数据泄露：修订间差异

数据泄露指的是个人或组织的私有、机密信息被有意或无意地发布到危险环境中。这类事件通常与黑客攻击、有组织犯罪、政治运动、国际竞争有关；也有因为员工疏忽、违规使用或处置存储介质导致的数据泄露。小到如员工将打印的少量内部使用材料遗失在公共交通工具上的意外，严重如算机黑客组织攻破政府防火墙，窃取目标军事、政治机密的事故^[1]均时有发生。常见的被泄露数据一般包括金融信息（如信用卡账户、银行信息）、个人健康数据、个人识别信息、商业机密与知识产权（及其细节）。^[2]

对一个组织而言，发生数据泄露可能导致严重的直接或间接损失。发生数据泄露后，组织的声誉将受到严重影响，被泄露数据也可能被用于犯罪活动，而该组织也需要付出时间和经济成本进行事故调查与善后处理。

根据非盈利消费者权益组织Privacy Rights Clearinghouse的报告，在美国，仅2005年一月到2008年四月期间，总计227,052,199条包含敏感信息的数据能够确定遭到泄露。鉴于严峻的数据安全形势，许多国家的司法管辖实体（如各国司法部、立法机关）通过了要求公司通告消费者并采取措施减轻消费者损失的数据泄露处理相关法律法规。

一起数据泄露事件可能包含多起事故或疏忽：数据存储设备的丢失或失窃（如未加密磁盘、笔记本电脑的丢失）、敏感数据被上传至互联网、设备未使用合适的信息安全保护措施即连接至互联网、使用个人或未加密的组织邮箱传输不适宜公开的信息或采购了植入恶意程序或硬件的设备。ISO/IEC 27040标准将数据泄露定义为一种造成意外、非法数据损毁、丢失、修改，未经授权的披露或访问受保护的数据传输、存储等数据处理过程的安全问题。^[3]

某一环境是否是可信任的环境并不是一成不变的：如果在一名处于可信环境的员工离职后仍能访问该可信环境中的数据，那么该员工便可能成为数据泄露事件的突破口，而该“可信环境”也就不再“可信”。在分布式系统中，当信任网络中的某一节点遭入侵，上述情况也有可能发生。对此，在保护数据时使用数据分级策略可以有效降低数据泄露的风险。数据分级后，数据管理者可以根据数据的重要性调整安全策略来保护更加重要的数据。

大多数公开报道的事件中，个人信息（如身份证号码）是最常遭到泄露的数据；由于公众缺乏对泄露公司商业机密、敏感的合作信息、合同细节或是政府数据可能造成何种损失的认知，此类数据泄露事件一般并不会见诸报端。更何况公开这样的严重事故本身可能会造成比丢失数据更严重的损害。^[4]

在引发数据泄露事件的各种原因中，最常见的组织内员工工作疏忽或蓄意破坏。波耐蒙研究所（Ponemon Institute）报告称“大约37%的数据泄露由人为因素引发” Privacy Rights Clearinghouse（PRC）报告显示，从2005年一月到2018年12月供发生泄露事件9000多起，主要原因为组织内部攻击、员工丢失或遭窃便携设备、组织中计算机感染病毒、向错误收件人发送电子邮件等。这充分证明人为因素是导致数据泄露的重要原因。 ^[5]

能够引发数据泄露的外部原因则包括个人或团体网络犯罪者（即黑客与黑客组织）、政府特工等。

尽管数据泄露可能导致身份盗窃等严重后果，大多数可能导致数据泄露的事件并没有对相关方产生长远影响：大多数安全事件在数据遭非法访问前就被遏止，有些硬件盗窃事件的嫌疑人只对偷窃的硬件感兴趣或无法破译硬件上的安全措施。尽管如此，当此类事件发生后，大多数责任方会向受影响的客户（或是受害者）提供诸如更换信用卡的额外安全服务。

然而，一起成功发生的数据泄露事件仍能造成严重损害：2013年目标百货数据泄露事件披露后，该公司当年第四季度的盈利大约缩水40%，次年报告中，该公司声称数据泄露事件总共对其造成2.9亿美元的经济损失。^[6][7]互联网犯罪平均每年对能源和公共事业公司造成1280万美元的损失^[8]。在医疗领域，仅2014、15两年，数据泄露问题就导致了62亿美元的损失；^[9]仅波兰一国，超过2500万人的医保数据遭窃，600万人的身份信息泄露，其居民为此增加支出达560亿美元^[10]。

互联网领域的数据泄露事件造成的损失则更为严重：2016年雅虎爆出数据泄露事件后，Verizon公司随即要求重新就收购雅虎进行谈判，最终，这起事件导致雅虎的收购价格降低了3.2亿美元。^[11]

