在這個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界中，一次數(shù)據(jù)泄露就可能影響到數(shù)億甚至數(shù)十億人。數(shù)字化轉(zhuǎn)型進(jìn)一步推動(dòng)了數(shù)據(jù)的移動(dòng)，而隨著攻擊者加速利用日常生活中的數(shù)據(jù)依賴性，數(shù)據(jù)泄露也正隨之?dāng)U大。未來的網(wǎng)絡(luò)攻擊規(guī)模會(huì)有多大還有待考察，但正如這份21世紀(jì)最大的數(shù)據(jù)泄露清單所顯示的那樣，它們已經(jīng)達(dá)到了巨大的規(guī)模。

根據(jù)受影響的用戶、暴露的記錄或受影響的帳戶數(shù)量，我們總結(jié)了這份21世紀(jì)以來最重大的數(shù)據(jù)泄露事件清單。

1. 雅虎

時(shí)間：2013年8月；

影響：30億賬戶；

雅虎于2016年12月首次公開宣布了這起數(shù)據(jù)泄露事件，并稱其發(fā)生在2013年。當(dāng)時(shí)，它正處于被Verizon收購的過程中，據(jù)估計(jì)，超過10億用戶的賬戶信息已被黑客組織訪問。不到一年之后，雅虎宣布泄露的用戶賬戶的實(shí)際數(shù)字高達(dá)30億。

盡管遭到了攻擊，但與Verizon的交易還是完成了，只是成交價(jià)格有所降低。Verizon首席信息官Chandra McMahon當(dāng)時(shí)表示，“Verizon致力于問責(zé)制和透明度的最高標(biāo)準(zhǔn)，在不斷變化的在線威脅環(huán)境中，我們積極努力確保用戶和網(wǎng)絡(luò)的安全。我們對(duì)雅虎的投資使該團(tuán)隊(duì)能夠繼續(xù)采取重大措施來增強(qiáng)他們的安全性，同時(shí)也能受益于Verizon的經(jīng)驗(yàn)和資源。”

后來，經(jīng)過調(diào)查發(fā)現(xiàn)，雖然攻擊者訪問了安全問題和答案等賬戶信息，但明文密碼、支付卡和銀行數(shù)據(jù)并沒有被盜。

2. Aadhaar

時(shí)間：2018年1月；

影響：11億印度公民的身份/生物特征信息暴露；

2018年初，惡意行為者滲透了世界上最大的身份數(shù)據(jù)庫Aadhaar，泄露了超過11億印度公民的信息，包括姓名、地址、照片、電話號(hào)碼和電子郵件，以及指紋和虹膜掃描等生物特征數(shù)據(jù)。更重要的是，這個(gè)數(shù)據(jù)庫——由印度唯一識(shí)別局（UIDAI）于2009年建立——還包含與唯一12位數(shù)字相關(guān)的銀行賬戶信息。

據(jù)悉，攻擊者通過國有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫，Indane通過應(yīng)用程序編程接口連接到政府?dāng)?shù)據(jù)庫，該接口允許應(yīng)用程序檢索其他應(yīng)用程序或軟件存儲(chǔ)的數(shù)據(jù)。不幸的是，Indane的API沒有訪問控制，因此數(shù)據(jù)很容易受到攻擊。之后，攻擊者通過WhatsApp群以低至7美元的價(jià)格出售了這些數(shù)據(jù)使用權(quán)。盡管安全研究人員和技術(shù)組織發(fā)出警告，但印度當(dāng)局直到2018年3月23日才將這個(gè)易受攻擊的接入點(diǎn)關(guān)閉。

3. 阿里巴巴

時(shí)間：2019年11月；

影響：11億條用戶數(shù)據(jù)；

在八個(gè)月的時(shí)間里，一名開發(fā)人員使用自己開發(fā)的爬蟲軟件，從阿里巴巴（Alibaba）中文購物網(wǎng)站淘寶上抓取了大量客戶數(shù)據(jù)，包括用戶名和手機(jī)號(hào)碼。目前看來，這名開發(fā)人員及其雇主收集這些信息是為了自己使用，并沒有在黑市上出售。最終，兩人都被判處3年監(jiān)禁。

