2015年全球数据安全事件盘点分析

　　安华金和数据库安全专家点评：在大量个人信息库在网上泄漏的情况下，重要信息系统如报税系统，应该采取一些手段更好地防止身份欺诈行为。应该有由报税部门和软件公司的代表、工资和国家税收管理员三方组成，发布一些新的举措，以提高纳税申报过程中的安全性。比如通过安华金和的数据库的监控与审计系统会对数据库访问操作进行全面审计。报税者在访问时将需要通过IP地址和计算机设备特征电子码的对照，另外填写报税表的所需时长也将被设为判断是否为机器自动填表的重要标尺。

　　事件七：【时间：2015.8】英国240万网络用户遭黑客侵袭：加密信用卡数据外泄

　　http://tech.ifeng.com/a/20150809/41414265_0.shtml 来源：凤凰科技

　　8月9日，英国电信运营商Carphone Warehouse在黑客入侵事件中，包含加密信用卡数据的约240万在线用户的个人信息遭到黑客入侵。

　　Carphone Warehouse在一份新闻稿中透露，其网站和互联网服务遭到黑客侵袭。期间展开的一项调查显示：这240万用户的个人数据包括姓名、地址、出生 日期和银行卡细节……都有可能遭到黑客访问。“其中多达9万名客户的加密信用卡数据可能也遭到黑客入侵。”Carphone Warehouse补充说。

　　7月，约会网站AshleyMadison称，其系统遭到了黑客攻击。黑客甚至威胁称将泄露3700万用户包括真实姓名、地址以及其他个人信息，除非该公司将网站彻底关闭。

　　旧金山电脑安全公司OPSWAT的副总裁麦克·斯皮克曼(Mike Spykerman)表示，“现实情况来看，数据外泄已经不再是什么大不了的问题，但对于Carphone Warehouse数据外泄应该另当别论，因为其大量数据都没有加密。”

　　安华金和数据库安全专家点评：电信运营商数据库中存储了许多个人数据，如姓名、地址、出生日期和银行卡信息……被黑客攻击后，这些数据的批量泄漏会导致一系列电信诈骗致使电信运营商信誉受损，建议使用安华金和的数据库保险箱对敏感信息按列加密存储，同时使用数据库防火墙系统对外部黑客攻击进行防御。

　　事件八：【时间：2015.9】英国史上最惨数据泄露：400万人信息泄漏

　　http://news.mydrivers.com/1/453/453003.htm 来源：驱动之家

　　今年9月英国宽带服务提供商TalkTalk表示，该公司网站日前所遭受的网络攻击可能导致其400多万客户的个人数据被盗，这可能是英国史上最大规模的数据泄漏事件之一。

　　该公司表示很客户的姓名、地址、生日、电话号码、电邮地址、账户详细情况、信用卡详细情况等数据很有可能都被窃取了。

　　本次攻击可能是英国企业迄今为止遭受的最大规模和最具破坏性的网络入侵事件。

　　这是TalkTalk今年第三次遭受网络攻击，计算机安全专家格雷汉姆·克鲁利(Graham Cluley)指出：“他们的品牌将受损，他们的客户可能已经忍无可忍了。”

　　在股市早盘交易中，TalkTalk股价下跌8.5%至2年低位238便士。

　　15年年初，TalkTalk网站遭遇攻击，包括姓名、地址和电话号码在内的客户个人数据被盗;8月份，TalkTalk的创办企业Carphone Warehouse所拥有的服务器遭遇攻击，大约48万TalkTalk移动用户受影响。

　　安华金和数据库安全专家点评：作为英国主要的宽带服务提供商，对于有可能面临的网络攻击要做好持续防御工作。数据库中存储的姓名、地址和电话号码都需要重点甚至是加密保护，以防止被数据盗窃。

