零零信安：2022数据泄露事件点评，政治和商业数据泄露或将成未来重灾区

　　受新冠疫情、俄乌战争及全球经济下行等影响，2022年注定是不平静的一年。

　　自2004至2022年数据泄露事件趋势如下图：

　　IDC曾预测，到2025年，全球数据量将比2016年的16.1ZB增加十倍，达到163ZB。全面的数字化转型正推动数字经济迅猛发展，社会数据存量同步增长的同时，安全专家也同步指出的是，网络攻击的增幅也几乎与数字化转型的速度成正比，网络安全问题也成了全社会企业共同要面对的挑战。从数据泄露角度来看，全球数据泄露事件无论是频率、数量，还是影响范围，在2022年都达到了高峰，并且有愈演愈烈的趋势。

　　据零零信安过去一年时间全网监测数据显示，2022年全球多个国家频繁发生数据泄露事件，数据泄露事件总计超过20000件。泄露渠道主要包括网站、电商消费平台、社交平台、交通出行购票平台等，涉及国防、科研、政府机构、跨国集团、金融业、教育机构，医疗等行业。

　　从趋势上看，2022年从3月份开始数据泄露事件数量明显上升，到九月达到高峰，十月份到十二月份有所下降。与2021年同期相比，2022年的数据泄露事件增长了14%，公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。

　　近年来，随着大数据、互联网、5G、企业数字化转型的迅速发展，疫情原因各企业线上办公普及率上升的同时，也导致了攻击面的扩大，为数据外泄网络犯罪按上了“加速”键，造成数据泄露事件的频率、规模和成本都在快速增长。疫情期间随“码”出行，也带来了很大安全隐患，暗网论坛中曾有人以4000美元（约合人民币26936元）拍卖某码数据库，称其中有4850万用户的数据，包括用户姓名、手机号码、身份证号、码的颜色，以及通用唯一识别码等。

　　以下为零零信安按月份列举的最具有政治和商业代表性的2022年数据泄露事件：

　　1月印尼央行遭勒索软件袭击，超13GB数据泄露

　　事件发现时间：2022-01-21

　　泄露数据类型：员工个人信息数据。

　　印尼央行遭Conti勒索软件袭击，内部十余个网络系统感染勒索病毒。据勒索团伙称，已成功窃取超过 13GB 的内部文件，如印尼央行不支付赎金，将公开泄露数据。

　　编者按：2022年也被暗网用户群称为“印尼数据开源年”，全年暗网中共发现上千起贩卖印尼数据的情报信息，涉及到印尼几乎全行业和全国民数据。

　　2月俄罗斯黑客入侵美国国防部承包商长达一年，敏感信息失窃

　　事件发现时间2022-02-18

　　泄露数据类型：文档、电子邮件和其他数据。

　　美国情报部门披露俄罗斯国家黑客已经网络入侵美国国防承包商长达一年，获取敏感信息并深入了解美国的国防和情报计划及能力。FBI、NSA 和 CISA 透露，自 2020 年 1 月以来，俄罗斯黑客组织已经入侵了多个国防承包商（CDC）网络，在某些情况下，至少持续了六个月，定期窃取数百份文档、电子邮件和其他数据。

　　编者按：为了达成军事和政治目的，各带有政府属性的黑客组织利用尽可能多的渠道和手段获取情报，其中也包括对组织上下游供应链、互联网开源情报分析、钓鱼、M&A攻击等多种手段的综合利用。

　　3月俄罗斯参战军人个人信息泄露，长达6616页

　　事件发现时间：2022-03-21

　　泄露数据类型：12万俄军的名字、注册编号、服役地点、职务等。

　　正值俄乌战争紧要关头，乌克兰媒体3月1日在其网站发布了在乌克兰作战的12万俄罗斯军人的个人信息，称这些信息由乌克兰国防战略中心获取，来源可靠。这12万条个人资料详细记录了12万俄军的名字、注册编号、服役地点、职务等信息，页数多达6616页。美国约翰霍布金斯大学高等国际研究院教授Thomas Rid在其社交媒体中表示，如果该泄露信息被证实，这将是有史以来最严重的个人信息泄露事件，更是以人肉搜索作为武器在战争中的首次使用。

　　编者按：俄乌战争以来，乌方的“斩首行动”以及针对参战人员的定向打击，对俄方带来了较大影响，可以预见到，未来战争中针对参战人员以及使用“人肉搜索”作为战争武器的场景将逐渐走上战争舞台。

