2019年国内外数据泄露事件盘点——个人信息保护刻不容缓

从数据泄露事件来看，当前数据面临的安全状况仍然不容乐观。回顾2019即将过去的一年，大规模的数据泄露事件频频发生，呈现爆发递增的趋势。

前言

随着以人工智能、大数据和物联网为代表的信息技术革命的推进，数据的价值进一步凸显，数据成为了企业的重要资产和持续创新的推动力。因此，保障数据在采集、传输、利用和共享等各个环节安全的重要性不言而喻。

然而，从数据泄露事件来看，当前数据面临的安全状况仍然不容乐观。回顾2019即将过去的一年，大规模的数据泄露事件频频发生，呈现爆发递增的趋势。据安全情报供应商Risk Based Security (RBS) 的2019年Q3季度的报告，2019年1月1日至2019年9月30日，全球披露的数据泄露事件有5183起，泄露的数据量达到了79.95亿条记录！ 为了展示趋势，RBS列举前7年数据泄露情况 （如图1所示）。从数据泄露事件数量来看，整体呈现出递增趋势，其中2019年泄露事件（5183）比2018年（3886）上涨33.3%。数据泄露涉及的记录数量，可以看出2017年至2019年三年均在一个高点，其中2019年与2017年泄露数量接近，而2019年泄露记录数量（37.66亿）比2018年（79.95亿）上涨112%。

数据泄露影响与危害，一方面给受害企业带来直接和间接的经济损失（违法巨额的罚款（如GDPR）、事后处理成本和名誉损失恢复成本）；另一方面发生大规模事件中绝大部分包括个人信息以及敏感数据，这给涉及的用户个人信息与隐私安全带来潜在的危害。为了更全面地了解全球范围内数据泄露事件的总体态势分布，笔者收集了从2019年1月份至12月份，规模较大或具有代表的公开披露数据泄露事件进行梳理，其中选择国内5起，国外14起。下面分别从国内和国外发生的事件按泄露数量由大到小顺序进行盘点与回顾。

1 国内数据泄露事件

• 2019年7月，某公司的数据库泄露涉及超过 20 亿条IoT日志

事件回顾：据vpnMentor研究人员发现，中国某公司的产品数据库暴露在互联网上，该数据库无任何密码保护，运行在物联网（IoT）管理平台。该数据库超过20亿条日志，包括了从用户名、Email地址、密码到精确位置等内容[2]。从数据泄露记录来看，20亿级别记录，为本年度报道的国内外最大数据泄露数量事件。

• 2019年4月，国内多家企业的MongoDB和ElasticSearch服务器因暴露泄露5.9亿份简历

事件回顾：据ZDNet报道，研究人员发现，中国企业今年前3个月出现数起简历信息泄露事故，涉及5.9亿份简历。大多数简历之所以泄露，主要原因是MongoDB和ElasticSearch服务器安全措施不到位，无需密码就能访问获得数据，或者由于防火墙的配置错误导致[3]。

• 2019年2月，深网视界（AI安防）泄露250万人的人脸数据

事件回顾：据荷兰GDI基金会安全研究员发现，中国深网视界科技有限公司的MongoDB数据库未做访问限制，直接被开放在互联网上面，超过250万人的数据可被获取，68万条数据发生泄露，数据类型包括身份证信息、人脸识别图像及图像拍摄地点等[4]。

• 2019年9月，国内医疗PACS服务器泄露涉及中国近28万条患者记录

事件回顾：据Securityaffairs 报道，德国Greenbone Networks研究人员发现，600 个未受保护的服务器暴露于互联网，其中，中国有 14 个未受保护的 PACS 服务器系统，泄露了近28万条数据记录。这些患者数据记录非常详细，大多包括以下个人和医疗细节：姓名、出生日期、检查日期、调查范围、成像程序的类型、主治医师、研究所/诊所和生成的图像数量[5]。

