2017-2018年度數(shù)據(jù)泄密安全報告

全球重大數(shù)據(jù)泄密事件回顧

全年泄密數(shù)據(jù)統(tǒng)計

41G

數(shù)據(jù)泄露和暗網(wǎng)2017

年度安全報告——數(shù)據(jù)泄密2近年來

,

全球各地無論是政府組織還是知名企業(yè)

,

頻繁被爆出大規(guī)模數(shù)據(jù)泄露事件

,

尤

以信息化程度發(fā)達的國家更為嚴重。2017

年全年有大量重大泄密的事件發(fā)生

,

與之前的數(shù)據(jù)

相比

,

數(shù)據(jù)隱患并不2017

年

6

月IBM

S

和

P

I

兩家研究機構(gòu)針對

13

個國家和

419家公司進行調(diào)研并形成“2017

年數(shù)據(jù)泄露成本調(diào)研:全球概述”報告。通過調(diào)研顯示數(shù)據(jù)

泄露總成本達到

362

萬美元。令人樂觀。

2017

年

10

月

威瑞森電信公司

(Verizon)

又發(fā)布了一年一度的《2017

年的數(shù)據(jù)泄露調(diào)查報告》,

對以往的的安全事件和數(shù)據(jù)泄露進行了分析。這份最新報告

總共分析了

42068

個安全事件以及來自

84

個國家的

1935

個漏洞。2017

年的數(shù)據(jù)泄露報告是一份“10

周年報”,

統(tǒng)計結(jié)果主要基于威瑞森

公司在過去十年里從

65

家不同的組織獲得的泄露數(shù)據(jù)。

在數(shù)據(jù)泄露原因方面

,62%

的數(shù)據(jù)泄露與黑客攻擊有關

;81%

的的數(shù)據(jù)泄露涉及到撞庫或弱口令。

也就是說

,

直到

2017

年

,

人們使用密碼的習慣依然不太好

,

絕大部分人并沒有養(yǎng)成定

期修改密碼的習慣。2017

DataBreach

Investigations

Report2017

Poor

Internal

SecurityPracticesTake

a

Toll32017

年度安全報告——數(shù)據(jù)泄密

2017

年

12

月

2017

年

12

月

,360CERT

通過大量數(shù)據(jù)調(diào)研和成本分析

,

對于含有敏感信息和機密信息的記錄

,

發(fā)現(xiàn)數(shù)據(jù)泄露問題變的很嚴重

,

全年數(shù)據(jù)泄露

事件的平均規(guī)模上升

2%,

財產(chǎn)損失高達上億。很多企業(yè)均遭遇過數(shù)據(jù)泄露

,

受損數(shù)據(jù)不等。

2017

年整體數(shù)據(jù)比

2016

年全年增加了

13%,

其中

,

身份泄密很是堪憂

,

相比去年一年

,

增長了

49%。約

190

億的數(shù)據(jù)泄密記錄是在過去

一

年期間丟失和被盜

,

相比去年

,

增加了

164%。同時超過

5000

個數(shù)據(jù)泄密未知和未報告。

在接下來的幾年中

,

這很可能會開始改變

,

因為政府

制定了相關的規(guī)章

,

提高數(shù)據(jù)泄密的透明度。2017

年度安全報告——數(shù)據(jù)泄密4重大數(shù)據(jù)泄露事件回顧

回顧整個

2017

年

,

產(chǎn)業(yè)信息化、數(shù)字化、網(wǎng)絡化進程加速

,互聯(lián)網(wǎng)

+

已然成為一種不

可逆的趨勢

,

互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)帶來更新式革命

,

然而新趨勢下的數(shù)據(jù)安全狀況變得

越發(fā)嚴峻。

針對全年的數(shù)據(jù)泄露事件

,360CERT

通過數(shù)據(jù)泄露指數(shù)來表明數(shù)據(jù)泄露事件的危害和影響力。

360CERT

梳理了

2017

年全球十大影響力的數(shù)據(jù)泄露事件,以此警示各企事業(yè)單位關注數(shù)據(jù)安全防護

,

保護其系統(tǒng)免受或降低泄密風險。

在

2017

年

,

有幾個數(shù)據(jù)泄露評分指數(shù)達到

9.0

以上。下面是一些頂級數(shù)據(jù)泄露的總結(jié)

:數(shù)據(jù)泄露指數(shù)是由泄密受損紀錄數(shù)據(jù)、泄密數(shù)據(jù)類型以及風險評估指數(shù)構(gòu)成。泄密指數(shù)是通過以上三個因素（權重）計算而來。52017

年度安全報告——數(shù)據(jù)泄密

事件一：全球最大管理咨詢公司埃森哲大量敏感

數(shù)據(jù)泄露

泄露紀錄：4

臺云存儲服務器

泄露指數(shù)：9.2

分

事件時間：2017

年

10

月

事件回顧：2017

年

9

月

17

日，UpGuard

網(wǎng)絡風險研究主管

Chris

Vickery（克里斯·維克里）發(fā)現(xiàn)不安全的亞馬遜

S3

存儲桶，任何人將存儲桶網(wǎng)頁地址輸入瀏覽器就能公開訪問、下載。

9

月

18

日研究人員粗略分析后發(fā)現(xiàn)，4

個存儲桶（acp-deployment、acpcollector、acp-software

和

acp-ssl）暴露了埃森哲的內(nèi)部重要數(shù)據(jù)，包括云平臺憑證和配置文件。

暴露的數(shù)據(jù)包括

API

數(shù)據(jù)、身份驗證憑證、證書、加密密鑰、客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的其它更多數(shù)據(jù)。如果泄露的數(shù)據(jù)有效，攻擊者可能會利用這些數(shù)據(jù)對客戶發(fā)起攻擊。CSTAR（UpGuard

