Facebook超5億用戶數(shù)據(jù)泄露，近十年全球信息安全問題集中頻發(fā)！

臉書已不止一次發(fā)生用戶信息泄露事件。

近日，美國社交媒體臉書（Facebook）超5億用戶的個(gè)人數(shù)據(jù)遭到泄露，包括電話號(hào)碼、電子郵件等信息。俄媒稱，臉書創(chuàng)始人扎克伯格的電話號(hào)碼也遭泄露。

據(jù)新聞網(wǎng)站商業(yè)內(nèi)幕（Business Insider）報(bào)道，一個(gè)低級(jí)別的黑客論壇3日曝光了5.33億臉書用戶的個(gè)人數(shù)據(jù)，這些用戶涉及 106個(gè)國家，泄露的信息包括臉書ID、用戶全名、位置、生日、個(gè)人簡介以及電子郵件地址。

令大眾吃驚的是，公布的這些個(gè)人隱私信息數(shù)據(jù)涉及來自 106 個(gè)國家的 5.33 億 Facebook 用戶，其中包括 3200 萬美國用戶，1100 萬英國用戶，600 萬印度用戶。

俄羅斯衛(wèi)星通信社4日?qǐng)?bào)道，遭泄露的5.33億臉書用戶數(shù)據(jù)中包含一些名人的信息，扎克伯格的電話號(hào)碼也在其中。有消息稱，遭泄露的電話號(hào)碼與扎克伯格的真實(shí)號(hào)碼是一致的。

網(wǎng)絡(luò)犯罪情報(bào)公司Hudson Rock的首席技術(shù)官加爾首先發(fā)現(xiàn)了臉書用戶數(shù)據(jù)泄露，通過比對(duì)他所認(rèn)識(shí)的人的信息，證實(shí)至少有一部分內(nèi)容是真實(shí)的。

事發(fā)后，臉書公司在4月3日的一份聲明中稱，上述數(shù)據(jù)來自2019年發(fā)生的信息泄露事件，當(dāng)年8月已經(jīng)進(jìn)行修復(fù)。

1、臉書已不止一次發(fā)生用戶信息泄露事件

此前，F(xiàn)acebook曾將8000萬用戶數(shù)據(jù)與劍橋分析公司（Cambridge Analytica）進(jìn)行分享，而后者則將這些數(shù)據(jù)用于2016年美國大選政治廣告，這嚴(yán)重違反了Facebook的服務(wù)條款。扎克伯格承認(rèn)對(duì)此事負(fù)有責(zé)任并道歉。隨后，美國聯(lián)邦貿(mào)易委員會(huì)對(duì)此事展開調(diào)查，并對(duì)臉書開出50億美元罰單。

國際上也有應(yīng)對(duì)此事的相關(guān)法律條令和組織，例如「GDPR」是 (The European) ，意思為「通用數(shù)據(jù)保護(hù)條例」，是歐盟議會(huì)和歐盟理事會(huì)在?2016?年?4?月通過，在?2018?年?5?月開始強(qiáng)制實(shí)施的規(guī)定。

GDPR 本質(zhì)上來說是一系列「打雞血」版強(qiáng)制執(zhí)行隱私條例，規(guī)定了企業(yè)了在對(duì)用戶的數(shù)據(jù)收集、存儲(chǔ)、保護(hù)和使用時(shí)新的標(biāo)準(zhǔn)；另一方面，對(duì)于自身的數(shù)據(jù)，也給予了用戶更大處理權(quán)。GDPR雖然保護(hù)范圍只在于歐洲生活的人民，但因?yàn)榭紤]到「全球性」是寫入互聯(lián)網(wǎng)基因內(nèi)的屬性，幾乎所有的服務(wù)都會(huì)受到影響，所以生活在歐洲之外的人其實(shí)也會(huì)從此條例中獲益。

據(jù)公開信息紕漏，如果2018年臉書的“劍橋分析事件”發(fā)生在了GDPR的管轄范圍之內(nèi)，則其可能被處罰1700萬英鎊或全球營業(yè)額4%的巨額罰款。