• 2019年4月，哔哩哔哩公司（B站）后台源码泄露涉及多个用户密码

事件回顾：在4月22日，据发现B站的后台源码被上传至GitHub，出现一个名为openbilibili/go-common的代码仓库，短短6小时已经获得6000多的Star和Fork，代码包含了很多配置文件、密钥、密码等敏感信息[6]。

2 国外数据泄露事件

• 2019年10月，美国数据公司People Data Labs 和 OxyData.io的Elasticsearch服务器暴露涉及泄露了12亿人的敏感信息

事件回顾：据报道，研究人员Bob Diachenko和Vinny Troia发现了暴露的Elasticsearch服务器，里面包含了超过4TB的的数据，存储了近12亿人的私人和社交信息。泄露的数据包括姓名、电子邮件地址、电话号码、LinkedIn和Facebook的个人信息[7]。从数据泄露记录来看，12亿级别，为本年度报道的国外最大数据泄露事件。

• 2019年12月，美国短信服务商TrueDialog数据库暴露泄露10亿条数据

事件回顾：据vpnMentor研究人员发现，TrueDialog管理的一个数据库被泄露，该数据库包含数年来企业向潜在客户发送的数千万条SMS短信，包含短信内容、电话号码和客户的用户名和密码。该数据库包含10亿个记录，涉及影响1亿多美国公民。据悉，该数据库不受在线保护，数据以纯文本格式保存，由Microsoft Azure托管，并在Oracle Marketing Cloud上运行[8]。

• 2019年 2 月，美国电子邮件验证公司Verifications.io的MongoDB数据库泄露超过8亿电子邮件地址信息

事件回顾：Security Discovery 安全研究人员发现，一个不受保护的服务器公开了4个Verifications.io（电子邮件验证公司）在线MongoDB数据库，其中包含了150 GB的详细营销数据，以及8亿多个不同的电子邮箱地址，它不仅包含了个人消费者的数据，而且还有类似“商业情报”的数据，比如来自不同公司的员工和收入数据[9]。

• 2019年5月，印度某公司的MongoDB数据库泄露了约2.75亿条包含印度公民详细个人信息

事件回顾：据报道，安全发现研究员Bob Diachenko使用Shodan发现了在Amazon AWS上托管的可公开访问的MongoDB数据库，该大型数据库包括约2.75亿条包含印度公民详细个人信息的记录，包含了姓名、性别、出生日期、电子邮件、手机号码、教育程度、专业信息(雇主、工作经历、技能、职能领域)、现有工资等信息[10]。

• 2019年3月，美国第一资本投资国际集团Capital One泄露1.06亿信用记录

事件回顾：2019年3月22日和23日，一个名叫佩奇·汤普森(Paige Thompson)的黑客潜入了Capital One，使用亚马逊提供的云服务（AWS）。据美国司法部称，汤普森利用了一个配置错误的web应用程序防火墙来获取信息。导致本次1.06亿信息被泄露，包括名字，地址，邮政编码，电话号码，电子邮件地址，生日和自我报告的收入；某些情况下，还会暴露客户的信用评分、信用限额、余额、付款历史和联系信息[11]。

• 2019年2月，美国金融公司Evite泄露1亿客户的信息

事件回顾：Evite报告称， 2019年2月未经授权的一方（黑客）获得了一个不活跃的数据存储文件，该文件包含了该公司2013年及更早时候的用户信息。根据Evite的安全更新，暴露的信息可能包括姓名、用户名、电子邮件地址、密码[11]。

• 2019年3月，美国医疗机构Medical Collection Agency泄露近2000万条付款记录

事件回顾：Medical Collection Agency长期的数据泄露，累计2000万实验室客户的逾期付款记录被泄露，包括社会安全号码和银行账户信息等敏感信息。网络安全公司Gemini 2月28日在暗网上发现了这些信息，该公司的分析认为，这些信息可能是从美国医疗信息收集机构的在线门户网站上窃取的。美国医疗回收机构在2019年6月申请破产保护[11]。

