報(bào)告顯示，相比去年數(shù)據(jù)泄露事件的數(shù)量2017年又增加了10%。并且還在以看不見的速度還在不斷的猛增。數(shù)據(jù)泄露的目標(biāo)也在不斷地?cái)U(kuò)大，從Equifax到Uber，我們今天來(lái)盤點(diǎn)一下2017年有哪10大數(shù)據(jù)泄露事件。

根據(jù)一份來(lái)自Identity Theft Resource Center和CyberScout的報(bào)告顯示，2017年前11個(gè)月，數(shù)據(jù)泄露事件繼續(xù)猛增，數(shù)量增加到1202起，這比2016年全年的1093起多出了10%。

數(shù)據(jù)泄露的目標(biāo)除了政府機(jī)構(gòu)和財(cái)富500強(qiáng)的最終客戶之外，已經(jīng)擴(kuò)大到第三方承包商和數(shù)據(jù)集成商，以及安全廠商和解決方案提供商自身。攻擊者的攻擊范圍也擴(kuò)大到從信用卡號(hào)碼到選民登記細(xì)節(jié)以及密碼和加密密鑰等方方面面。

此外，2017年以來(lái)這些重大的數(shù)據(jù)泄露事件導(dǎo)致的安全事件數(shù)量也在不斷增加，這些安全事件大多是由于錯(cuò)誤配置或者安全性較差的云服務(wù)器導(dǎo)致，在這種情況下不知道數(shù)據(jù)是否實(shí)際上已經(jīng)被泄露了。

從Equifax到Uber，下面就讓我們來(lái)看一看這些大規(guī)模的數(shù)據(jù)泄露和安全事件。

10：Carbon Black

安全解決方案提供商DirectDefense在8月表示，它發(fā)現(xiàn)了Carbon Black終端檢測(cè)和響應(yīng)（EDR）產(chǎn)品中存在重大的數(shù)據(jù)泄露，導(dǎo)致數(shù)千份關(guān)于該廠商客戶的文件和關(guān)鍵數(shù)據(jù)泄露。

據(jù)DirectDefense公司首席執(zhí)行官Jim Broome表示，這個(gè)數(shù)據(jù)泄露問(wèn)題主要集中在第三方、基于云的多掃描器服務(wù)，Carbon Black用這項(xiàng)服務(wù)來(lái)上傳文件以確定這些文件對(duì)于反病毒引擎來(lái)說(shuō)是好的還是壞的。

任何由這個(gè)EDR產(chǎn)品上傳、然后轉(zhuǎn)發(fā)到基于云的多掃描器上的文件，都可以被銷售提供給任何需要這些文件、愿意支付費(fèi)用的人。這涉及到出售作為惡意軟件樣本提交的文件。

Carbon Black稱DirectDefense的報(bào)告是不實(shí)的，可選的數(shù)據(jù)篩選功能是默認(rèn)關(guān)閉的，允許客戶與外部來(lái)源分享信息以更好地檢測(cè)威脅。DirectDefense是Carbon Black競(jìng)爭(zhēng)對(duì)手Cylance的頂級(jí)合作伙伴，多次在其博客文章中倡導(dǎo)其技術(shù)。

9：埃森哲

10月UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)小組透露，發(fā)現(xiàn)有多個(gè)AWS S3存儲(chǔ)塊讓埃森哲處于風(fēng)險(xiǎn)之中。該博客文章表示，這些服務(wù)器被配置為可被公共訪問(wèn)，且可公開下載。

報(bào)告稱，其中至少有4臺(tái)服務(wù)器是與Accenture Cloud Platform軟件相關(guān)的。數(shù)據(jù)中包含該云平臺(tái)內(nèi)部使用的信息，以及使用該平臺(tái)的客戶信息。

據(jù)稱，不安全的服務(wù)器暴露了秘密API數(shù)據(jù)、認(rèn)證憑證、證書、解密密鑰、客戶信息和可能被用于攻擊埃森哲及其客戶的數(shù)據(jù)。

埃森哲的一位發(fā)言人表示，還沒有證據(jù)表明有任何客戶的信息被泄露了，而且埃森哲有其他安全保護(hù)措施防止這種情況的發(fā)生。

8：德勤

衛(wèi)報(bào)在9月份的一份報(bào)道中表示，德勤全球電子郵件服務(wù)器遭到黑客攻擊，黑客可以訪問(wèn)發(fā)送給德勤員工的電子郵件、來(lái)自德勤員工的電子郵件、以及關(guān)于德勤一些頂級(jí)聯(lián)邦和私人客戶的信息。

該報(bào)道表示，黑客可以訪問(wèn)如客戶姓名、密碼、IP地址、架構(gòu)設(shè)計(jì)圖等信息。報(bào)道說(shuō)，德勤在3月發(fā)現(xiàn)了該攻擊，黑客入侵到該公司系統(tǒng)要追溯到2016年10月或者11月。

德勤并沒有在這臺(tái)郵件服務(wù)器上使用雙因素認(rèn)證，該服務(wù)器托管在Azure云服務(wù)上。報(bào)道稱，黑客通過(guò)管理員賬戶入侵了該服務(wù)器。

