盤點：2018年十大資料洩露事件

很快2018年就要跟我們說再見，而在這過去的一年裡，雖然網際網路的整體安全性都在提升，但依然出現了幾波影響力頗大的使用者資訊被駭客盜走洩密的事件，現在我們就來盤點2018年十大最受關注的駭客事件。

1. Facebook：8700萬使用者資料洩露

2018年3月17日，美國紐約時報率先曝光了劍橋分析(Cambridge Analytica)未經使用者許可，擅自使用Facebook使用者個人資訊的行為。此事一出立刻引起軒然大波，隨後英國高等法院授權對涉事單機構進行了搜查，並揭開了針對該事件司法調查的序幕。

針對沒有使用者的許可就使偷偷用個人資訊資料一事，Facebook公開回應，承認劍橋分析公司不正當使用了8700萬未經授權的使用者私人資訊，這也遭到了國外網友的痛斥。這場風波還沒有過去，今年9月份，Facebook再次通告，駭客利用控制的40萬個賬戶獲得了3000萬Facebook使用者賬號的資訊。他們可以在不輸入密碼的情況下，隨意登陸這些使用者的個人主頁，任意拿走想要的資料等。

對於這接二連三的危機，Facebook掌門人祖克伯出面回應，首先被駭客利用的漏洞已經封堵，請大家繼續使用，其次他們已經停止私下偷用使用者資料的行為，最後還懇請全球使用者原諒他們，至於相應的補償並沒有提及，這也讓使用者非常不爽，“刪除Facebook”一時成為熱門標籤。

從今年3月份，Facebook爆發的隱私洩露危機至今，公司股價一度蒸發590億美元，更讓祖克伯難受的是，公司股東會聯名要求他交出權利(退出CEO之位)，與此同時，許多國家議會甚至要求祖克伯親自出席使用者資訊被盜、偷用的辯證會，最後這些統統被拒絕。

2. AcFun：900萬條使用者資料洩露

2018年6月13日凌晨，AcFun彈幕影片網(以下簡稱“A站”)突然發出公告稱，他們有800-1000萬左右的使用者資料被駭客竊取，隨後A站在公告中強調，2017年7月7日之後從未登陸過的使用者以及密碼強度低的使用者需要立刻更改密碼，而跟A站使用者資訊中密碼保持一致的，也要一併更改。

駭客攻擊A站後竊取的使用者資訊，很快就放在了暗網(就是黑暗網路，又稱深層網路或隱形網路)售賣，並喊出900萬條使用者資料，售價40萬人民幣。如果購買者對資訊真實性質疑，那麼可以隨機抽取測試，此事對使用者造成了不小的影響。其實早在今年3月份，暗網論壇中就有人公開出售AcFun的一手使用者資料，數量高達800萬條，而價格僅為12000元，平均1元能買到800條。

為了挽回使用者，收購A站的快手第一時間表示，在技術和資金上全力支援A站提升安全能力，務必保證使用者的資料安全，避免類似事件發生。隨後A站升級了系統安全等級，對AcFun伺服器做了全面系統加固，實現技術架構和安全體系的升級，以確保以後不會出現如此嚴重的洩露事件。

3. 華住旗下多個連鎖酒店：2.4億入住記錄洩露

2018年8月28日，網上突然出現了華住旗下多個連鎖酒店入住資訊資料售賣的行為，這引起了使用者的廣泛關注，畢竟資料涉及5億條的使用者個人資訊及入住記錄，而這些洩密的資料中，包含的不少私密資訊，比如身份證號、家庭住址、銀行卡號等等。

隨後，華住官方證實了這個旗下酒店使用者入住資訊資料被販賣的行為，並希望售賣者立即停止這種行為，同時他們內部展開核查，針對旗下國內超過370座城市的3700多家酒店，由此可見這次使用者資料洩露有多嚴重。

經過排查洩露的使用者資料多達2.4億條(66.2G)，這是酒店入住的記錄，還有約1.3億條入住登記身份資訊(共22.3G)和約1.23億條官網註冊資料(共53G)，而這些資料中把使用者的姓名、銀行卡號、手機號、郵箱、開房人、家庭住址等等核心資訊全部洩露出來。