淘寶發(fā)言人在一份聲明中表示，“淘寶投入大量資源打擊平臺(tái)上未經(jīng)授權(quán)的抓取，因?yàn)閿?shù)據(jù)隱私和安全是最重要的。我們已經(jīng)主動(dòng)發(fā)現(xiàn)并解決了這種未經(jīng)授權(quán)的抓取行為。我們將繼續(xù)與執(zhí)法部門合作，捍衛(wèi)和保護(hù)我們用戶和合作伙伴的利益。”

4. LinkedIn

時(shí)間：2021年6月；

影響：77億用戶；

職業(yè)網(wǎng)絡(luò)巨頭領(lǐng)英（LinkedIn）在2021年6月發(fā)現(xiàn)，其7億用戶的相關(guān)數(shù)據(jù)被發(fā)布在暗網(wǎng)論壇上，影響了其90%以上的用戶群。一名自稱為“God User”的黑客利用該網(wǎng)站（和其他網(wǎng)站）的API，通過數(shù)據(jù)抓取技術(shù)轉(zhuǎn)儲(chǔ)了約5億用戶的信息數(shù)據(jù)集。接著，他們夸口說，他們正在出售完整的7億客戶數(shù)據(jù)庫。

盡管LinkedIn辯稱，由于沒有敏感的個(gè)人數(shù)據(jù)被泄露，該事件只是違反了其服務(wù)條款，而不是數(shù)據(jù)泄露，但正如英國國家網(wǎng)絡(luò)安全委員會(huì)（NCSC）警告的那樣，God User發(fā)布的一份抓取數(shù)據(jù)樣本包含電子郵件地址、電話號(hào)碼、地理位置記錄、性別和其他社交媒體細(xì)節(jié)等信息，這將為惡意行為者提供大量數(shù)據(jù)，在泄密事件發(fā)生后制造令人信服的后續(xù)社交工程攻擊。

5. 新浪微博

時(shí)間：2020年3月；

影響：5.38億賬戶；

新浪微博擁有超過6億用戶，是中國最大的社交媒體平臺(tái)之一。2020年3月，該公司宣布，攻擊者獲取了其部分?jǐn)?shù)據(jù)庫，影響了5.38億微博用戶及其個(gè)人信息，包括真實(shí)姓名、網(wǎng)站用戶名、性別、位置和電話號(hào)碼。據(jù)報(bào)道，攻擊者隨后在暗網(wǎng)上以250美元的價(jià)格出售了該數(shù)據(jù)庫。

中國工業(yè)和信息化部要求微博加強(qiáng)數(shù)據(jù)安全措施，更好地保護(hù)個(gè)人信息，并在發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)通知用戶和有關(guān)部門。新浪微博在一份聲明中稱，攻擊者利用一項(xiàng)服務(wù)——該服務(wù)旨在幫助用戶通過輸入朋友的電話號(hào)碼來定位他們的微博賬戶——收集了公開發(fā)布的信息，但密碼并未受到影響。不過，該公司也承認(rèn)，如果密碼在其他賬戶上重復(fù)使用，泄露的數(shù)據(jù)可能會(huì)被用來關(guān)聯(lián)賬戶和密碼。

6. Facebook

時(shí)間：2019年4月；

影響：5.33億用戶；

2019年4月，來自Facebook應(yīng)用程序的兩個(gè)數(shù)據(jù)集被暴露在公共互聯(lián)網(wǎng)上。這些信息涉及5.3億多Facebook用戶，包括電話號(hào)碼、賬戶名和Facebook id。然而，兩年后（2021年4月），這些數(shù)據(jù)被免費(fèi)發(fā)布，表明圍繞這些數(shù)據(jù)有新的和真正的犯罪意圖。事實(shí)上，考慮到此次事件影響到的電話號(hào)碼數(shù)量之多，以及在暗網(wǎng)上可以輕易獲得的電話號(hào)碼，安全研究員Troy Hunt為他的“HaveIBeenPwned”入侵檢查網(wǎng)站添加了功能，允許用戶驗(yàn)證他們的電話號(hào)碼是否包含在暴露的數(shù)據(jù)集中。

