2018年十大(dà)數據洩露事件盤點

 很快2018年就要跟我(wǒ)們說再見，而在這過去(qù)的一(yī)年裏，雖然互聯網的整體(tǐ)安全性都在提升，但依然出現了幾波影響力頗大(dà)的用戶信息被黑客盜走洩密的事件，現在我(wǒ)們就來盤點2018年十大(dà)最受關注的黑客事件。

1. Facebook：8700萬用戶數據洩露

2018年3月17日，美國紐約時報率先曝光了劍橋分(fēn)析(Cambridge Analytica)未經用戶許可，擅自使用Facebook用戶個人信息的行爲。此事一(yī)出立刻引起軒然大(dà)波，随後英國高等法院授權對涉事單機構進行了搜查，并揭開(kāi)了針對該事件司法調查的序幕。

針對沒有用戶的許可就使偷偷用個人信息數據一(yī)事，Facebook公開(kāi)回應，承認劍橋分(fēn)析公司不正當使用了8700萬未經授權的用戶私人信息，這也遭到了國外(wài)網友的痛斥。這場風波還沒有過去(qù)，今年9月份，Facebook再次通告，黑客利用控制的40萬個賬戶獲得了3000萬Facebook用戶賬号的信息。他們可以在不輸入密碼的情況下(xià)，随意登陸這些用戶的個人主頁，任意拿走想要的數據等。

對于這接二連三的危機，Facebook掌門人紮克伯格出面回應，首先被黑客利用的漏洞已經封堵，請大(dà)家繼續使用，其次他們已經停止私下(xià)偷用用戶數據的行爲，最後還懇請全球用戶原諒他們，至于相應的補償并沒有提及，這也讓用戶非常不爽，“删除Facebook”一(yī)時成爲熱門标簽。

從今年3月份，Facebook爆發的隐私洩露危機至今，公司股價一(yī)度蒸發590億美元，更讓紮克伯格難受的是，公司股東會聯名要求他交出權利(退出CEO之位)，與此同時，許多國家議會甚至要求紮克伯格親自出席用戶信息被盜、偷用的辯證會，最後這些統統被拒絕。

2. AcFun：900萬條用戶數據洩露

2018年6月13日淩晨，AcFun彈幕視頻(pín)網(以下(xià)簡稱“A站”)突然發出公告稱，他們有800-1000萬左右的用戶數據被黑客竊取，随後A站在公告中(zhōng)強調，2017年7月7日之後從未登陸過的用戶以及密碼強度低的用戶需要立刻更改密碼，而跟A站用戶信息中(zhōng)密碼保持一(yī)緻的，也要一(yī)并更改。

黑客攻擊A站後竊取的用戶信息，很快就放(fàng)在了暗網(就是黑暗網絡，又(yòu)稱深層網絡或隐形網絡)售賣，并喊出900萬條用戶數據，售價40萬人民币。如果購買者對信息真實性質疑，那麽可以随機抽取測試，此事對用戶造成了不小(xiǎo)的影響。其實早在今年3月份，暗網論壇中(zhōng)就有人公開(kāi)出售AcFun的一(yī)手用戶數據，數量高達800萬條，而價格僅爲12000元，平均1元能買到800條。

爲了挽回用戶，收購A站的快手第一(yī)時間表示，在技術和資(zī)金上全力支持A站提升安全能力，務必保證用戶的數據安全，避免類似事件發生(shēng)。随後A站升級了系統安全等級，對AcFun服務器做了全面系統加固，實現技術架構和安全體(tǐ)系的升級，以确保以後不會出現如此嚴重的洩露事件。

3. 華住旗下(xià)多個連鎖酒店(diàn)：2.4億入住記錄洩露

2018年8月28日，網上突然出現了華住旗下(xià)多個連鎖酒店(diàn)入住信息數據售賣的行爲，這引起了用戶的廣泛關注，畢竟數據涉及5億條的用戶個人信息及入住記錄，而這些洩密的數據中(zhōng)，包含的不少私密信息，比如身份證号、家庭住址、銀行卡号等等。

随後，華住官方證實了這個旗下(xià)酒店(diàn)用戶入住信息數據被販賣的行爲，并希望售賣者立即停止這種行爲，同時他們内部展開(kāi)核查，針對旗下(xià)國内超過370座城市的3700多家酒店(diàn)，由此可見這次用戶數據洩露有多嚴重。

經過排查洩露的用戶數據多達2.4億條(66.2G)，這是酒店(diàn)入住的記錄，還有約1.3億條入住登記身份信息(共22.3G)和約1.23億條官網注冊資(zī)料(共53G)，而這些數據中(zhōng)把用戶的姓名、銀行卡号、手機号、郵箱、開(kāi)房人、家庭住址等等核心信息全部洩露出來。