　　4月GitHub代码仓库数据外泄

　　事件发现时间：2022-04-15

　　泄露数据类型：代码仓库。

　　2022年4月15日Github对外透露，从4月12日开始有攻击者使用被盗的OAuth用户令牌从其私有存储库中下载数据。攻击者利用OAth应用程序（包括npm）访问并窃取了数十个组织的数据。目前Github仍在跟进调查此事，同时已将有关情况通知给了所有受影响的用户和组织。

　　编者按：GitHub作为全球使用量最大、影响范围最广的代码仓库，几乎所有信息化都与其有或多或少的关联。可以预见到，针对GitHub的攻击及数据采集，针对源代码、配置文件等的攻击，也将成为针对某类组织，间接但高效的攻击手段之一。

　　5月富士康被勒索软件攻击

　　事件发现时间：2022-05-24

　　泄露数据类型：内部数据被盗。

　　电子制造巨头富士康证实，其位于蒂华纳（墨西哥）的生产工厂在5月下旬受到勒索软件攻击的影响。LockBit勒索软件团伙声称对此次攻击负责，并宣布如果该公司不支付赎金，将在2022年6月11日18:01:00之前释放被盗数据。这是富士康墨西哥工厂第二次受到勒索软件攻击的影响，2020年，DoppelPaymer袭击了奇瓦瓦州华雷斯城的工厂，并要求支付3400万美元的赎金。

　　编者按：商业黑客近年来屡次通过勒索软件、窃取数据等手段对商业组织进行财物勒索。除了本次事件外，发生在国内的美的公司事件，黑客以数据加密和窃取的TB级数据要挟勒索1000万美元；蔚来汽车事件，黑客以车主数据勒索1500万人民币。另外从历史事件来看，无论企业是否缴纳赎金，结果都并不理想。因此，企业应该更加重视安全，未雨绸缪、防患于未然。

　　6月美国大型银行二次数据泄露，包含客户敏感信息

　　事件发现时间：2022-06-02

　　泄露数据类型：社会安全号码和姓名。

　　Flagstar是美国最大的银行之一，在 2021 年 12 月遭受了网络攻击，当时入侵者侵入了银行的公司网络，导致150 万客户数据泄露。经过调查，该银行于 2022年6月2日发现，攻击者未经授权访问了客户的敏感信息，包括全名和社会安全号码。此次泄露事件共影响了美国1,547,169人。Flagstar曾在2021年1月份遭受勒索软件攻击，当时攻击同时影响了与其有业务往来的实体公司，事件发生一年之后再遭攻击，披露与调查则又过了半年之后。

　　编者按：每年全球因银行数据和用户日志泄露造成的直接损失高达数百亿美元，包括转存、诈骗、洗钱等，每个全量资料的一手空账户信息可在黑市卖到几十美元，这些也是导致商业黑客猖獗、黑产市场疯狂的原因之一。

　　7月超过540万的推特用户信息被售卖

　　事件发现时间：2022-07-14

　　泄露数据类型：用户信息

　　2022年7月，有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查，这些信息是利用2021年12月的一个推特API漏洞（提交到了HackerOne）窃取的，攻击者利用该漏洞可以通过手机号和邮箱地址来提取相关的推特ID，窃取的数据包含推特ID、姓名、登录名、位置、验证状态等公开信息，以及用户手机号码、邮件地址等非公开的个人隐私信息。

　　编者按：推特作为全球最大的社交媒体平台之一，历史上已经历了多次数据泄露，本次泄露的数据系2021年未能完全解决的漏洞所致，据悉目前相关部门已进行调查，推特或面临上亿美元罚单的处罚。

　　8月北约导弹系统公司数据泄露

　　事件发现时间：2022-08-30

　　泄露数据类型：员工机密信息、导弹蓝图、设备图纸等。

　　北约一家欧洲导弹系统公司MBDA Missile Systems发生数据泄露，黑客在俄语和英语论坛上出售来自MBDA的80GB被盗数据，价格为15个比特币，约合297,279美元。网络犯罪分子声称已经将数据出售给了至少一位买家。黑客在他们的广告中声称泄露的数据包含“参与开发封闭军事项目的公司员工的机密信息”以及“设计文档、图纸、演示文稿、视频和照片材料、合同协议以及与其他公司的通信”。在50MB公开泄露文件样本中，有一个演示文稿似乎是陆地接收器通用防空模块化导弹(CAMM)的蓝图，包括其中的电子存储单元的精确位置。样本数据还包括标有“北约机密”、“北约限制”和“非机密受控信息”的文件。至少有一个被盗文件夹包含MBDA设备的详细图纸。

　　编者按：该数据第一次被黑客出售时，MBDA公司宣称该公司并未出现数据泄露事件，这则声明惹恼了黑客组织，随即放出了大量样例数据并对MBDA进行了挑衅。按照黑客组织的描述，数据中包含人员信息、设计图纸、北约导弹部署图等机密文件。这不禁让我们想起《三体》中的名句：弱小和无知不是生存的障碍，傲慢才是。

