360：2017年度安全報告--數據泄密(27頁)（27頁）.pdf

1、360 Computer Emergency Rediness Team, January 2018 文中部分信息直接參考外部文章（見參考），如有侵權或異議請聯系 2017 年度安全報告數據泄密 全球重大數據泄密事件回顧 全年泄密數據統計 41G 數據泄露和暗網 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20182 近年來 , 全球各地無論是政府組織 還是知名企業 , 頻繁被爆出大規模 數據泄露事件 , 尤 以信息化程度 發達的國家更為嚴重。2017 年全 年有大量重大泄密的事件發生 , 與 之前的數據 相比 ,

2、 數據隱患并不 令人樂觀。 IBM S 和 P I 兩家研究機構針對 13 個國家和 419 家公司進行調研并形成 “2017 年數據泄露成本調研: 全球概述”報告。通過調研顯示數據 泄露總成本達 到 362 萬美元。 威瑞森電信公司 (Verizon) 又發布了一年一度的2017 年的數據泄露調查報告, 對以往的的安全事件和數據泄露進行了分析。這份最新報告 總共分析了 42068 個安全事件以及來自 84 個國家的 1935 個漏洞。2017 年的數據泄露報告是一份“10 周年報”, 統計結果主要基于威瑞森 公司在過去十年里從 65 家不同的組織獲得的泄露數據。 在數據泄露原因方面 ,62%

3、 的數據泄露與黑客攻擊有關 ;81% 的的數據泄露涉及到撞庫或弱口令。 也就是說 , 直到 2017 年 , 人們使用密碼的習慣依然不太好 , 絕大部分人并沒有養成定 期修改密碼的習慣。 2017 年 6 月 2017 年 10 月 2017 DataBreach Investigations Report2017 Poor Internal SecurityPractices Take a Toll 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20183 2017 年 12 月 ,360CERT 通過大量數據調研

4、和成本分析 , 對于含有敏感信息和機密信息的記錄 , 發現數據泄露問題變的很嚴重 , 全年數據泄露 事件的平均規模上升 2%, 財產損失高達上億。很多企業均遭遇過數據泄露 , 受損數據不等。 2017 年整體數據比 2016 年全年增加了 13%, 其中 , 身份泄密很是堪憂 , 相比去年一年 , 增長了 49%。約 190 億的數據泄密記錄是在過去 一 年期間丟失和被盜 , 相比去年 , 增加了 164%。同時超過 5000 個數據泄密未知和未報告。 在接下來的幾年中 , 這很可能會開始改變 , 因為政府 制定了相關的規章 , 提高數據泄密的透明度。 2017 年 12 月 2017 年度安

5、全報告數據泄密 360 Computer Emergency Rediness Team, January 20184 重大數據泄露事件回顧 回顧整個 2017 年 , 產業信息化、數字化、網絡化進程加速 , 互聯網 + 已然成為一種不 可逆的趨勢 , 互聯網、云計算、大數據 帶來更新式革命 , 然而新趨勢下的數據安全狀況變得 越發嚴峻。 針對全年的數據泄露事件 ,360CERT 通過數據泄露指數來 表明數據泄露事件的危害和影響力。 360CERT 梳理了 2017 年全球十大影響力的數據泄露事件, 以此警示各企事業單位關注數據安全防護 , 保護其系統免受或降低 泄密風險。 在 2017 年

6、, 有幾個數據泄露評分指數達到 9.0 以上。下面 是一些頂級數據泄露的總結 : 數據泄露指數是由 泄密受損紀錄數據、 泄密數據類型以及 風險評估指數構成。 泄密指數是通過以 上三個因素 （權重） 計算而來。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20185 事件一：全球最大管理咨詢公司埃森哲大量敏感 數據泄露 泄露紀錄：4 臺云存儲服務器 泄露指數：9.2 分 事件時間：2017 年 10 月 事件回顧：2017 年 9 月 17 日，UpGuard 網絡風險研究主 管 Chris Vickery（克里斯維

7、克里）發現不安全的亞馬遜 S3 存 儲桶，任何人將存儲桶網頁地址輸入瀏覽器就能公開訪問、下載。 9 月 18 日研究人員粗略分析后發現，4 個存儲桶（acp- deployment、acpcollector、acp-software 和 acp-ssl）暴露 了埃森哲的內部重要數據，包括云平臺憑證和配置文件。 暴露的數據包括 API 數據、身份驗證憑證、證書、加密密鑰、 客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的其它更多數 據。如果泄露的數據有效，攻擊者可能會利用這些數據對客戶發起 攻擊。CSTAR（UpGuard 的專有網絡風險評分系統）對這起泄 露事件的網絡風險評分為 790。這起數

