探索数据王国：数据泄露的终极指南

在当今数字时代，数据泄露事件已司空见惯。大型企业及政府机构每周所泄漏的数据量基本等同于一条船的载货量。谷歌研究发现，数十亿的用户名及密码在暗网市场上被贩卖，其中直接通过黑客攻击盗取的社会保险号码就达到数百万。

有关数据泄露或披露隐私丑闻的新闻铺天盖地，而涉事公司却往往廖廖几句敷衍了事，要么否认，要么推脱责任。从2017年Equifax（美国最大的征信机构之一）的1.47亿美国公民个人信息被泄露到2018年万豪酒店的3.83亿客户数据以及500多万未加密护照号码被泄露，可见数据泄露频率及严重程度都有所增加。

这种无休止的数据泄露现象也助长了黑市拍卖数据的行为。犯罪分子拍卖所有能拍卖的数据，包括姓名、电子邮件地址、密码、社会保险号码、财务报表、医疗记录、信用卡号码、护照号码、位置记录及家庭住址。大量被泄露数据都被打包出售给出价最高者。

而消费者也逐渐对频繁收到不同公司发来的提醒账号数据被盗的邮件波澜不惊，面对无止境的泄露事件，人们似乎已习以为常。

人们无法参透为何突然发生如此多的数据泄漏及隐私丑闻事件，整日只能提心吊胆。数据及其服务是每个人日常生活中不可或缺的一部分。但个人数据不可避免地需要与政府或银行共享。然而最终能够获得你数据的却往往不止政府或银行，这就形成了一个复杂且不透明的数据经济。

那么这对你来说意味着什么呢？什么是数据泄露？为什么你的数据会出现在不该出现的地方？你该如何保护自己的数据？但并非所有问题都能得到答案。

为了解数据泄露、身份信息盗窃和数据经济，我们编写了一个全面指南，帮助你了解被泄露的数据类型及其泄露方式，以便你可以采取主动措施来保护自己的数据和身份信息。

1、什么是数据泄露（data breach）？

当一个实体（无论是个人、公司还是政府）获得未经授权的信息访问权时，就称为数据泄露。 根据欧盟《通用数据保护条例》，数据泄露被定义为“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。

虽然它听起来像是黑客大佬运用高超技术攻击系统，但数据泄露往往是黑客自身发现并利用系统中的基本安全漏洞来窃取信息。如果企业遵循网络安全最佳实践，其中许多问题完全可以避免。然后黑客再利用这些信息进一步获取未经授权的帐户访问权限，窃取资金，执行勒索软件攻击或在黑市上出售数据等。

被盗数据范围很广，从姓名、电子邮件地址到医疗和财务记录等等，这些高度敏感的私人信息使窃贼能够轻易获得你的身份密钥。如果你所有账户的密码都相同，那么窃贼掌握一个密码就可入侵你的所有帐户或其它线上账户。社会保险号码可用于贷款或税务欺诈；电子邮件地址可用于网络钓鱼诈骗；信用卡号码可用于进行欺诈性购买。

如今，数据泄露已迅速成为一种流行性病毒。据身份盗窃资源中心称，2018年足足有1244起数据泄露事件，而2005年仅为157起。其中的863起（69％）是由黑客未经授权访问数据引起的。自2005年以来，数据泄露行为愈演愈烈，不仅发生频率越来越高，事件也变得越来越严重。但好消息是，企业及政府最终可能会在数字安全方面投入更多心思，做出亟需的安全改进，并投资于更强大的数字基础设施。

2、什么是数据暴露（data leak）？

数据暴露是指信息对不该访问的实体可访问或可见。暴露与泄露的不同之处在于，暴露通常是指企业或政府将未受保护的数据遗留在服务器上，使得偶然发现此数据的任何人（尤其是正寻找这些无安全保护数据库的不法分子）都可访问敏感信息。

很多时候，我们都不清楚信息是否在曝光过程中被访问或窃取了。与数据泄露一样，数据暴露现象也极为常见，甚至有时候它比泄露还严重。包含客户姓名的数据库被暴露可能没什么重大影响，但包含了数百万抵押贷款文件的数据库被暴露却有极大的利害关系。

由于数据暴露可能会在数月甚至数年内都不被人发现，因此它们构成了重大风险，即不法分子将能够获得他们不该获得的数据。据身份盗窃资源中心的数据显示，2018年美国共发生了115起意外数据暴露事件，而全球则共有26.9亿份用户信息被曝光或被盗。算下来，每天就有785万份，每小时就有32.7万份，每分钟就有5.46万份，而每秒就有91份！

