2017年，是数据泄露事件高发年，也是数据安全技术高速发展的一年。一年来，数据安全威胁更加凸显，数据安全状况变得越发严峻。网安视界梳理了2017十大最具影响力的数据泄密事件，以案例形式结合专业点评，供读者参考。

2017年，是数据泄露事件高发年，也是数据安全技术高速发展的一年。一年来，各种新技术和“互联网+”模式，已然成为一种不可逆的趋势，云计算、大数据、社会智能化、数字经济、工业互联网等信息新技术、新应用浪潮，带领人们步入网络安全和信息化新时代，然而新时代下的数据安全威胁更加凸显，数据安全状况变得越发严峻。

目 录

美国防部AWS S3服务器

泄露18亿条公民信息

美国Deep Robot Analytics

数据泄露事件

黑客入侵Edmodo教育平台

窃取账户信息

马来西亚用户手机号

外泄

邓白氏公司商业数据库

信息泄露

南非史上最大规模

数据泄露

Verizon千万客户敏感信息数据曝光网络

以色列执法机构

Cellebrite数据遭“窃”

“老干妈”机密配方

泄露事件

Instagram被攻击

泄漏百万级账号数据

网安视界新媒体经过对国内主要行业用户和入驻中国的部分知名外企调研数据显示，48.5%的被调研外企企业曾遭受过黑客攻击和数据泄露风险，来自国内行业用户的数据安全问题更加触目惊心，60%的被调研企事业机构都曾经不同程度遭受过攻击或出现过数据泄露风险，特别是一些掌握大量民众个人信息的通信运营商及金融领域机构。

网安视界梳理了2017全球十大最具影响力的数据泄密事件，以案例形式结合专业点评供读者参考。

1

美国防部AWS S3服务器

泄露18亿条公民信息

【严重程度】：★★★★★

【曝光时间】：2017年11月

【涉泄机构】：美国国防部

【数据内容】：18 亿条来自社交媒体和论坛的帖子

事件概要

11 月 22 日，美国五角大楼意外暴露了美国国防部的分类数据库，其中包含美国当局在全球社交媒体平台中收集到的 18 亿用户的个人信息。此次泄露的数据为架在亚马逊AWS S3 云存储上的数据库。由于配置错误导致三台 S3 服务器 “可公开下载”，其中一台服务器数据库中包含了近 18 亿条来自社交媒体和论坛的帖子，这些信息很有可能是国防部从 2009 年到 2017 年 8 月时间内收集的。虽然五角大楼可能会因为收集社交媒体信息而遭受舆论攻击，但是需要指出的是，通过互联网搜集数据并不违法，只是此次的数据泄漏事件，可能会再次引发公众对于五角大楼能否有效保护其数据安全性的担忧。值得一提的是，2 月 28 日，S3 就曾出现 “超高错误率” 的重大宕机事件，导致半个互联网瘫痪。

界小编短评

政府行业一直都是数据泄露的重灾区，即便是戒备深严的五角大楼也存在这如此严重的漏洞。而对更多缺乏保护的政府部门来说，应该如何对他们自己的数据进行跟踪，确保每个环节上自己的数据都是安全的、受到保护的？

2

美国Deep Robot Analytics

数据泄露事件

【严重程度】：★★★★★

【曝光时间】：2017年6月

【涉泄机构】：Deep Robot Analytics公司

【数据内容】：1.98亿美国选民的个人信息

事件概要

6月，安全研究人员发现有将近2亿人的投票信息泄露，主要是由于美国共和党全国委员会的承包商Deep Robot Analytics误配置数据库所导致，这些数据保存在了一个可公开访问的云服务器上，托管在AWS S3中。泄露的1.1TB数据包含超过1.98亿美国选民的个人信息，姓名、出生日期、家庭地址、电话号码、选民登记详情等。事后调查显示，这些数据存储 “缺乏必要数据访问保护”，任何可以访问数据库的人都可以下载这些数据。虽然还不清楚是否有人不当地使用了这些数据，但是当时的合作伙伴表示，该事件显示了有全面数据防护措施的重要性。

界小编短评

这又是一起来至政府机构的数据泄露事件，尽管目前大多数据库采取了加固和审计措施，防止数据库中的数据被盗用，提高数据的安全性。但是，基于规则的数据库安全技术并不能完全解决数据泄露问题，网络层安全防护不可忽视，加强网络安全才是保护信息安全的硬道理。

