此条目介绍的是翻译为Data breach的名词。关于对应Data exfiltration的名词,请见“
数据外泄 ”。
数据泄露 指的是个人或组织的私有、机密信息被有意或无意地发布到危险环境中。这类事件通常与黑客 攻击、有组织犯罪 、政治运动 、国际竞争有关;也有因为员工疏忽、违规使用或处置存储介质导致的数据泄露。小到如员工将打印的少量内部使用的材料遗失在公共交通 工具上的意外,严重如算机黑客组织攻破政府防火墙,窃取目标军事、政治机密的事故[ 1] 均时有发生。常见的被泄露数据一般包括金融信息 (如信用卡账户、银行信息)、个人健康数据 、个人识别信息 、商业机密与知识产权(及其细节)。[ 2]
对一个组织而言,发生数据泄露可能导致严重的直接或间接损失。发生数据泄露后,组织的声誉将受到严重影响,被泄露数据也可能被用于犯罪活动,而该组织也需要付出时间和经济成本进行事故调查与善后处理。
根据非盈利消费者权益组织Privacy Rights Clearinghouse的报告,在美国,仅2005年一月到2008年四月期间,总计227,052,199条包含敏感信息的数据能够确定遭到泄露。鉴于严峻的数据安全角势,许多国家的司法管辖 实体(如各国司法部、立法机关)通过了要求公司通告消费者并采取措施减轻消费者损失的数据泄露处理相关法律法规。
一起数据泄露事件可能包含多起事故或疏忽:数据存储设备的丢失或失窃(如未加密磁盘、笔记本电脑的丢失)、敏感数据被上传至互联网、设备未使用合适的信息安全保护措施即连接至互联网、使用个人或未加密的组织邮箱传输不适宜公开的信息或采购了植入恶意程序或硬件的设备。ISO/IEC 27040标准将数据泄露定义为一种造成意外、非法数据损毁、丢失、修改,未经授权的披露或访问受保护的数据传输、存储等数据处理过程的安全问题 。[ 3]
某一环境是否是可信任的环境并不是一成不变的:如果在一名处于可信环境的员工离职后仍能访问该可信环境中的数据,那么该员工便可能成为数据泄露事件的突破口,而该“可信环境”也就不再“可信”。在分布式系统中,当信任网络 中的某一节点遭入侵,上述情况也有可能发生。对此,在保护数据时使用数据分级策略可以有效降低数据泄露的风险。数据分级后,数据管理者可以根据数据的重要性调整安全策略来保护更加重要的数据。
大多数公开报道的事件中,个人信息(如身份证号码 )是最常遭到泄露的数据;由于公众缺乏对泄露公司商业机密、敏感的合作信息、合同细节或是政府数据可能造成何种损失的认知,此类数据泄露事件一般并不会见诸报端。更何况公开这样的严重事故本身可能会造成比丢失数据更严重的损害。[ 4]
在引发数据泄露事件的各种原因中,最常见的组织内员工工作疏忽或蓄意破坏。波耐蒙研究所(Ponemon Institute)报告称“大约37%的数据泄露由人为因素引发” Privacy Rights Clearinghouse(PRC)报告显示,从2005年一月到2018年12月供发生泄露事件9000多起,主要原因为组织内部攻击、员工丢失或遭窃便携设备、组织中计算机感染病毒、向错误收件人发送电子邮件等。这充分证明人为因素是导致数据泄露的重要原因。 [ 5]
能够引发数据泄露的外部原因则包括个人或团体网络犯罪者(即黑客与黑客组织)、政府特工等。
尽管数据泄露可能导致身份盗窃等严重后果,大多数可能导致数据泄露的事件并没有对相关方产生长远影响:大多数安全事件在数据遭非法访问前就被遏止,有些硬件盗窃事件的嫌疑人只对偷窃的硬件感兴趣或无法破译硬件上的安全措施。尽管如此,当此类事件发生后,大多数责任方会向受影响的客户(或是受害者)提供诸如更换信用卡的额外安全服务。
然而,一起成功发生的数据泄露事件仍能造成严重损害:2013年目标百货 数据泄露事件披露后,该公司当年第四季度的盈利大约缩水40%,次年报告中,该公司声称数据泄露事件总共对其造成2.9亿美元的经济损失。[ 6] [ 7] 互联网犯罪平均每年对能源和公共事业公司造成1280万美元的损失[ 8] 。在医疗领域,仅2014、15两年,数据泄露问题就导致了62亿美元的损失;[ 9] 仅波兰一国,超过2500万人的医保数据遭窃,600万人的身份信息泄露,其居民为此增加支出达560亿美元[ 10] 。
互联网领域的数据泄露事件造成的损失则更为严重:2016年雅虎爆出数据泄露事件后,Verizon公司随即要求重新就收购雅虎进行谈判,最终,这起事件导致雅虎的收购价格降低了3.2亿美元。[ 11]
每起数据泄露造成的平均损失(德国)[ 12]
随着数字时代的发展,数据量指数级增长,数据泄露也越来越频繁地发生。防止敏感数据泄露已经成为许多企业在安全领域的重点工作。[ 13] 为保障数据、财务安全,各方在防止数据泄露方面投入巨大:文献指出,从2017年到2021年,全球已在互联网安全领域花费超过1万亿美元。
自2005年以来,世界上发生过的严重数据泄露事故有:
2月,ChoicePoint泄露163,000条客户记录
11月,波音 泄露161,000条雇员的信息
12月24日,Ameriprise Financial有笔记本电脑被盗,损失260,000条客户记录
2月,安永泄露38,000条雇员信息。
5月,美国退伍军人事务部 ,泄露28,600,000条退役、预备役和现役军人信息[ 14]
5月,安永 泄露Hotels.com网站234,000条客户信息。
8月4日,AOL在其网站上走泄了该公司约65.8万匿名用户在3个月期间所进行的2000万份左右的搜索信息,相当于同期搜索量的0.3%以上。[ 15]
12月,波音 泄露382,000条雇员的信息(同年四月亦泄露3600名雇员的信息)[ 16]
