“沒有網路安全，就沒有國家安全。”這是國家領導人在中央網路安全和資訊化領導小組第一次會議上的講話。

的確如此。未來是萬物互聯時代，誰在這個時代能夠把握住安全能力，誰就能避免被降維打擊。

國家在法律層面對網路安全也非常重視，除了去年施行的《×××網路安全法》外，今年6月27日，公安部官網釋出《網路安全等級保護條例（徵求意見稿）》，10月4日，公安部發布《公安機關網際網路安全監督檢查規定》，11月30日，公安部網路安全保衛局釋出《網際網路個人資訊保安保護指引》（徵求意見稿），而在接下來，《國家關鍵資訊基礎設施安全保護條例》也將出臺。

把目光轉到國外，GDPR已於今年5月在歐盟生效。信用評級公司穆迪已經計劃將“網路安全風險”納入現有信用評級標準，受評者承受網路***的能力將被量化，融入最終的評級結果中；在未來，網路安全評級將與信用評級分離，成為獨立評級。

那如何讓所有人意識到網路安全很重要，並且把網路安全落實到每一個環節呢？以史為鑑可能是一個比較好的手段之一。通過回顧歷史，吸取教訓，才能更好的走好下一步，面對好未來。為此，網易雲易盾為大家盤點了2018年十大網路安全事件，以供各位回顧。

一、資料洩露

1.Facebook資料洩露

事件回顧：雖然Facebook資料洩露量不如後面的那些公司高，但其次數和影響非常深遠。

一家第三方公司通過一個應用程式收集了5000萬Facebook使用者的個人資訊，由於5000萬的使用者資料接近Facebook美國活躍使用者總數的三分之一，美國選民人數的四分之一，波及的範圍非常大。後來，5000萬用戶數量上升至8700萬。

今年9月，Facebook爆出，因安全系統漏洞而遭受******，導致3000萬用戶資訊洩露。其中，有1400萬人使用者的敏感資訊被***獲取。這些敏感資訊包括：姓名、聯絡方式、搜尋記錄、登陸位置等。

12月14日，又再次爆出，Facebook因軟體漏洞可能導致6800萬用戶的私人照片洩露。具體來說，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個App獲得了使用者私人照片得訪問許可權。一般來說獲得使用者授權的App只能訪問共享照片，但這個漏洞導致使用者沒有公開的照片也照樣能被被讀取。

結果：Facebook CEO資料洩露道歉，並多次出席聽證會。一系列事件影響，Facebook股價已較年初跌了29.70％（12月25日）。而12月份的這次洩露，歐洲隱私管制機構愛爾蘭資料保護委員會已著手調查，Facebook或因此被罰款超過16億美元。

2.涉嫌侵犯數百億條公民個人資訊 上市公司資料堂被公安一鍋端

事件回顧：據新華社新媒體2018年7月8日報道，大資料行業知名企業資料堂（831428.OC）在8個月時間內，日均傳輸公民個人資訊1.3億餘條，累計傳輸資料壓縮後約為4000GB左右，公民個人資訊達數百億條，資料量特別巨大。

結果：除了資料堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

3.新三板掛牌公司涉竊取30億條個人資訊 非法操控公眾賬號加粉或關注

事件回顧：今年8月份，澎湃新聞從紹興市越城區公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取使用者個人資訊30億條，涉及百度、騰訊、阿里、京東等全國96家網際網路公司產品，目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。案件仍在進一步偵辦中。

結果：目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。

4.圓通10億快遞資訊洩露

事件回顧：六月份，暗網一位ID“f666666”的使用者開始兜售圓通10億條快遞資料，該使用者表示售賣的資料為2014年下旬的資料，資料資訊包括寄（收）件人姓名，電話，地址等資訊，10億條資料已經經過去重處理，資料重複率低於20%，資料被該使用者以1比特幣打包出售。

