一、美国宇航局NASA内部软件暴露了员工和项目信息

网络信息安全研究员Avinash Jain于上周五（1月11日）发文称，美国国家航空航天局（National Aeronautics and Space Administration，NASA）内部使用的一款Web 应用程序因为存在人为配置错误无意间暴露了员工用户名、姓名、电子邮箱地址和项目名称等详细信息。

根据Avinash Jain的说法，此次数据泄露来源于一款名为“JIRA”的软件。JIRA是由澳大利亚企业软件公司Atlassian开发的一款Web 应用程序，被广泛应用于bug追踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

更准确地说，之所以会导致数据泄露，是由于NASA的系统管理员在配置JIRA用户权限时弄混了“Everyone”和“All users”的含义——与“All users”不同，“Everyone”权限允许任何能够访问互联网的人都可以访问JIRA的数据。

无论如何，由于权限配置错误，以下NASA内部信息的确能够被所有人访问（约1000名NASA员工受影响）：

所有帐户的用户名和电子邮箱地址；
员工的JIRA角色和用户组；
与当前项目相关的信息。

Avinash Jain表示，虽然遭暴露的数据并不包含高度详细的个人身份信息（PII），但攻击者仍然可以通过使用这些数据来优化鱼叉式网络钓鱼电子文件加密邮件攻击，以便欺骗这些受影响员工的同事，进而获取更加敏感的信息。

如上所述，配置错误的JIRA还暴露了与NASA当前项目相关的信息，包括项目的负责人，这允许攻击者了解NASA正在进行哪些项目，以及这些项目可能涉及到的方面。

Avinash Jain还表示，虽然他在201年9月3日通知了美国宇航局和美国计算机应急准备小组（US-CERT），但这个JIRA漏洞直到9月25日才被修复，整整耗费了三周多的时间。

“他们似乎没有专门的团队负责处理漏洞披露。”Avinash Jain告诉ZDNet。因为，美国宇航局从未回复过他的电子邮件，在修复了漏洞之后也没有通知他，且没有向他表示感谢，尽管他确实得到了US-CERT的感谢。

实际上，NASA在不到一个月之前还曾遭遇了另一起数据泄露事件。NASA在发给所有员工的内部备忘录中表示，一名黑客成功入侵了一台用于存储NASA员工个人身份信息的服务器，包括社会安全号码（SSN）。

二、国内外信息安全泄漏事件盘点

转瞬之间，我们迎来了新的一年2019。但2018年的网络安全圈还是和往年一样并不安生，各种网络安全事件时有发生。

而2018年最为频繁的安全事件莫过于数据泄露，虽然互联网的整体安全性都在提升，但依然出现了几波影响力颇大的用户信息被黑客盗走泄密的事件，动辄几亿用户数据遭到外泄，给企业和用户带来了不可估量的严重后果。

本次盘点就来回顾2018年发生的重要国内外数据泄露事件。

2018国内重要泄漏事件

01. 北京瑞智华胜公司

泄漏数据量：30亿

绍兴市警方破获了一起特大流量劫持案。犯罪团伙涉嫌非法窃取用户个人信息30亿条，非法牟利超千万元，涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。在涉案的三家企业中，北京瑞智华胜公司为新三板上市企业。

02. 圆通速递

泄漏数据量：约10亿

2018年6月19日，一位ID为“f666666”的用户公然在暗网上兜售圆通10亿条快递数据，这引发了外界的广泛关注，据称，这些外泄的数据是2014年下旬的数据，其中包括有寄(收)件人姓名，电话，地址等信息。

当时暗网对外泄数据进行了明码标价，用户只需花费430元人民币即可购买到100万条圆通快递的个人用户信息，而10亿条数据则需要约43000元人民币(约当时1比特币)。

03. 华住酒店集团

泄漏数据量：约5亿

2018年8月，根据暗网中文网帖子显示，华住旗下所有酒店的数据被公开售卖，其中包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家华住旗下酒店均在其列！

