网络安全本质中，人为因素是最值得注意的一点。

不久前，据路透社报道，丰田的 T-Connect 服务中的约 296,019 条客户信息可能遭到了泄露，引发了不少车主的恐慌。对此，丰田最新发公告证实了这一事件的真实性，并表示「对于给您带来的不便和担忧，我们深感歉意」，而泄露的来源或许与第三方外包公司有关。

数据泄露的事件时有发生。

随着数字经济蓬勃发展，数据对于企业的价值与重要性不断攀升，随之而来的数据安全风险也不断涌现。

近年来，数据泄露事件时有发生，对企业财产安全、声誉等构成极大威胁。虽然常见的数据泄露事件大多由于黑客攻击导致，但是还有一些你“意想不到”的途径，也在威胁着数据的安全！

就目前而言，史上有哪些影响重大的网络数据泄露事件？不寻常的数据泄露方式有哪些？

十大网络数据泄露事件

Twitter、Facebook、雅虎、万豪、LinkedIn——影响数亿人的一些数据泄露事件并不像您希望的那样罕见

10. 县风险投资公司

规模： 2亿条个人记录

日期： 2013 年 10 月

Court Ventures 成为黑客的受害者，该黑客因此次违规行为出售信用卡号码和社会安全号码。作为 Experian 的子公司，黑客通过伪装成新加坡的私人调查员获得了 Court Ventures 数据库的访问权限。没有吸取教训，Experian 又在 2020 年通过欺骗再次遭到破坏。

9. 推特

规模： 3.3亿用户

日期： 2018 年 5 月

Twitter 将其所有用户的密码在内部日志中数月未屏蔽的事实归咎于“错误”或“故障”。虽然 Twitter 表示没有违反或滥用这些信息，但只有时间会证明一切。2020 年 7 月，黑客在一场比特币骗局中接管了备受瞩目的 Twitter 账户，埃隆·马斯克、比尔·盖茨和巴拉克·奥巴马等人都成为了攻击目标。

8. 万豪国际

规模： 5亿客人

日期： 2018 年 11 月

谈论玩长线游戏。酒店业巨头万豪国际宣布，黑客在 2018 年 11 月窃取了 5 亿喜达屋酒店客人的数据，但黑客甚至在万豪（2016 年）收购喜达屋系统之前就已经进入了喜达屋系统（2014 年）。除了通常的联系信息外，黑客还包括信用卡和借记卡详细信息。

7.雅虎

规模： 5亿账户

日期： 2014

这不是您唯一一次在此列表中看到互联网先驱雅虎。这一次，“只有”5 亿个账户被雅虎称为“国家资助的演员”的行为所破坏。个人数据包括姓名、电子邮件、电话号码、出生日期、安全问题和答案。雅虎在 2016 年才承认这一违规行为。

6. 脸书

规模： 5.33亿用户

日期： 2019 年 4 月（和 2021 年 4 月）

两个第三方应用程序数据集是这里的薄弱环节，超过 5 亿 Facebook 用户的点赞、反应和 Facebook 数据被曝光。当 2021 年 4 月在暗网上免费提供相同的信息时，这种焦虑加剧了。这尤其暴露了与 Facebook 帐户相关的电话号码。

5. 领英

规模： 7亿用户

日期： 2021 年 6 月

让我们小心这里的术语。LinkedIn 声称，其 92% 用户的这次大规模黑客攻击实际上并不是数据泄露，而是通过禁止的数据抓取违反了他们的条款和服务。泰国数据包括电子邮件地址、姓名、电话号码、用户名、地理位置。黑客通过利用 LinkedIn 的 API 来抓取数据。虽然大部分信息确实在公共领域，但这些电子邮件地址通常不会公开。

4. Verifications.io

规模： 7.63亿用户（还是20亿？）

日期： 2019 年 2 月

Verifications.io 是一家为营销活动证明或验证电子邮件地址的公司。这里的违规不仅包括那些唯一的电子邮件地址，还包括姓名、电话号码和其他敏感数据。损害可能更大，后来有人估计泄漏量高达 20 亿条记录。

3. 美国第一金融公司

规模： 8.85亿

日期： 2019 年 5 月

当记者透露您的银行已暴露个人信息超过 15 年、总计超过 8 亿条记录时，您就知道这是个坏消息。First American 是美国第二大抵押权和结算公司，处理个人和财务文件。2021 年 6 月，First American 终于迎难而上，美国证券交易委员会对该公司处以不到 50 万美元的罚款。

2. 阿德哈尔

规模： 11亿人

日期： 2018 年 3 月

可能会有影响此列表中更多帐户的攻击，但影响超过 10 亿人确实令人震惊。这是印度国有公用事业公司 Aadhaar 必须应对的不受欢迎的记录，其生物特征和个人详细信息（姓名、照片、指纹、银行详细信息）都可供网上出价最高的人使用。这些丰富信息的价格是多少？只需 7.50 美元。

1.雅虎

规模： 30亿账户

日期： 2013 年 10 月和 2017 年 10 月

不要被这两个日期所迷惑，这是同一个违规行为，但受害者雅虎在两个不同的场合报告了这一事件。雅虎声称黑客入侵了 10 亿美元的原始攻击发生在 2013 年，但仅在三年后才被报道，当时这家互联网巨头正在与 Verizon 就出售进行谈判。然后雅虎后来出来承认实际数字接近 30 亿个被盗帐户。

作为最初的互联网先驱之一，也是当时网络上访问量最大的网站，雅虎稳步但无情地失宠，最终放弃了收购谷歌（20 亿美元）和 Facebook（10 亿美元）的机会2017 年被 Verizon 以 45 亿美元的价格收购——大约是 dot.com 泡沫高峰时价值的十分之一。