3

黑客入侵Edmodo教育平台

窃取账户信息

【严重程度】：★★★★★

【曝光时间】：2017年6月

【涉泄机构】：Edmodo教育平台

【数据内容】：数千万用户账户信息（用户名、电子邮箱地址以及密码等）

事件概要

今年6月，一个化名为“Nclay”的供应商在暗网市场Hansa上以1000多美元的价格出售Edmodo用户数据，他声称目前自己手中已掌握着7700万个用户账户信息，其中4000万个账户中含有电子邮箱地址信息。这是目前最大的教育类机构用户信息泄露事件之一。Edmodo是一个免费的教育内容分享平台，是面向学生和老师的社交类学习资源分享的开发平台，同时还提供允许老师通过移动和网络平台创建和安全可靠的教学空间或课堂的免费服务。Edmodo平台目前已经拥有超过7800万用户。庞大的用户群体，成为黑客的瞄准对象。由于Edmodo遭到黑客入侵，致使数千万用户账户信息泄露，其中包括用户名、电子邮箱地址以及密码等。

界小编短评

Edmodo教育平台本身是为学生和老师服务的资源平台。事件发生以后，平台目前已经开始对用户账号进行双重加密口令设置确保账户安全，同时建议使用者不要把比较私密的个人资料上传到公用的平台。

4

马来西亚用户手机号外泄

【严重程度】：★★★★★

【曝光时间】：2017年10 月

【涉泄机构】：马来西亚电信局

【数据内容】：约4620 万份手机用户资料

事件概要

马来西亚电信局被曝出约有4620万份手机用户资料遭泄露，内容包括用户地址、身份证号码及手机识别卡信息。这是马来西亚史上最大的数据外泄事件之一，而这次泄露的数据超过了当地人口的总和。马来西亚人口为 3100 万左右，这意味着，不仅是大马人，还有那些在马来西亚办理临时卡的外国游客也处于危险之中。专家称，这些数据或将被用于电信诈骗，而该信息泄露可能起源于 2014 年的一次信息泄露事件，但来源尚未最终确定。警方在11月1日的新闻发布会上表示，由于案件涉及比较强的技术性，因此需要事件进行彻底调查。当被问及数据泄露是否可能来自电信运营商的时候，警方称，这是可能性之一。

界小编短评

电信业务及服务属于典型的关键信息基础设施，应当建立健全用户真实身份信息保密管理制度。电信管理机构及其工作人员对在实施监督检查过程中知悉的电话用户真实身份信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

5

邓白氏公司商业数据库信息泄露

【严重程度】：★★★★☆

【曝光时间】：2017年3月

【涉泄机构】：(Dun & Bradstreet)公司

【数据内容】：近3370万用户电子邮件地址和联系信息

事件概要

3月，世界著名的商业信息服务机构Dun&Bradstreet（邓白氏）的一个大约52GB的数据库发生泄露，有将近3370万独有电子邮件地址和联系信息曝光。该数据库中还包含姓名、职称、工作职能、工作电子邮件、手机号以及常见公司信息。该数据库汇集了公司及其员工的信息，然后大量或者部分售卖给营销人员或者其他企业用于有针对性的销售活动。这个泄露的数据库中包含了AT&T、波音、戴尔、联邦快递、IBM和施乐等大公司的数万名员工信息，此外还有各种政府机构雇员的广泛记录，其中就有美国国防部的10万多雇员。邓白氏的全球商业数据库覆盖了超过1亿条企业信息，它的泄露事件引发了人们对第三方信息服务厂商数据风险的关注。

界小编短评

目前商业网站成为黑客攻击的目标，面对强大黑客攻击，商家不能只关注业务的增长，而忽视数据资产的保护。只有加强网络防护安全才是最佳的解决方案，不然造成重大的经济损失就后悔莫及了。

