数据安全#1-数据泄露的case记录

本文最后更新于2018年12月1日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

近来在做数据安全相关的工作。此前对这一块也比较感兴趣,所以零零散散的看过一些文章和报告。最近在不忙的时候集中的看了一批,想着整理一下看到的觉得还不错的内容和自己的思考,一方面是怕看了就忘了(写下来可以帮助思考和加深印象),另一方面是方便以后参考(也许可以帮助到其它人)。

正文:

参考解答:

在我刚开始进入安全行业的时候,我个人从心底里就觉得安全很重要(不论是信息安全还是网络安全)。一些涉及到敏感信息(比如:身份证号、手机号、银行卡号、住址信息、个人习惯偏好等)的产品如果没有采取一定的安全防护手段,我都无法想象这是什么样的公司/开发者开发出来的,他们脑子里都装的些什么?怎么会开发出这样的产品出来?又会有什么样的用户会使用这样的产品?

但是在工作了几年之后,就会发现,安全的重要性大部分人心里都知道,但是在实际生活/操作中又不会重视,特别是在「安全性」可能会影响一定的「便利性」和需要额外的投入(不论是在精力上,还是在金钱上)时。

直到近年来,频发的安全事件和波及范围越来越广的数据泄露问题逐渐为公众所知;不断加快的数字化转型,万物开始互联,计算机越来越多的参与和影响到我们的生活,计算机安全成了一个谁都无法回避的问题;法律法规的更新和设立——国内是《中华人民共和国网络安全法》、国外是《通用数据保护条例》(简称GDPR);安全,尤其是数据安全的重要程度越来越高。


对于企业来说,数据安全之所以重要,一般有以下几方面原因:

  1. 对于大多数互联网公司来说,数据可被认为是它们的核心资产;
  2. 如果数据安全出问题,会影响公司的股价/收入/品牌形象/……;
  3. 严重情况下,数据安全出问题还可能导致违反相关法律法规,进而遭受处罚以及影响公司业务的正常开展。

以下是整理的近年来的一些典型数据安全事件:

1) 2013年8月,多达10亿的账户数据泄露
原因:黑客入侵。警示:现代企业需要一个全面的,全方位的数据保护和安全的方法。

2) 2017年3月,京东内部员工涉嫌窃取50亿条用户数据

原因:未采取访问权限、身份认证、数据利用的管理。警示:内部数据安全使用的防范措施需要加强。

3) 2017年7月,1.4亿Verizon用户数据泄露原因:使用了第三方NICE Systems。

警示:自己的资料不要交由第三方来处理。

4) 2017年9月,美国征信机构Equifax数据库泄露1.43亿用户数据原因:黑客通过Apache Struts漏洞攻击进入。

警示:及时发现漏洞,并做有效的补丁更新与安全防护。

5)2017年9月,德勤公司500万份内部邮件信息泄漏原因:管理员认证过于简单。

警示:加强配置检查,提高安全意识。

6) 2017年11月,趣店数百万学生数据或遭泄露原因:离职员工“主动泄露”的报复行为。

警示:离职员工数据监管要重视。

7) 2018年3月,Facebook被曝5000万用户信息泄露原因:平台开放的API被第三方应用程序收集利用。

警示:在开发应用的过程中需要保护用户隐私和防止敏感信息泄露。

8) 2018年8月,华住旗下多个连锁酒店开房信息泄露原因:公司程序员将数据库连接方式及密码上传到GitHub导致。

警示:应做好敏感数据外发控制。

9) 2018年11月,万豪国际酒店5亿顾客的个人信息被泄漏

原因:黑客入侵。

警示:网络安全、IT安全、数据安全、……一个都不能少。


安全威胁的主要来源

1) 外部(攻击威胁)

  • 外部:漏洞攻击、木马注入、弱配置、APT
  • 内部:盗窃、离职

2) 内部(使用威胁)

  • 访问:认证、权限
  • 共享:业务(门户、调用测试)、人员交互
  • 外发:跨区、第三方(网络、邮件)
  • 外带:出差、回家

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4187.html

《数据安全#1-数据泄露的case记录》上的26个想法

  1. Equifax数据泄露的反思
    https://mp.weixin.qq.com/s/Q1KoraFipdYRdFyEV9Ppfw
    `
    这篇文章的内容主要翻译自2018年12月美国政府报告《The Equifax Data Breach》,对报告内容进行了精简和整理,旨在详细了解这起安全事件的始末,以一个比较全面的视角去审视安全工作。如果你觉得公司还不够重视安全,你可以把这当成一个安全案例用于培训;如果你对公司的安全水平很有自信,也可以拿它来对标review一下自己的安全工作是否到位。当然,企业面临的安全威胁多种多样,黑客外部入侵、内鬼泄露、针对员工的钓鱼攻击等等,这个事件并不能覆盖所有的攻击向量,但仍能从中发现和总结有用的内容。

    2017年9月, 美国最大的征信机构之一Equifax对外宣布了一起影响1.48亿用户的网络安全事件。这是美国历史上最大的一起数据泄露事件之一,影响几乎一半的美国人口,政府将其总结为“这完全是一起可以避免的事故,但是Equifax并没有做好安全措施来保护用户的敏感数据”。

    Equifax过分自信、过分自满的网络安全文化导致了这一切。Equifax未能修补已知的严重漏洞,使其系统面临145天的安全风险。公司未能实现基本的安全协议,包括文件完整性监控、网络分隔,使得攻击者访问和获取了大量数据。在攻击者获取数据的过程中,安全设备的证书过期19个月,又使得可以提前发现的攻击行为被掩盖。

