此條目介紹的是翻譯為Data breach的名詞。关于對應Data exfiltration的名詞,请见「
数据外泄 」。
数据泄露 指的是个人或组织的私有、机密信息被有意或无意地发布到危险环境中。这类事件通常与黑客 攻击、有组织犯罪 、政治运动 、国际竞争有关;也有因为员工疏忽、违规使用或处置存储介质导致的数据泄露。小到如员工将打印的少量内部使用的材料遗失在公共交通 工具上的意外,严重如算机黑客组织攻破政府防火墙,窃取目标军事、政治机密的事故[ 1] 均时有发生。常见的被泄露数据一般包括金融信息 (如信用卡账户、银行信息)、个人健康数据 、个人识别信息 、商业机密与知识产权(及其细节)。[ 2]
对一个组织而言,发生数据泄露可能导致严重的直接或间接损失。发生数据泄露后,组织的声誉将受到严重影响,被泄露数据也可能被用于犯罪活动,而该组织也需要付出时间和经济成本进行事故调查与善后处理。
根据非盈利消费者权益组织Privacy Rights Clearinghouse的报告,在美国,仅2005年一月到2008年四月期间,总计227,052,199条包含敏感信息的数据能够确定遭到泄露。鉴于严峻的数据安全形势,许多国家的司法管辖 实体(如各国司法部、立法机关)通过了要求公司通告消费者并采取措施减轻消费者损失的数据泄露处理相关法律法规。
数据泄露的定义
一起数据泄露事件可能包含多起事故或疏忽:数据存储设备的丢失或失窃(如未加密磁盘、笔记本电脑的丢失)、敏感数据被上传至互联网、设备未使用合适的信息安全保护措施即连接至互联网、使用个人或未加密的组织邮箱传输不适宜公开的信息或采购了植入恶意程序或硬件的设备。ISO/IEC 27040标准将数据泄露定义为一种造成意外、非法数据损毁、丢失、修改,未经授权的披露或访问受保护的数据传输、存储等数据处理过程的安全问题 。[ 3]
信任与隐私
某一环境是否是可信任的环境并不是一成不变的:如果在一名处于可信环境的员工离职后仍能访问该可信环境中的数据,那么该员工便可能成为数据泄露事件的突破口,而该“可信环境”也就不再“可信”。在分布式系统中,当信任网络 中的某一节点遭入侵,上述情况也有可能发生。对此,在保护数据时使用数据分级策略可以有效降低数据泄露的风险。数据分级后,数据管理者可以根据数据的重要性调整安全策略来保护更加重要的数据。
大多数公开报道的事件中,个人信息(如身份证号码 )是最常遭到泄露的数据;由于公众缺乏对泄露公司商业机密、敏感的合作信息、合同细节或是政府数据可能造成何种损失的认知,此类数据泄露事件一般并不会见诸报端。更何况公开这样的严重事故本身可能会造成比丢失数据更严重的损害。[ 4]
内部与外部的威胁
在引发数据泄露事件的各种原因中,最常见的组织内员工工作疏忽或蓄意破坏。波耐蒙研究所(Ponemon Institute)报告称“大约37%的数据泄露由人为因素引发” Privacy Rights Clearinghouse(PRC)报告显示,从2005年一月到2018年12月供发生泄露事件9000多起,主要原因为组织内部攻击、员工丢失或遭窃便携设备、组织中计算机感染病毒、向错误收件人发送电子邮件等。这充分证明人为因素是导致数据泄露的重要原因。 [ 5]
能够引发数据泄露的外部原因则包括个人或团体网络犯罪者(即黑客与黑客组织)、政府特工等。
后果
尽管数据泄露可能导致身份盗窃等严重后果,大多数可能导致数据泄露的事件并没有对相关方产生长远影响:大多数安全事件在数据遭非法访问前就被遏止,有些硬件盗窃事件的嫌疑人只对偷窃的硬件感兴趣或无法破译硬件上的安全措施。尽管如此,当此类事件发生后,大多数责任方会向受影响的客户(或是受害者)提供诸如更换信用卡的额外安全服务。
