Facebook 超 5 億用户數據泄露,近十年全球信息安全問題集中頻發!
近日,美國社交媒體臉書(Facebook)超5億用户的個人數據遭到泄露,包括電話號碼、電子郵件等信息。俄媒稱,臉書創始人扎克伯格的電話號碼也遭泄露。
據新聞網站商業內幕(Business Insider)報道,一個低級別的黑客論壇3日曝光了5.33億臉書用户的個人數據,這些用户涉及 106個國家,泄露的信息包括臉書ID、用户全名、位置、生日、個人簡介以及電子郵件地址。
令大眾吃驚的是,公佈的這些個人隱私信息數據涉及來自 106 個國家的 5.33 億 Facebook 用户,其中包括 3200 萬美國用户,1100 萬英國用户,600 萬印度用户。
俄羅斯衞星通信社4日報道,遭泄露的5.33億臉書用户數據中包含一些名人的信息,扎克伯格的電話號碼也在其中。有消息稱,遭泄露的電話號碼與扎克伯格的真實號碼是一致的。
網絡犯罪情報公司Hudson Rock的首席技術官加爾首先發現了臉書用户數據泄露,通過比對他所認識的人的信息,證實至少有一部分內容是真實的。
事發後,臉書公司在4月3日的一份聲明中稱,上述數據來自2019年發生的信息泄露事件,當年8月已經進行修復。
臉書已不止一次發生用户信息泄露事件
此前,Facebook曾將8000萬用户數據與劍橋分析公司(Cambridge Analytica)進行分享,而後者則將這些數據用於2016年美國大選政治廣告,這嚴重違反了Facebook的服務條款。扎克伯格承認對此事負有責任並道歉。隨後,美國聯邦貿易委員會對此事展開調查,並對臉書開出50億美元罰單。
國際上也有應對此事的相關法律條令和組織,例如「GDPR」是 (The European) ,意思為「通用數據保護條例」,是歐盟議會和歐盟理事會在 2016 年 4 月通過,在 2018 年 5 月開始強制實施的規定。
GDPR 本質上來説是一系列「打雞血」版強制執行隱私條例,規定了企業了在對用户的數據收集、存儲、保護和使用時新的標準;另一方面,對於自身的數據,也給予了用户更大處理權。GDPR雖然保護範圍只在於歐洲生活的人民,但因為考慮到「全球性」是寫入互聯網基因內的屬性,幾乎所有的服務都會受到影響,所以生活在歐洲之外的人其實也會從此條例中獲益。
據公開信息紕漏,如果2018年臉書的“劍橋分析事件”發生在了GDPR的管轄範圍之內,則其可能被處罰1700萬英鎊或全球營業額4%的鉅額罰款。
全球用户隱私數據泄漏事件愈發頻繁
過去,影響幾百萬人的數據泄露事件就能成為新聞頭條,而如今,影響數億甚至數十億的事件卻比比皆是。
雷鋒網通過公開資料,對關於21世紀以來的典型的數據泄漏事件整理,得知主打的數據安全泄漏主要發生在於以下幾家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系統、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等
以下列舉幾件具有代表性的事件:
數據泄漏公司:Adobe;日期:2013年10月and2019年10月;影響:1.53億用户記錄
在2013年10月上旬,根據安全博主Brian Krebs的披露,Adobe最初報告説,黑客竊取了將近300萬個加密的客户信用卡記錄,以及數量不確定的用户登錄信息帳户。但根據後來的調查表明,已經有超過1.5億用户密碼被泄露,黑客還暴露了用户名稱、ID、密碼以及借記卡和信用卡信息。
2015年8月的一項協議要求Adobe支付110萬美元的法律費用,並向用户支付賠償,金額數量並未公開,以解決違反《客户記錄法》和不公平商業行為的指控。據報道,2016年11月支付給客户的金額為100萬美元。
2019年10月Adobe再次出現數據泄露事故超過700萬名用户受影響,所幸這次泄露的數據不含賬號密碼和信用卡數據等。
數據泄漏公司:Adult Friend Finder;日期:2016年10月;影響:4.122億個帳户
AdultFriendFinder所屬公司被黑客入侵,泄露4.12億用户數據,這將是2016年最大的一次數據泄露事件,也是20年來最大的一次數據泄露事件。
因為公司在安全方面的欠缺,導致幾乎所有的賬户密碼都泄露了,甚至連已經刪除的賬户也被黑客翻了出來。在4.12億數據中,有3.39億數據來源於AdultFriendFinder網站,有超過1500萬數據是已經被刪除的用户數據。