    CEO、CIO、CSO提前退休,VP被解雇,支付安全费用,公司股价暴跌,声誉受损。虽然这是一起很不幸的事故,但它却再一次提醒我们,每一家公司都要时刻保持警惕——因为攻击者和敌人是如此老练并且资金充足,我们需要不断保持安全工作的推进并且持续做得更好,才能尽量避免这样的灾难发生在自己身上。

    一.Equifax的商业模式
    二.数据泄露事件的始末
    三.失败点和反思
    四.后续
    ====

    写在最后,这两天在群里(基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群)里看到各位大佬讨论安全工作的本质:
    “你还能把安全部门做成盈利部门吗?安全部门力争盈利,让业务、销售部门怎么看”
    “安全本质还是守住核心业务;现在都为了盈利不要基本盘了”
    “甲方安全是守门员不是前锋,第一任务还是守门不是进球”
    “我们的一号目标就是不出现严重的安全事故”
    “不出事!”

    看完感触很多,也解除了我的一些迷茫,这几年大家在跟进业务安全、追求安全产品研发,想着对外能力输出甚至盈利,却慢慢忽略了安全最重要的那部分。如果问我2019年最想做什么,我想应该是把那些最基本、最基础的事情重新梳理做坚实、做牢固,去追求最开始作为一名安全工程师时设定的那些安全目标,用个俗气的词——“不忘初心”。

    2018年过去了,我很怀念它
    `

  2. GitHub信息泄漏监控
    https://bloodzer0.github.io/ossa/infrastructure-security/network-security/network-security-monitor/github-monitor/
    `
    监控模式
     通过API进行监控
     通过爬虫进行监控
    GitHub监控规则
     关键字匹配模式
     优化匹配规则
     加白操作
     前端展示
    几个思考
     确认的GitHub应该如何处理
     如何构建分布式监控
     科技型企业支撑集团如何考虑不同公司的用户权限控制
    开源GitHub监控
     开源优缺点对比
    `
    https://developer.github.com/v3/search/#search-code

    https://help.github.com/articles/dmca-takedown-policy
    https://github.com/github/dmca

  3. 大数据安全分析的前世今生
    https://www.freebuf.com/articles/database/110234.html
    `
    1、网络安全的主干
    2、孤掌难鸣的困境
    自身防御漏洞百出
    攻击者日益精进
    3、似是而非的替代方案
    4、达摩克利斯之剑
     按照数据来源可以分为主机、网络、应用分析三类。基于主机数据检测数据来自系统调用日志与系统日志;基于网络数据检测数据来自基于网络数据包头数据与流量数据与基于无线网络数据检测;基于应用日志检测数据来自数据库日志、网站日志、IDS指示器数据等。
     按照使用方法可以分为误用检测与异常检测。误用检测又称特征检测,需要提取已知攻击特征,基于签名匹配检测攻击,其准确率较高,然而无法检测未知威胁;异常检测基于“白名单”思想,建立用户的正常行为模型,从而检测偏离正常模型的行为,其可以检测未知威胁 ,但误报率较高。
     按照时间度量可以分为实时内部威胁检测与离线检测。实时监测将安全日志数据组我欸数据流实时分析报警;而离线检测则在后台进行数据挖掘分析
     按照能动性可以分为被动检测与主动检测两类。顾名思义,被动检测就是传统的IDS,检测到内部威胁即报警,但是不采取安全措施,等待人为命令;主动检测类似于IPS,检测到内部威胁可以自动断开内部攻击者连接,剥夺其访问权等。
     按照时间周期可以分为连续监测与周期检测。连续监测即不间断监测,而周期检测则是特定周期执行检测,两次检测间隔可能被攻击者利用。
    5、实例
     1.分析文件访问异常行为的用户
     2.分析上步异常用户的邮件联系人图;
     3.分析异常邮件关系图中所有用户的文件行为;
     4.采用机器学习建立分类器,多人、多终端家呢异常;
     5.关联多类异常,检测内部信息窃取攻击;
    6、小结
    `

  4. 【翻译】2018年数据泄漏事件专刊
    https://mp.weixin.qq.com/s/jrbp9E72OQcO_d9801hiHA
    `
    本文翻译了 Graham Cluley 发布在bitdefender 上的《2018 – A Year of Data Breaches in Review》,并做了适当的删改。以此来逐月的回顾2018年每个月发生的最大规模的数据泄漏事件。

    2018年已经落下帷幕,我们想要利用这个难得的机会回顾这一整年都发生过哪些重大的数据泄露事件。

    在2018年很多组织和公司都遭受了大规模的严重数据泄露事故,将很多无辜公众的个人信息至于危险之中。

    事实上,当下数据泄露事件频频占据各大头条,这让我们很容易忘记都发生过哪些数据泄露事件。在这里,让我们一起逐月地去回顾一下这一年中都发生过哪些让人难忘的数据泄露事件。
    `
    https://businessinsights.bitdefender.com/2018-data-breaches-review#new_tab

  5. GitHub公开B站寄来的DMCA删除通知
    https://mp.weixin.qq.com/s/gjxbmeWayV78xzRuLT6KSQ
    https://github.com/github/dmca/blob/master/2019/04/2019-04-23-bilibili.md
    `
    前两天,匿名人士将B站后台工程源代码上传到了 GitHub,B站发现后向 GitHub 发去 DMCA 删除通知(DMCA Takedown),希望删除该仓库。现在,GitHub 公开了B站寄来的 DMCA 删除通知。

