轉瞬之間，我們迎來了新的一年2019。但2018年的互聯網安全圈還是和往年一樣并不安生，各種互聯網安全事件時有發生。

而2018年最為頻繁的安全事件莫過于數據泄露，雖然互聯網的整體安全性都在提升，但依然出現了幾波影響力頗大的用戶信息被黑客盜走泄密的事件，動輒幾億用戶數據遭到外泄，給企業和用戶帶來了不可估量的嚴重后果。?

2018國內重要泄漏事件

1

北京瑞智華勝公司

泄漏數據量：30億

紹興市警方破獲了一起特大流量劫持案。犯罪團伙涉嫌非法竊取用戶個人信息30億條，非法牟利超千萬元，涉及百度、騰訊、阿里、京東等全國96家互聯網公司產品。在涉案的三家企業中，北京瑞智華勝公司為新三板上市企業。

2

圓通速遞

泄漏數據量：約10億

2018年6月19日，一位ID為“f666666”的用戶公然在暗網上兜售圓通10億條快遞數據，這引發了外界的廣泛關注，據稱，這些外泄的數據是2014年下旬的數據，其中包括有寄(收)件人姓名，電話，地址等信息。

當時暗網對外泄數據進行了明碼標價，用戶只需花費430元人民幣即可購買到100萬條圓通快遞的個人用戶信息，而10億條數據則需要約43000元人民幣(約當時1比特幣)。

3

華住酒店集團

泄漏數據量：約5億

2018年8月，根據暗網中文網帖子顯示，華住旗下所有酒店的數據被公開售賣，其中包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等多家華住旗下酒店均在其列！

而所泄露數據竟達5億條之巨——包括華住官網的注冊資料(姓名、手機號、郵箱、身份證號、登錄密碼等信息)，共53G，大約1.23億條記錄；此外還包括有住戶在酒店入住時的登記身份信息(包括姓名、身份證號、家庭住址、生日、內部ID號等信息)，共計22.3G，大約1.3億人身份證信息；最后還包含有酒店的開房記錄(包括內部id 號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店id號、房間號、消費金額等信息)，共66.2G，大約2.4億條記錄。

4

萬豪酒店集團

泄漏數據量：約5億

華住酒店的數據泄露事件剛剛告一段落，11月底，萬豪集團旗下酒店步華住集團后塵，其住客數據也慘遭泄露。據官方消息顯示，萬豪集團旗下喜達屋酒店的一個客房預訂數據庫被黑客入侵，在2018年9月10日或之前曾在該酒店預定的最多約5億名客人的信息或被泄露。

5

順豐速運

泄漏數據量：約3億

快遞行業的數據泄露事件不僅圓通一家中槍，2018年7月，有3億用戶數據在暗網售賣，而被兜售的數據為順豐的快遞信息，其中包含寄收件人姓名、地址、電話等信息。

作為快遞行業口碑最好的快遞公司，此次用戶信息外泄事件對順豐來講無疑是一記耳光。據稱，3億條用戶信息的打包價為2個比特幣，當時市值約10萬人民幣。

6

陌陌

泄漏數據量：3000萬

12月3日有消息稱，陌陌3000萬數據在暗網上以50美元的低價出售。根據網上流傳的截圖，賣家以“陌陌3000萬數據庫”為名稱，包含手機號、密碼等字段，數據寫入時間是2015年7月17日，賣家稱數據通過撞庫得來。

7

AcFun彈幕視頻網

泄漏數據量：近千萬

2018年6月13日凌晨，AcFun(A站)發布公告稱，A站受到黑客攻擊，近千萬條用戶數據外泄，A站在公告中強調，2017年7月7日之后從未登陸過的用戶以及密碼強度低的用戶需要立刻更改密碼，而跟A站用戶信息中密碼保持一致的，也要一并更改。

而在黑客成功攻擊A站并竊取用戶信息后，很快在暗網上發布售賣信息，900萬條用戶數據售價為40萬人民幣。

8

國泰航空

泄漏數據量：940萬

10月24日，國泰航空宣布，國泰航空及子公司港龍航空有限公司約940萬乘客資料泄露。

被泄露資料包括: 乘客姓名、國籍、出生日期、電話號碼、電子郵件地址、地址、護照號碼、身份證號碼、飛行常客計劃的會員號碼、顧客服務備注及過往的飛行記錄資料。此外，有403張已逾期的信用卡號碼曾被不當取覽。另有27張無安全碼的信用卡號碼曾被不當取覽。大約86萬個護照號碼及24.5萬個香港身份證號碼曾被不當取覽。但國泰航空表示，目前并沒有證據證明這些信息被不當利用。