7. 萬豪國際（喜達(dá)屋）

時(shí)間：2018年9月；

影響：5億用戶；

2018年9月，萬豪國際酒店宣布其系統(tǒng)遭到攻擊，50萬喜達(dá)屋客人的敏感細(xì)節(jié)被曝光。在同年11月發(fā)布的一份聲明中，這家酒店巨頭表示，“2018年9月8日，萬豪收到了來自內(nèi)部安全工具的警告，稱有人試圖訪問喜達(dá)屋的客人預(yù)訂數(shù)據(jù)庫。萬豪迅速聘請(qǐng)頂尖安全專家?guī)椭_定發(fā)生了什么。”

萬豪在調(diào)查中了解到，自2014年以來，喜達(dá)屋的網(wǎng)絡(luò)一直存在未經(jīng)授權(quán)的訪問。未經(jīng)授權(quán)的一方復(fù)制并加密了信息，并采取了刪除措施。2018年11月19日，萬豪成功解密了這些信息，并確定其內(nèi)容來自喜達(dá)屋客房預(yù)訂數(shù)據(jù)庫。

復(fù)制的數(shù)據(jù)包括客人的姓名、郵寄地址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、喜達(dá)屋首選客人賬戶信息、出生日期、性別、到達(dá)和離開信息、預(yù)訂日期和溝通偏好。對(duì)一些人來說，信息還包括支付卡號(hào)碼和到期日，盡管這些顯然是加密的。

事件發(fā)生后，萬豪在安全專家的協(xié)助下展開了調(diào)查，并宣布計(jì)劃逐步淘汰喜達(dá)屋系統(tǒng)，并加快對(duì)其網(wǎng)絡(luò)的安全加固。該公司最終在2020年被英國數(shù)據(jù)管理機(jī)構(gòu)信息專員辦公室（ICO）罰款1840萬英鎊（從最初的9900萬英鎊減少），原因是未能保護(hù)客戶的個(gè)人數(shù)據(jù)安全。

8. 雅虎

時(shí)間：2014年；

影響：5億賬戶；

雅虎再次出現(xiàn)在榜單中。在這起事件中，國家支持的黑客竊取了雅虎5億賬戶的數(shù)據(jù)，包括姓名、電子郵件地址、電話號(hào)碼、散列密碼和出生日期。該公司早在2014年就采取了初步的補(bǔ)救措施，但直到2016年，一個(gè)被盜的數(shù)據(jù)庫在黑市上出售后，雅虎才公開了細(xì)節(jié)。

9. Adult Friend Finder

時(shí)間：2016年10月；

影響：4.122億賬戶；

2016年10月，面向成人的社交網(wǎng)絡(luò)服務(wù)FriendFinder Network數(shù)據(jù)庫遭遇黑客入侵。考慮到該公司提供的服務(wù)的敏感性質(zhì)——包括休閑約會(huì)和成人內(nèi)容網(wǎng)站，如adult Friend Finder, penthouse，和Stripshow.com——超過4.14億賬戶的數(shù)據(jù)泄露，包括姓名，電子郵件地址和密碼，對(duì)受害者來說可能是特別致命的。更重要的是，絕大多數(shù)暴露的密碼都是通過弱算法SHA-1哈希的，極易被破解。

10. MySpace

時(shí)間：2013年；

影響：3.6億用戶賬號(hào)；

盡管社交媒體網(wǎng)站MySpace早已不再是曾經(jīng)的巨頭，但在2016年，3.6億用戶賬號(hào)被泄露到LeakedSource.com網(wǎng)站上，并在暗網(wǎng)市場(chǎng)the Real Deal上以6比特幣（當(dāng)時(shí)約3000美元）的價(jià)格出售，還是再次將它送上了新聞?lì)^條。

據(jù)該公司稱，丟失的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺(tái)上創(chuàng)建的部分賬戶的電子郵件地址、密碼和用戶名。

11. 網(wǎng)易

時(shí)間：2015年10月；

影響：2.35億用戶賬號(hào)；

網(wǎng)易是163.com和126.com等郵箱服務(wù)提供商，據(jù)報(bào)道，2015年10月，暗網(wǎng)市場(chǎng)供應(yīng)商DoubleFlag出售了2.35億賬戶的電子郵件地址和明文密碼。烏云也爆料稱，網(wǎng)易的用戶數(shù)據(jù)庫疑似泄露，影響數(shù)據(jù)總共數(shù)億條，泄露信息包括用戶名、MD5密碼、密碼提示問題/答案（hash）、注冊(cè)IP、生日等。網(wǎng)易郵箱綁定的其他賬戶也受到波及，如iPhone用戶的Apple ID等。

