Verizon發布了《2015年度數據泄露調查報告》報告稱：2015年，全球61個國家出現79790起數據泄露事件，其中2122起已經得到確認。

信息安全事件被定義為：任何對信息資產的機密性、完整性、可用性造成破壞的事件。

數據泄漏則被定義為：數據被泄漏到任何非授權方的事故。

 

今年的數據泄漏調查報告考查了191項與支付卡、個人信息、病歷相關的保險理賠個案。

據統計，信息安全造成的損失取決于信息泄漏的數目，與公司大小無關。報告稱一些大公司只是在數據泄漏事件中損失的信息條數比較多，因此信息泄漏的造成的損失相對較高。降低數據泄露成本應在技術上著眼于防止泄漏記錄或盡量減少泄漏記錄的條數。

下面的圖表反映出，一個公司為數據泄露買單的金額取決于丟失記錄的條數。

 

 

那么，2015年全球都發生了哪些信息泄漏事件?又是如何發生的?

事件一：【時間：2015.1】 俄羅斯約會網站泄露2000萬用戶數據

http://tech.sina.com.cn/i/2015-01-26/doc-iawzunex9376035.shtml 來源:新浪科技

俄羅斯約會網站Topface 2000萬訪客的用戶名和電子郵件地址被盜。　　Easy solutionCTO 英格瓦爾德森稱，黑客可以使用這些賬號來嘗試獲取銀行、病例或其他敏感數據信息。他是在發現一個網名Mastermind的黑客發布的帖子后，發表相關聲明的。

受此影響的用戶約有50%位于俄羅斯，40%來自歐盟。總體來看，這2000萬用戶使用的電子郵件地址來自34.5萬個不同的域名，其中700萬人使用Hotmail郵箱，250萬人使用雅虎郵箱，還有230萬人使用Gmail郵箱。

這些雖然不是信用卡數據，但也是一級數據泄漏。 “這些身份信息在網絡犯罪行業就像鐵礦石一樣正規。”英格瓦爾德森表示，這類個人信息經常會被迅速出售給行騙者，行騙者將借助自動軟件程序尋找使用相同信息的網站。

安華金和數據庫安全專家點評：約會網站數據庫中存儲了大量的個人隱私信息，這些個人隱私信息的泄漏會被利用去嘗試其他網站的用戶賬戶，這就是網上提到的“撞庫”.

我們習慣于在不同的網站使用相同的賬號密碼，如果其中一個網站的數據庫泄漏，那就意味著與之用戶名密碼相同的網站會發生連鎖反應。應盡快更改與之賬戶相同的金融或購物類網站，以避免造成更大損失。

事件二：【時間：2015.2】 5萬名優步司機信息遭泄露 Uber公司最大數據事故

http://tech.huanqiu.com/original/2015-02/5777913.html 來源：環球網科技

2月28日，大約5萬名優步(Uber)司機的個人信息被不知名的第三方人士獲取，成為該公司遭遇的最大規模的數據泄露事件。

去年9月Uber系統中出現一個漏洞，能讓外人在未經授權的情況下，獲取部分司機的姓名和駕照號碼。雖然Uber聲稱已堵上這一漏洞，但隨后的調查顯示，去年5月，相關數據曾遭遇“一次未授權的訪問“。

優步表示，它未曾收到任何有關這些數據“已被濫用的報告”。不過，幾個月之后才就泄密事件發出警告，受到安全專家的批評。

安華金和數據庫安全專家點評：從漏洞發現到報告的時間竟然長達五個月。不過在業內，這種拖延現象十分普遍，這對客戶來說是非常不負責任的。客戶需要盡早了解情況，以便仔細檢查其信用報告和賬單，確保他們的身份沒有失竊。

事件三：【時間：2015.2】Anthem八千萬個人信息被竊 或成美國最大醫療相關機構泄露事件

http://www.hackdig.com/02/hack-18353.htm 來源：黑客技術

美國第二大醫療保險公司Anthem，被黑客入侵并盜走8000萬個人信息，包括現在和以前的保險客戶和員工。

在一封致客戶的聲明中，Anthem首席執行官約瑟夫·斯維迪什表示，Anthem受到的外部攻擊“非常高端精密”，丟失的個人數據包括姓名、出生日期、客戶ID、社會保險碼、地址、電話號碼、郵件地址和員工信息。但他同時表示，沒有任何信用卡及醫療記錄被泄露的證據。