8、據泄露表明，即使最先進、 安全的企業也可能會將重要數據暴露在網上，造成嚴重后果。 這些數據一旦落入威脅攻擊者之手，這些云服務器可能會將 埃森哲及其數千個知名企業客戶置于惡意攻擊的風險之中，可能會 造成不可估量的經濟損失。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20186 事件二：德勤 500 萬數據泄漏，竟因員工將 G+ 公開平臺當記事本 (28 日更新 ) 泄露紀錄：500 萬數據 泄露指數：9.2 分 事件時間：2017 年 9 月 事件回顧： 2017 年 9 月 28 日德勤已成待宰魚肉：關鍵系 統

9、RDP、VPN 及代理登錄細節泄露。 周一：跨國咨詢公司德勤遭遇黑客攻擊，公司稱只是一次小 事故 周二：德勤公司大量 VPN 泄露，其中包括用戶名、密碼以 及操作細節，這些都被發布在一個 Github 倉庫中（內容在不久之 后被刪除）。 后經查證，一位德勤員工在大約六個月前將公司代理登錄憑 證上傳至他的 Google+ 上，這些信息直到剛剛才被刪除。通過對 泄露的登錄信息分析可知，德勤將一些關鍵的系統公開在外，并且 開啟了遠程桌面訪問。然而安全起見這些都是應該設置在防火墻后 并開啟雙因子認證的， 事實上， 德勤往往對他的客戶推薦這種做法， 雖然他自己并沒有做到。 全球稅務與審計公司Delloi

10、tte （德勤） 已經發表了官方公告稱， 公司遭受了一次網絡攻擊，在此次攻擊中，攻擊者成功竊取了大量 數據，其中包括公司某些客戶的私人郵件以及機密文檔。 正如其他信息安全專家發現的那樣，除此之外還有很多信息 在傳播，這些信息可以通過 Shodan 搜索到。利用這些信息，黑 客們可以黑入德勤的內部網絡。Google+ 頁面上的信息是所有人 都能看到的，所以黑客可以通過 Google 搜索到非常多的信息， 這些信息足以讓他對德勤發起一次攻擊。 當然了， 此次的Deloitte （德勤） 數據泄露事件并不是第一次， 而且肯定也不是最后一次， 希望其他公司要提高警惕， 千萬不要 “事 不關己高高掛起”

11、！ 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20187 事件三、搞事情！影子經紀人響應團隊正在為 NSA 泄露工具進行公開眾籌 泄密類型：黑客組織 泄密指數：9.2 分 事件時間：2013 年（2017 年 10 月更新數據） 事件回顧：近期影子經紀人正式對外宣布稱他們將會提供 一個“月度漏洞披露計劃”服務，而這項服務的訂閱費為 100 個 ZCASH 幣。這也就意味著，如果我們支付了影子經紀人所要求 的月服務費，我們就能夠第一時間拿到最新泄漏的漏洞信息。因此 在這個眾籌活動中，我們希望能夠集中整個安全社區的可

12、用資源， 這樣不僅能夠盡量避免類似 WannaCry 這樣的事件再次發生，而 且這對于那些資金不夠的白帽社區來說也是一次訂閱最新月度披露 數據的機會。 簡而言之，我們的目標就是從利益相關的第三方籌到足夠的 資金來訂閱影子經紀人每個月披露的漏洞信息。我們希望通過自己 的努力完成以下幾個任務： 1. 籌到足夠的資金以購買 100 個 ZCASH 幣； 2. 從正規合法的虛擬貨幣交易所購買 100 個 ZCASH 幣； 3.通過電子郵件地址將100個ZCASH幣轉賬給影子經紀人 ； 4. 訪問影子經紀人每個月公布的泄漏數據，并將其與所有資 助者分享； 5. 對泄漏數據進行分析，確定披露數據的影響程度