• 2019年9月，厄瓜多尔Novaestrat公司服务器发生数据泄露涉及超过2000万人的记录

事件回顾：网络安全公司vpnMentor近日发现一起厄瓜多尔数据泄露泄露事件，涉及到超过2千万人的数据（厄瓜多尔总人口1600万，包括已故人口），泄露信息包括公民的全名，出生年月、地点，家庭住址、电子邮箱地址，身份证件号码，个人税号和雇佣信息等。此外，个人财务信息也被泄露，包括银行账户信息、个人收支情况和信用类型等，事件起因系厄瓜多尔数据分析公司Novaestrat位于迈阿密的服务器出现了漏洞[12]。

• 2019年2月，印度天然气能源公司Indane泄露可能超过670万客户信息

事件回顾：据报道，法国安全研究员发现印度国有天然气公司Indane，由于存在“绕过登陆页面，直接获得对经销商数据库的自有访问权限”的漏洞，又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息，预计泄露总人数可能超过670万客户，其中包括客户的姓名、地址、以及隐藏在每条记录链接中的身份Aadhaar ID号码[13]。

• 2019年3月，美国联邦应急管理局 (FEMA) 泄露230万条敏感信息

事件回顾：并非所有的数据泄露都是黑客所为，有时政府机构或公司的错误会暴露人们的个人信息。根据监察长办公室 (Office of The Inspector General) 的消息，今年3月份联邦应急管理局发布了几次自然灾害幸存者的个人身份敏感信息，累计包括230万条敏感信息，监察长办公室表示，这些信息本不应该公布，称联邦应急管理局这样做违反了1974年的《隐私法》(Privacy Act)[11]。

• 2019年3月，乔治亚理工学院泄露130万人教师和学生信息

事件回顾：从2018年12月开始，一个未知的外部实体（黑客）访问了佐治亚理工大学(Georgia Tech University)的一个中央数据库。该数据库包含了该校现任和前任学生、教师和职员的姓名、地址、社会安全号码和出生日期。佐治亚理工学院表示，130万人的信息可能在这次入侵中被曝光[11]。

• 2019年9月，马印航空数据泄露可能影响数百万乘客

事件回顾：据马印航空证实，有数百万条乘客护照信息、住址和电话号码等信息外泄，并被上传到数据交换论坛。该公司表示，泄漏的信息包括护照信息、住址和电话号码等。据马印航空23日在一份声明中表示，数据泄露是由于两名曾供职于为马印航空提供电商服务的GoQuo公司前职员“不恰当地获取并盗窃了乘客的个人数据”[14]。

• 2019年5月，优衣库数据泄露超过46万名客户的数据

事件回顾：据日媒报道，优衣库的母公司迅销集团在一份声明中表示 “2019年5月10日，除客户以外的第三方未经授权登录我们公司运营的在线商店网站”。由于存在漏洞使得黑客可以访问在线购物网站客户的数据，泄露数据涉及影响超过46万名客户，包括他们的姓名、地址和联系方式。优衣库表示此次事件不包括中国地区的用户数据[15]。

• 2019年6月，美国数据管理公司Attunity的Amazon S3存储桶泄露超过1TB的数据

事件回顾：据UpGuard的研究人员发现，美国数据管理公司Attunity的三个存在未授权漏洞的云存储桶泄露了超过1TB的数据，包含有关Attunity自身运营的信息，以及其部分客户的数据，以及财富100强公司，如Netflix，TD银行和福特等。据悉，Attunity在没有密码的情况下将三个Amazon S3存储桶暴露在互联网导致数据泄露[16]。