2、全球用戶隱私數(shù)據(jù)泄漏事件愈發(fā)頻繁

過去，影響幾百萬人的數(shù)據(jù)泄露事件就能成為新聞?lì)^條，而如今，影響數(shù)億甚至數(shù)十億的事件卻比比皆是。

雷鋒網(wǎng)通過公開資料，對(duì)關(guān)于21世紀(jì)以來的典型的數(shù)據(jù)泄漏事件整理，得知主打的數(shù)據(jù)安全泄漏主要發(fā)生在于以下幾家公司：Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系統(tǒng)、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等。

以下列舉幾件具有代表性的事件：

數(shù)據(jù)泄漏公司：Adobe；日期：2013年10月and2019年10月；影響：1.53億用戶記錄

在2013年10月上旬，根據(jù)安全博主Brian Krebs的披露，Adobe最初報(bào)告說，黑客竊取了將近300萬個(gè)加密的客戶信用卡記錄，以及數(shù)量不確定的用戶登錄信息帳戶。但根據(jù)后來的調(diào)查表明，已經(jīng)有超過1.5億用戶密碼被泄露，黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬美元的法律費(fèi)用，并向用戶支付賠償，金額數(shù)量并未公開，以解決違反《客戶記錄法》和不公平商業(yè)行為的指控。據(jù)報(bào)道，2016年11月支付給客戶的金額為100萬美元。

2019年10月Adobe再次出現(xiàn)數(shù)據(jù)泄露事故超過700萬名用戶受影響，所幸這次泄露的數(shù)據(jù)不含賬號(hào)密碼和信用卡數(shù)據(jù)等。

數(shù)據(jù)泄漏公司：Adult Friend Finder；日期：2016年10月；影響：4.122億個(gè)帳戶

AdultFriendFinder所屬公司被黑客入侵，泄露4.12億用戶數(shù)據(jù)，這將是2016年最大的一次數(shù)據(jù)泄露事件，也是20年來最大的一次數(shù)據(jù)泄露事件。

因?yàn)楣驹诎踩矫娴那啡?，?dǎo)致幾乎所有的賬戶密碼都泄露了，甚至連已經(jīng)刪除的賬戶也被黑客翻了出來。在4.12億數(shù)據(jù)中，有3.39億數(shù)據(jù)來源于AdultFriendFinder網(wǎng)站，有超過1500萬數(shù)據(jù)是已經(jīng)被刪除的用戶數(shù)據(jù)。

仔細(xì)分析數(shù)據(jù)庫之后得知，6200萬數(shù)據(jù)來源于Cams.com，700萬來源于Penthouse.com，其余的數(shù)據(jù)則來源其他FriendFinder網(wǎng)站。

數(shù)據(jù)泄漏公司：eBay；日期：2014年；影響：1.45億用戶

eBay曾與2014年初發(fā)生大規(guī)模用戶數(shù)據(jù)泄露事故，約1.45億用戶數(shù)據(jù)遭泄露，這些數(shù)據(jù)包括用戶名、電子郵件地址、家庭地址、電話號(hào)碼和生日等隱私信息，但eBay表示用戶密碼經(jīng)過加密處理，黑客并不容易獲得，而用戶的信用卡數(shù)據(jù)并未泄露。

eBay的數(shù)據(jù)泄露規(guī)模甚至超過了美國零售商Target的數(shù)據(jù)泄露事故（4000萬信用卡遭泄露，1.1億用戶數(shù)據(jù)遭泄露），不過McAfee的副總裁Raj Samani認(rèn)為eBay泄露的數(shù)據(jù)中未包含信用卡等支付數(shù)據(jù)，因此情況并沒有Target的數(shù)據(jù)泄露嚴(yán)重。

