触目惊心 亚信安全盘点2017年十大数据泄露事件

数据泄露已经成为全球最常见的网络安全事件之一，而且已经有愈演愈烈的趋势。事实上，在2017年上半年，全球就有19亿条记录被泄或被盗，比去年全年总量(14亿)还多。为了展示数据泄露威胁的严峻性，亚信安全盘点了2017年全球最值得关注的10起数据外泄事件，这些事件不仅给企业带来数据资产的严重损失，还带来了巨大的社会影响。在数据泄露威胁持续增长的背景下，亚信安全建议企业部署更有效的安全防护方案，在技术与人这两个方面同时搭建稳固的防线。

2017年值得关注的十大数据泄露事件包括：

一、D&B高达52GB的数据流露到地下黑色市场

数据服务公司Dun & Bradstreet（D&B）于3月份泄露了一个数据量高达52GB的数据库，据推测有大约3370万个电子邮件地址和联系信息被泄露。该数据库包含姓名、职位、工作职能、工作电子邮件地址和电话号码，以及一般的公司信息。据称，这些泄露的数据已经在黑色市场中被出售给大量的公司，带来深远的影响。

二、美国求职网站AJL泄露480万笔求职者信息

2017年3月，美国求职网站America’s JobLink（AJL）爆发了一起重大数据泄露事件，影响到美国十个州的众多求职者。在本起事件中，一名黑客利用AJL应用程序的一个漏洞窃取了480万笔求职者的数据，暴露的数据包括求职者姓名、生日和身份识别号码。

三、2亿美国人的投票数据被暴露

2017年6月，美国共和党全国委员会承包商——营销公司Deep Root Analytics托管在AWS S3上的数据库泄露，暴露了超过1.98亿美国公民1.1 TB的资料，约占投票人口的61%，泄露的数据包含美国选民的个人信息，如姓名、出生日期、家庭住址、电话号码和选民登记细节。

四、1400万Verizon客户个人信息泄露

2017年7月，美国电信公司Verizon因为错误设定云服务器的安全设置，造成超过1400万Verizon客户个人信息外泄到网络上，这些数据包含用户的姓名、电话号码以及可能被用于访问其Verizon账户的PIN码。

五、黑客窃取Equifax客户数百万笔信用卡和驾照号码

2017年9月，Equifax称客户的敏感信息被窃，包含了数百万笔的信用卡和驾照号码。这些事件最早是在7月发现的，美国网络应用一个漏洞导致黑客被允许访问某些特定文件，从而导致1.43亿信用和信息服务客户受到影响。

六、雅虎30亿帐号或已全部泄露

2017年10月，雅虎发布公告称，在2013年的数据泄露事件中，有大概30亿笔帐号（包含当时雅虎所有的用户）泄露，而不是之前所估计的10亿笔，数据泄露的影响范围远超过此前的估计。

七、Uber隐瞒5700万账户泄露事件

2017年11月，Uber主动公开了去年发生了一起严重的数据泄露事件，据悉，黑客通过外部代码托管网站GitHub获得了Uber在AWS上的账号和密码，从而盗取了5700万乘客的姓名、电子邮件和电话号码，以及约60万名美国司机的姓名和驾照号码。为了隐瞒此事件，Uber曾向黑客支付10万美元封口费。

八、趣店数百万学生数据或遭泄露

2017年11月，媒体发布消息称，趣店百万学生的数据疑似外泄，泄露的数据出包括借款金额、滞纳金等金融数据外，甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。据称，此次数据泄露事件有可能是内鬼所为，内部人员主动泄露这些数据以进行报复。

九、14亿账号密码数据库在reddit论坛被公开

2017年12月，安全人员检测到国外reddit论坛上公开了一份长期在暗网中心交易的数据文件，这些数据包含了14亿用户的用户名和密码，可能是迄今为止数据泄露规模最大的一次。这些泄露的用户名和密码可能导致用户的账号被窃取，账号内的个人信息与资产也受到威胁。

十、支付公司TIO Networks 160万笔客户账号受影响

在收购支付公司TIO Networks几个月后，PayPal发现TIO网络出现未经授权存取数据的行为，可能让客户面临信息被窃的风险，因此宣布暂停营运。这一数据泄露事件影响了约160万笔客户帐号。

数据泄露呈现新态势 未来任重道远

针对愈发迫切的数据泄露威胁，亚信安全建议企业在数据保护的各个环节都建立有效的防御能力。企业应该进行统一的数据安全管理，使数据安全策略应用和流程策略可以跨越多个数据存储库，提供对敏感数据的可见性，对于可疑事件进行警报和报告，并执行更加严密的数据加密与数据脱敏策略。

亚信安全通用安全产品总经理童宁表示：“针对云端的数据安全威胁，企业最好打造能够支持安全策略自适应、工作环境自动感知、实现虚拟化优化和软件定义云架构对接的跨越云数据中心的统一管理平台，在数据中心和云端实现一致的安全性，简化云安全的部署和配置，对云环境实现弹性、动态的自动化防护。”

为帮助企业保护宝贵的数据资产，亚信安全提供了以下最佳安全实践建议，这包括：

Ø  对安全防御计划进行调整，以更好的识别系统的脆弱环节；

Ø  部署网络安全解决方案，如亚信安全服务器深度安全防护系统Deep Security，Deep Security可以让安全策略自由的从内部私有云和公有云平台之间移动，使管理员将能够快速且高水平的自动追踪资源，并使其保持最新的安全状态。此外，亚信安全深度威胁发现设备TDA可以对企业网络安全环境进行智能分析，对于现有的防毒架构提升更高层次的管理指标，还可以通过威胁管理服务功能管理TDA<span -converted-space"=""> 所分析的结果，实时、有效地掌握企业网络安全状态。