一網打盡！2018網絡安全事件最全的盤點

歡迎訪問網易雲社區，瞭解更多網易技術產品運營經驗。

「沒有網絡安全，就沒有國家安全。」這是國家領導人在中央網絡安全和信息化領導小組第一次會議上的講話。

的確如此。將來是萬物互聯時代，誰在這個時代可以把握住安全能力，誰就能避免被降維打擊。

國家在法律層面對網絡安全也很是重視，除了去年施行的《中華人民共和國網絡安全法》外，今年6月27日，公安部官網發佈《網絡安全等級保護條例（徵求意見稿）》，10月4日，公安部發布《公安機關互聯網安全監督檢查規定》，11月30日，公安部網絡安全保衛局發佈《互聯網我的信息安全保護指引》（徵求意見稿），而在接下來，《國家關鍵信息基礎設施安全保護條例》也將出臺。

把目光轉到國外，GDPR已於今年5月在歐盟生效。信用評級公司穆迪已經計劃將「網絡安全風險」歸入現有信用評級標準，受評者承受網絡攻擊的能力將被量化，融入最終的評級結果中；在將來，網絡安全評級將與信用評級分離，成爲獨立評級。

那如何讓全部人意識到網絡安全很重要，而且把網絡安全落實到每個環節呢？以史爲鑑多是一個比較好的手段之一。經過回顧歷史，吸收教訓，才能更好的走好下一步，面對好將來。爲此，網易雲易盾爲你們盤點了2018年十大網絡安全事件，以供各位回顧。

1、數據泄露

1.Facebook數據泄露

事件回顧：雖然Facebook數據泄露量不如後面的那些公司高，但其次數和影響很是深遠。

一家第三方公司經過一個應用程序收集了5000萬Facebook用戶的我的信息，因爲5000萬的用戶數據接近Facebook美國活躍用戶總數的三分之一，美國選民人數的四分之一，波及的範圍很是大。後來，5000萬用戶數量上升至8700萬。

今年9月，Facebook爆出，因安全系統漏洞而遭受黑客攻擊，致使3000萬用戶信息泄露。其中，有1400萬人用戶的敏感信息被黑客獲取。這些敏感信息包括：姓名、聯繫方式、搜索記錄、登錄位置等。

12月14日，又再次爆出，Facebook因軟件漏洞可能致使6800萬用戶的私人照片泄露。具體來講，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個App得到了用戶私人照片得訪問權限。通常來講得到用戶受權的App只能訪問共享照片，但這個漏洞致使用戶沒有公開的照片也照樣能被被讀取。

結果：Facebook CEO數據泄露道歉，並屢次出席聽證會。一系列事件影響，Facebook股價已較年初跌了29.70％（12月25日）。而12月份的此次泄露，歐洲隱私管制機構愛爾蘭數據保護委員會已着手調查，Facebook或所以被罰款超過16億美圓。

2.涉嫌侵犯數百億條公民我的信息 上市公司數據堂被公安一鍋端

事件回顧：據新華社新媒體2018年7月8日報道，大數據行業知名企業數據堂（831428.OC）在8個月時間內，日均傳輸公民我的信息1.3億餘條，累計傳輸數據壓縮後約爲4000GB左右，公民我的信息達數百億條，數據量特別巨大。

結果：除了數據堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

3.新三板掛牌公司涉竊取30億條我的信息 非法操控公衆帳號加粉或關注

事件回顧：今年8月份，澎湃新聞從紹興市越城區公安分局獲悉，該局日前偵破一塊兒特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶我的信息30億條，涉及百度、騰訊、阿里、京東等全國96家互聯網公司產品，目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。案件仍在進一步偵辦中。

結果：目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。

4.圓通10億快遞信息泄露

事件回顧：六月份，暗網一位ID「f666666」的用戶開始兜售圓通10億條快遞數據，該用戶表示售賣的數據爲2014年下旬的數據，數據信息包括寄（收）件人姓名，電話，地址等信息，10億條數據已經通過去重處理，數據重複率低於20%，數據被該用戶以1比特幣打包出售。

