聚焦近年來全球十大典型數(shù)據(jù)安全事件

來源：超達(dá)科技 發(fā)布時(shí)間：2017-12-19瀏覽：3379次

聚焦近年來全球十大典型數(shù)據(jù)安全事件

人民網(wǎng)北京5月19日電（記者宋豪新）6月1日，我國(guó)《網(wǎng)絡(luò)安全法》將正式生效實(shí)施，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)安全管理提出了系統(tǒng)且嚴(yán)格的法律要求。近日，上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心發(fā)布大數(shù)據(jù)安全風(fēng)險(xiǎn)與對(duì)策研究報(bào)告，遴選了近年來國(guó)內(nèi)外典型數(shù)據(jù)安全事件，系統(tǒng)分析了大數(shù)據(jù)安全風(fēng)險(xiǎn)產(chǎn)生的類型和誘因，并分別從提升國(guó)家大數(shù)據(jù)生態(tài)治理水平（政府）和加強(qiáng)企業(yè)大數(shù)據(jù)安全能力（企業(yè)）兩個(gè)層面提出推動(dòng)我國(guó)大數(shù)據(jù)安全發(fā)展的對(duì)策建議。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)成為推動(dòng)經(jīng)濟(jì)社會(huì)創(chuàng)新發(fā)展的關(guān)鍵生產(chǎn)要素，基于數(shù)據(jù)的開放與開發(fā)推動(dòng)了跨組織、跨行業(yè)、跨地域的協(xié)助與創(chuàng)新，催生出各類全新的產(chǎn)業(yè)形態(tài)和商業(yè)模式，全面激活了人類的創(chuàng)造力和生產(chǎn)力。

然而，大數(shù)據(jù)在為組織創(chuàng)造價(jià)值的同時(shí)，也面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)。一方面，數(shù)據(jù)經(jīng)濟(jì)發(fā)展特性使得數(shù)據(jù)在不同主體間的流通和加工成為不可避免的趨勢(shì)，由此也打破了數(shù)據(jù)安全管理邊界，弱化了管理主體風(fēng)險(xiǎn)控制能力；另一方面，隨著數(shù)據(jù)資源商業(yè)價(jià)值的凸顯，針對(duì)數(shù)據(jù)的攻擊、竊取、濫用、劫持等活動(dòng)持續(xù)泛濫，并呈現(xiàn)出產(chǎn)業(yè)化、高科技化和跨國(guó)化等特性，對(duì)國(guó)家的數(shù)據(jù)生態(tài)治理水平和組織的數(shù)據(jù)安全管理能力提出全新挑戰(zhàn)。在內(nèi)外雙重壓力下，大數(shù)據(jù)安全重大事件頻發(fā)，已經(jīng)成為全社會(huì)關(guān)注的重大安全議題。

綜合近年來國(guó)內(nèi)外重大數(shù)據(jù)安全事件發(fā)現(xiàn)，大數(shù)據(jù)安全事件正在呈現(xiàn)以下特點(diǎn)：（1）風(fēng)險(xiǎn)成因復(fù)雜交織，既有外部攻擊，也有內(nèi)部泄露，既有技術(shù)漏洞，也有管理缺陷；既有新技術(shù)新模式觸發(fā)的新風(fēng)險(xiǎn)，也有傳統(tǒng)安全問題的持續(xù)觸發(fā)。（2）威脅范圍全域覆蓋，大數(shù)據(jù)安全威脅滲透在數(shù)據(jù)生產(chǎn)、流通和消費(fèi)等大數(shù)據(jù)產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)，包括數(shù)據(jù)源的提供者、大數(shù)據(jù)加工平臺(tái)提供者、大數(shù)據(jù)分析服務(wù)提供者等各類主體都是威脅源；(3)事件影響重大深遠(yuǎn)。數(shù)據(jù)云端化存儲(chǔ)導(dǎo)致數(shù)據(jù)風(fēng)險(xiǎn)呈現(xiàn)集聚和極化效應(yīng)，一旦發(fā)生數(shù)據(jù)泄露等其影響都將超越技術(shù)范疇和組織邊界，對(duì)經(jīng)濟(jì)、政治和社會(huì)等領(lǐng)域產(chǎn)生影響，包括產(chǎn)生重大財(cái)產(chǎn)損失、威脅生命安全和改變政治進(jìn)程。

