上海商业秘密律师网在刚刚过去的2010年,政府、企业乃至个人的机密信息和敏感数据被非法盗取的事件频频成为互联网行业的热点,有时候单月之内就有多起足以令全球震惊的重大涉密和泄密事件被披露,整个2010年各类与数据安全、文档安全相关的泄密事件呈现了重大事件频发、波及影响广泛、热点轮动迅猛敏感行业重创等的一些特点。作为目前国内终端与数据安全产品的领先企业,深圳大成天下率其旗下的核心防泄密产品“铁卷”,首度对2010年度全球十大富有影响力的重大泄密事件进行盘点,希望通过对当前各类重大泄密事件的梳理、比较和关键泄密环节的提取,能够帮助大家找到防范泄密事件、确保电子信息安全的一些共性方法甚至是较完美的安全解决方案。
大事件一:阿桑奇和维基解密
在2010年,阿桑奇和维基解密几乎成为全球最家喻户晓的热门词汇。作为一家专门“爆料”政府秘密和敏感文件的网站,“维基解密”在本年度先后将美军在伊拉克、阿富汗战争中保存的逾47.7万份秘密文件公之于众,犹如丢下两颗重磅炸弹,在国际社会引起轩然大波。今年11月,“维基解密”又将超过20万份美国外交加密文件对外公布,更是激起多国“9·11”式的外交风暴。而“维基解密”网站的创始人朱利安·阿桑奇,也从一个“无名小生”成为全世界关注的数据安全焦点。
“铁卷”点评:阿桑奇在用行动说:“给我一台电脑,我就能晃动世界”,从国家安全层面上说,美国五角大楼的安全防范级别几乎是全球技术密集程度最高的,有许多领域更是“全球标准”,但是阿桑奇却用行动在说“不过如此”!看来对于数据安全、文档安全的防泄密领域,应该是没有真空的。
大事件二:极光漏洞让谷歌成为泄密受害者
2010年1月12日,Google在其官方blog上发表文章,称Google和至少20家其他公司遭到了源自中国的攻击,攻击造成部分Google知识产权和许多重要知识财产被盗。通过技术分析,这些攻击带有明显的针对性。而在此事件中,攻击Google所利用的正是“Aurora”(极光)漏洞。
大事件三:11万iPad用户信息泄露
2010年6月上旬,由于AT&T网站出现了安全漏洞,大约11.4万名iPad用户的注册信息被泄漏到了互联网上,这些信息主要是用户的电子邮件地址,涉及到的人员包括许多公司的CEO、政府官员及知名政治家。例如,纽约时报CEO詹妮特·罗宾逊(Janet Robinson),时代集团CEO安·摩尔(Ann Moore),以及白宫办公厅主任拉姆·伊曼纽尔(Rahm Emanuel)等。据了解这些电子邮件帐户主要用来激活iPad,既然需要用户提供这些信息,AT&T网站和苹果公司就都有责任保护用户的隐私安全。
大事件四:思科 2010年会参会者名单被黑
这是一起令全球数据安全领域震惊的“小事件”,之所以会令全球震惊,是因为此次泄密事件发生在被全球认为是安全领域领军企业的思科公司身上,而之所以称之为小事件,则是因为泄密的是一次年会会议的与会者名单及其通讯信息。据了解2010年7月,有人通过攻击获得了思科Cisco Live 2010年会会议的参加者名单,据思科Cisco Live会议团队在电子邮件中警告称,这些被攻破的信息包括Cisco Live会议的标识卡号码、姓名、职务、公司地址和电子邮件地址。这个事件导致思科向会议参加者和其他已经收到邀请但是没有参加会议的人员发出了电子邮件进行道歉。这个泄密事件还真是应了中国的那句老话,老虎也有打盹的时候!据称此次思科Cisco Live遭泄密的途径是通过会议的网站ciscolive2010.com访问会议参加者信息的。
大事件五:全球最大BT网站400万用户信息泄露
2010年七月初,全球最大BT网站海盗湾(Pirate Bay)服务器存在安全漏洞,导致400多万用户的个人信息被泄露。阿根廷黑客查·卢索(Ch Russo)称,他和另外两名同事发现了多个SQL注入漏洞,允许黑客访问海盗湾的用户数据库并且黑客可以创建、删除、修改或查看所有用户的信息,包括用户名、电子邮件、用户上传的种子,以及正在下载的用户数量和名称等。据称卢索和他的同事并未删除或修改数据库中的数据,但承认曾短暂想过是否将这些数据出售给美国唱片协会或美国电影协议会等部门。
大事件六:本田美国官网490万客户信息外泄
2010年年末,本田美国官网遭到黑客攻击,导致大约490万名该网站的用户信息外泄,据日本共同社报道,这490万用户的信息是在本田以及旗下豪华品牌讴歌的美国官方网站上泄露的,其中220万名注册用户的姓名、电子邮件地址、车牌号遭到外泄,但他们的密码没有被盗取。而剩余的270万份是有些顾客为接收讴歌的相关资料而填写的邮件地址。据说外泄的资料当中并没有顾客的银行账号,随后本田美国公司已通过电子邮件联系所有客户,建议他们更改密码。
“铁卷”点评:以上五大年度泄密事件都是由于网站服务器存在各种重大安全漏洞和黑客主动攻击而引发,像Google、AT&T网、思科及海盗湾等都是全球性的大网站,但是也无法避开互联网安全漏洞的“魔咒”。这些年度泄密事件虽然大都是用户的个人重要隐私信息泄密,伤害的是用户,但毁坏的却是大公司的声誉。
由上述事件看,网站服务器的不安全性应该将再次引起我们有足够重视。事实上,在前不久由深圳大成天下最新发布的新版“铁卷电子文档安全系统”中,率先在整个行业领域集成了国际上最先进的64位操作系统文档透明加密技术,针对目前全球日益流行的综合性能更强的64位网站服务器,“铁卷”可以提供多达数十项综合手段的电子文档保护安全解决方案,甚至能够让所有脱离网站服务器的电子文档完全“消失”。新版“铁卷”并不是依托容易被广泛破解的密码来加密和保护电子文档,而是依托特定的环境(如网站服务器)来对机密电子文档进行无形加密和保护,从而可以使所有机密电子文档在脱离特定环境下瞬间变成一堆毫无用处的乱码,可以试想无论是AT&T网站的11.4万名iPad用户注册信息还是思科Cisco Live 2010年会会议的参加者名单,无论是Google的知识产权资料还是海盗湾(Pirate Bay)、本田的百万份客户信息,脱离了网站服务器,可能也就没什么意义了。这中间可能还是一个安全意识的问题!