而所泄露数据竟达5亿条之巨——包括华住官网的注册资料(姓名、手机号、邮箱、身份证号、登录密码等信息)，共53G，大约1.23亿条记录；此外还包括有住户在酒店入住时的登记身份信息(包括姓名、身份证号、家庭住址、生日、内部ID号等信息)，共计22.3G，大约1.3亿人身份证信息；最后还包含有酒店的开房记录(包括内部id 号，同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等信息)，共66.2G，大约2.4亿条记录。

04. 万豪酒店集团

泄漏数据量：约5亿

华住酒店的数据泄露事件刚刚告一段落，11月底，万豪集团旗下酒店步华住集团后尘，其住客数据也惨遭泄露。据官方消息显示，万豪集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。

05. 顺丰速运

泄漏数据量：约3亿

快递行业的数据泄露事件不仅圆通一家中枪，2018年7月，有3亿用户数据在暗网售卖，而被兜售的数据为顺丰的快递信息，其中包含寄收件人姓名、地址、电话等信息。

作为快递行业口碑最好的快递公司，此次用户信息外泄事件对顺丰来讲无疑是一记耳光。据称，3亿条用户信息的打包价为2个比特币，当时市值约10万人民币。

06. 陌陌

泄漏数据量：3000万

12月3日有消息称，陌陌3000万数据在暗网上以50美元的低价出售。根据网上流传的截图，卖家以“陌陌3000万数据库”为名称，包含手机号、密码等字段，数据写入时间是2015年7月17日，卖家称数据通过撞库得来。

07. AcFun弹幕视频网

泄漏数据量：近千万

2018年6月13日凌晨，AcFun(A站)发布公告称，A站受到黑客攻击，近千万条用户数据外泄，A站在公告中强调，2017年7月7日之后从未登陆过的用户以及密码强度低的用户需要立刻更改密码，而跟A站用户信息中密码保持一致的，也要一并更改。

而在黑客成功攻击A站并窃取用户信息后，很快在暗网上发布售卖信息，900万条用户数据售价为40万人民币。

08. 国泰航空

泄漏数据量：940万

10月24日，国泰航空宣布，国泰航空及子公司港龙航空有限公司约940万乘客资料泄露。

被泄露资料包括: 乘客姓名、国籍、出生日期、电话号码、电子邮件地址、地址、护照号码、身份证号码、飞行常客计划的会员号码、顾客服务备注及过往的飞行记录资料。此外，有403张已逾期的信用卡号码曾被不当取览。另有27张无安全码的信用卡号码曾被不当取览。大约86万个护照号码及24.5万个香港身份证号码曾被不当取览。但国泰航空表示，目前并没有证据证明这些信息被不当利用。

09. 前程无忧

泄漏数据量：195万

2018年6月16日，有人在暗网开始叫卖招聘网站前程无忧(51job.com)用户信息，其中涉及195万用户求职简历，随后前程无忧方面确认部分用户账户密码被撞库。

为了证实泄露数据的真实性，前程无忧方面还进行了一定的测试，结果发现信息是真实可靠的，不过官方强调，数据中绝大部分来自于一些邮箱泄露的账户密码，且都是在2013年之前注册。对此前程无忧强调，出现这样的情况并非拖库，而是恶意用户通过这些已泄露的邮箱账户及密码，对相应的站点进行登录匹配，然后蓄意倒卖。

10. 多个外卖平台被曝泄漏用户信息

4月23日，新京报曝光了美团、饿了么等外卖平台用户信息被泄露，卖家、网络运营公司以及外卖骑手参与其中，每条信息最低不到一毛钱，却精确到你吃的什么、在哪儿吃的等私密信息。

消息曝出后，美团回应称已启动了相关信息的核实排查，同时已向警方报案。但由于公司业务复杂，犯罪团伙难免获得这些数据。另一家外卖平台饿了么则表示，平台也是受害者，看到相关报道后，已开始全力排查。