對於華住酒店使用者入住資訊被洩漏一事，安全人員分析後認為，是華住公司程式設計師將資料庫連線方式及密碼上傳到GitHub導致的，駭客利用這個漏洞，對華住酒店資料庫實施攻擊並拖庫。

4. 萬豪喜達屋：5億客戶的使用者資訊洩露

跟華住一樣，知名連鎖酒店萬豪也陷入了使用者資料被駭客盜取的情況。2018年11月30日，萬豪對外發出公告稱，旗下喜達屋酒店預訂系統2014年起遭網路“駭客”入侵，洩露大約5億客戶的使用者資訊。訊息出來後，紐約大學教授卡普斯表示，萬豪在過去4年時間裡一直使用錯誤的安全系統，是出事的主因。

經過複查後得知，萬豪洩露的這5億使用者資訊中，使用者的姓名、住址、電話號碼、電子郵件地址、護照號碼、信用卡等所有核心的資訊統統被洩露出去，性質十分惡劣。隨後，美國5個州的總檢察長和英國資訊專員對外表示，將徹底調查這件事，並讓萬豪付出相應的懲罰。

有美國訴訟集團代表眾多消費者向萬豪提起訴訟，索賠金額高達125億美元(僅相當於5億潛在被盜使用者中每人得到25美元的賠償)，之所以索賠如此多金額，主要還是萬豪在過去4年中，對旗下系統安全性沒有及時跟進，從而造成了如此惡意的使用者資料洩漏。目前他們仍然在評估這次洩漏事件帶來的影響，至於相應的賠償是否會跟進，也並不清楚。

5. 圓通：10億條使用者資訊資料被出售

2018年6月19日，一位ID為“f666666”的使用者公然在暗網上兜售圓通10億條快遞資料，這引發了外界的廣泛關注，按照賣家的說法，這些資料是2014年下旬的資料，資料資訊包括寄(收)件人姓名，電話，地址等資訊，都是圓通內部人士批次出售而來(只要快遞單資訊進入電腦他們就可以獲取)。

隨後，有網友驗證了其中一部分資料，發現所購“單號”中，姓名、電話、住址等資訊均屬實。對於這件事，圓通官方稱正在展開調查，但並沒有承認這些資料是不是從內部流出，只是表示，公司的技術部門透過多種技術手段預防資訊外流，提高安全係數。

按照當時售價來說，使用者只要花430元人民幣即可購買到100萬條圓通快遞的個人使用者資訊(10億條資料1比特幣)，而10億條資料則需要約43000元人民幣。能夠洩漏如此多使用者資訊，且準確率這麼高，外界普遍認為來源是圓通內部級別較高的工作人員。

按照刑法修正案(七)規定，出售、非法提供公民個人資訊罪，處三年以下有期徒刑或者拘役，並處或者單處罰金，對於郵政企業、快遞企業來說，除了要做好安全措施，同時還要健全管理制度，杜絕從公司內部洩露快遞單資訊的舉動。

6. 順豐：3億條使用者資訊資料被出售

2018年8月底又是在暗網上，一個ID為“bijiaodiao1688”的使用者在公然售賣順豐快遞資料，其中牽扯到了3億使用者資料資訊，售價是2個比特幣，而這些資訊中包含了寄件人、收件人的姓名、地址、電話等，為了證明資料的準確性，購買者可以選擇先“驗貨”，驗貨資料量10萬條，驗貨費用0.01個比特幣。

按照當時0.01個比特幣大約為66.66美元的行情來看，這3億使用者資料在當時價值是92000元，從當時的交易情況來看，至少有超過90萬條的疑似順豐快遞使用者個人資訊流向了市場。從一些匿名測試使用者反饋的資料來看，隨機抽選50個，準確率在90%以上，這真實性還是很嚇人的。

面對3億使用者資料洩露，順豐也是第一時間進行了回應，其強調早在2018年7月份，他們就已經關注到暗網使用者釋出的相關資訊，並獲識了相關資料，但經過核實這些並不是順豐的資料，同時官方也否認了外洩資料來自順豐內部，至於洩露源頭來自哪裡官方並沒有說明。之前央視曾報導，2018年5月份有順豐員工故意洩露內部訊息獲利事情。