然而,一起成功发生的数据泄露事件仍能造成严重损害:2013年目标百货 数据泄露事件披露后,该公司当年第四季度的盈利大约缩水40%,次年报告中,该公司声称数据泄露事件总共对其造成2.9亿美元的经济损失。[ 6] [ 7] 互联网犯罪平均每年对能源和公共事业公司造成1280万美元的损失[ 8] 。在医疗领域,仅2014、15两年,数据泄露问题就导致了62亿美元的损失;[ 9] 仅波兰一国,超过2500万人的医保数据遭窃,600万人的身份信息泄露,其居民为此增加支出达560亿美元[ 10] 。
互联网领域的数据泄露事件造成的损失则更为严重:2016年雅虎爆出数据泄露事件后,Verizon公司随即要求重新就收购雅虎进行谈判,最终,这起事件导致雅虎的收购价格降低了3.2亿美元。[ 11]
每起数据泄露造成的平均损失(德国)[ 12]
随着数字时代的发展,数据量指数级增长,数据泄露也越来越频繁地发生。防止敏感数据泄露已经成为许多企业在安全领域的重点工作。[ 13] 为保障数据、财务安全,各方在防止数据泄露方面投入巨大:文献指出,从2017年到2021年,全球已在互联网安全领域花费超过1万亿美元。
严重数据泄露事故列表
自2005年以来,世界上发生过的严重数据泄露事故有:
2005年
2月,ChoicePoint泄露163,000条客户记录
11月,波音 泄露161,000条雇员的信息
12月24日,Ameriprise Financial有笔记本电脑被盗,损失260,000条客户记录
2006年
2月,安永泄露38,000条雇员信息。
5月,美国退伍军人事务部 ,泄露28,600,000条退役、预备役和现役军人信息[ 14]
5月,安永 泄露Hotels.com网站234,000条客户信息。
8月4日,AOL在其网站上走泄了该公司约65.8万匿名用户在3个月期间所进行的2000万份左右的搜索信息,相当于同期搜索量的0.3%以上。[ 15]
12月,波音 泄露382,000条雇员的信息(同年四月亦泄露3600名雇员的信息)[ 16]
2007年
埃森哲 泄露俄亥俄州和康涅狄格州数据。
3月29日,TJ Maxx泄露4500万银行账号。[ 17]
8月,CGI集团 泄露283,000名纽约 退休雇员的个人信息。
9月,The Gap 泄露了800,000份求职申请。
11月20日,英国税务海关总署泄露超过2600万条儿童福利相关数据。
12月,Memorial Blood Center泄露268,000名献血者 数据。
12月,田纳西州戴维森县选举委员会遭到闯入,投票人名册被盗,泄露337,000名投票人的姓名、地址、SSN[ 18]
12月25日,D. A. Davidson & Co. 泄露192,000名客户的姓名、账户、社会安全号码(SSN) 、地址和生日[ 19]
2008年
1月,通用电气金融集团确认存储于铁山公司的一卷存有650,000名客户、150,000条SSN和信用卡信息的磁带丢失,杰西潘尼 零售公司在受影响的230个零售商之列。[ 20]
1月,新泽西州公司Horizon Blue Cross and Blue Shield泄露其300,000名会员的信息。
2月,Lifeblood泄露 321,000名献血 者个人信息。
8月24日,美国国家金融服务公司 员工小雷内·雷波洛(Rene L.Rebollo Jr.)被发现窃取并销售了250万客户包括SSN在内的个人信息。[ 21]
11月18日,英国国家党 成员列表泄露[ 22]
2009年
1月,Heartland Payment Systems (HPS)宣布其处理系统遭到黑客入侵,估计有650家金融服务公司的1亿张信用卡信息遭窃。[ 23]
12月, RockYou! 的密码数据库遭攻破,3200万用户名及其明文 储存的密码被泄露
