近日,美国社交媒体脸书(Facebook)超 5 亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。
据新闻网站商业内幕(Business Insider)报道,一个低级别的黑客论坛 3 日曝光了 5.33 亿脸书用户的个人数据,这些用户涉及 106 个国家和地区,泄露的信息包括脸书 ID、用户全名、位置、生日、个人简介以及电子邮件地址。
令大众吃惊的是,公布的这些个人隐私信息数据涉及来自 106 个国家和地区的 5.33 亿 Facebook 用户,其中包括 3200 万美国用户,1100 万英国用户,600 万印度用户。
俄罗斯卫星通信社 4 日报道,遭泄露的 5.33 亿脸书用户数据中包含一些名人的信息,扎克伯格的电话号码也在其中。有消息称,遭泄露的电话号码与扎克伯格的真实号码是一致的。
网络犯罪情报公司 Hudson Rock 的首席技术官加尔首先发现了脸书用户数据泄露,通过比对他所认识的人的信息,证实至少有一部分内容是真实的。
事发后,脸书公司在 4 月 3 日的一份声明中称,上述数据来自 2019 年发生的信息泄露事件,当年 8 月已经进行修复。
此前,Facebook 曾将 8000 万用户数据与剑桥分析公司(Cambridge Analytica)进行分享,而后者则将这些数据用于 2016 年美国大选政治广告,这严重违反了 Facebook 的服务条款。扎克伯格承认对此事负有责任并道歉。随后,美国联邦贸易委员会对此事展开调查,并对脸书开出 50 亿美元罚单。
国际上也有应对此事的相关法律条令和组织,例如「GDPR」是 (The European) ,意思为「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。
GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR 虽然保护范围只在于欧洲生活的人民,但因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。
据公开信息纰漏,如果 2018 年脸书的 “剑桥分析事件”发生在了 GDPR 的管辖范围之内,则其可能被处罚 1700 万英镑或全球营业额 4% 的巨额罚款。
过去,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。
我们通过公开资料,对关于 21 世纪以来的典型的数据泄漏事件整理,得知主打的数据安全泄漏主要发生在于以下几家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系统、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga 等等
以下列举几件具有代表性的事件:
数据泄漏公司:Adobe;日期:2013 年 10 月和 2019 年 10 月;影响:1.53 亿用户记录
在 2013 年 10 月上旬,根据安全博主 Brian Krebs 的披露,Adobe 最初报告说,黑客窃取了将近 300 万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。但根据后来的调查表明,已经有超过 1.5 亿用户密码被泄露,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。
2015 年 8 月的一项协议要求 Adobe 支付 110 万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016 年 11 月支付给客户的金额为 100 万美元。
2019 年 10 月 Adobe 再次出现数据泄露事故超过 700 万名用户受影响,所幸这次泄露的数据不含账号密码和信用卡数据等。
数据泄漏公司:Adult Friend Finder;日期:2016 年 10 月;影响:4.122 亿个帐户
AdultFriendFinder 所属公司被黑客入侵,泄露 4.12 亿用户数据,这将是 2016 年最大的一次数据泄露事件,也是 20 年来最大的一次数据泄露事件。
因为公司在安全方面的欠缺,导致几乎所有的账户密码都泄露了,甚至连已经删除的账户也被黑客翻了出来。在 4.12 亿数据中,有 3.39 亿数据来源于 AdultFriendFinder 网站,有超过 1500 万数据是已经被删除的用户数据。
仔细分析数据库之后得知,6200 万数据来源于 Cams.com,700 万来源于 Penthouse.com,其余的数据则来源其他 FriendFinder 网站。
数据泄漏公司:eBay;日期:2014 年;影响:1.45 亿用户
eBay 曾与 2014 年初发生大规模用户数据泄露事故,约 1.45 亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息,但 eBay 表示用户密码经过加密处理,黑客并不容易获得,而用户的信用卡数据并未泄露。
eBay 的数据泄露规模甚至超过了美国零售商 Target 的数据泄露事故(4000 万信用卡遭泄露,1.1 亿用户数据遭泄露),不过 McAfee 的副总裁 Raj Samani 认为 eBay 泄露的数据中未包含信用卡等支付数据,因此情况并没有 Target 的数据泄露严重。
数据泄漏公司:LinkedIn;日期:2012 年(和 2016 年);影响:1.65 亿用户帐户
