下载掌阅APP,畅读海量书库
立即打开
随着数字经济的蓬勃发展,新的商业模式越来越依赖个人信息。正因为个人信息的用途愈加广泛,产生的价值也愈加巨大,许多违规行为也就由此产生。网络与居民生活的深度融合使我们能够借助互联网实现越来越多的行为,我们运用个人信息注册账号获取服务,但服务提供机构如何使用这些个人信息,作为信息主体的我们却并不完全知情。我们真的能做到“我的信息我做主”吗?
近年来,用户个人信息被泄露甚至被贩卖的事件屡见不鲜,仅2019年前三季度全球披露的数据泄露事件就达5 183起,比2018年(3 886起)上涨33.3%。下面我们来看看2019年国内外发生的17起大规模的数据泄露事件。
2019年2月,荷兰GDI基金会的安全研究员发现,中国深网视界科技有限公司泄露了超过250万人的人脸数据。泄露的原因是该公司的MongoDB数据库没有访问限制,而是直接开放在互联网上。这起事件泄露了68万条数据,数据类型包括身份证信息、人脸识别图像和图像拍摄地点等。
2019年4月,哔哩哔哩公司(B站)的后台源码被上传到GitHub上,出现了一个叫作“openbilibili/go-common”的代码仓库,在短短6个小时就获得了6 000多个“Star”和“Fork”。这个代码仓库内包含了很多密钥、密码等敏感信息。
2019年4月,根据ZDNet的报道,有研究人员发现,国内多家企业在2019年前3个月出现数起简历信息泄露事件,其中涉及5.9亿份简历。而绝大部分简历之所以被泄露,主要原因是ElasticSearch和MongoDB服务器的安全措施不到位,访问者不需要密码就能访问并获得数据。
2019年7月,vpnMentor研究人员发现,中国智能家居公司欧瑞博的产品数据库被暴露在互联网上,且无任何密码保护。该数据库有超过20亿条日志,包括用户名、电子邮件地址、密码、精确位置等信息。从该起数据泄露事件来看,20亿条级别的记录是国内外2019年度报道的数据泄露事件中数量最大的。
2019年9月,据Security Affairs报道,德国有研究人员发现,将近600个未受保护的服务器暴露在互联网上,其中就包括中国的14个未受保护的PACS 服务器系统。该起泄露事件涉及中国患者近28万条数据记录,这些数据记录十分详细,大多包括姓名、出生日期、主治医师、检查日期、检查范围等个人信息。
2019年2月,Security Discovery 安全研究人员发现,一个不受保护的服务器公开了美国电子邮件验证公司Verifications.io 4个在线MongoDB数据库,其中包含150 GB的详细营销数据和8亿多个不同的电子邮箱地址。这些营销数据包含了消费者的个人数据,还有类似商业情报的数据,比如不同公司的员工信息和收入信息。
2019年2月,法国安全研究员发现,印度天然气能源公司Indane泄露了客户的信息,预计泄露的总人数可能超过670万。该起事件发生的原因是这家能源公司存在访问者可以“绕过登录页面,直接获得访问经销商数据库的权限”的漏洞,暴露了数以百万计的 Aadhaar(印度国家生物识别项目)生物识别数据库信息,这些信息包括客户的姓名、家庭地址及隐藏在每条记录链接中的身份号码(Aadhaar ID)。
2019年2月,美国金融公司Evite报告称,有未经授权的黑客获得了一个不活跃的数据存储文件。这个文件包含了Evite 2013年及更早时期的用户信息。根据Evite发布的安全通知,暴露的信息可能会包含用户的姓名、密码、用户名和电子邮件地址等。
2019年2月28日,网络安全公司Gemini在暗网上发现了美国医疗机构Medical Collection Agency长期泄露的累计2 000万美元的客户逾期付款记录,其中就包括这些客户的银行账户和社会安全号码等敏感信息。据Gemini分析,这些信息可能是黑客在医疗信息收集机构的在线门户网站上窃取的。
2019年3月,美国联邦应急管理局泄露了230万条敏感信息,该起事件中泄露的数据并非都是黑客所为。根据监察长办公室发布的消息,美国联邦应急管理局于2019年3月曾发布在几次自然灾害中的幸存者的个人身份敏感信息。监察长办公室表示,这些信息是不允许被公布的,美国联邦应急管理局的行为违反了1974年颁布的《隐私法案》。