隨著數(shù)據(jù)經(jīng)濟(jì)時(shí)代的來臨，全面提升網(wǎng)絡(luò)空間數(shù)據(jù)資源的安全是國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展的核心任務(wù)，如同環(huán)境生態(tài)的治理，數(shù)據(jù)生態(tài)治理面臨一場(chǎng)艱巨的戰(zhàn)役，這場(chǎng)戰(zhàn)役的成敗將決定新時(shí)期公民的權(quán)利、企業(yè)的利益、社會(huì)的信任，也將決定數(shù)據(jù)經(jīng)濟(jì)的發(fā)展乃至國(guó)家的命運(yùn)和前途。為此，我們建議重點(diǎn)從政府和企業(yè)兩個(gè)維度入手，全面提升我國(guó)大數(shù)據(jù)安全

從政府角度，報(bào)告建議持續(xù)提升數(shù)據(jù)保護(hù)立法水平，構(gòu)筑網(wǎng)絡(luò)空間信任基石；加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法能力，開展網(wǎng)絡(luò)黑產(chǎn)長(zhǎng)效治理；加強(qiáng)重點(diǎn)領(lǐng)域安全治理，維護(hù)國(guó)家數(shù)據(jù)經(jīng)濟(jì)生態(tài)；規(guī)范發(fā)展數(shù)據(jù)流通市場(chǎng)，引導(dǎo)合法數(shù)據(jù)交易需求；科學(xué)開展跨境數(shù)據(jù)監(jiān)管，切實(shí)保障國(guó)家數(shù)據(jù)主權(quán)。

從企業(yè)角度，報(bào)告建議網(wǎng)絡(luò)運(yùn)營(yíng)者需要規(guī)范數(shù)據(jù)開發(fā)利用規(guī)則，明確數(shù)據(jù)權(quán)屬關(guān)系，重點(diǎn)加強(qiáng)個(gè)人數(shù)據(jù)和重點(diǎn)數(shù)據(jù)的安全管理，針對(duì)采集、存儲(chǔ)、傳輸、處理、交換和銷毀等各個(gè)環(huán)節(jié)開展全生命周期的保護(hù)，從制度流程、人員能力、組織建設(shè)和技術(shù)工具等方面加強(qiáng)數(shù)據(jù)安全能力建設(shè)。

附十大典型事件（時(shí)間順序）：

1. 全球范圍遭受勒索軟件攻擊

關(guān)鍵詞：網(wǎng)絡(luò)武器泄漏，勒索軟件，數(shù)據(jù)加密，比特幣

2017年5月12日，全球范圍爆發(fā)針對(duì)Windows操作系統(tǒng)的勒索軟件（WannaCry）感染事件。該勒索軟件利用此前美國(guó)國(guó)家安全局網(wǎng)絡(luò)武器庫(kù)泄露的WindowsSMB服務(wù)漏洞進(jìn)行攻擊，受攻擊文件被加密，用戶需支付比特幣才能取回文件，否則贖金翻倍或是文件被徹底刪除。全球100多個(gè)國(guó)家數(shù)十萬用戶中招，國(guó)內(nèi)的企業(yè)、學(xué)校、醫(yī)療、電力、能源、銀行、交通等多個(gè)行業(yè)均遭受不同程度的影響。