大事件七:谷歌“街景”丑闻
2010年5月,Google“街景”服务首次被发现通过不安全的Wi-Fi连接收集客户数据,随后谷歌作出表态,称自2007年以来,其街景收集车辆在拍摄图片过程中无意间获得了全球30多个国家使用Wi-Fi网络 的用户信息,这些信息数量多达6000亿字节。谷歌解释,这些丑事主要由该公司一位工程师自行编写程序而引发了错误地收集了用户私人信息。
大事件八:Facebook用户帐户泄漏
2010年10月,知名社交网站Facebook再次惹出麻烦,由于Facebook的某些应用将用户帐户不恰当地与广告主和互联网数据分析公司进行共享,并向其提供用户姓名,甚至是用户好友姓名。Facebook收集了大量用户信息 ,知道用户喜欢什么,在哪里工作,访问过哪些网站,这些信息对营销商而言是非常有价值的信息。据说事后Facebook对相关开发人员给予6个月不得登陆Facebook网站的惩罚。
“铁卷”点评:用户敏感信息的泄密事件一般可以分两类,即出于某些经济和商业利益的主动泄密,也有因为操作不当或数据安全、文档安全防范措施不到位造成的泄密,显然谷歌“街景”和Facebook都属于后者。从技术上说,上面提到的电子文档透明加密技术也同样适用于这种情况,这也是从根本上防范人为误操作因素造成泄密事件的根本途径。
大事件九:香港“八达通”泄密事件
2010年7月,香港八达通公司承认,曾将200多万客户资料转售给其它公司,非法获利4400万港元。消息一经传出,社会一片哗然。其实对于700多万香港人来说,八达通卡实在是再熟悉不过了,作为一种非接触式的智能卡,市面流通的2000多万张八达通卡被广泛用于公共交通和商业支付中。此次香港“八达通”客户资料泄密被指用作保险行业等的电话推销。
大事件十:暴雪中国“泄密门”事件
2010年11月末,一系列关于暴雪中国和全球的产品计划推进文件在网络上传播。其中一份文件披露了暴雪未来四年的产品计划表示,其中,《魔兽世界》第四部资料片将在2012年第二季度上线,第五部资料片将在2013年第四季度上线。而在第五部资料片之后,一款神秘的代号为“titan”的游戏将上线;另外一份文件显示了暴雪对于国服巫妖王3.3.5春节前后上线的两套不同的方案,而这也引发了魔兽玩家的关注,此次流出的内部文件还包含了暴雪全球游戏详细的用户数、收入、广告投放预算以及媒体计划等。
“铁卷”点评:因为利益驱使的主动泄密现如今已经是屡见不鲜了,比如国内的深圳福田区黄埔雅苑8000业主资料泄露事件、深圳2010最新8000业主手机、最新深圳市800企业老板手机、台湾一银行1.6万客户资料外泄以及香港再曝六家银行卖60万客户隐私个人信息等,我们似乎已经见怪不怪了。其实,对于银行、地产商、通信公司和网游运营商等这样的客户资料高度集中和敏感的行业,通过主动部署电子文档安全、电子数据安全的防泄密最佳解决方案,让客户资料不被外界侵扰,保证其数据安全永不丢失,应该是当前迫在眉睫的事。在国内,已经跻身于一流终端与数据安全产品的“铁卷”,经过6年的不断成长和磨砺,已经积累了足够的能量满足各行各业内网数据安全和稳定安全管理的能力。目前“铁卷”已经在中国核建二三建设有限公司、500万彩票网、沈阳飞机工业集团、中国移动通信、中国电信、招商银行、中国银联电子支付研究所、美的集团等众多行业领域得到了广泛的应用,并且成为最受企业级核心客户信赖的机密电子信息保护领域里的领导品牌。