步子大，还想不扯X"是伪命题 --2018年信息泄露事件盘点

本文链接：https://blog.csdn.net/hehedf007/article/details/86322019

正文

2018年规模或影响较大的信息泄露事件

2018年是多方重视网络安全历史高度最高的一年，而信息泄露事件自2013年开始已经连续5年突破历史记录，这其中反差，只能呵呵了！具体事件时间轴如下（标红是国内的）

1月

印度媒体 The Tribune 声称以500卢比（约6英镑）的价格购买了对公民信息数据库Aadhaar的访问。该数据库包含10亿印度公民的个人信息。
美国国土安全部承认，2.4万名现任雇员和前任员工个人信息由于黑客攻击而泄露。

2月

美国高端运动品牌安德玛的健康及饮食跟踪应用MyFitnessPal被黑客入侵，1.5亿用户账户信息泄露。

3月

安全研究人员披露，仅今年前3个月，就发现了超过15.5亿份商业敏感文档在网上泄露，数据量高达12PB，是巴拿马文档泄露事件的4000倍。
英国媒体披露Facebook超过5000万名用户资料遭“剑桥分析”公司非法用来发送政治广告。

4月

加拿大零售集团HBC承认，其500万客户的信用卡和借记卡信息被黑客窃取，成为史上最大信用卡信息失窃案之一。
Facebook承认，“剑桥分析”事件影响8700万用户，同时有恶意行为人，用Facebook的反向搜索和恢复功能，很可能恶意爬取了20亿用户的账户基本信息。

5月

由于软件缺陷导致明文暴露证书，推特敦促其所有3.3亿用户更改口令。

6月

基因检测公司MyHeritage发布公告，称超过9200万个帐户信息被窃取。公告称，黑客入侵事件发生在2017年10月26日。
国内安全专家发现一个被盗密码查询网站，包含14亿的邮箱口令，而且查询结果为明文。
研究人员发现数据统计公司Exactis包含3.4亿个人记录的数据库，在网上可公开访问。该2TB大的数据库包含上亿美国成年人的个人信息和数百万公司信息。
谷歌Firebase平台2,271个数据库可公开访问，这些数据库中包括了1亿多条敏感信息记录，113GB的数据量。

7月

包括福特、通用、丰田、特斯拉等100多家公司的157GB含有高度敏感信息的商业和技术文档数据可公开访问。

8月

国内一家新媒体营销上市公司，非法劫持运营商流量赚取商业利益的案件被警方破获。百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取，数量高达30亿条。
国内某集团多家酒店1.3亿人身份信息、2.4亿条开房记录和1.23亿条官网注册资料在暗网兜售，盗取数据的黑客二十天后被警方抓获。

9月

英国航空宣称被黑客攻击，38万乘客的支付卡信息被盗。
Facebook官方公开承认，由于一个令牌访问漏洞，黑客可接管5000万用户的账户，约9000万用户受到影响，包括扎克伯格本人的账户。

10月

在美国2018年中期选举之前，研究人员发现暗网上出售20个州的选民数据，数量达到8000万之多。
由于第三方供应商遭到黑客攻击，美国国防部至少3万名服务人员或雇员的个人和支付卡信息遭到泄露。
香港国泰航空声称，包含有940万乘客的姓名、生日、电话、地址、身份证及护照号等敏感信息外泄。

11月

万豪国际集团公布其酒店数据泄露事件，涉及约5亿客人的个人信息和开房记录。
安全人员发现开源搜索引擎Elasticsearch，至少有3个IP由于配置错误，可未授权访问，约8200万美国公民的个人信息被暴露。

12月

美国在线知识问答平台Quora官方发布通知，发现恶意第三方未经授权访问，约1亿用户数据泄露。
谷歌承认Google+出现API漏洞，在11月的6天时间里，5250万用户的姓名、电子邮箱、职业和年龄以及其他详细信息被访问。

（注：以上泄露事件汇总来源于白帽汇安全研究院与安全牛）

安全的"老生常谈"

不论是哪方面的安全，合规第一，意识、能力第二，但真正想做到极致安全，合规和意识、能力二者又必须相互支撑

意识和能力永远是指向于的个人或某个团体，而规则的制订往往是由群体来完成，俗话说”三个臭皮匠胜过一个诸葛亮“，规则的安全程度往往是大概率高于靠意识和能力而产生防御度。
意识和能力往往跟个人或某个团体的层次由很大关联，不稳定性极强，而规则则相对绝对
然而，合规说到底外层靠不合规代价的制约，内层真正依靠的还是人的合规的下意识和无时不刻合规的能力。
所以，真正的想让安全事故降低到无限小，那么就必须有良好的安全意识和能力并且愿意合规办事的人或人组成的团体来运营保障。
但不幸的结果是，不论从高学历且高智商群体到普通群体，能兼顾这二者的确实不多，所以安全这种看似”三板斧“就可以搞定的事，结果却从未没让人满意过

网络安全中的伪命题

"步子大，还想不扯蛋"是网络安全的伪命题！

当人类手拿木头钻木取火的时代，个人愚蠢最大的伤害就是伤害自己；当人手拿冷兵器骑马征战，个人的愚蠢就可以导致一个种族的灭绝；当人拥有了大炮坦克、核武器，个人的愚蠢甚至给人类自己灭了，直到现在核武器问题依然是个定时炸弹!
如今的网络时代早已不是概念和应用范围仅仅是聊天、冲浪、看电影等局限于生活休闲的时代了，如今的网络承载了几乎人类所有可承载事项。网络安全与否直接威胁小到个人的生命财产安全，大到国家安全，甚至人类存亡问题（军事武器也被网络承载），而网络的飞速发展也就是近20年的事情，负责掌握关键网络中的愚蠢的混子依然是没有杜绝。
2018年是多方重视网络安全历史高度最高的一年，而信息泄露事件自2013年开始已经连续5年突破历史记录，这其中反差，只能呵呵了！但还想说的是根本原因在于网络安全保障的规则性执行、意识、认知和能力均落后于信息网络技术及其应用的爆发式增长，两者之间出现极大反差！这里是公众号就不用粗俗的语言来评论相关责任人了，但是还想说的是尤其是国内那”123456“口令，管理几亿人开房记录的XX？你回家淘宝上买个小霸王打魂斗罗无限人你看看你能通关不？
可见，人类整体水平逐步提高，而前沿科技却在飞速进步，必定会导致一部分愚蠢的人混入前沿科技运行团体，结果关键安全掌握在愚蠢的人手里的事情从来没杜绝过！