結果：有網友驗證了其中一部分數據，發現所購「單號」中，姓名、電話、住址等信息均屬實。

5.萬豪酒店5億用戶開房信息

事件回顧：萬豪國際集團11月30日發佈公告稱，旗下喜達屋酒店客房預訂數據庫遭黑客入侵，最多約5億名客人的信息可能被泄露。萬豪酒店在隨後的調查中發現，有第三方對喜達屋的網絡進行未經受權的訪問。目前，未經受權的第三方已複製並加密了某些信息，且採起措施試圖將該信息移出。

萬豪披露，已知的是，大約3.27億客人的我的姓名、通訊地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部帳戶信息、出生日期、性別等信息都已經可能所有泄漏。

結果：消息公佈後，萬豪國際的股價在當天的盤前下跌5.6%，報115.02美圓。事件曝光後，萬豪採起了各類措施去補救。

6.華住酒店5億條用戶數據疑泄露

事件回顧：華住酒店集團旗下酒店用戶信息在「暗網」售賣，售賣者稱數據已在8月14日脫庫。身份證號、手機號，包羅萬象，共涉及5億條公民信息。涉及酒店範圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。這次泄露的數據數量則總計達5億條，所有信息的打包價爲8比特幣，或者520門羅幣（約合人民幣38萬元）。賣家還稱，以上數據信息的截止時間爲2018年8月14日。

結果：隨後，華住集團酒店官方微博迴應此事稱，「已經報警了。真實性目前沒法查證，咱們信息安所有門在緊急處理中」。同時官方微博也呼籲，請相關網絡用戶、網絡平臺當即刪除並中止傳播上述信息，保留追究相關侵權人法律責任的權利。

7.瑞士數據管理公司 Veeam 泄露 4.45 億條用戶數據

事件回顧：2018年9月份，研究人員在一個配置錯誤的服務器上發現了存儲有超過200GB數據的數據庫。據悉，該服務器處於徹底無防護的狀態，且面向公衆開放，任何人都可以公開查詢和訪問其數據。研究人員介紹稱，該數據庫中存儲有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的我的信息，如姓名、電子郵件地址以及居住地、國家等。此外，該服務器上提供的其餘詳細信息還包括部分營銷數據，例如客戶類型和組織規模、IP 地址、referrerURL 以及用戶代理等。

結果：信息在網上掛了4天后，就所有沒法訪問，想必公司已經採起了措施。對於該起事件有安全專家建議，全部數據庫管理員考慮MongoDB在一年前發佈其數據庫產品的安全指南，同時添加新的內置安全功能，如加密，訪問控制和詳細審計等。

8.Exactis大數據公司失誤泄露2TB隱私信息：3.4億條，涉及2.3億人

事件回顧：據Wired報道，六月初曝光的市場和數據彙總公司Exactis服務器信息暴露的事情經調查爲實，涉及大約3.4億條記錄，容量接近2TB，聽說涵蓋2.3億人。這些數據包含的隱私深度超乎想象，包括一我的是否吸菸、宗教信仰、養狗或養貓以及各類興趣等。

結果：Exactis過後對數據進行了加密防禦，以免信息的進一步泄露。

9.美國功能性運動品牌Under Armour1.5億用戶信息泄露

事件回顧：美國功能性運動品牌Under Armour（安德瑪）旗下飲食和養分管理App及網站MyFitnessPal大規模的數據泄露，多達1.5億用戶的信息被盜。這次數據泄露事件影響到的用戶數據包括用戶名、郵箱地址、和加密的密碼。安德瑪表示，該數據泄露事件並無涉及到用戶的社會安全號碼、駕駛證號、和銀行卡號等隱私信息。

結果：Under Armour經過電郵和App消息提醒用戶馬上更改密碼，當晚其股票市值下跌了4.6%。

10.問答網站 Quora戶數據遭泄露1個億

事件回顧：12月4日，據紐約時報報道，問答網站鼻祖Quora稱，該公司的計算機系統遭到惡意第三方的未受權訪問，大約有1億用戶的帳戶及私人信息可能已經泄露，包括姓名、郵箱地址和加密處理的密碼。

