近日，英国SNS媒体facebook（Facebook）超5亿使用者的对个人统计数据遭到外泄，主要包括电话号码、邮件等重要信息。俄媒称，facebook创办人扎克伯格的电话号码也遭外泄。

据新闻网站商业内幕消息（Business Insider）报导，一个合情理别的骇客论坛3日曝出了5.33亿facebook使用者的对个人统计数据，那些使用者牵涉 106个北欧国家，外泄的重要信息主要包括facebookID、使用者全称、位置、过生日、李神符以及邮件地址。

令德国大众吃惊的是，公布的那些对个人隐私重要信息统计数据牵涉源自 106 个北欧国家的 5.33 亿 Facebook 使用者，当中主要包括 3200 万英国使用者，1100 万英国使用者，600 万印度使用者。

俄罗斯人造卫星通信社4日报导，遭外泄的5.33亿facebook使用者统计数据中包含一些名流的重要信息，扎克伯格的电话号码也在当中。有消息称，遭外泄的电话号码与扎克伯格的真实世界电话号码是一致的。

对他所认识的人的重要信息，证实至少有一部分内容是真实世界的。

案发后，facebook公司在4月3日的一份声明哈敦，上述统计数据源自2019年出现的重要信息外泄该事件，当年8月已经展开复原。

facebook已无数次出现使用者重要信息外泄该事件

此前，Facebook曾将8000万使用者统计数据与牛津预测公司（Cambridge Analytica）展开撷取，而后者则将那些统计数据用于2016年英国总统大选政治电视广告，这严重违背了Facebook的服务项目条文。扎克伯格承认对该该事件不闻不问并致歉。随后，英国联邦贸易委员会对该该事件展开调查，并对facebook送出50亿美元传票。

欧美北欧国家也有应对该该事件的相关法律第十四条和组织，例如「GDPR」是 (The European) ，意思为「通用统计数据为保护法规」，是西欧联盟议会和西欧联盟执委会在 2016 年 4 月通过，在 2018 年 5 月开始强制性实施的明确规定。

GDPR 本质上来说是一系列「打TNUMBERml0」版禁制个人隐私法规，明确规定了企业了在对使用者的统计数据搜集、存储、为保护和使用时捷伊标准；另一方面，对于自身的统计数据，也给予了使用者更大叙尔热雷县。GDPR虽然为保护覆盖范围只在于西欧日常生活的人民，但因为考虑到「亚洲地区性」是载入网络DNA内的特性，几乎所有的服务项目单厢受到影响，所以日常生活在西欧之外的人其实也会从此法规中得益。

据公开重要信息瑕疵，如果2018年facebook的“牛津预测该事件”出现在了GDPR的统辖覆盖范围之内，则其可能被行政处罚1700万镑或亚洲地区销售额4%的大笔罚金。

亚洲地区使用者个人隐私统计数据泄漏该事件愈发频繁

过去，影响几百万人的统计数据外泄该事件就能成为新闻头条，而如今，影响数亿甚至数十亿的该事件却比比皆是。

雷锋网通过公开资料，对关于21世纪以来的典型的统计数据泄漏该事件整理，得知主打的统计数据安全泄漏主要出现在于以下几家公司：Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系统、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等

以下列举几件具有代表性的该事件：

统计数据泄漏公司：Adobe；日期：2013年10月and2019年10月；影响：1.53亿使用者记录

在2013年10月上旬，根据安全博主Brian Krebs的披露，Adobe最初报告说，骇客窃取了将近300万个加密的客户信用卡记录，以及数量不确定的使用者登录重要信息帐户。但根据后来的调查表明，已经有超过1.5亿使用者密码被外泄，骇客还暴露了使用者名称、ID、密码以及借记卡和信用卡重要信息。

2015年8月的一项协议要求Adobe支付110万美元的法律费用，并向使用者支付赔偿，金额数量并未公开，以解决违背《客户记录法》和不公平商业行为的指控。据报导，2016年11月支付给客户的金额为100万美元。

2019年10月Adobe再次出现统计数据外泄事故超过700万名使用者受影响，所幸这次外泄的统计数据不含账号密码和信用卡统计数据等。

统计数据泄漏公司：Adult Friend Finder；日期：2016年10月；影响：4.122亿个帐户

AdultFriendFinder所属公司被骇客入侵，外泄4.12亿使用者统计数据，这将是2016年最大的一次统计数据外泄该事件，也是20年来最大的一次统计数据外泄该事件。

因为公司在安全方面的欠缺，导致几乎所有的账户密码都外泄了，甚至连已经删除的账户也被骇客翻了出来。在4.12亿统计数据中，有3.39亿统计数据来源于AdultFriendFinder网站，有超过1500万统计数据是已经被删除的使用者统计数据。

仔细预测统计数据库之后得知，6200万统计数据来源于http://Cams.com，700万来源于http://Penthouse.com，其余的统计数据则来源其他FriendFinder网站。

统计数据泄漏公司：eBay；日期：2014年；影响：1.45亿使用者

eBay曾与2014年初出现大规模使用者统计数据外泄事故，约1.45亿使用者统计数据遭外泄，那些统计数据主要包括使用者名、电子邮件地址、家庭地址、电话号码和过生日等个人隐私重要信息，但eBay表示使用者密码经过加密处理，骇客并不容易获得，而使用者的信用卡统计数据并未外泄。

eBay的统计数据外泄规模甚至超过了英国零售商Target的统计数据外泄事故（4000万信用卡遭外泄，1.1亿使用者统计数据遭外泄），不过McAfee的副总裁Raj Samani认为eBay外泄的统计数据中未包含信用卡等支付统计数据，因此情况并没有Target的统计数据外泄严重。

