博客
什么是数据泄露?
摘要形状摘要形状

数据泄露 是一种安全事件,在其中复制,传输,观看,被盗窃或由未经授权访问的人或人员使用的敏感的受保护的机密信息。

数据泄露可能涉及金融信息,如信用卡号或银行账户详细信息, 受保护的健康信息(PHI), 个人身份信息(PII),商业秘密或知识产权。其他术语 数据违规 包括无意的信息披露, 数据泄漏云泄漏,信息泄露或数据泄漏。

大多数数据泄露涉及过度曝光和易受攻击的非结构化数据,如文件,文档和敏感信息或个人信息或其他信息 企业间谍.

虽然你可能会想到的第一件事是当你听到数据违规时是一种情况 网络攻击 由与有组织犯罪,政治活动主义或国家政府相关的网络犯罪分子进行,粗心处理计算机设备或者 配置不佳 S3桶 就像常见的原因一样,如果不是更多的原因。

为什么要发生数据漏洞?

网络犯罪是一个持续增长的有利可图的行业。部分是由于互联网的分布性质以及网络犯罪分子的能力攻击其管辖范围之外的目标,使其成为极难的警务。网络犯罪分子寻求个人身份的信息(PII)来窃取金钱,身份或卖出 暗网.

发生数据违规的常见方法:

  1. 利用系统漏洞: 一个 开发 是一种网络攻击,可利用软件错误或 漏洞 获得未经授权访问系统或其数据的访问。犯罪分子和网络安全研究人员可以找到漏洞'往往是一场比赛,看看谁可以先找到它们。网络犯罪分子想要找到漏洞利用并安装恶意软件或 勒索制造器 喜欢 想哭。研究人员想查找并向硬件和软件制造商报告漏洞,以使它们修补。 Microsoft Office等操作系统,Internet浏览器和应用程序都是潜在利用的目标。网络犯罪分子甚至可以打包到自动开发工具包中的多个利用,以使犯罪分子简单,没有技术知识,以利用普通漏洞。
  2. SQL注射(SQLI): 一个 SQL注入 是一种剥削一个网络攻击的形式 SQL数据库中的弱点 不安全的网站,让网站在没有授权访问的情况下在其数据库中提供信息。 SQLI攻击是不成熟的,需要最少的技术知识。与自动化漏洞套件一样,网络犯罪分子通常是自动化的SQL注射。
  3. 间谍软件: 间谍软件 是感染您的计算机或网络的恶意软件,以窃取个人信息,互联网使用或其他其他信息 敏感数据 它可以获得。您可以通过下载电子邮件附件或似乎良性应用程序(Bundleware)来安装间谍软件。或者,可以在计算机上安装间谍软件作为特洛伊木马的次要感染。安装间谍软件后,所有数据都将发送回网络犯罪分子运行的命令和控制服务器。
  4. 网络钓鱼: 网络钓鱼 攻击是一种形式 社会工程学 这旨在操纵情绪或欺骗您揭示敏感信息,如用户名或密码。典型的网络钓鱼攻击是一个 欺骗(假)电子邮件 that looks like it'来自您为您工作的公司的首席执行官。该电子邮件将包含激进或苛刻的语言,并要求像登录网页一样的动作,验证付款或购买。单击电子邮件中的任何链接或下载任何附件可能会导致您的登录凭据被盗或安装 间谍软件 如上所述的恶意软件攻击。 SMS和社交媒体攻击也变得越来越普遍。另一个例子是提供免费信用检查,以便访问个人身份信息(PII)。 
  5. 不安全的密码: 易于猜测的密码,例如字典单词或公共密码,使网络犯罪分子容易获得对敏感信息的访问。您的组织应该为包含敏感信息的任何系统强制执行安全密码和多因素身份验证。要了解有关密码安全的内容的更多信息,请参阅我们的 密码安全检查表.
  6. 破损或错误配置的访问控制: 即使是最好的密码和网络安全也可以通过不良配置来撤消。例如,您的组织可以强制执行安全的密码和双因素身份验证,但配置了一个很好的配置S3存储桶,可以在没有密码的Internet上的任何人开放。 检查您的S3权限或其他人会。如果你're not 通过设计安全,使用一些谷歌搜索的网络犯罪分子可以找到错误配置的文件夹和窃取数据。将其视为拥有最佳安全系统和一个开放窗口的房子。你'重新要求一个网络攻击。
  7. 物理盗窃: 犯罪分子可能会窃取您的计算机,智能手机或硬盘驱动器,以便访问未加密存储的敏感数据。
  8. 第三方供应商违规: 犯罪分子可以针对第三方的商业伙伴或服务提供商来获得在内部可能在内部拥有复杂的网络安全标准的大型组织,但穷人 第三方风险管理框架.