德勤證實(shí)了這一攻擊，但表示只有少數(shù)客戶受到攻擊的影響，德勤已經(jīng)進(jìn)行了全面的安全協(xié)議調(diào)查，并且通知了處于風(fēng)險(xiǎn)中的客戶。

7：美國(guó)證券交易委員會(huì)

美國(guó)證券交易委員會(huì)（SEC）在9月公開了一次數(shù)據(jù)泄露事件，這次泄露主要是利用了美國(guó)證券交易委員會(huì)數(shù)據(jù)庫(kù)申請(qǐng)應(yīng)用中的一個(gè)軟件漏洞。

美國(guó)證券交易委員會(huì)主席Jay Clayton表示，該組織在2016年發(fā)現(xiàn)了攻擊者的入侵，“這位通過(guò)交易獲得非法利益提供了基礎(chǔ)”。他表示，這次泄露是由于EDGAR系統(tǒng)測(cè)試申請(qǐng)組件中的一個(gè)軟件漏洞所導(dǎo)致，該系統(tǒng)允許用戶訪問(wèn)公開提交的金融監(jiān)管文件。

美國(guó)證券交易委員會(huì)并不認(rèn)為黑客竊取了任何個(gè)人身份信息或者危害到該委員會(huì)的運(yùn)營(yíng)，Clayton這樣表示，但是也調(diào)查了黑客是否使用這些信息從市場(chǎng)活動(dòng)中牟利，或者在網(wǎng)站上發(fā)布虛假SEC文件。

美國(guó)證券交易委員會(huì)并沒有提供任何關(guān)于哪些公司受到這些數(shù)據(jù)泄露事件影響或者程度如何的信息。

6：Cloudflare

2月，互聯(lián)網(wǎng)服務(wù)提供商Cloudflare發(fā)現(xiàn)的一個(gè)軟件錯(cuò)誤導(dǎo)致加密密鑰、PII數(shù)據(jù)、HTTP緩存、密碼、HTTP POST文件以及HTTPS請(qǐng)求的泄露。

這些泄露事件是由運(yùn)行通過(guò)其緩沖、返回包含敏感數(shù)據(jù)內(nèi)存的邊緣服務(wù)器所引起的，然后這些敏感數(shù)據(jù)被搜索引擎緩存下來(lái)。

該漏洞在2月13日和2月18日產(chǎn)生的影響最大，每330萬(wàn)個(gè)請(qǐng)求中就有1個(gè)請(qǐng)求被泄露，相當(dāng)于一天有大約120000個(gè)頁(yè)面，Cloudflare當(dāng)時(shí)這樣表示。客戶SSL私有密鑰并沒有泄露，也沒有證據(jù)表明黑客已經(jīng)利用了這些泄露事件，Cloudflare表示。

Cloudflare稱，已經(jīng)關(guān)閉了電子郵件模糊處理，服務(wù)器端排除在外，自動(dòng)HTTPS重寫以阻止泄露。此外Cloudflare還與Google及其他搜索引擎合作移除了緩存的HTTP響應(yīng)。

5：鄧白氏

據(jù)ZDNet在3月的報(bào)道，在鄧白氏所持有的52GB數(shù)據(jù)庫(kù)泄露中，有大約3370萬(wàn)個(gè)獨(dú)有電子郵件地址和聯(lián)系信息被泄露。

該數(shù)據(jù)庫(kù)還包含姓名、職位、工作職能、工作電子郵件地址和電話號(hào)碼，以及一般的公司信息。這些匯集了關(guān)于企業(yè)及其員工的很多信息，可以配量賣給或者部分賣給市場(chǎng)營(yíng)銷人員或者其他有針對(duì)性銷售活動(dòng)的公司。

這個(gè)遭到泄露的數(shù)據(jù)庫(kù)中包含關(guān)于AT&T、波音、戴爾、FedEx、IBM和施樂公司數(shù)以萬(wàn)計(jì)的員工信息，以及國(guó)防部10萬(wàn)多員工的廣泛記錄。

鄧白氏公司否認(rèn)自己的系統(tǒng)遭到了任何泄露或者入侵，現(xiàn)在還不清楚泄露是如何發(fā)生的。報(bào)道稱，這個(gè)數(shù)據(jù)庫(kù)已經(jīng)被賣給了數(shù)千家公司，然后這些公司可能都會(huì)受到影響。

4：美國(guó)共和黨全國(guó)委員會(huì)承包商

6月在AWS服務(wù)器上發(fā)生的大規(guī)模泄露導(dǎo)致近2億人的投票數(shù)據(jù)泄露。

這個(gè)由美國(guó)共和黨全國(guó)委員會(huì)承包商——營(yíng)銷公司Deep Root Analytics——所擁有的數(shù)據(jù)庫(kù)，由于保存在一臺(tái)公開可訪問(wèn)云服務(wù)器數(shù)據(jù)庫(kù)錯(cuò)誤配置導(dǎo)致泄露，而該服務(wù)器是托管在AWS S3上的。這些泄露事件最初是由UpGuard的網(wǎng)絡(luò)風(fēng)險(xiǎn)團(tuán)隊(duì)發(fā)現(xiàn)的。