统计数据泄漏公司：LinkedIn；日期：2012年（和2016年）；影响：1.65亿使用者帐户

LinkedIn是商务专业人士的主要SNS网络。对于希望展开SNS工程攻击的攻击者来说，LinkedIn极具吸引力。2012年1月，一位名叫“Andrev”的骇客通过Pastebin发布了一则消息，声称其攻击了LinkedIn服务项目器，并窃取了约1.59亿的使用者重要信息。为证实其行为，他发布了一个包含100个使用者的重要信息名单，名单中主要包括帐户重要信息、登陆密码等。据称，外泄的使用者中包含一些国际知名企业CEO。

然而，直到2016年该该事件的影响覆盖范围才完全揭露。出售MySpace统计数据的骇客仅用5个比特币（当时约为2,000美元）就提供LinkedIn上的使用者邮件地址和密码。LinkedIn承认已意识到该漏洞，并表示已重设了受影响帐户的密码。

统计数据泄漏公司：MySpace；日期：2013年；影响：3.6亿使用者帐户

早在2007年底，MySpace的Alexa亚洲地区排名已经稳定在第六名。曾有统计数据显示，每个MySpace的注册使用者的平均浏览页面数高达30以上，使用者粘性极强。而这次该事件的主导者就是上次售卖超过1.64亿Linkedln使用者统计数据的同一个骇客，而现在该骇客宣称已经拿到了3亿6000万MySpace使用者的邮件地址以及密码。

因为有3.6亿个MySpace使用者的帐户泄漏，在LeakedSource（可搜索的统计数据库，当中包含被盗帐户）和暗网市场The Real Deal 上出售，要价为6比特币（当时约为3,000美元）。

据该公司称，丢失的统计数据主要包括在2013年6月11日之前创建的部分账户邮件、密码和使用者名。根据HaveIBeenPwned的Troy Hunt的介绍，密码存储为SHA-1哈希，密码的前10个字符转换为小写。

统计数据泄漏公司：雅虎；日期：2013-14年；影响：30亿使用者帐户

雅虎于2016年9月宣布，自己是2014年里数据外泄该事件最大的受害者。攻击者窃取了5亿使用者的真实世界姓名、邮件地址、出过生日期和电话号码。大多数外泄的密码多哦为散列密码。

在2016年12月，雅虎披露了另一位攻击者自2013年以来的统计数据窃取行为，该攻击行为外泄了10亿个使用者帐户的名称、出过生日期、邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数，总计包含30亿使用者。

最初的统计数据外泄公布的时机不好，因为雅虎正在被Verizon收购，后者最终以44.8亿美元的价格收购了Yahoo的核心网络业务。此次外泄该事件使公司价值缩水了约3.5亿美元。

写在最后

当然亚洲地区统计数据泄漏该事件不断多发的今日，使用者统计数据个人隐私为保护就变得尤为重要性。GDPR是2018年亚洲地区跨国公司统计数据安全领域所关注的焦点。这一年，受GDPR启发，西欧联盟之外的其他法域北欧国家也推出了综合性的对个人统计数据安全为保护的法规体系。比如：

巴西。2018年8月14日，巴西总统批准了《巴西通用统计数据为保护法》(Lei Geral de Proteção de Dados Pessoais，简称 “LGPD”)。LGPD将于18个月的过渡期后，在2020年2月15日正式生效。实际执行中，2020年8月26日，博索纳罗总统批准了巴西统计数据为保护局(ANPD)的监管结构和整体框架。ANPD将负责监督对个人统计数据为保护措施，制定相关指导方针，调查和执行LGPD，并与其他北欧国家统计数据为保护当局开展合作。

就在今年年初，巴西统计数据为保护局（下称ANPD）向外界公布了其监管工作战略规划及2021年至2022年工作计划，当中有提及到ANPD机构的发展愿景即：打造巴西国内及全世界统计数据为保护机构的样板。

英国加州。2018年6月28日，英国加利福尼亚州（“加州”）颁布了《2018年加州消费者个人隐私法案》（“CCPA”），2020年1月1日正式生效。CCPA旨在加强消费者个人隐私权和统计数据安全为保护，CCPA被认为是英国国内最严格的个人隐私立法。

随后2020年11月3日，英国加利福尼亚州选民投票通过第24号提案，即《加州个人隐私权法案》（CPRA）。CPRA在去年刚刚生效的《加州消费者个人隐私法》（CCPA）的基础上，将进一步赋予加州居民一些捷伊权利，比如更正对个人重要信息以及限制敏感对个人重要信息的使用和披露的权利。

新加坡。新加坡的对个人统计数据为保护立法已有9年多历史，其《对个人统计数据为保护法令》于2012年10月由议会通过，该法主体部分于2014年7月生效。随后该国又制定九部配套的附属立法，当中重要的有2014年《对个人统计数据为保护规例》等。

2018年以来，新加坡在对个人统计数据为保护法的立法方面又有一些颇受瞩目的新进展，当中主要有2019年1月14日颁布的重要案例、2018年8月31日颁布的《关于国民身份证及其他类别国民身份电话号码的（对个人统计数据为保护法令）咨询指南》和2020年5月14日《对个人统计数据为保护法（修订）草案》的公开征求意见稿等。

而国内方面，今年3月19日，北欧国家互联网重要信息办公室副主任杨小伟19日在新闻发布会上说，目前加紧制定出台《统计数据安全法》、《对个人重要信息为保护法》，从而在法律层面为统计数据安全和个人隐私为保护提供法律保障。正在加紧制定相关法规标准，建立统计数据资源的确权、开放、流通以及交易的相关制度，从而在运行机制上进一步完善统计数据产权为保护制度，为我们的统计数据安全和个人隐私、对个人重要信息为保护提供制度保障。

雷锋网雷锋网