仔細分析數據庫之後得知,6200萬數據來源於Cams.com,700萬來源於Penthouse.com,其餘的數據則來源其他FriendFinder網站。
數據泄漏公司:eBay;日期:2014年;影響:1.45億用户
eBay曾與2014年初發生大規模用户數據泄露事故,約1.45億用户數據遭泄露,這些數據包括用户名、電子郵件地址、家庭地址、電話號碼和生日等隱私信息,但eBay表示用户密碼經過加密處理,黑客並不容易獲得,而用户的信用卡數據並未泄露。
eBay的數據泄露規模甚至超過了美國零售商Target的數據泄露事故(4000萬信用卡遭泄露,1.1億用户數據遭泄露),不過McAfee的副總裁Raj Samani認為eBay泄露的數據中未包含信用卡等支付數據,因此情況並沒有Target的數據泄露嚴重。
數據泄漏公司:LinkedIn;日期:2012年(和2016年);影響:1.65億用户帳户
LinkedIn是商務專業人士的主要社交網絡。對於希望進行社交工程攻擊的攻擊者來説,LinkedIn極具吸引力。2012年1月,一位名叫“Andrev”的黑客通過Pastebin發佈了一則消息,聲稱其攻擊了LinkedIn服務器,並竊取了約1.59億的用户信息。為證實其行為,他發佈了一個包含100個用户的信息名單,名單中包括帳户信息、登陸密碼等。據稱,泄露的用户中包含一些國際知名企業CEO。
然而,直到2016年該事件的影響範圍才完全揭露。出售MySpace數據的黑客僅用5個比特幣(當時約為2,000美元)就提供LinkedIn上的用户電子郵件地址和密碼。LinkedIn承認已意識到該漏洞,並表示已重設了受影響帳户的密碼。
數據泄漏公司:MySpace;日期:2013年;影響:3.6億用户帳户
早在2007年底,MySpace的Alexa全球排名已經穩定在第六名。曾有數據顯示,每個MySpace的註冊用户的平均瀏覽頁面數高達30以上,用户粘性極強。而這次事件的主導者就是上次售賣超過1.64億Linkedln用户數據的同一個黑客,而現在該黑客宣稱已經拿到了3億6000萬MySpace用户的電子郵件地址以及密碼。
因為有3.6億個MySpace用户的帳户泄漏,在LeakedSource(可搜索的數據庫,其中包含被盜帳户)和暗網市場The Real Deal 上出售,要價為6比特幣(當時約為3,000美元)。
據該公司稱,丟失的數據包括在2013年6月11日之前創建的部分賬户電子郵件、密碼和用户名。根據HaveIBeenPwned的Troy Hunt的介紹,密碼存儲為SHA-1哈希,密碼的前10個字符轉換為小寫。
數據泄漏公司:雅虎;日期:2013-14年;影響:30億用户帳户
雅虎於2016年9月宣佈,自己是2014年裏數據泄露事件最大的受害者。攻擊者竊取了5億用户的真實姓名、電子郵件地址、出生日期和電話號碼。大多數泄露的密碼多哦為散列密碼。
在2016年12月,雅虎披露了另一位攻擊者自2013年以來的數據竊取行為,該攻擊行為泄露了10億個用户帳户的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎於2017年10月修訂了這一估計數,總計包含30億用户。
最初的數據泄露公佈的時機不好,因為雅虎正在被Verizon收購,後者最終以44.8億美元的價格收購了Yahoo的核心互聯網業務。此次泄露事件使公司價值縮水了約3.5億美元。
寫在最後
當然全球數據泄漏事件不斷頻發的今日,用户數據隱私保護就變得尤為重要性。GDPR是2018年全球跨國公司數據安全領域所關注的焦點。這一年,受GDPR啓發,歐盟之外的其他法域國家也推出了綜合性的個人數據安全保護的法規體系。比如:
巴西。2018年8月14日,巴西總統批准了《巴西通用數據保護法》(Lei Geral de Proteção de Dados Pessoais,簡稱 “LGPD”)。LGPD將於18個月的過渡期後,在2020年2月15日正式生效。實際執行中,2020年8月26日,博索納羅總統批准了巴西數據保護局(ANPD)的監管結構和整體框架。ANPD將負責監督個人數據保護措施,制定相關指導方針,調查和執行LGPD,並與其他國家數據保護當局開展合作。
就在今年年初,巴西數據保護局(下稱ANPD)向外界公佈了其監管工作戰略規劃及2021年至2022年工作計劃,其中有提及到ANPD機構的發展願景即:打造巴西國內及全世界數據保護機構的樣板。
