美國政府近十年發生1283起數據泄露事件,涉及超2億條記錄
責編:gltian |2023-12-08 11:07:04據不完全統計,自2014年以來,美國政府經歷了1283起泄露事件,涉及超過2億條數據記錄。參考IBM年度報告的每條數據泄露平均成本,我們估計從2014年到2023年11月中旬,這些泄露事件已經給政府機構造成了將近304億美元的損失。
數據顯示,美國政府泄露事件數量在2019年達到歷史最高水平,報告總數達226起,較2018年的160起有所增加。此后泄露事件數量逐年下降,2020年為182起,2021年為154起,2022年為120起。然而,2023年泄露事件數量逆勢上揚,截至11月中旬,數量已經達到137起。
2023年泄露記錄數量也大幅增加。到目前為止,共有2240萬條記錄受影響,是2022年490萬條記錄的四倍多。每次攻擊影響的平均記錄數量也遠遠超過了過去四年的數值。2023年,政府泄露事件平均影響400246條記錄,而2022年為76130條,2021年為39469條,2020年為42005條,2019年為17427條。
盡管如此,2018年仍然是泄露記錄總數和每次事件平均影響記錄數最多的一年。當年,總共有8300萬條記錄受影響(其中6000萬條屬于美國郵政署的一次泄露事件),平均每次事件影響120萬條記錄。
這些數字的上升表明黑客再次對美國政府機構產生了重大影響。泄露事件的真實影響往往要過幾個月甚至幾年才能完全顯露。因此,今年的數據可能會進一步增加。
那么,這些數據泄露事件給政府造成了多少損失?政府泄露事件演變趨勢如何?我們近年來看到了哪些趨勢?
本文研究團隊整理了自2014年以來美國政府數據泄露事件。研究通過搜集各州數據泄露報告、聯邦報告、新聞、新聞公告以及行業報告,創建了一份詳盡的列表,記錄了影響美國各地政府機構的泄露事件。
2014年至2013年11月中旬美國政府數據泄露事件地圖
泄露類型定義:CARD(通過非黑客手段獲取借記卡/信用卡信息,例如刷卡詐騙)、HACK(外部人員或惡意軟件竊取信息)、INSD(員工或客戶泄露信息)、THRD(第三方供應商或處理器泄露信息)、PHYS(紙質文件泄露)、PORT(筆記本電腦、存儲設備和硬盤泄露)、RANS(勒索軟件攻擊)、STAT(臺式機泄露)、DISC(意外泄露,例如公開發布敏感信息)、UNKN(未知)。釣魚攻擊未單獨列出,但可能作為黑客攻擊和勒索軟件攻擊的啟動方法。
主要發現
從2014年到2023年11月:
- 1283家政府機構發生數據泄露;
- 這些泄露事件共計影響201184801條數據記錄;
- 受影響數據記錄的成本幾乎達到304億美元;
- 2019年是泄露事件最多的一年,共有226起,2020年緊隨其后,有182起;
- 2018年是受影響記錄數量最多的一年,共84794645條;
- 加州是泄露事件最多的州(148起),哥倫比亞特區是受影響記錄最多的地區(9240萬條)。哥倫比亞特區受影響記錄數量龐大,是因為許多政府機構駐蹕于此;
- 最常見的泄露類型是勒索軟件攻擊,共415起。其次是涉及黑客的泄露事件,共266起;
- 從2018年到2023年11月中旬,市級機構是受影響最嚴重的政府機構類型,共發生237次泄露事件;同一時期,縣級機構發生162次泄露事件。
近十年哪個州的政府數據泄露事件最多?