13、； 根據影子經紀人所提供的月度披露服務條款，每個月他們給 出的漏洞內容可能與下列幾種項目有關： 1.Web瀏覽器、 路由器和手機漏洞， 以及相應的漏洞利用工具 ； 2. NSA Ops Disk 中的最新資料，包括 Windows 10 的漏 洞以及相應的漏洞利用技術； 3. 被入侵網絡中的數據，包括 SWIFT（環球同業銀行金融 電訊協會）或核武器計劃； 影子經紀人手中可能沒有太多額外的數據了，他們很有可能 是在虛張聲勢，這也有可能是一次明目張膽的欺詐活動。但是我們 可以從公告 MS17-010 中看到，他們不僅很有可能擁有更多強大 的攻擊工具，而且還有可能擁有最新版 iOS 的越獄技術以及

14、先進 的 Android 端惡意軟件。但這一切都只是我們的猜測，事實到底 如何現在我們也無從得知。我們之前對影子經紀人泄漏的所有數據 進行了分析，而結論就是這個黑客組織絕對是一個可信的威脅，因 此我們認為他們這項月度披露服務的可信度非常高。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 20188 事件四、Equifax 美國征信機構數據泄露 泄密記錄：1.5 億用戶 泄密指數：9.6 事件時間：2013 年（2017 年 10 月更新數據） 事件回顧：美國征信機構 Equifax 稱它們的數據庫遭到了攻 擊，將近

15、1.43 億美國人的個人信息可能被泄露，這幾乎是全美人 口的一半。 報道稱，網絡犯罪者已經接觸到了包括姓名、社會安全號碼、 出生日期、地址和駕照編號等在內的敏感信息。還有約 20.9 萬美 國客戶的信用卡卡號泄露。此外，居住在英國和加拿大的人也受到 影響。 Equifax稱， 這次信息泄露可能發生在5月中旬到7月之間。 公司稱它們于 7 月 29 日制止了此次攻擊。 美國有線電視臺(CNN)稱， 從被泄露信息的廣度和類型來看， 此次數據泄露可能是有史以來“最糟糕的”。將近 1.43 億美國人 的數據庫詳情的的確確掌握在黑客手中。這些數據可能導致不同層 面的身份欺詐。一旦黑客將這些數據公布出去，

16、就是一場大災難。 如今指責黑客似乎也無濟于事，畢竟還是 Equifax 自己安保工作 不到位才導致這次泄露。 那么黑客到底是通過什么方式獲取到數據庫的密碼的呢？這 些控制面板的確安全性很差，但其他部分是否安全？事實上，這些 控制面板中還儲存了一些加密數據，但密鑰卻放在面板內部。一旦 面板被入侵，加密數據也不再安全。截圖表明，這些密鑰以及所有 Equifax 子公司的信息都保存妥善，但最后他們還是都被黑了。 Equifax 與執法部門配合展開了調查，并表示將在明年為其 客戶提供免費的身份盜竊保護和信用監控。 2017 年度安全報告數據泄密 360 Computer Emergency Redin

17、ess Team, January 20189 事件五、Uber 為 5700 萬份數據向黑客買賬 泄密紀錄：5700 用戶 泄密指數：9.3 分 事件時間：2017 年 9 月 事件回顧：去年 Uber 遭遇了大規模的數據泄露，泄露數據 包括 5700 萬司機與乘客的信息，而這件事則被當時的 CSO 以向 黑客付款10萬美元破財消災的方式壓制了下去。 Uber的CSO （首 席安全官）和他的助理因他們的惡劣行為被解雇。 數據泄露發生在去年十月份， 包括5000萬Uber用戶的姓名、 郵箱、電話號碼和 700 萬 Uber 司機的個人信息以及 60 萬份美 國司機駕駛證號碼。不過 Uber 聲

18、稱社會保障號、信用卡信息、交 通地理信息等其他數據并未泄露。 黑客攻擊過程如下：兩個攻擊者訪問了 Uber 軟件工程師的 私有 Github 倉庫并用從中拿到的登錄憑證登錄到了公司用來處理 計算任務的亞馬遜 Web 服務賬戶上，并在這個賬戶的數據中發現 了乘客和司機的信息。接下來就是已知的勒索過程了。 Uber 此 次 大 規 模 泄 露 事 件 相 比 Yahoo、MySpace、 Target、Anthem、Equifax 等黑客入侵事件來說并不算嚴重， 但值得我們注意的是他們極端的問題處理方式：隱藏消息，而不是 公之于眾。這是 Khosrowshahi 從前輩 Travis Kalani

