编者按:数字空间身份问题是数字经济的核心问题。随着互联网身份数据不断扩充,每一次触目惊心的数据泄露事件的发生,都将进一步加剧数字空间身份危机。本文节选了汪德嘉博士《身份危机》一书中部分国内外知名且影响巨大的数据泄露事件,以期能够引起广大读者和互联网从业者对数字身份保护的重视。
当一场事故中发生敏感,受保护或机密数据可能被未经授权的个人查看、偷窃或使用的事件,即可定义为数据泄露。 数据泄露往往涉及支付卡信息(PCI),个人健康信息(PHI),个人身份信息(PII),商业秘密或知识产权。
随着科技的发展,互联网数据越来越多,也越来越详实,数据泄露好比现实世界的核泄漏,给人们带来巨大影响。对于个人,用户信息泄露,则用户账号面临被盗风险,个人隐私及财产安全难以保障。对于企业,信息泄露事件会导致其在公众中的威望和信任度下降,会直接使客户改变原有选择倾向。数据泄露事件可能会使企业失去一大批已有的或者潜在的客户。
因此也可以说,在数据信息的作用与地位日渐重要的今天,数据信息的安全问题是关乎企业声誉、公众信任感、经济利益、生死存亡的问题,企业数据信息的安全程度将会影响企业的外部竞争力。
1.美国医疗保险公司Anthem八千万个人信息被窃
2015年2月,美国第二大医疗保险公司Anthem(见图1-1)表示被黑客入侵并盗走8000万个人信息,包括当前和以前的保险客户和员工。
图1-1 Anthem公司
在一封致客户的声明中,Anthem首席执行官约瑟夫·斯维迪什表示,Anthem受到的外部攻击“非常高端精密”,丢失的个人数据包括姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址和员工信息。但他同时表示,没有任何信用卡及医疗记录被泄露的证据。
Anthem目前在册客户为3700万。一位发言人表示,公司在发现入侵后马上开始漏洞的修补工作,并与FBI和安全公司Mandiant协同工作以了解信息泄露的程度。
斯维迪什表示,他自己的个人信息在此入侵事件中也被泄露,公司将逐个联系每一位信息被泄露的人,并为受到影响的人提供免费的信用监控和身份保护服务。
从2014年8月CHS(美国医疗社区系统)信息泄露450万条患者信息事件之后,执法部门就开始警告医疗机构将面临数据泄露加剧的风险。
2.Hacking Team 400G数据泄露
Hacking Team是一家专注于开发网络监听软件的公司,他们开发的软件可以监听几乎所有的桌面计算机和智能手机,包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等,Hacking Team不仅提供监听程序,还提供能够协助偷偷安装监听程序的未公开漏洞(0day)的全套服务。
Hacking Team的客户不乏各国的执法机构,甚至包括了联合国武器禁运清单上的国家,不愧为新时代的IT军火供应商。搞笑的事情发生了,在我们的印象中,军火商都应该是荷枪实弹、戒备森严的,可是Hacking Team的老板一觉醒来,却发现自己的军火仓库和账房被偷了个底朝天。
2015年7月初,Hacking Team的官方推特被黑(见图1-2),官方主页面的banner更名为“Hacked Team”,随后更新的推文展示了已经被窃的数据,包括公司创始人兼CEO vincent Vincenzetti的邮件。
图1-2 Hacking Team官方推特被黑
根据Speech(美国公民自由联盟的隐私和技术项目)的首席技术官Christopher Soghoian表示,Hacking Team被窃取超过400GB大小的数据。被盗数据包括Hacking Team一些产品的源代码、电子邮件、录音和客户详细信息。据了解,Hacking Team掌握的大量漏洞和攻击工具也暴露在这400GB数据中。更可怕的是,此次事件一下就把已经工程化的漏洞和后门代码全部公开了,泄露的数据可以在互联网上公开下载和传播,等于数万吨TNT炸药让恐怖分子随意领取,对世界安全形势造成严重威胁。