3 分析与解读

结论1：2019年数据泄露更加严峻，8起上亿级大规模重大泄露事件中累计泄露数量超过60亿。

回顾2019的一年，大规模的数据泄露事件屡屡发生。在梳理的19起数据泄露事件中，国内有2起为上亿级别；国外有6起为上亿级别。这8起上亿级泄露事件中累计的记录数量超过60亿，从数量上看，形势比往年更加严峻。

结论2：数据泄露类型最多的是个人基本信息，IoT日志、人脸图像等新泄露趋势值得关注。

从泄露的数据类型来看，泄露最多的是个人基本信息，具体包括姓名、住址、出生日期、身份证件号码和电话号码等，有一半（53%）的事件涉及；其二是用户账号密码信息；后面三类是三种敏感信息：包括生物识别敏感信息、收入敏感信息和医疗敏感信息。生物识别敏感信息是一种新的数据类型，包括人脸识别、虹膜和指纹等信息，这与近年来AI安防广泛推广应用有关。

结论3：服务器暴露与配置问题是数据泄露主要原因，其中MongoDB和ElasticSearch服务器的安全性配置不容忽视。

从数据泄露原因来看，服务器互联网暴露与配置问题是主要原因，同时也是造成大规模数据泄露的主要原因。其中，绝大数事件与在企业中广受欢迎的MongoDB和ElasticSearch服务器有关；云服务器的暴露与配置问题也不容忽视盘点事件中有2起与AWS云有关； 有1起事件与IoT服务器的暴露有关，物联网的安全重要性逐步凸显；此外，服务器存在漏洞是造成数据泄露与黑客入侵窃取数据的重要原因。企业应该重视重要服务器的安全防护能力，采取及时更新软件补丁、定期进行漏洞扫描与检查等安全措施。

结论4：19起大规模数据泄露事件均为个人信息的数据泄露，企业保护措施不力导致数据泄露将触犯法律，个人隐私保护的安全合规性不容忽视。

在全球各国的个人信息与数据安全相关立法中，多数对“个人信息”或“个人数据”采取宽泛的定义，包括我国的《网络安全法》和欧盟的《通用数据保护条例》（General Data Protection Regulation，GDPR）。如果按这些法规的定义与范畴，本文列举的19起数据泄露事件中，与其说是普通数据的大规模泄露，不如说是个人信息数据的大规模泄露，其中人脸数据、IoT日志（与客户设备相关）、账号密码均属于个人信息）、财务信息、SMS短信和医疗诊断记录。这些个人敏感信息一旦流入黑产暗网，定向电信诈骗、定向网络攻击以及导致的其他违法犯罪行为不堪设想。

       个人信息的数据泄露事件频频发生，屡禁不止。如何更好地应对个人信息与数据安全的挑战，一是立法层面，通过法规制度进行引导和规范；二是技术层面，通过技术措施保障个人信息和重要数据安全。欧盟2018年5月25日实施了“大而全”的GDPR，2019年全面开启罚款收割模式，其中英国执法力度最大，今年7月份英国ICO分别对英航和万豪开出1.83亿英镑（约合15.94 亿元人民币）和9900万英镑（约合 8.57 亿元人民币）的巨额罚单，以处罚这两家公司由于保护措施不力，而导致的2018两起大规模数据泄露 [17]。我国于今年5月份网信办发布了《数据安全管理办法（征求意见稿）》，对个人信息与重要数据的安全进行具体的规定与约束。虽然目前的法规中没有引入明确的罚款机制，但对个人信息数据泄露的刑事处罚机制已经逐步建立与完善。在今年10月25日发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》对拒不履行信息网络安全管理义务，致使用户信息泄露的造成“严重后果”的八种情形进行了明确的定罪量刑：致使泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上的；致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000条以上的。

4 小结

数据泄露是危害数据安全的主要事件之一。回顾2019年即将过去的一年，大规模的数据泄露事件频频发生，形势与往年相比更加严峻，且这列举的19起事件泄露数据均包含个人信息与隐私数据。如何更好地保障用户的个人信息安全，如何满足数据安全与隐私保护相关法规，这是当前企业刻不容缓需解决的问题。

