無論哪個行業,大部分企業、機構在運營過程中都涉及到一些敏感數據,比如PII(個人身份信息)。這些信息如果未得到有效保護,將影響數以億計的平民百姓的利益,并且,可能對企業造成不可估量的資金損失。下文通過研究過去三年中美國發生的上市公司、私企的數據泄露事件,揭示了數據泄露的一些關鍵數字、損失程度和趨勢。
有關數據泄露的關鍵數字
先來看一組醒目的數字:
數據泄露事件主要是由基于網絡釣魚、惡意軟件、安全漏洞等的外部網絡攻擊造成。
每次數據泄露事件平均影響2.57億人。
涉事企業平均損失資金3.47億美元(包括法律費用、罰款、補救費用和其他費用)。
涉事企業股價平均下跌7.5%,平均損失市值54億美元。
即使不算拉高平均值的Facebook(損失市值430億美元),其他企業平均損失市值仍然達到7.62億美元。
涉事企業的股價平均花費46天才恢復到數據泄露之前的水平(除Equifax的股價仍未恢復外)。
那些年,我們追過的數據泄露門
萬豪喜達屋數據泄露門
2018年11月30日,萬豪發現旗下喜達屋酒店的客房預訂數據庫被黑客入侵,在2014年至2018年9月10日之間預定的顧客中,大約3.87億名客人的姓名、出生日期、性別、地址和護照號碼等被泄露。萬豪方面還補充,可能泄露的還包括加密的信用卡信息,且不能排除加密密匙同時被盜的可能性。萬豪因數據違規被罰款9.12億美元,且面臨多項法律訴訟,賠償額高達125億美元。
Facebook遭黑客攻擊
2018年9月28日,Facebook發布消息稱,本周發現的黑客攻擊顯示,攻擊者利用代碼漏洞盜取了用戶賬號密鑰,可能入侵和盜用5000萬用戶賬戶。黑客所利用的漏洞與「訪客視圖」功能相關。該功能的作用是讓用戶能夠以其他用戶的視角來查看自己的頁面,明確自己在設置了相關的隱私設置后,他人能否看到。事件導致Facebook市值損失430億美元,將面臨高達16億美元的罰款。
在線教科書租賃公司Chegg信息泄露
2018年9月19日,在線教科書租賃公司Chegg表示,4月下旬,未經授權的一方獲得了訪問托管用戶數據的公司數據庫的權限,包括姓名,電子郵件,送貨地址和密碼,包括EasyBib在內的品牌系列的用戶數據也可能受到影響。Chegg股價在披露黑客行為后一天內暴跌12%。
大數據公司Exactis數據泄露
2018年6月,大數據公司Exactis被發現其可公開訪問的數據庫暴露了3.4億個商業和消費者賬戶,幾乎包含每個美國公民的信息,包括家庭地址、電子郵箱、年齡、兒童數量、宗教關系甚至家庭寵物等。Exactis此次的信息泄露并不是由黑客撞庫或者其它惡意攻擊引起,而是由于服務器沒有防火墻阻隔,直接暴露在公共的數據庫查找范圍內。
信用評估巨頭Equifax數據泄露
2017年9月,Equifax發現,5月至7月期間遭到黑客攻擊,導致1.43億用戶的個人信息遭到泄露,將近一半美國人的隱私信息暴露在風險中:包括姓名、社安號(美國身份證號)、地址、駕照號、社保賬號等,還包括20.9萬人的信用卡號碼,18.2萬人的個人稅收信用文件,是當時有史以來規模最大、破壞性最強的數據泄露事件之一。Equifax股價在事件公布一天內暴跌近14%,兩周內下跌了31%,且面臨4.39億美元的法律、補救、保險和調查成本。Equifax的CEO、CSO(首席安全官)、CIO (首席信息官)在事發后立即宣布退休。
連鎖餐廳Sonic Drive-In被攻擊
2017年9月,Sonic Drive-In發現,其信用卡處理器發生異常活動,很可能是安裝在一個或多個銷售終端上的惡意軟件造成的,攻擊目標都是客戶的信用卡信息。在美國3600個連鎖分店中,325個分店受到持續6個月的惡意軟件攻擊,500萬張信用卡流入市場出售。Sonic Drive-In因此支付了430萬美元的法律賠償金。
Uber被黑客盜取用戶信息
2016年底,黑客通過竊取Uber公司的AWS實例憑證,獲得了數千萬Uber用戶和司機的個人數據。5700萬人的個人身份信息被竊取,包括電話號碼,電子郵箱、姓名等,此外60.7萬名司機的駕照號被盜。最終,Uber支付了1.48億美元的法律訴訟和解費。
Yahoo!兩起數據泄露事件
2016年,Yahoo! 公布了2起數據泄露事件——一起是在9月,這一事件危害5億以上的賬戶持有人,另一起是在12月,這一事件影響了超過10億的賬戶持有人。泄露的信息于2014年至2016年12月期間收集,黑客竊取的信息包括用戶名、電子郵箱、電話、生日、密碼以及安全問答等。Yahoo! 在事后補救和法律費用上花費超過9500萬美元,因未及時向投資者披露黑客行為被額外罰款3500萬美元。由于違規行為,Verizon收購Yahoo!比原報價少了3.5億美元。
職場社交軟件LinkedIn被黑
2016年,一名俄羅斯黑客Peace在暗網出售LinkedIn的用戶資料,總資料多達1.67億筆,當中達1.17億筆包含了賬號密碼,售價為5個比特幣(當時約合2200美元)。黑客Peace表示,這些資料源自2012年的一次攻擊,當時Peace就黑掉了LinkedIn,并曾在網上出售LinkedIn超過600萬條的賬戶信息。
陷入數據泄露門的公司,哪家最慘?
影響人數最多:Yahoo!——10億
股價跌幅最大:Equifax——31%
罰款最高:Facebook——16億美元
市值損失最大:Facebook——430億美元
賠償數額最高:萬豪喜達屋——125億美元
數據泄露門的啟示
安數網絡從上面的數據發現了一些特征:
全球化運營的企業發生數據泄露時,影響的人數最多。面向全球用戶基數大,全球的賬戶都集中存儲,不可避免地增加了用戶數據泄露風險。
威脅用戶財產安全的數據泄露事件,對企業造成的影響比較嚴重。如Equifax、萬豪喜達屋等因為泄露的信息中包含用戶信用卡信息,引發公眾對財產安全的擔憂,導致股價暴跌,并面臨巨額罰款。
泄露的信息隱私級別越高,企業付出的代價越高。比如Equifax泄露的信息包含近一半美國人的社安號、駕照號、社保號等,這屬于個人最私密的信息,消息一出輿論嘩然,企業因此付出了高額的補救成本。而Chegg泄露的信息中含有送貨地址,一般來說,社交平臺的地址還可以虛擬,但送貨地址必須真實,這一隱私泄露的危險性,無疑導致了Chegg股價的暴跌。
越知名的企業,數據泄露事件越影響其公信力。俗話說樹大招風,像Facebook這樣的社交媒體巨頭,有無數眼睛盯著,一有風吹草,迅速引爆輿論,進而發酵成信用危機,導致企業事后要花費天價的成本進行彌補。再大的企業也經不起幾次這樣的放血,更何況企業的公信力一旦崩塌難以重建,企業將日漸式微走向衰敗。
部分數據參考《Kings of the Monster Breaches》by Bitglass
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。電話:400-869-9193 負責人:張明
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:安數網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照