數(shù)據(jù)泄漏公司：LinkedIn；日期：2012年（和2016年）；影響：1.65億用戶帳戶

LinkedIn是商務(wù)專業(yè)人士的主要社交網(wǎng)絡(luò)。對(duì)于希望進(jìn)行社交工程攻擊的攻擊者來說，LinkedIn極具吸引力。2012年1月，一位名叫“Andrev”的黑客通過Pastebin發(fā)布了一則消息，聲稱其攻擊了LinkedIn服務(wù)器，并竊取了約1.59億的用戶信息。為證實(shí)其行為，他發(fā)布了一個(gè)包含100個(gè)用戶的信息名單，名單中包括帳戶信息、登陸密碼等。據(jù)稱，泄露的用戶中包含一些國際知名企業(yè)CEO。

然而，直到2016年該事件的影響范圍才完全揭露。出售MySpace數(shù)據(jù)的黑客僅用5個(gè)比特幣（當(dāng)時(shí)約為2,000美元）就提供LinkedIn上的用戶電子郵件地址和密碼。LinkedIn承認(rèn)已意識(shí)到該漏洞，并表示已重設(shè)了受影響帳戶的密碼。

數(shù)據(jù)泄漏公司：MySpace；日期：2013年；影響：3.6億用戶帳戶

早在2007年底，MySpace的Alexa全球排名已經(jīng)穩(wěn)定在第六名。曾有數(shù)據(jù)顯示，每個(gè)MySpace的注冊(cè)用戶的平均瀏覽頁面數(shù)高達(dá)30以上，用戶粘性極強(qiáng)。而這次事件的主導(dǎo)者就是上次售賣超過1.64億Linkedln用戶數(shù)據(jù)的同一個(gè)黑客，而現(xiàn)在該黑客宣稱已經(jīng)拿到了3億6000萬MySpace用戶的電子郵件地址以及密碼。

因?yàn)橛?.6億個(gè)MySpace用戶的帳戶泄漏，在LeakedSource（可搜索的數(shù)據(jù)庫，其中包含被盜帳戶）和暗網(wǎng)市場(chǎng)The Real Deal 上出售，要價(jià)為6比特幣（當(dāng)時(shí)約為3,000美元）。

據(jù)該公司稱，丟失的數(shù)據(jù)包括在2013年6月11日之前創(chuàng)建的部分賬戶電子郵件、密碼和用戶名。根據(jù)HaveIBeenPwned的Troy Hunt的介紹，密碼存儲(chǔ)為SHA-1哈希，密碼的前10個(gè)字符轉(zhuǎn)換為小寫。

數(shù)據(jù)泄漏公司：雅虎；日期：2013-14年；影響：30億用戶帳戶

雅虎于2016年9月宣布，自己是2014年里數(shù)據(jù)泄露事件最大的受害者。攻擊者竊取了5億用戶的真實(shí)姓名、電子郵件地址、出生日期和電話號(hào)碼。大多數(shù)泄露的密碼多為散列密碼。

在2016年12月，雅虎披露了另一位攻擊者自2013年以來的數(shù)據(jù)竊取行為，該攻擊行為泄露了10億個(gè)用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎于2017年10月修訂了這一估計(jì)數(shù)，總計(jì)包含30億用戶。

最初的數(shù)據(jù)泄露公布的時(shí)機(jī)不好，因?yàn)檠呕⒄诒籚erizon收購，后者最終以44.8億美元的價(jià)格收購了Yahoo的核心互聯(lián)網(wǎng)業(yè)務(wù)。此次泄露事件使公司價(jià)值縮水了約3.5億美元。

3、寫在最后

當(dāng)然全球數(shù)據(jù)泄漏事件不斷頻發(fā)的今日，用戶數(shù)據(jù)隱私保護(hù)就變得尤為重要性。GDPR是2018年全球跨國公司數(shù)據(jù)安全領(lǐng)域所關(guān)注的焦點(diǎn)。這一年，受GDPR啟發(fā)，歐盟之外的其他法域國家也推出了綜合性的個(gè)人數(shù)據(jù)安全保護(hù)的法規(guī)體系。比如：

