那些陷入數據泄露門的公司，最後怎麼樣了？

無論哪個行業，大部分企業、機構在運營過程中都涉及到一些敏感數據，比如PII（個人身份信息）。這些信息如果未得到有效保護，將影響數以億計的平民百姓的利益，並且，可能對企業造成不可估量的資金損失。下文通過研究過去三年中美國發生的上市公司、私企的數據泄露事件，揭示了數據泄露的一些關鍵數字、損失程度和趨勢。

有關數據泄露的關鍵數字

先來看一組醒目的數字：

數據泄露事件主要是由基於網路釣魚、惡意軟體、安全漏洞等的外部網路攻擊造成。

每次數據泄露事件平均影響57億人。

涉事企業平均損失資金47億美元（包括法律費用、罰款、補救費用和其他費用）。

涉事企業股價平均下跌5%，平均損失市值54億美元。

即使不算拉高平均值的Facebook（損失市值430億美元），其他企業平均損失市值仍然達到62億美元。

涉事企業的股價平均花費46天才恢復到數據泄露之前的水平（除Equifax的股價仍未恢復外）。

那些年，我們追過的數據泄露門

萬豪喜達屋數據泄露門

2018年11月30日，萬豪發現旗下喜達屋酒店的客房預訂資料庫被黑客入侵，在2014年至2018年9月10日之間預定的顧客中，大約3.87億名客人的姓名、出生日期、性別、地址和護照號碼等被泄露。萬豪方面還補充，可能泄露的還包括加密的信用卡信息，且不能排除加密密匙同時被盜的可能性。萬豪因數據違規被罰款9.12億美元，且面臨多項法律訴訟，賠償額高達125億美元。

Facebook遭黑客攻擊

2018年9月28日，Facebook發布消息稱，本周發現的黑客攻擊顯示，攻擊者利用代碼漏洞盜取了用戶賬號密鑰，可能入侵和盜用5000萬用戶賬戶。黑客所利用的漏洞與「訪客視圖」功能相關。該功能的作用是讓用戶能夠以其他用戶的視角來查看自己的頁面，明確自己在設置了相關的隱私設置後，他人能否看到。事件導致Facebook市值損失430億美元，將面臨高達16億美元的罰款。

在線教科書租賃公司Chegg信息泄露

2018年9月19日，在線教科書租賃公司Chegg表示，4月下旬，未經授權的一方獲得了訪問託管用戶數據的公司資料庫的許可權，包括姓名，電子郵件，送貨地址和密碼，包括EasyBib在內的品牌系列的用戶數據也可能受到影響。Chegg股價在披露黑客行為後一天內暴跌12%。

大數據公司Exactis數據泄露

2018年6月，大數據公司Exactis被發現其可公開訪問的資料庫暴露了3.4億個商業和消費者賬戶，幾乎包含每個美國公民的信息，包括家庭地址、電子郵箱、年齡、兒童數量、宗教關係甚至家庭寵物等。Exactis此次的信息泄露並不是由黑客撞庫或者其它惡意攻擊引起，而是由於伺服器沒有防火牆阻隔，直接暴露在公共的資料庫查找範圍內。

信用評估巨頭Equifax數據泄露

2017年9月，Equifax發現，5月至7月期間遭到黑客攻擊，導致1.43億用戶的個人信息遭到泄露，將近一半美國人的隱私信息暴露在風險中：包括姓名、社安號（美國身份證號）、地址、駕照號、社保賬號等，還包括20.9萬人的信用卡號碼，18.2萬人的個人稅收信用文件，是當時有史以來規模最大、破壞性最強的數據泄露事件之一。Equifax股價在事件公布一天內暴跌近14%，兩周內下跌了31%，且面臨4.39億美元的法律、補救、保險和調查成本。Equifax的CEO、CSO（首席安全官）、CIO （首席信息官）在事發後立即宣布退休。

連鎖餐廳Sonic Drive-In被攻擊

2017年9月，Sonic Drive-In發現，其信用卡處理器發生異常活動，很可能是安裝在一個或多個銷售終端上的惡意軟體造成的，攻擊目標都是客戶的信用卡信息。在美國3600個連鎖分店中，325個分店受到持續6個月的惡意軟體攻擊，500萬張信用卡流入市場出售。Sonic Drive-In因此支付了430萬美元的法律賠償金。