3、重大数据泄露及暴露事件

尽管过去几年已发生了数千起黑客入侵事件，但仍有几起因其特别严重的安全漏洞以及使数百万人面临的风险严重程度而引人注目。以下是过去几年中最闹得人心惶惶的数据泄露事件。

Equifax黑客事件——2017年9月

·泄露的身份数量：1.47亿

·泄露的信息：姓名、社会保险号码、出生日期、地址和驾照号码

Equifax数据泄露事件是美国历史上最严重和最令人震惊的数据泄露事件之一。2017年9月7日，Equifax发布声明称1.47亿美国公民的个人及财务信息，包括姓名、社会保险号码、地址、出生日期及信用卡号码均被黑客非法访问及窃取。该数据泄露事件泄露了近一半美国人口的高度敏感私人信息，使得1.47亿美国人的身份盗窃风险显著增加。

Equifax的黑客攻击事件之所以如此严重，都要归结为此次事件中被盗的社保号码数量。在美国，你的社保号就代表了你的身份。一旦被曝光，你就可能会跌入各种诈骗陷阱，并可能会对你未来几年的财务生活产生负面影响。要是再来一次Equifax事件，超过一亿的美国公民的身份和幸福生活都会立即受到威胁。

在Equifax事件中，诈骗者盗走了大多贷款所需的身份信息：SSN、出生日期、驾照号码和家庭住址。而准确、安全和可靠的信用信息对于想贷款、找工作、买房或租房的消费者来说至关重要。由于这些个人信息被泄露，这些数据及其保护机构的可信度都受到了质疑。

Aadhaar数据泄露事件——2018年1月

·泄露的身份数量：11亿

·泄露的信息：印度居民姓名、唯一身份证号码及银行账户

印度《论坛报（Tribune）》于2018年1月报道指出，Aadhaar数据泄露事件使得人人都能在WhatsApp匿名群组花费500卢比（约7美元）获得一个数据库账号，并能够获得用户姓名、地址、邮编、照片、电话号码和电子邮件地址等数据。如果再额外支付300卢比甚至还能打印一张伪造的Aadhaar身份证。

Aadhaar是印度的国家生物识别身份系统。自2009年成立以来，该系统已分配了超过11亿个唯一识别号。它是世界上最大的生物识别和人口统计数据库之一。Aadhaar网络由当地政府机构和个体组织共同运行，他们可在印度唯一身份识别机构（UIDAI）的权限范围内，依法采集印度公民的指纹、虹膜等，并对居民进行面部识别扫描，然后向其发放12位唯一识别码。

UIDAI坚称，自Aadhaar成立以来，没有任何生物识别数据遭到破坏，而且如果没有可验证身份的数据，黑客就无法盗窃身份。但话虽如此，Aadhaar造成的数据泄露事件也已使数亿印度公民和居民面临身份欺诈的高风险，并且银行账户信息的泄露已产生重大经济损失。

Cambridge Analytica（剑桥数据分析公司）丑闻——2018年3月

·泄露的身份数量：8600万

·泄露的信息：姓名、出生日期、公共档案、居住地、网页喜好、消息等

2018年3月，当《纽约时报》爆出超过8600万Facebook用户的私人数据被泄露给政治咨询公司Cambridge Analytica时，Cambridge Analytica丑闻随即爆发。据悉，这些数据是通过英国学者Aleksandr Kogan开发的一款心理测试应用程序收集的。

Kogan从2014年就开始收集数据，大约花费80万美元收集了8600万左右的用户数据。并且约有27万人下载了此应用并登录了他们的Facebook账户，尽管那些人并没意识到该应用的邪恶用途。Kogan不仅收集了这27万用户的数据，还获得了其好友的数据访问权限，但他们对这些毫不知情。

让这一消息成为爆炸性新闻就是由于其非法的数据用途，因为它与用户最初同意的条款相去甚远。Kogan将收集到的数据卖给了Cambridge Analytica，该公司利用这些数据来识别美国选民的性格特征并以此建立他们的心理档案，试图影响2016年的美国总统大选。

