数据的泄露影响了很多行业,造成不必要的损失和影响。做为开发者,需要了解一些这样的故事,最大限度的避免此类问题。

 

本文的数据泄露将包含如下属性:

 

1)破坏范围

2)访问的信息类型

3)整体破坏程度

 

以下收集了九个破坏力很大的数据泄露事件。

 

1 Clearview AI

 

Clearview AI是一家颇有争议的创业公司,它采集了数十亿张公开的人物照片,然后通过面部识别人物。入侵者通过一个小漏洞进入该公司网络,访问了全部用户数据清单,一共2200名用户,虽然用户量较小,但这些用户里包括百思买等零售商的用户数据,百思买是家超大型零售公司,用户遍布27个国家,Clearview AI泄露的数据包含了订单和关联信息。

 

该数据泄露事件发生在2020年2月,事后Clearview AI及时修补了该漏洞。

 

2 美国第一金融有限公司

 

美国第一金融有限公司(英文名:FAF-First Amercan Financial Corporation)是《财富》美国500强中的一家大型房地产保险企业。长期以来,该公司的网站一直受到文档被抓取的侵害。

 

房地产交易的数据,特别是FAF公司的文档,里面有大量高度敏感的数据,比如个人的驾驶执照、银行帐户,社保号码等特别有价值的信息。

 

该公司网站上的文档URL,只要有心的人简单改一下连接的数字就可以轻松访问其它人的文档,不需要身份验证就能完全查看,这个程序上的漏洞从2003年就在,通过此方法被采集的数据达到8.85亿条。

 

一位软件设计师发现了这个问题,但没有得到FAF的回应,后来通过KrebsOnSecurity网络安全公司通报了FAF,FAF禁用了网站文档,解决了软件设计的缺陷。

 

3 Facebook

 

Facebook实际上了经历了多次的数据泄露事件,最大的泄露是第三方引起的事件。

 

一家媒体组织叫“Culture Colectiva”通过可公共访问的Amazon S3云存储,发生了这些大规模泄露事件,这包括146GB数据,5.4亿条记录,这些数据包含了Facebook ID,用户名,在FB上的Feed信息,如评论等数据。

 

另一起事件是Culture Colectiva还创建了一个叫“At The Pool”的第三方应用,存储在S3云存储上,并备份。后来该公有云被泄露了22000名fb用户信息,包括上面的信息外,还包含了用户的点赞,兴趣,用户组等社交数据。

 

一家安全组织及时联系了这家媒体公司,后来花费了4个月时间,S3存储库才得以安全稳定下来。

 

4 MongoDB

 

在印度,一个未确定所有者的MongoDB泄露了超过10亿条记录,这些数据包括公民的姓名,邮箱,工作经历,出生和专业信息等。

 

MongoDB数据库中有8.8亿邮件,2亿份简历和7800万用户数据。这个MongoDB实例没有设置密码,也没有任何保护措施来阻止潜在的违规行为,这实际上是数据库管理员的失败。

 

总结来说,数据库管理最佳实践是数据安全性的关键组成部分。

 

5 Equifax

 

Equifax是一家领先的信用报告机构,它收集了数百万美国人和企业的敏感信息。它的一次数据泄露,公开了美国一半多的人口数据,这里面还包含了一部分加拿大和英国的数据。

 

这些数据包含了社保号码,驾驶证,信用卡号码,个人地址等,有报道说,此攻击来自某国军方或实控方,黑客已经对Equifax访问了将近两个月后才被发现,该攻击利用了Apache Struts CVE-2017-5638漏洞。

 

该漏洞在被攻击之前就已经被Apache组织解决并提供了补丁修复,但该公司并没有及时应用。

 

此类数据泄露的后果是,消费者数据被滥用。有的人可能无法使用贷款产品和信用卡产品。

 

6 Capital One

 

Capital One是美国最大的信用卡发行商,它记录了近1.07亿客户的违约记录。该公司的前任软件工程师Paige Thompson利用了公司在AWS的错误配置,绕开了系统防火墙访问了Capital One的一台服务器。

 

这台服务器上有美加两国的客户记录,包括社保帐号,银行帐号,信用评级等个人信息,这些记录来自信用卡应用程序,并有着十多年的记录价值。

 

7 美国人力办公室

 

2015年,美国人力资源管理办公室(OPM)的服务器被泄露了2000万名个人数据。

 

似乎与其它泄露数据相比较,这个记录并不多,但这些数据的内容的价值以及严重性要比前几个要大得多。这些数据包括SF-86表格,与美国联邦政府的安全许可内容,指纹记录。

 

OPM的技术部门在2014年3月发现了违规情况,但是无法确定黑客是怎样闯入系统中来的,也不知道是谁干的。

 

后门的恶意软件也没有查明,第一次发现不了了之,OPM相关官员决定监视IT系统以及黑客行为。但是,由于系统被植入的后门,漏洞依然存在,在2013年11月到2015年4月间,数据在大量泄露的同时,攻击蔓延到了内政部的服务器。

 

这些攻击包括国会相关调查案,工会诉讼以及OPM的人力资源数据被泄露,最关键的是中央情报局的一些人员记录被破坏。

 

其主要原因是缺少最关键的身份验证。

 

8 Uber

 

Uber在2016年泄露了5700万条用户和司机的订单记录,其中还包含60万份驾照数据。

 

据报道,是只有两名的黑客组织对Uber发起了攻击,包括其它关联技术公司,很快他们取得了访问Uber用户数据的权限。

 

值得一提的是,该公司CSO曾经接受黑客的10万美金勒索,或者在漏洞赏金计划扮演不光彩角色,目前此案正受到法院审理中。

 

9 雅虎

 

2013年雅虎(Yahoo.com)数据泄露可能是历史上最大的案件,其记录之多再无人可比。

 

这家门户网站的300万用户帐户整体被黑客复制,到了2016年才将这件丑事公布于众,到2017年,雅虎已经成为他人的子公司后才公布影响用户的范围。

 

这些数据包括用户的安全信息和答案,被哈希化的密码,生日,姓名与邮件地址。雅虎认为,由一些国家资助的黑客通过制造虚假的Cookie,绕开密码验证直接访问了用户帐户。

 

不管它怎么解释,是雅虎的数据被拿到暗网上卖了两年后,这家公司才知道的消息。

 

小结

 

可以看到,很多的数据泄露是大公司的人干出来的,本质是人的问题,没有正确掌握网络安全最佳实践。开发者需要制定全面的数据安全计划,主动的加上多层保护机制,可以解决以上不同类型的数据泄露问题和案件。

 

那么,你在的公司正在做哪些事,避免数据被泄露或造成损害?欢迎评论~

 

作者:场长