2019年3月22日和23日,一名黑客潜入了美国第一资本投资国际集团Capital One。美国司法部称,这名黑客是通过一个配置错误的Web应用程序防火墙来获取信息的。这起入侵事件导致1.06亿条信息被泄露,其中包含客户的姓名、出生日期、家庭住址、电话号码、邮政编码和电子邮件地址等个人基本信息,在某些情况下,甚至客户的信用信息也会暴露。
2019年5月,安全研究员鲍勃·迪亚琴科(Bob Diachenko)在使用搜索引擎Shodan时发现,他可以在亚马逊AWS上公开访问印度某公司的MongoDB数据库。这个大型数据库包含约2.75亿条印度公民详细的个人信息,包括姓名、性别、出生日期、电子邮件、手机号码、教育程度、所学专业、工资等。
2019年5月,根据日本媒体报道,优衣库的母公司迅销集团发表了一份声明。该声明称,“2019年5月10日,除客户以外的第三方未经授权不可登录公司运营的在线商店网站”。由于优衣库的在线商店网站存在漏洞,使得黑客可以访问在线商店网站上的客户数据。该起事件影响了超过46万名客户,泄露的个人信息包括客户的姓名、家庭住址及联系方式。
2019年9月,网络安全公司vpnMentor发现,厄瓜多尔的Novaestrat公司服务器发生数据泄露事件。这起事件涉及超过2 000万人的数据信息。值得注意的是,厄瓜多尔总人口只有1 700万,数据泄露范围还包括已故人口,内容涉及公民的姓名、出生日期、身份证件号码、家庭住址、个人税号和雇佣信息等。除此之外,公民的个人财务信息也被泄露,包括银行账户信息、信用类型、个人收支情况等。
2019年9月,根据马印航空的相关证实,有几百万条乘客的个人信息被泄露,其中包括护照信息、电话号码和住址等,并且这些信息还被上传到数据交换论坛。根据马印航空于2019年9月23日发表的声明,乘客的个人信息被泄露是由两名供职于为马印航空提供电商服务的GoQuo公司前职员不恰当地获取并盗窃了乘客的个人数据造成的。
2019年10月,研究人员发现,暴露在外的美国数据公司OxyData.io和人员数据实验室(People Data Labs)的Elasticsearch服务器,里面包含超过4TB的数据,存储了近12亿人的个人和社交信息。这个暴露在外的服务器所泄露的数据包括姓名、电话号码、电子邮件地址和脸书的账户信息等。此次数据泄露涉及12亿人的个人信息,为2019年度报道的国外最大的数据泄露事件。
2019年12月,vpnMentor研究人员发现,美国的短信服务商TrueDialog管理的一个数据库被泄露。这个数据库包含了数年来企业向潜在客户发送的几千万条SMS短信,其中包括客户的用户名、电话号码、短信内容和密码。这个数据库包含了超过10亿条的记录,该起事件涉及1亿多名美国公民。
如图2-1所示,从上述事件泄露的数据类型来看,首先泄露最多的就是个人基本信息(占比53%),比如姓名、家庭住址、出生日期、身份证件号码及电话号码;其次是个人的账号密码信息;最后是敏感信息,包括生物识别信息、收入信息和医疗信息,其中,生物识别信息是指人脸识别、指纹和虹膜等信息。
图2-1 数据泄露类型分布图
如图2-2所示,信息泄露主要是由服务器在互联网上暴露与服务器配置问题所引起的。服务器存在漏洞是造成数据泄露的重要原因,并由此导致黑客入侵窃取数据。企业应当重视服务器的安全防护能力,并采取一定的安全措施,比如定期进行漏洞扫描、及时更新软件补丁等。
图2-2 数据泄露原因分布图
从我国的《中华人民共和国网络安全法》(以下简称《网络安全法》)和欧盟的《通用数据保护条例》(GDPR)对数据泄露的定义与范畴来看,前文列举的数据泄露事件可以被定义为个人信息数据的大规模泄露。其中,像人脸数据、账号密码、SMS短信、财务信息和医疗诊断记录这类个人敏感信息一旦流入非法市场,出现定向电信诈骗、定向网络攻击等违法犯罪行为,其后果将不堪设想。
从上述信息泄露事件中我们不难看出,在如今的互联网时代,我们的个人信息早已在不经意间就被存储在各大企业、机构的数据库当中。个人信息并非完全由我们自己掌控,甚至还可能会出现因举证不足而无法上诉的情况。“互联网+”的全新经济模式和商业环境在不断打破传统观念下的确定性,越来越多的不确定因素,特别是个人信息的权属问题开始进入人们的视线。如何合理分配个人信息的权利与义务、推动个人信息确权迫在眉睫。