其事件原因及应对措施介绍(数据泄漏如何处理)

在DT（数据）时代，数据价值不断彰显并被人们视为智能时代的”石油”。无论是数据量的增长，还是数据的种类，大数据时代已经来临。利用数据，企业可以洞察用户行为，实现精准产品定位和改进；利用数据，企业可以进行业务转型，不断创新；利用数据，企业可以改变自身，成为数据驱动型企业。

但是，数据泄露却成为许多企业和消费者的”心病”。数据安全事关个人隐私和重要信息，一旦泄露，将成为广告、营销人员的目标，甚至被电信诈骗分子”锁定”。对企业而言，数据安全可以说关乎生死存亡，这并不夸张。

有人说，”全世界的企业可以分为两种：一种数据已经泄露的和一种将要发生数据泄露的企业。”

相比以往，2018年数据泄露事件远远超过往年，还包括许多没有被曝光的。我们看到，个人数据泄露事件越来越严重，轻则波及数千万人，重则影响数十亿人，形势不断恶化。

在众多的数据泄露事故中，天极网记者精选年度十起规模最大、影响最深的数据泄露事件。

1. Aadhaar印度国家身份认证系统

时间：2017.8—2018.1

受害人数：11亿

泄露对象：印度公民

泄露内容：号码、姓名、电子邮箱、住址、电话号码及照片

事件经过：

Aadhaar是世界上最庞大最复杂的生物身份识别系统，该项目2010年9月在印度启动。该项目针对印度公民实施生物识别数据采集，包括照片、十指指纹和虹膜扫描等。并且，Aadhaar号码与印度公民的银行账户、手机号码、保险账户、永久性账号卡以及其他服务绑定起来。

2018年1月4日，印度乡村企业家 Bharat Bhushan Gupta爆料说，有人在移动社交工具WhatsApp上向他推销Aadhaar数据库，购买之后，Aadhaar数据库确实为他提供了大量意想不到的用户信息。

2. 万豪酒店

时间：2018.9.10，但泄露最早时间可追溯至2014年

受害人数：5亿

泄露对象：万豪旗下喜达屋酒店消费者

泄露内容：姓名、电子邮箱、邮寄地址、电话号码、护照号码、账户信息、出生日期、性别、旅行信息、住宿信息、信用卡信息等。

事件经过：11月底，万豪酒店宣布，旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵，可能有多达5亿人次预订喜达屋酒店客人的详细个人信息遭到泄露。据悉，黑客入侵早在2014年就已经开始，但公司直到2018年9月才第一次收到警报。该消息公布后，万豪国际酒店股价一度下跌逾5%。

同时，相关人士对万豪酒店发起集体诉讼，索赔125亿美元。

3. Exactis

时间：2018.6

受害人数：3.4亿（2.3亿消费者数据，1.1亿企业数据）

泄露对象：互联网个人和企业用户

泄露内容：数据种类超400类，包括电话号码、电子邮箱、邮寄地址、兴趣爱好、年龄、宗教信仰、宠物情况等

事件经过：

Exactis采集了大约3.4亿条记录，大小2TB，可能涵盖2.3亿人，几乎是全美的上网人口。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击，而是他们自己的服务器没有防火墙加密，直接暴露在公共的数据库查找范围内。

4. Under Armour旗下健身应用

时间：2018.2

受害人数：1.5亿

泄露对象：MyFitnessPal用户

泄露内容：姓名、电子邮箱、加密密码

事件经过：3月份，美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据在上个月被泄露。MyFitnessPal是一款Under Armour旗下的食物和营养主题应用，允许用户跟踪每天消耗的卡路里、设置运动目标、集成来自其他运动设备的数据，还可以分享运动成果到类似Facebook这样的社交平台上。

3月25日，该公司发现此次数据泄露事件，并开始通知受影响用户。此次声明，让公司股票价格下跌2.4%。Under Armour正和一家数据安全公司一起协作调查此次事件，有关监管部门也参与到了其中。

5. 华住酒店集团

时间：2018.8.28

受害人数：1.3亿

泄露对象：华住酒店集团的消费者

泄露内容：卡号、姓名、手机号、邮箱、身份证号、登录密码、入住时间、离开时间、酒店 id 号、房间号、消费金额

事件经过：8日，暗网中文论坛出现一个帖子，声称售卖华住集团旗下所有酒店数据，包括华住官网注册资料、酒店入住登记身份信息、开房记录。本次数据泄露涵盖汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱和海友14个酒店品牌。经过测试，泄露数据为真实数据。华住集团发布声明称”我集团非常重视，已在内部迅速开展核查，确保客人信息安全;我集团已经第一时间报警，公安机关正在开展调查。”

