回顾2018年发生的重要国内外数据泄露事件

转瞬之间，我们迎来了新的一年2019。但2018年的互联网安全圈还是和往年一样并不安生，各种互联网安全事件时有发生。

而2018年最为频繁的安全事件莫过于数据泄露，虽然互联网的整体安全性都在提升，但依然出现了几波影响力颇大的用户信息被黑客盗走泄密的事件，动辄几亿用户数据遭到外泄，给企业和用户带来了不可估量的严重后果。‍

2018国内重要泄漏事件

1

北京瑞智华胜公司

泄漏数据量：30亿

绍兴市警方破获了一起特大流量劫持案。犯罪团伙涉嫌非法窃取用户个人信息30亿条，非法牟利超千万元，涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。在涉案的三家企业中，北京瑞智华胜公司为新三板上市企业。

2

圆通速递

泄漏数据量：约10亿

2018年6月19日，一位ID为“f666666”的用户公然在暗网上兜售圆通10亿条快递数据，这引发了外界的广泛关注，据称，这些外泄的数据是2014年下旬的数据，其中包括有寄(收)件人姓名，电话，地址等信息。

当时暗网对外泄数据进行了明码标价，用户只需花费430元人民币即可购买到100万条圆通快递的个人用户信息，而10亿条数据则需要约43000元人民币(约当时1比特币)。

3

华住酒店集团

泄漏数据量：约5亿

2018年8月，根据暗网中文网帖子显示，华住旗下所有酒店的数据被公开售卖，其中包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家华住旗下酒店均在其列！

而所泄露数据竟达5亿条之巨——包括华住官网的注册资料(姓名、手机号、邮箱、身份证号、登录密码等信息)，共53G，大约1.23亿条记录；此外还包括有住户在酒店入住时的登记身份信息(包括姓名、身份证号、家庭住址、生日、内部ID号等信息)，共计22.3G，大约1.3亿人身份证信息；最后还包含有酒店的开房记录(包括内部id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等信息)，共66.2G，大约2.4亿条记录。

4

万豪酒店集团

泄漏数据量：约5亿

华住酒店的数据泄露事件刚刚告一段落，11月底，万豪集团旗下酒店步华住集团后尘，其住客数据也惨遭泄露。据官方消息显示，万豪集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。

5

顺丰速运

泄漏数据量：约3亿

快递行业的数据泄露事件不仅圆通一家中枪，2018年7月，有3亿用户数据在暗网售卖，而被兜售的数据为顺丰的快递信息，其中包含寄收件人姓名、地址、电话等信息。

作为快递行业口碑最好的快递公司，此次用户信息外泄事件对顺丰来讲无疑是一记耳光。据称，3亿条用户信息的打包价为2个比特币，当时市值约10万人民币。

6

陌陌

泄漏数据量：3000万

12月3日有消息称，陌陌3000万数据在暗网上以50美元的低价出售。根据网上流传的截图，卖家以“陌陌3000万数据库”为名称，包含手机号、密码等字段，数据写入时间是2015年7月17日，卖家称数据通过撞库得来。

7

AcFun弹幕视频网

泄漏数据量：近千万

2018年6月13日凌晨，AcFun(A站)发布公告称，A站受到黑客攻击，近千万条用户数据外泄，A站在公告中强调，2017年7月7日之后从未登陆过的用户以及密码强度低的用户需要立刻更改密码，而跟A站用户信息中密码保持一致的，也要一并更改。

而在黑客成功攻击A站并窃取用户信息后，很快在暗网上发布售卖信息，900万条用户数据售价为40万人民币。

8

国泰航空

泄漏数据量：940万

10月24日，国泰航空宣布，国泰航空及子公司港龙航空有限公司约940万乘客资料泄露。

被泄露资料包括: 乘客姓名、国籍、出生日期、电话号码、电子邮件地址、地址、护照号码、身份证号码、飞行常客计划的会员号码、顾客服务备注及过往的飞行记录资料。此外，有403张已逾期的信用卡号码曾被不当取览。另有27张无安全码的信用卡号码曾被不当取览。大约86万个护照号码及24.5万个香港身份证号码曾被不当取览。但国泰航空表示，目前并没有证据证明这些信息被不当利用。

9

前程无忧

泄漏数据量：195万

2018年6月16日，有人在暗网开始叫卖招聘网站前程无忧(51job.com)用户信息，其中涉及195万用户求职简历，随后前程无忧方面确认部分用户账户密码被撞库。

为了证实泄露数据的真实性，前程无忧方面还进行了一定的测试，结果发现信息是真实可靠的，不过官方强调，数据中绝大部分来自于一些邮箱泄露的账户密码，且都是在2013年之前注册。对此前程无忧强调，出现这样的情况并非拖库，而是恶意用户通过这些已泄露的邮箱账户及密码，对相应的站点进行登录匹配，然后蓄意倒卖。

