<p>数据的泄露影响了很多行业，造成不必要的损失和影响。做为开发者，需要了解一些这样的故事，最大限度的避免此类问题。</p> <p>&nbsp;</p> <p><strong>本文的数据泄露将包含如下属性：</strong></p> <p>&nbsp;</p> <p>1）破坏范围</p> <p>2）访问的信息类型</p> <p>3）整体破坏程度</p> <p>&nbsp;</p> <p>以下收集了九个破坏力很大的数据泄露事件。</p> <p>&nbsp;</p> <p><strong>1 Clearview AI</strong></p> <p>&nbsp;</p> <p>Clearview AI是一家颇有争议的创业公司，它采集了数十亿张公开的人物照片，然后通过面部识别人物。入侵者通过一个小漏洞进入该公司网络，访问了全部用户数据清单，一共2200名用户，虽然用户量较小，但这些用户里包括百思买等零售商的用户数据，百思买是家超大型零售公司，用户遍布27个国家，Clearview AI泄露的数据包含了订单和关联信息。</p> <p>&nbsp;</p> <p>该数据泄露事件发生在2020年2月，事后Clearview AI及时修补了该漏洞。</p> <p>&nbsp;</p> <p><strong>2 美国第一金融有限公司</strong></p> <p>&nbsp;</p> <p>美国第一金融有限公司（英文名：FAF-First Amercan Financial Corporation）是《财富》美国500强中的一家大型房地产保险企业。长期以来，该公司的网站一直受到文档被抓取的侵害。</p> <p>&nbsp;</p> <p>房地产交易的数据，特别是FAF公司的文档，里面有大量高度敏感的数据，比如个人的驾驶执照、银行帐户，社保号码等特别有价值的信息。</p> <p>&nbsp;</p> <p>该公司网站上的文档URL，只要有心的人简单改一下连接的数字就可以轻松访问其它人的文档，不需要身份验证就能完全查看，这个程序上的漏洞从2003年就在，通过此方法被采集的数据达到8.85亿条。</p> <p>&nbsp;</p> <p>一位软件设计师发现了这个问题，但没有得到FAF的回应，后来通过KrebsOnSecurity网络安全公司通报了FAF，FAF禁用了网站文档，解决了软件设计的缺陷。</p> <p>&nbsp;</p> <p><strong>3 Facebook</strong></p> <p>&nbsp;</p> <p>Facebook实际上了经历了多次的数据泄露事件，最大的泄露是第三方引起的事件。</p> <p>&nbsp;</p> <p>一家媒体组织叫&ldquo;Culture Colectiva&rdquo;通过可公共访问的Amazon S3云存储，发生了这些大规模泄露事件，这包括146GB数据，5.4亿条记录，这些数据包含了Facebook ID,用户名，在FB上的Feed信息，如评论等数据。</p> <p>&nbsp;</p> <p>另一起事件是Culture Colectiva还创建了一个叫&ldquo;At The Pool&rdquo;的第三方应用，存储在S3云存储上，并备份。后来该公有云被泄露了22000名fb用户信息，包括上面的信息外，还包含了用户的点赞，兴趣，用户组等社交数据。</p> <p>&nbsp;</p> <p>一家安全组织及时联系了这家媒体公司，后来花费了4个月时间，S3存储库才得以安全稳定下来。</p> <p>&nbsp;</p> <p><strong>4 MongoDB</strong></p> <p>&nbsp;</p> <p>在印度，一个未确定所有者的MongoDB泄露了超过10亿条记录，这些数据包括公民的姓名，邮箱，工作经历，出生和专业信息等。</p> <p>&nbsp;</p> <p>MongoDB数据库中有8.8亿邮件，2亿份简历和7800万用户数据。这个MongoDB实例没有设置密码，也没有任何保护措施来阻止潜在的违规行为，这实际上是数据库管理员的失败。</p> <p>&nbsp;</p> <p>总结来说，数据库管理最佳实践是数据安全性的关键组成部分。</p> <p>&nbsp;</p> <p><strong>5 Equifax</strong></p> <p>&nbsp;</p> <p>Equifax是一家领先的信用报告机构，它收集了数百万美国人和企业的敏感信息。它的一次数据泄露，公开了美国一半多的人口数据，这里面还包含了一部分加拿大和英国的数据。</p> <p>&nbsp;</p> <p>这些数据包含了社保号码，驾驶证，信用卡号码，个人地址等，有报道说，此攻击来自某国军方或实控方，黑客已经对Equifax访问了将近两个月后才被发现，该攻击利用了Apache Struts CVE-2017-5638漏洞。