泄露的數(shù)據(jù)包含超過(guò)1.98億美國(guó)選民的個(gè)人信息，如姓名、出生日期、家庭住址、電話號(hào)碼和選民登記細(xì)節(jié)。

UpGuard的報(bào)告稱，任何有互聯(lián)網(wǎng)連接的人都可以導(dǎo)航到這個(gè)數(shù)據(jù)包，可以下載這個(gè)數(shù)據(jù)倉(cāng)庫(kù)中的內(nèi)容。除了1.1TB泄露的數(shù)據(jù)之外，另外還有24TB數(shù)據(jù)沒有得到正確配置，UpGuard這樣表示。

3：Verizon

7月的ZDNet的一份報(bào)道稱，有超過(guò)1400萬(wàn)Verizon客戶的個(gè)人數(shù)據(jù)遭到泄露，這次事件突出了將數(shù)據(jù)保護(hù)實(shí)踐遷移到云的重要性。

據(jù)稱，這次安全失誤涉及技術(shù)提供商N(yùn)ice Systems，它讓Verizon客戶數(shù)據(jù)在AWS S3存儲(chǔ)實(shí)例上處于未被保護(hù)的狀態(tài)。數(shù)據(jù)包含姓名、電話號(hào)碼以及可能被用于訪問(wèn)其Verizon賬戶的PIN碼。

有多達(dá)1400萬(wàn)訂閱用戶受到影響，占到Verizon公司1.8億總訂閱用戶的10%。受影響的訂閱用戶主要是那些在最近6個(gè)月中調(diào)用了Verizon客戶服務(wù)的人。

該報(bào)道稱，數(shù)據(jù)泄露在外，只需要通過(guò)一個(gè)直接指向不正確配置的驅(qū)動(dòng)器的簡(jiǎn)單鏈接就可以輕松訪問(wèn)這些數(shù)據(jù)，但是報(bào)道并沒有說(shuō)黑客是否已經(jīng)訪問(wèn)了這些數(shù)據(jù)。Verizon稱這次事件被“夸大了”，并表示Verizon或者Verizon客戶信息沒有任何損失或者被盜的情況。

2：Uber

Uber在11月發(fā)現(xiàn)，黑客在去年一次大規(guī)模數(shù)據(jù)泄露事件中竊取了來(lái)自5700萬(wàn)名乘客和司機(jī)的信息。Uber在2016年10月向盜賊支付了10萬(wàn)美元用于刪除數(shù)據(jù)并對(duì)泄露事件保密，據(jù)彭博社的報(bào)道稱。

Uber公司首席執(zhí)行官Dara Khosrowshani表示，被黑客盜取的乘客和司機(jī)信息中包含來(lái)自第三方服務(wù)器的電話號(hào)碼、電子郵件地址、以及姓名。而向盜賊支付費(fèi)用這件事情是前首席安全官Joe Sullivan安全的，后者已經(jīng)被解雇了。

這次交易是由前CEO Travis Kalanick安排監(jiān)督的，后者已經(jīng)在8月離開公司。

據(jù)Khosrowshani表示，該事件并沒有涉及Uber的公司系統(tǒng)或者基礎(chǔ)設(shè)施。他還說(shuō)，Uber沒有看到任何跡象表明乘客和司機(jī)的出行地點(diǎn)歷史信息、信用卡號(hào)碼或者社會(huì)保障號(hào)碼被下載。

1：Equifax

Equifax在9月份透露，一次規(guī)模龐大的數(shù)據(jù)泄露導(dǎo)致其1.43億信用和信息服務(wù)客戶受到影響。這些事件最早是在7月29日發(fā)現(xiàn)的，是由美國(guó)網(wǎng)絡(luò)應(yīng)用的一個(gè)漏洞導(dǎo)致，該漏洞允許黑客訪問(wèn)某些特定文件。

泄露的信息包含姓名、出生日期、社會(huì)保障號(hào)碼、地址和一些駕照號(hào)碼信息，此外還有20多萬(wàn)個(gè)信用卡號(hào)碼和近20萬(wàn)個(gè)其他帶有個(gè)人身份信息的文件。

就在該泄露事件發(fā)生不到三周之后，該公司宣布首席執(zhí)行官Richard Smith將退休。他的離開立即生效，盡管Smith仍然是該公司的無(wú)償顧問(wèn)。

有解決方案提供商表示，Equifax對(duì)這一大規(guī)模泄露事件的處理方式表明，需要展示公司是有設(shè)置適當(dāng)?shù)墓碴P(guān)系和泄露通知程序的。具體來(lái)說(shuō)，有合作伙伴表示，事件響應(yīng)需要包含“非技術(shù)性”內(nèi)容，例如法律、監(jiān)管和合規(guī)、高管通知以及面向客戶的泄露通知。