埃森哲 泄露俄亥俄州和康涅狄格州数据。
3月29日,TJ Maxx泄露4500万银行账号。[ 17]
8月,CGI集团 泄露283,000名纽约 退休雇员的个人信息。
9月,The Gap 泄露了800,000份求职申请。
11月20日,英国税务海关总署泄露超过2600万条儿童福利相关数据。
12月,Memorial Blood Center泄露268,000名献血者 数据。
12月,田纳西州戴维森县选举委员会遭到闯入,投票人名册被盗,泄露337,000名投票人的姓名、地址、SSN[ 18]
12月25日,D. A. Davidson & Co. 泄露192,000名客户的姓名、账户、社会安全号码(SSN) 、地址和生日[ 19]
1月,通用电气金融集团确认存储于铁山公司的一卷存有650,000名客户、150,000条SSN和信用卡信息的磁带丢失,杰西潘尼 零售公司在受影响的230个零售商之列。[ 20]
1月,新泽西州公司Horizon Blue Cross and Blue Shield泄露其300,000名会员的信息。
2月,Lifeblood泄露 321,000名献血 者个人信息。
8月24日,美国国家金融服务公司 员工小雷内·雷波洛(Rene L.Rebollo Jr.)被发现窃取并销售了250万客户包括SSN在内的个人信息。[ 21]
11月18日,英国国家党 成员列表泄露[ 22]
1月,Heartland Payment Systems (HPS)宣布其处理系统遭到黑客入侵,估计有650家金融服务公司的1亿张信用卡信息遭窃。[ 23]
12月, RockYou! 的密码数据库遭攻破,3200万用户名及其明文 储存的密码被泄露
8月, 连线杂志 资深编辑马特·霍南(Mat Honan)撰文称“黑客在一小时内摧毁了我的全部数字生活”。攻击者获取了他的苹果、推特、Gmail账户密码,控制了他的推特并抹除了他所有电子设备上的所有消息、文件,连他为自己18个月大的女儿拍的照片也没有放过。[ 27] 这一起攻击事件是由于攻击者对亚马逊的技术支持人员发动社会工程学 攻击获取到他苹果账户密码恢复系统用到的信息导致的。[ 28] 根据他的经历,马特就“为什么密码无法保护用户安全”撰文。[ 29]
10月,美联邦执法部门带证据联系南卡罗来纳州税务局,称有三位公民的身份识别信息失窃。[ 30] 随后爆出实际上共约有360万SSN与38.7万信用卡信息遭窃。[ 31]
10月, Adobe 公布其数据库遭到入侵,约1.3亿用户记录遭窃[ 32] 。
11-12月,目标百货 宣布该公司7000万信用/储蓄卡账户信息泄露。[ 33]
爱德华·斯诺登 在2013年公布了一系列美国国家安全局及其驻其他国家的分支机构的机密档案。
2月,15岁的英国黑客凯恩·甘博(Kane Gamble)公布了超过2万名FBI雇员包括姓名、职务、电话号码、邮箱在内的个人详细信息[ 43] [ 44] 。法院判决称凯恩涉嫌“有政治目的的网络恐怖主义行动”。[ 45]
3月,菲律宾选举委员会网站被黑客组织“菲律宾匿名者 ”入侵并恶意修改,随后黑客组织LulzSec Pilipinas 将整个委员会数据库上传至Facebook。[ 46]
9月,雅虎报告称5亿2014年以前的用户账户被“政府支持的黑客组织”窃取。不久后,2017年10月雅虎被爆出其全部30亿账户被泄露。[ 47] [ 48]
7月16日,保加利亚国税局发生数据泄露事件。[ 60]
7月17日,提供账单和保险数据处理的医疗保健供应商Medico Inc.泄露了近14,000个文档。[ 61]
7月25日,美国民主党参议院竞选委员会在配置错误的Amazon S3存储桶中公开了大约620万个电子邮件地址。[ 62]
9月,市场分析公司Novestrat的服务器由于漏洞遭到利用泄露了厄瓜多尔全国共计1700万公民及已故者的全名,日期,出生地,教育水平,电话号码和国民身份证号码。[ 63]
3月12日,微软Exchange邮件服务器漏洞导致约3000个英国邮件服务器有数据泄露风险。[ 65] [ 66]
6月,黑客公开售卖据称来自超星 学习通app 的1.7亿条高校 学生数据,其中包含姓名、手机号、性别、学校、学号和邮箱等个人信息[ 67] 。
6月30日上午8时,一位帐号名叫“ChinaDan”的用户在网上以10比特币 (时价约合20万美元)的价格出售上海国家警察数据库 (SHGA.gov.cn)的泄露,据称该数据包括十亿多的中国居民信息和刑事案件记录。[ 68]
CloudFlare. 什么是数据泄露 . [2021-05-07 ] . (原始内容存档 于2021-10-06) (中文) .
Meisner, Marta. Financial Consequences of Cyber Attacks Leading to Data Breaches in Healthcare Sector. Copernican Journal of Finance & Accounting. 2018-03-24, 6 (3): 63. ISSN 2300-3065 . doi:10.12775/CJFA.2017.017 .
Cheng, Long; Liu, Fang; Yao, Dangfei. Enterprise data breach: causes, challenges, prevention, and future directions. WIREs Data Min. Knowl. Discov. 2017, 7 (5): e1211. doi:10.1002/widm.1211 .