19、ck 手中繼 承 Uber 后最近的一次丑聞。 各州和聯邦的法律都有要求公司在敏感數據泄露發生時要通 知用戶和政府部門。Uber 表示它有義務通知駕駛證信息被泄露的 司機用戶，但可惜當時并沒有做到。 Kalanick 在六月時因投資者壓力被迫辭掉 CEO 職位，投資 者認為他把公司置于嚴重的風險中。Uber 同時招聘了國家安全機 構的前法律總顧問 Matt Olsen，希望他能幫助公司重建安全隊伍， 還請隸屬于 FireEye 公司的 Mandiant 來協助調查這起事件。 Uber 最終聲明并沒有證據表示此次事件的泄露數據被黑客利 用，并將為信息被泄露的司機提供免費的信息保護監控服務。 20

20、17 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201810 事 件 六、 絕 密 文 件！ 100G ！ 泄 露！ NSA ！ Amazon S3! 泄密紀錄： 100G 數據 泄密指數：9.9 分 事件時間：2017 年 9 月 事件回顧：近日， 據外媒報道稱， 屬于美國國家安全局 （NSA） 的一個高度敏感的硬盤驅動器的內容已經公開在了Amazon Web Services 存儲服務器上。 該虛擬磁盤鏡像中包含了來自代號為“紅色磁盤（Red Disk）”的陸軍情報項目的超過 100GB 數據。分析顯示，該磁盤 鏡像屬

21、于美國陸軍的情報和安全司令部被稱為 INSCOM，它 是隸屬美國陸軍和國家安全局的一個部門。 據悉，該磁盤鏡像保留在非公開的 Amazon Web Services 存儲服務器上，但卻沒有設置密碼，這意味著任何發現它的人，都 可以通過政府秘密文件挖掘信息。本次數據泄露事件是由安全公司 UpGuard 的網絡風險研究主管 Chris Vickery 于今年 10 月份率 先發現，并隨即通報了相關政府機構這一違規行為的存在。隨后， 該存儲服務器已經得到了保護。 此次泄漏事件是政府機密數據的又一次大曝光。自 2013 年 愛德華 斯諾登（Edward Snowden）披露“棱鏡門”以來， 美國國家安

22、全局已經成為頭條新聞的?？?。今年年初，前 NSA 合 同工 Harold Martin 就曾因在 Booz Allen Hamilton 任職期間盜 取國家文件及數據遭到 20 項刑事指控；6 月份，另一名 NSA 合 同工 Reality Winner，又因涉嫌泄漏 NSA 關于“俄羅斯試圖干 擾美國總統選舉”的絕密級別（Top Secret level）文件而遭到 逮捕。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201811 事件七、五角大樓 AWS S3 配置錯誤，意外暴 露 18 億公民信息 泄密紀錄：

23、18 億用戶數據 泄密指數：9.2 分 事件時間：2017 年 11 月 事件回顧：11 月 22 日，據外媒報道稱，美國五角大樓意外 暴露了美國國防部的分類數據庫，其中包含美國當局在全球社交媒 體平臺中收集到的 18 億用戶的個人信息。 此次泄露的數據為架在亞馬遜 S3 云存儲上的數據庫。由于 配置錯誤導致三臺 S3 服務器“可公開下載”，其中一臺服務器數 據庫中包含了近 18 億條來自社交媒體和論壇的帖子，據猜測，這 些信息很有可能是國防部從2009年到2017年8月時間內收集的。 美 國 網 絡 安 全 公 司 UpGuard 的 安 全 研 究 人 員 Chris Vickery 率先

24、發現了這三個可以公開訪問和下載的數據庫，并分 別將其命名為“centcom-backup”、“centcom-archive” 以及“pacom-archive”。 美國中央司令部發言人 Josh Jacques 近期證實：“此次泄 露事件由 AWS S3 配置錯誤導致，其用戶可繞過安全協議訪問數 據。不過，我們現在已對其進行了保護與監控。一旦發現未授權訪 問，我們將采取額外措施，以防網絡犯罪分子非法訪問。此外，我 們搜集用戶社交信息并無他意，僅僅用于政府公共網站的在線課程 策劃。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, Ja

25、nuary 201812 事件八、雅虎 30 億帳號或已全部泄露，政監機 構參與調查 泄密紀錄：30 億賬號 泄密指數：9.2 分 事件時間：2013 年（2017 年 10 月更新數據） 事件回顧：早在 2013 年 8 月，雅虎曾發生過一起嚴重的數 據泄露事件，有超過 10 億用戶的信息遭到外泄。 但在今年 10 月，雅虎對這一事件進行了新的披露：稱通過與 威瑞森通信公司（Verizon Communications）的業務合并過程 中獲得的新情報證實， 此次網絡攻擊的影響范圍遠超過此前的估計， “所有帳戶都有可能受到了影響?！?其實，早在 2014 年發生的數據泄露事件導致了至少 5 億