安全漏洞的發(fā)掘和利用已經(jīng)形成了大規(guī)模的全球性黑色產(chǎn)業(yè)鏈。美國(guó)政府網(wǎng)絡(luò)武器庫(kù)的泄漏更是加劇了黑客利用眾多未知零日漏洞發(fā)起攻擊的威脅。2017年3月，微軟就已經(jīng)發(fā)布此次黑客攻擊所利用的漏洞的修復(fù)補(bǔ)丁，但全球有太多用戶沒有及時(shí)修復(fù)更新，再加上眾多教育系統(tǒng)、醫(yī)院等還在使用微軟早已停止安全更新的Windows XP系統(tǒng)，網(wǎng)絡(luò)安全意識(shí)的缺乏擊潰了網(wǎng)絡(luò)安全的第一道防線。

類似事件：2016年11月舊金山市政地鐵系統(tǒng)感染勒索軟件，自動(dòng)售票機(jī)被迫關(guān)閉，旅客被允許在周六免費(fèi)乘坐輕軌。

2.京東內(nèi)部員工涉嫌竊取50億條用戶數(shù)據(jù)

關(guān)鍵詞：企業(yè)內(nèi)鬼，數(shù)據(jù)販賣，數(shù)據(jù)內(nèi)部權(quán)限

2017年3月，京東與騰訊的安全團(tuán)隊(duì)聯(lián)手協(xié)助公安部破獲的一起特大竊取販賣公民個(gè)人信息案，其主要犯罪嫌疑人乃京東內(nèi)部員工。該員工2016年6月底才入職，尚處于試用期，即盜取涉及交通、物流、醫(yī)療、社交、銀行等個(gè)人信息50億條，通過各種方式在網(wǎng)絡(luò)黑市販賣。

為防止數(shù)據(jù)盜竊，企業(yè)每年花費(fèi)巨額資金保護(hù)信息系統(tǒng)不受黑客攻擊，然而因內(nèi)部人員盜竊數(shù)據(jù)而導(dǎo)致?lián)p失的風(fēng)險(xiǎn)也不容小覷。地下數(shù)據(jù)交易的暴利以及企業(yè)內(nèi)部管理的失序誘使企業(yè)內(nèi)部人員鋌而走險(xiǎn)、監(jiān)守自盜，盜取販賣用戶數(shù)據(jù)的案例屢見不鮮。管理咨詢公司埃森哲等研究機(jī)構(gòu)2016年發(fā)布的一項(xiàng)調(diào)查研究結(jié)果顯示，其調(diào)查的208家企業(yè)中，69％的企業(yè)曾在過去一年內(nèi)“遭公司內(nèi)部人員竊取數(shù)據(jù)或試圖盜取”。未采取有效的數(shù)據(jù)訪問權(quán)限管理，身份認(rèn)證管理、數(shù)據(jù)利用控制等措施是大多數(shù)企業(yè)數(shù)據(jù)內(nèi)部人員數(shù)據(jù)盜竊的主要原因。

類似事件：2016年4月，美國(guó)兒童撫養(yǎng)執(zhí)行辦公室500萬個(gè)人信息遭前員工盜竊。

3. 雅虎遭黑客攻擊10億級(jí)用戶賬戶信息泄露

關(guān)鍵詞：漏洞攻擊，用戶密碼，俄羅斯黑客

2016年9月22日，全球互聯(lián)網(wǎng)巨頭雅虎證實(shí)至少5億用戶賬戶信息在2014年遭人竊取，內(nèi)容涉及用戶姓名、電子郵箱、電話號(hào)碼、出生日期和部分登錄密碼。2016年12月14日，雅虎再次發(fā)布聲明，宣布在2013年8月，未經(jīng)授權(quán)的第三方盜取了超過10億用戶的賬戶信息。2013年和2014年這兩起黑客襲擊事件有著相似之處，即黑客攻破了雅虎用戶賬戶保密算法，竊得用戶密碼。2017年3 月，美國(guó)檢方以參與雅虎用戶受到影響的網(wǎng)絡(luò)攻擊活動(dòng)為由，對(duì)俄羅斯情報(bào)官員提起刑事訴訟。