2010年
2011年
2012年
8月, 连线杂志 资深编辑马特·霍南(Mat Honan)撰文称“黑客在一小时内摧毁了我的全部数字生活”。攻击者获取了他的苹果、推特、Gmail账户密码,控制了他的推特并抹除了他所有电子设备上的所有消息、文件,连他为自己18个月大的女儿拍的照片也没有放过。[ 27] 这一起攻击事件是由于攻击者对亚马逊的技术支持人员发动社会工程学 攻击获取到他苹果账户密码恢复系统用到的信息导致的。[ 28] 根据他的经历,马特就“为什么密码无法保护用户安全”撰文。[ 29]
10月,美联邦执法部门带证据联系南卡罗来纳州税务局,称有三位公民的身份识别信息失窃。[ 30] 随后爆出实际上共约有360万SSN与38.7万信用卡信息遭窃。[ 31]
2013年
10月, Adobe 公布其数据库遭到入侵,约1.3亿用户记录遭窃[ 32] 。
11-12月,目标百货 宣布该公司7000万信用/储蓄卡账户信息泄露。[ 33]
爱德华·斯诺登 在2013年公布了一系列美国国家安全局及其驻其他国家的分支机构的机密档案。
2014年
2015年
2016年
2月,15岁的英国黑客凯恩·甘博(Kane Gamble)公布了超过2万名FBI雇员包括姓名、职务、电话号码、邮箱在内的个人详细信息[ 43] [ 44] 。法院判决称凯恩涉嫌“有政治目的的网络恐怖主义行动”。[ 45]
3月,菲律宾选举委员会网站被黑客组织“菲律宾匿名者 ”入侵并恶意修改,随后黑客组织LulzSec Pilipinas 将整个委员会数据库上传至Facebook。[ 46]
9月,雅虎报告称5亿2014年以前的用户账户被“政府支持的黑客组织”窃取。不久后,2017年10月雅虎被爆出其全部30亿账户被泄露。[ 47] [ 48]
2017年
2018年
2019年
7月16日,保加利亚国税局发生数据泄露事件。[ 60]
7月17日,提供账单和保险数据处理的医疗保健供应商Medico Inc.泄露了近14,000个文档。[ 61]
7月25日,美国民主党参议院竞选委员会在配置错误的Amazon S3存储桶中公开了大约620万个电子邮件地址。[ 62]
9月,市场分析公司Novestrat的服务器由于漏洞遭到利用泄露了厄瓜多尔全国共计1700万公民及已故者的全名,日期,出生地,教育水平,电话号码和国民身份证号码。[ 63]
2020年
2021年
3月12日,微软Exchange邮件服务器漏洞导致约3000个英国邮件服务器有数据泄露风险。[ 65] [ 66]
2022年
6月,黑客公开售卖据称来自超星 学习通app 的1.7亿条高校 学生数据,其中包含姓名、手机号、性别、学校、学号和邮箱等个人信息[ 67] 。
6月30日上午8时,一位帐号名叫“ChinaDan”的用户在網上以10比特币 (时价约合20万美元)的价格出售上海国家警察数据库 (SHGA.gov.cn)的泄露,據稱該数据包括十亿多的中国居民信息和刑事案件记录。[ 68]
另见
参考资料
^ CloudFlare. 什么是数据泄露 . [2021-05-07 ] . (原始内容存档 于2021-10-06) (中文) .
^ Panama Papers Leak: The New Normal? . Xconomy. 2016-04-26 [2016-08-20 ] . (原始内容存档 于2019-04-17).
^ Information technology — Security techniques — Storage security . www.iso.org. [2020-10-24 ] . (原始内容存档 于2021-12-01).