26、用 戶數據泄露。但雅虎在 2016 年 9 月才對外披露了那次泄露事件。 對此，就雅虎公司的兩起大規模數據泄露是否應該盡早報告給投資 者一事，美國政府監管機構還進行了調查。 事件九、南非 3000 多萬份個人信息遭公布或包 括總統和部長 泄密紀錄：3000 萬用戶信息 泄密指數：9.2 分 事件時間：2017 年 10 月 事件回顧 ： 據稱， 該事件為南非史上規模最大的數據泄露事件， 共有 3160 萬份用戶的個人資料被公之于眾，其中包括姓名、身份 證號、年齡、收入、地址、職業以及電話號碼等。這些數據來自“拼 圖控股”集團旗下的艾達、ER 和房地產 -1 等子公司。南非時報 19 日披露稱，

27、祖馬總統和財政部長吉加巴、警察部長姆巴魯拉的 個人信息可能也在其中。 南非的互聯網安全專家表示，這些個人信息可能會被人拿 到互聯網上兜售。約堡大學互聯網安全中心主任索爾姆斯表示， “有這些信息就夠了，互聯網犯罪分子可以冒充開辦信用卡或進 行網上訂購等?！贝舜伪缓诳凸嫉臄祿碓从?Dracore Data Sciences 企業的 GoVault 平臺，其公司客戶包括南非最大的金 融信貸機構TransUnion。 事件發生后，安全研究人員立即進行搜索調查，發現 GoVault 平臺將用戶數據發布到了一臺完全未經保護的 Web 服 務器上，允許任意用戶進行訪問。 2017 年度安全報告數據泄密

28、360 Computer Emergency Rediness Team, January 201813 事件十、維基解密公布 CIA 用于追蹤泄密者的源 代碼 泄密紀錄：3 萬用戶 泄密指數：9.1 分 事件時間：2017 年 7 月 涂鴉工具如何運作？ 涂鴉的編程語言是 C#，它為每個文檔都生成隨機水印，并 將水印插入文檔、將所有經處理的文檔保存在導出目錄中，并創建 一個日志文件識別插入每個文檔中的水印。 這種技術跟“追蹤像素”的運作方式一致，后者就是將微小 的像素圖像內嵌到郵件中，這樣影響人員和活動人員就能追蹤有多 說明用戶查看了廣告。而 CIA 通過將微小的唯一生成的文件插入 “可能被

29、盜”的機密文檔中，而文件托管在由 CIA 控制的服務器上。 這樣，每次有人查看水印文檔時包括泄密者，它都會秘密在后臺加 載一個嵌入式文件，在 CIA 服務器上創建一個條目包括訪問這些 文件的人員信息如時間戳及其 IP 地址。 僅在微軟 Office 產品中起作用 用戶手冊還指出這款工具旨在針對 Office 離線文檔，因此如 果打水印的文檔在 OpenOffice 或者 LibreOffice 中打開的話， 水印和 URL 會被暴露給用戶。它在微軟 Office 2013（Windows 8.164）文檔，Office 97 至 2016 （Windows 95 上不起作用） 文檔， 以及表單

30、未被鎖定、 未加密或不受密碼保護的文檔中起作用。 然而，由于隱藏的水印是從遠程服務器加載的，因此這種技 術應該只有在訪問水印文檔的用戶聯網的情況下才起作用。 維基解密指出，最新的涂鴉版本（v1.0 RC1）是在 2016 年 3 月 1 日發布，這說明至少在去年還在使用而且本來應該在 2066 年才解密。更多技術詳情可訪問用戶手冊。 截至目前，維基解密發布了 CIA 針對流行硬件和軟件的入侵 利用代碼“Year Zero”文檔、針對 iPhone 和 Mac 的利用代 碼“Dark Matter”、“Marble”文檔、以及披露了能入侵微軟 Windows 并繞過殺毒保護措施的能輕易創建自定義