数据泄露的后果是什么?

许多国家都通过了数据泄露通知法,要求公司在发生时向客户提供和修复违规行为。 

数据违规 可以导致身份盗窃(例如全名,社会安全号码和出生日期),丧失敏感信息(信用报告或其他信用监测)或其他敏感数据(电话号码,社交媒体凭据)。

很难获得有关穷人的直接和间接成本的信息 数据安全 这导致数据泄露。并且似乎可能由于新的数据泄露通知要求,可能会在新闻中突破大规模数据泄露的故事。

这一点't意味着即使是含有敏感用户数据的小数据违规的声誉损坏也在下降。如果有的话,数据违规的声誉影响正在增加。 

这是与金融服务外部和外部外部的核心业务功能的加强外包,增加了每个组织's need to manage 网络安全风险 and their need for 第三方风险管理框架网络安全风险评估 和更好的组织理解 信息安全

计划潜在数据漏洞现在是任何良好组织的一部分's 信息风险管理 战略和领导人必须教育员工对之间的差异 网络安全和信息安全.

随着外包的趋势持续和更多信息进入数字世界,网络内人将变得越来越普遍。

如果我的加密数据被盗了很重要吗?

是的。在数据泄露之后,您可能希望向您的客户保证它'T RISS,数据已加密。这是一个'这一切都是真的和这里'为什么。许多公司使用基本的密码形式 加密:宽敞的SHA1散列。 

使用SHA1加密的密码将始终占用相同的字符串,使其容易猜测。例如,Password1将始终哈希到"E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D".

这是使用弱密码的另一个原因是一个坏主意。网络犯罪分子可以查看被盗的被盗的列表,并根据已知的哈希密码列表并轻松解密密码。 

网络犯罪分子与他们获得访问的数据做什么?

根据数据类型及其值,盗窃数据最终可以在各种场所和用途中。个人身份信息(PII)通常最终 暗网 for sale. The 暗网 未被搜索引擎索引,并用于犯罪分子到毒品,枪支,色情和个人数据等交通非法商品。有市场专门从事从各种数据泄露收集的大量个人信息,这些市场都是已知和未知的。

即使您在数据泄露后更改密码,Cyber​​ Sriminals通常会使用旧登录凭据来欺骗您认为帐户已成为黑客和使用 社会工程学 方法 网络钓鱼 访问新的登录凭据。

如果您在跨网站中重复使用您的密码,则您将自己暴露于危险,因为您使用的任何网站的数据违反可能导致其他帐户受到损害。网络犯罪分子使用你的被盗登录从一个站点来破解你的帐户,这是一个被称为凭证填充的网络攻击。从一个数据漏洞获得的用户名和密码将自动用于将登录请求发送到其他流行的站点。  

什么是最大的数据泄露?