美國加州。2018年6月28日,美國加利福尼亞州(“加州”)頒佈了《2018年加州消費者隱私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加強消費者隱私權和數據安全保護,CCPA被認為是美國國內最嚴格的隱私立法。
隨後2020年11月3日,美國加利福尼亞州選民投票通過第24號提案,即《加州隱私權法案》(CPRA)。CPRA在去年剛剛生效的《加州消費者隱私法》(CCPA)的基礎上,將進一步賦予加州居民一些新的權利,比如更正個人信息以及限制敏感個人信息的使用和披露的權利。
新加坡。新加坡的個人數據保護立法已有9年多歷史,其《個人數據保護法令》於2012年10月由議會通過,該法主體部分於2014年7月生效。隨後該國又制定九部配套的附屬立法,其中重要的有2014年《個人數據保護規例》等。
2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,其中主要有2019年1月14日頒佈的重要案例、2018年8月31日頒佈的《關於國民身份證及其他類別國民身份號碼的(個人數據保護法令)諮詢指南》和2020年5月14日《個人數據保護法(修訂)草案》的公開徵求意見稿等。
而國內方面,今年3月19日,國家互聯網信息辦公室副主任楊小偉19日在新聞發佈會上説,目前加緊制定出台《數據安全法》、《個人信息保護法》,從而在法律層面為數據安全和個人隱私保護提供法律保障。正在加緊制定相關法規標準,建立數據資源的確權、開放、流通以及交易的相關制度,從而在運行機制上進一步完善數據產權保護制度,為我們的數據安全和個人隱私、個人信息保護提供製度保障。
雷鋒網雷鋒網(公眾號:雷鋒網)
https://blog.csdn.net/jojo705/article/details/105439161/?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-0&spm=1001.2101.3001.4242
https://tech.ifeng.com/c/85ACmlYk9Fd
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:光潮
據新聞網站商業內幕(Business Insider)報道,一個低級別的黑客論壇3日曝光了5.33億臉書用户的個人數據,這些用户涉及 106個國家,泄露的信息包括臉書ID、用户全名、位置、生日、個人簡介以及電子郵件地址。
令大眾吃驚的是,公佈的這些個人隱私信息數據涉及來自 106 個國家的 5.33 億 Facebook 用户,其中包括 3200 萬美國用户,1100 萬英國用户,600 萬印度用户。
俄羅斯衞星通信社4日報道,遭泄露的5.33億臉書用户數據中包含一些名人的信息,扎克伯格的電話號碼也在其中。有消息稱,遭泄露的電話號碼與扎克伯格的真實號碼是一致的。
網絡犯罪情報公司Hudson Rock的首席技術官加爾首先發現了臉書用户數據泄露,通過比對他所認識的人的信息,證實至少有一部分內容是真實的。
事發後,臉書公司在4月3日的一份聲明中稱,上述數據來自2019年發生的信息泄露事件,當年8月已經進行修復。
臉書已不止一次發生用户信息泄露事件
此前,Facebook曾將8000萬用户數據與劍橋分析公司(Cambridge Analytica)進行分享,而後者則將這些數據用於2016年美國大選政治廣告,這嚴重違反了Facebook的服務條款。扎克伯格承認對此事負有責任並道歉。隨後,美國聯邦貿易委員會對此事展開調查,並對臉書開出50億美元罰單。
國際上也有應對此事的相關法律條令和組織,例如「GDPR」是 (The European) ,意思為「通用數據保護條例」,是歐盟議會和歐盟理事會在 2016 年 4 月通過,在 2018 年 5 月開始強制實施的規定。
GDPR 本質上來説是一系列「打雞血」版強制執行隱私條例,規定了企業了在對用户的數據收集、存儲、保護和使用時新的標準;另一方面,對於自身的數據,也給予了用户更大處理權。GDPR雖然保護範圍只在於歐洲生活的人民,但因為考慮到「全球性」是寫入互聯網基因內的屬性,幾乎所有的服務都會受到影響,所以生活在歐洲之外的人其實也會從此條例中獲益。
