2019年，数据泄露引发全民关注。上至国家政府，下至公民、企业，都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府，数据泄露涉及许多行业。并且，受数据泄露影响的用户范围广泛，类型多样，既有网站注册用户、大学员工、医疗患者，也有艾滋病感染者、警察、孕妇等。

　　最近一两年，数据泄露事件愈加频繁，受影响用户不断扩大，少则数千万，多达数亿乃至十几亿。当笔者撰写此文时，一个Elasticsearch数据库泄露，包括27亿个电子邮件地址，其中10亿个密码是以简单的明文存储，涉及国内多家互联网公司。

　　根据IBM的数据泄露年度研究，如果将通知成本、调查、损失控制和修复的相关费用，以及监管部门罚款和诉讼考虑在内，那么数据泄露的平均成本高达392万美元。比如，2018年闹得沸沸扬扬的Facebook数据泄露一事，Facebook2019年以50亿美元与美国FTC和解。对于上市公司，数据泄露一旦公开，可能导致涉事公司平均股价应声下跌7.27%，而股价低迷在随后几年将成为现实。据FireEye估计，面对网络攻击或数据泄露，只有不到一半的组织已经做好了准备。

　　因此，我们盘点2019年最大的10起数据泄露事件，试图得到一些更深的认识。

　　2019数据泄露TOP10

　　TOP10：Canva1.39亿用户数据泄露

　　报道时间：5月24日

　　大致情况：

　　5月24日，一名自称GnosticPlayers的黑客声称窃取了澳大利亚网站Canva的1.39亿用户数据。据悉，黑客窃取的数据包括用户姓名、用户名、电子邮件地址、城市国家信息，其中6100万用户的哈希密码，其他用户的信息还有用于登陆的Google令牌。有7800万用户使用了Gmail地址。Canva证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。

　　Canva是一个非常受欢迎的平面设计服务，在Alexa排名200以内。

　　数据类型：姓名、用户名、电子邮件地址、位置信息等

　　泄露原因：黑客窃取

　　后续：公司通知用户更改密码

　　TOP9：Dubsmash1.62亿用户数据泄露

　　报道时间：2月12日

　　大致情况：

　　2月13日，据Register报道，有近6.17亿个在线账户的详细信息在暗网上出售，这些账户是黑客从16个网站上窃取的。其中，数据泄露最多的是Dubsmash，有1.62亿账户信息被泄露。

　　据悉，Dubsmash公司创立于2014年，在其应用程序上，用户可以进行对嘴型表演，题材覆盖了卡通动画以及电影和广告短片等，短片录制完成后，可以分享给他人。

　　数据类型：用户姓名、ID、电子邮件地址、用户名、密码等

　　泄露原因：黑客窃取

　　后续：数据被黑客出售

　　TOP8：2.02亿中国求职者个人信息泄露

　　报道时间：1月10日

　　大致情况：

　　1月10日，HackenProof安全研究员BobDiachenko发现，MongoDB数据库中有超过2.02亿中国求职者的详细简历信息已在网上被公布，疑似第三方应用泄露。据悉，这份数据库存储的2.02亿简历中包含202730434条记录，信息非常详细，总计854GB。

　　数据类型：求职者姓名、身高、体重、地址、出生日期、电话号码、电子邮件地址、政治倾向、技能、工作经历、工资预期、婚姻状况、驾驶执照号码、专业经验和职业期望

　　泄露原因：数据库配置错误

　　后续：事件披露后不久，该数据库被加入保护机制

　　TOP7：Zynga2.18亿游戏玩家数据泄露

　　报道时间：10月1日

　　大致情况：

　　一名巴基斯坦黑客声称声称入侵移动社交游戏公司Zynga。这位黑客设法突破由Zynga开发的流行字谜游戏“WordswithFriends”，并未经授权访问超过2.18亿用户的庞大数据库。数据泄露影响所有今年9月2日及之前注册游戏的安卓和iOS游戏玩家。此事被披露后，Zynga承认数据泄露。