    DMCA 也就是数字千年版权法,Digital Millennium Copyright Act,它是一项美国版权保护法,旨在使受版权保护作品的访问控制得到保障。具体到 GitHub 上,DMCA 可以防止托管的项目被恶意传播。

    而根据 GitHub 的透明政策,当一个代码仓库应版权所有者的要求进行移除,它会公开对方发来的 DMCA 删除通知。

    和被泄露的源码一样,B站的这份通知也在社交网络引发了广泛的讨论 —— 因为给人的感觉十分随意,看上去不像是正式的法律文件。

    它的开头是“Hello Dear Github:”,然后是“We Are:”,最后一句是“求求你们帮助我们吧,还加了三个感叹号(Please help us!!!)”。除了这些,还有一些书写规范也没遵守,例如逗号后面不加空格。网友调侃这是“工地英语”。
    `

  6. 揭秘⼤数据安全
    https://insights.thoughtworks.cn/big-data-security/
    `
    大数据语境下都有哪些安全问题?
    1.新工具带来新的安全风险
    2.数据污染
    3.个人隐私面临更多的风险
    4.存储大数据处理后的高价值数据的应用系统,其本身就是被攻击的目标
    5.防火防盗防内鬼

    什么是大数据安全?
    数据 U 系统 U 人

    我们可以做些什么?有哪些实践?
    1.确保数据安全
    2.加强系统安全
    3.减少人因失误
    4.抗拒数据诱惑:不该收集的数据别去碰

    该加密的加密,该脱敏的脱敏;
    该签名的签名,该备份的备份;
    该做身份认证的做认证;该做权限控制的做鉴权;
    该搞意识培训的搞培训;不该收集的数据别去碰。
    `

  7. 只因写了一段爬虫,公司200多人被抓!
    https://mp.weixin.qq.com/s/bvSnLrgqaW57vISHEajqqQ
    `
    “一个程序员写了个爬虫程序,整个公司200多人被端了。”
    “不可能吧!”
    刚从朋友听到这个消息的时候,我有点不太相信,做为一名程序员来讲,谁还没有写过几段爬虫呢?只因写爬虫程序就被端有点夸张了吧。
    朋友说,消息很确认并且已经进入审判阶段了。

    朋友认识几个律师朋友,和他们有一些业务来往,得知他们想尝试把业务扩展到程序员这个群体。那段时间我刚好离职也有时间,在朋友的安排下一起聊聊看看有没有合作的机会。
    他们为什么想扩展人群到程序员这个行业呢?其实就是因为他们代理了这名程序员的官司,才发现很多程序员完全不懂法,直接说是法盲一点都不过分。
    刚好我也很好奇程序员因爬虫被抓这个案子,看看到底是怎么回事,就和两名律师以及朋友坐到一起,深入交流后才知道整个事件的来龙去脉。
    这名程序员在被警察逮捕后,警察审问期间一直不承认自己触犯了法律,并且也完全没有意识到自己犯法了。进去之后总以为警察搞错了,过几天就会把自己放出来,结果也错过了取保候审的机会。

    据内部消息,最近监管对数据乱象出手,开始清理行动,15家公司被列入调查名单,其中几家估值都超几十亿。
    国内很多大数据公司的数据来源多多少少都有一定的问题,随着我国今年6月1日起,《中华人民共和国网络安全法》将实施,所有的网上行为将越来越严格,如果还按照之前的惯性去操作,迟早会出问题。

    重点关注:下列情况下,爬虫有可能违法,严重的甚至构成犯罪。

    1. 爬虫程序规避网站经营者设置的反爬虫措施或者破解服务器防抓取措施,非法获取相关信息,情节严重的,有可能构成“非法获取计算机信息系统数据罪”。

    2. 爬虫程序干扰被访问的网站或系统正常运营,后果严重的,触犯刑法,构成“破坏计算机信息系统罪”

    3. 爬虫采集的信息属于公民个人信息的,有可能构成非法获取公民个人信息的违法行为,情节严重的,有可能构成“侵犯公民个人信息罪”。
    `

  8. 企业安全无间道之抓内鬼
    https://www.freebuf.com/articles/database/217055.html
    `
    观察这些年的信息泄漏案件比例,内部威胁在快速上升。内鬼的范围其实很多,传统上安全会抓账号泄漏、横向移动之类。但如果是商业间谍、搞破坏、内部欺诈这些行为,安全上基本上没能力管。很多安全同学吐槽,安全在公司不受重视,得不到资源,在我看来,是安全目前做的这些事相对于公司的大风险来看,太小,在高层那里不受重视理所当然,当安全有能力为公司发现、收敛更大的风险,地位当然会上升。如果你有能力抓内鬼,汇报层级也会直线上升。本文要和大家说的就是:怎么抓内部威胁。

    一、内鬼动机及范围
    内鬼的动机一般包括:搞破坏、窃取数据、欺诈、商业间谍、无意犯错、偶然间装逼犯。内部人员作案一般是一个持续过程,在这个过程中有逐渐变化,最后到事件一次发生,多次得手。

    内部人员的范围并非是“纯粹”内部人员,也包括生态上下游合作伙伴、外包、访客等任何具有内部访问权限或数据的人。给一个清晰定义,就是基于知识、访问、信任的角色。

    所谓知识,如果一个人知道系统的位置、防御措施可被绕过,则为掌握了相关知识。常见例如系统的开发人员可能知道产品的几个0DAY,离职员工掌握测试系统账号密码等。

    从技术角度看,IT系统验证凭证有效性,允许访问资源。因此任何获得凭证的人都可被视为内部人员,也即访问角色。即使系统有多因素认证,内部人员也可把短信验证码之类的验证要素提供给其他人员,所以从这个角度来说,IT系统很难完全防范。