據公開信息紕漏,如果2018年臉書的“劍橋分析事件”發生在了GDPR的管轄範圍之內,則其可能被處罰1700萬英鎊或全球營業額4%的鉅額罰款。
全球用户隱私數據泄漏事件愈發頻繁
過去,影響幾百萬人的數據泄露事件就能成為新聞頭條,而如今,影響數億甚至數十億的事件卻比比皆是。
雷鋒網通過公開資料,對關於21世紀以來的典型的數據泄漏事件整理,得知主打的數據安全泄漏主要發生在於以下幾家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系統、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等
以下列舉幾件具有代表性的事件:
數據泄漏公司:Adobe;日期:2013年10月and2019年10月;影響:1.53億用户記錄
在2013年10月上旬,根據安全博主Brian Krebs的披露,Adobe最初報告説,黑客竊取了將近300萬個加密的客户信用卡記錄,以及數量不確定的用户登錄信息帳户。但根據後來的調查表明,已經有超過1.5億用户密碼被泄露,黑客還暴露了用户名稱、ID、密碼以及借記卡和信用卡信息。
2015年8月的一項協議要求Adobe支付110萬美元的法律費用,並向用户支付賠償,金額數量並未公開,以解決違反《客户記錄法》和不公平商業行為的指控。據報道,2016年11月支付給客户的金額為100萬美元。
2019年10月Adobe再次出現數據泄露事故超過700萬名用户受影響,所幸這次泄露的數據不含賬號密碼和信用卡數據等。
數據泄漏公司:Adult Friend Finder;日期:2016年10月;影響:4.122億個帳户
AdultFriendFinder所屬公司被黑客入侵,泄露4.12億用户數據,這將是2016年最大的一次數據泄露事件,也是20年來最大的一次數據泄露事件。
因為公司在安全方面的欠缺,導致幾乎所有的賬户密碼都泄露了,甚至連已經刪除的賬户也被黑客翻了出來。在4.12億數據中,有3.39億數據來源於AdultFriendFinder網站,有超過1500萬數據是已經被刪除的用户數據。
仔細分析數據庫之後得知,6200萬數據來源於Cams.com,700萬來源於Penthouse.com,其餘的數據則來源其他FriendFinder網站。
數據泄漏公司:eBay;日期:2014年;影響:1.45億用户
eBay曾與2014年初發生大規模用户數據泄露事故,約1.45億用户數據遭泄露,這些數據包括用户名、電子郵件地址、家庭地址、電話號碼和生日等隱私信息,但eBay表示用户密碼經過加密處理,黑客並不容易獲得,而用户的信用卡數據並未泄露。
eBay的數據泄露規模甚至超過了美國零售商Target的數據泄露事故(4000萬信用卡遭泄露,1.1億用户數據遭泄露),不過McAfee的副總裁Raj Samani認為eBay泄露的數據中未包含信用卡等支付數據,因此情況並沒有Target的數據泄露嚴重。
數據泄漏公司:LinkedIn;日期:2012年(和2016年);影響:1.65億用户帳户
LinkedIn是商務專業人士的主要社交網絡。對於希望進行社交工程攻擊的攻擊者來説,LinkedIn極具吸引力。2012年1月,一位名叫“Andrev”的黑客通過Pastebin發佈了一則消息,聲稱其攻擊了LinkedIn服務器,並竊取了約1.59億的用户信息。為證實其行為,他發佈了一個包含100個用户的信息名單,名單中包括帳户信息、登陸密碼等。據稱,泄露的用户中包含一些國際知名企業CEO。
然而,直到2016年該事件的影響範圍才完全揭露。出售MySpace數據的黑客僅用5個比特幣(當時約為2,000美元)就提供LinkedIn上的用户電子郵件地址和密碼。LinkedIn承認已意識到該漏洞,並表示已重設了受影響帳户的密碼。
數據泄漏公司:MySpace;日期:2013年;影響:3.6億用户帳户
早在2007年底,MySpace的Alexa全球排名已經穩定在第六名。曾有數據顯示,每個MySpace的註冊用户的平均瀏覽頁面數高達30以上,用户粘性極強。而這次事件的主導者就是上次售賣超過1.64億Linkedln用户數據的同一個黑客,而現在該黑客宣稱已經拿到了3億6000萬MySpace用户的電子郵件地址以及密碼。
因為有3.6億個MySpace用户的帳户泄漏,在LeakedSource(可搜索的數據庫,其中包含被盜帳户)和暗網市場The Real Deal 上出售,要價為6比特幣(當時約為3,000美元)。