　　据悉，Zynga市值超过50亿美元，是全球最成功的社交游戏开发商之一，拥有超过10亿美元的热门在线游戏集合，包括FarmVille、WordsWithFriends、ZyngaPoker、MafiaWars和CaféWorld等。

　　数据类型：姓名、电子邮件地址、登录ID、密码、密码重置令牌（如果有）、电话号码（如果有）、FacebookID（如果已连接）、Zynga帐户ID

　　泄露原因：黑客入侵

　　后续：该公司与执法部门联系，并采取措施保护用户账户

　　TOP6：2.75亿印度公民个人信息泄露

　　报道时间：5月1日

　　大致情况：

　　5月1日，据外媒SecurityDiscovery报道，他们发现一个未经保护和公开索引的MongoDB数据库，其中包括275265298条印度公民个人信息记录。这个数据库本身托管在亚马逊AWS上，没有泄露源或从属关系的标签，反向DNS也没有显示任何结果。

　　数据类型：印度公民姓名、电子邮件地址、性别、出生日期、电话号码、教育详细信息、就业详细信息（工资、专业技能、雇主历史记录等）

　　泄露原因：黑客窃取

　　后续：外媒反馈给印度CERT团队

　　TOP5：CulturaColectiva5.4亿数据泄露

　　报道时间：4月3日

　　大致情况：

　　4月3日，有安全人员发现两个Facebook集成应用的数据集，这些应用不受保护地在AmazonS3服务器上存储。其中一个应用来自名为CulturaColectiva的墨西哥公司，该公司存储了146GB大小的用户数据，总计超过5.4亿条记录。研究人员通知了CulturaColectiva和亚马逊网络服务部门，让他们知道数据公开曝光这件事。第一封电子邮件通知在今年1月10日发出，然而直到4月份，数据库才得到保障。

　　数据类型：Facebook用户ID、账户名、评论和喜欢的内容

　　泄露原因：数据库配置错误

　　后续：数据库得到很快保护

　　TOP4：16家国外网站6.2亿用户数据泄露

　　报道时间：2月13日

　　大致情况：

　　2月13日，据国外媒体TheRegister独家披露，一个名为DreamMarket的暗网市场正在出售6.2亿用户信息，交易通过比特币转账，打包售价不高于2万美元。该卖家宣称这些数据来自16个被攻击的网站：

　　Dubsmash(1.62亿)、MyFitnessPal(1.51亿)、MyHeritage(9200万)、ShareThis(4100万)、HauteLook(2800万)、Animoto(2500万)、EyeEm(2200万)，8fit(2000万)、Whitepages(1800万)、Fotolog(1600万)、500px(1500万)、ArmorGames(1100万)、BookMate(800万)、CoffeeMeetsBagel(600万)、Artsy(100万)和DataCamp(70万)。

　　数据类型：账户持有人姓名、电子邮件地址、位置、密码、社交媒体身份验证信息等

　　泄露原因：黑客攻击

　　后续：在暗网被贩卖

　　TOP3：FirstAmericanFinancialCorporation8.85亿数据泄露

　　报道时间：5月24日

　　大致情况：

　　5月24日，独立安全记者BrianKrebs透露，美国房地产和产权保险巨头FirstAmerican8.85亿份敏感客户财务记录被泄露。据悉，这些记录可以追溯到2003年，而且任何人都可以进行访问。Krebs称攻击者如果知道该公司文档的url格式，就可以通过输入以“000000075”开头的任何记录号，调出相关客户材料。