^ Wickelgren, Abraham. Damages for Breach of Contract: Should the Government Get Special Treatment? . Journal of Law, Economics & Organization. 2001, 17 : 121–148. doi:10.1093/jleo/17.1.121 .
^ Digging Deeper into Data Breaches: An Exploratory Data Analysis of Hacking Breaches Over Time . Procedia Computer Science. 2019-01-01, 151 : 1004–1009 [2021-05-07 ] . ISSN 1877-0509 . doi:10.1016/j.procs.2019.04.141 . (原始内容存档 于2021-12-15) (英语) .
^ Harris, Elizabeth A. Data Breach Hurts Profit at Target . The New York Times. 27 February 2014 [11 May 2016] . (原始内容存档 于2021-11-02).
^ Manworren, Nathan; Letwat, Joshua; Daily, Olivia. Why you should care about the Target data breach. Business Horizons. May 2016, 59 (3): 257–266. ISSN 0007-6813 . doi:10.1016/j.bushor.2016.01.002 .
^ Hydrocarbon Processing . September 29, 2016 [2021-05-07 ] . (原始内容存档 于2021-12-15).
^ Data breaches cost healthcare industry $6.2B . Becker's ASC Review. May 12, 2016 [2021-05-07 ] . (原始内容存档 于2019-04-17).
^ Meisner, Marta. Financial Consequences of Cyber Attacks Leading to Data Breaches in Healthcare Sector. Copernican Journal of Finance & Accounting. 2018-03-24, 6 (3): 63. ISSN 2300-3065 . doi:10.12775/CJFA.2017.017 .
^ Trautman, Lawrence J. Corporate Directorss and Officerss Cybersecurity Standard of Care: The Yahoo Data Breach. SSRN Working Paper Series. 2016. ISSN 1556-5068 . doi:10.2139/ssrn.2883607 .
^ 2010 Annual Study: German Cost of a Data Breach (PDF) . Ponemon Institute. February 2011 [2011-10-12 ] . (原始内容 (PDF) 存档于2015-09-24).
^ Cheng, Long; Liu, Fang; Yao, Dangfei. Enterprise data breach: causes, challenges, prevention, and future directions. WIREs Data Min. Knowl. Discov. 2017, 7 (5): e1211. doi:10.1002/widm.1211 .
^ "Active-duty troop information part of stolen VA data 互联网档案馆 的存檔 ,存档日期2010-04-01.", Network World , June 6, 2006
^ AOL搜索信息泄漏引火烧身 官方出面道歉-搜狐IT . it.sohu.com. [2021-05-08 ] . (原始内容存档 于2021-05-08).
^ 波音公司3.6万名员工数据意外被泄 . www.sohu.com. [2021-05-08 ] . (原始内容存档 于2021-05-08) (英语) .
^ T.J. Maxx data theft worse than first reported . NBC News . 2007-03-29 [2009-02-16 ] . (原始内容存档 于2020-02-15).
^ Ray Barrett. Letter from Ray Barrett to Voters Regarding Breach of Security (PDF) . 2008年1月2日 [2021年5月7日] (英语) .
^ Manning, Jeff. D.A. Davidson fined over computer security after data breach . The Oregonian. 2010-04-13 [2013-07-26 ] . (原始内容存档 于2018-11-22).
^ GE Money Backup Tape With 650,000 Records Missing At Iron Mountain . InformationWeek. [11 May 2016] . (原始内容 存档于2013-01-26).
^ Reckard, E. Scott. Bank of America settles Countrywide data theft suits . Los Angeles Times. August 24, 2010 [2021-05-07 ] . (原始内容存档 于2012-03-10).
^ UK - BNP activists' details published . BBC. 2008-11-18 [11 May 2016] . (原始内容存档 于2017-08-27).
^ Heartland Payment Systems Uncovers Malicious Software In Its Processing System 互联网档案馆 的存檔 ,存档日期2009-01-27.