很快就有消息称，早在2015年Facebook就发现Cambridge Analytica在收集数据了，并试图让该公司悄悄删除这些数据，但Facebook从未警告用户他们的个人信息已被窃取。Cambridge Analytica丑闻事件向大家揭示了全球数万家公司每天收集到的数据数量究竟有多庞大，以及这些公司面对数据泄漏问题时是如何的不堪一击。

万豪数据泄露事件——2018年11月

·被盗的身份数量：3.83亿

·被盗的信息：姓名、地址、出生日期、护照号码、电子邮件地址、电话号码和加密的信用卡号码

万豪于2018年11月首次披露其喜达屋预订系统遭到大规模入侵，并宣布此次入侵泄露了5亿名客人的个人及财务信息。万豪当时表示，被盗的预订记录包括姓名、地址、出生日期、护照号码、电子邮件地址、电话号码以及加密信用卡号码。

万豪于去年9月才首次得知此事。最初，万豪在喜达屋系统上发现了一种名为“远程访问木马”的间谍软件工具和一种名为“Mimikatz”的渗透工具，但没有发现客户数据已被获取的证据。直到去年11月万豪才发现，自2014年7月以来，黑客就已入侵该系统。

根据万豪首席执行官Arne Sorenson的最新证词，该公司最终确定已有3.83亿名客户的个人信息被盗，其中包括1850万个加密护照号码、910万个加密支付卡号码、525万个未加密护照号码以及38.5万个有效卡号。

与其他闹得沸沸扬扬的泄露事件一样，过了数月万豪才决定向客户或监管机构通报此事。万豪事件的规模和范围使其成为近年来最严重的数据安全事件之一。

First American数据暴露事件——2019年5月

·暴露的身份数量：8.85亿

·暴露的信息：社会保险号码、银行对账单、银行账号、税务记录、电汇交易及驾照

2019年5月，房地产和产权保险巨头First American在其网站上暴露了数亿份抵押贷款相关文件。这些记录可追溯到2003年，包括银行对账单、税务记录、银行账号、社会保险号码、电汇交易及驾照等。First American公司网站总共曝光了约8.85亿份财务文件，而且任何人都可以通过网络浏览器访问。

First American数据曝光可为诈骗者提供大量宝贵数据，并使数百万购房者和卖家面临大范围的身份欺诈风险。安全专家预测，这次曝光事件对网络钓鱼者和诈骗者来说将是一个福音，他们可利用这些信息进行电子邮件诈骗，诈骗者可能会冒充房地产经纪人或托管公司来欺骗购房者向他们发送电汇。

由于曝光的文件几乎包含了个人所能提供的所有敏感私人信息，身份窃贼也很容易以受害者名义开设银行账户，获得未经授权的信贷额度，或通过提交虚假纳税申报表进行税务欺诈。如此大规模的泄漏加上如此大量的财务信息，瞬间就将客户身份及财务生活方面的所有关键信息暴露在阳光下。虽然目前还没有证据表明有人发现并窃取了这些数据，但显然，掌管敏感财务数据的公司仍未采取能够保护消费者信息的必要措施。

Quest Diagnostics数据泄露事件——2019年6月

·泄露的身份数量：1190万

·泄露的信息：患者姓名、出生日期、地址、社会保险号码、电话号码、服务日期、护理提供者、信用卡及银行账户信息

实验室测试巨头Quest Diagnostics于6月份披露了数据泄露事件，称其第三方供应商遭遇数据泄露，造成1190万名Quest患者的个人信息被盗。被盗数据包括患者姓名、出生日期、地址、社会保险号码、电话号码、服务日期、护理提供者、信用卡和银行账户信息。

不过Quest的系统并未直接受到该事件的影响，而是第三方计费提供商American Medical Collection Agency（AMCA）的系统遭受黑客入侵。本次泄露从2018年8月持续到2019年3月，也就意味着“未经授权用户”可访问AMCA系统长达九个月。

Quest Diagnostics事件让人联想起2014年的Anthem（美国第二大医疗保险公司）数据泄露事件，该事件造成了7900万的客户信息被盗，是历史上规模最大的医疗数据黑客攻击事件。保险和计费公司手上的财务数据对黑客来说非常有利可图，而且始终是黑客的首要攻击目标。据身份盗窃资源中心称，仅去年一年，医疗部门就发生了超363起数据泄露事件。

近年来发生了如此频繁且大规模的数据泄露及暴露事件，你可能不禁发问，到底谁才是真正的罪魁祸首？年复一年，数十亿的个人数据怎么说偷走就偷走？如果你也在找寻这一系列事件背后的罪魁祸首，且看当今数字时代的数据经济。

