21世纪最严重的15起数据泄露事件
在这个数据驱动的世界中,一次数据泄露就可能影响到数亿甚至数十亿人。数字化转型进一步推动了数据的移动,而随着攻击者加速利用日常生活中的数据依赖性,数据泄露也正随之扩大。未来的网络攻击规模会有多大还有待考察,但正如这份21世纪最大的数据泄露清单所显示的那样,它们已经达到了巨大的规模。
根据受影响的用户、暴露的记录或受影响的帐户数量,我们总结了这份21世纪以来最重大的数据泄露事件清单。
1. 雅虎
时间:2013年8月;
影响:30亿账户;
雅虎于2016年12月首次公开宣布了这起数据泄露事件,并称其发生在2013年。当时,它正处于被Verizon收购的过程中,据估计,超过10亿用户的账户信息已被黑客组织访问。不到一年之后,雅虎宣布泄露的用户账户的实际数字高达30亿。
尽管遭到了攻击,但与Verizon的交易还是完成了,只是成交价格有所降低。Verizon首席信息官Chandra McMahon当时表示,“Verizon致力于问责制和透明度的最高标准,在不断变化的在线威胁环境中,我们积极努力确保用户和网络的安全。我们对雅虎的投资使该团队能够继续采取重大措施来增强他们的安全性,同时也能受益于Verizon的经验和资源。”
后来,经过调查发现,虽然攻击者访问了安全问题和答案等账户信息,但明文密码、支付卡和银行数据并没有被盗。
2. Aadhaar
时间:2018年1月;
影响:11亿印度公民的身份/生物特征信息暴露;
2018年初,恶意行为者渗透了世界上最大的身份数据库Aadhaar,泄露了超过11亿印度公民的信息,包括姓名、地址、照片、电话号码和电子邮件,以及指纹和虹膜扫描等生物特征数据。更重要的是,这个数据库——由印度唯一识别局(UIDAI)于2009年建立——还包含与唯一12位数字相关的银行账户信息。
据悉,攻击者通过国有公用事业公司Indane的网站潜入Aadhaar数据库,Indane通过应用程序编程接口连接到政府数据库,该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是,Indane的API没有访问控制,因此数据很容易受到攻击。之后,攻击者通过WhatsApp群以低至7美元的价格出售了这些数据使用权。尽管安全研究人员和技术组织发出警告,但印度当局直到2018年3月23日才将这个易受攻击的接入点关闭。
3. 阿里巴巴
时间:2019年11月;
影响:11亿条用户数据;
在八个月的时间里,一名开发人员使用自己开发的爬虫软件,从阿里巴巴(Alibaba)中文购物网站淘宝上抓取了大量客户数据,包括用户名和手机号码。目前看来,这名开发人员及其雇主收集这些信息是为了自己使用,并没有在黑市上出售。最终,两人都被判处3年监禁。
淘宝发言人在一份声明中表示,“淘宝投入大量资源打击平台上未经授权的抓取,因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作,捍卫和保护我们用户和合作伙伴的利益。”
4. LinkedIn
时间:2021年6月;
影响:7亿用户;
职业网络巨头领英(LinkedIn)在2021年6月发现,其7亿用户的相关数据被发布在暗网论坛上,影响了其90%以上的用户群。一名自称为“God User”的黑客利用该网站(和其他网站)的API,通过数据抓取技术转储了约5亿用户的信息数据集。接着,他们夸口说,他们正在出售完整的7亿客户数据库。
尽管LinkedIn辩称,由于没有敏感的个人数据被泄露,该事件只是违反了其服务条款,而不是数据泄露,但正如英国国家网络安全委员会(NCSC)警告的那样,God User发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息,这将为恶意行为者提供大量数据,在泄密事件发生后制造令人信服的后续社交工程攻击。
5. 新浪微博
时间:2020年3月;
影响:5.38亿账户;
新浪微博拥有超过6亿用户,是中国最大的社交媒体平台之一。2020年3月,该公司宣布,攻击者获取了其部分数据库,影响了5.38亿微博用户及其个人信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以250美元的价格出售了该数据库。
中国工业和信息化部要求微博加强数据安全措施,更好地保护个人信息,并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称,攻击者利用一项服务——该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户——收集了公开发布的信息,但密码并未受到影响。不过,该公司也承认,如果密码在其他账户上重复使用,泄露的数据可能会被用来关联账户和密码。
6. Facebook
时间:2019年4月;
影响:5.33亿用户;
2019年4月,来自Facebook应用程序的两个数据集被暴露在公共互联网上。这些信息涉及5.3亿多Facebook用户,包括电话号码、账户名和Facebook id。然而,两年后(2021年4月),这些数据被免费发布,表明围绕这些数据有新的和真正的犯罪意图。事实上,考虑到此次事件影响到的电话号码数量之多,以及在暗网上可以轻易获得的电话号码,安全研究员Troy Hunt为他的“HaveIBeenPwned”入侵检查网站添加了功能,允许用户验证他们的电话号码是否包含在暴露的数据集中。
7. 万豪国际(喜达屋)
时间:2018年9月;
影响:5亿用户;
2018年9月,万豪国际酒店宣布其系统遭到攻击,50万喜达屋客人的敏感细节被曝光。在同年11月发布的一份声明中,这家酒店巨头表示,“2018年9月8日,万豪收到了来自内部安全工具的警告,称有人试图访问喜达屋的客人预订数据库。万豪迅速聘请顶尖安全专家帮助确定发生了什么。”