^ 索尼遭遇互联网最大数据泄漏事件 --IT--人民网 . it.people.com.cn. [2021-05-08 ] . (原始内容存档 于2021-05-08).
^ Bell, Stephen. Lessons From the RSA Breach . CSO Online. 2011-10-04 [2021-05-08 ] . (原始内容存档 于2021-05-08) (英语) .
^ Greenberg, Andy. Citibank Reveals One Percent Of Credit Card Accounts Exposed In Hacker Intrusion . Forbes. 9 June 2011 [2014-09-05 ] . (原始内容存档 于2021-05-13).
^ Honan, Mat. Kill the Password: Why a String of Characters Can't Protect Us Anymore . Wired . 2012-11-15 [2013-01-17 ] . (原始内容存档 于2014-03-28).
^ Honan, Mat. How Apple and Amazon Security Flaws Led to My Epic Hacking . Wired . August 6, 2012 [26 Jan 2013] . (原始内容存档 于2014-03-26).
^ Protecting the Individual from Data Breach . The National Law Review. Raymond Law Group. 2014-01-14 [2013-01-17 ] . (原始内容存档 于2021-05-09).
^ Public Incident Response Report (PDF) . State of South Carolina. 2012-11-12 [2014-10-10 ] . (原始内容 (PDF) 存档于2014-08-23).
^ South Carolina: The mother of all data breaches . The Post and Courier. 2012-11-03 [2014-10-10 ] . (原始内容存档 于2016-09-08).
^ Adobe hack: At least 38 million accounts breached . BBC News. 2013-10-30 [2021-05-08 ] . (原始内容存档 于2021-12-15) (英国英语) .
^ Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores . Target Corporation. 19 December 2013 [19 January 2016] . (原始内容存档 于2021-11-24).
^ Apple Media Advisory: Update to Celebrity Photo Investigation . Business Wire (StreetInsider.com). September 2, 2014 [2014-09-05 ] . (原始内容存档 于2021-05-13).
^ Apple toughens iCloud security after celebrity breach . BBC News. 2014-09-17 [2021-05-08 ] . (原始内容存档 于2021-05-07) (英国英语) .
^ Melvin Backman. Home Depot: 56 million cards exposed in breach . CNNMoney . 18 September 2014 [2021-05-07 ] . (原始内容存档 于2021-10-20).
^ 史上最大卡信息泄露事件:美国家得宝5600万信用卡信息被盗 - FreeBuf网络安全行业门户 . www.freebuf.com. [2021-05-08 ] . (原始内容存档 于2018-04-16).
^ Staples: Breach may have affected 1.16 million customers' cards . Fortune. December 19, 2014 [2014-12-21 ] . (原始内容存档 于2014-12-21).
^ James Cook. Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far . Business Insider . December 16, 2014 [December 18, 2014] . (原始内容存档 于2014-12-17).
^ Data breach at health insurer Anthem could impact millions . 15 February 2015 [2021-05-07 ] . (原始内容存档 于2021-05-16).
^ Online Cheating Site AshleyMadison Hacked . krebsonsecurity.com. 2015-07-15 [2015-07-20 ] . (原始内容存档 于2021-12-16).
^ TalkTalk Hacked…Again . Check&Secure. 2015-10-23 [2015-10-23 ] . (原始内容 存档于2015-12-23).
^ "British teenager who 'cyber-terrorised' US intelligence officials gets two years detention 互联网档案馆 的存檔 ,存档日期2018-04-22.". The Independent. April 21, 2018.
^ "Hackers publish contact info of 20,000 FBI employees 互联网档案馆 的存檔 ,存档日期2018-04-22.". CNN. February 8, 2016.
^ UK teen Kane Gamble gets two years for hacking CIA ex-chief John Brennan 互联网档案馆 的存檔 ,存档日期April 22, 2018,.". Deutsche Welle. April 20, 2018.