4、什么是数据经济？

当你在网购、买房、结婚、发自拍、给朋友发消息、注册投票（就跟Facebook页面一样），以及与数字打交道的时候，你的海量数据就会被收集、挖出甚至被出售以获取利润。一双双暗处的眼睛在监视着你的每一个动作、每一条消息，并以此建立详尽的数字档案，当然这都是在未经本人许可的情况下。

数据经济是一个全球生态系统，在此系统中，信息被收集、挖出并货币化，数据被转化为资产并在市场上出售及交换。这个全球市场由成千上万传输消费者数据的买卖双方组成。在数据经济中，数据生产者和平台所有者梳理并操控用户的习惯和偏好，跟踪及编目用户行为，然后进行预测并修改。

最糟糕的是，数据安全性往往十分欠缺。人们有时仍以纯文本形式传输社会保险号码，这样使得号码很容易被黑客和入侵者在半途捕获。而且企业也很少遵循最佳数据安全实践，又或是不提供任何加密技术。这些数据剥削行为往往隐藏在晦涩冗长的隐私政策及用户协议中，没有人去阅读，也没有人有时间或技术底蕴去理解其内在含义。

贷款人可能会利用数据向目标群体提供更高利率的贷款；基于保险公司提出的风险因素，客户可能也会面临更高的保险费用；AT＆T、Comcast和Verizon等互联网服务提供商将用户的浏览数据出售给其他公司；Facebook等社交媒体公司收集和分析用户的帖子、推文、点赞、评论和照片；搜索引擎跟踪并出售用户的搜索记录；而政治公司则用它来建立心理档案。

营销人员可利用数据预测你是抑郁、不忠还是想辞职。种种现象表明，数据可被用于你想象不到的更邪恶用途，甚至它可使企业更容易利用掠夺性贷款或高息信用卡来剥削弱势群体。就其本质而言，处于黑暗中的不透明数据经济可能会导致各种剥削或排斥行为泛滥。

这样的例子不胜枚举。消费者数据市场利润高达数百亿美元，但这还不包括那些科技巨头公司的利润，这些公司利用用户数据向用户投放针对性的广告，并将数据卖给其他同行。随着数据逐渐商品化，贩卖数据形势愈演愈烈，越来越多的信息被存储在世界各地的中心化“蜜罐”中。而在这种经济体系中，存在着一群行为肮脏但却完全合法的数据中间商。

5、什么是数据中间商？

数据中间商是第三方实体，它从主要来源收集并汇总个人数据，然后将其出售给愿意付钱买数据的人。

数据中间商通过收集公共记录来获取用户信息，例如DMV、法庭记录、选民登记数据、结婚证和财产记录等。他们也从其他公司购买数据，比如从零售商那购买历史记录，并且中间商之间也经常交换数据。这些数据中间商隐在暗处，大多数人在生活中完全不知道他们的存在，即使是他们自己的数据影响并塑造了这一商机。

数据中间商的操作未经同意且不受监管，非常不透明。虽然信用报告机构受《公平信用报告法》的监管，但数据中间商不属于这一框架，也不需要与消费者共享数据或寻求更正。如果信息不准确，也没有办法补救。要想淘汰数据中间商是相当困难的，不仅费时又混乱，请求也经常被忽略。

数据中间商近年来激增。像Acxiom、Epsilon和Oracle Data Cloud这样的大公司就从数据收集及出售中获得了巨大的经济回报。Acxiom存储了全球超7亿名消费者的文件，每份文件都包含超过1500多个唯一数据点。Acxiom每年可收集超50万亿条的数据。而且像它这样的公司还有成千上万家，每天收集到的数据数不胜数。

这些庞大的个人信息存储使这些公司能够从消费者身上（分析数据以获得见解和模式时所产生的数据）搜刮数十亿的利润，然后将其出售给银行、信用卡发卡机构、保险公司和其他有意愿的人。这一产业价值高达2000亿美元。美国三大信用机构其实就是独立中间商，Equifax每年收入为34亿美元，其中大部分收入都来自出售数据和个人信息，可消费者从未同意向Equifax提供这些个人信息。

据消费者金融保护局（CFPB）称，Equifax从1万个数据供应商那获取信息，拥有超过2亿份消费者档案，其中包含1.3万亿份交易信息。总的来说，三大信用机构每年通过出售用户最私人及最机密的信息而获得超过100亿美元的收入。

