大数据时代,数据已成为推动经济社会创新发展的关键生产要素,数据的开放与开发,推动了跨组织、跨行业、跨地域的协助与创新,催生出了各类全新的产业形态和商业模式,全面激活了人类的创造力和生产力。
然而,大数据在为各种组织创造价值的同时,也面临着严峻的安全风险。一方面,数据经济发展特性使得数据在不同主体间的流通和加工成为不可避免的趋势,由此也打破了数据安全管理边界,弱化了管理主体的风险控制能力;另一方面,随着数据资源商业价值的凸显,针对数据进行的攻击、窃取、滥用、劫持等活动逐渐泛滥,并呈现出产业化、高科技化和跨国、跨行业等特性,对国家的数据生态治理水平和组织的数据安全管理能力提出了全新挑战。
经过多年的积累,运营商的业务系统里包含了大量的客户信息和生产运营数据,这里面不仅涉及个人隐私,还包含诸多行业及国家政策、商业机密等。运营商的业务系统和终端环境比较复杂,上下游供应链伙伴繁多,数据的交互和流动也相当频繁。更重要的是,运营商作为网络和通信基础设施的提供者,扮演着连接者的角色,如果发生数据泄露事件,则波及面与影响程度都将会很深远。
新浪科技讯于2020年1月3日上午发布消息称:“日前,中国裁判文书网公布了针对陈某武、陈某华、姜某乾等侵犯公民个人信息罪的二审刑事裁定书”。
经法院二审审理查明:2013年至2016年9月27日,被告人陈某华从某信息服务有限公司(为国内某电信运营商股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息提供给陈某武,被告人陈某武以人民币0.01元/条至0.2元/条不等的价格在网络上出售上述信息,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。
据外媒报道,2020年5月,研究人员发现了泰国某移动运营商子公司控制的一个ElasticSearch数据库可公开访问,数据库包含了大约83亿条记录,容量约为4.7TB,每24小时增加约2亿条记录。
此移动运营商的用户约有4000万个。可公开访问的数据库由其子公司控制,包括DNS查询日志和NetFlow日志,这些数据可用于绘制一个用户的网络活动图。
医疗信息化技术的进步在为医疗事业提供广阔发展空间的同时,患者隐私泄露、数据丢失、业务中断乃至医疗安全事件频发等安全问题也随之涌现,已严重威胁到医院信息化系统安全及正常业务的开展。下面的案例是医疗卫生系统被入侵,最终导致7亿条公民信息泄露的事件。
2017年9月,据《法制日报》报道,王某于2016年2月入侵某部委的医疗服务信息系统,将该系统数据库内部分公民的个人信息导出,并进行贩卖;库某于2016年9月侵入某省扶贫网站,窃取了该系统内数个高级管理员的账号和密码,并下载系统内大量公民的个人信息数据进行贩卖。随后,库某将其中一个账号和密码转卖给陈某,陈某在下载了大量的公民个人信息之后,又将该数据及账号和密码贩卖给了台湾等地的诈骗团伙。
高校教育是国家发展科学研究、培养人才的重要手段,随着数字化、信息化建设的不断发展,教学和科研质量得到了有效提升,但因此而引入的各类信息系统中存储的敏感数据也越来越多,这也预示着数据安全的风险越来越大。
近年来,随着高校师生个人和科研信息价值的不断疯涨,信息泄露风波频繁上演,学生信息被企业冒用、学生“被入职”等事件层出不穷。此前,学生徐某因信息泄露导致的悲剧,以及此类信息泄露事件造成的恶劣影响,不断提醒着高校在进行信息化建设的同时应做好数据安全防护。
2017年9月,安徽省淮阳市网络与信息安全信息通报中心(市公安局网安支队)接到国家网络与信息安全信息通报中心的通报:某职业技术学院系统存在高危系统漏洞,其中存储的4000余名学生身份信息已被泄露。
2020年4月,河南、陕西、重庆等多个省份多所高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,该事件很有可能是学生信息被企业冒用,以达到偷税的目的。
金融行业一直走在信息化道路的第一线,各项业务与信息系统结合颇深,同时又较早实现了数据集中化管理,数据交互、调用类场景操作频繁。业务的多样化、服务的开放化等使得应用越来越复杂,这也导致出现技术脆弱性或业务安全隐患的概率增大。
2020年4月,据媒体报道,浙江某地农商银行、浙江某商业银行有内部人员违规泄露客户信息。其中,浙江某地农商银行被中国银行保险监督管理委员会罚款30万元人民币,泄露信息的内部员工被禁业3年。