Anthem在冊客戶為3700萬。一位發言人表示，公司在發現被入侵后馬上開始漏洞的修補工作，并與FBI和安全公司Mandiant協同工作以了解信息泄露的程度。

斯維迪什表示，他自己的個人信息在此入侵事件中也被泄露，公司將逐個聯系每一位信息被泄露的人，并為受到影響的人提供免費的信用監控和身份保護服務。

此次信息泄露事件稱得上是近年來一系列最大的信息泄露事件之一。前年的塔吉特丟失了4000萬信用卡信息和7000萬客戶信息，去年的家得寶的5600萬信用卡數據被黑客訪問，這次Anthem達到8000萬。

自去年8月CHS(美國醫療社區系統)450萬條患者信息泄露事件之后，執法部門就開始警告醫療機構要應對即將到來的數據泄露加劇的風險。

安華金和數據庫安全專家點評：黑客得以進入系統的關鍵點在于：Anthem并未設置額外的認證機制，僅憑一個登錄口令或一個Key就能夠以管理員權限訪問整個數據庫。客觀的 說，Anthem重大的安全失誤不僅是缺少數據加密，還有不正確的訪問控制機制。要知道TeraData本身就提供了數種安全機制，包括加密和數據屏蔽功能。因此很可能，漏洞并不出在軟件本身，而是基于業務和運營需要所做的系統及訪問控制的安全策略問題。

事件四：【時間：2015.3】美醫療保險公司CareFirst被黑，110萬用戶信息泄露

http://www.freebuf.com/news/68110.html 來源：FREEBUF

2015年3月，美國大型醫療保險商CareFirst表示，該公司去年六月發現有黑客入侵，約有110萬醫療保險客戶的個人信息遭泄露。BlueCross BlueShield(BCBS)是一個聯邦醫療保險服務商，服務美國近三分之一的人口。CareFirst BCBS是其在大西洋中部的子公司，在哥倫比亞特區、馬里蘭州和維吉尼亞州為客戶提供健康保險。

證據顯示公司遭到水平極高的專業黑客攻擊。攻擊者可能竊取了客戶姓名、生日、郵箱地址、醫療保險號碼等信息。雖然CareFirst用戶名必須與創建的密碼同時使用才能得到訪問數據的權限，而黑客并沒有攻擊這些密碼的數據庫。因此這次出現問題的數據中不包括社安號碼、信用卡號碼、工作信息、客戶病歷等更為重要的信息。

據悉，此次數據泄露可以追溯到2014年6月20日，由Mandiant安全公司的專家發現，現成為了美國境內該類型網絡攻擊規模第三大的事件。而 CareFirst此次數據泄露時隔近一年才被披露，是因為CareFirst他們發現最初的攻擊時，他們試圖控制了攻擊，并且他們以為自己做到了。

安華金和數據庫安全專家點評：醫療保險機構業務系統后臺數據庫中存儲大量的醫療保險客戶的個人信息，如客戶姓名、生日、醫療保險號碼等，專業黑客獲取批量的醫療保險客戶信息，這個案例值得我們對醫療機構的數據安全引起重視，同時要依靠有實力的信息安全公司，持續不斷的在防御外部黑客攻擊方面投入，避免由于批量數據泄漏帶來損失。

事件五：【時間：2015.4】美國Metropolitan State大學16萬學生信息泄漏

http://netsecurity.51cto.com/art/201512/500035_1.htm 來源：51CTO 網絡安全頻道

美國Metropolitan State大學16萬學生個人信息泄露，包括出生日期、家庭住址、電話、個人成績。

安華金和數據庫安全專家點評：隨著校園信息化的快速建設，教務、教學系統中存在大量漏洞，國內高校成為信息泄漏的重災區。自2014年至2015年3月，漏洞分析平臺補天顯示：有效的高校網站漏洞多達3495個。這些漏洞有的已造成教職員工或學生個人信息泄漏。除了面高校涉及人數眾多，包括大量學生和教授的隱私信息;另一方面很多重要院校還承擔著國家眾多科研項目，這都可能成為不法分子的目標。