    还有一种是信任角色,最简单可理解为你的合作伙伴、外包等人群,也包括内部人员。这些人群获得公司一定程度的信任,可以获得部分权限资源,并且以公司名义活动。例如公司的用户数据如果泄漏,在监管和舆论来看,这就是你的问题,而不是外包或代理商。

    通常内部抓到的坏人处于公司形象的问题不会公开,而由于不会公开,所以实际案例可能比我们看到的多的多。但其实你可以从法院的公开判决文书找到很多案例。对内部坏人的处理逻辑,首先是内部调查,确定性质和行为。再接下来是走司法程序,但事实上很多公司会开除且不声张。

    1、破坏
    2、数据窃取
    3、内部欺诈
    4、商业间谍
    5、无意威胁
    6、装逼犯

    二、内鬼捕获思路
    1、复杂性
    2、威胁时间线检测
    3、建设路线

    三、检测指标
    1、个人情况指标
    2、背景及行为指标
    3、信息安全指标
    4、终端指标
    5、服务端指标

    四、总结
    以上所有的指标,单一来看可能只是一个异常,因此需要多指标关联权重,从而提炼出真正的风险。但指标不仅限于此,可以根据自身业务数据形成更广阔的检测维度,例如一个销售,从来不上传新合同,但总是在大量查询历史合同。某个员工的手机号和采购供应商相同,员工与黑产多次出现在同一地址,同一时间维度内同WIFI出现大量注册等等诸如此类的规则,都能够形成某个单项指标。

    除了自身数据,也可接入外部数据验证,例如员工是否多头借贷,历史工作单位验证是否一致等。最后,还可以利用情报数据,反向验证内部人员作案。

    空间很大,可做的事情有很多,不要自己给信息安全设置了边界。
    `

  9. 2019 年数据泄露全年盘点,让人“触目惊心”
    https://mp.weixin.qq.com/s/vdGABPzjPep7js3aOn4QYg
    `
    2019 数据泄露 TOP10

    TOP10:Canva 1.39 亿用户数据泄露
    报道时间:5 月 24 日
    Canva 是一个非常受欢迎的平面设计服务,在 Alexa 排名 200 以内。

    数据类型:姓名、用户名、电子邮件地址、位置信息等
    泄露原因:黑客窃取
    后续:公司通知用户更改密码

    TOP9:Dubsmash 1.62 亿用户数据泄露
    报道时间:2 月 12 日
    据悉,Dubsmash 公司创立于 2014 年,在其应用程序上,用户可以进行对嘴型表演,题材覆盖了卡通动画以及电影和广告短片等,短片录制完成后,可以分享给他人。

    数据类型:用户姓名、ID、电子邮件地址、用户名、密码等
    泄露原因:黑客窃取
    后续:数据被黑客出售

    TOP8:2.02 亿中国求职者个人信息泄露
    报道时间:1 月 10 日
    数据类型:求职者姓名、身高、体重、地址、出生日期、电话号码、电子邮件地址、政治倾向、技能、工作经历、工资预期、婚姻状况、驾驶执照号码、专业经验和职业期望
    泄露原因:数据库配置错误
    后续:事件披露后不久,该数据库被加入保护机制

    TOP7:Zynga2.18 亿游戏玩家数据泄露
    报道时间:10 月 1 日
    据悉,Zynga 市值超过 50 亿美元,是全球最成功的社交游戏开发商之一,拥有超过 10 亿美元的热门在线游戏集合,包括 FarmVille、Words With Friends、Zynga Poker、Mafia Wars 和 CaféWorld 等。

    数据类型:姓名、电子邮件地址、登录 ID、密码、密码重置令牌(如果有)、电话号码(如果有)、Facebook ID(如果已连接)、Zynga 帐户 ID
    泄露原因:黑客入侵
    后续:该公司与执法部门联系,并采取措施保护用户账户

    TOP6:2.75 亿印度公民个人信息泄露
    报道时间:5 月 1 日
    数据类型:印度公民姓名、电子邮件地址、性别、出生日期、电话号码、教育详细信息、就业详细信息(工资、专业技能、雇主历史记录等)
    泄露原因:黑客窃取
    后续:外媒反馈给印度 CERT 团队

    TOP5:Cultura Colectiva 5.4 亿数据泄露
    报道时间:4 月 3 日
    数据类型:Facebook 用户 ID、账户名、评论和喜欢的内容
    泄露原因:数据库配置错误
    后续:数据库得到很快保护

    TOP4:16 家国外网站 6.2 亿用户数据泄露
    报道时间:2 月 13 日
    Dubsmash(1.62 亿)、MyFitnessPal(1.51 亿)、MyHeritage(9200 万)、ShareThis(4100 万)、HauteLook(2800 万)、Animoto(2500 万)、EyeEm(2200 万),8fit(2000 万)、Whitepages(1800 万)、Fotolog(1600 万)、500px(1500 万)、Armor Games(1100 万)、BookMate(800 万)、CoffeeMeetsBagel(600 万)、Artsy(100 万) 和 DataCamp(70 万)。

    数据类型:账户持有人姓名、电子邮件地址、位置、密码、社交媒体身份验证信息等
    泄露原因:黑客攻击
    后续:在暗网被贩卖

    TOP3:First American Financial Corporation 8.85 亿数据泄露
    报道时间:5 月 24 日
    数据类型:姓名、社会安全号码、电话号码、电子邮件、地址、驾照、银行账号和对账单、抵押贷款和税务文件,以及电汇收据
    泄露原因:IDOR 漏洞
    后续:公司关闭网站,禁止外部对该应用程序的访问,内部进行审查