　　9月葡萄牙武装总参谋部遭网络攻击，数百份北约机密文件泄露

　　事件发生时间：2022-09-08

　　泄露数据类型：北约机密文件

　　葡萄牙武装部队总参谋部（EMGFA）遭到网络攻击，黑客窃取了大量北约机密文件，直到美国发现几百份文件在暗网上出售并通知葡萄牙相关机构，后者才意识到自身遭受了网络袭击。

　　编者按：葡萄牙人是否真的不知道自己的数据在暗网被售卖了？对此我们无从得知，就像“你永远叫不醒一个装睡的人”。很多企业对于自身被攻击以及数据被售卖的事实充耳不闻，本着“你只要不告诉我，这件事情就没发生过”的侥幸心理进行安全建设。这种自上而下的掩耳盗铃、自欺欺人的态度，将是企业安全中最大的掣肘。

　　10月俄黑客组织发现乌军总司令与大量女兵调情，拿到乌绝密资料

　　事件发生时间：2022-10

　　泄露数据类型：个人社交账号

　　俄罗斯黑客组织“顿涅茨克小丑”，成功黑入了乌克兰武装部队总司令扎卢日内的个人社交账号，并下载了大量聊天记录与信息，随后这位武装部队总司令的各种丑闻就被爆料了出来。包括大量乌机密军事信息及多位有染女兵信息，这起丑闻的曝光再次让全世界见识到乌军内部有多腐败。

　　编者按：这是一次典型的“VIP攻击”，即针对某些特定重要人员发起的网络攻击。编者在2022年初的一次安全大会发表过观点：曾经“社工库”、“人肉搜索”是对社会属性人员进行网络攻击的主要途径，随着个体对互联网依赖程度的增加，以及随之而来的数字足迹的延展，针对特定重要人员的“VIP攻击”也将在未来形成具备方法论和高效实操性的重要社工手段之一。

　　11月Facebook泄露5.33亿用户隐私，被罚2.65亿欧元

　　事件发生时间：2022-11-18

　　泄露数据类型：用户个人信息。

　　爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件，向其母公司Meta开出 2.65 亿欧元（约20亿人民币）巨额罚单。

　　编者按：涉及重要的数据泄露事件评选，Facebook几乎场场不落，而且每次均以少则数千万，多则数亿的数据泄露量高居榜单前列。本次数据泄露事件，Facebook不仅收到了2.65亿欧元的罚单，还使股票下跌了2.36%。

　　12月美国FBI关基设施关键联络人数据库泄露

　　事件发生时间：2022-12-10

　　泄露数据类型：成员信息数据库

　　一个包含87,000多名美国联邦调查局（FBI）审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。FBI InfraGard计划包括经过审查的名人录，其中涉及管理国家大部分关键基础设施的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。

　　编者按：不仅是美国，包括全球各国甚至我国都出现过类似事件，此类事件对于国家安全存在不同程度的影响。目前相关法律对数据安全进行了明确规定和要求，但对于数据泄露的发现和研判仍然存在盲区，编者呼吁对此应该进行补充和加强。

　　数据泄露事件影响与总结

　　通过对以上具有代表性的数据泄露事件进行全面分析，零零信安总结指出：2022年度数据泄露事件虽然在数量和规模上有小幅下降，但数据二次泄露事件频发，主要是以攻击者窃密、数据库配置错误、勒索软件攻击为主。数据泄露频发国家有美国、澳大利亚、印度、俄罗斯、伊朗、乌克兰、印度尼西亚等，呈现多国家多地区多行业的形态分布。

　　此外，俄乌战争开始后仅2022年第一季度，俄罗斯、乌克兰受大规模网络攻击已达数十次，各相关盟国也受到不同程度的网络攻击。全球代表各势力的政治黑客组织猖獗，俄方和乌方均有大量政府、军队、关基、企业、民间等数据被泄露，以及被以各类型式进行出售和转售。网络安全已从企业和个人影响上升到对政府、军队的国家层面影响。

　　在分析数据泄露安全事件频繁发生的原因方面，零零信安认为：企业正逐渐将数据保护作为一种新的常态工作，但传统防火墙、反病毒软件、入侵检测、漏洞扫描等技术已难以独立应对复杂的网络安全环境，基于防御者的视角制定的安全策略已无法有效阻挡攻击者的脚步。零零信安以攻击者的视角对企业安全进行黑盒分析，基于全量的公开网络和暗网情报，为企业提供外部攻击面和暴露面风险报告，从而解决与攻击者信息不对等的问题。