雅虎信息泄露事件是有史以來規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄漏事件，當(dāng)前，重要商業(yè)網(wǎng)站的海量用戶數(shù)據(jù)是企業(yè)的核心資產(chǎn)，也是民間黑客甚至國(guó)家級(jí)攻擊的重要對(duì)象，重點(diǎn)企業(yè)數(shù)據(jù)安全管理面臨更高的要求，必須建立嚴(yán)格的安全能力體系，不僅需要確保對(duì)用戶數(shù)據(jù)進(jìn)行加密處理，對(duì)數(shù)據(jù)的訪問權(quán)限進(jìn)行精準(zhǔn)控制，并為網(wǎng)絡(luò)破壞事件、應(yīng)急響應(yīng)建立彈性設(shè)計(jì)方案，與監(jiān)管部門建立應(yīng)急溝通機(jī)制。

類似事件：2015年2月，美國(guó)第二大健康醫(yī)療保險(xiǎn)公司Anthem公司信息系統(tǒng)被攻破，將近8000萬客戶和員工的記錄遭遇泄露。

4. 順豐內(nèi)部人員泄漏用戶數(shù)據(jù)

關(guān)鍵詞：轉(zhuǎn)賣內(nèi)部數(shù)據(jù)權(quán)限，惡意程序

2016年8月26日，順豐速遞湖南分公司宋某被控“侵犯公民個(gè)人信息罪”在深圳南山區(qū)人民法院受審。此前，順豐作為快遞行業(yè)領(lǐng)頭羊，出現(xiàn)過多次內(nèi)部人員泄漏客戶信息事件，作案手法包括將個(gè)人掌握的公司網(wǎng)站賬號(hào)及密碼出售他人；編寫惡意程序批量下載客戶信息；利用多個(gè)賬號(hào)大批量查詢客戶信息；通過購(gòu)買內(nèi)部辦公系統(tǒng)地址、賬號(hào)及密碼，侵入系統(tǒng)盜取信息；研發(fā)人員從數(shù)據(jù)庫(kù)直接導(dǎo)出客戶信息等。

順豐發(fā)生的系列數(shù)據(jù)泄漏事件暴露出針對(duì)內(nèi)部人員數(shù)據(jù)安全管理的缺陷，由于數(shù)據(jù)黑產(chǎn)的發(fā)展，內(nèi)外勾結(jié)盜竊用戶數(shù)據(jù)謀取暴利的行為正在迅速蔓延。雖然順豐的IT系統(tǒng)具備事件發(fā)生后的追查能力，但是無法對(duì)員工批量下載數(shù)據(jù)的異常行為發(fā)出警告和風(fēng)險(xiǎn)預(yù)防，針對(duì)內(nèi)部人員數(shù)據(jù)訪問需要設(shè)置嚴(yán)格的數(shù)據(jù)管控，并對(duì)數(shù)據(jù)進(jìn)行脫敏處理，才能有效確保企業(yè)數(shù)據(jù)的安全。

類似事件：2012年1號(hào)店內(nèi)部員工與離職、外部人員內(nèi)外勾結(jié)，泄露90萬用戶數(shù)據(jù)。

5. 徐玉玉遭電信詐騙致死

關(guān)鍵詞：安全漏洞，拖庫(kù)，個(gè)人數(shù)據(jù)，精準(zhǔn)詐騙，黑產(chǎn)

2016年8月，高考生徐玉玉被電信詐騙者騙取學(xué)費(fèi)9900元，發(fā)現(xiàn)被騙后突然心臟驟停，不幸離世。據(jù)警方調(diào)查，騙取徐玉玉學(xué)費(fèi)的電信詐騙者的信息來自網(wǎng)上非法出售的個(gè)高考個(gè)人信息，而其源頭則是黑客利用安全漏洞侵入了“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”網(wǎng)站，下載了60多萬條山東省高考考生數(shù)據(jù)，高考結(jié)束后開始在網(wǎng)上非法出售給電信詐騙者。