31、惡意軟件的一 個框架即“Grasshopper”文檔。 “涂鴉”項目即“斯諾登阻 止器”是一款用于聲稱將“web beacon（網絡信標）”標簽嵌入 機密文檔中的軟件，以便監控機 構追蹤泄密者和外國間諜。自 3 月份開始，維基解密已公布 Vault 7 系列中的數千份文檔和其它聲稱 來自 CIA 的機密信息。 CIA 稱“涂鴉”是“一款批 量處理工具，用于處理預生成水印 并將這些水印插入由外國情報官 員竊取的文檔中”。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201814 事件十一、韓最大加密貨幣交易所被黑客攻

32、擊：3 萬客戶數據泄露 泄密紀錄：3 萬用戶 泄密指數：9.2 分 事件時間：2017 年 7 月 事件回顧：正當韓國正被對比特幣和以太幣等加密貨幣 進行監管立法的時候，卻有報道稱該國最大的加密貨幣交易所 Bithumb 遭到了黑客入侵。 據 BBC 報道， 3萬名客戶數據被泄露， 黑客利用欺騙來的數據竊取用戶賬戶里的資金。BraveNewCoin 則解釋了 Bithumb 用戶是“語音釣魚”的受害者，因為有自稱該 交易所工作人員的騙子打電話來忽悠他們。 交易所聲稱受本次事件影響的客戶約占總數的 3% 。 據悉，本次泄露發生于 2 月份，原因是一名員工的家用 PC 涉入其中（而不是公司總部的計

33、算機服務器出現了問題）。 Bithumb 表示在 6 月 29 日發現了此事，并于次日向當局進行了 匯報。 作為全球五大比特幣交易所之一，Bithumb 去年的比特幣交 易量達到了 2 萬億韓元左右（約合 118 億 RMB），日交易量也 超過了 1.3 萬比特幣（占全球交易量 10%）。 Bithumb 已承諾初步向每位客戶賠償 10 萬韓元（約 86 美 元 / 590 元 RMB），剩余部分將在驗證后補足。 事件十二、趣店數百萬學生數據泄露，稱或遭內 部員工報復 泄密紀錄：100 萬用戶 泄密指數：9.1 分 事件時間：2017 年 11 月 事件回顧：11 月 20 日，有關媒體發布消

34、息稱，趣店數據疑 似外泄，十萬可買百萬學生信息，離職員工稱“內鬼”所為。此次 泄露的數據維度極為細致， 除學生借款金額、 滯納金等金融數據外， 甚至還包括學生父母電話、學信網賬號密碼等隱私信息。趣店以校 園貸起家，之后退出校園，轉向白領市場，提供“現金貸”和消費 分期貸款。2017 年 10 月 19 日，趣店正式登陸美國納斯達克。 有媒體采訪內部員工得知，趣店曾因 9 月的大規模裁員事件 未能合理安排離職員工的撫恤問題，造成此次數據泄露事件有可能 是內鬼所為。此外，多位趣店離職員工表示，早期趣店數據管理存 在巨大安全隱患。 2017 年度安全報告數據泄密 360 Computer Emerg

35、ency Rediness Team, January 201815 綜述： 隨著網絡攻擊日趨復雜、日益頻發，國內外各行各業的公司 和機構對數據泄漏問題越發擔憂。事實上，CDW 的研究顯示，在 過去的兩年里，每四家機構當中就有一家遭遇過數據泄漏。許多公 司稱，這類事故嚴重威脅了公司郵件、網絡和敏感信息的安全。并 且隨著遠程辦公和移動計算的普及，防止數據泄漏也變得愈加復雜 和困難。 針對企業： 第一步就是承認數據泄漏的風險確實存在。認識到這點之后 才能建立有效的防止數據泄漏的計劃。 第二步，定義機構的所有數據。這項工作看似艱巨繁雜，但 為防止數據泄漏而做的數據定義并非那么困難。關鍵在于將機密信

36、息（如社保號）和機密文檔（如含有社保賬號的文件）明確區分開 來。同時也要明白，任何機構都有自己的關鍵業務數據，這部分數 據必須加以保護。 第三步，中小企業需要制定移動設備的安全使用政策，考慮 現有的安全保護措施，以及完善移動設備的管理機制。 第四步：把數據保護政策傳達給員工。政策要簡明實用，明 確哪些數據是機密的，機密數據應如何使用，以及員工應如何使用 移動設備。 針對個人用戶： 謹防釣魚網站、 慎連wifi、 不在社交平臺中隨意透露個人信息、 慎重參加網絡調查、抽獎活動、妥善處理快遞單、車票等、及時清 除舊手機的數據信息。 大數據時代， 挖掘個人隱私的方法數不勝數， 即使很簡單的信息，多維度

