21世紀最嚴重的15起數據泄露事件

在這個數據驅動的世界中，一次數據泄露就可能影響到數億甚至數十億人。數字化轉型進一步推動了數據的移動，而隨著攻擊者加速利用日常生活中的數據依賴性，數據泄露也正隨之擴大。未來的網絡攻擊規模會有多大還有待考察，但正如這份21世紀最大的數據泄露清單所顯示的那樣，它們已經達到了巨大的規模。

根據受影響的用戶、暴露的記錄或受影響的帳戶數量，我們總結了這份21世紀以來最重大的數據泄露事件清單。

1. 雅虎

時間：2013年8月；

影響：30億賬戶；

雅虎于2016年12月首次公開宣布了這起數據泄露事件，并稱其發生在2013年。當時，它正處于被Verizon收購的過程中，據估計，超過10億用戶的賬戶信息已被黑客組織訪問。不到一年之后，雅虎宣布泄露的用戶賬戶的實際數字高達30億。

盡管遭到了攻擊，但與Verizon的交易還是完成了，只是成交價格有所降低。Verizon首席信息官Chandra McMahon當時表示，“Verizon致力于問責制和透明度的最高標準，在不斷變化的在線威脅環境中，我們積極努力確保用戶和網絡的安全。我們對雅虎的投資使該團隊能夠繼續采取重大措施來增強他們的安全性，同時也能受益于Verizon的經驗和資源。”

后來，經過調查發現，雖然攻擊者訪問了安全問題和答案等賬戶信息，但明文密碼、支付卡和銀行數據并沒有被盜。

2. Aadhaar

時間：2018年1月；

影響：11億印度公民的身份/生物特征信息暴露；

2018年初，惡意行為者滲透了世界上最大的身份數據庫Aadhaar，泄露了超過11億印度公民的信息，包括姓名、地址、照片、電話號碼和電子郵件，以及指紋和虹膜掃描等生物特征數據。更重要的是，這個數據庫——由印度唯一識別局（UIDAI）于2009年建立——還包含與唯一12位數字相關的銀行賬戶信息。

據悉，攻擊者通過國有公用事業公司Indane的網站潛入Aadhaar數據庫，Indane通過應用程序編程接口連接到政府數據庫，該接口允許應用程序檢索其他應用程序或軟件存儲的數據。不幸的是，Indane的API沒有訪問控制，因此數據很容易受到攻擊。之后，攻擊者通過WhatsApp群以低至7美元的價格出售了這些數據使用權。盡管安全研究人員和技術組織發出警告，但印度當局直到2018年3月23日才將這個易受攻擊的接入點關閉。

3. 阿里巴巴

時間：2019年11月；

影響：11億條用戶數據；

在八個月的時間里，一名開發人員使用自己開發的爬蟲軟件，從阿里巴巴（Alibaba）中文購物網站淘寶上抓取了大量客戶數據，包括用戶名和手機號碼。目前看來，這名開發人員及其雇主收集這些信息是為了自己使用，并沒有在黑市上出售。最終，兩人都被判處3年監禁。

淘寶發言人在一份聲明中表示，“淘寶投入大量資源打擊平臺上未經授權的抓取，因為數據隱私和安全是最重要的。我們已經主動發現并解決了這種未經授權的抓取行為。我們將繼續與執法部門合作，捍衛和保護我們用戶和合作伙伴的利益。”

4. LinkedIn

時間：2021年6月；

影響：7億用戶；

職業網絡巨頭領英（LinkedIn）在2021年6月發現，其7億用戶的相關數據被發布在暗網論壇上，影響了其90%以上的用戶群。一名自稱為“God User”的黑客利用該網站（和其他網站）的API，通過數據抓取技術轉儲了約5億用戶的信息數據集。接著，他們夸口說，他們正在出售完整的7億客戶數據庫。

盡管LinkedIn辯稱，由于沒有敏感的個人數據被泄露，該事件只是違反了其服務條款，而不是數據泄露，但正如英國國家網絡安全委員會（NCSC）警告的那樣，God User發布的一份抓取數據樣本包含電子郵件地址、電話號碼、地理位置記錄、性別和其他社交媒體細節等信息，這將為惡意行為者提供大量數據，在泄密事件發生后制造令人信服的后續社交工程攻擊。