　　数据类型：姓名、社会安全号码、电话号码、电子邮件、地址、驾照、银行账号和对账单、抵押贷款和税务文件，以及电汇收据

　　泄露原因：IDOR漏洞

　　后续：公司关闭网站，禁止外部对该应用程序的访问，内部进行审查

　　TOP2：Verifications.io9.8亿数据泄露

　　报道时间：3月7日

　　大致情况：

　　3月7日，SecurityDiscovery安全研究人员BobDiachenko披露一个可公开访问的MongoDB数据库，包含982864972条记录。据悉，这些记录包含7.98亿的电子邮件记录、超过400万备注了电话号码的E-mail地址、以及超过600万条被识别为‘商业线索’的信息。

　　数据类型：姓名、地址、电子邮件地址、出生日期、电话号码、传真号码、性别、IP地址、邮政编码

　　泄露原因：数据库配置错误而暴露于网上

　　后续：网站脱机，公司称已对数据库做好保护

　　TOP1：Elasticsearch27亿数据泄露

　　报道时间：12月4日

　　大致情况：

　　12月4日，国外网络安全研究人员发现一个Elasticsearch数据库泄露，包括27亿个电子邮件地址，其中10亿个密码都是以简单的明文存储。据悉，大多数被盗邮件域名来自中国邮件提供商，涵盖腾讯、新浪、搜狐和网易等。另外，雅虎、Gmail以及一些俄罗斯的邮件域名也受到影响。

　　数据类型：电子邮件地址、密码等

　　泄露原因：未知

　　后续：12月9日，该数据库被禁止访问

　　数据泄露原因分析

　　截至笔者撰写此文，上述是2019年TOP10数据泄露事件。它们有两大特点：一是泄露数据惊人，动辄亿级，且受影响用户数巨大。更夸张的是，甚至有几十亿的数据泄露。

　　二是泄露数据内容详细，维度多，颗粒度细。以2.02亿中国求职者个人信息泄露为例，泄露数据维度有15种，几乎包含了其他人想知道的“所有信息”。如果这些信息被不法分子所利用，可以生出“无穷祸患”。

　　当然，这10起数据泄露虽然被视为“TOP10”，但是过少的数据泄露事件无法揭示更多信息。因此，笔者进一步统计了2019年媒体公开报道的数据泄露事件（注：因个人收集渠道有限，难免有遗漏，欢迎读者补充）

数据泄露统计

　　2019年，笔者从公开渠道统计出数据泄露事件一共有43件，如上表。

（注：在这里为方便统计，将黑客入侵和黑客窃取统一归为黑客行为）

　　这43起数据泄露事件，泄露原因多种多样，既有黑客行为造成，比如黑客入侵，又有数据库配置错误、网站漏洞、非授权访问以及“内鬼”等诸多原因。

泄露原因占比

　　从统计的泄露原因中，我们发现：42起数据泄露，黑客入侵和窃取有14起，占比超过三分之一；其次是公开数据库，这往往是一些数据库，未加保护而暴露于互联网上。因公开数据库造成数据泄露的事件有7起，达到16%。第三则是非授权访问和数据库配置错误。

　　以数据库配置错误为例，根据《2019年云安全报告》显示，大约有40%的组织表示，云平台配置不当是他们最担心的网络安全问题。一位名叫ErickaChickowski的人写道，“对互联网服务（Internet-as-a-service，IaaS）的依赖和对云数据存储的错误配置，是导致当下一些最具破坏性的云入侵和数据泄露的主要原因。无论是错误地关闭云提供商标准化的默认安全设置，还是使用默认密码，或者对某些服务允许不受限制的访问，以及其他种种原因，错误配置问题都会带来大量隐藏风险。“

　　值得注意的是，我们发现“内鬼”所为同样是某些数据泄露的原因。为利益驱使，组织内部人员会私自盗窃数据，造成数据泄露，智联招聘、趋势科技、加拿大Desjardins信用合作社和俄罗斯Sberbank就是例子。

　　因此，我们尤其需要注意这六大数据泄露原因：黑客、公开数据库、非授权访问、数据库配置错误、“内鬼”和网站漏洞。