近日,美國(guó)社交媒體臉書(shū)(Facebook)超5億用戶的個(gè)人數(shù)據(jù)遭到泄露,包括電話號(hào)碼、電子郵件等信息。俄媒稱(chēng),臉書(shū)創(chuàng)始人扎克伯格的電話號(hào)碼也遭泄露。
據(jù)新聞網(wǎng)站商業(yè)內(nèi)幕(Business Insider)報(bào)道,一個(gè)低級(jí)別的黑客論壇3日曝光了5.33億臉書(shū)用戶的個(gè)人數(shù)據(jù),這些用戶涉及 106個(gè)國(guó)家,泄露的信息包括臉書(shū)ID、用戶全名、位置、生日、個(gè)人簡(jiǎn)介以及電子郵件地址。
令大眾吃驚的是,公布的這些個(gè)人隱私信息數(shù)據(jù)涉及來(lái)自 106 個(gè)國(guó)家的 5.33 億 Facebook 用戶,其中包括 3200 萬(wàn)美國(guó)用戶,1100 萬(wàn)英國(guó)用戶,600 萬(wàn)印度用戶。
俄羅斯衛(wèi)星通信社4日?qǐng)?bào)道,遭泄露的5.33億臉書(shū)用戶數(shù)據(jù)中包含一些名人的信息,扎克伯格的電話號(hào)碼也在其中。有消息稱(chēng),遭泄露的電話號(hào)碼與扎克伯格的真實(shí)號(hào)碼是一致的。
網(wǎng)絡(luò)犯罪情報(bào)公司Hudson Rock的首席技術(shù)官加爾首先發(fā)現(xiàn)了臉書(shū)用戶數(shù)據(jù)泄露,通過(guò)比對(duì)他所認(rèn)識(shí)的人的信息,證實(shí)至少有一部分內(nèi)容是真實(shí)的。
事發(fā)后,臉書(shū)公司在4月3日的一份聲明中稱(chēng),上述數(shù)據(jù)來(lái)自2019年發(fā)生的信息泄露事件,當(dāng)年8月已經(jīng)進(jìn)行修復(fù)。
臉書(shū)已不止一次發(fā)生用戶信息泄露事件
此前,F(xiàn)acebook曾將8000萬(wàn)用戶數(shù)據(jù)與劍橋分析公司(Cambridge Analytica)進(jìn)行分享,而后者則將這些數(shù)據(jù)用于2016年美國(guó)大選政治廣告,這嚴(yán)重違反了Facebook的服務(wù)條款。扎克伯格承認(rèn)對(duì)此事負(fù)有責(zé)任并道歉。隨后,美國(guó)聯(lián)邦貿(mào)易委員會(huì)對(duì)此事展開(kāi)調(diào)查,并對(duì)臉書(shū)開(kāi)出50億美元罰單。
國(guó)際上也有應(yīng)對(duì)此事的相關(guān)法律條令和組織,例如「GDPR」是 (The European) ,意思為「通用數(shù)據(jù)保護(hù)條例」,是歐盟議會(huì)和歐盟理事會(huì)在 2016 年 4 月通過(guò),在 2018 年 5 月開(kāi)始強(qiáng)制實(shí)施的規(guī)定。
GDPR 本質(zhì)上來(lái)說(shuō)是一系列「打雞血」版強(qiáng)制執(zhí)行隱私條例,規(guī)定了企業(yè)了在對(duì)用戶的數(shù)據(jù)收集、存儲(chǔ)、保護(hù)和使用時(shí)新的標(biāo)準(zhǔn);另一方面,對(duì)于自身的數(shù)據(jù),也給予了用戶更大處理權(quán)。GDPR雖然保護(hù)范圍只在于歐洲生活的人民,但因?yàn)榭紤]到「全球性」是寫(xiě)入互聯(lián)網(wǎng)基因內(nèi)的屬性,幾乎所有的服務(wù)都會(huì)受到影響,所以生活在歐洲之外的人其實(shí)也會(huì)從此條例中獲益。
據(jù)公開(kāi)信息紕漏,如果2018年臉書(shū)的“劍橋分析事件”發(fā)生在了GDPR的管轄范圍之內(nèi),則其可能被處罰1700萬(wàn)英鎊或全球營(yíng)業(yè)額4%的巨額罰款。
全球用戶隱私數(shù)據(jù)泄漏事件愈發(fā)頻繁