5. 新浪微博

時間：2020年3月；

影響：5.38億賬戶；

新浪微博擁有超過6億用戶，是中國最大的社交媒體平臺之一。2020年3月，該公司宣布，攻擊者獲取了其部分數據庫，影響了5.38億微博用戶及其個人信息，包括真實姓名、網站用戶名、性別、位置和電話號碼。據報道，攻擊者隨后在暗網上以250美元的價格出售了該數據庫。

中國工業和信息化部要求微博加強數據安全措施，更好地保護個人信息，并在發生數據安全事件時及時通知用戶和有關部門。新浪微博在一份聲明中稱，攻擊者利用一項服務——該服務旨在幫助用戶通過輸入朋友的電話號碼來定位他們的微博賬戶——收集了公開發布的信息，但密碼并未受到影響。不過，該公司也承認，如果密碼在其他賬戶上重復使用，泄露的數據可能會被用來關聯賬戶和密碼。

6. Facebook

時間：2019年4月；

影響：5.33億用戶；

2019年4月，來自Facebook應用程序的兩個數據集被暴露在公共互聯網上。這些信息涉及5.3億多Facebook用戶，包括電話號碼、賬戶名和Facebook id。然而，兩年后（2021年4月），這些數據被免費發布，表明圍繞這些數據有新的和真正的犯罪意圖。事實上，考慮到此次事件影響到的電話號碼數量之多，以及在暗網上可以輕易獲得的電話號碼，安全研究員Troy Hunt為他的“HaveIBeenPwned”入侵檢查網站添加了功能，允許用戶驗證他們的電話號碼是否包含在暴露的數據集中。

7. 萬豪國際（喜達屋）

時間：2018年9月；

影響：5億用戶；

2018年9月，萬豪國際酒店宣布其系統遭到攻擊，50萬喜達屋客人的敏感細節被曝光。在同年11月發布的一份聲明中，這家酒店巨頭表示，“2018年9月8日，萬豪收到了來自內部安全工具的警告，稱有人試圖訪問喜達屋的客人預訂數據庫。萬豪迅速聘請頂尖安全專家幫助確定發生了什么。”

萬豪在調查中了解到，自2014年以來，喜達屋的網絡一直存在未經授權的訪問。未經授權的一方復制并加密了信息，并采取了刪除措施。2018年11月19日，萬豪成功解密了這些信息，并確定其內容來自喜達屋客房預訂數據庫。

復制的數據包括客人的姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、喜達屋首選客人賬戶信息、出生日期、性別、到達和離開信息、預訂日期和溝通偏好。對一些人來說，信息還包括支付卡號碼和到期日，盡管這些顯然是加密的。

事件發生后，萬豪在安全專家的協助下展開了調查，并宣布計劃逐步淘汰喜達屋系統，并加快對其網絡的安全加固。該公司最終在2020年被英國數據管理機構信息專員辦公室（ICO）罰款1840萬英鎊（從最初的9900萬英鎊減少），原因是未能保護客戶的個人數據安全。

8. 雅虎

時間：2014年；

影響：5億賬戶；

雅虎再次出現在榜單中。在這起事件中，國家支持的黑客竊取了雅虎5億賬戶的數據，包括姓名、電子郵件地址、電話號碼、散列密碼和出生日期。該公司早在2014年就采取了初步的補救措施，但直到2016年，一個被盜的數據庫在黑市上出售后，雅虎才公開了細節。

9. Adult Friend Finder

時間：2016年10月；

影響：4.122億賬戶；

2016年10月，面向成人的社交網絡服務FriendFinder Network數據庫遭遇黑客入侵。考慮到該公司提供的服務的敏感性質——包括休閑約會和成人內容網站，如adult Friend Finder, penthouse，和Stripshow.com——超過4.14億賬戶的數據泄露，包括姓名，電子郵件地址和密碼，對受害者來說可能是特別致命的。更重要的是，絕大多數暴露的密碼都是通過弱算法SHA-1哈希的，極易被破解。