按每10萬人衡量受影響政府記錄數量,我們發現哥倫比亞特區每10萬人受影響記錄高達1340萬條。然而,由于該地區的許多泄露事件波及全國,因此這樣比較并不公平。
排除哥倫比亞特區后,印第安納州每10萬人受影響記錄數量最多,總計234774條。華盛頓州是每10萬人受影響記錄數量第二多的州,為154767條。
2014年至2023年11月中旬政府數據泄露事件每10萬人受影響記錄數量
另外還有四個州每10萬人受影響記錄數量超過10萬條,分別是俄勒岡州(141466條)、路易斯安那州(135849條)、緬因州(118241條)和蒙大拿州(100189條)。
超過半數的州(27個)報告的每10萬人受影響泄露記錄超過1萬條。
2014年至2023年11月中旬各州政府數據泄露事件數量
2014年至2023年11月中旬,加州出現了148起單獨的泄露事件,成為全美政府數據泄露事件最多的州,數量遠遠高于其他任何州。得克薩斯州和佛羅里達州是政府泄露事件第二、第三多的州,分別為92起和68起。其后是馬薩諸塞州(54起)、哥倫比亞特區(50起)和佐治亞州(46起)。
2014年至2023年11月中旬政府數據泄露事件受影響記錄數量
哥倫比亞特區的泄露記錄數量極高(9240萬條)。如前所述,主要原因是該特區是許多政府機構的駐地。因此,哥倫比亞特區受影響的記錄很可能影響了全美各州的很多居民。因此,我們將該地區從上述地圖中排除。
加州的泄露記錄數量也很高,達到2460萬條。其中絕大部分記錄屬于2017年加州州務卿辦公室的泄露事件。當時,1920萬選民記錄暴露于在未受保護的數據庫。
印第安納州僅有25起泄露事件,卻影響了多達1590萬條記錄。幾乎所有受影響記錄都屬于政府支付服務公司的泄露事件。哥倫比亞特區、加州、印第安納州和華盛頓州是僅有的四個泄漏記錄數量超過1千萬的州。
各年份政府的數據泄露事件成本
根據IBM數據,2023年泄露事件中每條記錄的平均成本為165美元,略高于2022年的164美元。2023年的數字是IBM過去九年數據中的最高值。與之相反,2017年的數字是最低值,為141美元。
根據IBM公布的每年每條違規記錄的成本數據,我們估計了這些泄露事件給政府機構帶來的成本。
從2014年初到2023年11月中旬,數據泄露事件給美國政府機構造成的損失估計接近304億美元。
考慮到數據泄露事件數量僅為1283起,上述損失已經很高。然而,實際成本很可能更高。這主要是因為一些泄露事件影響的記錄數量無法得知。
根據2023年IBM的研究,標記為“關鍵基礎設施”的組織,例如公共部門,數據泄露事件成本通常更高。IBM發現,關鍵基礎設施機構數據泄露事件的平均成本為504萬美元(比2022年增加了4.6%),比非關鍵基礎設施組織(例如服務、酒店和娛樂行業)高出126萬美元。
2014年至2023年11月中旬政府數據泄露事件的估算成本
近十年五起最大的政府數據泄露事件
- 2018年,美國郵政署泄露事件,6000萬條記錄:一個缺陷導致6000萬用戶的賬戶詳細信息暴露。早在一年前,美國郵政署就收到有關該缺陷的警告。
- 2015年,美國人事管理局泄露事件,2150萬條記錄:黑客竊取了2150萬名美國政府前員工和現任員工的信息。
- 2017年,加州州務卿辦公室泄露事件,1920萬條記錄:由于數據庫未受保護,超過1900萬人的選民記錄可以隨意查看。
- 2018年,政府支付服務公司泄露事件,1400萬條記錄:美國數千個地方政府和州政府使用的支付平臺GovPayNow.com泄露了超過1400萬客戶記錄,包括姓名、電話號碼、地址和付款卡號的后四位數字。
- 2015年,佐治亞州州務卿辦公室泄露事件,600萬條記錄:州務卿Brian Kemp辦公室向政黨、媒體和其他合法購買該州選民信息的訂閱者發布數據,包括可識別個人信息,導致大規模數據泄露。
并列第五位的是路易斯安那州車管所泄露事件。2023年5月發生的MOVEit Transfer 泄露事件波及該機構。據報道,這次泄露事件共影響600萬條記錄。其他有大批記錄受影響的MOVEit Transfer 受害者包括科羅拉多州衛生保健政策與籌資部門(420萬條泄露記錄)和俄勒岡州交通部門(350萬條泄露記錄)。
近五年哪種類型的政府機構受影響最大?