事件六：【時間：2015.5】美國國稅局超過10萬名納稅人的財務信息泄露

http://www.aqniu.com/news/8270.html 來源：安全牛

2015年5月，美國國稅局經歷了數據泄露事件，約有10萬名美國公民的個人信息在無意中被泄露。這個有組織的犯罪團伙通過更改IRS網頁上的一個名為Get Transcript的應用，獲得了對納稅人賬戶的未授權訪問權限。該應用的功能是幫助用戶方便地訪問歷史稅務申報記錄以及稅務報表。

安華金和數據庫安全專家點評：在大量個人信息庫在網上泄漏的情況下，重要信息系統如報稅系統，應該采取一些手段更好地防止身份欺詐行為。應該有由報稅部門和軟件公司的代表、工資和國家稅收管理員三方組成，發布一些新的舉措，以提高納稅申報過程中的安全性。比如通過安華金和的數據庫的監控與審計系統會對數據庫訪問操作進行全面審計。報稅者在訪問時將需要通過IP地址和計算機設備特征電子碼的對照，另外填寫報稅表的所需時長也將被設為判斷是否為機器自動填表的重要標尺。

事件七：【時間：2015.8】英國240萬網絡用戶遭黑客侵襲：加密信用卡數據外泄

http://tech.ifeng.com/a/20150809/41414265_0.shtml 來源：鳳凰科技

8月9日，英國電信運營商Carphone Warehouse在黑客入侵事件中，包含加密信用卡數據的約240萬在線用戶的個人信息遭到黑客入侵。

Carphone Warehouse在一份新聞稿中透露，其網站和互聯網服務遭到黑客侵襲。期間展開的一項調查顯示：這240萬用戶的個人數據包括姓名、地址、出生 日期和銀行卡細節……都有可能遭到黑客訪問。“其中多達9萬名客戶的加密信用卡數據可能也遭到黑客入侵。”Carphone Warehouse補充說。

7月，約會網站Ashley Madison稱，其系統遭到了黑客攻擊。黑客甚至威脅稱將泄露3700萬用戶包括真實姓名、地址以及其他個人信息，除非該公司將網站徹底關閉。

舊金山電腦安全公司OPSWAT的副總裁麥克·斯皮克曼(Mike Spykerman)表示，“現實情況來看，數據外泄已經不再是什么大不了的問題，但對于Carphone Warehouse數據外泄應該另當別論，因為其大量數據都沒有加密。”

安華金和數據庫安全專家點評：電信運營商數據庫中存儲了許多個人數據，如姓名、地址、出生日期和銀行卡信息……被黑客攻擊后，這些數據的批量泄漏會導致一系列電信詐騙致使電信運營商信譽受損，建議使用安華金和的數據庫保險箱對敏感信息按列加密存儲，同時使用數據庫防火墻系統對外部黑客攻擊進行防御。

事件八：【時間：2015.9】英國史上最慘數據泄露：400萬人信息泄漏

http://news.mydrivers.com/1/453/453003.htm 來源：驅動之家

今年9月英國寬帶服務提供商TalkTalk表示，該公司網站日前所遭受的網絡攻擊可能導致其400多萬客戶的個人數據被盜，這可能是英國史上最大規模的數據泄漏事件之一。

該公司表示很客戶的姓名、地址、生日、電話號碼、電郵地址、賬戶詳細情況、信用卡詳細情況等數據很有可能都被竊取了。

本次攻擊可能是英國企業迄今為止遭受的最大規模和最具破壞性的網絡入侵事件。

這是TalkTalk今年第三次遭受網絡攻擊，計算機安全專家格雷漢姆·克魯利(Graham Cluley)指出：“他們的品牌將受損，他們的客戶可能已經忍無可忍了。”

在股市早盤交易中，TalkTalk股價下跌8.5%至2年低位238便士。

15年年初，TalkTalk網站遭遇攻擊，包括姓名、地址和電話號碼在內的客戶個人數據被盜;8月份，TalkTalk的創辦企業Carphone Warehouse所擁有的服務器遭遇攻擊，大約48萬TalkTalk移動用戶受影響。

安華金和數據庫安全專家點評：作為英國主要的寬帶服務提供商，對于有可能面臨的網絡攻擊要做好持續防御工作。數據庫中存儲的姓名、地址和電話號碼都需要重點甚至是加密保護，以防止被數據盜竊。