巴西。2018年8月14日，巴西總統(tǒng)批準(zhǔn)了《巴西通用數(shù)據(jù)保護(hù)法》(Lei Geral de Proteção de Dados Pessoais，簡稱 “LGPD”)。LGPD將于18個(gè)月的過渡期后，在2020年2月15日正式生效。實(shí)際執(zhí)行中，2020年8月26日，博索納羅總統(tǒng)批準(zhǔn)了巴西數(shù)據(jù)保護(hù)局(ANPD)的監(jiān)管結(jié)構(gòu)和整體框架。ANPD將負(fù)責(zé)監(jiān)督個(gè)人數(shù)據(jù)保護(hù)措施，制定相關(guān)指導(dǎo)方針，調(diào)查和執(zhí)行LGPD，并與其他國家數(shù)據(jù)保護(hù)當(dāng)局開展合作。

就在今年年初，巴西數(shù)據(jù)保護(hù)局（下稱ANPD）向外界公布了其監(jiān)管工作戰(zhàn)略規(guī)劃及2021年至2022年工作計(jì)劃，其中有提及到ANPD機(jī)構(gòu)的發(fā)展愿景即：打造巴西國內(nèi)及全世界數(shù)據(jù)保護(hù)機(jī)構(gòu)的樣板。

美國加州。2018年6月28日，美國加利福尼亞州（“加州”）頒布了《2018年加州消費(fèi)者隱私法案》（“CCPA”），2020年1月1日正式生效。CCPA旨在加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，CCPA被認(rèn)為是美國國內(nèi)最嚴(yán)格的隱私立法。

隨后2020年11月3日，美國加利福尼亞州選民投票通過第24號(hào)提案，即《加州隱私權(quán)法案》（CPRA）。CPRA在去年剛剛生效的《加州消費(fèi)者隱私法》（CCPA）的基礎(chǔ)上，將進(jìn)一步賦予加州居民一些新的權(quán)利，比如更正個(gè)人信息以及限制敏感個(gè)人信息的使用和披露的權(quán)利。

新加坡。新加坡的個(gè)人數(shù)據(jù)保護(hù)立法已有9年多歷史，其《個(gè)人數(shù)據(jù)保護(hù)法令》于2012年10月由議會(huì)通過，該法主體部分于2014年7月生效。隨后該國又制定九部配套的附屬立法，其中重要的有2014年《個(gè)人數(shù)據(jù)保護(hù)規(guī)例》等。

2018年以來，新加坡在個(gè)人數(shù)據(jù)保護(hù)法的立法方面又有一些頗受矚目的新進(jìn)展，其中主要有2019年1月14日頒布的重要案例、2018年8月31日頒布的《關(guān)于國民身份證及其他類別國民身份號(hào)碼的（個(gè)人數(shù)據(jù)保護(hù)法令）咨詢指南》和2020年5月14日《個(gè)人數(shù)據(jù)保護(hù)法（修訂）草案》的公開征求意見稿等。

而國內(nèi)方面，今年3月19日，國家互聯(lián)網(wǎng)信息辦公室副主任楊小偉19日在新聞發(fā)布會(huì)上說，目前加緊制定出臺(tái)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，從而在法律層面為數(shù)據(jù)安全和個(gè)人隱私保護(hù)提供法律保障。正在加緊制定相關(guān)法規(guī)標(biāo)準(zhǔn)，建立數(shù)據(jù)資源的確權(quán)、開放、流通以及交易的相關(guān)制度，從而在運(yùn)行機(jī)制上進(jìn)一步完善數(shù)據(jù)產(chǎn)權(quán)保護(hù)制度，為我們的數(shù)據(jù)安全和個(gè)人隱私、個(gè)人信息保護(hù)提供制度保障。

參考來源：

• https://blog.csdn.net/jojo705/article/details/105439161/?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-0&spm=1001.2101.3001.4242https://tech.ifeng.com/c/85ACmlYk9Fd