結果：Quora CEO發佈博文致歉。官方稱，第一時間僱傭網絡安全專家進行調查，同時也聯繫了執法部門。

今年的數據泄露事件還有：

1. 國泰航空數據泄露，940萬乘客受影響

2. MongoDB 數據庫被入侵， 1100 萬份郵件記錄遭泄露

3. SHEIN 數據泄露影響 642 萬用戶

4. http://HealthCare.gov註冊系統被黑客入侵，75000人數據遭泄露

5. GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光

6. 瑞士電信（Swisscom）證明80萬數據被盜，涉全國1/10公民信息

7. 英國航空公司數據泄露事件：38萬人受影響

8. 小米有品平臺泄露我的隱私 約2000萬用戶數據遭泄露

9. 美國23州連鎖餐館出現數據泄露，超過50萬信用卡數據存在安全風險

10. Atlas Quantum數字貨幣投資平臺數據泄露，影響約26.1萬名客戶

11. 知名OCR軟件ABBYY FineReader被曝泄露超過20萬份客戶文件

12. Instagram平臺被黑 已超百萬用戶信息泄露

13. 乘客航班信息泄露鏈條曝光，近500萬條信息被賣

14. 醫療軟件公司MedEvolve因服務器漏洞致20多萬患者信息泄露

15. Robocall公司泄露了美國數十萬選民我的信息

16. Adidas數百萬用戶數據泄漏

17. 順豐快遞3億用戶信息外泄（順豐官方否定，表示非順豐數據）

18. 陌陌數據外泄3000萬（陌陌官方後來迴應：跟用戶匹配度極低）

19. AcFun受黑客攻擊，近千萬條用戶數據外泄

20. 前程無憂http://51Job.com用戶信息在暗網上被公開銷售

21. 加拿大兩大銀行遭黑客攻擊 近9萬名客戶數據被竊

22. 私人情報機構 LocalBlox 泄露 4800 萬份我的數據記錄

23. 中東打車巨頭Careem遭遇網絡攻擊 1400萬乘客信息失竊

24. 央視曝光偷密碼的「萬能鑰匙」，9億人我的信息存風險

25. 旅遊網站Orbitz 88萬份信用卡信息遭泄露

2、除此以外，今年的DDOS攻擊也很是多，盤點以下：

1. GitHub遭1.35T級流量攻擊：3月1日，GitHub在官方平臺發文披露了本次DDoS攻擊過程：2月28日17:21到17:30，GitHub受到1.269億個數據包、峯值大約爲1.35Tbps的攻擊。

2. 疑似俄羅斯黑客報復，荷蘭三大銀行及稅務機構遭DDoS攻擊：大規模DDoS攻擊了三個荷蘭銀行ABN AMRO、ING銀行、荷蘭合做銀行以及荷蘭稅務管理局。

3. 柬埔寨網絡遭到史上最大規模 DDoS 攻擊：柬埔寨幾家最大的互聯網服務提供商（ISP）在11月份遭受了大規模DDoS攻擊。EZECOM、SINET、Telcotech和Digi的用戶已經確認整週訪問在線服務存在困難，週一和週二報告的問題最多。當地新聞媒體稱DDoS攻擊是該國曆史上最大的攻擊之一。據熟悉此事的消息人士透露，週一遭遇近150Gbps的DDoS攻擊襲擊了柬埔寨互聯網服務供應商。

4. ProtonMail遭到DDoS攻擊：加密電郵服務ProtonMail在六月份遭到了DDoS攻擊，因攻擊頻繁短期下線。ProtonMail聲稱它跟蹤攻擊到一個據稱與俄羅斯有關聯的組織。

結束語：

最後，還想再舉一個例子：

全球芯片頭號代工廠臺積電（TSMC）遭遇勒索病毒Wannacry入侵，3天損失17.6億元；股價也受勒索病毒影響，短期內蒸發78億。 

但願你們能經過上面的盤點，都能意識到網絡安全，並重視、並落實好網絡安全，不然下一個損失慘重的網絡安全事件主角就有多是你。

點擊免費試用接入網易雲易盾的網絡安全服務。

相關文章：
【推薦】 Android移動客戶端性能測試淺談——電量