史上十大數據泄露事件及其教訓

數據泄露等重大網絡安全事件往往是不斷重復錯誤的過程。因此，以史為鑒，可以幫助我們從過去的數據泄露事件中吸取寶貴經驗教訓。事實上，如果企業遵循簡單的網絡安全最佳實踐，本文列舉的大規模數據泄露事件完全可以避免。

以下，我們根據數據泄露規模和影響力整理了史上十大數據泄露事件，同時給出了如何防止發生類似泄露事件的建議。

1、雅虎

泄露數據：30億賬戶

泄露日期：2013年8月

披露日期：2016年12月

雅虎最初在2016年宣布，其2013年的泄露事件僅影響了10億個賬戶。但在2017年Verizon收購雅虎后，有消息稱這個數字實際上是30億。該事件影響了雅虎電子郵件賬戶和其他公司服務，包括Tumblr、Flickr、雅虎夢幻體育和雅虎財經。

黑客獲取了雅虎用戶的姓名、出生日期、電話號碼和密碼，以及用于重置密碼的安全問題和電子郵件地址，但沒有任何財務數據（例如信用卡號碼或銀行賬戶詳細信息）被公開。雅虎在最初的披露中宣布，它強制對所有自2013年以來更改過的賬戶進行了密碼重置。迄今為止，雅虎尚未披露違規原因。

如何防止此類攻擊：

• 進行持續的安全監控和測試。
• 定期執行漏洞和滲透測試，使安全團隊能夠在網絡犯罪分子利用漏洞之前修復漏洞。

2、印度政府數據庫Aadhaar

泄露數據：11億

泄露日期：未知

披露日期：2018年1月

在印度政府身份數據庫Aadhaar遭到入侵后，11億印度公民的記錄被曝光。雖然印度政府沒有強制公民在數據庫中注冊，但對于那些想要訪問某些政府資源或援助的人來說是必需的。

《論壇報》記者僅向黑客支付了500印度盧比（2018年匯率換算約為8美元）就獲得了訪問數據庫的賬號密碼，并報道了這一泄露事件。可未經授權訪問的數據庫信息包括：姓名、生日、電子郵件地址、電話號碼和郵政編碼。賣家向記者提供了一個軟件（僅需300盧比），可以打印唯一的印度居民身份證。

據《論壇報》報道，賣方是通過前Aadhaar員工訪問數據庫的犯罪組織成員。ZDNet后來報道說，泄漏發生在一家國有公用事業公司運行的系統上，該公司可以通過用于驗證客戶身份的不安全API訪問數據庫。

如何防止此類攻擊：

• 遵循API安全測試最佳實踐。
• 使用API安全工具來降低風險。
• 堅持身份和訪問管理最佳實踐。
• 執行政策以檢測和防止內部威脅。

3、第一美國金融

（First American Financials）

泄露數據：8.85億

泄露日期：未知

披露日期：2019年5月

2019年5月，安全研究員布賴恩·克雷布斯(Brian Krebs)報告稱，保險公司First American Financials的8.85億份文件在其官方網站上被泄露。這些記錄可以追溯到2003年，包括銀行賬戶信息、社會安全號碼、抵押貸款記錄、稅務文件和駕照復印件。該網站不需要密碼即可訪問這些文件。

First American表示，它“了解到一個應用程序存在設計缺陷，可能導致未經授權訪問客戶數據。”這個所謂設計錯誤是不安全的直接對象引用(IDOR)，是一種訪問控制漏洞，其中為特定查看者創建了鏈接，但在訪問前未驗證查看者的身份。

如何防止這種攻擊：

• 在保護API時，請牢記IDOR和統一資源標識符。
• 遵循API安全測試指南。

4、在線垃圾郵件機器人

（Onliner Spambot）

泄露數據：7.11億

泄露日期：未知

披露日期：2017年8月

2017年，安全研究員Troy Hunt報告稱，總部位于巴黎的安全研究員Benkow發現了一個暴露的垃圾郵件服務器，名為Onliner。Benkow向Hunt提供了垃圾郵件機器人的7.11億條暴露記錄列表，其中包括電子郵件地址和密碼。

在被發現之前，Onliner通過竊取數據的特洛伊木馬傳播了至少一年。

如何防止這種攻擊：

• 要求員工在涉嫌違規后更改密碼。
• 強制執行企業密碼策略。
• 避免重復使用密碼。
• 遵循密碼安全衛生最佳做法。

5、Facebook

泄露數據：5.33億

泄露日期：未知

披露日期：2021年4月

2021年，隨著黑客在黑客論壇上發布了一個包含5.33億用戶敏感數據的泄露數據庫，Facebook特大數據泄露事件浮出水面。Facebook表示，惡意行為者通過抓取而不是入侵其系統來獲取其用戶的電話號碼、姓名、位置和電子郵件地址。抓取是一個使用戶和機器人能夠從公開可用的網站中提取數據的過程。