    TOP2:Verifications.io 9.8 亿数据泄露
    报道时间:3 月 7 日
    数据类型:姓名、地址、电子邮件地址、出生日期、电话号码、传真号码、性别、IP 地址、邮政编码
    泄露原因:数据库配置错误而暴露于网上
    后续:网站脱机,公司称已对数据库做好保护

    TOP1:Elasticsearch 27 亿数据泄露
    报道时间:12 月 4 日
    数据类型:电子邮件地址、密码等
    泄露原因:未知
    后续:12 月 9 日,该数据库被禁止访问
    `

  10. 一种高效全面的敏感数据分布自动化探查方法
    https://mp.weixin.qq.com/s/8abEKOiJL6c9_AmexY4rlg
    `
    本文概要性地描述了一种企业敏感数据分级分类、采集、识别、分布展示的高效全面的自动化探查方法。

    # 方法概述
    本方法首先对所辖范围的数据进行梳理,进行数据分类和分级,然后结合已有的资产探查管理系统和4A系统,自动化采集应用服务器、数据库服务器、运维终端等的数据,采用多种敏感数据识别算法,根据事先定义好的策略,进行敏感数据识别,结合数据分类分级,以数据地图的方式,可视化地展示出敏感数据的分布情况。

    # 中国移动数据分类
    根据中国移动内部管理和对外开放场景的特点,可将其内部B域系统、O域系统、M域系统、信令\DPI系统、业务管理平台等数据整合分为四大类。

    (一) 用户身份相关数据(A类)

    ●用户身份和标识信息:自然人身份标识、网络身份标识、用户基本资料、实体身份证明、用户私密资料

    ●用户网络身份鉴权信息:密码及关联信息

    (二) 用户服务内容数据(B类)

    ●服务内容和资料数据:服务内容数据、联系人信息

    (三) 用户服务衍生数据(C类)

    ●用户服务使用数据:业务订购关系、服务记录和日志、消费信息和账单、位置数据、违规记录数据

    ●设备信息:设备标识、设备资料

    (四) 企业运营管理数据(D类)

    ●企业管理数据:企业内部核心管理数据、企业内部重要管理数据、企业内部一般管理数据、市场核心经营类数据、市场重要经营类数据、市场一般经营类数据、企业公开披露信息、企业上报信息

    ●业务运营数据:重要业务运营服务数据、一般业务运营服务数据、公开业务运营服务数据、数字内容业务运营数据

    ●网络运维数据:网络设备及IT系统密码及关联信息、核心网络设备及IT系统资源数据、重要网络设备及IT系统资源数据、一般网络设备及IT系统资源数据、公开网络设备及IT系统资源数据、公开网络设备及IT系统支撑据

    ●合作伙伴数据:渠道基础数据、CP/SP基础数据

    # 总结
    本文从数据梳理分级分类、数据采集、数据预处理、敏感数据识别、敏感数据分布几个方面,阐述了一种高效全面的敏感数据分布自动化探查方法。该方法利用已有的资产探查管理系统和4A系统自动化采集数据;采用包括基础识别技术、指纹识别技术、智能学习技术和图像识别技术在内的多种识别算法识别敏感数据;然后根据敏感数据的分级和分类,以敏感数据地图的方式可视化展示敏感数据分布。
    `

  11. 警惕!2020年多名公务员因微信办公违规被处理,案例鲜活,教训惨痛
    https://mp.weixin.qq.com/s/QOUFyVa4c4xGO1v4FroLXw
    `
    近年来,使用手机处理公务的情形越来越普遍,很多公职人员将微信应用于日常工作,不少机关单位建立了微信工作群。微信办公确实可以为工作带来一些便利,一定程度上提高了工作效率。与此同时,使用微信办公导致的泄密案件逐年递增。

    一、惨痛教训:微信群发布疫情信息,这些公职人员被问责
    1、 微信群泄露疫情防交办单信息被问责
    2、微信群、QQ工作群泄露疫情防控工作材料
    3、微信群发布未经核定、内容涉密的调查报告被问责
    4、微信群发布泄露涉疫情人员隐私被问责
    5、微信群泄露疫情排查信息被问责
    6、公司微信群发布文件(讨论稿)被问责
    7、微信群误发信息过失泄密被问责
    8、微信群发不实信息被问责
    9、微信群编造散布虚假疫情信息被问责

    二、80后研究生泄露国家秘密 被判刑一年

    三、公职人员微信聊天的正确方式
    1、不传播不实的“八卦消息”:人云亦云、三人成虎往往给传闻当事人造成不必要的伤害。谨言慎行,在网络中也不可缺少。
    2、不能低俗:过分低级庸俗的内容和图片不转发,因为你所传播的内容是你自身品味的客观反映。
    3、不要随意发广告:不要发广告链接和推广其他产品,尤其是虚假和过度夸张的广告。
    4、不能咒人:不可强制别人转发你的作品,比如:转了将走大运、发大财,不转将会如何如何……这是微信交流中的大忌。
    5、反对以送礼物为噱头诱导别人转发:包括集赞、集评论、找人拆礼物、转发红包等行为。
    6、不能泄露他人隐私:不能随意发表未经他人同意、带有个人隐私性质的内容和图片,这涉及肖像权等公民权利。
    7、注意“礼尚往来”:对好的文章或者评论,不要只看不评不转,要尊重朋友的劳动成果,并予以肯定和支持。朋友向你“打招呼”时,也应尽可能及时予以回应。
    8、在朋友圈内不发个人生活琐碎和烦恼的事:这既影响朋友们的心情,也浪费朋友们的时间,还暴露了个人隐私。
    9、涉及国家和工作单位机密的内容决不能发:这些内容哪怕一对一发也不妥,网络信息时代,互联网上的传播都有被记录和泄密的可能。
    10、不要只关注碎片化信息对经典的微信可加收藏:对好的微信文章要经常看,经常读,领悟其内涵,自己从中会不断有新发现、新感受、新提高、新收获。
    11、别让微信绑架你的生活:微信是把双刃剑,把握好尺度才能让微信更好地服务我们的工作和生活,绝不能成为低头一族,影响工作、生活和健康。