對于華住酒店(diàn)用戶入住信息被洩漏一(yī)事，安全人員(yuán)分(fēn)析後認爲，是華住公司程序員(yuán)将數據庫連接方式及密碼上傳到GitHub導緻的，黑客利用這個漏洞，對華住酒店(diàn)數據庫實施攻擊并拖庫。

4. 萬豪喜達屋：5億客戶的用戶信息洩露

跟華住一(yī)樣，知(zhī)名連鎖酒店(diàn)萬豪也陷入了用戶數據被黑客盜取的情況。2018年11月30日，萬豪對外(wài)發出公告稱，旗下(xià)喜達屋酒店(diàn)預訂系統2014年起遭網絡“黑客”入侵，洩露大(dà)約5億客戶的用戶信息。消息出來後，紐約大(dà)學教授卡普斯表示，萬豪在過去(qù)4年時間裏一(yī)直使用錯誤的安全系統，是出事的主因。

經過複查後得知(zhī)，萬豪洩露的這5億用戶信息中(zhōng)，用戶的姓名、住址、電(diàn)話(huà)号碼、電(diàn)子郵件地址、護照号碼、信用卡等所有核心的信息統統被洩露出去(qù)，性質十分(fēn)惡劣。随後，美國5個州的總檢察長和英國信息專員(yuán)對外(wài)表示，将徹底調查這件事，并讓萬豪付出相應的懲罰。

有美國訴訟集團代表衆多消費(fèi)者向萬豪提起訴訟，索賠金額高達125億美元(僅相當于5億潛在被盜用戶中(zhōng)每人得到25美元的賠償)，之所以索賠如此多金額，主要還是萬豪在過去(qù)4年中(zhōng)，對旗下(xià)系統安全性沒有及時跟進，從而造成了如此惡意的用戶數據洩漏。目前他們仍然在評估這次洩漏事件帶來的影響，至于相應的賠償是否會跟進，也并不清楚。

5. 圓通：10億條用戶信息數據被出售

2018年6月19日，一(yī)位ID爲“f666666”的用戶公然在暗網上兜售圓通10億條快遞數據，這引發了外(wài)界的廣泛關注，按照賣家的說法，這些數據是2014年下(xià)旬的數據，數據信息包括寄(收)件人姓名，電(diàn)話(huà)，地址等信息，都是圓通内部人士批量出售而來(隻要快遞單信息進入電(diàn)腦他們就可以獲取)。

随後，有網友驗證了其中(zhōng)一(yī)部分(fēn)數據，發現所購“單号”中(zhōng)，姓名、電(diàn)話(huà)、住址等信息均屬實。對于這件事，圓通官方稱正在展開(kāi)調查，但并沒有承認這些數據是不是從内部流出，隻是表示，公司的技術部門通過多種技術手段預防信息外(wài)流，提高安全系數。

按照當時售價來說，用戶隻要花430元人民币即可購買到100萬條圓通快遞的個人用戶信息(10億條數據1比特币)，而10億條數據則需要約43000元人民币。能夠洩漏如此多用戶信息，且準确率這麽高，外(wài)界普遍認爲來源是圓通内部級别較高的工(gōng)作人員(yuán)。

按照刑法修正案(七)規定，出售、非法提供公民個人信息罪，處三年以下(xià)有期徒刑或者拘役，并處或者單處罰金，對于郵政企業、快遞企業來說，除了要做好安全措施，同時還要健全管理制度，杜絕從公司内部洩露快遞單信息的舉動。

6. 順豐：3億條用戶信息數據被出售

2018年8月底又(yòu)是在暗網上，一(yī)個ID爲“bijiaodiao1688”的用戶在公然售賣順豐快遞數據，其中(zhōng)牽扯到了3億用戶數據信息，售價是2個比特币，而這些信息中(zhōng)包含了寄件人、收件人的姓名、地址、電(diàn)話(huà)等，爲了證明數據的準确性，購買者可以選擇先“驗貨”，驗貨數據量10萬條，驗貨費(fèi)用0.01個比特币。

按照當時0.01個比特币大(dà)約爲66.66美元的行情來看，這3億用戶數據在當時價值是92000元，從當時的交易情況來看，至少有超過90萬條的疑似順豐快遞用戶個人信息流向了市場。從一(yī)些匿名測試用戶反饋的數據來看，随機抽選50個，準确率在90%以上，這真實性還是很吓人的。