这是29 最大的数据违规行为 在历史中受到影响的帐户数量。

1.雅虎 - 30亿

雅虎透露,2013年8月由一群黑客违反了10亿次账户。在这种情况下,安全问题和答案也受到损害,提高身份盗用的风险。武器于2016年12月14日由雅虎报告,并强迫所有受影响的用户更改密码,并重新进入任何未加密的安全问题和答案,以使其在未来加密。

2. Aadhaar --11亿

2018年3月,它成为公众的个人信息超过了世界上最大的十亿个印度公民的个人信息 生物统计学 可以在线购买数据库。

3.验证.IO - 763百万

2019年2月,电子邮件地址验证服务验证。在MongoDB实例中公开面临的MongoDB实例中的76300万唯一的电子邮件地址公开。许多记录还包括名称,电话号码,IP地址,出生日期和性别。 

雅虎 - 500万

雅虎相信一个"国家赞助的演员"在2014年的这个初始网络角落之后。被盗数据包括个人信息,如姓名,电子邮件地址,电话号码,散列密码,出生日期和安全问题和答案,其中一些是未加密的。

5.万豪/喜达屋 - 500万

2018年11月,国际国际宣布宣布黑客窃取了约5亿哈林酒店客户的数据。攻击者于2014年获得了偏乐的倾向于进入雪屋系统,并在2016年获得哈林的万豪之后仍然在系统中。但是,在2018年之前没有制作发现。

6.成人朋友发现 - 412.2百万

2016年10月,黑客在六个数据库中收集了20年的数据,其中包括FriendFinder网络的名称,电子邮件地址和密码。 FriendFinder网络包括成人朋友Finder等网站,Penthouse.com,Cams.com,Icams.com和Stripshow.com。

7. MYSPACE - 3.6亿

2013年6月,俄罗斯黑客损害了大约3.6亿账户,但事件未公开披露2016年。泄露的信息包括账户信息,如业主列出的名称,用户名和出生日。 

8.谢谢 - 3.4亿

2018年6月,基于佛罗里达的营销和数据汇总公司ExactiS暴露了一个在公开访问的服务器上包含近3.4亿条记录的数据库。违规暴露了人们高度个人信息'S电话号码,家庭和电子邮件地址,兴趣和子女的数量,年龄和性别。

9. Twitter - 3.3亿

2018年5月,社交媒体巨头推特通知存储在内部日志中未屏蔽的密码的故障用户,使内部网络可访问所有用户密码。 Twitter告诉其3.3亿用户来改变他们的密码,但该公司表示固定了这个错误,并且没有违反或滥用的指示,但鼓励密码更新作为预防措施。

10.网易 - 234万

2015年10月,网易(位于163.com)据报道,遭受影响数亿用户的数据泄露。虽然有证据表明数据是合法的(许多用户在数据中确认他们的密码),但很难强调验证。 

11. LinkedIn - 1.165亿

2012年6月,LinkedIn披露了一个已经发生的数据漏洞,但是当时的密码重置通知表明只有650万用户帐户受到影响。 LinkedIn从未证实实际的数量,并在2016年学到了我们学习的原因:遭到损害的1.65亿用户账户,其中包括11700万密码,但没有"salted"随机数据使它们更难反转。

12. Dubsmash - 162百万

2018年12月,DubMash遭受了一个数据泄露,暴露了1.62亿个独特的电子邮件地址,用户名和DBKDF2密码哈希。

13. Adob​​e - 152百万

2013年10月,突破了15300万台Adobe账户。数据违规包含纯文本中的内部ID,用户名,电子邮件,加密密码和密码提示。 

14. MyFitnesspal - 1.5亿

2018年2月,饮食和锻炼APPAL(由Armor unders)遭受了数据漏洞,揭示了14400万个独特的电子邮件地址,IP地址和登录凭据,例如存储为SHA-1和Bcrypt Hashes的用户名和密码(前者早期账户,后者为较新账户)。