3.领英一亿用户数据泄露
2016年5月外号“和平”(peace)黑客成功入侵全球最大职业社交网站LinkedIn(领英)(见图1-3)的服务器,盗取1.67亿笔使用者登入资料,其中包含了用户密码及电子邮箱地址,并在在网上转售些数据,售价仅为5个比特币(约合两千多美元)。
图1-3 领英
此次被盗密码都用了SHA1算法进行过散列化处理,虽然SHA1是一套非常强大的数据加密算法,但如果有足够的时间和资源,攻破它也不算难事儿。另外,再加上那个时候LinkedIn还没有对用户数据进行salting(加盐)处理,也就是说,在那个时期里,拿下用户的密码对于不法分子来说是件容易的事情。
官方发公告表示,相信该次黑客入侵事件是2012年的延伸,当年一名黑客从该网站上窃取了650万个用户密码,随后将其上传至俄罗斯的一个黑客论坛上。如今看来,“650万”这个数字仅仅是冰山一角。这一次数据泄露的资料可能一半以上是来自上一次的盗取所得。LinkedIn现已着手要求安全员工追查事件并改善系统安保,为了保持私人数据的安全性,领英建议用户应及时更换在该网站的密码(以及在其他任何网站上使用的与其相同的用户名及密码),同时采取双因素认证的方式保证安全性(即在用户登陆时向其手机发送安全认证码)两步验证以确保就算密码被盗第三方也无法登入用户帐号。
4 . 雅虎十亿用户数据泄露
2016年9月,雅虎公司(见图1-4)披露了一起大规模数据泄露事件,称会影响到至少5亿个用户。并且,雅虎相信这是一次得到国家支持的网络攻击。
华尔街见闻之前曾报道,2016年8月份,就有黑客在网上售卖2亿雅虎用户资料信息。
而仅仅过去三个月,雅虎又遭遇了数据泄露。2016年12月雅虎称发现了新的安全漏洞,该漏洞可追溯至2013年8月,该漏洞造成至少10亿用户的信息被盗,雅虎方面称支付卡数据和银行账户信息没有储存在受影响的系统中,但被盗信息“可能包含”姓名、电子邮件地址、电话号码、出生年月、散列密码,甚至加密或未加密的安全问题及答案。
图1-4 雅虎
据悉,这次造成密码外泄是因为雅虎用了MD5算法,而这种算法2013年时对黑客来说就已经是小儿科了,因此,这些账户对黑客来说根本就是不设防的。
雅虎还表示,该公司认为发动此次攻击的黑客已经接触到雅虎的专有代码,学会了如何通过伪造cookie的方式,在无需输入密码的情况下进入用户帐号。如此大规模的单一网站信息遭窃的案件,使得雅虎股价跌幅超过6%。
最令人震惊的是,这次10亿的数据泄露跟9月的5亿用户数据泄露并无关联,这就意味着在短短3个月内,雅虎用户数据泄露总数已经达到15亿人次。接二连三的负面新闻,让网友纷纷表示很难再信任雅虎。
5 . 洲际酒店集团二度遭遇信用卡数据泄露
洲际酒店(见图1-5)集团2017年4月公布,该集团旗下逾1000家酒店遭遇信用卡数据泄露。这是洲际酒店第二次发生信用卡数据泄露。今年早些时候,集团曾告知其客户,2016年8月至12月在美国12家IHG酒店的餐厅及酒吧使用的信用卡数据遭泄露。
洲际集团成立于1777年,是目前全球最大及网络分布最广的专业酒店管理集团,拥有洲际、皇冠假日、假日酒店等多个国际知名酒店品牌和超过60年国际酒店管理经验。同时洲际酒店集团也是世界上客房拥有量最大(高达650,000间)、跨国经营范围最广,分布将近100个国家,并且在中国接管酒店最多的超级酒店集团。包括中国大陆25个省、区、市。
图1-5 洲际酒店
据通告内容,支付卡网络告知IHG在美洲运营的旗下连锁酒店,客户在这些地点合法使用信用卡之后,出现了一些未经授权的收费。酒店方面已经雇佣了一家顶级网络安全企业调查美洲地区连锁酒店的支付卡处理系统。
“调查发现恶意程序运行迹象,2016年9月29日至12月29日期间在IHG旗下连锁酒店前台使用的支付卡数据遭该恶意程序访问。虽然2016年12月29日之后没有未授权访问的迹象,但是直到2017年2月和3月这些酒店接受调查之后,才确认该恶意程序已被彻底清除。此事件发生前,许多IHG品牌酒店已经部署安全支付解决方案(SPS)——点到点加密支付接收解决方案。已经部署SPS的酒店并未受到影响。”