6. Quora（美版知乎）

时间：2018.12.3公开泄露事件

受害人数：1亿

泄露对象：Quora用户

泄露内容：姓名、电子邮箱、加密密码、个人资料

事件经过：12月3日，美国知名问答社区 Quora 发公告称，1亿用户数据因为第三方黑客恶意攻击而遭到泄露，其中包括用户的邮箱、姓名和被加密的密码，以及他们在网站上分享的内容。

Quora已经向可能受到影响的1亿用户发送了提醒邮件，并提醒用户重置密码。Quora CEO Adam D’Angelo还建议用户，如果在不同的网站使用了相同的密码，最好也做出修改。

7. MyHeritage

时间：2018.6公开

受害人数：9200万

泄露对象：MyHeritage用户

泄露内容：邮箱地址、加密密码

事件经过：MyHeritage 是一家提供家族历史调查服务的公司，能通过 DNA 分析，帮用户重建族谱。该公司网站现在有约 9600 万注册用户，接受过基因检测服务的用户有 140 万人。

网络安全研究人员于2018年6月对MyHeritage发出安全警告，发现外部服务器上存有敏感的MyHeritage信息。该公司确认信息真实性后立即发布通告，提醒用户立即更改密码，所有在2017年10月26日之前注册的帐户都存在泄露风险。

8. Facebook

时间：2018.3

受害人数：8700万

泄露对象：Facebook用户

泄露内容：账户名称、性别、关系状况、好友情况等

事件经过：3月中旬，《纽约时报》等媒体揭露称一家服务特朗普竞选团队的数据分析公司Cambridge Analytica获得了Facebook数千万用户的数据，并进行违规滥用。4月5日，Facebook首席技术官博客文章称，Facebook上约有8700万用户受影响。

据悉，Cambridge Analytica在2016年美国总统大选前获得了5000万名Facebook用户的数据。这些数据最初由亚历山大·科根通过一款名为”thisis your digital life”的心理测试应用程序收集。通过这款应用，Cambridge Analytica不仅从接受科根性格测试的用户处收集信息，还获得了他们好友的资料，涉及数千万用户的数据。

9. Elasticsearch

时间：2018.11.14

受害人数：8200万（5700万个人用户数据 2600万企业数据）

泄露对象：用户信息与商业交易

泄露内容：个人信息包括姓名、电子邮件、邮寄地址、电话号码、IP地址、就职单位、职位；企业信息包括单位名称、公司详细信息、邮政编码、地址、经纬度、电话、网址、电子邮件地址、员工数量、营业额等。

事件经过：11月底，网络安全公司Hacken的网络风险研究主管Bob Diachenko发现，他表示ElasticSearch服务器共泄漏了超过73GB的数据，并且几个数据库被缓存在服务器的内存中。而其中一个数据库就包含有美国公民的个人信息共计56,934,021份。

ElasticSearch是一个基于Lucene的全文搜索引擎，被众多程序员追捧的神器之一。由于缺乏定期的数据库安全审计，导致有心人士趁机复制和窃取所有数据。有网络安全专家认为，他们已经将无人防守的数据库的来源追溯到一家数据管理公司，但据说该公司已经关闭。

10. Newegg电商平台

时间：2018.8.14-2018.9.18

受害人数：5000万

泄露对象：Newegg在线消费者

泄露内容：信用卡账号

事件经过：Newegg是美国知名的在线零售商，2016年营收26.5亿美元，旗下平台月独立访问用户达4500多万。有安全研究人员发现，黑客将15行银行卡盗刷代码植入新蛋网支付页面，从8月14月-9月18日，代码一直存在。这种恶意代码从用户手中窃取信用卡数据，传输到由黑客控制的服务器。

这些事情的发生，说明数据安全和保护面临着越来越严峻的挑战。同时，Commvault亚太区企业解决方案架构师李可认为，”个人和企业数据面临的威胁越来越大，数据保护和快速恢复的要求随着云时代的到来变得更加迫切；同时，对个人隐私和敏感数据的管理要求更高，面临的法规监管也更加严格。”

对企业来说，”企业数据资产的分布和管理更加复杂，对非结构化的数据管理要求越来越高。”他说。更重要的是，企业应加强多云环境下对多种类型数据应用的统一管理，并且给企业提供可自服务、自定义管理流程的数据管理框架，让其成为数据安全管理的最后一道防线。

对普通消费者来说，既要警惕银行和保险公司的可疑短信和邮件，又要养成一个良好的密码设置习惯，提高个人网络安全意识，尽最大努力保护个人数据安全。