万豪在调查中了解到,自2014年以来,喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息,并采取了删除措施。2018年11月19日,万豪成功解密了这些信息,并确定其内容来自喜达屋客房预订数据库。
复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、到达和离开信息、预订日期和沟通偏好。对一些人来说,信息还包括支付卡号码和到期日,尽管这些显然是加密的。
事件发生后,万豪在安全专家的协助下展开了调查,并宣布计划逐步淘汰喜达屋系统,并加快对其网络的安全加固。该公司最终在2020年被英国数据管理机构信息专员办公室(ICO)罚款1840万英镑(从最初的9900万英镑减少),原因是未能保护客户的个人数据安全。
8. 雅虎
时间:2014年;
影响:5亿账户;
雅虎再次出现在榜单中。在这起事件中,国家支持的黑客窃取了雅虎5亿账户的数据,包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司早在2014年就采取了初步的补救措施,但直到2016年,一个被盗的数据库在黑市上出售后,雅虎才公开了细节。
9. Adult Friend Finder
时间:2016年10月;
影响:4.122亿账户;
2016年10月,面向成人的社交网络服务FriendFinder Network数据库遭遇黑客入侵。考虑到该公司提供的服务的敏感性质——包括休闲约会和成人内容网站,如adult Friend Finder, penthouse,和Stripshow.com——超过4.14亿账户的数据泄露,包括姓名,电子邮件地址和密码,对受害者来说可能是特别致命的。更重要的是,绝大多数暴露的密码都是通过弱算法SHA-1哈希的,极易被破解。
10. MySpace
时间:2013年;
影响:3.6亿用户账号;
尽管社交媒体网站MySpace早已不再是曾经的巨头,但在2016年,3.6亿用户账号被泄露到LeakedSource.com网站上,并在暗网市场the Real Deal上以6比特币(当时约3000美元)的价格出售,还是再次将它送上了新闻头条。
据该公司称,丢失的数据包括2013年6月11日之前在旧Myspace平台上创建的部分账户的电子邮件地址、密码和用户名。
11. 网易
时间:2015年10月;
影响:2.35亿用户账号;
网易是163.com和126.com等邮箱服务提供商,据报道,2015年10月,暗网市场供应商DoubleFlag出售了2.35亿账户的电子邮件地址和明文密码。乌云也爆料称,网易的用户数据库疑似泄露,影响数据总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。网易邮箱绑定的其他账户也受到波及,如iPhone用户的Apple ID等。
但网易团队却坚称没有发生数据泄露,并通过微博发布官方声明,称邮箱被暴力破解“属于网络谣传”。孰真孰假,愈显扑朔迷离。
12. Court Ventures
时间:2013年10月;
影响:2亿个人纪录;
益百利(Experian)子公司Court Ventures于2013年沦为攻击受害者,当时一名越南男子(Hieu Minh Ngo)伪装成新加坡私家侦探,诱骗益百利允许他访问一个包含2亿份个人记录的数据库。最终,该男子因向世界各地的网络犯罪分子出售美国居民的个人信息(包括信用卡号和社会安全号码)而被捕。
据悉,Ngo从2007年起就开始从事这种活动,之后他的行为细节才得以曝光。2014年3月,他在美国新罕布什尔州地区法院承认了包括身份欺诈在内的多项指控。美国司法部当时表示,Ngo通过出售个人数据总共赚了200万美元。
13. LinkedIn
时间:2012年6月;
影响:1.65亿用户;
LinkedIn也再次出现在名单中,这一次是因为它在2012年遭受的一次入侵,当时它宣布有650万个不相关的密码(无盐SHA-1哈希)被攻击者窃取,并被发布到一个俄罗斯黑客论坛上。然而,直到2016年,事件的全部细节才被披露出来。同一名出售MySpace数据的黑客被发现以5个比特币(当时约为2000美元)的价格向LinkedIn提供约1.65亿用户的电子邮件地址和密码。LinkedIn承认,它已经意识到这次入侵,并表示已重置了受影响账户的密码。
14. Dubsmash
时间:2018年12月;
影响:1.62亿用户账号;
2018年12月,总部位于纽约的视频消息服务Dubsmash称其1.62亿个电子邮件地址、用户名、PBKDF2密码哈希值和出生日期等其他个人数据被盗,所有这些数据随后在次年12月被放在暗网市场出售。。
Dubsmash承认发生了信息泄露和出售事件,并就密码修改提供了建议。然而,它未能说明攻击者是如何进入的,也未能确认有多少用户受到影响。
15. Adobe
时间:2013年10月;
影响:1.53亿条用户记录;
2013年10月初,Adobe报告称,黑客窃取了近300万份加密的客户信用卡记录和登录数据。几天后,Adobe再次更新了这一估计,称包括3800万“活跃用户”的id和加密密码失窃。安全博主Brian Krebs随后报告称,几天前发布的一个文件“似乎包含了超过1.5亿对来自Adobe的用户名和哈希密码对”。数周的研究表明,黑客还暴露了客户的姓名、密码、借记卡和信用卡信息。
2015年8月的一项协议要求Adobe支付110万美元的诉讼费用,并向用户支付100万美元,以解决违反《客户记录法》(Customer Records Act)和不公平商业行为的指控。
参考及来源:
https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.htm