據該公司稱,丟失的數據包括在2013年6月11日之前創建的部分賬户電子郵件、密碼和用户名。根據HaveIBeenPwned的Troy Hunt的介紹,密碼存儲為SHA-1哈希,密碼的前10個字符轉換為小寫。
數據泄漏公司:雅虎;日期:2013-14年;影響:30億用户帳户
雅虎於2016年9月宣佈,自己是2014年裏數據泄露事件最大的受害者。攻擊者竊取了5億用户的真實姓名、電子郵件地址、出生日期和電話號碼。大多數泄露的密碼多哦為散列密碼。
在2016年12月,雅虎披露了另一位攻擊者自2013年以來的數據竊取行為,該攻擊行為泄露了10億個用户帳户的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎於2017年10月修訂了這一估計數,總計包含30億用户。
最初的數據泄露公佈的時機不好,因為雅虎正在被Verizon收購,後者最終以44.8億美元的價格收購了Yahoo的核心互聯網業務。此次泄露事件使公司價值縮水了約3.5億美元。
寫在最後
當然全球數據泄漏事件不斷頻發的今日,用户數據隱私保護就變得尤為重要性。GDPR是2018年全球跨國公司數據安全領域所關注的焦點。這一年,受GDPR啓發,歐盟之外的其他法域國家也推出了綜合性的個人數據安全保護的法規體系。比如:
巴西。2018年8月14日,巴西總統批准了《巴西通用數據保護法》(Lei Geral de Proteção de Dados Pessoais,簡稱 “LGPD”)。LGPD將於18個月的過渡期後,在2020年2月15日正式生效。實際執行中,2020年8月26日,博索納羅總統批准了巴西數據保護局(ANPD)的監管結構和整體框架。ANPD將負責監督個人數據保護措施,制定相關指導方針,調查和執行LGPD,並與其他國家數據保護當局開展合作。
就在今年年初,巴西數據保護局(下稱ANPD)向外界公佈了其監管工作戰略規劃及2021年至2022年工作計劃,其中有提及到ANPD機構的發展願景即:打造巴西國內及全世界數據保護機構的樣板。
美國加州。2018年6月28日,美國加利福尼亞州(“加州”)頒佈了《2018年加州消費者隱私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加強消費者隱私權和數據安全保護,CCPA被認為是美國國內最嚴格的隱私立法。
隨後2020年11月3日,美國加利福尼亞州選民投票通過第24號提案,即《加州隱私權法案》(CPRA)。CPRA在去年剛剛生效的《加州消費者隱私法》(CCPA)的基礎上,將進一步賦予加州居民一些新的權利,比如更正個人信息以及限制敏感個人信息的使用和披露的權利。
新加坡。新加坡的個人數據保護立法已有9年多歷史,其《個人數據保護法令》於2012年10月由議會通過,該法主體部分於2014年7月生效。隨後該國又制定九部配套的附屬立法,其中重要的有2014年《個人數據保護規例》等。
2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,其中主要有2019年1月14日頒佈的重要案例、2018年8月31日頒佈的《關於國民身份證及其他類別國民身份號碼的(個人數據保護法令)諮詢指南》和2020年5月14日《個人數據保護法(修訂)草案》的公開徵求意見稿等。
而國內方面,今年3月19日,國家互聯網信息辦公室副主任楊小偉19日在新聞發佈會上説,目前加緊制定出台《數據安全法》、《個人信息保護法》,從而在法律層面為數據安全和個人隱私保護提供法律保障。正在加緊制定相關法規標準,建立數據資源的確權、開放、流通以及交易的相關制度,從而在運行機制上進一步完善數據產權保護制度,為我們的數據安全和個人隱私、個人信息保護提供製度保障。
雷鋒網雷鋒網(公眾號:雷鋒網)
https://blog.csdn.net/jojo705/article/details/105439161/?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-0&spm=1001.2101.3001.4242
https://tech.ifeng.com/c/85ACmlYk9Fd
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:光潮