至於最終這件事的結果是怎樣，順豐沒有及時通報，不過按照他們的表示，事情一出來的時，就第一時間向有關部門進行了報案，要求徹查洩密者到底是誰，洩密源到底出自哪裡。

7. 前程無憂：195萬條個人求職簡歷洩露

2018年6月16日，有人在暗網開始叫賣招聘網站前程無憂(51job.com)使用者資訊，其中涉及195萬使用者求職簡歷，隨後前程無憂方面確認部分使用者賬戶密碼被撞庫。

為了證實洩露資料的真實性，前程無憂方面還進行了一定的測試，結果發現資訊是真實可靠的，不過官方強調，資料中絕大部分來自於一些郵箱洩露的賬戶密碼，且都是在2013年之前註冊。對此前程無憂強調，出現這樣的情況並非拖庫，而是惡意使用者透過這些已洩露的郵箱賬戶及密碼，對相應的站點進行登入匹配，然後蓄意倒賣。

最後，前程無憂不願意公開具體涉及的是哪家郵箱服務商，只是表示是2013年註冊的使用者，及時修改自己的帳號密碼，同時他們也表示已經升級資料庫的安全等級，防止類似的情況再發生。

8. Under Armour：1.5億使用者資訊洩露

2018年3月30日，美國運動品牌Under Armour對外表示，旗下健身應用MyFitnessPal因存在資料漏洞而遭到駭客攻擊，一共有1.5億使用者的資料被洩露，這些資料中包含了使用者名稱、電子郵件地址和密碼等，不過官方強調，洩密資料並不包含駕駛證號、信用卡號、身份資訊等更私密資訊。

MyFitnessPal是Under Armour收購的一家企業，主要提供運動健康飲食指導服務的應用，在北美地區頗受歡迎，使用者數量最高峰時接近2億，當傳出有1.5億使用者資訊被駭客竊取後，Under Armour官方表示，立刻要求MyFitnessPal使用者更改密碼。

9. MyHeritage：9200萬使用者資訊洩露

相比其他使用者資訊洩漏情況來說，MyHeritage使用者資訊洩露後果可能很嚴重。這是一個家庭基因和DNA檢測的網站，使用者資訊中儲存不但有私人資訊，甚至還有個人的DNA測試結果。

2018年6月初，MyHeritage給出公告稱，網站伺服器被攻擊，攻擊者從中擷取了超過9200萬使用者資訊，其中包含了電子郵件和hash密碼，官方則強調不包含支付卡的資訊或DNA測試結果，不過MyHeritag還表示，使用者帳戶是安全的，因為密碼是使用每個使用者唯一的加密金鑰進行hash處理的，為了徹底解決這種攻擊，最終網站啟用了雙因子身份驗證(2FA)功能，即使駭客設法解密hash密碼，如果沒有第二步驗證碼，第一步的破解也將毫無用處。

10. Panera Bread：3700萬使用者資訊洩露

2018年4月4日，美國最大面包連鎖店Panerabread表示，旗下網站panerabread.com洩露了3700萬使用者資訊，而更可怕的是，在官方沒有給出公告前，這種洩露資訊行為已經持續了超過8個月。

隨後，安全機構KrebsOnSecurity表示，他們在早在2017年8月2日就曾發現了Panerabread網站的漏洞，告知對方後並沒有進行及時修復，所以造成的結果就是嚴重的。

據悉，Panerabread網站是以明文形式洩露顧客記錄，而這些記錄可以透過自動化工具來進行搜尋和抓取，實際的操作並不複雜，最終帶來的危害可能是，某些信譽度高的會員卡號碼可能會被網路犯罪分子濫用以透支購買食品，或以其他方式透過從這些賬戶中獲取價值。

蘇寧旗下子品牌蘇寧影片雲已累計服務客戶超過3000個；蘇寧影片雲憑藉PPTV 十年媒體技術和服務經驗，融合流媒體技術、P2P、CDN 分發、海量儲存、安全策略等構建的專注影片領域的一站式SaaS 服務平臺。蘇寧影片雲集影片雲直播、雲點播、雲上傳、雲轉碼、雲端儲存、雲統計等功能於一體，多平臺全方位支援客戶各種影片場景的業務需求。