Uber被黑客盜取用戶信息

2016年底，黑客通過竊取Uber公司的AWS實例憑證，獲得了數千萬Uber用戶和司機的個人數據。5700萬人的個人身份信息被竊取，包括電話號碼，電子郵箱、姓名等，此外60.7萬名司機的駕照號被盜。最終，Uber支付了1.48億美元的法律訴訟和解費。

Yahoo!兩起數據泄露事件

2016年，Yahoo! 公布了2起數據泄露事件——一起是在9月，這一事件危害5億以上的賬戶持有人，另一起是在12月，這一事件影響了超過10億的賬戶持有人。泄露的信息於2014年至2016年12月期間收集，黑客竊取的信息包括用戶名、電子郵箱、電話、生日、密碼以及安全問答等。Yahoo! 在事後補救和法律費用上花費超過9500萬美元，因未及時向投資者披露黑客行為被額外罰款3500萬美元。由於違規行為，Verizon收購Yahoo!比原報價少了3.5億美元。

職場社交軟體LinkedIn被黑

2016年，一名俄羅斯黑客Peace在暗網出售LinkedIn的用戶資料，總資料多達1.67億筆，當中達1.17億筆包含了賬號密碼，售價為5個比特幣（當時約合2200美元）。黑客Peace表示，這些資料源自2012年的一次攻擊，當時Peace就黑掉了LinkedIn，並曾在網上出售LinkedIn超過600萬條的賬戶信息。

陷入數據泄露門的公司，哪家最慘？

影響人數最多：Yahoo!——10億

股價跌幅最大：Equifax——31%

罰款最高：Facebook——16億美元

市值損失最大：Facebook——430億美元

賠償數額最高：萬豪喜達屋——125億美元

數據泄露門的啟示

安數網路從上面的數據發現了一些特徵：

全球化運營的企業發生數據泄露時，影響的人數最多。面向全球用戶基數大，全球的賬戶都集中存儲，不可避免地增加了用戶數據泄露風險。

威脅用戶財產安全的數據泄露事件，對企業造成的影響比較嚴重。如Equifax、萬豪喜達屋等因為泄露的信息中包含用戶信用卡信息，引發公眾對財產安全的擔憂，導致股價暴跌，並面臨巨額罰款。

泄露的信息隱私級別越高，企業付出的代價越高。比如Equifax泄露的信息包含近一半美國人的社安號、駕照號、社保號等，這屬於個人最私密的信息，消息一出輿論嘩然，企業因此付出了高額的補救成本。而Chegg泄露的信息中含有送貨地址，一般來說，社交平台的地址還可以虛擬，但送貨地址必須真實，這一隱私泄露的危險性，無疑導致了Chegg股價的暴跌。

越知名的企業，數據泄露事件越影響其公信力。俗話說樹大招風，像Facebook這樣的社交媒體巨頭，有無數眼睛盯著，一有風吹草，迅速引爆輿論，進而發酵成信用危機，導致企業事後要花費天價的成本進行彌補。再大的企業也經不起幾次這樣的放血，更何況企業的公信力一旦崩塌難以重建，企業將日漸式微走向衰敗。

安數網路查詢到，全球暴露在公共互聯網的資料庫多達1084萬，其中20%來自中國，這一數字觸目驚心。

截圖自傻蛋聯網設備搜索系統

網路運營者對於保障網站安全固然負有不容推卸的責任，但相關部門的監管措施不到位，也為安全隱患和違規行為提供了可乘之機。

今後，網路安全監管工作更加不能鬆懈，監管手段也必須高效主動、與時俱進，需要自動、快速發現、收集和研究轄區互聯網基礎設施數據，實時監測分析其安全狀況，才能應對千萬級的網路安全風險、響應病毒式蔓延的突發事件。

安數網路將持續注力互聯網安全治理，提供網路空間資產管理、關鍵信息基礎設施安全監測、安全風險分析報告、安全問題複查等服務，為區域網路安全保駕護航。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！