近年來，針對(duì)我國(guó)公民個(gè)人信息的竊取和交易已經(jīng)形成了龐大黑色產(chǎn)業(yè)鏈，遭遇泄露的個(gè)人數(shù)據(jù)推動(dòng)電信詐騙、金融盜竊等一系列犯罪活動(dòng)日益“精準(zhǔn)化”、“智能化”，對(duì)社會(huì)公眾的財(cái)產(chǎn)和人身安全構(gòu)成嚴(yán)峻威脅。造成這一現(xiàn)狀的直接原因在于我國(guó)企事業(yè)單位全方位收集用戶數(shù)據(jù)，但企業(yè)網(wǎng)絡(luò)安全防護(hù)水平低下和數(shù)據(jù)安全管理能力不足，使黑客和內(nèi)鬼有機(jī)可乘，而個(gè)人信息泄漏后缺乏用戶告知機(jī)制，加大了犯罪活動(dòng)的危害性和持續(xù)性。

類似事件：2016年8月23日，山東省臨沭縣的大二學(xué)生宋振寧遭遇電信詐騙心臟驟停，不幸離世。

6. 希拉里遭遇“郵件門”導(dǎo)致競(jìng)選失敗

鍵詞：私人郵箱，公務(wù)郵件,維基解密，黑客

希拉里“郵件門”是指民主黨總統(tǒng)競(jìng)選人希拉里·克林頓任職美國(guó)國(guó)務(wù)卿期間，在沒有事先通知國(guó)務(wù)院相關(guān)部門的情況下使用私人郵箱和服務(wù)器處理公務(wù)，并且希拉里處理的未加密郵件中有上千封包含國(guó)家機(jī)密。同時(shí)，希拉里沒有在離任前上交所有涉及公務(wù)的郵件記錄，違反了國(guó)務(wù)院關(guān)于聯(lián)邦信息記錄保存的相關(guān)規(guī)定。2016年7月22日，在美國(guó)司法部宣布不指控希拉里之后，維基解密開始對(duì)外公布黑客攻破希拉里及其親信的郵箱系統(tǒng)后獲得的郵件，最終導(dǎo)致美國(guó)聯(lián)邦調(diào)查局重啟調(diào)查，希拉里總統(tǒng)競(jìng)選支持率暴跌。

作為政府要員，希拉里缺乏必要的數(shù)據(jù)安全意識(shí)，在擔(dān)任美國(guó)國(guó)務(wù)卿期間私自架設(shè)服務(wù)器處理公務(wù)郵件違反聯(lián)邦信息安全管理要求，觸犯了美國(guó)國(guó)務(wù)院有關(guān)“使用私人郵箱收發(fā)或者存儲(chǔ)機(jī)密信息為違法行為”的規(guī)定。私自架設(shè)的郵件服務(wù)器缺乏必要的安全保護(hù)，無法應(yīng)對(duì)高水平黑客的攻擊，造成重要數(shù)據(jù)遭遇泄露并被國(guó)內(nèi)外政治對(duì)手充分利用，最終導(dǎo)致大選落敗。

類似事件：2016年3月，五角大樓公布美國(guó)防部長(zhǎng)阿什頓·卡特?cái)?shù)百份郵件是經(jīng)由私人電子郵箱發(fā)送，卡特再次承認(rèn)自己存在過失，但相關(guān)郵件均不涉密。

7. 法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)警告微軟Windows10過度搜集用戶數(shù)據(jù)

關(guān)鍵詞：過度收集數(shù)據(jù)，知情同意，合規(guī)，隱私保護(hù)

2016年7月，法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)CNIL向微軟發(fā)出警告函，指責(zé)微軟利用Windows 10系統(tǒng)搜集了過多的用戶數(shù)據(jù)，并且在未獲得用戶同意的情況下跟蹤了用戶的瀏覽行為。同時(shí)，微軟并沒有采取令人滿意的措施來保證用戶數(shù)據(jù)的安全性和保密性，沒有遵守歐盟“安全港”法規(guī)，因?yàn)樗谖唇?jīng)用戶允許的情況下就將用戶數(shù)據(jù)保存到了用戶所在國(guó)家之外的服務(wù)器上，并且在未經(jīng)用戶允許的情況下默認(rèn)開啟了很多數(shù)據(jù)追蹤功能。CNIL限定微軟必須在3個(gè)月內(nèi)解決這些問題，否則將面臨委員會(huì)的制裁。