15. Equifax - 1.48亿

2017年9月,美国三大消费者信贷报告机构之一Equifax宣布其系统已被违反,1.48亿美国人的敏感个人数据受到损害。 

16. eBay - 1.45亿

2014年2月至3月,eBay是违反加密密码的受害者,导致所有1.45亿用户重置密码。

17. Canva - 137亿

2019年5月,在线图形设计工具Canva遭受了一个影响1.17亿用户的数据泄露。 

18.阿波罗 - 12600万

2018年7月,Apollo留下了一个数据库,其中包含数十亿个数据点的数据。数据集已被发送到已被PWNED,其中有12600万唯唯的电子邮件地址。

19. Badoo - 112百万

该违规包含11200万唯一独特的电子邮件地址和PII,如名称,出生日期和密码作为MD5哈希。

20. EAVITE - 1.1亿

暴露的数据包括1.1100万唯一的电子邮件地址,以及在纯文本中存储的Pall Number,名称,物理地址,出生日期,致内和密码。

21. Quora - 1亿

Quora,一个受欢迎的Q网站&2018年遭遇数据泄露,暴露了高达1亿用户的个人数据。

22. VK - 9300万

俄罗斯社交媒体网站VK被攻击并暴露了9300万个名称,电话号码,电子邮件地址和纯文本密码。

23. Myheritage - 9200万

Myheritage,一个系谱服务网站受到损害,影响了超过9200万用户账户。

24.尤克 - 9200万

Youku A中国视频服务公开了9200万个独特的用户帐户和MD5密码哈希。 

25.漫步者 - 9100万

从漫游者倾倒9100万账户("Russian Yahoo")在线交易包含用户名(形成漫游电子邮件的一部分)和纯文本密码。

26. Facebook - 8700万

虽然当信息没有从Facebook被盗时略有不同类型的数据泄露,但影响了8700万个Facebook账户的事件代表了个人信息的使用,以便受影响的用户不欣赏。 

27. Dailymotion - 8500万

2016年10月,Dailymotion视频共享平台暴露了超过8500万用户帐户,包括电子邮件,用户名和Bcrypt的密码。

28. Dropbox - 6900万

2012年中期,Dropbox遭遇了数据泄露,该数据泄露突破了6800万条记录,其中包含了电子邮件地址和盐渍的密码(半SHA1,半Bcrypt)。

29. Tumblr - 6600万

2013年2月,Tumblr遭遇了一个有数据泄露的危险,暴露了6500万账户。该违规包括电子邮件地址和盐渍SHA1密码哈希。

值得注意的数据违规

什么是数据违规法律?

感觉像每个新闻周期都有更多的数据泄露。数据漏洞是否发生更多?还是我们更多地听到他们更多?

It'在新闻中的数据违规行为的可能性可能是通过在全球范围内的规定沟通如何传达数据漏洞的规定来驱动。

还有许多行业指导方针和政府合规条例,要求严格控制敏感和个人数据,以避免数据泄露。对于公司来说,支付卡行业数据安全标准(PCI DSS)决定谁可以处理和使用个人身份信息(PII),例如信用卡号或名称和地址。 

在医疗保健中,健康保险便携性和问责制行为(HIPAA)调节谁可以看到和使用个人健康信息(PHI),例如患者姓名,出生日期,社会安全号码(SSN)和医疗保健治疗。 HIPAA还对其健康信息技术违反经济和临床健康(Hitech)法案的报告报告医疗相关数据违约要求。 

随着介绍的 一般数据保护规范 (GDPR) by the 欧洲议会 和理事会在2016年,需要回应信息安全违规行为已成为欧盟内部经营的任何业务的监管要求。现在需要:

  • 提供 数据泄露 notifications
  • 委任数据保护官
  • 要求用户同意数据处理
  • 隐私数据的匿名数据

在美国,没有国家法律监督数据泄露披露。但是,截至2018年,所有50个美国各国都以某种形式有数据违约法。有一些常见包括: 

  • 要求尽快通知这些影响
  • 让政府尽快了解
  • 支付某种罚款

加利福尼亚州是第一个规范2003年数据违约披露的国家,要求人员或企业通知受影响的人"没有合理的延迟" and "发现后立即进行发现"。受害者可以起诉高达750美元,并且每位受害者可以罚款高达7,500美元。

纽约'■信息技术服务办公室说"在纽约开展业务的国家实体和人员或企业拥有或许可包括私人信息的计算机化数据必须披露任何违反私人信息所暴露的纽约居民的数据。"

如果我的组织应该怎么办?'s data is stolen?