9

前程無憂

泄漏數據量：195萬

2018年6月16日，有人在暗網開始叫賣招聘網站前程無憂(51job.com)用戶信息，其中涉及195萬用戶求職簡歷，隨后前程無憂方面確認部分用戶賬戶密碼被撞庫。

為了證實泄露數據的真實性，前程無憂方面還進行了一定的測試，結果發現信息是真實可靠的，不過官方強調，數據中絕大部分來自于一些郵箱泄露的賬戶密碼，且都是在2013年之前注冊。對此前程無憂強調，出現這樣的情況并非拖庫，而是惡意用戶通過這些已泄露的郵箱賬戶及密碼，對相應的站點進行登錄匹配，然后蓄意倒賣。

10

多個外賣平臺被曝泄漏用戶信息

4月23日，新京報曝光了美團、餓了么等外賣平臺用戶信息被泄露，賣家、網絡運營公司以及外賣騎手參與其中，每條信息最低不到一毛錢，卻精確到你吃的什么、在哪兒吃的等私密信息。

消息曝出后，美團回應稱已啟動了相關信息的核實排查，同時已向警方報案。但由于公司業務復雜，犯罪團伙難免獲得這些數據。另一家外賣平臺餓了么則表示，平臺也是受害者，看到相關報道后，已開始全力排查。

2018國外重要泄漏事件?

1

Aadhaar

泄漏數據量：11億

今年1月份，論壇報業集團（Tribune News Service）的記者為WhatsApp上匿名賣家提供的一項出售登錄憑證的服務支付了500盧比。通過這項服務，記者可以輸入任何一個Aadhaar號碼（一個12位的唯一標識符，每個印度公民會使用到它）檢索印度唯一身份識別管理局（UIDAI）存儲的關于被查詢公民的諸多類型的信息。這些數據包括姓名、住址、照片、電話號碼和電子郵箱地址。在向賣家額外支付300盧比的費用后，任何人都可以通過該軟件打印某個Aadhaar號碼歸屬者的身份證。

據信，這起數據泄露事件已經損害了在印度注冊的11億公民的個人信息。

2

Under Armour

泄漏數據量：5億

3月25日，Under Armour獲悉有人未經授權訪問了MyFitnessPal平臺，這是一個用于跟蹤用戶飲食和鍛煉情況的平臺。美國全國廣播公司財經頻道（CNBC）在當時報道說，負責此次黑客入侵的犯罪分子訪問了用戶的用戶名、電子郵件地址和哈希密碼。但沒有暴露用戶的付款信息，因為Under Armour對這些數據進行了分別處理。同時，它也沒有損害社會安全號碼或駕駛執照號碼，因為服裝制造商表示它并不會收集此類數據。

據信，超過1.5億MyFitnessPal用戶的信息在數據泄露中受到了損害。

3

Exactis

泄漏數據量：4億

安全研究員Vinny Troia在2018年6月發現，總部位于佛羅里達州的市場營銷和數據聚合公司Exactis已將一個數據庫暴露在可公開訪問的服務器上。該數據庫包含2TB的信息，其中包括數億美國人和企業的詳細信息。在撰寫本文時，Exactis尚未確認受此事件影響的確切人數，但Troia表示他能夠找到近3.4億條個人記錄。他還向Wired證實，此事件暴露了消費者的電子郵箱地址、實際地址、電話號碼以及一系列的其他個人信息，在某些情況下包括極其敏感的細節，如孩子的姓名和性別。

4

MyHeritage

泄漏數據量：9200萬

一名安全研究員于6月4日聯系了在線家譜平臺MyHeritage的首席信息安全官，并透露他們在私人服務器上找到了一個標有“myheritage”的文件。在檢查文件后，MyHeritage的官員確認該資產包含了在2017年10月26日之前已注冊MyHeritage的所有用戶的電子郵箱地址。該公司發布的一份聲明稱，由于MyHeritage依賴第三方服務提供商來處理會員的付款，因此它也包含了他們的哈希密碼，但不包含支付信息。由于該服務將家譜和DNA數據存儲在與存儲電子郵箱地址的服務器不同的服務器上，MyHeritage表示沒有理由相信這些信息已經被暴露或受到損壞。

5

Facebook

泄漏數據量：8700萬

誰能忘記2018年3月令人震撼的Facebook數據泄露丑聞？當時，有報道稱，一家名為Cambridge Analytica的數據分析公司通過一個應用程序收集了5000萬Facebook用戶的個人信息，該應用程序詳細描述了用戶的個性、社交網絡以及在平臺上的參與度。盡管Cambridge Analytica公司聲稱它只擁有3000萬用戶的信息，但經過Facebook的確認，最初的估計實際上很低。今年 4月，該公司通知了在其平臺上的8700萬名用戶，他們的數據已經遭到泄露。