大數(shù)據(jù)時(shí)代，各類企業(yè)都在充分挖掘用戶數(shù)據(jù)價(jià)值，不可避免的導(dǎo)致用戶數(shù)據(jù)被過度采集和開發(fā)。隨著全球個(gè)人數(shù)據(jù)保護(hù)日趨嚴(yán)苛，企業(yè)在收集數(shù)據(jù)中必須加強(qiáng)法律遵從和合規(guī)管理，尤其要注重用戶隱私保護(hù)，獲取用戶個(gè)人數(shù)據(jù)需滿足“知情同意”、“數(shù)據(jù)安全性”等原則，以保證組織業(yè)務(wù)的發(fā)展不會(huì)面臨數(shù)據(jù)安全合規(guī)的風(fēng)險(xiǎn)。例如歐盟2018年即將實(shí)施新的《一般數(shù)據(jù)保護(hù)條例》就規(guī)定企業(yè)違反《條例》的最高處罰額將達(dá)全球營(yíng)收的4%，全面提升了企業(yè)數(shù)據(jù)保護(hù)的合規(guī)風(fēng)險(xiǎn)。

類似事件：2017年2月，樂視旗下Vizio因違規(guī)收集用戶數(shù)據(jù)被罰220萬美元。

8. 黑客攻擊SWIFT系統(tǒng)盜竊孟加拉國(guó)央行8100萬美元

關(guān)鍵詞：網(wǎng)絡(luò)攻擊，系統(tǒng)控制權(quán)限，虛假指令數(shù)據(jù)，網(wǎng)絡(luò)金融盜竊

2016年2月5日，孟加拉國(guó)央行被黑客攻擊導(dǎo)致8100萬美元被竊取，攻擊者通過網(wǎng)絡(luò)攻擊或者其他方式獲得了孟加拉國(guó)央行SWIFT系統(tǒng)的操作權(quán)限，攻擊者進(jìn)一步向紐約聯(lián)邦儲(chǔ)備銀行發(fā)送虛假的SWIFT轉(zhuǎn)賬指令。紐約聯(lián)邦儲(chǔ)備銀行總共收到35筆，總價(jià)值9.51億美元的轉(zhuǎn)賬要求，其中8100萬美元被成功轉(zhuǎn)走盜取，成為迄今為止規(guī)模最大的網(wǎng)絡(luò)金融盜竊案。

SWIFT是全球重要的金融支付結(jié)算系統(tǒng)，并以安全、可靠、高效著稱。黑客成功攻擊該系統(tǒng)，表明網(wǎng)絡(luò)犯罪技術(shù)水平正在不斷提高，客觀上要求金融機(jī)構(gòu)等關(guān)鍵性基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)能力持續(xù)提升，金融系統(tǒng)網(wǎng)絡(luò)安全防護(hù)必須加強(qiáng)政府和企業(yè)的協(xié)同聯(lián)動(dòng)，并開展必要的國(guó)際合作。2017年3月1日生效的美國(guó)紐約州新金融條例，要求所有金融服務(wù)機(jī)構(gòu)部署網(wǎng)絡(luò)安全計(jì)劃，任命首席信息安全官，并監(jiān)控商業(yè)伙伴的網(wǎng)絡(luò)安全政策。美國(guó)紐約州的金融監(jiān)管要求為全球金融業(yè)網(wǎng)絡(luò)安全監(jiān)管樹立了標(biāo)桿，我國(guó)的金融機(jī)構(gòu)也需進(jìn)一步明確自身應(yīng)當(dāng)履行的網(wǎng)絡(luò)安全責(zé)任和義務(wù)，在組織架構(gòu)、安全管理、安全技術(shù)等多個(gè)方面進(jìn)行落實(shí)網(wǎng)絡(luò)安全責(zé)任。