    四、公务员发送短信、微信十条戒律
    1、 短信/微信严禁含有涉密内容,内部信息也不能涉及;
    2、 短信/微信不要涉及政治敏感性话题,不“妄议”大政方针;
    3、 短信/微信不要与恐怖暴力有牵连;
    4、 短信/微信涉及宗教内容应十分谨慎,不与邪教有牵连;
    5、 短信/微信不造谣,不传谣;
    6、 短信/微信不要涉及单位和个人人事变动、升迁、罢免事项;
    7、 短信/微信不要透露个人和家庭隐私,包括婚姻和财务信息;
    8、 短信/微信不要谈论和透露他人隐私,不传闲话,不在背后对领导、同事和朋友品头论足;
    9、 短信/微信不涉性,不要露骨谈论色与性话题;
    10、 短信/微信上不推销商品。
    `

  12. 2020数据泄露调查报告
    https://mp.weixin.qq.com/s/agMbnkeE39LlgfcivfCexA
    https://enterprise.verizon.com/resources/reports/dbir/
    `
    # 调查结果摘要
    * 从威胁行为看,45%的数据泄露来自于黑客攻击。自身错误引发的数据泄露跃居第二,占比达到22%。
    * 进一步分析威胁行为我们可以看到,在黑客攻击中,最主要的攻击目标是WEB应用,且87%都是出于经济动机。最主流的威胁行为方式是钓鱼和勒索软件威胁,分别占比22%、27%。
    * 从威胁行为组织来看,数据泄露事件的发生70%来自于外部的威胁行为组织,例如犯罪团伙。
    * 从受害者看,72%的泄露事件涉及大企业,58%的受害者个人数据遭到了泄露,28%的泄露事件来自小企业,81%的泄露信息在数天内得到了遏制。
    `

  13. 360亿条!历史新高!国内外数据泄露事件大盘点
    https://mp.weixin.qq.com/s/xw6MFZK8F2n20A08kHgTcg
    `
    外媒报道,近日根据风险基础安全(Risk Based Security)的数据,2020年第三季度公开报告的数据泄露事件的数量有所下降,但全球另有数十亿条记录被暴露,使得今年的总数达到360亿。

    它声称,在第三季度有83亿的记录之前,2020年就已经是有记录以来最糟糕的一年了,然而,这些数据不仅包括窃取的数据,还包括基于云的错误配置,这些错误配置可能危及信息,但不会导致恶意行为者获取信息。

    大数据、互联网、5G的迅速发展,为人类带来无限发展机遇的同时却也催生了大量的信息泄露事件,在今年上半年里,“数据泄露”这样的字眼总是活跃在我们眼前。全球各地深受数据泄露事件的困扰,已造成重大损失。

    信息安全与通信保密杂志社梳理了 近期在国内外各地发生的重大数据泄露事件。这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。

    # 国内
    01 泰州警方破获一起侵犯公民个人信息案,涉及800余万条数据
    02 广西一医护人员倒卖8万条婴儿信息被追责
    03 “珍爱网”账号信息被盗卖
    04 圆通“内鬼”泄露信息
    05 装修公司花240万买业主信息

    # 国外
    01 阿里旗下电商平台Lazada 110万账户信息被黑客入侵
    02 安泰人寿用户信息泄露
    03 希腊电信巨头用户信息泄露
    04 在线书店Barnes & Noble被黑
    05 FinCEN机密文件泄露
    06 游戏硬件厂商Razer用户数据泄露
    07 SK海力士和LG电子机密资料大量外泄
    08 网站Freepik用户数据泄露
    09 美AI公司泄露医疗数据
    10 美国酒业巨头百富门被窃取超1TB数据

    # 写在最后
    据IBM中国调研发现,源自恶意网络攻击的数据泄露不仅是引发数据泄露事件最常见的根本原因,所造成的代价也最惨重。恶意数据泄露平均给调研中的受访企业带来445万美元的损失,比系统故障和人为错误等意外原因导致的数据泄露高出100多万美元。

    这些数据泄露事件带来的威胁日益严重,在过去六年的调研期间,报告中因恶意或犯罪攻击而引发的数据泄露事件的百分比已从42% 上升至51%(同比增长21%)。

    此外,调研结果还显示,人为错误和系统故障导致的数据泄露事件仍占事件总量的近一半(49%),分别给企业造成了平均350万美元和324万美元的损失。从人为和机器错误导致的数据泄露事件中可总结出改进方法,从而降低其发生的次数。比如对员工开展安全意识培训,进行技术投资,以及测试服务以尽早发现意外泄露事件端倪,从而进行有效预防或阻断。

    IBM X-Force 威胁情报指数显示,云服务器配置不当是特别值得关注的数据泄露原因之一,这一原因在2018年曾导致9.9亿条记录被曝光,占全年记录数据丢失总数的43%。