6月27日，安全研究員Inti De Ceukelaire透露另一個名為Nametests.com應用程序，它已經暴露了超過1.2億用戶的信息。

6

Panera

泄漏數據量：3200萬

4月2日，安全研究員Dylan Houlihan聯系了調查信息安全記者Brian Krebs，向他講述了他在2017年8月向Panera Bread報告的一個漏洞。該漏洞導致Panerabread.com以明文泄露客戶記錄，這些數據可以通過自動化工具進行抓取和索引。Houlihan試圖向Panera Bread報告這個漏洞，但他告訴Krebs，他的報告被駁回了。在此后的八個月里，Houlihan每個月都會檢查一次這個漏洞，直到最終向Krebs披露。隨后，Krebs在他的博客上公布這些細節。Krebs 報告發布后，Panera Bread暫時關閉了起網站。

盡管該公司最初試圖淡化此次數據泄露事件的嚴重程度，并表示受到影響的客戶不到1萬人，但據信真實數字高達3700萬。

7

Ticketfly

泄漏數據量：2700萬

5月31日，Ticketfly遭遇了一次攻擊，導致音樂會和體育賽事票務網站遭到破壞，并離線和中斷一周。據報道，此次攻擊事件背后的黑客先是警告Ticketfly存在一個漏洞，并要求其支付贖金。當遭到該公司的拒絕后，劫持Ticketfly網站，替換了它的主頁，用一個包含2700萬個Ticketfly賬戶相關信息（如姓名、家庭住址、電子郵箱地址和電話號碼等，涉及員工和用戶）的頁面。

8

Sacramento Bee

泄漏數據量：1950萬

今年2月，一名匿名攻擊者截獲了Sacramento Bee擁有并運營的兩個數據庫。其中一個IT資產包含加利福尼亞州州務卿提供的加州選民登記數據，而另一個則存儲了用戶為訂閱該報刊而提供的聯系信息。在截獲了這些資源之后，攻擊者要求支付贖金以換取重新獲得對數據的訪問權限。Sacramento Bee最終拒絕了這一要求，并刪除了數據庫，以防止在將來這些數據庫在被利用來進行其他更多的攻擊。

根據Sacramento Bee的說法，這起黑客攻擊事件共暴露了5.3萬名訂閱者的聯系信息以及1940萬加州選民的個人數據。

9

PumpUp

泄漏數據量：600萬

5月31日，ZDNet報道稱，安全研究員Oliver Hough聯系他們說發現了一臺暴露在互聯網上的后端服務器，并且沒有得到密碼。該服務器屬于健身應用程序PumpUp，它使得任何能夠找到它的人都能訪問大量的敏感用戶數據，包括用戶輸入的健康信息、照片以及用戶之間發送的私人消息。暴露的數據還包含Facebook訪問令牌，在某些情況下還包含未加密的信用卡數據，如卡號、到期日期和信用卡驗證值。

當ZDNet與PumpUp取得聯系時，該公司并沒有做出回應，但它確實悄悄地對服務器實施了保護措施。目前尚不清楚該資產在受到保護之前，已經暴露了多長的時間。

10

Saks和 Lord & Taylor

泄漏數據量：500萬

3月底，安全公司Gemini Advisory偶然發現了一個來自JokerStash黑客集團發布的公告，宣稱已出售有關500萬張被盜信用卡和借記卡的數據。在各種金融機構的協助下，Gemini Advisory公司對這些交易進行了追蹤，并最終將這些交易歸因于Saks Fifth Avenue和Lord＆Taylor的系統入侵。兩家百貨公司的共同所有者Hudson Bay在了解到這一事件之后，采取了補救措施。

互聯網信息安全事件無小事，小到一個城市的醫保系統，大到全球化的上市企業，一旦發生問題，會面臨安全漏洞或攻擊、丟失或泄露內部文件及客戶數據、使員工數據信息處于危險境地、遭受DDos攻擊、損失大量財產、使知識產權或商業秘密處于危險邊緣、感染病毒成為黑客攻擊目標等等，這不僅嚴重影響企業業務的運行，還會對企業的聲譽帶來重大的損失。

這二十起網絡安全事件對各行業都是很好的警醒，特別是在用戶隱私泄露、網絡中斷、系統故障等方面讓我們清醒地意識到，潛在的安全事件隨時都可能威脅企業的業務系統的安全。