的專有網(wǎng)絡風險評分系統(tǒng)）對這起泄露事件的網(wǎng)絡風險評分為

790。這起數(shù)據(jù)泄露表明，即使最先進、安全的企業(yè)也可能會將重要數(shù)據(jù)暴露在網(wǎng)上，造成嚴重后果。

這些數(shù)據(jù)一旦落入威脅攻擊者之手，這些云服務器可能會將埃森哲及其數(shù)千個知名企業(yè)客戶置于惡意攻擊的風險之中，可能會造成不可估量的經(jīng)濟損失。62017

年度安全報告——數(shù)據(jù)泄密

事件二：德勤

500

萬數(shù)據(jù)泄漏，竟因員工將

G+

公開平臺當記事本

(28

日更新

)

泄露紀錄：500

萬數(shù)據(jù)

泄露指數(shù)：9.2

分

事件時間：2017

年

9

月

事件回顧：

2017

年

9

月

28

日德勤已成待宰魚肉：關鍵系統(tǒng)

RDP、VPN

及代理登錄細節(jié)泄露。

周一：跨國咨詢公司德勤遭遇黑客攻擊，公司稱只是一次小事故

周二：德勤公司大量

VPN

泄露，其中包括用戶名、密碼以及操作細節(jié)，這些都被發(fā)布在一個

Github

倉庫中（內(nèi)容在不久之

后經(jīng)查證，一位德勤員工在大約六個月前將公司代理登錄憑證上傳至他的

Google+

上，這些信息直到剛剛才被刪除。通過對泄露的登錄信息分析可知，德勤將一些關鍵的系統(tǒng)公開在外，并且開啟了遠程桌面訪問。然而安全起見這些都是應該設置在防火墻后并開啟雙因子認證的，事實上，德勤往往對他的客戶推薦這種做法，雖然他自己并沒有做到。

全球稅務與審計公司Delloitte（德勤）已經(jīng)發(fā)表了官方公告稱，公司遭受了一次網(wǎng)絡攻擊，在此次攻擊中，攻擊者成功竊取了大量數(shù)據(jù)，其中包括公司某些客戶的私人郵件以及機密文檔。后被刪除）。

正如其他信息安全專家發(fā)現(xiàn)的那樣，除此之外還有很多信息

在傳播，這些信息可以通過

Shodan

搜索到。利用這些信息，黑

客們可以黑入德勤的內(nèi)部網(wǎng)絡。Google+

頁面上的信息是所有人

都能看到的，所以黑客可以通過

Google

搜索到非常多的信息，

這些信息足以讓他對德勤發(fā)起一次攻擊。

當然了，此次的Deloitte（德勤）數(shù)據(jù)泄露事件并不是第一次，

而且肯定也不是最后一次，希望其他公司要提高警惕，千萬不要“事

不關己高高掛起”！72017

年度安全報告——數(shù)據(jù)泄密

事件三、搞事情！影子經(jīng)紀人響應團隊正在為

NSA

泄露工具進行公開眾籌

泄密類型：黑客組織

泄密指數(shù)：9.2

分

事件時間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：近期影子經(jīng)紀人正式對外宣布稱他們將會提供一個“月度漏洞披露計劃”服務，而這項服務的訂閱費為

100

個ZCASH

幣。這也就意味著，如果我們支付了影子經(jīng)紀人所要求的月服務費，我們就能夠第一時間拿到最新泄漏的漏洞信息。因此在這個眾籌活動中，我們希望能夠集中整個安全社區(qū)的可用資源，這樣不僅能夠盡量避免類似

WannaCry

這樣的事件再次發(fā)生，而且這對于那些資金不夠的白帽社區(qū)來說也是一次訂閱最新月度披露數(shù)據(jù)的機會。

簡而言之，我們的目標就是從利益相關的第三方籌到足夠的資金來訂閱影子經(jīng)紀人每個月披露的漏洞信息。我們希望通過自己的努力完成以下幾個任務：

1.

籌到足夠的資金以購買

100

個

ZCASH

幣；

2.

從正規(guī)合法的虛擬貨幣交易所購買

100

個

ZCASH

幣；

3.通過電子郵件地址將100個ZCASH幣轉(zhuǎn)賬給影子經(jīng)紀人；

4.

訪問影子經(jīng)紀人每個月公布的泄漏數(shù)據(jù)，并將其與所有資助者分享；

5.

對泄漏數(shù)據(jù)進行分析，確定披露數(shù)據(jù)的影響程度；

根據(jù)影子經(jīng)紀人所提供的月度披露服務條款，每個月他們給出的漏洞內(nèi)容可能與下列幾種項目有關：

1.Web瀏覽器、路由器和手機漏洞，以及相應的漏洞利用工具；

2.

NSA

Ops

Disk

中的最新資料，包括

Windows

10

的漏洞以及相應的漏洞利用技術；

3.