展望2020，为了更好地保障个人信息安全避免相关数据泄露事件发生，企业应该未雨绸缪，对重要的数据资产服务器进行重点防护与安全配置检查，定期进行漏洞扫描与评估等措施。在大数据时代，数据利用与挖掘是主旋律。如何在数据安全合规和隐私保护前提下打破数据孤岛促进数据流动。囚笼式管控”传统方式转变到“数据安全治理”思维，首先摸清企业敏感数据分布与流动态势，进行分类分级、数据脱敏和权限管控等安全防护措施。随着业务场景和问题挑战的多样性，引入一些数据安全新型技术显得十分必要，包括去标识化数据的合规评估技术、数据匿名化、同态加密和多方安全计算技术等。“数据安全”与“数据利用”场景需求促使学术界的前沿研究成果快速落地企业场景，笔者十分关注相关理论与技术发展，欢迎交流与合作。

数据泄露是网络安全/数据安全的主要威胁之一， 2019年除此以外还有许多发生的安全事件值得回顾与解读，如DDoS攻击，恶意挖矿和APT攻击等。敬请关注绿盟未来即将发布的《2019年网络安全观察报告》。

参考资料

[1] Risk Based Security. Data Breach QuickView Report 2019 Q3 trends. 2019-11.

[2] Report: Orvibo Smart Home Devices Leak Billions of User Records.

https://www.vpnmentor.com/blog/report-orvibo-leak/

[3]  Chinese companies have leaked over 590 million resumes via open databases. https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

[4] SenseNets Facial Recognition Company Leaks Out Personal Data of 2.5 Million Chinese Citizens.

SenseNets Facial Recognition Company Leaks Out Personal Data of 2.5 Million Chinese Citizens

[5] 隐私大事件：全球医疗数据大规模泄露 暗网价值超十亿 涉及中国. https://new.qq.com/omn/20190920/20190920A0BTMM00.html

[6] B站网站后台工程源码疑似泄露，内含部分用户名密码.

https://juejin.im/post/5cbde1916fb9a032396889f1

[7] Security duo discovered personal and social information 1.2 billion people exposed online on an unsecured Elasticsearch server.

Personal and social information of 1.2B people exposed on an open Elasticsearch install

[8] TrueDialog database leaked online tens of millions of SMS text messages.

TrueDialog database leaked online tens of millions of SMS text messages

[9] 800+ Million Emails Leaked Online by Email Verification Service https://securitydiscovery.com/800-million-emails-leaked-online-by-email-verification-service/

[10] Database With Millions of Indian Personal Records Exposed and Hijacked.
https://securitydiscovery.com/database-with-millions-of-indian-personal-records-exposed-and-hijacked/

[11] 2019 data breaches: 4 billion records breached so far. https://us.norton.com/internetsecurity-emerging-threats-2019-data-breaches.html

[12] Report: Ecuadorian Breach Reveals Sensitive Personal Data.

https://www.vpnmentor.com/blog/report-ecuador-leak/

[13] India’s state gas company leaks millions of Aadhaar numbers.

India’s state gas company leaks millions of Aadhaar numbers

[14] 马印航空乘客信息泄露或影响数百万人.

https://news.sina.com.cn/w/2019-09-23/doc-iicezueu7821274.shtml

[15] 优衣库母公司逾46万顾客信息遭泄露.

https://finance.sina.com.cn/wm/2019-05-15/doc-ihvhiews2168824.shtml

[16] Leaky Amazon S3 Buckets Expose Data of Netflix, TD Bank.

Leaky Amazon S3 Buckets Expose Data of Netflix, TD Bank

[17] 《GDPR执法案例精选白皮书》发布.

https://www.secrss.com/articles/14435.

关于天枢实验室

天枢实验室聚焦安全数据、AI攻防等方面研究，以期在“数据智能”领域获得突破。