6

南非史上最大规模数据泄露

【严重程度】：★★★★☆

【曝光时间】：2017年10 月

【涉泄机构】： Dracore Data Sciences’s

GoVault

【数据内容】：3160 万份用户的个人资料

事件概要

此次被黑客公布的数据来源于 Dracore Data Sciences 企业的 GoVault 平台，其公司客户包括南非最大的金融信贷机构——TransUnion。该事件为南非史上规模最大的数据泄露事件，共有 3160 万份用户的个人资料被公之于众，连总统祖马和多位部长都未能幸免。事件发生后，安全研究人员立即进行搜索调查，发现 GoVault 平台将用户数据发布到了一台完全未经保护的 Web 服务器上，允许任意用户进行访问。三千多万南非公民的身份号码、个人收入、年龄，甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息都被长时间在网络上完全公开，这其中的安全隐患不言而喻。

界小编短评

个人信息一旦被犯罪分子获取，很有可能发生盗刷信用卡、复制身份、敲诈勒索、恶意攻击等事件；建议用户上网时谨慎填写手机、银行账户、身份证号码等个人信息，最好在不同账户设置不同的高强度密码，定期修改，以确保信息安全。

7

Verizon千万客户敏感信息数据

曝光网络

【严重程度】：★★★★☆

【曝光时间】：2017年7月

【涉泄机构】：Verizon公司

【数据内容】：1400万Verizon客户个人数据

事件概要

7月份， 1400万Verizon客户的个人数据发生泄露。该事件最早被研究公司UpGuard发现，涉及到技术提供商Nice Systems。Verizon客户数据在AWS S3存储实例中没有得到充分的保护。泄露数据涉及姓名、电话号码和可能用于访问Verizon帐户的PIN。报告现实数据已经大量曝光，跳转到未恰当配置的云驱动器，通过简单URL就可访问这些数据。受影响的订阅帐户占到了Verizon公司1.08亿总订阅用户中的大约14%，主要是那些在过去6个月中调用Verizon客户服务线的订阅者。

界小编短评

由于第三方供应商数据曝光事故而受到牵连的数据泄露已经大量发生。Verizon/NICE Systems双方此次造成的云存储数据泄露也再一次证明，我们倾注心力所打造出的高科技系统已经在日常生活中的各个层面带来极为深远的影响。

8

以色列执法机构Cellebrite数据

遭“窃”

【严重程度】：★★★★☆

【曝光时间】：2017年1月

【涉泄机构】：Cellebrite

【数据内容】：900GB的内部机密文件

事件概要

Cellebrite公司长期协助以色列政府执法机构，提供数字取证服务及iPhone手机破解服务，2017年1月被证实遭到黑客入侵，致使多达900GB的内部机密文件被盗。被盗的数据包括购买了Cellebrite的手机破解技术和数据库的名单，以及大量有关Cellebrite产品的技术数据。Cellebrite 公司以其掌握的强力破解工具“万能取证设备”（UFED）闻名，服务超过 15，000 家政府部门和执法机构。在事发后，黑客联系了媒体记者，展示了部分遭窃数据，并表示自己会通过网络出售这些数据。

界小编短评

目前国际国内许多黑客和间谍，通过层出不穷的技术手段，窃取国内各种重要信息，已经成为信息安全的巨大威胁。虽然许多企业都部署了防火墙、杀毒软件、入侵检测等系统，但是对于高智商的犯罪人员来说，这些防御措施往往形同虚设。

9

“老干妈”机密配方泄露事件

【严重程度】：★★★★☆

【曝光时间】：2017年5月

【涉泄机构】：老干妈公司

【数据内容】：商业机密

事件概要

2017年5月9日，贵阳市警方披露了备受关注的“老干妈商业机密泄露案”细节。近一年来，老干妈公司发现市场出现一款其它品牌水豆豉，与老干妈独家配方产品口感高度相似，怀疑商业配方机密遭泄报警。警方立案调查，最终锁定“泄密”嫌疑人为老干妈公司离职员工贾某。据悉，贾某是在老干妈公司工作十余年的老员工，历任公司质量部技术员、工程师等职，由于职务工作需要，他掌握了老干妈公司专有技术、生产工艺等核心机密信息。据披露，这些被泄数据，涉及公司机密的核心技术，包括水豆豉的生产工艺、原料配比等内容。贾某落网后，警方在其携带的硬盘、电脑内，查获了大量涉及老干妈公司商业秘密的内部资料。据评估，此案涉案损失已超千万。