10

多个外卖平台被曝泄漏用户信息

4月23日，新京报曝光了美团、饿了么等外卖平台用户信息被泄露，卖家、网络运营公司以及外卖骑手参与其中，每条信息最低不到一毛钱，却精确到你吃的什么、在哪儿吃的等私密信息。

消息曝出后，美团回应称已启动了相关信息的核实排查，同时已向警方报案。但由于公司业务复杂，犯罪团伙难免获得这些数据。另一家外卖平台饿了么则表示，平台也是受害者，看到相关报道后，已开始全力排查。

2018国外重要泄漏事件‍

1

Aadhaar

泄漏数据量：11亿

今年1月份，论坛报业集团（Tribune News Service）的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务，记者可以输入任何一个Aadhaar号码（一个12位的唯一标识符，每个印度公民会使用到它）检索印度唯一身份识别管理局（UIDAI）存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后，任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信，这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

2

Under Armour

泄漏数据量：5亿

3月25日，Under Armour获悉有人未经授权访问了MyFitnessPal平台，这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道（CNBC）在当时报道说，负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息，因为Under Armour对这些数据进行了分别处理。同时，它也没有损害社会安全号码或驾驶执照号码，因为服装制造商表示它并不会收集此类数据。

据信，超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

3

Exactis

泄漏数据量：4亿

安全研究员Vinny Troia在2018年6月发现，总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息，其中包括数亿美国人和企业的详细信息。在撰写本文时，Exactis尚未确认受此事件影响的确切人数，但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实，此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息，在某些情况下包括极其敏感的细节，如孩子的姓名和性别。

4

MyHeritage

泄漏数据量：9200万

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官，并透露他们在私人服务器上找到了一个标有“myheritage”的文件。在检查文件后，MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称，由于MyHeritage依赖第三方服务提供商来处理会员的付款，因此它也包含了他们的哈希密码，但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上，MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

5

Facebook

泄漏数据量：8700万

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻？当时，有报道称，一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息，该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息，但经过Facebook的确认，最初的估计实际上很低。今年 4月，该公司通知了在其平台上的8700万名用户，他们的数据已经遭到泄露。

6月27日，安全研究员Inti De Ceukelaire透露另一个名为Nametests.com应用程序，它已经暴露了超过1.2亿用户的信息。

6

Panera

泄漏数据量：3200万

4月2日，安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs，向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录，这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞，但他告诉Krebs，他的报告被驳回了。在此后的八个月里，Houlihan每个月都会检查一次这个漏洞，直到最终向Krebs披露。随后，Krebs在他的博客上公布这些细节。Krebs 报告发布后，Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度，并表示受到影响的客户不到1万人，但据信真实数字高达3700万。

7

Ticketfly

泄漏数据量：2700万

5月31日，Ticketfly遭遇了一次攻击，导致音乐会和体育赛事票务网站遭到破坏，并离线和中断一周。据报道，此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞，并要求其支付赎金。当遭到该公司的拒绝后，劫持Ticketfly网站，替换了它的主页，用一个包含2700万个Ticketfly账户相关信息（如姓名、家庭住址、电子邮箱地址和电话号码等，涉及员工和用户）的页面。

8

Sacramento Bee

泄漏数据量：1950万

今年2月，一名匿名攻击者截获了Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据，而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后，攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求，并删除了数据库，以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法，这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

9

PumpUp

泄漏数据量：600万

5月31日，ZDNet报道称，安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器，并且没有得到密码。该服务器属于健身应用程序PumpUp，它使得任何能够找到它的人都能访问大量的敏感用户数据，包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌，在某些情况下还包含未加密的信用卡数据，如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时，该公司并没有做出回应，但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前，已经暴露了多长的时间。

10

Saks和 Lord & Taylor

泄漏数据量：500万

3月底，安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告，宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下，Gemini Advisory公司对这些交易进行了追踪，并最终将这些交易归因于Saks Fifth Avenue和Lord＆Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后，采取了补救措施。

互联网信息安全事件无小事，小到一个城市的医保系统，大到全球化的上市企业，一旦发生问题，会面临安全漏洞或攻击、丢失或泄露内部文件及客户数据、使员工数据信息处于危险境地、遭受DDos攻击、损失大量财产、使知识产权或商业秘密处于危险边缘、感染病毒成为黑客攻击目标等等，这不仅严重影响企业业务的运行，还会对企业的声誉带来重大的损失。

这二十起网络安全事件对各行业都是很好的警醒，特别是在用户隐私泄露、网络中断、系统故障等方面让我们清醒地意识到，潜在的安全事件随时都可能威胁企业的业务系统的安全。