LinkedIn 是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn 极具吸引力。2012 年 1 月,一位名叫 “Andrev”的黑客通过 Pastebin 发布了一则消息,声称其攻击了 LinkedIn 服务器,并窃取了约 1.59 亿的用户信息。为证实其行为,他发布了一个包含 100 个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业 CEO。
然而,直到 2016 年该事件的影响范围才完全揭露。出售 MySpace 数据的黑客仅用 5 个比特币(当时约为 2,000 美元)就提供 LinkedIn 上的用户电子邮件地址和密码。LinkedIn 承认已意识到该漏洞,并表示已重设了受影响帐户的密码。
数据泄漏公司:MySpace;日期:2013 年;影响:3.6 亿用户帐户
早在 2007 年底,MySpace 的 Alexa 全球排名已经稳定在第六名。曾有数据显示,每个 MySpace 的注册用户的平均浏览页面数高达 30 以上,用户粘性极强。而这次事件的主导者就是上次售卖超过 1.64 亿 Linkedln 用户数据的同一个黑客,而现在该黑客宣称已经拿到了 3 亿 6000 万 MySpace 用户的电子邮件地址以及密码。
因为有 3.6 亿个 MySpace 用户的帐户泄漏,在 LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场 The Real Deal 上出售,要价为 6 比特币(当时约为 3,000 美元)。
据该公司称,丢失的数据包括在 2013 年 6 月 11 日之前创建的部分账户电子邮件、密码和用户名。根据 HaveIBeenPwned 的 Troy Hunt 的介绍,密码存储为 SHA-1 哈希,密码的前 10 个字符转换为小写。
数据泄漏公司:雅虎;日期:2013-14 年;影响:30 亿用户帐户
雅虎于 2016 年 9 月宣布,自己是 2014 年里数据泄露事件最大的受害者。攻击者窃取了 5 亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。
在 2016 年 12 月,雅虎披露了另一位攻击者自 2013 年以来的数据窃取行为,该攻击行为泄露了 10 亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于 2017 年 10 月修订了这一估计数,总计包含 30 亿用户。
最初的数据泄露公布的时机不好,因为雅虎正在被 Verizon 收购,后者最终以 44.8 亿美元的价格收购了 Yahoo 的核心互联网业务。此次泄露事件使公司价值缩水了约 3.5 亿美元。
当然全球数据泄漏事件不断频发的今日,用户数据隐私保护就变得尤为重要性。GDPR 是 2018 年全球跨国公司数据安全领域所关注的焦点。这一年,受 GDPR 启发,欧盟之外的其他法域国家和地区也推出了综合性的个人数据安全保护的法规体系。比如:
巴西。2018 年 8 月 14 日,巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,简称 “LGPD”)。LGPD 将于 18 个月的过渡期后,在 2020 年 2 月 15 日正式生效。实际执行中,2020 年 8 月 26 日,博索纳罗总统批准了巴西数据保护局 (ANPD)的监管结构和整体框架。ANPD 将负责监督个人数据保护措施,制定相关指导方针,调查和执行 LGPD,并与其他国家和地区数据保护当局开展合作。
就在今年年初,巴西数据保护局(下称 ANPD)向外界公布了其监管工作战略规划及 2021 年至 2022 年工作计划,其中有提及到 ANPD 机构的发展愿景即:打造巴西国内及全世界数据保护机构的样板。
美国加州。2018 年 6 月 28 日,美国加利福尼亚州(“加州”)颁布了《2018 年加州消费者隐私法案》(“CCPA”),2020 年 1 月 1 日正式生效。CCPA 旨在加强消费者隐私权和数据安全保护,CCPA 被认为是美国国内最严格的隐私立法。
随后 2020 年 11 月 3 日,美国加利福尼亚州选民投票通过第 24 号提案,即《加州隐私权法案》(CPRA)。CPRA 在去年刚刚生效的《加州消费者隐私法》(CCPA)的基础上,将进一步赋予加州居民一些新的权利,比如更正个人信息以及限制敏感个人信息的使用和披露的权利。
新加坡。新加坡的个人数据保护立法已有 9 年多历史,其《个人数据保护法令》于 2012 年 10 月由议会通过,该法主体部分于 2014 年 7 月生效。随后该国又制定九部配套的附属立法,其中重要的有 2014 年《个人数据保护规例》等。
2018 年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,其中主要有 2019 年 1 月 14 日颁布的重要案例、2018 年 8 月 31 日颁布的《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和 2020 年 5 月 14 日《个人数据保护法(修订)草案》的公开征求意见稿等。
而国内方面,今年 3 月 19 日,国家互联网信息办公室副主任杨小伟 19 日在新闻发布会上说,目前加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。正在加紧制定相关法规标准,建立数据资源的确权、开放、流通以及交易的相关制度,从而在运行机制上进一步完善数据产权保护制度,为我们的数据安全和个人隐私、个人信息保护提供制度保障。