由此可见，数据中间商加剧了数据泄露及暴露问题，使得用户的数据访问权及其数据用途越发脱离掌控。由于个人数据被这个缺乏问责制和透明度的行业自由分享及出售，因此无论是身份窃贼还是针对特定个人的不法分子，都会将数百万消费者置于危险境地。

6、什么是身份盗窃？

身份盗窃是指未经授权访问和使用他人的个人身份信息，如姓名、社会保险号或信用卡号等，并用于诈骗或赚取经济利益。身份盗窃和身份欺诈这两个词通常可互换使用。如果有人利用你的个人信息来报税、贷款或盗刷信用卡，这就是身份盗窃。而身份欺诈者也可通过数据泄露、钱包丢失或网络钓鱼诈骗等各种渠道获取你的信息进行身份盗窃。

用于身份欺诈的被盗信息可能包括他人的姓名、出生日期、社会保险号码或政府颁发的身份证号码、银行账户或信用卡号码、PIN码、签名、指纹、网络用户名及密码或其它能够非法访问受害者资源的个人信息。然而受害者往往无法得知其信息的泄露源及其泄露方式，因此很难弄清楚他们的身份受到了多大程度的影响。

身份盗窃是美国增长最快的犯罪事件之一。自2012年以来，三分之一的美国人都沦为身份盗窃的牺牲品，造成的经济损失高达1200亿美元。据Javelin Research＆Strategy（美国标枪战略研究公司）称，仅2018年就有超过1440万名身份欺诈受害者，造成了147亿美元的经济损失。

身份盗窃受害者还得面临数据泄露带来的破坏性，如信用卡被盗刷，银行存款不翼而飞，或是掉进其他欺诈活动的陷阱中。2017年，在新账户欺诈以及账户接管事件的影响下，身份盗窃危害到了5.66%的消费者，因为诈骗者用来欺骗消费者的工具和计划一直在与时俱进，愈加复杂。

7、身份盗窃如何发生？

数据泄露及暴露事件以及未加密的数据共享渠道助长了黑客的窃取行为，窃贼用来窃取个人信息的工具、骗局以及方法也多种多样。有些工具还十分简单易上手，即便是不太老练的黑客或不法分子也能轻松窃取大量的个人数据。

不过，身份窃贼也可能通过最“老土”的方式来窃取用户个人信息，比如ATM机，骗子将读卡器非法放置在ATM机上读取用户的信用卡信息，也可能在下水道找到被丢弃的信用卡或银行帐户对帐单，又或是直接从他人的邮箱中盗走邮件。冒名顶替诈骗也很常见，骗子通常在电话中假扮银行或国税局员工，花言巧语窃取用户信息或金钱。

网络钓鱼则是身份窃贼或黑客诱骗用户点击电子邮件或短信中的链接，这是身份盗窃采用的最隐蔽方式之一。网络钓鱼攻击中的恶意链接或附件要么将用户引到一个伪装完美的诈骗网站，然后再诱导用户输入个人信息，要么就是在后台自动安装恶意软件，使得骗子能够从中窃取个人信息。这些复杂的网络钓鱼攻击利用窃取的信息对目标发起攻击，比如利用只有信赖的朋友或公司才会知道的隐私信息，诱使受害者上当。

咖啡店、机场或其他场所的无安全保护的公共Wi-Fi网络也可用于身份盗窃。这些网络的大部分网络流量都以未加密方式传输，这使得窃贼能够轻易截获网页浏览记录、电子邮件、登录凭据（用户名及密码）以及信用卡信息。在某些情况下，黑客还会进一步在人流量较大的公共场所设置虚假无线接入点，即所谓的“Wi-Fi蜜罐”，目的就是拦截用户数据并在连接此Wi-Fi的设备上安装恶意软件。

一旦身份窃贼盗取了你的个人信息，他们就可以根据所获得的信息或帐户盗刷信用卡，冒充本人进行贷款套现，清空银行存款，开设新公用事业账户，冒充本人享受医疗保险补助，或冒充本人报税并获得退税。

设计周密的诈骗计划使得消费者和企业难以从骗子的掌心中逃脱。有时数天或数周后，他们才会意识到自己已成为受害者。

由于许多类型的身份欺诈事件会对财务健康构成严重风险，造成的潜在有害影响可能也会非常严重。未来数月甚至数年内，受害者可能才会受到此事件的影响。因此，弄清楚你的信息是如何被窃取的，以及应注意哪些欺诈骗局，是使自己免遭身份盗窃的第一步。