界小编短评

老干妈是一家以食品加工生产为主的我国知名企业，配方信息数据是品牌立于不败之地的重要砝码，一旦被复制外泄，对企业的损失无法估量。对信息时代企业而言，内部员工导致的数据泄露是每个企业必须面对的问题，本例中泄露数据量尽管不大，但是损失金额巨大。

10

Instagram被攻击

泄漏百万级账号数据

【严重程度】：★★★★☆

【曝光时间】：2017年9月

【涉泄机构】：Instagram

【数据内容】：600万名人Instagram 账户的邮件地址和电话号码

事件概要

Instagram对外宣称其应用程序界面存在安全漏洞，导致黑客可利用恶意代码窃取到用户的账户信息。虽然该漏洞已被修复，但该事件的影响力远比想象中严重。在此次恶意攻击中，黑客宣称利用Instagram的安全漏洞窃取了包括艾玛·沃特森、碧昂斯、蕾哈娜、在大卫·贝克汉姆内的600万名人Instagram 账户的邮件地址和电话号码。窃取信息成功的黑客还建立了一个名为““Doxagram”的数据库，任何人只要付费10美元，即可在数据库中查询到相关名人的隐私信息。Instagram 至今仍未公布受影响账号数量。据历史统计 Instagram 总共拥有 7 亿多个活跃账号，截止当前，虽然 Doxagram 已经下线，但该事件的影响仍在发酵中。

界小编短评

最可怕的还不是名人账户被入侵，而是Instagram自己都不知道到底哪些账号受到了影响。它们只是表示要和执法部门合作，共同打击贩卖用户信息的行为。看来，普通用户只能自求多福了。

【主编评述】

从以上具有一定代表性的、破坏损失较为严重的数据泄露事件，我们可以发现，无论对于自身有重要机密数据的金融、军工、政府等行业机构，还是对于拥有大量客户信息的电信、医疗、互联网企业来说，其数据安全都面临严重的威胁，加强数据安全保护刻不容缓。在数据为王时代，数据安全市场正处于爆发前夜，并呈现以下特点：

01

《网络安全法》正式实施是重要契机

《网络安全法》已经于2017年6月正式实施，其最重要的意义在于从法律层面上把我国网络安全工作提高到了国家安全战略的高度，强调对关键信息基础设施及个人信息数据的保护，明确了国家、主管部门、网络所有者、运营者及普通用户各自的责任以及违规后的相关处罚。我国数据安全保护的整体形势仍然严峻，企业及相关管理人员，需要把握《网络安全法》实施这一重要契机，认真研究法规具体要求，提升信息数据安全认知水平。

02

数据安全保护向全面化和智能化发展

《网络安全法》的贯彻落实还需要通过先进的技术手段进行保障。目前，在国内企业中应用的数据安全技术手段主要包括文档加解密、身份认证、数据库审计以及数据防泄露（DLP）等。随着数据泄露方式的专业化与隐秘化，基于规则判定的传统安全技术在应对威胁时普遍存在被动防御和应对滞后等局限性。未来的数据保护将是人和人的对抗，基于内容识别和行为特征分析的新一代数据安全技术，在有效应对APT攻击和防止内部数据泄漏方面的价值已经得到业界广泛关注与认可。

03

自主可控安全技术与

国外先进水平的差距显著缩小

网络安全是国家安全的一部分，必需能够独立自主。长期以来，国产安全产品与国外产品在性能与技术方面的差距一直较为明显，特别是在DLP等高端安全市场，国内企业一直难以涉足。然而在2017年，我们了解到，一批具有较大行业影响力的大型企业比如中国建设银行、工银瑞信、新浪网、凤凰网、顺丰集团、中国国航等，以及广东省发改委等政府机构，在经过严格的POC测试对比后，最终均选用了国产高性能数据安全产品，这显示我国在自主可控数据安全技术领域已取得长足的技术进步。

2018年即将到来，面对层出不穷的数据安全威胁，中国的企业用户更加需要一个体系化的、先进的、全面的整体解决方案来应对。对于专注于企业数据安全、在各自领域具备领先性的国产安全厂商们，应该以《网络安全法》监管要求为依据，深入分析用户实际应用特点，协同合作共同构建自主可控、技术领先、功能互补的新一代安全整体解决方案，帮助企业更好地应对挑战。

·网·安·视·界·

-END