被入侵網(wǎng)絡中的數(shù)據(jù)，包括

SWIFT（環(huán)球同業(yè)銀行金融電訊協(xié)會）或核武器計劃；

影子經(jīng)紀人手中可能沒有太多額外的數(shù)據(jù)了，他們很有可能是在虛張聲勢，這也有可能是一次明目張膽的欺詐活動。但是我們可以從公告

MS17-010

中看到，他們不僅很有可能擁有更多強大的攻擊工具，而且還有可能擁有最新版

iOS

的越獄技術以及先進的

Android

端惡意軟件。但這一切都只是我們的猜測，事實到底如何現(xiàn)在我們也無從得知。我們之前對影子經(jīng)紀人泄漏的所有數(shù)據(jù)進行了分析，而結(jié)論就是這個黑客組織絕對是一個可信的威脅，因此我們認為他們這項月度披露服務的可信度非常高。82017

年度安全報告——數(shù)據(jù)泄密

事件四、Equifax

美國征信機構(gòu)數(shù)據(jù)泄露

泄密記錄：1.5

億用戶

泄密指數(shù)：9.6

事件時間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：美國征信機構(gòu)

Equifax

稱它們的數(shù)據(jù)庫遭到了攻擊，將近

1.43

億美國人的個人信息可能被泄露，這幾乎是全美人口的一半。

美國有線電視臺(CNN)稱，從被泄露信息的廣度和類型來看，此次數(shù)據(jù)泄露可能是有史以來“最糟糕的”。將近

1.43

億美國人的數(shù)據(jù)庫詳情的的確確掌握在黑客手中。這些數(shù)據(jù)可能導致不同層面的身份欺詐。一旦黑客將這些數(shù)據(jù)公布出去，就是一場大災難。如今指責黑客似乎也無濟于事，畢竟還是

Equifax

自己安保工作不到位才導致這次泄露。

那么黑客到底是通過什么方式獲取到數(shù)據(jù)庫的密碼的呢？這

些控制面板的確安全性很差，但其他部分是否安全？事實上，這些

控制面板中還儲存了一些加密數(shù)據(jù)，但密鑰卻放在面板內(nèi)部。一旦

面板被入侵，加密數(shù)據(jù)也不再安全。截圖表明，這些密鑰以及所有

Equifax

子公司的信息都保存妥善，但最后他們還是都被黑了。

Equifax

與執(zhí)法部門配合展開了調(diào)查，并表示將在明年為其

客戶提供免費的身份盜竊保護和信用監(jiān)控。

報道稱，網(wǎng)絡犯罪者已經(jīng)接觸到了包括姓名、社會安全號碼、出生日期、地址和駕照編號等在內(nèi)的敏感信息。還有約

20.9

萬美國客戶的信用卡卡號泄露。此外，居住在英國和加拿大的人也受到影響。Equifax稱，這次信息泄露可能發(fā)生在5月中旬到7月之間。公司稱它們于

7

月

29

日制止了此次攻擊。92017

年度安全報告——數(shù)據(jù)泄密

事件五、Uber

為

5700

萬份數(shù)據(jù)向黑客買賬泄密紀錄：5700

用戶泄密指數(shù)：9.3

分事件時間：2017

年

9

月包括

5700

萬司機與乘客的信息，而這件事則被當時的

CSO

以向黑客付款10萬美元破財消災的方式壓制了下去。Uber的CSO（首席安全官）和他的助理因他們的惡劣行為被解雇。

黑客攻擊過程如下：兩個攻擊者訪問了

Uber

軟件工程師的私有

Github

倉庫并用從中拿到的登錄憑證登錄到了公司用來處理計算任務的亞馬遜

Web

服務賬戶上，并在這個賬戶的數(shù)據(jù)中發(fā)現(xiàn)

了乘客和司機的信息。接下來就是已知的勒索過程了。事件回顧：去年

Uber

遭遇了大規(guī)模的數(shù)據(jù)泄露，泄露數(shù)據(jù)

Uber

此

次

大

規(guī)

模

泄

露

事

件

相

比

Yahoo、MySpace、Target、Anthem、Equifax

等黑客入侵事件來說并不算嚴重，但值得我們注意的是他們極端的問題處理方式：隱藏消息，而不是

公之于眾。這是

Khosrowshahi

從前輩

Travis

Kalanick

手中繼

承

Uber

后最近的一次丑聞。

各州和聯(lián)邦的法律都有要求公司在敏感數(shù)據(jù)泄露發(fā)生時要通

知用戶和政府部門。Uber

表示它有義務通知駕駛證信息被泄露的

司機用戶，但可惜當時并沒有做到。

Kalanick

在六月時因投資者壓力被迫辭掉

CEO

職位，投資

者認為他把公司置于嚴重的風險中。Uber

同時招聘了國家安全機

構(gòu)的前法律總顧問

Matt

Olsen，希望他能幫助公司重建安全隊伍，

還請隸屬于

FireEye

公司的

Mandiant

來協(xié)助調(diào)查這起事件。

Uber

最終聲明并沒有證據(jù)表示此次事件的泄露數(shù)據(jù)被黑客利

用，并將為信息被泄露的司機提供免費的信息保護監(jiān)控服務。

數(shù)據(jù)泄露發(fā)生在去年十月份，包括5000萬Uber用戶的姓名、郵箱、電話號碼和

700

萬

Uber

司機的個人信息以及

60

萬份美國司機駕駛證號碼。不過

Uber

聲稱社會保障號、信用卡信息、交通地理信息等其他數(shù)據(jù)并未泄露。2017

年度安全報告——數(shù)據(jù)泄密10事

件

六、

絕

密

文

件！

100G

！

泄

露！

NSA

！Amazon

S3!

