网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


研究称一次数据泄露平均成本3.47亿美元

2019-05-22 10:44 推荐: 浏览: 35 views 字号:

摘要: 无论哪个行业,大部分企业、机构在运营过程中都涉及到一些敏感数据,比如PII(个人身份信息)。这些信息如果未得到有效保护,将影响数以亿计的平民百姓的利益,并且,可能对企业造成不可估量的资金损失。下文通过研究过去三年中美国发生的上市公司、私企的数据泄露事件,揭示了...

无论哪个行业,大部分企业、机构在运营过程中都涉及到一些敏感数据,比如PII(个人身份信息)。这些信息如果未得到有效保护,将影响数以亿计的平民百姓的利益,并且,可能对企业造成不可估量的资金损失。下文通过研究过去三年中美国发生的上市公司、私企的数据泄露事件,揭示了数据泄露的一些关键数字、损失程度和趋势。

有关数据泄露的关键数字

先来看一组醒目的数字:

  • 数据泄露事件主要是由基于网络钓鱼、恶意软件、安全漏洞等的外部网络攻击造成。
  • 每次数据泄露事件平均影响57亿人。
  • 涉事企业平均损失资金47亿美元(包括法律费用、罚款、补救费用和其他费用)。
  • 涉事企业股价平均下跌5%,平均损失市值54亿美元。
  • 即使不算拉高平均值的Facebook(损失市值430亿美元),其他企业平均损失市值仍然达到62亿美元。
  • 涉事企业的股价平均花费46天才恢复到数据泄露之前的水平(除Equifax的股价仍未恢复外)。

那些年,我们追过的数据泄露门

万豪喜达屋数据泄露门

2018年11月30日,万豪发现旗下喜达屋酒店的客房预订数据库被黑客入侵,在2014年至2018年9月10日之间预定的顾客中,大约3.87亿名客人的姓名、出生日期、性别、地址和护照号码等被泄露。万豪方面还补充,可能泄露的还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。万豪因数据违规被罚款9.12亿美元,且面临多项法律诉讼,赔偿额高达125亿美元。

Facebook遭黑客攻击

2018年9月28日,Facebook发布消息称,本周发现的黑客攻击显示,攻击者利用代码漏洞盗取了用户账号密钥,可能入侵和盗用5000万用户账户。黑客所利用的漏洞与「访客视图」功能相关。该功能的作用是让用户能够以其他用户的视角来查看自己的页面,明确自己在设置了相关的隐私设置后,他人能否看到。事件导致Facebook市值损失430亿美元,将面临高达16亿美元的罚款。

在线教科书租赁公司Chegg信息泄露

2018年9月19日,在线教科书租赁公司Chegg表示,4月下旬,未经授权的一方获得了访问托管用户数据的公司数据库的权限,包括姓名,电子邮件,送货地址和密码,包括EasyBib在内的品牌系列的用户数据也可能受到影响。Chegg股价在披露黑客行为后一天内暴跌12%。

大数据公司Exactis数据泄露

2018年6月,大数据公司Exactis被发现其可公开访问的数据库暴露了3.4亿个商业和消费者账户,几乎包含每个美国公民的信息,包括家庭地址、电子邮箱、年龄、儿童数量、宗教关系甚至家庭宠物等。Exactis此次的信息泄露并不是由黑客撞库或者其它恶意攻击引起,而是由于服务器没有防火墙阻隔,直接暴露在公共的数据库查找范围内。

信用评估巨头Equifax数据泄露

2017年9月,Equifax发现,5月至7月期间遭到黑客攻击,导致1.43亿用户的个人信息遭到泄露,将近一半美国人的隐私信息暴露在风险中:包括姓名、社安号(美国身份证号)、地址、驾照号、社保账号等,还包括20.9万人的信用卡号码,18.2万人的个人税收信用文件,是当时有史以来规模最大、破坏性最强的数据泄露事件之一。Equifax股价在事件公布一天内暴跌近14%,两周内下跌了31%,且面临4.39亿美元的法律、补救、保险和调查成本。Equifax的CEO、CSO(首席安全官)、CIO (首席信息官)在事发后立即宣布退休。

