21 世紀 15 大數據泄露事件
在當今數據驅動的世界中,數據泄露可能一次影響數億甚至數十億人。數字化轉型增加了數據移動的供應,隨著攻擊者利用日常生活中的數據依賴性,數據泄露也隨之擴大。如何在未來的大網絡攻擊可能成為遺體猜測,但作為最大的數據違反21的這個名單ST世紀表示,他們已經達到了巨大的幅度。
為透明起見,此列表是根據受影響的用戶數、公開的記錄或受影響的帳戶數計算得出的。我們還區分了數據被主動竊取或惡意轉發的事件與組織無意中使數據不受保護和暴露的事件,但沒有明顯的濫用證據。后者故意不包括在列表中。
因此,這是最近歷史上 15 起最大數據泄露事件的最新列表,包括受影響者的詳細信息、責任人以及公司的響應方式(截至 2021 年 7 月)。
1. 雅虎
日期: 2013 年 8 月
影響: 30 億個賬戶
確保第一名的位置——在最初的泄露事件發生后將近七年,以及在暴露的真實記錄數量被揭露后四年——是對雅虎的攻擊。該公司于 2016 年 12 月首次公開宣布了這一事件——據稱該事件發生在 2013 年。 當時,它正處于被 Verizon 收購的過程中,估計其超過 10 億客戶的賬戶信息已被訪問由黑客組織。不到一年后,雅虎宣布用戶賬戶被曝光的實際數字為 30 億。雅虎表示,修訂后的估計并不代表新的“安全問題”,它正在向所有“其他受影響的用戶帳戶”發送電子郵件。
盡管遭到攻擊,但與 Verizon 的交易還是完成了,盡管價格有所降低。Verizon 的 CISO Chandra McMahon 當時表示:“Verizon 致力于最高標準的問責制和透明度,我們積極努力確保我們的用戶和網絡在不斷變化的在線威脅環境中的安全和保障。我們對雅虎的投資使該團隊能夠繼續采取重要措施來增強其安全性,并從 Verizon 的經驗和資源中受益。” 經調查發現,雖然攻擊者訪問的安全問題和答案、明文密碼、支付卡和銀行數據等賬戶信息并未被竊取。
2.阿里巴巴
日期: 2019年11月
影響: 11億條用戶數據
在八個月的時間里,一名為聯屬營銷商工作的開發人員使用他創建的爬蟲軟件從阿里巴巴中國購物網站淘寶上抓取了客戶數據,包括用戶名和手機號碼。看來開發商和他的雇主正在收集信息供自己使用,并沒有在黑市上出售,盡管兩人都被判處三年徒刑。
一個淘寶的發言人在一份聲明中說:“淘寶致力于大量的資源,我們的平臺上打擊非法抓取,數據隱私和安全是最重要的。我們已經主動發現并解決了這種未經授權的抓取。我們將繼續與執法部門合作,捍衛和保護我們用戶和合作伙伴的利益。”
3. 領英
日期: 2021 年 6 月
影響: 7 億用戶
2021 年 6 月,專業網絡巨頭 LinkedIn 在一個暗網論壇上發布了與 7 億用戶相關的數據,影響了其 90% 以上的用戶群。一個被稱為“上帝用戶”的黑客在傾倒大約 5 億客戶的第一個信息數據集之前,通過利用該網站(和其他人)的 API 來使用數據抓取技術。然后他們吹噓說他們正在銷售完整的 7 億客戶數據庫。雖然 LinkedIn 辯稱,由于沒有泄露敏感的私人個人數據,該事件違反了其服務條款而不是數據泄露,但 God User 發布的數據樣本包含的信息包括電子郵件地址、電話號碼、地理位置記錄、性別和其他社交媒體詳細信息,這將為惡意行為者提供大量數據以使其具有說服力,受到英國 NCSC 的警告。
4. 新浪微博
日期: 2020 年 3 月
影響: 5.38 億個賬戶
新浪微博擁有超過 6 億用戶,是中國最大的社交媒體平臺之一。2020 年 3 月,該公司宣布攻擊者獲得了其部分數據庫,影響了 5.38 億微博用戶及其個人詳細信息,包括真實姓名、網站用戶名、性別、位置和電話號碼。據報道,攻擊者隨后在暗網上以 250 美元的價格出售了該數據庫。
中國工業和信息化部(MIIT)責令微博加強其數據安全措施,以更好地保護個人信息,并在發生數據安全事件時通知用戶和當局。新浪微博在一份聲明中辯稱,攻擊者通過使用一項服務來收集公開發布的信息,該服務旨在幫助用戶通過輸入他們的電話號碼來定位朋友的微博帳戶,并且沒有密碼受到影響。但是,它承認如果密碼在其他帳戶上重復使用,則暴露的數據可用于將帳戶與密碼相關聯。該公司表示,它加強了其安全策略,并向有關當局報告了詳細信息。
5.臉書
日期: 2019 年 4 月
影響: 5.33 億用戶