　　事件九：【时间：2015.10】音乐众筹网站Patreon被黑，超过16GB资料流落网络

　　http://www.caimiao.cn/jinrong/hangye/gjzx/15794.html 来源：菜苗网 国际咨询

　　10月，独立安全研究人员Troy Hunt在他自己所设立的haveibeenpwned网站上公布：音乐众筹网站Patreon已遭骇客入侵，并有超过16GB的资料在网路上流窜， Patreon也已证实此事。

　　Patreon是由音乐家Jack Conte及开发人员Sam Yam在2013年创立的众筹网站，主要是替音乐或影片的作者筹募创作基金。

　　Hunt指出，黑客公布了超过16GB的Patreon资料，其中包含14GB的资料库纪录，还有逾230万个电子邮件位址与数百万封的讯息，甚至还有Patreon网站的原始码。

　　Patreon 共同创办人暨执行长Conte承认在9月28日发觉黑客入侵正在公测的网站，该测试网站含有一个运作中的资料库快照，但并未储存可存取其他伺服器的私密金钥。在得知遭到入侵后便关闭了测试网站的伺服器，并将所有非运作中的伺服器全数移到防火牆之后。

　　黑客所存取的资料包含注册名称、电子邮件位址、张贴内容、送货地址，以及2014年以前的某些帐单地址。不过Patreon并未储存完整的信用卡资讯，而信用卡号码也未被存取。

　　安华金和数据库安全专家点评：音乐众筹网站Patreon的16GB资料中包括注册名称、电子邮件地址等，但未存储完整的信用卡资讯，信用卡也未有存取记录，该站用户的密码、社会安全码与税赋资讯，这些机密的个人资讯皆通过2048 bit的RSA金钥加密保护，虽然泄漏的数据条目很多，涉及主要信息数据已经有密码保护，这点也值得很多国内互联网公司学习。

　　事件十：【时间：2015.10】美股券商Scottrade数据泄露 或影响460万用户

　　http://tech.qq.com/a/20151003/027929.htm 来源：腾讯科技

　　10月3日， CNBC财经电视台网站公布，国内常用的美股券商服务Scottrade发生了数据泄露事故，数百万用户的敏感数据可能受到影响。

　　Scottrade将向发生泄露事故的460万客户发送通知，并提供身份保护服务。受影响的数据库中包含用户的社会安全号码和电子邮件地址。Scottrade表示：“我们非常严肃地对待信息安全，并全面配合司法部门进行调查，将犯罪者绳之以法。”

　　安华金和数据库安全专家点评：美股券商是属于金融行业之一的证券业。这类金融企业在要重点保护证券交易信息和客户信息。虽然没有影响交易平台或客户的咨询信息，一旦发生损失不可估量，证券行业一定要加强信息安全防护，尤其是数据库的安全防护。

　　事件十一：【时间：2015.11】喜达屋54家酒店遭POS恶意软件植入 房客银行数据泄露

　　http://netsecurity.51cto.com/art/201511/498071.htm 来源：51CTO 网络安全频道

　　11月，喜达屋集团旗下54家酒店发现窃取信用卡信息的恶意软件，包括客户名称、信用卡号码、信用卡安全码和到期日期等信息泄露，泄露数量尚未公布。

　　喜达屋集团，是全球最大的饭店及娱乐休闲集团之一，旗下拥有着喜来登、威斯丁、W酒店等众多全球高档豪华酒店品牌。据分析，该恶意软件最早从2014年11月开始成功渗透进酒店。最开始，恶意软件是在礼品店，饭馆和销售登记的付款系统中被发现的。

　　安华金和数据库安全专家点评：任何在上述酒店居住过的顾客都应该对银行账单保持密切关注，特别是有可疑的费用产生的时候，应特别注意，受到影响的顾客要注意对身份信息保护和信用卡监控服务。

　　小结：

　　可以看到，在互联网时代黑客已经不再是躲在地下室，为了一时的兴趣进行破坏，越来越多的黑客正在“商业化”，愈发成熟的黑产一次次的证明数据的价值。企业赖以生存的用户信息都存其数据库内，所以数据库的安全事关企业生死存亡。