為了更詳細地了解近年來政府數據泄露情況,我們研究了從2018年到現在各類型政府機構的泄露事件數量和影響記錄數量。這些年份的數據更易獲取。
從2018年到2023年11月中旬的政府泄漏事件中,有超過24%(237起)影響了市級政府,遠高于排名第二的縣級政府(162起)。其次是執法機構(136起)、衛生部門和城鎮(均為75起)。
237起市級政府泄露事件影響超過120萬人。受影響記錄最多的是得克薩斯州湯博爾市。該市網絡在2022年12月遭遇勒索軟件攻擊,影響了40萬條記錄。
其他規模較大的市級政府泄露事件有:
- 2022年,亞利桑那州圖森市:市政網絡出現可疑活動,123513條記錄受到影響;
- 2020年,密蘇里州獨立市:市政系統遭勒索軟件攻擊,113579 條記錄受到影響;
- 2021年,賓夕法尼亞州哈里斯堡市:一名市政府雇員建立了未經授權的谷歌賬號,共享新冠暴露相關信息,導致7.2萬人的數據被濫用;
- 2019年,佛羅里達州彭薩科拉市:發生勒索軟件攻擊,6萬人受到影響。
- 2022年,俄亥俄州懷特霍爾市:ALPHV/BlackCat組織發起勒索軟件攻擊,共影響36694條記錄。
2018年至2023年11月中旬政府機構遭受的泄漏事件類型
從2018年到2023年11月中旬,縣級政府在泄露事件中占比16.5%,總計162起,影響300萬人。部分最嚴重的泄露事件列舉如下:
- 2023年,賓夕法尼亞州阿勒格尼縣:受2023年5月MOVEit Transfer泄漏事件影響,阿勒格尼縣有967690條記錄被泄。
- 2022年,華盛頓州皮爾斯縣:一名雇員收到公共記錄請求后上傳了電子表格,導致463110名登記選民的個人數據意外泄露。
- 2021年,得克薩斯州登頓縣:由于第三方應用程序中的漏洞,326417名居民的個人信息被曝光,其中包括新冠疫苗信息。
泄漏事件占比第三高的是執法機構(14%),有136個警察局、警長辦公室、監獄和其他機構發生數據泄露。下面是執法機構遭遇的一些最嚴重的泄露事件:
- 2021年,路易斯安那州卡多堂區地區檢察官辦公室 :卡多檢察官辦公室發現計算機感染了惡意軟件,導致230188條記錄受到影響。
- 2019年,馬里蘭州國防信息系統管理局 :20萬人的個人信息在國防信息系統管理局遭泄露。僅逐個通知受影響個人就花費了近一年時間。
- 2019年,哥倫比亞特區美國海關和邊境保護局:某一陸路邊境入口遭攻擊,18.4萬張照片遭泄露,其中包括人臉照片和車牌照片。
今年以來政府數據泄露事件情況如何?
2023年僅剩不到一個月的時間就將結束。預計本年政府數據泄露事件將會創下紀錄。到目前為止,今年已發生137起政府數據泄露事件,影響了2240萬條記錄。泄露事件數量已經超過去年的120起,而涉及的記錄數量是2022年的4倍多(500萬條)。
IBM發布的2023年數據泄露事件成本報告顯示,每起泄露事件涉及的金額達到歷史最高值(165美元)。根據我們迄今為止收集的報告,僅從1月到11月中旬,2023年泄露記錄的成本就接近37億美元,2018年以來首次超過10億美元大關。
勒索軟件依然是政府機構的主要威脅。到目前為止,勒索軟件占今年攻擊總數近一半(63起)。根據我們美國勒索軟件追蹤器收集的數據,政府機構平均支付的贖金超過92萬美元。已知有三家政府機構支付了贖金。圣貝納迪諾縣警長辦公室向黑客支付了110萬美元,蒙特克萊爾鎮支付了45萬美元,海恩茲縣支付了30萬美元。
在很多案例中,勒索者索要的費用往往低于恢復系統或保護被竊數據的費用。
研究方法
我們基于各州報告、政府報告、新聞、新聞公告和行業報告匯總了聯邦、州、縣和市政府以及軍事部門所有數據泄露事件記錄。我盡可能將泄露事件數據分配給受影響記錄所在的州。然而,在某些情況下,這些數據會分配給相關部門所在的州。這是因為經常有幾個州同時受到影響,而每個州的細分數據又無法獲得。
此外,有些泄露事件發生在前一年,直到后一年才被有關當局知曉。并非每次泄露事件都有明確的受影響報告數量。該數值可能本就沒有統計,也可能低于所在州設置的上報閾值。BlueLeaks影響的機構范圍廣泛(沒有確切數字),因而被記錄為一次泄露事件。由于無法將BlueLeaks事件劃分給特定的州,我們將該事件標記為“全國性”事件。
參考資料:https://www.comparitech.com/blog/vpn-privacy/us-government-breaches/
來源:安全內參