資料安全的挑戰，一是立法層面，通過法規制度進行引導和規範；二是技術層面，通過技術措施保障個人資訊和重要資料安全。歐盟2018年5月25日實施了“大而全”的GDPR，2019年全面開啟罰款收割模式，其中英國執法力度最大，今年7月份英國ICO分別對英航和萬豪開出1.83億英鎊（約合15.94 億元人民幣）和9900萬英鎊（約合 8.57 億元人民幣）的鉅額罰單，以處罰這兩家公司由於保護措施不力，而導致的2018兩起大規模資料洩露 [17]。我國於今年5月份網信辦釋出了《資料安全管理辦法（徵求意見稿）》，對個人資訊與重要資料的安全進行具體的規定與約束。雖然目前的法規中沒有引入明確的罰款機制，但對個人資訊資料洩露的刑事處罰機制已經逐步建立與完善。在今年10月25日釋出的《關於辦理非法利用資訊網路、幫助資訊網路犯罪活動等刑事案件適用法律若干問題的解釋》對拒不履行資訊網路安全管理義務，致使使用者資訊洩露的造成“嚴重後果”的八種情形進行了明確的定罪量刑：致使洩露行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊500條以上的；致使洩露住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的使用者資訊5000條以上的。

4 小結

資料洩露是危害資料安全的主要事件之一。回顧2019年即將過去的一年，大規模的資料洩露事件頻頻發生，形勢與往年相比更加嚴峻，且這列舉的19起事件洩露資料均包含個人資訊與隱私資料。如何更好地保障使用者的個人資訊保安，如何滿足資料安全與隱私保護相關法規，這是當前企業刻不容緩需解決的問題。

展望2020，為了更好地保障個人資訊保安避免相關資料洩露事件發生，企業應該未雨綢繆，對重要的資料資產伺服器進行重點防護與安全配置檢查，定期進行漏洞掃描與評估等措施。在大資料時代，資料利用與挖掘是主旋律。如何在資料安全合規和隱私保護前提下打破資料孤島促進資料流動。囚籠式管控”傳統方式轉變到“資料安全治理”思維，首先摸清企業敏感資料分佈與流動態勢，進行分類分級、資料脫敏和許可權管控等安全防護措施。隨著業務場景和問題挑戰的多樣性，引入一些資料安全新型技術顯得十分必要，包括去標識化資料的合規評估技術、資料匿名化、同態加密和多方安全計算技術等。“資料安全”與“資料利用”場景需求促使學術界的前沿研究成果快速落地企業場景，筆者十分關注相關理論與技術發展，歡迎交流與合作。

資料洩露是網路安全/資料安全的主要威脅之一， 2019年除此以外還有許多發生的安全事件值得回顧與解讀，如DDoS攻擊，惡意挖礦和APT攻擊等。敬請關注綠盟官網未來即將釋出的《2019年網路安全觀察報告》。

參考資料

[1] Risk Based Security. Data Breach QuickView Report 2019 Q3 trends. 2019-11.

[2] Report: Orvibo Smart Home Devices Leak Billions of User Records.

https://www.vpnmentor.com/blog/report-orvibo-leak/

[3]  Chinese companies have leaked over 590 million resumes via open databases. https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

[4] SenseNets Facial Recognition Company Leaks Out Personal Data of 2.5 Million Chinese Citizens.

https://www.technadu.com/sensenets-facial-recognition-company-leaks-2-5-million-personal-data/58146/

[5] 隱私大事件：全球醫療資料大規模洩露 暗網價值超十億 涉及中國. https://new.qq.com/omn/20190920/20190920A0BTMM00.html

[6] B站網站後臺工程原始碼疑似洩露，內含部分使用者名稱密碼.

https://juejin.im/post/5cbde1916fb9a032396889f1

[7] Security duo discovered personal and social information 1.2 billion people exposed online on an unsecured Elasticsearch server.

https://securityaffairs.co/wordpress/94275/breaking-news/elasticsearch-social-information-1-2b-people.html

[8] TrueDialog database leaked online tens of millions of SMS text messages.

https://securityaffairs.co/wordpress/94593/data-breach/truedialog-data-leak.html

[9] 800+ Million Emails Leaked Online by Email Verification Service https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

[10] Database With Millions of Indian Personal Records Exposed and Hijacked.
https://securitydiscovery.com/database-with-millions-of-indian-personal-records-exposed-and-hijacked/

[11] 2019 data breaches: 4 billion records breached so far. https://us.norton.com/internetsecurity-emerging-threats-2019-data-breaches.html

[12] Report: Ecuadorian Breach Reveals Sensitive Personal Data.

https://www.vpnmentor.com/blog/report-ecuador-leak/

[13] India’s state gas company leaks millions of Aadhaar numbers.

https://techcrunch.com/2019/02/18/aadhaar-indane-leak/

[14] 馬印航空乘客資訊洩露或影響數百萬人.

https://news.sina.com.cn/w/2019-09-23/doc-iicezueu7821274.shtml

[15] 優衣庫母公司逾46萬顧客資訊遭洩露.

https://finance.sina.com.cn/wm/2019-05-15/doc-ihvhiews2168824.shtml

[16] Leaky Amazon S3 Buckets Expose Data of Netflix, TD Bank.

https://threatpost.com/leaky-amazon-s3-buckets-expose-data-of-netflix-td-bank/146084/

[17] 《GDPR執法案例精選白皮書》釋出.

https://www.secrss.com/articles/14435.

關於天樞實驗室

天樞實驗室聚焦安全資料、AI攻防等方面研究，以期在“資料智慧”領域獲得突破。

關於我們

綠盟科技研究通訊由綠盟科技創新中心負責運營，綠盟科技創新中心是綠盟科技的前沿技術研究部門。包括雲安全實驗室、安全大資料分析實驗室和物聯網安全實驗室。團隊成員由來自清華、北大、哈工大、中科院、北郵等多所重點院校的博士和碩士組成。

綠盟科技創新中心作為“中關村科技園區海淀園博士後工作站分站”的重要培養單位之一，與清華大學進行博士後聯合培養，科研成果已涵蓋各類國家課題專案、國家專利、國家標準、高水平學術論文、出版專業書籍等。

我們持續探索資訊保安領域的前沿學術方向，從實踐出發，結合公司資源和先進技術，實現概念級的原型系統，進而交付產品線孵化產品並創造巨大的經濟價值。

長按上方二維碼，即可關注我