結果：有網友驗證了其中一部分資料，發現所購“單號”中，姓名、電話、住址等資訊均屬實。

5.萬豪酒店5億使用者開房資訊

事件回顧：萬豪國際集團11月30日釋出公告稱，旗下喜達屋酒店客房預訂資料庫遭******，最多約5億名客人的資訊可能被洩露。萬豪酒店在隨後的調查中發現，有第三方對喜達屋的網路進行未經授權的訪問。目前，未經授權的第三方已複製並加密了某些資訊，且採取措施試圖將該資訊移出。

萬豪披露，已知的是，大約3.27億客人的個人姓名、通訊地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶資訊、出生日期、性別等資訊都已經可能全部洩漏。

結果：訊息公佈後，萬豪國際的股價在當天的盤前下跌5.6%，報115.02美元。事件曝光後，萬豪採取了各種措施去補救。

6.華住酒店5億條使用者資料疑洩露

事件回顧：華住酒店集團旗下酒店使用者資訊在“暗網”售賣，售賣者稱資料已在8月14日脫庫。×××號、手機號，一應俱全，共涉及5億條公民資訊。涉及酒店範圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。此次洩露的資料數量則總計達5億條，全部資訊的打包價為8比特幣，或者520門羅幣（約合人民幣38萬元）。賣家還稱，以上資料資訊的截止時間為2018年8月14日。

結果：隨後，華住集團酒店官方微博迴應此事稱，“已經報警了。真實性目前無法查證，我們資訊保安部門在緊急處理中”。同時官方微博也呼籲，請相關網路使用者、網路平臺立即刪除並停止傳播上述資訊，保留追究相關侵權人法律責任的權利。

7.瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料

事件回顧：2018年9月份，研究人員在一個配置錯誤的伺服器上發現了儲存有超過200GB資料的資料庫。據悉，該伺服器處於完全無防禦的狀態，且面向公眾開放，任何人都能夠公開查詢和訪問其資料。研究人員介紹稱，該資料庫中儲存有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的個人資訊，如姓名、電子郵件地址以及居住地、國家等。此外，該伺服器上提供的其他詳細資訊還包括部分營銷資料，例如客戶型別和組織規模、IP 地址、referrerURL 以及使用者代理等。

結果：資訊在網上掛了4天后，就全部無法訪問，想必公司已經採取了措施。對於該起事件有安全專家建議，所有資料庫管理員考慮MongoDB在一年前釋出其資料庫產品的安全指南，同時新增新的內建安全功能，如加密，訪問控制和詳細審計等。

8.Exactis大資料公司失誤洩露2TB隱私資訊：3.4億條，涉及2.3億人

事件回顧：據Wired報道，六月初曝光的市場和資料彙總公司Exactis伺服器資訊暴露的事情經調查為實，涉及大約3.4億條記錄，容量接近2TB，據說涵蓋2.3億人。這些資料包含的隱私深度超乎想象，包括一個人是否吸菸、宗教信仰、養狗或養貓以及各種興趣等。

結果：Exactis事後對資料進行了加密防護，以避免資訊的進一步洩露。

9.美國功能性運動品牌Under Armour1.5億使用者資訊洩露

事件回顧：美國功能性運動品牌Under Armour（安德瑪）旗下飲食和營養管理App及網站MyFitnessPal大規模的資料洩露，多達1.5億使用者的資訊被盜。此次資料洩露事件影響到的使用者資料包括使用者名稱、郵箱地址、和加密的密碼。安德瑪表示，該資料洩露事件並沒有涉及到使用者的社會安全號碼、駕駛證號、和銀行卡號等隱私資訊。

結果：Under Armour通過電郵和App訊息提醒使用者立刻更改密碼，當晚其股票市值下跌了4.6%。

10.問答網站 Quora戶資料遭洩露1個億

事件回顧：12月4日，據紐約時報報道，問答網站鼻祖Quora稱，該公司的計算機系統遭到惡意第三方的未授權訪問，大約有1億使用者的賬戶及私人資訊可能已經洩露，包括姓名、郵箱地址和加密處理的密碼。