事件九：【時間：2015.10】音樂眾籌網站Patreon被黑，超過16GB資料流落網絡

http://www.caimiao.cn/jinrong/hangye/gjzx/15794.html 來源：菜苗網 國際咨詢

10月，獨立安全研究人員Troy Hunt在他自己所設立的haveibeenpwned網站上公布：音樂眾籌網站Patreon已遭駭客入侵，并有超過16GB的資料在網路上流竄， Patreon也已證實此事。

Patreon是由音樂家Jack Conte及開發人員Sam Yam在2013年創立的眾籌網站，主要是替音樂或影片的作者籌募創作基金。

Hunt指出，黑客公布了超過16GB的Patreon資料，其中包含14GB的資料庫紀錄，還有逾230萬個電子郵件位址與數百萬封的訊息，甚至還有Patreon網站的原始碼。

Patreon 共同創辦人暨執行長Conte承認在9月28日發覺黑客入侵正在公測的網站，該測試網站含有一個運作中的資料庫快照，但并未儲存可存取其他伺服器的私密金鑰。在得知遭到入侵后便關閉了測試網站的伺服器，并將所有非運作中的伺服器全數移到防火牆之后。

黑客所存取的資料包含注冊名稱、電子郵件位址、張貼內容、送貨地址，以及2014年以前的某些帳單地址。不過Patreon并未儲存完整的信用卡資訊，而信用卡號碼也未被存取。

安華金和數據庫安全專家點評：音樂眾籌網站Patreon的16GB資料中包括注冊名稱、電子郵件地址等，但未存儲完整的信用卡資訊，信用卡也未有存取記錄，該站用戶的密碼、社會安全碼與稅賦資訊，這些機密的個人資訊皆通過2048 bit的RSA金鑰加密保護，雖然泄漏的數據條目很多，涉及主要信息數據已經有密碼保護，這點也值得很多國內互聯網公司學習。

事件十：【時間：2015.10】美股券商Scottrade數據泄露 或影響460萬用戶

http://tech.qq.com/a/20151003/027929.htm 來源：騰訊科技

10月3日， CNBC財經電視臺網站公布，國內常用的美股券商服務Scottrade發生了數據泄露事故，數百萬用戶的敏感數據可能受到影響。

Scottrade將向發生泄露事故的460萬客戶發送通知，并提供身份保護服務。受影響的數據庫中包含用戶的社會安全號碼和電子郵件地址。Scottrade表示：“我們非常嚴肅地對待信息安全，并全面配合司法部門進行調查，將犯罪者繩之以法。”

安華金和數據庫安全專家點評：美股券商是屬于金融行業之一的證券業。這類金融企業在要重點保護證券交易信息和客戶信息。雖然沒有影響交易平臺或客戶的咨詢信息，一旦發生損失不可估量，證券行業一定要加強信息安全防護，尤其是數據庫的安全防護。

事件十一：【時間：2015.11】喜達屋54家酒店遭POS惡意軟件植入 房客銀行數據泄露

http://netsecurity.51cto.com/art/201511/498071.htm 來源：51CTO 網絡安全頻道

11月，喜達屋集團旗下54家酒店發現竊取信用卡信息的惡意軟件，包括客戶名稱、信用卡號碼、信用卡安全碼和到期日期等信息泄露，泄露數量尚未公布。

喜達屋集團，是全球最大的飯店及娛樂休閑集團之一，旗下擁有著喜來登、威斯丁、W酒店等眾多全球高檔豪華酒店品牌。據分析，該惡意軟件最早從2014年11月開始成功滲透進酒店。最開始，惡意軟件是在禮品店，飯館和銷售登記的付款系統中被發現的。

安華金和數據庫安全專家點評：任何在上述酒店居住過的顧客都應該對銀行賬單保持密切關注，特別是有可疑的費用產生的時候，應特別注意，受到影響的顧客要注意對身份信息保護和信用卡監控服務。

小結：

可以看到，在互聯網時代黑客已經不再是躲在地下室，為了一時的興趣進行破壞，越來越多的黑客正在“商業化”，愈發成熟的黑產一次次的證明數據的價值。企業賴以生存的用戶信息都存其數據庫內，所以數據庫的安全事關企業生死存亡。