    过去14年,Ponemon Institute 一直在对导致数据泄露成本增加或减少的多项因素进行深入研究。研究表明,企业应对数据泄露事件的响应速度和效率将对总体成本产生重大影响。

    去年的调研显示,数据泄露的平均生命周期为279天,即在事件发生后企业平均需要206天才能发现,另需73天才能控制住事件发展态势。可在200天内发现并有效控制数据泄露事件的调研受访企业,其数据泄露事件的总体成本可减少120万美元。

    此外,关注于响应能力可帮助企业加快响应速度。建立完善的事件响应团队以及对事件响应计划开展全面测试是节省成本的两项重要举措。采用这两项措施的企业,其数据泄露事件的总体平均成本要比二者皆无的企业少123万美元(前者为351万美元,后者为474万美元)。

    本次调研还研究了不同行业和地区的数据泄露成本的差别,发现美国的数据泄露成本更高,平均可达819 万美元,是调研中全球受访企业平均水平的两倍多。在过去14年的调研中,美国的数据泄露成本增长了130%,其2006年的调研结果为354万美元。

    中东地区的受访企业指出,他们每次事件泄露的记录平均数量最多近4万条(全球平均值约为2.55万条)。此外,医疗保健组织已经连续第9年蝉联数据泄露损失排行榜冠军,平均成本接近650万美元,高出其他行业总体平均的60%。
    `

  14. 回顾2020年数据泄露重大事件,数据保护将何去何从?
    https://mp.weixin.qq.com/s/PsPl2XfMQOyb8j6ye1IFbQ
    `
    # 国内

    ## 银行内部人员泄露客户信息牟利
    2020年4月,浙江岱山农商银行因违规泄露客户信息,被罚款人民币30万元。另外,对泄露客户信息负有主要责任的该银行员工被禁业3年。

    2020年5月,江苏淮安警方破获一起贩卖公民个人信息案,建设银行员工以每条80-100元的价格,将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息50000多条。

    ## 医院患者个人信息被泄露
    因青岛市胶州中心医院发现新冠肺炎确诊病例,2020年4月,一份出入这家医院的名单在当地微信群里被广泛转发,涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息。

    2020年9月27日,广西南宁法院审理一起8万多条新生儿、产妇信息被倒卖的案件,被告人利用在广西妇幼保健院工作的便利,在为新生儿办理出生证时,非法下载新生儿和产妇的个人信息,总量达89904条。

    ## 多地高校数万学生隐私遭泄露
    2020年4月,河南财经政法大学、西北工业大学明德学院、重庆大学城市科技学院等高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。

    2020年6月,再次发生高校学生信息泄露事件。郑州西亚斯学院近两万名学生信息遭到泄露,包括姓名、身份证号、专业、宿舍门牌号等二十余项信息,多名学生反映收到骚扰电话。

    ## 快递行业倒卖用户信息产业链被曝光
    2020年8月,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖,导致40万条公民个人信息被泄露。案件在11月被曝光后引起轩然大波。

    紧接着有媒体连日调查发现,此现象不止圆通一家,网上存在贩卖快递用户信息的“黑产”链条,涉及申通、德邦、EMS、韵达等多家快递公司。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等。

    ## 微博5.38亿用户数据在暗网出售
    3月,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息,售价0.177比特币。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。

    # 国外

    ## 化妆品巨头雅诗兰黛云泄露4.4亿条邮箱记录
    1月底,化妆品公司雅诗兰黛将一个缺乏保护措施的数据库暴露在互联网上,其中存储了4.4亿条记录,其中包含大量的审计日志和电子邮件地址。

    ## 以色列640万选民数据遭泄露
    2月,以色列总理领导的利库德集团(Likud)开发的选举应用程序因配置错误,可能潜在地暴露并损害了近640万以色列公民的个人资料。

    ## 万豪国际再曝520万用户数据泄露
    连锁酒店万豪国际4月宣布,已受到第二次数据泄露攻击,暴露了“多达520万名客人”的个人详细信息。包括姓名、地址、出生日期、性别、电子邮件地址和电话号码,还披露了雇主名称、性别、住宿偏好和会员卡帐号。

    ## 印尼电商9100万账号信息在暗网售卖
    5月,有黑客在黑客论坛出售超过1500万Tokopedia(印尼最大电商平台)用户信息,访问该数据需支付8个网站积分(约合16元人民币)。同时,该黑客也在出售完整的9100万用户数据集,售价5000美元。

    ## 2.43亿巴西人个人信息被泄露
    巴西媒体12月爆料,包括在世和已故的在内,有超过 2.43 亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码,开发者在其中发现了重要政府数据库。

    根据2020年数据泄露大事件,数安行分析——
    * 多数事件由内部滥用或恶意泄密造成:内部泄密逐渐超过黑客攻击、撞库等外部进攻手段成为数据泄露的主要途径。然而企业或组织长期忽略了对于内部的管控和权限的追踪。
    * 传统防护面对现今的数据泄露效率低下:数据泄露事件遍布于基础设施行业和大型企业,虽然部署了安全防护,但泄露依然源源不断。传统的防护策略已经不完全适应当下的数据安全态势。
    * 数据泄露的违法成本较低:关于数据泄露的监管判例显示,目前基本以行政处罚为主,不足以震慑企业落实数据安全保护义务,企业人员的安全和法律意识比较淡薄。
    `

  15. Personal data of 533 million Facebook users leaks online
    https://www.theverge.com/2021/4/4/22366822/facebook-personal-data-533-million-leaks-online-email-phone-numbers

    https://twitter.com/UnderTheBreach/status/1378314424239460352
    All 533,000,000 Facebook records were just leaked for free.
    This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.

