如果我要问你互联网有什么不好,个人信息泄露将是“最重要的”。
与 2017 年相比,2018 年的公共数据泄露事件有所减少。数据泄露事件的数量下降了三分之一,从 79 亿次降至 50 亿次。
根据安全情报提供商 Risk Based Security (RBS) 的一份报告,在 2018 年公开披露的 6,500 多起数据泄露事件中,大约三分之二的商业部门。同时,政府部门占13.9%,医疗部门占13.4%,教育部门占6.5%。
苏格兰皇家银行收集和分析的数据表明,非常严重的数据泄露事件将继续发生,对人们的个人隐私产生重大影响。 2018 年发生 12 起数据泄露事件,涉及人数超过 1 亿或更多,这些泄露事件占 2018 年所有记录的 74%。
迄今为止,2018 年最大的数据泄露事件是 Aadhaar Indian National Identity System。泄露于 2018 年 3 月曝光,涉及 11 亿印度个人信息,包括国家公民号码、姓名、号码、电子邮件地址、地址和照片。
其他大规模数据泄露事件包括万豪喜达屋酒店客户预订数据库遭到黑客攻击,近 5 亿人的详细个人信息被泄露;华住酒店集团1.3亿消费者的个人信息在暗网上出售。泄露的内容包括卡号、姓名、身份证号、登录密码、入住时间、出发时间等。
从这些泄露的原因来看,一些数据泄露并不是黑客利用安全漏洞造成的,而是导致数据在网上公开访问的错误行为。
例如,总部位于美国的营销公司 Exactis 由于数据库配置错误,公开了 2.3 亿用户和 1.1 亿业务联系人的个人详细信息。
另一个常见的违规原因是欺诈或社会工程,公司内部人员有意或无意地与未经授权的第三方共享数据。政治公司 Cambridge Analytica 通过第三方应用从 8700 万 Facebook 用户的个人资料中获取数据的案例属于此类。
根据 RBS 的分析,在去年的 4,508 起数据泄露事件中,黑客攻击是最常见的数据泄露原因,其次是略读 (45)。 3)、网络相关泄露(268)、网络钓鱼(177))和恶意软件(160)。
但是,在查看每个网络类别后,占数据泄露公共记录的 39%,其次是黑客,占 28%,欺诈占 25%最近几年个人信息泄露的案例,数据处理不当占 7%。
“在 2017 年之前,黑客攻击是最常见的泄露类型,也是数据泄露的主要‘贡献者’,”RBS 分析师在他们的报告中表示。
大多数违规(5,433 起)是由外部威胁造成的,其中 925 起是由内部威胁(无论是恶意还是意外)引起的,157 起是由未知原因引起的。也就是说,由于内部因素导致漏洞暴露的数据记录远远超过被黑客窃取的数据记录最近几年个人信息泄露的案例,例如配置错误的Errors和其他数据处理器错误。
数据泄露发现和报告之间的平均天数为 49.6%,比 2017 年略有增加。考虑到 2018 年欧洲现行 GDPR 法规要求在 72 小时内向监管机构报告数据泄露发现。
但是,值得注意的是,72 小时窗口仅适用于监管机构,而非公众。如果确实存在高风险并且公司有义务通知受影响的个人。