大型跨国企业和小企业可以遭受数据漏洞,无论是来自网络犯罪分子还是意外的数据漏洞,导致我的错误配置云服务或未能实施适当的访问控制,如密码要求对公开的Web服务或应用程序。组织应该有一个 事件响应计划 当发生违规识别时,实现,包含和量化违规行为。

回应违规良好是最重要的,在这里'你需要做什么:

  1. 确保违规已停止: 在执行任何操作之前,您需要通过识别计算机系统的受影响部分并隔离它们来确保违规停止。你'RE将需要有关这些服务器的所有信息来了解数据受到损害,您需要记录一切。
  2. 确定违规行为: 您需要知道已曝光的数据。这意味着对访问数据的详尽审核以及何时访问。要确定违规的范围,只需阅读访问或修改了哪些数据。理想情况下,您将拥有审核日志和备份,以比较受影响的服务器上更改的内容。如果你不't have logs or don'T TICK TICK您可以信任它们,查找组织中数据的专家,并要求他们检查数据以尝试确定它是否准确。
  3. 告知客户: 您需要与影响其数据暴露的人沟通。根据您所知,有法律的理由通知您的客户,但快速,质量沟通也可以帮助您从潜在的声誉损害中拯救您的组织。为您的客户提供可在可能的情况下保护其帐户(或个人信息)所需的步骤。 
  4. 提高您的安全性,以确保这种类型的违规不能再发生: 要恢复您的客户的信任,您需要确保违约't happen again. The SANS研究所有安全指导 关于如何防止违规行为和国家标准与技术研究所(NIST)发布一套标准,指导方针和最佳实践来管理 网络安全风险 in their 网络安全框架.

对员工的良好和广泛理解的安全政策,第三方供应商和领导层的额外措施可以有助于教育和减少意外数据暴露的可能性。 最重要的特权(POLP)的原则 为员工提供赤行最低权限需要履行职责(而且没有更多)。

如果我的数据被盗在数据漏洞中,我该怎么办?

为了保护自己,如果您的数据暴露或被盗,则可以采取几步以保护自己,您的资金和您的个人信息,包括:

  • 更改密码: 如果您使用的网站已被破坏,请将密码更改为每个在线帐户的唯一密码。如果您发现困难的追踪这些密码,则可以使用像1password这样的密码管理器。
  • 监控您的银行帐户和其他财务账户: 定期检查银行账户,以获得不熟悉的活动。
  • 检查您的信用报告: 定期这样做,以确保在您的名字下不打开信用卡。  
  • 采取行动: 如果您看到可疑活动,请联系您的金融机构或立即受影响的网站。
  • 保护手机: 您的手机可以持有很多有价值的个人信息,一个简单的密码将阻止它被偷来访问它。
  • 检查URL: 即使它看起来合法,请确保网站有效 SSL证书 (https)与您的网站匹配'重新开始登录。
  • 查看 我被PWNED了吗?: It'S一个免费服务,可以让您检查您的电子邮件地址是否已包含在任何已知的数据泄露中。

如何防止数据泄露

没有一个安全产品或控制可以 防止数据违规 独自的。至少您需要常见的感知安全实践,以便在减少数据泄露时合理的尝试。这包括持续的漏洞和 渗透测试,恶意软件保护,强制密码,多因素身份验证以及始终更新硬件和软件,以修补已知的漏洞。 

这些步骤将尝试防止入侵进入受保护的环境,并且网络安全专业人员还应鼓励强烈加密敏感数据,而无论它是否存储在内部部署或云服务中。 

组织还应练习网络分割,将计算机网络分成子网,从而降低攻击的影响,如果他们在提升性能的同时可以访问网络。 

Upguard可以阻止数据漏洞并找到泄露的凭据

Upguard帮助像洲际交流,泰勒Fry,纽约证券交易所,IAG,第一州超级,秋季,晨星和美国国家航空航天局保护他们的数据并防止违规行为。

通过我们先进的第三方风险和攻击表面解决方案,我们可以帮助您捍卫您的业务,防止数据泄露,并监控所有供应商的安全态度。

大学教师't让数据泄露危机您的业务 点击此处查看免费试用版!

自由

白色upguard徽标
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 01:44:05

最近发表