转载

数十家公司超 10 亿数据泄露，如何避免？

据统计，2018 年共 10 余家公司发生数据泄露，超 10 亿人受到影响，企业应该如何避免此类事件发生？

回顾 2018 年，全球数据泄露事件不断，当事公司不乏技术实力雄厚、人才充足的大型互联网企业，但都没有逃脱数据泄露的命运，个别企业的安全漏洞甚至被黑客利用数年之久，泄露的总体数据量超过 10 亿。

2018 数据泄露事件回顾

最大的数据泄露事件应该是万豪酒店数据泄露门，目前此事件已被百度百科词条收录。根据万豪国际集团官方微博声明，喜达屋旗下酒店客户预订数据库被黑客入侵，在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露。喜达屋旗下酒店包括瑞吉酒店、威斯汀酒店、喜来登酒店、雅乐轩酒店，福朋酒店以及 W 酒店等品牌。消息公布后，万豪国际美股盘前跌逾 5%。

万豪方面表示，黑客在过去四年一直可以访问预订系统和客户数据。被盗数据包括客户姓名、地址、电话、卡号和护照信息等，甚至有关旅行的地点和人员信息。

但是，此次如此大规模的信息泄露事件却并未被货币化，不少专家怀疑可能不是黑客的个人行为，或许是有组织和有规划的窃取。

除此之外，Twitter 的密码散列出现问题，导致无法对密码进行加密并以纯文本格式保存，此次事件影响了 3.3 亿用户；华住集团被爆数据泄露，用户信息在暗网公开出售，标价 8 个比特币（当时的市值大约等价 37 万人民币），被泄露用户信息近 5 亿；Under Armour 旗下软件 My Fitness Pal 泄漏 1.5 亿用户数据；谷歌旗下开发平台 Firebase 泄露超过 1 亿用户敏感信息； Quora 被第三方软件恶意攻击，1 亿用户数据遭遇泄露风险；Facebook 大约有 1.47 亿帐户暴露在漏洞之下；Uber、Ticket Fly、英国航空、新加坡航空等公司均未能幸免。

企业和个人安全措施

这些数据泄露事件的发生让用户对企业的信任大打折扣，用户很难放心将数据暴露给这些组织。对这些事件进行复盘，企业和个人应该如何尽可能避免这类事件带来的影响呢？

对企业而言，数据泄露的方式大致分为黑客攻击、内部泄漏和软件漏洞等，企业在整个业务流程开始时就应该认真考虑安全因素。在架构设计层面有明确的授权管理、用户认证和日志审计要求，必要的漏洞修复和架构升级需要有专业技术人员负责。

目前常见的系统安全设计分为三部分：在技术架构层面，采用分层架构，实现底层业务逻辑有效隔离，避免将底层实现细节暴露给最终用户；在部署架构层面，采用应用服务器、数据库服务器分离的部署模式，即站库分离思想，避免核心应用数据泄露；在外部接口设计层面，采用最小接口暴露原则，避免因开发不必要的服务而带来的安全隐患。

对于数据存储，比如对象存储、Redis 数据库等，每种存储方式都具有完备的数据安全方案，通过安全隔离、加密存储、访问控制、隐私保护、数据监控等技术手段保证数据安全。此外，对于拥有大量隐私数据的企业而言，加强内部员工管理也很关键，内因往往是造成此类事件发生的最大原因之一。

如果用户想要避免自身利益受损，也可以采取一些安全措施，比如使用复杂而独特的密码；在社交平台发布内容前多次调整；使用信用卡进行网上购物，如果财务信息泄露，欺诈性收费的责任就会减少；仅对外提供必要信息，信息提供越少，泄漏的就可能越少；在终端设备上选择一些安全防护软件；如果数据已被通知泄露，请立即更改密码并采取相应公司建议。

参考链接：

https://www.computerweekly.com/news/252455311/Data-breaches-affected-more-than-a-billion-people-in-2018

原文 https://www.infoq.cn/article/M6XtSL*oaeLIsKe4qUoi

正文到此结束