随着数字时代的发展，数据量指数级增长，数据泄露也越来越频繁地发生。防止敏感数据泄露已经成为许多企业在安全领域的重点工作。^[13] 为保障数据、财务安全，各方在防止数据泄露方面投入巨大：文献指出，从2017年到2021年，全球已在互联网安全领域花费超过1万亿美元。

自2005年以来，世界上发生过的严重数据泄露事故有：

• 2月，ChoicePoint泄露163,000条客户记录
• 11月，波音泄露161,000条雇员的信息
• 12月24日，Ameriprise Financial有笔记本电脑被盗，损失260,000条客户记录

• 2月，安永泄露38,000条雇员信息。
• 5月，美国退伍军人事务部，泄露28,600,000条退役、预备役和现役军人信息^[14]
• 5月，安永泄露Hotels.com网站234,000条客户信息。
• 8月4日，AOL在其网站上走泄了该公司约65.8万匿名用户在3个月期间所进行的2000万份左右的搜索信息，相当于同期搜索量的0.3％以上。^[15]
• 12月，波音泄露382,000条雇员的信息（同年四月亦泄露3600名雇员的信息）^[16]

• 埃森哲泄露俄亥俄州和康涅狄格州数据。
• 3月29日，TJ Maxx泄露4500万银行账号。^[17]
• 8月，CGI集团泄露283,000名纽约退休雇员的个人信息。
• 9月，The Gap泄露了800,000份求职申请。
• 11月20日，英国税务海关总署泄露超过2600万条儿童福利相关数据。
• 12月，Memorial Blood Center泄露268,000名献血者数据。
• 12月，田纳西州戴维森县选举委员会遭到闯入,投票人名册被盗，泄露337,000名投票人的姓名、地址、SSN^[18]
• 12月25日，D. A. Davidson & Co. 泄露192,000名客户的姓名、账户、社会安全号码（SSN）、地址和生日^[19]

• 1月，通用电气金融集团确认存储于铁山公司的一卷存有650,000名客户、150,000条SSN和信用卡信息的磁带丢失，杰西潘尼零售公司在受影响的230个零售商之列。^[20]
• 1月，新泽西州公司Horizon Blue Cross and Blue Shield泄露其300,000名会员的信息。
• 2月，Lifeblood泄露 321,000名献血者个人信息。
• 8月24日，美国国家金融服务公司员工小雷内·雷波洛（Rene L.Rebollo Jr.）被发现窃取并销售了250万客户包括SSN在内的个人信息。^[21]
• 11月18日，英国国家党成员列表泄露^[22]

• 1月，Heartland Payment Systems （HPS）宣布其处理系统遭到黑客入侵，估计有650家金融服务公司的1亿张信用卡信息遭窃。^[23]

• 12月， RockYou! 的密码数据库遭攻破，3200万用户名及其明文储存的密码被泄露

• 切尔西·曼宁在2010年中公布了大量军队机密数据。

• 4月，索尼旗下PlayStation Network服务数次遭入侵，预计7700万用户的信息遭到泄露，损失超过10亿美元^[24]。
• 3月, RSA安全公司SecurID令牌系统的钥匙种子仓库出现漏洞，其两步验证使用的钥匙种子失窃，使得攻击者能够复制RSA的硬件令牌类产品并对使用此类产品的用户发动攻击。^[25]
• 6月, 花旗集团对外公布其信用卡操作系统发生数据泄露，据估计，有21万（1%）用户账户受到影响。^[26]

• 8月， 连线杂志资深编辑马特·霍南（Mat Honan）撰文称“黑客在一小时内摧毁了我的全部数字生活”。攻击者获取了他的苹果、推特、Gmail账户密码，控制了他的推特并抹除了他所有电子设备上的所有消息、文件，连他为自己18个月大的女儿拍的照片也没有放过。^[27]这一起攻击事件是由于攻击者对亚马逊的技术支持人员发动社会工程学攻击获取到他苹果账户密码恢复系统用到的信息导致的。^[28] 根据他的经历，马特就“为什么密码无法保护用户安全”撰文。^[29]
• 10月，美联邦执法部门带证据联系南卡罗来纳州税务局，称有三位公民的身份识别信息失窃。^[30] 随后爆出实际上共约有360万SSN与38.7万信用卡信息遭窃。^[31]

• 10月, Adobe公布其数据库遭到入侵，约1.3亿用户记录遭窃^[32]。
• 11-12月，目标百货宣布该公司7000万信用/储蓄卡账户信息泄露。^[33]
• 爱德华·斯诺登在2013年公布了一系列美国国家安全局及其驻其他国家的分支机构的机密档案。