2019 年 4 月,據透露,來自 Facebook 應用程序的兩個數據集已暴露在公共互聯網上。這些信息涉及超過 5.3 億 Facebook 用戶,包括電話號碼、帳戶名稱和 Facebook ID。然而,兩年后(2021 年 4 月),這些數據被免費發布,表明圍繞這些數據的新的和真實的犯罪意圖。事實上,鑒于事件導致暗網中受到影響的電話號碼數量龐大且隨時可用,安全研究員 Troy Hunt 為他的 HaveIBeenPwned (HIBP) 違規憑證檢查站點添加了功能,允許用戶驗證他們的電話數字已包含在公開的數據集中。
“我從未打算讓電話號碼可搜索,”亨特在博客文章中寫道。“我對此的立場是,出于多種原因,這沒有意義。Facebook 數據改變了這一切。有超過 5 億個電話號碼,但只有幾百萬個電子郵件地址,因此 > 99% 的人在他們應該受到打擊的時候卻錯過了。”
6.萬豪國際(喜達屋)
日期: 2018 年 9 月
影響: 5 億客戶
萬豪國際酒店在 2018 年 9 月其系統遭到攻擊后,宣布暴露了50 萬喜達屋客人的敏感信息。在同年 11 月發布的一份聲明中,這家酒店巨頭表示:“2018 年 9 月 8 日,萬豪收到了來自內部安全工具的關于試圖訪問喜達屋客人預訂數據庫的警報。萬豪迅速聘請了領先的安全專家來幫助確定發生了什么。”
萬豪在調查中獲悉,自 2014 年以來,喜達屋網絡一直遭到未經授權的訪問。“萬豪最近發現,未經授權的一方復制并加密了信息,并采取措施將其刪除。2018 年 11 月 19 日,萬豪能夠解密信息并確定內容來自喜達屋客人預訂數據庫,”聲明補充道。
復制的數據包括客人的姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、喜達屋優先客戶帳戶信息、出生日期、性別、到達和離開信息、預訂日期和通信偏好。對于一些人來說,這些信息還包括支付卡號和到期日期,盡管這些顯然是加密的。
事件發生后,萬豪在安全專家的協助下進行了一項調查,并宣布了逐步淘汰喜達屋系統并加速其網絡安全增強的計劃。該公司最終在 2020 年被英國數據管理機構信息專員辦公室 (ICO)罰款 1840萬英鎊(從 9900 萬英鎊減少),原因是未能保證客戶個人數據的安全。
7. 雅虎
日期: 2014 年
影響: 5 億個賬戶
第二次出現在這份名單中的是雅虎,它在 2014 年遭受了一次攻擊,與上面提到的 2013 年的攻擊不同。在這種情況下,國家資助的演員從 5 億個帳戶中竊取了數據,包括姓名、電子郵件地址、電話號碼、散列密碼和出生日期。該公司在 2014 年采取了初步補救措施,但直到 2016 年,雅虎才在被盜數據庫在黑市上出售后公開了詳細信息。
8.The FriendFinder Network
日期: 2016 年 10 月
影響: 4.122 億個賬戶
面向成人的社交網絡服務 The FriendFinder Network 在 2016 年 10 月被網絡竊賊竊取的六個數據庫中擁有 20 年的用戶數據。 鑒于該公司提供的服務的敏感性 - 其中包括休閑聯播和成人內容網站像 Adult Friend Finder、Penthouse.com 和 Stripshow.com——超過 4.14 億個賬戶的數據泄露,包括姓名、電子郵件地址和密碼,有可能對受害者造成特別大的打擊。此外,絕大多數暴露的密碼都是通過臭名昭著的弱算法 SHA-1 進行哈希處理的,在 LeakedSource.com 于 2016 年 11 月 14 日發布對數據集的分析時,估計其中 99% 已被破解。
9. MySpace
日期: 2013 年
影響: 3.6 億用戶帳戶
盡管它早已不再是曾經的強者,但在 3.6 億用戶帳戶被泄露到 LeakedSource.com 并在暗網市場上以要價出售后,社交媒體網站 MySpace 于 2016 年成為頭條新聞6 個比特幣(當時約為 3,000 美元)。
據該公司稱,丟失的數據包括“2013 年 6 月 11 日之前在舊 Myspace 平臺上創建的部分帳戶的電子郵件地址、密碼和用戶名”。為了保護我們的用戶,我們已使 2013 年 6 月 11 日之前在舊 Myspace 平臺上創建的受影響帳戶的所有用戶密碼失效。這些返回 Myspace 的用戶將被提示驗證他們的帳戶并按照說明重置他們的密碼。”
相信密碼被存儲為密碼的前 10 個字符的 SHA-1 哈希轉換為小寫。