37、湊到一起也能發現你不可告人的秘密。 目前還有沒有保護隱私很好的方法，除非你回歸原始社會。 針對第三方數據平臺： 第三方系統的安全問題是最近一些數據泄露事件的原因， 包 括 Target， JP Morgan 的數據泄露事件，都或多或少與第三方 系統有關。 比如黑客對 Target 的攻擊就是從 Target 的空調服 務商入手的，而 JP Morgan 則是通過第三方網站進行的滲透。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201816 數據泄密重要數據統計 數據泄密的流程 數據資源在整個互聯網中起著相關重要的

38、作用，這些數據資 源關乎著每個人的財產安全。數據資源隱藏著龐大的經濟效益，真 因為這許多黑客痛過定點滲透、外掛木馬、釣魚、偽基站等方式方 法來獲取這些數據資源。由于受利益的驅使，除了黑客之外，還有 一部分公司內部人員惡意出售接觸到的數據， 從中獲取很大的現金。 也有部分公司員工缺乏安全意識把數據存放在不安全的地方，導致 數據被泄露。 數據一旦被泄露，那么就會產生一系列的危害，很多用戶由 于缺乏安全意識，不能及時的發現自己的數據泄露，只有當自己的 財產受到損失才能被感知，所以用戶感知是越來越慢的。 與往常一樣，2017 年全年的 數據泄密事件有各種來源。但是在 一個大數據統計以及記錄數據表 明，

39、數據泄密的最大來源是意外丟 失和因疏忽而使信息暴露的數據。 如何泄密？數據利用？數據信封 數據 資源 黑客攻擊 金融類直接提現 虛擬物品，如游戲裝備洗號 涉及個人信息咋騙、隱私泄密 公司業務數據商業競爭 撞庫 木馬 內部人員 自身 資源價值由大?。ㄔ絹碓叫。?用戶感知由小大（越來越大） 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201817 數據泄露的流程整個流程可以分為：拖庫、洗庫、撞庫。入 侵者通過不法手段來入侵有價值的數據系統，然后對數據進行逐層 分離，找到一些金融類的帳戶，然后通過入侵支付寶、網銀、網游

40、賬號獲取高額的現金收益。 另一方面也可以將用戶的個人信息批量出售獲取現金。當數 據一旦被利用，在進行建立人肉數據庫，進行撞庫。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201818 數據泄露的來源 與往常一樣，2017 年全年的數據泄密事件有各種來源。但是 在一個大數據統計以及記錄數據表明，數據泄密的最大來源是意外 丟失和因疏忽而使信息暴露的數據。 2017 年全年數據泄露最大的來源是惡意攻擊，占總比重的 47%。這導致很大的數據都是被盜的。 在這些事件中 , 有 47% 涉及惡意攻擊或犯罪攻擊 ,25% 因員

41、 工或承包商疏忽所致 ( 人為因素 ),28% 與系統故障相關 , 包括 IT 故障、業務流程故障等等。 數據泄露的影響因素 A：成本因素。 據悉2017 年數據泄露成本調研全球概述統計有大約 20 個因素對數據泄露成本會有影響。有些因素可以使數據泄露成本下 降，有些因素是會讓成本增加。 影響成本下將：如圖所示,事件響應團隊、 廣泛使用加密技術、 員工培訓、BCM 參與、參與威脅共享計劃及使用安全 分析工具 等因素使得單條受損記錄產生的數據泄露單條成本下降了。 影響成本上升：第三方參與、廣泛遷移至云端、合規缺陷、 廣泛使用移動平臺、設備丟失或被盜、急于通知等因素使 得數據 泄露的單條成本 (

42、以負數顯示 ) 上升了。 B：丟失的記錄數量。 丟失紀錄條數越多，數據泄露的成本越高。事件規模越大， 相對應的成本就越高。 C：行業客戶流失。 客戶流失的越多，數據泄密的成本越高。通告數據表明，影 響客戶流失的因素有兩方面，一方面是所處的國家，不同國家流失 程度不一樣，日本流失最大；另一方面是行業因素，行業更容易出 現客戶流失的情況。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201819 數據泄露的類型 由于一直如此 , 在過去的幾年里 , 身份盜竊是攻擊在 2017 年 這個戰術是全年的數據泄露事件中最常用的