泄密紀錄：

100G

數(shù)據(jù)

泄密指數(shù)：9.9

分

事件時間：2017

年

9

月

事件回顧：近日，據(jù)外媒報道稱，屬于美國國家安全局（NSA）的一個高度敏感的硬盤驅(qū)動器的內(nèi)容已經(jīng)公開在了Amazon

WebServices

存儲服務器上。

該虛擬磁盤鏡像中包含了來自代號為“紅色磁盤（RedDisk）”的陸軍情報項目的超過

100GB

數(shù)據(jù)。分析顯示，該磁盤鏡像屬于美國陸軍的情報和安全司令部——被稱為

INSCOM，它是隸屬美國陸軍和國家安全局的一個部門。

據(jù)悉，該磁盤鏡像保留在非公開的

Amazon

Web

Services存儲服務器上，但卻沒有設置密碼，這意味著任何發(fā)現(xiàn)它的人，都可以通過政府秘密文件挖掘信息。本次數(shù)據(jù)泄露事件是由安全公司UpGuard

的網(wǎng)絡風險研究主管

Chris

Vickery

于今年

10

月份率先發(fā)現(xiàn)，并隨即通報了相關政府機構(gòu)這一違規(guī)行為的存在。隨后，該存儲服務器已經(jīng)得到了保護。

此次泄漏事件是政府機密數(shù)據(jù)的又一次大曝光。自

2013

年愛德華

?

斯諾登（Edward

Snowden）披露“棱鏡門”以來，美國國家安全局已經(jīng)成為頭條新聞的?？?。今年年初，前

NSA

合同工

Harold

Martin

就曾因在

Booz

Allen

Hamilton

任職期間盜取國家文件及數(shù)據(jù)遭到

20

項刑事指控；6

月份，另一名

NSA

合同工

Reality

Winner，又因涉嫌泄漏

NSA

關于“俄羅斯試圖干擾美國總統(tǒng)選舉”的絕密級別（Top

Secret

level）文件而遭到逮捕。112017

年度安全報告——數(shù)據(jù)泄密

事件七、五角大樓

AWS

S3

配置錯誤，意外暴

露

18

億公民信息

泄密紀錄：18

億用戶數(shù)據(jù)

泄密指數(shù)：9.2

分

事件時間：2017

年

11

月

事件回顧：11

月

22

日，據(jù)外媒報道稱，美國五角大樓意外暴露了美國國防部的分類數(shù)據(jù)庫，其中包含美國當局在全球社交媒體平臺中收集到的

18

億用戶的個人信息。

此次泄露的數(shù)據(jù)為架在亞馬遜

S3

云存儲上的數(shù)據(jù)庫。由于配置錯誤導致三臺

S3

服務器“可公開下載”，其中一臺服務器數(shù)據(jù)庫中包含了近

18

億條來自社交媒體和論壇的帖子，據(jù)猜測，這些信息很有可能是國防部從2009年到2017年8月時間內(nèi)收集的。

美

國

網(wǎng)

絡

安

全

公

司

UpGuard

的

安

全

研

究

人

員

ChrisVickery

率先發(fā)現(xiàn)了這三個可以公開訪問和下載的數(shù)據(jù)庫，并分別將其命名為“centcom-backup”、“centcom-archive”以及“pacom-archive”。

美國中央司令部發(fā)言人

Josh

Jacques

近期證實：“此次泄露事件由

AWS

S3

配置錯誤導致，其用戶可繞過安全協(xié)議訪問數(shù)據(jù)。不過，我們現(xiàn)在已對其進行了保護與監(jiān)控。一旦發(fā)現(xiàn)未授權訪問，我們將采取額外措施，以防網(wǎng)絡犯罪分子非法訪問。此外，我們搜集用戶社交信息并無他意，僅僅用于政府公共網(wǎng)站的在線課程策劃。2017

年度安全報告——數(shù)據(jù)泄密12事件八、雅虎

30

億帳號或已全部泄露，政監(jiān)機構(gòu)參與調(diào)查

泄密紀錄：30

億賬號

泄密指數(shù)：9.2

分

事件時間：2013

年（2017

年

10

月更新數(shù)據(jù)）

事件回顧：早在

2013

年

8

月，雅虎曾發(fā)生過一起嚴重的數(shù)據(jù)泄露事件，有超過

10

億用戶的信息遭到外泄。威瑞森通信公司（Verizon

Communications）的業(yè)務合并過程中獲得的新情報證實，此次網(wǎng)絡攻擊的影響范圍遠超過此前的估計，“所有帳戶都有可能受到了影響?！?/p>

其實，早在

2014

年發(fā)生的數(shù)據(jù)泄露事件導致了至少

5

億用戶數(shù)據(jù)泄露。但雅虎在

2016

年

9

月才對外披露了那次泄露事件。對此，就雅虎公司的兩起大規(guī)模數(shù)據(jù)泄露是否應該盡早報告給投資者一事，美國政府監(jiān)管機構(gòu)還進行了調(diào)查。事件九、南非

3000

多萬份個人信息遭公布或包括總統(tǒng)和部長

泄密紀錄：3000

萬用戶信息

泄密指數(shù)：9.2

分

事件時間：2017

年

10

月

事件回顧：據(jù)稱，該事件為南非史上規(guī)模最大的數(shù)據(jù)泄露事件，共有

3160

萬份用戶的個人資料被公之于眾，其中包括姓名、身份

證號、年齡、收入、地址、職業(yè)以及電話號碼等。這些數(shù)據(jù)來自“拼

圖控股”集團旗下的艾達、ER

和房地產(chǎn)

