盘点信息泄漏事件 数据安全问题正不断蔓延

       都说信息时代是一个便捷和快速的时代，确实，由于信息的电子化、网络化，人们得到有价值的信息的速度变得越来越快和越来越方便，借由这种效率的提升，不管是个人还是企业，甚至是国家的发展都得到了大步的提速。

       但信息的快速获取和快速传递也催生了一个很大的隐患，那就是关于个人、企业甚至国家的信息安全问题不断恶化，其中以信息泄露事件最为典型。那些被泄露的价值数据借由同样的网络和手段，被传递到“他人”手中，从而为“他人”获利，这种价值信息间的恶意竞争的高发，使得信息安全正成为一个全球化的问题。

       所以作为受信息安全影响最直接对象的我们，想要保护我们的数据安全，就必须了解那些典型的信息泄漏事件，从这些事件中找寻我们需要防护的重点，并就先进的数据、信息安全防护技术达到本源防护的效果。下面就让信息安全领域的专家山丽网安，为您盘点近些年的一些信息泄漏事件，并从这些事件中找寻数据安全防护的“不二法门”吧。

       信息泄漏事件加速发生 范围波及各行各业

       1、京东商城网站被入侵

       2011年4月，网名“我心飞翔”的犯罪嫌疑人要某(男，35岁，陕西省咸阳市某制药厂员工)发现京东商城网站存在安全漏洞，当年12月29日在乌云网上发帖称掌握京东商城漏洞，以公布该安全漏洞要挟京东商城向其支付270万元。后经立案调查，要某并未窃取、泄露该网站相关数据，但因涉嫌敲诈勒索，现已被依法刑事拘留。

       2、中航信用户信息被盗取

       2011年11月，中国首例入侵民航计算机系统盗取信息要案在北京东城区法院开庭审理。自2005年至2010年8月，6名被告(龙士凡、宋金箱、贺平、吴港水、董强、高睿)通过研发建立“迅保系统”，非法侵入中国航空信息网络股份有限公司(下称“中航信”)的计算机系统，从而获取民航数据1996万余条。通过对案件的了解，6名被告全部曾在中航信系统内部任职，其中宋金箱更为中航信元老级人物，曾任中航信执行董事。2013年10月，南航、东航等多家航企泄露旅客信息，不少用户反映遭受诈骗，影响行程安排和出行安全。据了解，系统提供方为中航信。

       3、电子商务网站信息外漏

       2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户的电子邮件和密码等信息被窃取。同年7月，雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密，而且让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。

       4、银行、保险公司用户信息外泄

       2012年3月，央视3.15晚会曝光招商银行(11.00, 0.17, 1.57%)、中国工商银行(3.54, 0.03, 0.85%)、中国农业银行(2.52, 0.02, 0.80%)员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗。

       同年8月，银行外包后台成泄密重灾区，江苏银行个月卖千份客户资料，上海数十万条新生儿信息遭倒卖，出自市卫生局数据库外包维护工作人员。2013年 2月，中国人寿(15.22, 0.30, 2.01%)80万份保单信息可上网任意查询，包括险种、手机号、身份证号和密码一应俱全。

       5、1号店用户信息被叫卖

       2012年5月，1号店90万用户信息被500元叫卖。有媒体从90万全字段的用户信息资料上进行了用户信息验证，结果表明大部分用户数据属真实信息。个人信息的泄露将会导致诈骗、勒索甚至威胁人身安全的事件发生频率增高，让人心悸。

       6、多家快递公司客户信息遭泄漏

       2012年11月，三通一达等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露，甚至衍生出多个专门交易快递单号信息的网站。这些交易网站显示，被交易的快递单号来自包括申通、圆通、中通及韵达在内的多个快递公司。“淘单114”上还写着单号来源于各地快递员。

       2013年10月，圆通百万客户信息再遭泄露，客户的地址、姓名、手机号码等信息一览无余，其近百万条信息，购买者可随意挑选。技术专家证实，能随时看到全国所有客户的实时信息，除了圆通内鬼，即便黑客也很难做到。

       7、12306新版上线即曝漏洞

       2012年12月，为配合新一轮的春运工作，新版中国铁路客户服务中心12306网站正式上线试运行。上线第一天，擅长“挑刺”的IT高手们就发现12306新版网站存在漏洞。漏洞发现者指出，12306网站漏洞泄露用户信息，可查询登录名、邮箱、姓名、身份证号码以及电话号码等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”，该漏洞可能导致后期订票软件泛滥，造成订票不公。铁路总公司对此回应，“上线当晚漏洞已经弥补”，但12306的安全性也由此被人们打上问号。

       8、东软集团商业秘密外泄

       2013年3月，东软集团被曝商业秘密外泄，约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人民币。

       9、支付宝、腾讯QQ用户数据泄漏

       2013年3月，支付宝转账信息被谷歌抓取，直接搜索“site:shenghuo.alipay.com”就能搜到转账信息，数量超过2000条。2013年11月，国内知名漏洞网站乌云网曝光称，腾讯QQ群关系数据被泄露，在迅雷上很容易就能找到数据下载链接。据测试，该数据包括QQ号、用户备注的真实姓名、年龄、社交关系网甚至从业经历等大量个人隐私。数据库解压后超过90G，有7000多万个QQ群信息，12亿多个部分重复的QQ号码。随后腾讯公司回应称，此次QQ群泄露的只是2011年之前的数据，黑客攻击的漏洞也已经修复。不过这么大规模数据在网上公开，由此引发的后遗症很难消除。

       山丽网安观点：上述的9个事件，只是近些年信息安全泄漏事件中的一小部分，但足以看出现今的数据、信息安全问题发生的频率正越来越高，波及或者涉及的领域越来越广泛。面对如此“膨胀”的信息安全问题，我们该从何处着手呢？

       面对多样的威胁和多样的防护需求 加密防护数据本源或是最佳方案

       从对于信息泄漏事件的盘点我们不难看出，想要应对威胁种类越来越多的安全问题，或者不同行业不同的防护需求，我们采用的技术也必须灵活多样，但同时，防护的技术必须触及我们需要防护的核心——电子化后的敏感、价值数据本身。而现今能兼顾到以上两点非数据加密技术和其先进代表多模加密技术莫属。

       数据加密直接作用于数据本身，使得数据在各种情况下都可以得到加密的防护。再者由于加密防护特殊性，使得数据即使泄露了，加密防护依然存在，只要算法不被破译，数据和信息仍然可以称作是安全的。由于这两点保证，使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。同时由于未来信息安全防护的多样需求，在加密软件或者说加密技术中，采用走在时代前沿的多模加密技术或是最好的选择。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保的加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       信息泄漏事件的高发反映了这样一个事实：随着信息、数据在人们生活中占据的部分越来越大，在个人、企业甚至世界范围内，谁能掌握更多的有价值数据，谁就能占据更大的优势、更多的财富，而这些都是引发人们对于数据争夺的“绝对诱因”。虽然或许每个人都想“得到更多的数据”，但保护自身的的数据安全却是摆在眼前更为要紧的事。面对问题越来越复杂，渗透性越来越强的数据安全威胁，“针锋相对”地采用灵活且具有本源防护效果的加密技术及其软件进行防护或许是最好的选择！