    5.33亿Facebook用户的电话号码在黑客论坛上泄露
    https://mp.weixin.qq.com/s/EodmVyVbtxABH2tKdS270A
    `
    黑客已在可公开访问的网络犯罪论坛上发布了估计5.33亿Facebook用户的电话号码和帐户详细信息,约占整个社交网络用户池的五分之一。

    泄漏的数据包括用户在其个人资料上发布的信息。今天泄露的信息包括Facebook ID号,个人资料名称,电子邮件地址,位置信息,性别详细信息,工作数据以及用户可能在个人资料中输入的其他任何内容。

    此外,数据库还包含所有用户的电话号码,大多数个人资料的信息并不总是公开的。存在多个未在网站上公开其电话号码的用户的电话号码。

    目前,数据以106个单独的下载包的形式提供,并且按国家/地区划分数据。
    虽然可以公开访问论坛,并且任何人都可以注册个人资料,但是这些软件包的下载链接仅对购买了论坛积分的用户可用。

    据该公司称,Facebook证实了这一泄漏,并提出评论,该泄漏发生在两年前。
    一位Facebook发言人告诉The Record说: “这是以前在2019年报道的旧数据。” “我们在2019年8月发现并修复了此问题。”
    当时,攻击者滥用了Facebook联系人导入器功能中的漏洞,向Facebook平台提供了电话号码列表,并获得了与现有配置文件的匹配项,从而使攻击者可以将随机电话号码链接到特定用户。
    攻击者在2019年收集了数据,直到Facebook检测到自动化过程,并切断了他们的访问权限。
    `

  16. 领英5亿数据在暗网出售
    https://www.4hou.com/posts/6GMN
    `
    在Facebook 5亿数据泄露事件发生后,近日,在某知名黑客论坛有黑客发帖出售5亿领英用户数据,并提供了200万数据记录作为证明。用户只要支付价值2美元的论坛积分就可以查看泄露的数据样本,黑客可能会以4位数字的比特币拍卖更大的5亿领英用户数据库。

    4个泄露的文件中包含有领英用户的信息,包括全名、邮件地址、手机号码、工作地址等信息。发帖者称数据是从领英获取的,但研究人员经过调查还不明确攻击者出售的是最新的领英用户数据还是之前领英或从其他公司处泄露的用户数据。研究人员联系了领英以确定数据的真实性,但目前领英还未对该事件进行回复。

    从泄露的文件样本来看,其中包含的信息有:
    · 领英ID;
    · 姓名;
    · 邮件地址;
    · 手机号码;
    · 性别;
    · 与LinkedIn介绍相关的链接;
    · 与其他社交媒体介绍相关的链接;
    · 专业职称及其他与工作有关的资料。
    `

    领域用户可以通过下面的网站输入邮件地址来检查是否受到该数据泄露事件的影响(Check if your data has been leaked)
    https://cybernews.com/personal-data-leak-check/

    Facebook data leak – 533M Facebook users’ personal data leaked online
    https://cybernews.com/news/leaker-says-they-are-offering-private-details-of-500-million-facebook-users/

    Scraped data of 500 million LinkedIn users being sold online, 2 million records leaked as proof
    https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/

  17. 盘点分析 | 2021第一季度国内外重大数据泄漏事件
    https://www.freebuf.com/articles/paper/269321.html
    `
    # 国内
    01 超10万条学生信息被泄露
    02 全国首例适用民法典的个人信息保护案宣判
    03 疑似超2亿国内已泄漏用户信息在国外暗网论坛兜售
    04 国内某银行疑似发生数据泄露 高达1679万条
    05 西山居旗下逍遥网遭攻击致数据泄露
    06 百度网盘海外版上传下载不限速,并改名为TeraBox

    # 国外
    01 Facebook超5亿用户个人数据遭到泄露
    02 特斯拉车内安装摄像头
    03 印度800万核酸检测结果泄露:网站漏洞太低级
    04 六所美国顶尖高校数据遭泄露,引发安全性担忧
    05 以色列最严重数据泄露事件:650万选民信息全部曝光
    06 巴西发生重大数据泄露事件:几乎所有巴西人受波及

    # 数据安全发展趋势
    以移动互联网、物联网为代表的信息网络日益普及,云计算、大数据等信息技术日趋成熟,复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显,数据安全风险随之增加,数据安全问题不断涌现。

    1、政府大数据——从“数据资产管理”走向“大监管大服务”
    从趋势上看,未来政府的大数据应用将逐步向“大监管大服务”方向迈进,用以实现更精准高效的监管和更便捷深入的服务。

    2、电信大数据——从“小圈子”走向“大生态”

    3、健康医疗大数据——从“大”数据走向“精准”数据

    4、工业大数据——围绕“小场景”从“项目”走向“产品”

    5、营销大数据——从“流量营销”走向“精细运营”

    6、金融大数据——从“强管控”走向“创新服务”

    7、大数据安全——从“技术安全”走向“综合治理”
    未来大数据安全将逐步从重安全技术转变为重治理,其重点落在核心数据资产的梳理和防护,以及围绕大数据治理所开展的体制机制建设。

    数字化转型的趋势已经不可阻挡,这意味着企业将无可避免地走上零信任之路。现在的问题不再是上不上零信任,而是如何避免误区和陷阱,希望安全星球能够帮助企业安全主管们少走弯路。
    `

发表评论

邮箱地址不会被公开。 必填项已用*标注