-1

等子公司。南非《時報》

19

日披露稱，祖馬總統(tǒng)和財政部長吉加巴、警察部長姆巴魯拉的

個人信息可能也在其中。

南非的互聯(lián)網(wǎng)安全專家表示，這些個人信息可能會被人拿

到互聯(lián)網(wǎng)上兜售。約堡大學互聯(lián)網(wǎng)安全中心主任索爾姆斯表示，

“有這些信息就夠了，互聯(lián)網(wǎng)犯罪分子可以冒充開辦信用卡或進

行網(wǎng)上訂購等?！贝舜伪缓诳凸嫉臄?shù)據(jù)來源于

Dracore

Data

Sciences

企業(yè)的

GoVault

平臺，其公司客戶包括南非最大的金

融信貸機構(gòu)——TransUnion。但在今年

10

月，雅虎對這一事件進行了新的披露：稱通過與

事件發(fā)生后，安全研究人員立即進行搜索調(diào)查，發(fā)現(xiàn)GoVault

平臺將用戶數(shù)據(jù)發(fā)布到了一臺完全未經(jīng)保護的

Web

服務器上，允許任意用戶進行訪問。2017

年度安全報告——數(shù)據(jù)泄密13事件十、維基解密公布

CIA

用于追蹤泄密者的源代碼

泄密紀錄：3

萬用戶

泄密指數(shù)：9.1

分

事件時間：2017

年

7

月

涂鴉工具如何運作？

涂鴉的編程語言是

C#，它為每個文檔都生成隨機水印，并

將水印插入文檔、將所有經(jīng)處理的文檔保存在導出目錄中，并創(chuàng)建

一個日志文件識別插入每個文檔中的水印。

這種技術跟“追蹤像素”的運作方式一致，后者就是將微小

的像素圖像內(nèi)嵌到郵件中，這樣影響人員和活動人員就能追蹤有多

說明用戶查看了廣告。而

CIA

通過將微小的唯一生成的文件插入“可能被盜”的機密文檔中，而文件托管在由

CIA

控制的服務器上。

這樣，每次有人查看水印文檔時包括泄密者，它都會秘密在后臺加

載一個嵌入式文件，在

CIA

服務器上創(chuàng)建一個條目包括訪問這些

文件的人員信息如時間戳及其

IP

地址。

僅在微軟

Office

產(chǎn)品中起作用

用戶手冊還指出這款工具旨在針對

Office

離線文檔，因此如果打水印的文檔在

OpenOffice

或者

LibreOffice

中打開的話，水印和

URL

會被暴露給用戶。它在微軟

Office

2013（Windows8.1×64）文檔，Office

97

至

2016

（Windows

95

上不起作用）文檔，以及表單未被鎖定、未加密或不受密碼保護的文檔中起作用。

然而，由于隱藏的水印是從遠程服務器加載的，因此這種技術應該只有在訪問水印文檔的用戶聯(lián)網(wǎng)的情況下才起作用。

維基解密指出，最新的涂鴉版本（v1.0

RC1）是在

2016

年3

月

1

日發(fā)布，這說明至少在去年還在使用而且本來應該在

2066年才解密。更多技術詳情可訪問《用戶手冊》。

截至目前，維基解密發(fā)布了

CIA

針對流行硬件和軟件的入侵利用代碼“Year

Zero”文檔、針對

iPhone

和

Mac

的利用代碼“Dark

Matter”、“Marble”文檔、以及披露了能入侵微軟Windows

并繞過殺毒保護措施的能輕易創(chuàng)建自定義惡意軟件的一個框架即“Grasshopper”文檔。

“涂鴉”項目即“斯諾登阻止器”是一款用于聲稱將“webbeacon（網(wǎng)絡信標）”標簽嵌入機密文檔中的軟件，以便監(jiān)控機構(gòu)追蹤泄密者和外國間諜。自

3月份開始，維基解密已公布

Vault7

系列中的數(shù)千份文檔和其它聲稱來自

CIA

的機密信息。

CIA

稱“涂鴉”是“一款批量處理工具，用于處理預生成水印并將這些水印插入由外國情報官員竊取的文檔中”。2017

年度安全報告——數(shù)據(jù)泄密14事件十一、韓最大加密貨幣交易所被黑客攻擊：3萬客戶數(shù)據(jù)泄露

泄密紀錄：3

萬用戶

泄密指數(shù)：9.2

分

事件時間：2017

年

7

月

事件回顧：正當韓國正被對比特幣和以太幣等加密貨幣進行監(jiān)管立法的時候，卻有報道稱該國最大的加密貨幣交易所Bithumb

遭到了黑客入侵。據(jù)