2020年4月,裁判文书网公开了两则银行职员泄露客户隐私信息的犯罪案件判决书。其中,原北京某银行支行员工吴某某售卖公民个人征信信息830余条,被判侵犯公民个人信息罪,判处有期徒刑一年二个月,缓刑一年二个月,并处罚金人民币4000元。原某大型银行股份有限公司支行行长沈某某,将该行受理的贷款客户财产信息共计127条提供给他人用于招揽业务,被判侵犯公民个人信息罪,判处有期徒刑3年,缓刑3年,并处罚金人民币6000元。
随着信息技术的快速发展,越来越多的政府相关信息同步到了网络中,各部门之间信息共享、简化业务办理流程已成为大势所趋。
从信息收集、整合、提取、挖掘到最后信息归档,整个过程需要一套安全完善的信息自动化程序。面对如此大规模的数据处理量,政务系统的运行和维护变得越来越困难,这就要求处理电子政务的程序不仅要有快速处理数据的能力,还要有保护数据不被泄露和篡改的能力。
然而,在大数据时代,如何保障政府数据的安全一直是一个令人困扰的问题,政府数据被篡改和泄露的事件也时有发生。
2019年3月底,公安部举行的新闻发布会发布了2018年打击“假印章、假证件、假公文”十大典型案件,其中在湖南长沙“8·29”特大制贩假证案中,犯罪分子自2016年8月以来,通过网上宣传接单,以技术手段攻击政府官网植入假证信息,并线下制作假证,在全国10余省市大肆制贩假证,通过层层转卖,“成本”仅50元的假中级技术职称证书市面售价高达八千到一万元,其中,仅在长沙市制贩假中级技术职称证书1000余本,涉案金额1000万元,非法获利330万元。
2017年8月,安徽省铜陵市某社区网站发布了一份公告名单,在该名单中,大量公民的姓名和身份证号未经处理,直接暴露在网上。随后,有关部门对其他政府机关网站进行查询发现,泄露个人隐私的政府网站遍及全国各地。
社交网络中积累的海量用户信息和行为数据是科学研究的资源宝库,但同时也是网络犯罪者眼中的“月光宝盒”。随着社交网络的不断延伸和普及,社交网络安全问题成为企业需要解决的日常难题。根据IBM《2020年数据泄露报告》,因为移动设备和物联网设备被攻击而造成的数据泄露事件大幅增加。
2017年3月,多家新闻网站曝出“某分类信息网陷数据泄露事件:700元可采集网站全国简历信息”。此报道指出,当时国内有电商平台在大量出售某分类信息网简历数据,并出售爬虫软件,用于采集该分类信息网的全国简历数据,以及本地商户信息、汽车过户联系人信息、保洁公司信息、租房关系人信息等多类信息。
自2016年年初开始,关于该分类信息网的爬虫软件和相关技术讨论不断涌现,至2017年已成规模。当时利用这些工具,一天可采集到的数据量多达10万条。
据中国电子商务研究中心监测数据显示,该分类信息网月独立用户数近3亿,而此次全国范围内的简历数据泄露事件涉及大量用户的个人信息,影响十分恶劣。
2017年4月,外媒Hackread爆料,某供应商在暗网售卖国内某视频网站的数据库,所出售的数据库包括了该网站100 759 591条用户的账户信息。
据Hackread报道,该数据库在2016年就已泄露,2017年暴露在互联网上,尚不清楚数据库是如何被盗走的,此供应商将该数据库售卖价格定为300美元,折合人民币2000余元。这样算下来,5万人的个人信息才值1元人民币。
随着互联网技术渗透到社会的各个方面,个人生活和工作的便利与企业业务效率的提升,常常是通过个人让渡一部分隐私权来实现的。虽然这其中有用户对个人隐私保护的轻视因素,但更多来源于部分企业对用户信息的过度索取,这导致大量的个人用户信息以数据的方式存储于企业的数据库中,形成了数据聚合的“洼地”,可见掌握海量用户信息的行业和企业将越发频繁地面临数据泄露的安全风险。纵观历年来发生的数据泄露事故,不仅泄露的数据规模惊人,动辄千万级甚至上亿,而且泄露数据的粒度也愈发精细和全面,这会直接或间接地对企业和用户造成巨大损失。
安全研究人员Jeremiah Fowler于2020年1月30日发现网上暴露了某化妆品巨头的数据库,他在数据库中找到了用户电子邮件地址,此次泄露总共涉及440 336 852条记录,其中包含大量的审计日志和电子邮件地址。
Fowler表示,暴露的数据包括纯文本形式的电子邮件地址,并且来自内部的电子邮件地址也出现在数据库中。
据外媒报道,2020年2月第3周,超1060万名住在某酒店的顾客的个人详细信息被公布在一个黑客论坛上。除了普通游客之外,遭到曝光的还包括一些名人、科技公司老总、记者、政府官员,以及全球最大科技公司的职工。
根据外媒ZDNet的分析,此次被曝光的数据转储包含了10 683 188名曾在酒店住过的顾客的个人详细信息,诸如全名、家庭住址、电话号码、电子邮件和生日等。