類似事件：2016年12月2日,俄羅斯央行代理賬戶遭黑客襲擊,被盜取了20億俄羅斯盧布。

9．?？低暟卜辣O(jiān)控設(shè)備存在漏洞被境外IP控制

關(guān)鍵詞：物聯(lián)網(wǎng)安全，弱口令，漏洞，遠(yuǎn)程挾持

2015年2月27日，江蘇省公安廳特急通知稱：江蘇省各級(jí)公安機(jī)關(guān)使用的?？低暠O(jiān)控設(shè)備存在嚴(yán)安全隱患，其中部分設(shè)備被境外IP地址控制。?？低曈?月27日連夜發(fā)表聲明稱：江蘇省互聯(lián)網(wǎng)應(yīng)急中心通過網(wǎng)絡(luò)流量監(jiān)控，發(fā)現(xiàn)部分?？低曉O(shè)備因弱口令問題（包括使用產(chǎn)品初始密碼和其他簡(jiǎn)單密碼）被黑客攻擊，導(dǎo)致視頻數(shù)據(jù)泄露等。

以視頻監(jiān)控等為代表的物聯(lián)網(wǎng)設(shè)備正成為新的網(wǎng)絡(luò)攻擊目標(biāo)。物聯(lián)網(wǎng)設(shè)備廣泛存在弱口令，未修復(fù)已知漏洞、產(chǎn)品安全加固不足等風(fēng)險(xiǎn)，設(shè)備接入互聯(lián)網(wǎng)后應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力十分薄弱，為黑客遠(yuǎn)程獲取控制權(quán)限、監(jiān)控實(shí)時(shí)數(shù)據(jù)并實(shí)施各類攻擊提供了便利。

類似事件：2016年10月，黑客通過控制物聯(lián)網(wǎng)設(shè)備對(duì)域名服務(wù)區(qū)發(fā)動(dòng)僵尸攻擊，導(dǎo)致美國(guó)西海岸大面積斷網(wǎng)。

10. 國(guó)內(nèi)酒店2000萬入住信息遭泄露

關(guān)鍵詞：個(gè)人隱私泄露，第三方存儲(chǔ)，外包服務(wù)數(shù)據(jù)權(quán)限，供應(yīng)鏈安全

2013年10月，國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)披露，為全國(guó)4500多家酒店提供數(shù)字客房服務(wù)商的浙江慧達(dá)驛站公司，因?yàn)榘踩┒磫栴}，使與其有合作關(guān)系的酒店的入住數(shù)據(jù)在網(wǎng)上泄露。數(shù)天后，一個(gè)名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上，其中包含2000萬條在酒店開房的個(gè)人信息，開房數(shù)據(jù)中，開房時(shí)間介于2010年下半年至2013年上半年，包含姓名、身份證號(hào)、地址、手機(jī)等14個(gè)字段，其中涉及大量用戶隱私，引起全社會(huì)廣泛關(guān)注。

酒店內(nèi)的Wi-Fi覆蓋是隨著酒店業(yè)發(fā)展而興起的一項(xiàng)常規(guī)服務(wù)，很多酒店選擇和第三方網(wǎng)絡(luò)服務(wù)商合作，但在實(shí)際數(shù)據(jù)交互中存在嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)。從慧達(dá)驛站事件中，一方面，涉事酒店缺乏個(gè)人信息保護(hù)的管理措施，未能制定嚴(yán)格的數(shù)據(jù)管理權(quán)限，使得第三方服務(wù)商可以掌握大量客戶數(shù)據(jù)。另一方面，第三方服務(wù)商慧達(dá)驛站公司網(wǎng)絡(luò)安全加密等級(jí)低，在密碼驗(yàn)證過程中未對(duì)傳輸數(shù)據(jù)加密，存在嚴(yán)重的系統(tǒng)設(shè)計(jì)缺陷。

類似事件：2015年7月，加拿大婚外戀網(wǎng)站Ashley Madison遭遇數(shù)據(jù)泄露。