2018国外重要泄漏事件

01. Aadhaar

泄漏数据量：11亿

今年1月份，论坛报业集团（Tribune News Service）的记者为WhatsApp上匿名卖家提供的一项出售登录凭证的服务支付了500卢比。通过这项服务，记者可以输入任何一个Aadhaar号码（一个12位的唯一标识符，每个印度公民会使用到它）检索印度唯一身份识别管理局（UIDAI）存储的关于被查询公民的诸多类型的信息。这些数据包括姓名、住址、照片、电话号码和电子邮箱地址。在向卖家额外支付300卢比的费用后，任何人都可以通过该软件打印某个Aadhaar号码归属者的身份证。

据信，这起数据泄露事件已经损害了在印度注册的11亿公民的个人信息。

02. Under Armour

泄漏数据量：5亿

3月25日，Under Armour获悉有人未经授权访问了MyFitnessPal平台，这是一个用于跟踪用户饮食和锻炼情况的平台。美国全国广播公司财经频道（CNBC）在当时报道说，负责此次黑客入侵的犯罪分子访问了用户的用户名、电子邮件地址和哈希密码。但没有暴露用户的付款信息，因为Under Armour对这些数据进行了分别处理。同时，它也没有损害社会安全号码或驾驶执照号码，因为服装制造商表示它并不会收集此类数据。

据信，超过1.5亿MyFitnessPal用户的信息在数据泄露中受到了损害。

03. Exactis

泄漏数据量：4亿

安全研究员Vinny Troia在2018年6月发现，总部位于佛罗里达州的市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。该数据库包含2TB的信息，其中包括数亿美国人和企业的详细信息。在撰写本文时，Exactis尚未确认受此事件影响的确切人数，但Troia表示他能够找到近3.4亿条个人记录。他还向Wired证实，此事件暴露了消费者的电子邮箱地址、实际地址、电话号码以及一系列的其他个人信息，在某些情况下包括极其敏感的细节，如孩子的姓名和性别。

04. MyHeritage

泄漏数据量：9200万

一名安全研究员于6月4日联系了在线家谱平台MyHeritage的首席信息安全官，并透露他们在私人服务器上找到了一个标有“myheritage”的文件。在检查文件后，MyHeritage的官员确认该资产包含了在2017年10月26日之前已注册MyHeritage的所有用户的电子邮箱地址。该公司发布的一份声明称，由于MyHeritage依赖第三方服务提供商来处理会员的付款，因此它也包含了他们的哈希密码，但不包含支付信息。由于该服务将家谱和DNA数据存储在与存储电子邮箱地址的服务器不同的服务器上，MyHeritage表示没有理由相信这些信息已经被暴露或受到损坏。

05. Facebook

泄漏数据量：8700万

谁能忘记2018年3月令人震撼的Facebook数据泄露丑闻？当时，有报道称，一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息，该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息，但经过Facebook的确认，最初的估计实际上很低。今年 4月，该公司通知了在其平台上的8700万名用户，他们的数据已经遭到泄露。

6月27日，安全研究员Inti De Ceukelaire透露另一个名为Nametests.com应用程序，它已经暴露了超过1.2亿用户的信息。

06. Panera

泄漏数据量：3200万

4月2日，安全研究员Dylan Houlihan联系了调查信息安全记者Brian Krebs，向他讲述了他在2017年8月向Panera Bread报告的一个漏洞。该漏洞导致Panerabread.com以明文泄露客户记录，这些数据可以通过自动化工具进行抓取和索引。Houlihan试图向Panera Bread报告这个漏洞，但他告诉Krebs，他的报告被驳回了。在此后的八个月里，Houlihan每个月都会检查一次这个漏洞，直到最终向Krebs披露。随后，Krebs在他的博客上公布这些细节。Krebs 报告发布后，Panera Bread暂时关闭了起网站。