10. MySpace

時間：2013年；

影響：3.6億用戶賬號；

盡管社交媒體網站MySpace早已不再是曾經的巨頭，但在2016年，3.6億用戶賬號被泄露到LeakedSource.com網站上，并在暗網市場the Real Deal上以6比特幣（當時約3000美元）的價格出售，還是再次將它送上了新聞頭條。

據該公司稱，丟失的數據包括2013年6月11日之前在舊Myspace平臺上創建的部分賬戶的電子郵件地址、密碼和用戶名。

11. 網易

時間：2015年10月；

影響：2.35億用戶賬號；

網易是163.com和126.com等郵箱服務提供商，據報道，2015年10月，暗網市場供應商DoubleFlag出售了2.35億賬戶的電子郵件地址和明文密碼。烏云也爆料稱，網易的用戶數據庫疑似泄露，影響數據總共數億條，泄露信息包括用戶名、MD5密碼、密碼提示問題/答案（hash）、注冊IP、生日等。網易郵箱綁定的其他賬戶也受到波及，如iPhone用戶的Apple ID等。

但網易團隊卻堅稱沒有發生數據泄露，并通過微博發布官方聲明，稱郵箱被暴力破解“屬于網絡謠傳”。孰真孰假，愈顯撲朔迷離。

12. Court Ventures

時間：2013年10月；

影響：2億個人紀錄；

益百利（Experian）子公司Court Ventures于2013年淪為攻擊受害者，當時一名越南男子（Hieu Minh Ngo）偽裝成新加坡私家偵探，誘騙益百利允許他訪問一個包含2億份個人記錄的數據庫。最終，該男子因向世界各地的網絡犯罪分子出售美國居民的個人信息（包括信用卡號和社會安全號碼）而被捕。

據悉，Ngo從2007年起就開始從事這種活動，之后他的行為細節才得以曝光。2014年3月，他在美國新罕布什爾州地區法院承認了包括身份欺詐在內的多項指控。美國司法部當時表示，Ngo通過出售個人數據總共賺了200萬美元。

13. LinkedIn

時間：2012年6月；

影響：1.65億用戶；

LinkedIn也再次出現在名單中，這一次是因為它在2012年遭受的一次入侵，當時它宣布有650萬個不相關的密碼（無鹽SHA-1哈希）被攻擊者竊取，并被發布到一個俄羅斯黑客論壇上。然而，直到2016年，事件的全部細節才被披露出來。同一名出售MySpace數據的黑客被發現以5個比特幣（當時約為2000美元）的價格向LinkedIn提供約1.65億用戶的電子郵件地址和密碼。LinkedIn承認，它已經意識到這次入侵，并表示已重置了受影響賬戶的密碼。

14. Dubsmash

時間：2018年12月；

影響：1.62億用戶賬號；

2018年12月，總部位于紐約的視頻消息服務Dubsmash稱其1.62億個電子郵件地址、用戶名、PBKDF2密碼哈希值和出生日期等其他個人數據被盜，所有這些數據隨后在次年12月被放在暗網市場出售。。

Dubsmash承認發生了信息泄露和出售事件，并就密碼修改提供了建議。然而，它未能說明攻擊者是如何進入的，也未能確認有多少用戶受到影響。

15. Adobe

時間：2013年10月；

影響：1.53億條用戶記錄；

2013年10月初，Adobe報告稱，黑客竊取了近300萬份加密的客戶信用卡記錄和登錄數據。幾天后，Adobe再次更新了這一估計，稱包括3800萬“活躍用戶”的id和加密密碼失竊。安全博主Brian Krebs隨后報告稱，幾天前發布的一個文件“似乎包含了超過1.5億對來自Adobe的用戶名和哈希密碼對”。數周的研究表明，黑客還暴露了客戶的姓名、密碼、借記卡和信用卡信息。

2015年8月的一項協議要求Adobe支付110萬美元的訴訟費用，并向用戶支付100萬美元，以解決違反《客戶記錄法》（Customer Records Act）和不公平商業行為的指控。

參考及來源：

https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.htm