连锁餐厅Sonic Drive-In被攻击

2017年9月,Sonic Drive-In发现,其信用卡处理器发生异常活动,很可能是安装在一个或多个销售终端上的恶意软件造成的,攻击目标都是客户的信用卡信息。在美国3600个连锁分店中,325个分店受到持续6个月的恶意软件攻击,500万张信用卡流入市场出售。Sonic Drive-In因此支付了430万美元的法律赔偿金。

Uber被黑客盗取用户信息

2016年底,黑客通过窃取Uber公司的AWS实例凭证,获得了数千万Uber用户和司机的个人数据。5700万人的个人身份信息被窃取,包括电话号码,电子邮箱、姓名等,此外60.7万名司机的驾照号被盗。最终,Uber支付了1.48亿美元的法律诉讼和解费。

Yahoo!两起数据泄露事件

2016年,Yahoo! 公布了2起数据泄露事件——一起是在9月,这一事件危害5亿以上的账户持有人,另一起是在12月,这一事件影响了超过10亿的账户持有人。泄露的信息于2014年至2016年12月期间收集,黑客窃取的信息包括用户名、电子邮箱、电话、生日、密码以及安全问答等。Yahoo! 在事后补救和法律费用上花费超过9500万美元,因未及时向投资者披露黑客行为被额外罚款3500万美元。由于违规行为,Verizon收购Yahoo!比原报价少了3.5亿美元。

职场社交软件LinkedIn被黑

2016年,一名俄罗斯黑客Peace在暗网出售LinkedIn的用户资料,总资料多达1.67亿笔,当中达1.17亿笔包含了账号密码,售价为5个比特币(当时约合2200美元)。黑客Peace表示,这些资料源自2012年的一次攻击,当时Peace就黑掉了LinkedIn,并曾在网上出售LinkedIn超过600万条的账户信息。

陷入数据泄露门的公司,哪家最惨?

 

影响人数最多:Yahoo!——10亿

股价跌幅最大:Equifax——31%

罚款最高:Facebook——16亿美元

市值损失最大:Facebook——430亿美元

赔偿数额最高:万豪喜达屋——125亿美元

数据泄露门的启示

安数网络从上面的数据发现了一些特征:

  • 全球化运营的企业发生数据泄露时,影响的人数最多。面向全球用户基数大,全球的账户都集中存储,不可避免地增加了用户数据泄露风险。
  • 威胁用户财产安全的数据泄露事件,对企业造成的影响比较严重。如Equifax、万豪喜达屋等因为泄露的信息中包含用户信用卡信息,引发公众对财产安全的担忧,导致股价暴跌,并面临巨额罚款。
  • 泄露的信息隐私级别越高,企业付出的代价越高。比如Equifax泄露的信息包含近一半美国人的社安号、驾照号、社保号等,这属于个人最私密的信息,消息一出舆论哗然,企业因此付出了高额的补救成本。而Chegg泄露的信息中含有送货地址,一般来说,社交平台的地址还可以虚拟,但送货地址必须真实,这一隐私泄露的危险性,无疑导致了Chegg股价的暴跌。
  • 越知名的企业,数据泄露事件越影响其公信力。俗话说树大招风,像Facebook这样的社交媒体巨头,有无数眼睛盯着,一有风吹草,迅速引爆舆论,进而发酵成信用危机,导致企业事后要花费天价的成本进行弥补。再大的企业也经不起几次这样的放血,更何况企业的公信力一旦崩塌难以重建,企业将日渐式微走向衰败。

 

部分数据参考《Kings of the Monster Breaches》by Bitglass

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。电话:400-869-9193  负责人:张明

 

及时掌握网络安全态势  尽在傻蛋联网设备搜索系统

【网络安全监管部门】免费试用→→点击申请

更多安全资讯请关注:

微信公众号 安数网络;新浪微博 @傻蛋搜索

联系站长租广告位!

中国首席信息安全官


关闭


关闭