BBC

報道，3萬名客戶數(shù)據(jù)被泄露，黑客利用欺騙來的數(shù)據(jù)竊取用戶賬戶里的資金。BraveNewCoin則解釋了

Bithumb

用戶是“語音釣魚”的受害者，因為有自稱該交易所工作人員的騙子打電話來忽悠他們。

交易所聲稱受本次事件影響的客戶約占總數(shù)的

3%

。

據(jù)悉，本次泄露發(fā)生于

2

月份，原因是一名員工的家用PC

涉入其中（而不是公司總部的計算機服務器出現(xiàn)了問題）。Bithumb

表示在

6

月

29

日發(fā)現(xiàn)了此事，并于次日向當局進行了匯報。

作為全球五大比特幣交易所之一，Bithumb

去年的比特幣交易量達到了

2

萬億韓元左右（約合

118

億

RMB），日交易量也超過了

1.3

萬比特幣（占全球交易量

10%）。

Bithumb

已承諾初步向每位客戶賠償

10

萬韓元（約

86

美元

/

590

元

RMB），剩余部分將在驗證后補足。事件十二、趣店數(shù)百萬學生數(shù)據(jù)泄露，稱或遭內(nèi)部員工報復

泄密紀錄：100

萬用戶

泄密指數(shù)：9.1

分

事件時間：2017

年

11

月

事件回顧：11

月

20

日，有關媒體發(fā)布消息稱，趣店數(shù)據(jù)疑似外泄，十萬可買百萬學生信息，離職員工稱“內(nèi)鬼”所為。此次泄露的數(shù)據(jù)維度極為細致，除學生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學生父母電話、學信網(wǎng)賬號密碼等隱私信息。趣店以校園貸起家，之后退出校園，轉(zhuǎn)向白領市場，提供“現(xiàn)金貸”和消費分期貸款。2017

年

10

月

19

日，趣店正式登陸美國納斯達克。

有媒體采訪內(nèi)部員工得知，趣店曾因

9

月的大規(guī)模裁員事件未能合理安排離職員工的撫恤問題，造成此次數(shù)據(jù)泄露事件有可能是內(nèi)鬼所為。此外，多位趣店離職員工表示，早期趣店數(shù)據(jù)管理存在巨大安全隱患。152017

年度安全報告——數(shù)據(jù)泄密

綜述：

隨著網(wǎng)絡攻擊日趨復雜、日益頻發(fā)，國內(nèi)外各行各業(yè)的公司和機構(gòu)對數(shù)據(jù)泄漏問題越發(fā)擔憂。事實上，CDW

的研究顯示，在過去的兩年里，每四家機構(gòu)當中就有一家遭遇過數(shù)據(jù)泄漏。許多公司稱，這類事故嚴重威脅了公司郵件、網(wǎng)絡和敏感信息的安全。并且隨著遠程辦公和移動計算的普及，防止數(shù)據(jù)泄漏也變得愈加復雜和困難。

針對企業(yè)：

第一步就是承認數(shù)據(jù)泄漏的風險確實存在。認識到這點之后才能建立有效的防止數(shù)據(jù)泄漏的計劃。

第二步，定義機構(gòu)的所有數(shù)據(jù)。這項工作看似艱巨繁雜，但為防止數(shù)據(jù)泄漏而做的數(shù)據(jù)定義并非那么困難。關鍵在于將機密信息（如社保號）和機密文檔（如含有社保賬號的文件）明確區(qū)分開來。同時也要明白，任何機構(gòu)都有自己的關鍵業(yè)務數(shù)據(jù)，這部分數(shù)據(jù)必須加以保護。

第三步，中小企業(yè)需要制定移動設備的安全使用政策，考慮現(xiàn)有的安全保護措施，以及完善移動設備的管理機制。

第四步：把數(shù)據(jù)保護政策傳達給員工。政策要簡明實用，明確哪些數(shù)據(jù)是機密的，機密數(shù)據(jù)應如何使用，以及員工應如何使用移動設備。

針對個人用戶：

謹防釣魚網(wǎng)站、慎連wifi、不在社交平臺中隨意透露個人信息、慎重參加網(wǎng)絡調(diào)查、抽獎活動、妥善處理快遞單、車票等、及時清除舊手機的數(shù)據(jù)信息。大數(shù)據(jù)時代，挖掘個人隱私的方法數(shù)不勝數(shù)，即使很簡單的信息，多維度湊到一起也能發(fā)現(xiàn)你不可告人的秘密。目前還有沒有保護隱私很好的方法，除非你回歸原始社會。

針對第三方數(shù)據(jù)平臺：

第三方系統(tǒng)的安全問題是最近一些數(shù)據(jù)泄露事件的原因，

包括

Target，

JP

Morgan

的數(shù)據(jù)泄露事件，都或多或少與第三方系統(tǒng)有關。

比如黑客對

Target

的攻擊就是從

Target

的空調(diào)服務商入手的，而

JP

Morgan

則是通過第三方網(wǎng)站進行的滲透。如何泄密？數(shù)據(jù)利用？數(shù)據(jù)信封數(shù)據(jù)資源黑客攻擊金融類——直接提現(xiàn)虛擬物品，如游戲裝備——洗號涉及個人信息——咋騙、隱私泄密公司業(yè)務數(shù)據(jù)——商業(yè)競爭撞庫木馬內(nèi)部人員自身資源價值由大——————————————————?。ㄔ絹碓叫。┯脩舾兄尚　螅ㄔ絹碓酱螅?017

年度安全報告——數(shù)據(jù)泄密16數(shù)據(jù)泄密重要數(shù)據(jù)統(tǒng)計數(shù)據(jù)泄密的流程

數(shù)據(jù)資源在整個互聯(lián)網(wǎng)中起著相關重要的作用，這些數(shù)據(jù)資源關乎著每個人的財產(chǎn)安全。數(shù)據(jù)資源隱藏著龐大的經(jīng)濟效益，真因為這許多黑客痛過定點滲透、外掛木馬、釣魚、偽基站等方式方法來獲取這些數(shù)據(jù)資源。由于受利益的驅(qū)使，除了黑客之外，還有一部分公司內(nèi)部人員惡意出售接觸到的數(shù)據(jù)，從中獲取很大的現(xiàn)金。也有部分公司員工缺乏安全意識把數(shù)據(jù)存放在不安全的地方，導致數(shù)據(jù)被泄露。