尽管该公司最初试图淡化此次数据泄露事件的严重程度，并表示受到影响的客户不到1万人，但据信真实数字高达3700万。

07. Ticketfly

泄漏数据量：2700万

5月31日，Ticketfly遭遇了一次攻击，导致音乐会和体育赛事票务网站遭到破坏，并离线和中断一周。据报道，此次攻击事件背后的黑客先是警告Ticketfly存在一个漏洞，并要求其支付赎金。当遭到该公司的拒绝后，劫持Ticketfly网站，替换了它的主页，用一个包含2700万个Ticketfly账户相关信息（如姓名、家庭住址、电子邮箱地址和电话号码等，涉及员工和用户）的页面。

08. Sacramento Bee

泄漏数据量：1950万

今年2月，一名匿名攻击者截获了Sacramento Bee拥有并运营的两个数据库。其中一个IT资产包含加利福尼亚州州务卿提供的加州选民登记数据，而另一个则存储了用户为订阅该报刊而提供的联系信息。在截获了这些资源之后，攻击者要求支付赎金以换取重新获得对数据的访问权限。Sacramento Bee最终拒绝了这一要求，并删除了数据库，以防止在将来这些数据库在被利用来进行其他更多的攻击。

根据Sacramento Bee的说法，这起黑客攻击事件共暴露了5.3万名订阅者的联系信息以及1940万加州选民的个人数据。

09. PumpUp

泄漏数据量：600万

5月31日，ZDNet报道称，安全研究员Oliver Hough联系他们说发现了一台暴露在互联网上的后端服务器，并且没有得到密码。该服务器属于健身应用程序PumpUp，它使得任何能够找到它的人都能访问大量的敏感用户数据，包括用户输入的健康信息、照片以及用户之间发送的私人消息。暴露的数据还包含Facebook访问令牌，在某些情况下还包含未加密的信用卡数据，如卡号、到期日期和信用卡验证值。

当ZDNet与PumpUp取得联系时，该公司并没有做出回应，但它确实悄悄地对服务器实施了保护措施。目前尚不清楚该资产在受到保护之前，已经暴露了多长的时间。

10. Saks和 Lord & Taylor

泄漏数据量：500万

3月底，安全公司Gemini Advisory偶然发现了一个来自JokerStash黑客集团发布的公告，宣称已出售有关500万张被盗信用卡和借记卡的数据。在各种金融机构的协助下，Gemini Advisory公司对这些交易进行了追踪，并最终将这些交易归因于Saks Fifth Avenue和Lord＆Taylor的系统入侵。两家百货公司的共同所有者Hudson Bay在了解到这一事件之后，采取了补救措施。

网络信息安全事件无小事，小到一个城市的医保系统，大到全球化的上市企业，一旦发生问题，会面临安全漏洞或攻击、丢失或泄露内部文件及客户数据、使员工数据信息处于危险境地、遭受DDos攻击、损失大量财产、使知识产权或商业秘密处于危险边缘、感染病毒成为黑客攻击目标等等，这不仅严重影响企业业务的运行，还会对企业的声誉带来重大的损失。

这二十起网络安全事件对各行业都是很好的警醒，特别是在用户隐私泄露、网络中断、系统故障等方面让我们清醒地意识到，潜在的安全事件随时都可能威胁企业的业务系统的安全。

由此看来，数据泄露对于企业的确是十分昂贵的。部署天锐绿盾防泄密平台，不仅是对企业加强数据安全防范，更是对数据本身的保护，也是对企业未来发展未雨绸缪的规划。

天锐绿盾防泄密平台，包含了文件透明加解密、内部文件流转、密级管控、离线管理、文件外发管理等功能，是一套从源头上保障数据安全和使用安全的系统。做到重要部门的数据，只能在本部门内员工之间交互，其他部门人员无权限访问，有效防止数据被越权访问，避免造成泄密行为发生，保障企业数据安全。