2018年數(shù)據(jù)泄露記錄下降至50億條

Lucian Constantin 徐盛華

盡管歐洲正在實施更嚴厲的違規(guī)通知規(guī)則，但與2017年相比，去年公布的數(shù)據(jù)違規(guī)數(shù)量有所減少。受影響的敏感記錄數(shù)量也下降了三分之一以上，從79億條記錄下降到大約50億條。

安全情報公司 Risk Based Security （RBS）的最新一份報告顯示， 去年有超過 6500 起數(shù)據(jù)泄露案件發(fā)生，其中有三分之二源自企業(yè)部門。政府部門占13.9%，醫(yī)療部門占13.4%，教育部門占6.5%。

RBS收集和分析的數(shù)據(jù)表明，大規(guī)模的違規(guī)行為仍然在持續(xù)發(fā)生，事實上，對人們的隱私權(quán)影響最大。去年，共有12起超1億條或更多敏感記錄被曝光的違規(guī)事件發(fā)生，這些違規(guī)事件所泄露的數(shù)據(jù)占2018年所有曝光記錄的74%。

迄今為止最大的泄露事件是涉及印度國民身份證的數(shù)據(jù)庫，稱為Aadhaar。該事件于2018年3月被報道，共曝光了近12億印度公民的身份證號碼、地址、電話號碼、電子郵件地址、郵政編碼和照片等。

其他大型違規(guī)行為包括黑客獲取了儲存在萬豪喜達屋賓客預(yù)訂數(shù)據(jù)庫中的3.83億條會員記錄，以及華珠酒店集團的2.4億條賓客記錄。

一些違規(guī)行為不是黑客利用安全漏洞所造成的結(jié)果，而是數(shù)據(jù)在網(wǎng)絡(luò)上公開訪問的安全疏忽造成的。市場營銷公司Exactis就是這樣，由于數(shù)據(jù)庫配置錯誤，該公司泄露了2.3億成年人的個人信息和1.1億商業(yè)聯(lián)系人信息。

另一個常見的違規(guī)原因是欺詐或社交工程，公司內(nèi)部人員故意或意外地與未經(jīng)授權(quán)的第三方共享數(shù)據(jù)。政治咨詢公司劍橋分析通過第三方應(yīng)用程序從8700萬Facebook用戶資料中獲取數(shù)據(jù)就屬于此類事件。

黑客仍然是最大的泄露原因

根據(jù)RBS的分析，黑客攻擊是去年數(shù)據(jù)泄露的最常見原因，對4508起事件負有直接責(zé)任。其次是網(wǎng)絡(luò)略讀（453）、網(wǎng)絡(luò)相關(guān)泄露（268）、網(wǎng)絡(luò)釣魚（177）和惡意軟件（160）。

查看每種違規(guī)類型的泄露記錄數(shù)量，最高是web類別占39%，其次是黑客攻擊占28%，欺詐占25%，數(shù)據(jù)處理不當(dāng)占7%。

"在2017年之前，黑客攻擊是最常見的破壞類型，其占泄露記錄數(shù)量比例最高。這一趨勢在2017年開始發(fā)生變化，web取而代之并一直保持在首位。"報告稱。

大多數(shù)違規(guī)行為（5433起）是外部威脅載體造成的，其中925起是惡意和意外的，157起是未知原因。也就是說，有內(nèi)部因素的漏洞，如配置錯誤的服務(wù)和其它數(shù)據(jù)處理錯誤，泄露的記錄比黑客竊取的記錄要多得多：26億條vs 17億條。

數(shù)據(jù)泄露發(fā)現(xiàn)和報告之間的平均天數(shù)為49.6天，與2017年相比略有增加?？紤]到企業(yè)對此感到的擔(dān)憂，去年在歐洲生效的《通用數(shù)據(jù)保護條例》（GDPR）要求在發(fā)現(xiàn)違規(guī)行為后72小時內(nèi)向監(jiān)管機構(gòu)報告。

然而，值得注意的是，72小時的窗口僅用于向監(jiān)管機構(gòu)報告，而不是向公眾報告。公司只有在存在高傷害風(fēng)險時才有義務(wù)通知受影響的個人。由于RBS的報告是基于對公開披露的違規(guī)行為的分析，這可能是GDPR對觀察到的平均報告時間幾乎沒有影響的原因。

2019年，RBS計劃深入研究外部或內(nèi)部如何發(fā)現(xiàn)違規(guī)行為與機構(gòu)披露違規(guī)行為所需時間之間的關(guān)系。這家公司說："那些能夠更好地發(fā)現(xiàn)違規(guī)行為的機構(gòu)也會更好地做好應(yīng)對準(zhǔn)備。"

Lucian Constantin 是IDG News的記者。他撰寫有關(guān)信息安全、隱私和數(shù)據(jù)保護的文章。