數(shù)據(jù)一旦被泄露，那么就會產(chǎn)生一系列的危害，很多用戶由于缺乏安全意識，不能及時的發(fā)現(xiàn)自己的數(shù)據(jù)泄露，只有當自己的財產(chǎn)受到損失才能被感知，所以用戶感知是越來越慢的。

與往常一樣，2017

年全年的數(shù)據(jù)泄密事件有各種來源。但是在一個大數(shù)據(jù)統(tǒng)計以及記錄數(shù)據(jù)表明，數(shù)據(jù)泄密的最大來源是意外丟失和因疏忽而使信息暴露的數(shù)據(jù)。172017

年度安全報告——數(shù)據(jù)泄密

數(shù)據(jù)泄露的流程整個流程可以分為：拖庫、洗庫、撞庫。入侵者通過不法手段來入侵有價值的數(shù)據(jù)系統(tǒng)，然后對數(shù)據(jù)進行逐層分離，找到一些金融類的帳戶，然后通過入侵支付寶、網(wǎng)銀、網(wǎng)游賬號獲取高額的現(xiàn)金收益。

另一方面也可以將用戶的個人信息批量出售獲取現(xiàn)金。當數(shù)據(jù)一旦被利用，在進行建立人肉數(shù)據(jù)庫，進行撞庫。2017

年度安全報告——數(shù)據(jù)泄密18數(shù)據(jù)泄露的來源

與往常一樣，2017

年全年的數(shù)據(jù)泄密事件有各種來源。但是在一個大數(shù)據(jù)統(tǒng)計以及記錄數(shù)據(jù)表明，數(shù)據(jù)泄密的最大來源是意外丟失和因疏忽而使信息暴露的數(shù)據(jù)。

2017

年全年數(shù)據(jù)泄露最大的來源是惡意攻擊，占總比重的

在這些事件中

,

有

47%

涉及惡意攻擊或犯罪攻擊

,25%

因員工或承包商疏忽所致

(

人為因素

),28%

與系統(tǒng)故障相關

,

包括

IT故障、業(yè)務流程故障等等。數(shù)據(jù)泄露的影響因素

A：成本因素。

據(jù)悉《2017

年數(shù)據(jù)泄露成本調(diào)研全球概述》統(tǒng)計有大約

20個因素對數(shù)據(jù)泄露成本會有影響。有些因素可以使數(shù)據(jù)泄露成本下降，有些因素是會讓成本增加。47%。這導致很大的數(shù)據(jù)都是被盜的。

影響成本下將：如圖所示,事件響應團隊、廣泛使用加密技術、

員工培訓、BCM

參與、參與威脅共享計劃及使用安全

分析工具

等因素使得單條受損記錄產(chǎn)生的數(shù)據(jù)泄露單條成本下降了。

影響成本上升：第三方參與、廣泛遷移至云端、合規(guī)缺陷、

廣泛使用移動平臺、設備丟失或被盜、急于通知等因素使

得數(shù)據(jù)

泄露的單條成本

(

以負數(shù)顯示

)

上升了。

B：丟失的記錄數(shù)量。

丟失紀錄條數(shù)越多，數(shù)據(jù)泄露的成本越高。事件規(guī)模越大，

相對應的成本就越高。

C：行業(yè)客戶流失。

客戶流失的越多，數(shù)據(jù)泄密的成本越高。通告數(shù)據(jù)表明，影響客戶流失的因素有兩方面，一方面是所處的國家，不同國家流失程度不一樣，日本流失最大；另一方面是行業(yè)因素，行業(yè)更容易出現(xiàn)客戶流失的情況。2017

年度安全報告——數(shù)據(jù)泄密19數(shù)據(jù)泄露的類型

由于一直如此

,

在過去的幾年里

,

身份盜竊是攻擊在

2017

年這個戰(zhàn)術是全年的數(shù)據(jù)泄露事件中最常用的模式

,

占期間所有事件的大約四分之三

(74%)。事實上，和

2016

年相比較身份盜竊破壞的數(shù)量繼續(xù)保持高位，并且導致多條紀錄被竊取顯示，安全機構(gòu)和數(shù)據(jù)泄露涉及行業(yè)比重

在行業(yè)分布上，金融行業(yè)依然首當其沖，24%

的數(shù)據(jù)泄露事件和金融機構(gòu)有關；其次是醫(yī)療保健行業(yè)

15%；再往后是銷售行業(yè)

15%

以及公共部門

12%。其中醫(yī)療行業(yè)是勒索的重災區(qū)，真可謂“不給錢就撕票”相關機構(gòu)沒有充分應對這一威脅。

這里需要注意，學術界正逐漸“崛起”成為黑客攻擊的目標，

比如高校的高新科研部門。犯罪分子已經(jīng)意識到很多知識產(chǎn)權和商

業(yè)機密都是起源于高等院校的學術研究，而且，和入侵政府系統(tǒng)以

及成熟的商業(yè)系統(tǒng)相比，入侵大學的系統(tǒng)和竊取研究機密更加簡單。2017

年度安全報告——數(shù)據(jù)泄密20數(shù)據(jù)泄露的主要采取的手段

導致數(shù)據(jù)泄露的主要手段分為技術手段（黑客入侵、軟件漏洞、惡意木馬）、非技術手段（內(nèi)部人員泄密、非有意識泄密）。組織出現(xiàn)其他數(shù)據(jù)泄露事件的可能性