^ 5 IT Security Lessons from the Comelec Data Breach . IT Solutions & Services Philippines - Aim.ph. [2016-05-06 ] . (原始内容存档 于2021-05-07).
^ 10亿用户数据大泄露 雅虎被“黑”隐瞒3年--国际--人民网 . world.people.com.cn. [2021-05-08 ] . (原始内容存档 于2021-05-08).
^ 新浪财经. 雅虎30亿帐号或全部受早先数据泄露事件影响 . tech.sina.com.cn. 2017-10-04 [2021-05-08 ] . (原始内容存档 于2021-05-08).
^ DeMarco, Edward. Washington Wrap Up. ProQuest 2043172601 .
^ 韩美大量军事机密遭窃 黑客或来自朝鲜 . RFI - 法国国际广播电台. 2017-10-10 [2021-05-08 ] . (原始内容存档 于2021-05-08) (中文(简体)) .
^ Graham-Harrison, Emma; Cadwalladr, Carole. Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach . The Guardian . 17 March 2018. (原始内容 存档于18 March 2018).
^ Wong, Julia Carrie. Google to shut down Google+ after failing to disclose user data breach . the Guardian. 2018-10-09 [2018-10-10 ] . (原始内容存档 于2021-11-09).
^ MyFitness Pal Data Breach March 15, 2018 - Hacked . www.javarosa.org. [2018-04-03 ] . (原始内容 存档于2018-03-31).
^ Saks, Lord & Taylor breach: Data stolen on 5 million cards . CNNMoney . April 2018 [2018-04-03 ] . (原始内容存档 于2021-08-18).
^ Everything you need to know about the Reddit data breach . siliconrepublic.com. 2018-08-02 [2018-12-05 ] . (原始内容存档 于2021-05-07).
^ Customer Data Theft . British Airways. [October 20, 2018] . (原始内容存档 于2021-05-07).
^ Sandle, Paul. BA apologizes after 380,000 customers hit in cyber attack . Reuters. September 6, 2018 [October 20, 2018] . (原始内容存档 于2021-11-21).
^ US CMS says 75,000 individuals' files accessed in data breach . Deccan Chronicle. October 20, 2018 [October 20, 2018] . (原始内容存档 于2021-08-18).
^ Passwords from 100 million Quora users stolen in data breach . December 4, 2018 [January 27, 2019] . (原始内容存档 于2021-08-15).
^ Hacker causes mass data breach in Bulgaria . [2021-05-07 ] . (原始内容存档 于2020-09-29).
^ HIPAA nightmare: An IT vendor’s error left more than 300,000 files with protected health information exposed . [2021-05-08 ] . (原始内容存档 于2021-05-13) (美国英语) .
^ Democratic Senate campaign group exposed 6.2 million Americans’ emails . TechCrunch. [2021-05-08 ] (美国英语) . [失效連結 ]
^ Database leaks data on most of Ecuador's citizens, including 6.7 million children . ZDNet. September 16, 2019 [2019-09-16 ] . (原始内容存档 于2021-08-26).
^ Statement Regarding Recent Security Issue . Help Center. [2021-05-08 ] (美国英语) . [失效連結 ]
^ Microsoft hack: 3,000 UK email servers remain unsecured . BBC News. 2021-03-12 [2021-03-12 ] . (原始内容存档 于2021-03-15) (英国英语) .
^ Staff, Reuters. 微软Exchange软件出现漏洞 至少遭10个黑客组织利用--研究机构 . Reuters. 2021-03-11 [2021-05-08 ] . (原始内容存档 于2021-05-13) (英语) .
^ 超星学习通回应“用户数据泄露”传闻:已经向公安机关报案 . 澎湃新闻 . [2022-07-05 ] . (原始内容存档 于2022-07-05).
^ 港媒:网传上海公安系统遭骇 10亿中国人个资称廉价售 . [2022-07-04 ] . (原始内容存档 于2022-07-05).