但網(wǎng)易團(tuán)隊(duì)卻堅(jiān)稱沒有發(fā)生數(shù)據(jù)泄露，并通過微博發(fā)布官方聲明，稱郵箱被暴力破解“屬于網(wǎng)絡(luò)謠傳”。孰真孰假，愈顯撲朔迷離。

12. Court Ventures

時(shí)間：2013年10月；

影響：2億個(gè)人紀(jì)錄；

益百利（Experian）子公司Court Ventures于2013年淪為攻擊受害者，當(dāng)時(shí)一名越南男子（Hieu Minh Ngo）偽裝成新加坡私家偵探，誘騙益百利允許他訪問一個(gè)包含2億份個(gè)人記錄的數(shù)據(jù)庫。最終，該男子因向世界各地的網(wǎng)絡(luò)犯罪分子出售美國居民的個(gè)人信息（包括信用卡號(hào)和社會(huì)安全號(hào)碼）而被捕。

據(jù)悉，Ngo從2007年起就開始從事這種活動(dòng)，之后他的行為細(xì)節(jié)才得以曝光。2014年3月，他在美國新罕布什爾州地區(qū)法院承認(rèn)了包括身份欺詐在內(nèi)的多項(xiàng)指控。美國司法部當(dāng)時(shí)表示，Ngo通過出售個(gè)人數(shù)據(jù)總共賺了200萬美元。

13. LinkedIn

時(shí)間：2012年6月；

影響：1.65億用戶；

LinkedIn也再次出現(xiàn)在名單中，這一次是因?yàn)樗?012年遭受的一次入侵，當(dāng)時(shí)它宣布有650萬個(gè)不相關(guān)的密碼（無鹽SHA-1哈希）被攻擊者竊取，并被發(fā)布到一個(gè)俄羅斯黑客論壇上。然而，直到2016年，事件的全部細(xì)節(jié)才被披露出來。同一名出售MySpace數(shù)據(jù)的黑客被發(fā)現(xiàn)以5個(gè)比特幣（當(dāng)時(shí)約為2000美元）的價(jià)格向LinkedIn提供約1.65億用戶的電子郵件地址和密碼。LinkedIn承認(rèn)，它已經(jīng)意識(shí)到這次入侵，并表示已重置了受影響賬戶的密碼。

14. Dubsmash

時(shí)間：2018年12月；

影響：1.62億用戶賬號(hào)；

2018年12月，總部位于紐約的視頻消息服務(wù)Dubsmash稱其1.62億個(gè)電子郵件地址、用戶名、PBKDF2密碼哈希值和出生日期等其他個(gè)人數(shù)據(jù)被盜，所有這些數(shù)據(jù)隨后在次年12月被放在暗網(wǎng)市場(chǎng)出售。。

Dubsmash承認(rèn)發(fā)生了信息泄露和出售事件，并就密碼修改提供了建議。然而，它未能說明攻擊者是如何進(jìn)入的，也未能確認(rèn)有多少用戶受到影響。

15. Adobe

時(shí)間：2013年10月；

影響：1.53億條用戶記錄；

2013年10月初，Adobe報(bào)告稱，黑客竊取了近300萬份加密的客戶信用卡記錄和登錄數(shù)據(jù)。幾天后，Adobe再次更新了這一估計(jì)，稱包括3800萬“活躍用戶”的id和加密密碼失竊。安全博主Brian Krebs隨后報(bào)告稱，幾天前發(fā)布的一個(gè)文件“似乎包含了超過1.5億對(duì)來自Adobe的用戶名和哈希密碼對(duì)”。數(shù)周的研究表明，黑客還暴露了客戶的姓名、密碼、借記卡和信用卡信息。

2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬美元的訴訟費(fèi)用，并向用戶支付100萬美元，以解決違反《客戶記錄法》（Customer Records Act）和不公平商業(yè)行為的指控。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明