360CERT

對以往的的安全事件和數(shù)據(jù)泄露進行了分析，分析指出在調(diào)查的幾萬個安全事件中，內(nèi)部威脅占

25%，75%

是外部攻擊導致。

在外部攻擊中，51%

的網(wǎng)絡攻擊涉及到有組織有計劃的犯罪集團。18%

的外部攻擊涉及國家背景。212017

年度安全報告——數(shù)據(jù)泄密

41G

密碼泄露和暗網(wǎng)

2017

年

12

月

5

日，一位名為

tomasvanagas

的用戶在reddit

論壇上公開了一份高達

41GB

的數(shù)據(jù)泄密文件

(“社工庫”)，文件包含了

14

億條明文性質(zhì)的互聯(lián)網(wǎng)用戶密碼記錄。近幾年大大小小的數(shù)據(jù)泄密事件頻發(fā)，而這可能是迄今為止被公開的最大的一次數(shù)據(jù)泄密文件，而且從這份數(shù)據(jù)的完整性來看，數(shù)據(jù)整理者做得較為完整和專業(yè)。在萬物互聯(lián)的大安全時代里，需要互聯(lián)網(wǎng)用戶，信息安全行業(yè)和相關受影響的公司實體對數(shù)據(jù)泄密事件有足夠清醒的認識和作為。文檔主要信息如下：

①、README

說明文件一方面對數(shù)據(jù)文件作了較為詳細，專業(yè)的介紹，

同時也提供了“比特幣”和“Dogecoin”幣捐贈地址（1NrNf6E3rTuDDGeUdU2CMpGNyrQAeB7dNT，DFqkJHnb5t5Y6e4mbXTiS9aEhspFkzxkPU），此舉可能是為了保證“收錢”的匿名性。

②、數(shù)據(jù)文件包含了

14

億條記錄（1,400,553,869），全部

是明文密碼。

③、此次

14

億條用戶密碼信息不全是未公開的數(shù)據(jù)泄露，而

是包含了此前

252

起數(shù)據(jù)泄露事件的合集。數(shù)據(jù)導入日志顯示，

整理者從

2017

年

8

月

7

日開始到

2017

年

11

月

9

日分批進行了

252

次數(shù)據(jù)導入。大部分導入為數(shù)字編號，一部分導入有很清楚

的數(shù)據(jù)源，其中疑似包括

Anti

Public

Combo

List，Exploit.in，

MySpace，Linkedin，YouPorn，Last.FM

和部分國內(nèi)公司實

體等在內(nèi)的的用戶隱私數(shù)據(jù)。

在

41G

的文件中，整理者提供了完整的數(shù)據(jù)和專業(yè)的操作說明，文件操作日期顯示文檔作者在

11

月

29

日作了最后一次更新。排名百分比注解域名119.49%213.47%38.38%48.01%mail.ru53.94%63.14%yandex.ru72.06%rambler.ru81.71%91.18%163.com101.15%hotmail.fr111.07%web.de120.94%130.90%140.90%gmx.de150.81%bk.ru160.72%list.ru170.70%hotmail.co.uk180.68%inbox.ru190.66%yahoo.fr200.63%yahoo.co.uk222017

年度安全報告——數(shù)據(jù)泄密

④、從密碼長度分布圖觀察，密碼長度為

9

的最多，數(shù)據(jù)量

為

380304432，三億

8

千萬條。12345678910123456123456789qwerty111111password12345678abc1231234567homelesspapassword111121314151617181920123123000000123456789012345iloveyou1q2w3e4r5tqwertyuiop1234123321123456a21222324252627282930monkeydragon1236666666543211qaz2wsx121212123qwea123456qwe12331323334353637383940tinkletarget123gwerty1g2w3e4rgwerty123zag12wsx1q2w3e4r7777777zxcvbnm123abc41424344454647484950qwerty123987654321222222qwerty1qazwsx11223355555512345a1q2w3e12312312351525354555657585960asdfghjklfuckyouFQRG7CS4931234qweraaaaaa159753computer1111111112365488888861626364656667686970iloveyou1789456123michaelfuckyou1princesssunshinefootball777777j38ifUbn99999971727374757677787980asdfgh11111linkedin789456princess1123456789a88888888a12345abcd1234football18182838485868788899012qwaszxjordan23monkey1qwer1234asd123gfhjkmsamsungshadowlove123Status919293949596979899100333333azertysupermanmichael1asdfdanielbaseballzxcvbn1111111love232017

年度安全報告——數(shù)據(jù)泄密

⑤、最長用密碼

top100242017

年度安全報告——數(shù)據(jù)泄密

暗網(wǎng)中的隱私數(shù)據(jù)交易

據(jù)悉，此次公開的數(shù)據(jù)文件源自于“暗網(wǎng)”（常規(guī)方式訪問

不到的網(wǎng)絡）。在“暗網(wǎng)”中，提供了一系列包括毒品，武器，黑

客服務，惡意軟件，隱私數(shù)據(jù)等形形色色的交易服務，因其具備匿