客户在受影响酒店进行信用卡支付后,该恶意程序从信用卡磁条中读取记录数据,包括信用卡号码、有效期、内部验证码,有些情况下还包括持卡人姓名。酒店表示其他信息并未受到影响。
洲际集团目前已发布一个网页,供用户查询自己是否受到此次事件影响。目前集团并没有公布受影响酒店的具体数据,但是根据查询页面的信息,受影响的酒店分布于美国和波多黎各的多个省市,粗略统计总数超过1000家。
洲际酒店专门设立了专线来解答用户疑问。酒店还建议信用卡用户时刻保持警惕,检查信用卡账单明细,注意任何未授权活动,严防诈骗,如发现任何未授权收费,请上报信用卡发行方,或者立即联邦贸易委员会等相关组织并报警。
6 . 美征信机构数据库遭攻击 1.43亿美国人信息或泄露
2017年9月美国征信机构Equifax(见图1-6)称它们的数据库遭到了攻击,将近1.43亿美国人的个人信息可能被泄露,这几乎是全美人口的一半。
报道称,网络犯罪者已经接触到了包括姓名、社会安全号码、出生日期、地址和驾照编号等在内的敏感信息。还有约20.9万美国客户的信用卡卡号泄露。此外还有18.2万用户的个人识别信息,连居住在英国和加拿大的人也受到影响。
Equifax称,这次信息泄露可能发生在5月中旬到7月之间。公司称它们于7月29日制止了此次攻击。Equifax表示,攻击者可以通过利用应用程序漏洞来访问特定文件,从而进入公司的网络系统。但是,该公司并未说明是哪个应用程序或哪个漏洞造成了此次数据泄漏事件。
图1-6 Equifax
美国有线电视台(CNN)称,从被泄露信息的广度和类型来看,此次数据泄露可能是有史以来“最糟糕的”。
Equifax的董事长兼首席执行官理查德·史密斯称:“对我们的公司来说,这显然是一起令人失望的事件,打击了我们工作的核心。”
Equifax是全美三大征信机构之一,追踪和评估美国消费者的财务状况。它有客户的贷款和信用卡资料,并有相关的决定信用评分的信息。
Equifax的数据是从信用卡公司、银行和销售商等多种渠道获得。这些机构会将客户个人的信用活动报给征信机构。因此,并非所有受到此次信息泄露影响的人,都知道他们是Equifax的客户。
Equifax还专门建立了新网站,为用户评估个人数据的泄露程度。消费者可以通过提交姓氏和社会安全号的后六位来查询自己是否受到影响。Equifax也将寄送文件给那些受到影响的客户。通常在出现公司数据泄露事件之后,都会提供免费的信用文件监控和身份保护服务,如果用户的信息出现在泄露文件的名单中,那么就必须要采取后续的补救措施。
数据泄露事故曝光后,Equifax股价累计跌幅达30%以上,市值蒸发近50亿美元。美国证券交易委员会(SEC)的文件显示, Equifax的三名高管在这起大规模数据泄露事故被发现后的三天内抛售了他们所持的价值近200万美元的公司股票,当时这起泄漏事件还未向公众曝光。近四十名参议员在9月12日要求司法部、SEC和FTC联手调查这家公司高管在泄密发生后抛售股票的操作。
其实,这并不是Equifax或其他大型信用局第一次遭遇如此大规模的泄漏事件。今年5月份,据外媒报道称,攻击者利用了Equifax公司TALX薪资部门的安全漏洞,实施了攻击活动。据悉,该部门主要提供在线薪资、人力资源以及税务等方面的服务。
2015年,Experian发生数据泄漏事件,至少1500万用户的个人信息受到影响。之后,Experian还在几个月内允许一名冒充美国私人调查员的越南人访问其数据库。实际上,这名越南人是在进行身份盗窃活动,帮助网络窃贼查找超过2亿美国公民的个人和财务数据。
结语:互联网数据泄露带来的危机还远不止于此,除个人信息泄露、信用卡支付信息泄露、账户被盗、影响企业股价等危害外,严重的互联网数据泄露问题,尤其是政府部门数据泄露,还将直接导致危害国家安全的严重后果,具体内容我们将在《数据泄露引发网络身份危机(下篇)》中进行详细内容刊载,敬请期待。