結果：Quora CEO釋出博文致歉。官方稱，第一時間僱傭網路安全專家進行調查，同時也聯絡了執法部門。

今年的資料洩露事件還有：

1. 國泰航空資料洩露，940萬乘客受影響
2. MongoDB 資料庫被***， 1100 萬份郵件記錄遭洩露
3. SHEIN 資料洩露影響 642 萬用戶
4. HealthCare.gov註冊系統被******，75000人資料遭洩露
5. GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光
6. 瑞士電信（Swisscom）證實80萬資料被盜，涉全國1/10公民資訊
7. 英國航空公司資料洩露事件：38萬人受影響
8. 小米有品平臺洩露個人隱私 約2000萬用戶資料遭洩露
9. 美國23州連鎖餐館出現數據洩露，超過50萬信用卡資料存在安全風險
10. Atlas Quantum數字貨幣投資平臺數據洩露，影響約26.1萬名客戶
11. 知名OCR軟體ABBYY FineReader被曝洩露超過20萬份客戶檔案
12. Instagram平臺被黑 已超百萬使用者資訊洩露
13. 乘客航班資訊洩露鏈條曝光，近500萬條資訊被賣
14. 醫療軟體公司MedEvolve因伺服器漏洞致20多萬患者資訊洩露
15. Robocall公司洩露了美國數十萬選民個人資訊
16. Adidas數百萬使用者資料洩漏
17. 順豐快遞3億使用者資訊外洩（順豐官方否認，表示非順豐資料）
18. 陌陌資料外洩3000萬（陌陌官方後來迴應：跟使用者匹配度極低）
19. AcFun受******，近千萬條使用者資料外洩
20. 前程無憂51Job.com使用者資訊在暗網上被公開銷售
21. 加拿大兩大銀行遭****** 近9萬名客戶資料被竊
22. 私人情報機構 LocalBlox 洩露 4800 萬份個人資料記錄
23. 中東打車巨頭Careem遭遇網路*** 1400萬乘客資訊失竊
24. 央視曝光偷密碼的“×××”，9億人個人資訊存風險
25. 旅遊網站Orbitz 88萬份信用卡資訊遭洩露

二、除此之外，今年的DDOS***也非常多，盤點如下：

1. GitHub遭1.35T級流量***：3月1日，GitHub在官方平臺發文披露了本次DDoS***過程：2月28日17:21到17:30，GitHub受到1.269億個資料包、峰值大約為1.35Tbps的***。
2. 疑似俄羅斯***報復，荷蘭三大銀行及稅務機構遭DDoS***：大規模DDoS***了三個荷蘭銀行ABN AMRO、ING銀行、荷蘭合作銀行以及荷蘭稅務管理局。
3. 柬埔寨網路遭到史上最大規模 DDoS ***：柬埔寨幾家最大的網際網路服務提供商（ISP）在11月份遭受了大規模DDoS***。EZECOM、SINET、Telcotech和Digi的使用者已經確認整週訪問線上服務存在困難，週一和週二報告的問題最多。當地新聞媒體稱DDoS***是該國曆史上最大的***之一。據熟悉此事的訊息人士透露，週一遭遇近150Gbps的DDoS***襲擊了柬埔寨網際網路服務供應商。
4. ProtonMail遭到DDoS***：加密電郵服務ProtonMail在六月份遭到了DDoS***，因***頻繁短時間下線。ProtonMail聲稱它跟蹤***到一個據稱與俄羅斯有關聯的組織。

結束語：

最後，還想再舉一個例子：

全球晶片頭號代工廠臺積電（TSMC）遭遇勒索病毒Wannacry***，3天損失17.6億元；股價也受勒索病毒影響，短時間內蒸發78億。

希望大家能通過上面的盤點，都能意識到網路安全，並重視、並落實好網路安全，否則下一個損失慘重的網路安全事件主角就有可能是你。

點選免費試用接入網易雲易盾的網路安全服務。請新增連結描述