八种让人“意想不到”的数据泄露方式

以下是企业员工可能意外泄露数据的八种不同寻常的途径，以及应对这些风险的建议。

01

镜片反射泄露视频文本

Zoom和Microsoft Teams等视频会议平台已成为远程/混合工作模式的主要手段。然而新的研究发现，戴眼镜的视频参会者可能会因为眼镜镜片反射而意外泄露信息。

康奈尔大学的研究人员介绍了一种方法，通过参会者的眼镜及其他反射物可以重现视频会议期间的屏幕文本。研究人员使用数学建模和人体实验，进一步研究了网络摄像头通过眼镜等反射物，泄露的可识别文本和图形信息的严重程度。

研究发现，如今的720p网络摄像头可以让攻击者重现视频会议中的文本内容，而日益流行的4K摄像头更是大幅降低了泄露文本信息的门槛，让攻击者可以轻松窥视屏幕上的大多数文本。

如果恶意攻击者掌握这种能力，那么一些机密和敏感数据的安全性就岌岌可危。对此研究人员提出，可以使用软件为视频流的眼镜区域“打码”，从而防止数据的泄露。

02

职业资讯触发钓鱼攻击

在LinkedIn等专业社交网站上，人们常常更新履职信息以表明最新的职业变动、经历和工作地点，然而这种看似无害的行为可能会为网络钓鱼攻击提供可趁之机。攻击者会在LinkedIn上搜索新职位，在数据中介网站上查找员工的电话号码，然后发送网络钓鱼信息，冒充是公司内部的高管，企图在受害者履新的最初几周行骗。

这种方法已经司空见惯，以至于许多企业停止在LinkedIn上宣布新员工入职信息，并建议新员工限制发布有关新职位的内容。这些措施可以有效降低新员工的被诈骗风险。与此同时，安全团队还应对新员工进行相关的网络安全意识宣传教育，并介绍企业的真实短信或邮件是什么样子和发送方式等。

03

社交媒体泄密

朋友圈等社交媒体是当下“网民”分享生活的主要途径，人们可能觉得在个人社交媒体和消息传递应用软件上发布图片不会对企业的敏感信息构成风险，但通过社交应用软件意外泄露数据是切实存在的一大威胁，请各位“打工人”务必小心“隔墙有黑客”！

企业有必要针对这个问题加强对员工的安全意识教育。虽然无法完全阻止员工拍摄和分享办公场景下的照片，但是企业可以强调这么做带来的风险，从而让员工慎之又慎。

04

错误使用数据库

对数据摄取脚本而言，IP地址或URL的简单拼写错误会导致使用错误的数据库。这会导致混合数据库在备份过程开始之前需要进行清理或回滚，否则将会发生个人身份信息泄露事件。

因此，安全团队应尽可能利用安全传输层协议的身份验证机制，降低错误识别服务器和数据库的风险，并确保准确存储相关的监控日志系统。同时，监测对象也应包括成功的事件和不成功的事件。

此外，企业还应就如何使用数据库系统，实施一套严格的规则流程和安全控制，减少数据混合事件，降低处理实际产品数据时的影响，确保因安全问题而发生的问题在测试环境中都能得到彻底全面的检验。

05

证书透明度日志泄露敏感数据

证书透明度（CT）日志可以让用户以更高的信任度浏览Web，并让管理员和安全专业人员可以快速检测证书异常、验证信任链。但攻击者也可以利用此类日志证书中的各种详细信息，来追踪公司并详细列出有效的用户名或电子邮件地址，甚至攻击安全控制措施较少的应用系统，以便接管系统和横向移动。

由于CT日志中的数据是永久性的，建议培训开发人员和IT管理员等人员使用普通的电子邮件帐户来注册证书。同时管理员还应培训用户，了解什么样的内容能够进入CT日志，帮助避免信息意外泄露。

06

看似无害的USB设备

夏日的USB小风扇可以为人们带来丝丝凉爽，“随手”就插在了公司的笔记本电脑上。殊不知，这些看似无害的设备却可以充当攻击后门，帮助攻击者潜入用户的设备和更广泛的企业网络。这类USB硬件攻击通常有三条主要的攻击途径：恶意设计的硬件（设备上预装恶意软件）、蠕虫感染以及硬件供应链感染。

在端点层面检测这类攻击很困难，但在新一代安全防护技术中，防病毒及端点检测和响应可以监控扩展设备的执行流程和验证代码完整性策略，从而防范诸多威胁。特权访问管理（PAM）解决方案也很重要，能够阻止非特权用户使用USB端口，并防止未经授权的代码运行。

07

报废设备泄露隐私数据

如果旧的办公室打印机在丢弃回收时，没有事先擦除Wi-Fi密码等隐私数据，那么企业将会面临数据泄露风险。攻击者可以提取设备密码，并使用密码登录到企业的网络，以窃取个人身份信息。

企业应该对各种数据进行加密，确保由身份验证流程来保护端点设备的解密密钥，确保可移动介质受到有效控制，确保数据始终被加密，并确保可以借助必要的控制措施与正规流程来恢复数据。

08

电子邮件泄密

员工出于疏忽发送的非恶意电子邮件经常也会导致数据泄露，例如员工的社会安全号码（SSN）等。企业有必要使用数据泄露防护（DLP）控制系统来监控所有员工的电子邮件，这可以检测到邮件附件中的多个SSN，阻止邮件，并向安全运营中心（SOC）发出警报。

此外，企业不能依过度赖被动的控制措施，应采用更好的数据分类预防控制措施，全面清楚地掌握SSN数据从生产环境传输到培训部门中某个文件的全过程，这种控制甚至可以阻止员工试图将附件通过邮件发送到个人帐户。

文章来源： aqniu，CSDN，教你做人否