過(guò)去,影響幾百萬(wàn)人的數(shù)據(jù)泄露事件就能成為新聞?lì)^條,而如今,影響數(shù)億甚至數(shù)十億的事件卻比比皆是。
雷鋒網(wǎng)通過(guò)公開(kāi)資料,對(duì)關(guān)于21世紀(jì)以來(lái)的典型的數(shù)據(jù)泄漏事件整理,得知主打的數(shù)據(jù)安全泄漏主要發(fā)生在于以下幾家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系統(tǒng)、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等
以下列舉幾件具有代表性的事件:
數(shù)據(jù)泄漏公司:Adobe;日期:2013年10月and2019年10月;影響:1.53億用戶記錄
在2013年10月上旬,根據(jù)安全博主Brian Krebs的披露,Adobe最初報(bào)告說(shuō),黑客竊取了將近300萬(wàn)個(gè)加密的客戶信用卡記錄,以及數(shù)量不確定的用戶登錄信息帳戶。但根據(jù)后來(lái)的調(diào)查表明,已經(jīng)有超過(guò)1.5億用戶密碼被泄露,黑客還暴露了用戶名稱(chēng)、ID、密碼以及借記卡和信用卡信息。
2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬(wàn)美元的法律費(fèi)用,并向用戶支付賠償,金額數(shù)量并未公開(kāi),以解決違反《客戶記錄法》和不公平商業(yè)行為的指控。據(jù)報(bào)道,2016年11月支付給客戶的金額為100萬(wàn)美元。
2019年10月Adobe再次出現(xiàn)數(shù)據(jù)泄露事故超過(guò)700萬(wàn)名用戶受影響,所幸這次泄露的數(shù)據(jù)不含賬號(hào)密碼和信用卡數(shù)據(jù)等。
數(shù)據(jù)泄漏公司:Adult Friend Finder;日期:2016年10月;影響:4.122億個(gè)帳戶
AdultFriendFinder所屬公司被黑客入侵,泄露4.12億用戶數(shù)據(jù),這將是2016年最大的一次數(shù)據(jù)泄露事件,也是20年來(lái)最大的一次數(shù)據(jù)泄露事件。
因?yàn)楣驹诎踩矫娴那啡保瑢?dǎo)致幾乎所有的賬戶密碼都泄露了,甚至連已經(jīng)刪除的賬戶也被黑客翻了出來(lái)。在4.12億數(shù)據(jù)中,有3.39億數(shù)據(jù)來(lái)源于AdultFriendFinder網(wǎng)站,有超過(guò)1500萬(wàn)數(shù)據(jù)是已經(jīng)被刪除的用戶數(shù)據(jù)。
仔細(xì)分析數(shù)據(jù)庫(kù)之后得知,6200萬(wàn)數(shù)據(jù)來(lái)源于Cams.com,700萬(wàn)來(lái)源于Penthouse.com,其余的數(shù)據(jù)則來(lái)源其他FriendFinder網(wǎng)站。
數(shù)據(jù)泄漏公司:eBay;日期:2014年;影響:1.45億用戶
eBay曾與2014年初發(fā)生大規(guī)模用戶數(shù)據(jù)泄露事故,約1.45億用戶數(shù)據(jù)遭泄露,這些數(shù)據(jù)包括用戶名、電子郵件地址、家庭地址、電話號(hào)碼和生日等隱私信息,但eBay表示用戶密碼經(jīng)過(guò)加密處理,黑客并不容易獲得,而用戶的信用卡數(shù)據(jù)并未泄露。
eBay的數(shù)據(jù)泄露規(guī)模甚至超過(guò)了美國(guó)零售商Target的數(shù)據(jù)泄露事故(4000萬(wàn)信用卡遭泄露,1.1億用戶數(shù)據(jù)遭泄露),不過(guò)McAfee的副總裁Raj Samani認(rèn)為eBay泄露的數(shù)據(jù)中未包含信用卡等支付數(shù)據(jù),因此情況并沒(méi)有Target的數(shù)據(jù)泄露嚴(yán)重。