Facebook表示，它認為攻擊者使用旨在幫助用戶通過將帳戶與聯系人列表關聯起來來找到朋友的功能來抓取數據。該公司在發現該功能被惡意使用后于2019年9月更改了該功能，以防止將來被抓取。

如何防止這種攻擊：

• 降低與抓取相關的風險。
• 實施DevSecOps策略。

6、雅虎

泄露數據：5億

泄露日期：2014年11月/12月

披露日期：2016年9月

雅虎的獨特之處在于，它不僅在大規模數據泄露榜單獨占鰲頭，而且還是唯一占據兩個席位的公司。

雅虎在2016年宣布，其5億賬戶在2014年的國家黑客攻擊中遭到入侵。雅虎表示，被盜信息可能包括姓名、電子郵件地址、生日、電話號碼和散列密碼。2018年，卡里姆·巴拉托夫(Karim Baratov)因幫助俄羅斯情報人員訪問“相關個人”賬戶而被判五年徒刑。

雅虎在內部調查后將這次攻擊歸因于魚叉式網絡釣魚電子郵件。

如何防止這種攻擊：

• 遵循最佳實踐來準備網絡釣魚攻擊。
• 制訂網絡安全意識培訓計劃。

7、FriendFinder

泄露數據：4.12億

泄露日期：未知

披露日期：2016年11月

2016年的一次泄露暴露了成人數據和娛樂公司FriendFinder Networks的4.12億用戶帳戶。泄露的內容包括20年來的用戶名、電子郵件地址、密碼和其他敏感信息，以及仍在其系統中的1500萬個已刪除帳戶。

研究人員從公司的生產環境中找到了源代碼，以及在網上泄露了的公鑰和私鑰對。該公司向ZDNet證實，它修復了一個可以訪問源代碼的注入漏洞。

如何防止這種攻擊：

• 使用源代碼最佳實踐。
• 保護您的公鑰基礎設施。
• 測試Web應用程序和注入漏洞。

8、萬豪國際

泄露數據：3.83億

泄露日期：2014

披露日期：2018年11月

酒店供應商萬豪國際集團已經多次被黑客光顧，但規模最大的一次數據泄露發生在2018年，攻擊者從四年前開始訪問其喜達屋賓客數據庫。暴露的記錄包括姓名、電話號碼、護照詳細信息、郵寄和電子郵件地址、客人的抵達和離開信息（在某些情況下，還包括加密的信用卡號碼）。

該漏洞是在其內部安全系統發出警報后發現的。攻擊者已入侵數據庫并加密和泄露敏感數據。萬豪最初認為該漏洞泄露了5億客人的信息，但經過進一步內部調查，該公司宣布該漏洞影響了約3.83億客人。然而，泄露的原因仍然未知。萬豪在2016年收購了喜達屋，但截至2018年尚未將其遷移到萬豪的系統；喜達屋數據庫繼續使用遺留的IT基礎設施。

如何防止這種攻擊：

• 定期更新IT基礎架構。
• 實施補丁管理程序。
• 讓CISO參與并購規劃。

9、Twitter

泄露數據：3.3億

泄露日期：未知

披露日期：2018年5月

2018年Twitter建議其超過3.3億用戶更改密碼，據稱是因為漏洞導致一些密碼以明文形式存儲在內部日志系統中。該公司表示自己發現了這個漏洞，并且已經刪除了未經哈希處理的密碼，并采取了措施防止未來出現故障。

目前尚不清楚密碼暴露了多長時間以及有多少用戶受到影響。該社交網絡表示，沒有證據表明密碼被惡意訪問。

如何防止這種攻擊：

• 遵循補丁管理最佳實踐。
• 考慮創建一個企業漏洞賞金計劃。

10、微軟

泄露數據：2.5億

泄露日期：2019年12月

披露日期：2020年1月

微軟在2020年披露，時間跨度長達14年的2.5億條客戶服務和支持記錄在網上泄露。該公司表示，個人數據在存儲之前已從記錄中刪除，但一些明文電子郵件和IP地址被暴露。微軟表示，它沒有發現惡意使用這些記錄的跡象，這些記錄暴露了不到一個月。

微軟將此次違規歸因于內部數據庫安全規則的錯誤配置。

如何防止這種攻擊：

• 遵循企業數據庫安全最佳實踐。
• 采用零信任模式