8、身份盗窃及欺诈的类型

身份盗窃计划、骗局及其工具各式各样，防不胜防，要了解所有类型的欺诈手段很难，从导致帐户被盗取的网络钓鱼诈骗到导致税务欺诈的数据泄露，例子简直不胜枚举。因此，我们整理了一份最常见的身份盗窃类型及其发生频率的表。

2017年，信用卡欺诈是最常见的身份盗窃类型，占联邦贸易委员会身份盗窃报告中的30％。银行卡诈骗相比2016年上涨了20％。紧随信用卡欺诈其后的是税务欺诈（18％）、电话或公共设施欺诈（13％）、银行欺诈（11％）、贷款或租赁欺诈（7％）、政府文件或福利欺诈（6％）以及其他类型身份盗窃（15％）。以下是对各个身份盗窃及欺诈行为的简单定义。

合成身份盗窃：合成身份盗窃是一种相对较新的身份盗窃类型，骗子将多个不同真实身份的零碎信息组合起来捏造出一个新身份，窃取的信息通常包括社会保险号、姓名、地址以及出生日期。合成身份盗窃利用三大信用机构易出现的问题，如用户名拼写错误、用户名及地址变更，可见身份盗窃手段已变得有多么复杂。合成身份盗窃主要会对贷款人和银行造成危害，但倘若小偷使用某个人的真实社会保险号进行合成身份欺诈，那么这可能会给不知情受害者带来棘手的麻烦。

医疗身份盗窃：医疗身份盗窃是指盗用他人名义使用其健康保险并享受医疗服务。医疗身份盗窃可能会导致各种问题，如不准确病史可能导致病人得到错误治疗或错配药物，亦或是受害者在未接受治疗的情况下却收到了天价医疗账单。若受害者未即时意识到自己已遭诈骗，就可能导致负债累累难以还清，其信用评分也会受到重创，从而使得他们难以获得抵押贷款、汽车贷款或租房，直至还清债务为止。

儿童身份盗窃：儿童身份盗窃是指使用儿童的社会保险号进行诈骗。儿童极易遭到身份盗窃，因为父母通常不会去查看其信用报告是否出现问题，这样就使得身份窃贼得手多年都未被发现，因为受害者往往并不知道自己已被诈骗，直到他们长大后要申请信用卡或租房时才会发现。据Javelin Strategy＆Research称，2017年有超过100多万名儿童成为身份盗窃的受害者，造成的经济损失高达26亿美元。而66％遭受身份盗窃的儿童年龄仅在0至7岁。

税务身份盗窃：窃贼经常利用骗局和网络钓鱼攻击来冒充国税局，企图窃取个人信息并实施税务欺诈。当骗子利用他人信息报税并申请退税时，这就叫税务欺诈。纳税人通常是在收到国税局的通知后才发现自己遭遇欺诈了。据联邦贸易委员会统计，2018年就发生了67374起税务欺诈。

新账户欺诈：当诈骗者利用受害者个人信息开设新金融账户或申请贷款时，这就叫做新账户欺诈。抵押贷款、学生贷款、汽车贷款以及信用卡通常是新帐户欺诈的攻击目标。诈骗者也可利用窃取的信息办理新号码或公用事业账户。近年来，新账户欺诈发生频率一直在上升，其损失从2017年的30亿美元上涨到2018年的34亿美元。

信用卡欺诈：信用卡欺诈是一种现有账户欺诈，与银行账户及保险欺诈类似，都是非法使用伪造信用卡进行交易，亦或是信用卡号码在网上被非法使用。近年来，美国终于开始大力推行EMV卡标准，这在一定程度上减轻了假冒信用卡欺诈案件。EMV卡使用集成芯片进行身份认证，使得伪造卡变得极其困难。虽然此方面进展显著，但信用卡欺诈案件的发生频率依然很高，并且是最常见的诈骗类型。

帐户接管：当黑客或诈骗者未经授权访问个人或金融帐户并接管账户控制权时，就叫做帐户接管。除了新帐户欺诈，帐户接管是发生频率增长最快的身份欺诈类型，手机帐户接管从2017年的38万起上涨到2018年的67.9万起。凭证填充攻击（指大规模使用自动化测试来验证被盗密码是否能用于其他无关联网站）就是其背后的推动力，它使得黑客能够快速尝试数百万被盗的登录凭证，一次就可轻松访问数千个帐户。