數(shù)據(jù)泄漏公司:LinkedIn;日期:2012年(和2016年);影響:1.65億用戶帳戶
LinkedIn是商務(wù)專(zhuān)業(yè)人士的主要社交網(wǎng)絡(luò)。對(duì)于希望進(jìn)行社交工程攻擊的攻擊者來(lái)說(shuō),LinkedIn極具吸引力。2012年1月,一位名叫“Andrev”的黑客通過(guò)Pastebin發(fā)布了一則消息,聲稱(chēng)其攻擊了LinkedIn服務(wù)器,并竊取了約1.59億的用戶信息。為證實(shí)其行為,他發(fā)布了一個(gè)包含100個(gè)用戶的信息名單,名單中包括帳戶信息、登陸密碼等。據(jù)稱(chēng),泄露的用戶中包含一些國(guó)際知名企業(yè)CEO。
然而,直到2016年該事件的影響范圍才完全揭露。出售MySpace數(shù)據(jù)的黑客僅用5個(gè)比特幣(當(dāng)時(shí)約為2,000美元)就提供LinkedIn上的用戶電子郵件地址和密碼。LinkedIn承認(rèn)已意識(shí)到該漏洞,并表示已重設(shè)了受影響帳戶的密碼。
數(shù)據(jù)泄漏公司:MySpace;日期:2013年;影響:3.6億用戶帳戶
早在2007年底,MySpace的Alexa全球排名已經(jīng)穩(wěn)定在第六名。曾有數(shù)據(jù)顯示,每個(gè)MySpace的注冊(cè)用戶的平均瀏覽頁(yè)面數(shù)高達(dá)30以上,用戶粘性極強(qiáng)。而這次事件的主導(dǎo)者就是上次售賣(mài)超過(guò)1.64億Linkedln用戶數(shù)據(jù)的同一個(gè)黑客,而現(xiàn)在該黑客宣稱(chēng)已經(jīng)拿到了3億6000萬(wàn)MySpace用戶的電子郵件地址以及密碼。
因?yàn)橛?.6億個(gè)MySpace用戶的帳戶泄漏,在LeakedSource(可搜索的數(shù)據(jù)庫(kù),其中包含被盜帳戶)和暗網(wǎng)市場(chǎng)The Real Deal 上出售,要價(jià)為6比特幣(當(dāng)時(shí)約為3,000美元)。
據(jù)該公司稱(chēng),丟失的數(shù)據(jù)包括在2013年6月11日之前創(chuàng)建的部分賬戶電子郵件、密碼和用戶名。根據(jù)HaveIBeenPwned的Troy Hunt的介紹,密碼存儲(chǔ)為SHA-1哈希,密碼的前10個(gè)字符轉(zhuǎn)換為小寫(xiě)。
數(shù)據(jù)泄漏公司:雅虎;日期:2013-14年;影響:30億用戶帳戶
雅虎于2016年9月宣布,自己是2014年里數(shù)據(jù)泄露事件最大的受害者。攻擊者竊取了5億用戶的真實(shí)姓名、電子郵件地址、出生日期和電話號(hào)碼。大多數(shù)泄露的密碼多哦為散列密碼。
在2016年12月,雅虎披露了另一位攻擊者自2013年以來(lái)的數(shù)據(jù)竊取行為,該攻擊行為泄露了10億個(gè)用戶帳戶的名稱(chēng)、出生日期、電子郵件地址和密碼以及安全性問(wèn)題和答案。雅虎于2017年10月修訂了這一估計(jì)數(shù),總計(jì)包含30億用戶。
最初的數(shù)據(jù)泄露公布的時(shí)機(jī)不好,因?yàn)檠呕⒄诒籚erizon收購(gòu),后者最終以44.8億美元的價(jià)格收購(gòu)了Yahoo的核心互聯(lián)網(wǎng)業(yè)務(wù)。此次泄露事件使公司價(jià)值縮水了約3.5億美元。
寫(xiě)在最后
當(dāng)然全球數(shù)據(jù)泄漏事件不斷頻發(fā)的今日,用戶數(shù)據(jù)隱私保護(hù)就變得尤為重要性。GDPR是2018年全球跨國(guó)公司數(shù)據(jù)安全領(lǐng)域所關(guān)注的焦點(diǎn)。這一年,受GDPR啟發(fā),歐盟之外的其他法域國(guó)家也推出了綜合性的個(gè)人數(shù)據(jù)安全保護(hù)的法規(guī)體系。比如:
巴西。2018年8月14日,巴西總統(tǒng)批準(zhǔn)了《巴西通用數(shù)據(jù)保護(hù)法》(Lei Geral de Prote o de Dados Pessoais,簡(jiǎn)稱(chēng) “LGPD”)。LGPD將于18個(gè)月的過(guò)渡期后,在2020年2月15日正式生效。實(shí)際執(zhí)行中,2020年8月26日,博索納羅總統(tǒng)批準(zhǔn)了巴西數(shù)據(jù)保護(hù)局(ANPD)的監(jiān)管結(jié)構(gòu)和整體框架。ANPD將負(fù)責(zé)監(jiān)督個(gè)人數(shù)據(jù)保護(hù)措施,制定相關(guān)指導(dǎo)方針,調(diào)查和執(zhí)行LGPD,并與其他國(guó)家數(shù)據(jù)保護(hù)當(dāng)局開(kāi)展合作。
就在今年年初,巴西數(shù)據(jù)保護(hù)局(下稱(chēng)ANPD)向外界公布了其監(jiān)管工作戰(zhàn)略規(guī)劃及2021年至2022年工作計(jì)劃,其中有提及到ANPD機(jī)構(gòu)的發(fā)展愿景即:打造巴西國(guó)內(nèi)及全世界數(shù)據(jù)保護(hù)機(jī)構(gòu)的樣板。
美國(guó)加州。2018年6月28日,美國(guó)加利福尼亞州(“加州”)頒布了《2018年加州消費(fèi)者隱私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù),CCPA被認(rèn)為是美國(guó)國(guó)內(nèi)最嚴(yán)格的隱私立法。
隨后2020年11月3日,美國(guó)加利福尼亞州選民投票通過(guò)第24號(hào)提案,即《加州隱私權(quán)法案》(CPRA)。CPRA在去年剛剛生效的《加州消費(fèi)者隱私法》(CCPA)的基礎(chǔ)上,將進(jìn)一步賦予加州居民一些新的權(quán)利,比如更正個(gè)人信息以及限制敏感個(gè)人信息的使用和披露的權(quán)利。
新加坡。新加坡的個(gè)人數(shù)據(jù)保護(hù)立法已有9年多歷史,其《個(gè)人數(shù)據(jù)保護(hù)法令》于2012年10月由議會(huì)通過(guò),該法主體部分于2014年7月生效。隨后該國(guó)又制定九部配套的附屬立法,其中重要的有2014年《個(gè)人數(shù)據(jù)保護(hù)規(guī)例》等。
2018年以來(lái),新加坡在個(gè)人數(shù)據(jù)保護(hù)法的立法方面又有一些頗受矚目的新進(jìn)展,其中主要有2019年1月14日頒布的重要案例、2018年8月31日頒布的《關(guān)于國(guó)民身份證及其他類(lèi)別國(guó)民身份號(hào)碼的(個(gè)人數(shù)據(jù)保護(hù)法令)咨詢(xún)指南》和2020年5月14日《個(gè)人數(shù)據(jù)保護(hù)法(修訂)草案》的公開(kāi)征求意見(jiàn)稿等。
而國(guó)內(nèi)方面,今年3月19日,國(guó)家互聯(lián)網(wǎng)信息辦公室副主任楊小偉19日在新聞發(fā)布會(huì)上說(shuō),目前加緊制定出臺(tái)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》,從而在法律層面為數(shù)據(jù)安全和個(gè)人隱私保護(hù)提供法律保障。正在加緊制定相關(guān)法規(guī)標(biāo)準(zhǔn),建立數(shù)據(jù)資源的確權(quán)、開(kāi)放、流通以及交易的相關(guān)制度,從而在運(yùn)行機(jī)制上進(jìn)一步完善數(shù)據(jù)產(chǎn)權(quán)保護(hù)制度,為我們的數(shù)據(jù)安全和個(gè)人隱私、個(gè)人信息保護(hù)提供制度保障。