面對3億用戶數據洩露，順豐也是第一(yī)時間進行了回應，其強調早在2018年7月份，他們就已經關注到暗網用戶發布的相關信息，并獲識了相關數據，但經過核實這些并不是順豐的數據，同時官方也否認了外(wài)洩數據來自順豐内部，至于洩露源頭來自哪裏官方并沒有說明。之前央視曾報道，2018年5月份有順豐員(yuán)工(gōng)故意洩露内部消息獲利事情。

至于最終這件事的結果是怎樣，順豐沒有及時通報，不過按照他們的表示，事情一(yī)出來的時，就第一(yī)時間向有關部門進行了報案，要求徹查洩密者到底是誰，洩密源到底出自哪裏。

7. 前程無憂：195萬條個人求職簡曆洩露

2018年6月16日，有人在暗網開(kāi)始叫賣招聘網站前程無憂(51job.com)用戶信息，其中(zhōng)涉及195萬用戶求職簡曆，随後前程無憂方面确認部分(fēn)用戶賬戶密碼被撞庫。

爲了證實洩露數據的真實性，前程無憂方面還進行了一(yī)定的測試，結果發現信息是真實可靠的，不過官方強調，數據中(zhōng)絕大(dà)部分(fēn)來自于一(yī)些郵箱洩露的賬戶密碼，且都是在2013年之前注冊。對此前程無憂強調，出現這樣的情況并非拖庫，而是惡意用戶通過這些已洩露的郵箱賬戶及密碼，對相應的站點進行登錄匹配，然後蓄意倒賣。

最後，前程無憂不願意公開(kāi)具體(tǐ)涉及的是哪家郵箱服務商(shāng)，隻是表示是2013年注冊的用戶，及時修改自己的帳号密碼，同時他們也表示已經升級數據庫的安全等級，防止類似的情況再發生(shēng)。

8. Under Armour：1.5億用戶信息洩露

2018年3月30日，美國運動品牌Under Armour對外(wài)表示，旗下(xià)健身應用MyFitnessPal因存在數據漏洞而遭到黑客攻擊，一(yī)共有1.5億用戶的數據被洩露，這些數據中(zhōng)包含了用戶名、電(diàn)子郵件地址和密碼等，不過官方強調，洩密數據并不包含駕駛證号、信用卡号、身份信息等更私密信息。

MyFitnessPal是Under Armour收購的一(yī)家企業，主要提供運動健康飲食指導服務的應用，在北(běi)美地區頗受歡迎，用戶數量最高峰時接近2億，當傳出有1.5億用戶信息被黑客竊取後，Under Armour官方表示，立刻要求MyFitnessPal用戶更改密碼。

9. MyHeritage：9200萬用戶信息洩露

相比其他用戶信息洩漏情況來說，MyHeritage用戶信息洩露後果可能很嚴重。這是一(yī)個家庭基因和DNA檢測的網站，用戶信息中(zhōng)存儲不但有私人信息，甚至還有個人的DNA測試結果。

2018年6月初，MyHeritage給出公告稱，網站服務器被攻擊，攻擊者從中(zhōng)截取了超過9200萬用戶信息，其中(zhōng)包含了電(diàn)子郵件和hash密碼，官方則強調不包含支付卡的信息或DNA測試結果，不過MyHeritag還表示，用戶帳戶是安全的，因爲密碼是使用每個用戶唯一(yī)的加密密鑰進行hash處理的，爲了徹底解決這種攻擊，最終網站啓用了雙因子身份驗證(2FA)功能，即使黑客設法解密hash密碼，如果沒有第二步驗證碼，第一(yī)步的破解也将毫無用處。

10. Panera Bread：3700萬用戶信息洩露

2018年4月4日，美國最大(dà)面包連鎖店(diàn)Panerabread表示，旗下(xià)網站panerabread.com洩露了3700萬用戶信息，而更可怕的是，在官方沒有給出公告前，這種洩露信息行爲已經持續了超過8個月。

随後，安全機構KrebsOnSecurity表示，他們在早在2017年8月2日就曾發現了Panerabread網站的漏洞，告知(zhī)對方後并沒有進行及時修複，所以造成的結果就是嚴重的。

據悉，Panerabread網站是以明文形式洩露顧客記錄，而這些記錄可以通過自動化工(gōng)具來進行搜索和抓取，實際的操作并不複雜(zá)，最終帶來的危害可能是，某些信譽度高的會員(yuán)卡号碼可能會被網絡犯罪分(fēn)子濫用以透支購買食品，或以其他方式通過從這些賬戶中(zhōng)獲取價值。