9、目前全球采取了什么行动？

在美国，联邦数据隐私法似乎渐渐在国会中获得势头。那些没有严格贯彻数据安全实践及隐私实践的大型公司将始终失去消费者的信任，而那些积极保护用户数据的公司将迅速进入市场。那些致力于保护隐私以及用户数据的公司将轻松打败那些以利用用户数据为商业模式的公司。

2018年，全球掀起了一股隐私保护趋势，要求企业必须对其数据收集、存储及使用方式负责，从欧盟出台的《通用数据保护条例》到加州的《消费者隐私法》都可见一斑。监管机构也已注意到并开始认真对待数据危机。虽然数据泄露次数可能会减少，但当前文化必须得改变。

美国人显然仍未得到全国性的隐私保护，因为泄露行为日益加剧，每年都有数百万人成为身份盗窃的受害者。一个统一的监管框架将有助于保护消费者，并使企业能够遵循各州数据泄露法，包括HIPAA（健康保险便利和责任法案）、Gramm-Leach-Bailey（金融服务法现代化法案）、COPPA（儿童在线隐私保护法案）以及FERPA（家庭教育权和隐私权法案）等（遵循哪项法案具体取决于其目标群体）。

同时，基本安全隐患也可轻松补救。如为安全保障分配更多资源，并定时发布漏洞报告。然而，只要数据仍然中心化，就易出现单一故障点。生物识别数据、云存储以及数字身份系统都将频繁遭受攻击。尤其是掌握着海量敏感信息的金融机构，更将面临巨大风险。

像印度的Aadhaar以及美国的社会保险号码系统这样已千疮百孔的身份系统，需要好好思索该何去何从了。公司及政府也必须开始寻求具有隐私性的新数据存储及共享模型，包括本地存储、公钥加密、限制访问、最小化数据以及消费者所有权等。

10、如何保护自己的数据？

那么，在这样一个充斥着无休止泄露事件的世界里，你该如何保护自己的数据及身份呢？尽管积极采取措施保护自身数据以及网络身份，寻求能够保护身份的最佳办法，并尝试现有方案比以往任何时候都来得重要，但这也是一个可能会令人困惑、沮丧且极其费时的过程。不过别灰心！Bloom可为大家提供帮助！

Bloom团队编写了一份简洁易懂的指南，教你如何保护自己的身份并将身份欺诈风险降到最低。请认真阅读以下步骤：

1.冻结信用报告：这是降低身份欺诈风险的最有效方法之一。冻结信用报告能够有效防止骗子以你的名义开设新的金融帐户或信用额度。

2.设置密码管理器：密码管理器可轻松为每个帐户生成唯一的高强度密码，并统一追踪及管理你的所有密码，防止一个帐户泄露从而影响到其他账户。

3.监控信用及身份：通过监控信用报告中的可疑变更或设立的新帐户，你可在骗子得手前及时发现并立即采取措施降低损失。

4.启用双因素身份认证：2FA是一个额外安全层，用于确保帐户访问人就是本人。双因素身份认证使黑客及身份窃贼难以非法访问你的网络帐户。

5.数据共享最小化：尽量减少共享的数据量，且尽量不提供必要信息。不要因为别人问你就给，务必仔细询问需要信息的缘由及其保护信息的方式。避免使用电子邮件或文本发送纯文本数据或密码，尽可能以更加安全的方式传输信息。

6.保持警惕：保护数据和身份的最佳方法就是保持警惕，对可疑活动务必多加注意。切勿点击电子邮件或短信中的不明链接。小心冒牌诈骗以及网络钓鱼攻击。切勿向任何你不认识或未直接接触过的个人或公司提供个人信息。

Bloom：数据控制权由自己掌握

在没有用户明确许可的情况下，Bloom永远不会收集、共享或出售用户数据。Bloom允许用户在不暴露基础数据的情况下验证身份并向第三方申请信贷，大大降低了身份盗窃风险。使用Bloom验证身份、收入状况、就业情况、信用等，用户可在申请信用卡、个人贷款或租房时无需每次都提交表格和文件。

Bloom可使用户重新掌握自己的数据控制权。不再有中心化数据存储。不再有数据出售行为。不再有身份被盗的风险。Bloom使用最新区块链技术来保护用户数据，并使用户能够掌握自己的数据控制权