10.網易
日期: 2015 年 10 月
影響: 2.35 億用戶帳戶
據報道,網易是一家通過 163.com 和 126.com 等網站提供郵箱服務的提供商,據報道,該公司在 2015 年 10 月遭受了一次攻擊,當時暗網市場供應商 DoubleFlag 出售了與 2.35 億個帳戶相關的電子郵件地址和明文密碼。網易堅稱沒有發生數據泄露事件,直到今天 HIBP 表示:“雖然有證據表明數據本身是合法的(多個 HIBP 訂閱者確認他們使用的密碼在數據中),但由于難以強調驗證中文違規行為已被標記為“未經驗證”。
11. Court Ventures(益百利)
日期: 2013 年 10 月
影響: 2 億條個人記錄
Experian 子公司 Court Ventures 于 2013 年成為受害者,當時一名越南男子偽裝成來自新加坡的私家偵探,誘使他訪問包含 2 億條個人記錄的數據庫。Hieu Minh Ngo 的攻擊細節在他因向世界各地的網絡犯罪分子出售美國居民的個人信息(包括信用卡號碼和社會安全號碼)而被捕后才被曝光,這是他自 2007 年以來一直在做的事情。 2014 年 3 月,他在美國新罕布什爾州地方法院對包括身份欺詐在內的多項指控認罪。美國司法部當時表示,Ngo 通過出售個人數據總共賺了 200 萬美元。
12. 領英
日期: 2012 年 6 月
影響: 1.65 億用戶
第二次出現在這個名單上的是 LinkedIn,這一次是指它在 2012 年遭受的破壞,當時它宣布攻擊者竊取了 650 萬個未關聯的密碼(未加鹽的 SHA-1 哈希)并將其發布到俄羅斯黑客論壇上。然而,直到 2016 年,事件的全部范圍才被揭露。發現出售 MySpace 數據的同一黑客僅以 5 個比特幣(當時約為 2,000 美元)提供了大約 1.65 億 LinkedIn 用戶的電子郵件地址和密碼。LinkedIn承認已獲悉該違規行為,并表示已重置受影響帳戶的密碼。
13. Dubsmash
日期: 2018 年 12 月
影響: 1.62 億用戶帳戶
2018 年 12 月,總部位于紐約的視頻消息服務 Dubsmash 有 1.62 億個電子郵件地址、用戶名、PBKDF2 密碼哈希值和其他個人數據(如出生日期)被盜,所有這些數據隨后都在 Dream Market 暗網上出售次年 12 月上市。這些信息作為收集的轉儲的一部分出售,其中還包括 MyFitnessPal(更多信息見下文)、MyHeritage(9200 萬)、ShareThis、Armor Games 和約會應用 CoffeeMeetsBagel 等。
Dubsmash 承認發生了信息泄露和出售,并提供了有關更改密碼的建議。但是,它沒有說明攻擊者如何進入或確認有多少用戶受到影響。
14. Adobe
日期: 2013 年 10 月
影響: 1.53 億條用戶記錄
2013 年 10 月上旬,Adobe 報道黑客竊取了近 300 萬加密客戶信用卡記錄和數量不明的用戶帳戶登錄數據。幾天后,Adobe 提高了這一估計值,包括 3800 萬“活躍用戶”的 ID 和加密密碼。安全博主布賴恩·克雷布斯 (Brian Krebs) 隨后報道稱,幾天前發布的一個文件“似乎包含來自 Adob??e 的超過 1.5 億個用戶名和散列密碼對。” 數周的研究表明,黑客還暴露了客戶姓名、密碼以及借記卡和信用卡信息。2015 年 8 月的一項協議要求 Adob??e 向用戶支付 110 萬美元的法律費用和一筆未公開的金額,以解決違反《客戶記錄法》和不公平商業行為的索賠。2016 年 11 月,據報道支付給客戶的金額為 100 萬美元。
15. MyFitnessPal
日期: 2018 年 2 月
影響: 1.5 億用戶帳戶
2018 年 2 月,飲食和鍛煉應用 MyFitnessPal(由 Under Armour 擁有)暴露了大約 1.5 億個唯一的電子郵件地址、IP 地址和登錄憑據,例如存儲為 SHA-1 和 bcrypt 哈希值的用戶名和密碼。第二年,這些數據出現在暗網上和更廣泛的范圍內出售。該公司承認了違規行為,并表示已采取行動通知用戶這一事件。“一旦我們意識到這一點,我們就迅速采取措施確定問題的性質和范圍。我們正在與領先的數據安全公司合作,以協助我們進行調查。我們還通知并正在與執法部門協調,”它說。