</p> <p>&nbsp;</p> <p>该漏洞在被攻击之前就已经被Apache组织解决并提供了补丁修复，但该公司并没有及时应用。</p> <p>&nbsp;</p> <p>此类数据泄露的后果是，消费者数据被滥用。有的人可能无法使用贷款产品和信用卡产品。</p> <p>&nbsp;</p> <p><strong>6 Capital One</strong></p> <p>&nbsp;</p> <p>Capital One是美国最大的信用卡发行商，它记录了近1.07亿客户的违约记录。该公司的前任软件工程师Paige Thompson利用了公司在AWS的错误配置，绕开了系统防火墙访问了Capital One的一台服务器。</p> <p>&nbsp;</p> <p>这台服务器上有美加两国的客户记录，包括社保帐号，银行帐号，信用评级等个人信息，这些记录来自信用卡应用程序，并有着十多年的记录价值。</p> <p>&nbsp;</p> <p><strong>7 美国人力办公室</strong></p> <p>&nbsp;</p> <p>2015年，美国人力资源管理办公室（OPM）的服务器被泄露了2000万名个人数据。</p> <p>&nbsp;</p> <p>似乎与其它泄露数据相比较，这个记录并不多，但这些数据的内容的价值以及严重性要比前几个要大得多。这些数据包括SF-86表格，与美国联邦政府的安全许可内容，指纹记录。</p> <p>&nbsp;</p> <p>OPM的技术部门在2014年3月发现了违规情况，但是无法确定黑客是怎样闯入系统中来的，也不知道是谁干的。</p> <p>&nbsp;</p> <p>后门的恶意软件也没有查明，第一次发现不了了之，OPM相关官员决定监视IT系统以及黑客行为。但是，由于系统被植入的后门，漏洞依然存在，在2013年11月到2015年4月间，数据在大量泄露的同时，攻击蔓延到了内政部的服务器。</p> <p>&nbsp;</p> <p>这些攻击包括国会相关调查案，工会诉讼以及OPM的人力资源数据被泄露，最关键的是中央情报局的一些人员记录被破坏。</p> <p>&nbsp;</p> <p>其主要原因是缺少最关键的身份验证。</p> <p>&nbsp;</p> <p><strong>8 Uber</strong></p> <p>&nbsp;</p> <p>Uber在2016年泄露了5700万条用户和司机的订单记录，其中还包含60万份驾照数据。</p> <p>&nbsp;</p> <p>据报道，是只有两名的黑客组织对Uber发起了攻击，包括其它关联技术公司，很快他们取得了访问Uber用户数据的权限。</p> <p>&nbsp;</p> <p>值得一提的是，该公司CSO曾经接受黑客的10万美金勒索，或者在漏洞赏金计划扮演不光彩角色，目前此案正受到法院审理中。</p> <p>&nbsp;</p> <p><strong>9 雅虎</strong></p> <p>&nbsp;</p> <p>2013年雅虎（Yahoo.com）数据泄露可能是历史上最大的案件，其记录之多再无人可比。</p> <p>&nbsp;</p> <p>这家门户网站的300万用户帐户整体被黑客复制，到了2016年才将这件丑事公布于众，到2017年，雅虎已经成为他人的子公司后才公布影响用户的范围。</p> <p>&nbsp;</p> <p>这些数据包括用户的安全信息和答案，被哈希化的密码，生日，姓名与邮件地址。雅虎认为，由一些国家资助的黑客通过制造虚假的Cookie，绕开密码验证直接访问了用户帐户。</p> <p>&nbsp;</p> <p>不管它怎么解释，是雅虎的数据被拿到暗网上卖了两年后，这家公司才知道的消息。</p> <p>&nbsp;</p> <p><strong>小结</strong></p> <p>&nbsp;</p> <p>可以看到，很多的数据泄露是大公司的人干出来的，本质是人的问题，没有正确掌握网络安全最佳实践。开发者需要制定全面的数据安全计划，主动的加上多层保护机制，可以解决以上不同类型的数据泄露问题和案件。</p> <p>&nbsp;</p> <p>那么，你在的公司正在做哪些事，避免数据被泄露或造成损害？欢迎评论~</p> <p>&nbsp;</p> <blockquote data-author-name="" data-content-utf8-length="6" data-source-title="" data-type="2" data-url=""> <section> <section>作者：场长</section> </section> </blockquote>