• 8月，苹果iCloud服务爆出将近200位知名人士的照片遭窃并被公开在4chan网站上。苹果称，调查显示此次攻击“对特定目标的用户名、密码与安全问题具有极高针对性”。^[34] 此次事件后苹果通过加装两步验证增强了iCloud的安全措施。^[35]参见：2014年8月名人照片泄露事件
• 9月，家得宝发生数据泄露事件，5600万信用卡号遭窃。^[36][37]
• 10月，史泰博发生数据泄露事件，116万银行卡信息遭窃。^[38]
• 11月， 索尼影业发生数据泄露事件，其员工的个人信息、家庭信息、高管薪资、未发布的电影副本等信息遭到泄露。黑客宣称他们获取了超过100TB数据。^[39]参见：索尼影业遭黑客攻击事件

• 2月，伟彭医疗泄露接近8000万条包括姓名、SSN、生日等个人信息。^[40]
• 6月，美国联邦政府人事管理局泄露2210万现、前任联邦雇员的个人信息。参见：美國聯邦人事管理局資料外洩案
• 7月，Ashley Madison网站泄露其3700万用户的信息。黑客威胁该网站及其附属网站永久关闭，否则将公开其用户的姓名。^[41]
• 10月，英国电信运营商TalkTalk被一群15岁黑客入侵并窃取400用户资料。^[42]

• 2月，15岁的英国黑客凯恩·甘博（Kane Gamble）公布了超过2万名FBI雇员包括姓名、职务、电话号码、邮箱在内的个人详细信息^[43][44]。法院判决称凯恩涉嫌“有政治目的的网络恐怖主义行动”。^[45]
• 3月，菲律宾选举委员会网站被黑客组织“菲律宾匿名者”入侵并恶意修改，随后黑客组织LulzSec Pilipinas将整个委员会数据库上传至Facebook。^[46]
• 9月，雅虎报告称5亿2014年以前的用户账户被“政府支持的黑客组织”窃取。不久后，2017年10月雅虎被爆出其全部30亿账户被泄露。^[47][48]

• 7月，Equifax被爆泄露1.455亿条用户消费记录。^[49]
• 10月，韩国宣称朝鲜黑客窃取了235GB美韩机密军事档案^[50]。

• 3月，英国咨询公司剑桥分析公司在未经Facebook用户同意的情况下获取数百万Facebook用户的个人数据，这些数据主要用于政治广告^[51]。参见：FaceBook-剑桥分析数据丑闻
• 3月，谷歌发现一个可能导致50万用户数据泄露的漏洞，但在修复漏洞时，谷歌并没有将漏洞存在的事实告知用户，直到六个月后华尔街日报就此作出报道。^[52]
• 3月29日，Under Armour公布旗下MyFitnessPal服务约1.5亿用户的姓名、邮箱账号和哈希后密码发生泄露。^[53]
• 4月1日，奢侈品牌萨克斯第五大道与Lord & Taylor爆出泄露其在北美约500万用户的信用卡信息。^[54]
• 7月，新加坡医疗服务部门SingHealth被爆出泄露包括总理李显龙在内约150万用户的医疗信息。参见：2018SingHealth数据泄露事件
• 8月1日，Reddit宣布其服务器遭到入侵，黑客绕过两步验证系统登录了其员工账户，但Reddit拒绝披露受影响的用户数目。^[55]
• 9月7日，英国航空发生数据泄露，38万用户包括银行信息详情在内的记录遭窃。^[56][57]
• 10月19日，美国医疗保险和医疗补助服务中心泄露7.5万人的个人信息。^[58]
• 12月3日，Quora报告了一起影响1亿用户的数据泄露事件。^[59]

• 7月16日，保加利亚国税局发生数据泄露事件。^[60]
• 7月17日，提供账单和保险数据处理的医疗保健供应商Medico Inc.泄露了近14,000个文档。^[61]
• 7月25日，美国民主党参议院竞选委员会在配置错误的Amazon S3存储桶中公开了大约620万个电子邮件地址。^[62]
• 9月，市场分析公司Novestrat的服务器由于漏洞遭到利用泄露了厄瓜多尔全国共计1700万公民及已故者的全名，日期，出生地，教育水平，电话号码和国民身份证号码。^[63]

• 7月7日，在线写作网站Wattpad遭到ShinyHunters攻击，2700万包括经过哈希的密码在内的用户数据上架暗网遭到售卖。^[64]
• 12月，由SolarWinds, 微软和VMWare公司产品中的漏洞导致的严重数据泄漏事件导致美国联邦政府多个部门数据遭到黑客窃取。参见：2020美国联邦政府数据泄露事件

• 3月12日，微软Exchange邮件服务器漏洞导致约3000个英国邮件服务器有数据泄露风险。^[65][66]

• 完全披露 (计算机安全)