2014年数据泄密事件盘点

2014年数据泄密事件盘点

在网络安全攻防技术高度发展的今天，人们往往把技术放在网络安全防护的第一位，而忘记了用户本身才是最大的安全漏洞。人们热衷于讨论NSA的黑客部队的高精尖攻击技术，但是忘记了NSA的合同工斯诺登只用一行最普通的wget下载命令就把NSA机密文档翻了个底朝天。据开放安全基金会调查，迄今为止最严重的10起安全泄露事故中，3起事故发生在2014年。这包括NYC Taxi & Limousine Commission的 1.73亿条记录泄露事故，易趣的1.45亿条记录泄露事故以及韩国信用局的1.04亿条记录泄露事故。其中韩国的信用卡信息泄露事件就是由于内鬼泄密，负责信用评分系统的计算机承包商利用职务之便将数据拷贝外卖，从而引发了波及几乎整个韩国的信用危机。

困扰企业的内部信息安全问题日益严重，2014年都有哪些内部威胁导致的数据泄密事件，和天锐科技一起回顾下。

事件盘点

韩国1500万信用卡客户信息泄露

2014年，1月14日，韩国检方披露：1500万韩国信用卡客户的1.04亿条个人信息遭泄露，其中一半以上为敏感的信用信息，信用信息可以了解顾客的消费模式及习惯，很容易被金融欺诈电话或强制贷款所利用。据悉，事件源起于一名信用评级公司朴姓职员，在受三家信用卡公司（国民卡、乐天卡、农协卡）委托开发电脑程序过程中，非法利用U盘收集了个人信息，并随后出售给广告公司。这次事件的恶劣程度，几乎可以“毁掉韩国人对数码经济的信赖”。

支付宝被曝出内鬼前员工贩卖20G用户资料

2014新年伊始，阿里巴巴就被曝闹内鬼。支付宝技术员工李某，利用工作之便，在2010年分多次在公司后台下载了支付宝用户资料，资料内容超过20G。该用户资料被多次出售给电商公司、数据公司用以牟利。据李某供述，该数据的最大买家为凡客诚品，花重金购得支付宝用户资料1000万条。

巴克莱银行涉嫌泄露客户信息接受调查

2014年2月，世界十大银行之一的英国巴克莱银行，遗失了27000份客户文件，内容包含从护照和国家保险号码到收入、储蓄、抵押贷款、健康问题和保险政策的所有信息。泄露数据在黑市的潜在价值可达数百万，因为不良分子可以使用这些被窃信息对毫无戒心个人进行攻击。该银行自身员工涉嫌销售和分销被窃信息。不过到目前为止，还没有人被捕。

美国杜邦配方被其承包商盗卖

2014年3月，美国杜邦公司宣布，其用于纸品和塑料清洁生产的白色颜料专有配方被盗，并在市场上以140亿美元的价格卖给了一家有竞争力的中国公司。杜邦公司某承包商以2800万美元的合同价售出了该配方。承包商被判经济间谍罪、窃取商业机密罪、干预证人罪、虚假陈述罪等22项罪名。

美国石油天然气公司EnerVest遭员工报复花大额费用恢复历史数据

2014年5月，某地方检察官确定，因EnerVest某员工得知自己将被公司解雇，于是恢复了所有网络服务器的出厂设置，断开了关键网络设备，禁用了设备冷却系统。该流氓员工的行为造成该公司大约30天的全面通信与业务操作中断，EnerVest花费数十万美元用于恢复网络服务器历史数据。

美国电话电报公司（AT&T）内鬼泄露客户账户信息

2014年6月，据透露美国电话电报公司某员工通过非正当手段获取了约1600个客户账户，并可能查看了客户的社会保障号码和驾照号码。相信该员工窃取这些记录是用于越狱锁定的AT&T手机，让这些手机可以更容易转手。

eBay遭黑客入侵，大量用户数据泄露

据外媒报道，财务500强、著名在线拍卖网站eBay遭黑客入侵，大量用户数据可能被窃，这些数据包含EBAY用户的姓名、登陆账号、密码、邮件地址、联系地址、电话号码以及出生日期。据悉，这次数据泄露规模甚至超过了美国零售商Target的数据泄露事故（4000万信用卡遭泄露，1.1亿用户数据遭泄露）。

快递官网漏洞泄露约1400万用户信息

继酒店业、电商网站等因网站漏洞个人信息遭泄露后，快递企业网站再曝漏洞。昨日，有消息称，多家快递网站因存在漏洞遭黑客入侵，有1400万条个人信息在网络上被层层转卖。

因商业泄密,台湾逮捕10名联发科前员工

2014年，8月13日消息，据台湾媒体报道，联发科三名前职员涉嫌勾结晨星七名前职员，将“FinFET(鳍式场效电晶体）”等25项手机芯片机密资料交付香港鑫泽数码公司使用，然后跳槽过去领取高薪。被台湾调查局逮捕审讯。

iCloud艳照门事件掀起满城风雨

2014年9月，黑客利用苹果iCloud漏洞检索不雅照，詹妮弗·劳伦斯等数百名女星裸照接连曝光，苹果iCloud存储服务安全遭质疑。

家得宝5600万信用卡泄漏

美国最大家装建材零售商家得宝（Home Depot）承认其支付系统2014年四月（起）遭到黑客入侵，估计有5600万张信用卡数据遭到泄漏，打破了此前Target创下的4000万张信用卡数据泄漏世界记录。

代办签证泄隐私,旅游网站归责“黑客”

2014年10月，在正规旅游网站购买了代办签证业务，却引来假冒客服电话诈骗，百程网被指泄露客户签证资料信息，客户遭受诈骗，重复付款。百程网表示是因为系统遭遇黑客入侵，导致客户信息泄露。

智联招聘86万用户简历遭泄露含身份证等私密信息

2014年12月3日，86万条求职者简历数据疑遭泄露。乌云漏洞在其网站上提交了智联招聘86万用户简历信息泄露的漏洞，并于3日正式公开，据称可获取包含用户姓名、地址、

身份证、户口等各种信息。

后记：

内鬼作案有三个明显特征：很难发现；不常发生；一旦发生就是毁灭性的。国外调研机构Ponemon称：接受调研的IT专业人士中有 88%认为自己很难辨识出内鬼作案。网络监视SpectorSoft也表示：半数以上的公司甚至都没发觉被内鬼出卖了。几乎没有公司公开披露此类攻击，即使公开，也极少估算损失。SpectorSoft称：内鬼作案（已承认的那35%）仅2013年一年就造成美国公司400亿美元的损失。天锐科技专家表示，面对越来越复杂的信息化环境，企业在部署高技术水平防范网络攻击的同时，也要加强内部办公环境的数据防泄密建设，从外到内构建全方位防护体系，才能真正有效守护数据资产安全。

(部分资料参照安全牛)