43、模式 , 占期間所有事件 的大約四分之三 (74%)。事實上，和 2016 年相比較身份盜竊破壞 的數量繼續保持高位，并且導致多條紀錄被竊取顯示，安全機構和 相關機構沒有充分應對這一威脅。 數據泄露涉及行業比重 在行業分布上，金融行業依然首當其沖，24% 的數據泄露事 件和金融機構有關；其次是醫療保健行業 15%；再往后是銷售行 業 15% 以及公共部門 12%。其中醫療行業是勒索的重災區，真可 謂“不給錢就撕票” 這里需要注意，學術界正逐漸“崛起”成為黑客攻擊的目標， 比如高校的高新科研部門。犯罪分子已經意識到很多知識產權和商 業機密都是起源于高等院校的學術研究，而且，和入侵政府系統以 及成

44、熟的商業系統相比， 入侵大學的系統和竊取研究機密更加簡單。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201820 數據泄露的主要采取的手段 導致數據泄露的主要手段分為技術手段 （黑客入侵、 軟件漏洞、 惡意木馬）、非技術手段（內部人員泄密、非有意識泄密）。 組織出現其他數據泄露事件的可能性 360CERT 對以往的的安全事件和數據泄露進行了分析，分 析指出在調查的幾萬個安全事件中，內部威脅占 25%，75% 是外 部攻擊導致。 在外部攻擊中，51% 的網絡攻擊涉及到有組織有計劃的犯罪 集團。18% 的外部攻擊涉

45、及國家背景。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201821 41G 密碼泄露和暗網 2017 年 12 月 5 日，一位名為 tomasvanagas 的用戶在 reddit 論壇上公開了一份高達 41GB 的數據泄密文件 (“社工庫”)， 文件包含了 14 億條明文性質的互聯網用戶密碼記錄。近幾年大大 小小的數據泄密事件頻發，而這可能是迄今為止被公開的最大的一 次數據泄密文件，而且從這份數據的完整性來看，數據整理者做得 較為完整和專業。在萬物互聯的大安全時代里，需要互聯網用戶， 信息安全行業和相關受影

46、響的公司實體對數據泄密事件有足夠清醒 的認識和作為。 在 41G 的文件中，整理者提供了完整的數據和專業的操作說 明，文件操作日期顯示文檔作者在 11 月 29 日作了最后一次更新。 文檔主要信息如下： 、README 說明文件一方面對數據文件作了較為詳細， 專業的介紹， 同時也提供了“比特幣”和“Dogecoin”幣捐贈地 址（1NrNf6E3rTuDDGeUdU2CMpGNyrQAeB7dNT，DFq kJHnb5t5Y6e4mbXTiS9aEhspFkzxkPU），此舉可能是為了 保證“收錢”的匿名性。 、數據文件包含了 14 億條記錄（1,400,553,869），全部 是明文密碼。

47、、此次 14 億條用戶密碼信息不全是未公開的數據泄露，而 是包含了此前 252 起數據泄露事件的合集。數據導入日志顯示， 整理者從 2017 年 8 月 7 日開始到 2017 年 11 月 9 日分批進行了 252 次數據導入。大部分導入為數字編號，一部分導入有很清楚 的數據源，其中疑似包括 Anti Public Combo List，Exploit.in， MySpace，Linkedin，YouPorn，Last.FM 和部分國內公司實 體等在內的的用戶隱私數據。 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January

48、 201822 、從密碼長度分布圖觀察，密碼長度為 9 的最多，數據量 為 380304432，三億 8 千萬條。 排名百分比注解域名 119.49% 213.47% 38.38% 48.01%mail.ru 53.94% 63.14%yandex.ru 72.06%rambler.ru 81.71% 91.18% 101.15%hotmail.fr 111.07%web.de 120.94% 130.90% 140.90%gmx.de 150.81%bk.ru 160.72%list.ru 170.70%hotmail.co.uk 180.68%inbox.ru 190.66%yahoo.f

49、r 200.63%yahoo.co.uk 2017 年度安全報告數據泄密 360 Computer Emergency Rediness Team, January 201823 、最長用密碼 top100 12345678910 123456123456789qwerty111111password12345678abc1231234567homelesspapassword1 11121314151617181920 123123000000123456789012345iloveyou1q2w3e4r5tqwertyuiop1234123321123456a 21222324252627282930 monkeydragon1236666666543211qaz2wsx121212123qwea123456qwe123 31323334353637383940 tinkletarget123gwe