21世纪最严重的15起数据泄露事件

VSole2022-11-15 10:22:40

在这个数据驱动的世界中,一次数据泄露就可能影响到数亿甚至数十亿人。数字化转型进一步推动了数据的移动,而随着攻击者加速利用日常生活中的数据依赖性,数据泄露也正随之扩大。未来的网络攻击规模会有多大还有待考察,但正如这份21世纪最大的数据泄露清单所显示的那样,它们已经达到了巨大的规模。

根据受影响的用户、暴露的记录或受影响的帐户数量,我们总结了这份21世纪以来最重大的数据泄露事件清单。

1. 雅虎

时间:2013年8月;

影响:30亿账户;

雅虎于2016年12月首次公开宣布了这起数据泄露事件,并称其发生在2013年。当时,它正处于被Verizon收购的过程中,据估计,超过10亿用户的账户信息已被黑客组织访问。不到一年之后,雅虎宣布泄露的用户账户的实际数字高达30亿。

尽管遭到了攻击,但与Verizon的交易还是完成了,只是成交价格有所降低。Verizon首席信息官Chandra McMahon当时表示,“Verizon致力于问责制和透明度的最高标准,在不断变化的在线威胁环境中,我们积极努力确保用户和网络的安全。我们对雅虎的投资使该团队能够继续采取重大措施来增强他们的安全性,同时也能受益于Verizon的经验和资源。”

后来,经过调查发现,虽然攻击者访问了安全问题和答案等账户信息,但明文密码、支付卡和银行数据并没有被盗。

2. Aadhaar

时间:2018年1月;

影响:11亿印度公民的身份/生物特征信息暴露;

2018年初,恶意行为者渗透了世界上最大的身份数据库Aadhaar,泄露了超过11亿印度公民的信息,包括姓名、地址、照片、电话号码和电子邮件,以及指纹和虹膜扫描等生物特征数据。更重要的是,这个数据库——由印度唯一识别局(UIDAI)于2009年建立——还包含与唯一12位数字相关的银行账户信息。

据悉,攻击者通过国有公用事业公司Indane的网站潜入Aadhaar数据库,Indane通过应用程序编程接口连接到政府数据库,该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是,Indane的API没有访问控制,因此数据很容易受到攻击。之后,攻击者通过WhatsApp群以低至7美元的价格出售了这些数据使用权。尽管安全研究人员和技术组织发出警告,但印度当局直到2018年3月23日才将这个易受攻击的接入点关闭。

3. 阿里巴巴

时间:2019年11月;

影响:11亿条用户数据;

在八个月的时间里,一名开发人员使用自己开发的爬虫软件,从阿里巴巴(Alibaba)中文购物网站淘宝上抓取了大量客户数据,包括用户名和手机号码。目前看来,这名开发人员及其雇主收集这些信息是为了自己使用,并没有在黑市上出售。最终,两人都被判处3年监禁。

淘宝发言人在一份声明中表示,“淘宝投入大量资源打击平台上未经授权的抓取,因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作,捍卫和保护我们用户和合作伙伴的利益。”

4. LinkedIn

时间:2021年6月;

影响:7亿用户;

职业网络巨头领英(LinkedIn)在2021年6月发现,其7亿用户的相关数据被发布在暗网论坛上,影响了其90%以上的用户群。一名自称为“God User”的黑客利用该网站(和其他网站)的API,通过数据抓取技术转储了约5亿用户的信息数据集。接着,他们夸口说,他们正在出售完整的7亿客户数据库。

尽管LinkedIn辩称,由于没有敏感的个人数据被泄露,该事件只是违反了其服务条款,而不是数据泄露,但正如英国国家网络安全委员会(NCSC)警告的那样,God User发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息,这将为恶意行为者提供大量数据,在泄密事件发生后制造令人信服的后续社交工程攻击。

5. 新浪微博

时间:2020年3月;

影响:5.38亿账户;

新浪微博拥有超过6亿用户,是中国最大的社交媒体平台之一。2020年3月,该公司宣布,攻击者获取了其部分数据库,影响了5.38亿微博用户及其个人信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以250美元的价格出售了该数据库。

中国工业和信息化部要求微博加强数据安全措施,更好地保护个人信息,并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称,攻击者利用一项服务——该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户——收集了公开发布的信息,但密码并未受到影响。不过,该公司也承认,如果密码在其他账户上重复使用,泄露的数据可能会被用来关联账户和密码。

6. Facebook

时间:2019年4月;

影响:5.33亿用户;

2019年4月,来自Facebook应用程序的两个数据集被暴露在公共互联网上。这些信息涉及5.3亿多Facebook用户,包括电话号码、账户名和Facebook id。然而,两年后(2021年4月),这些数据被免费发布,表明围绕这些数据有新的和真正的犯罪意图。事实上,考虑到此次事件影响到的电话号码数量之多,以及在暗网上可以轻易获得的电话号码,安全研究员Troy Hunt为他的“HaveIBeenPwned”入侵检查网站添加了功能,允许用户验证他们的电话号码是否包含在暴露的数据集中。

7. 万豪国际(喜达屋)

时间:2018年9月;

影响:5亿用户;

2018年9月,万豪国际酒店宣布其系统遭到攻击,50万喜达屋客人的敏感细节被曝光。在同年11月发布的一份声明中,这家酒店巨头表示,“2018年9月8日,万豪收到了来自内部安全工具的警告,称有人试图访问喜达屋的客人预订数据库。万豪迅速聘请顶尖安全专家帮助确定发生了什么。”

万豪在调查中了解到,自2014年以来,喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息,并采取了删除措施。2018年11月19日,万豪成功解密了这些信息,并确定其内容来自喜达屋客房预订数据库。

复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、到达和离开信息、预订日期和沟通偏好。对一些人来说,信息还包括支付卡号码和到期日,尽管这些显然是加密的。

事件发生后,万豪在安全专家的协助下展开了调查,并宣布计划逐步淘汰喜达屋系统,并加快对其网络的安全加固。该公司最终在2020年被英国数据管理机构信息专员办公室(ICO)罚款1840万英镑(从最初的9900万英镑减少),原因是未能保护客户的个人数据安全。

8. 雅虎

时间:2014年;

影响:5亿账户;

雅虎再次出现在榜单中。在这起事件中,国家支持的黑客窃取了雅虎5亿账户的数据,包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司早在2014年就采取了初步的补救措施,但直到2016年,一个被盗的数据库在黑市上出售后,雅虎才公开了细节。

9. Adult Friend Finder

时间:2016年10月;

影响:4.122亿账户;

2016年10月,面向成人的社交网络服务FriendFinder Network数据库遭遇黑客入侵。考虑到该公司提供的服务的敏感性质——包括休闲约会和成人内容网站,如adult Friend Finder, penthouse,和Stripshow.com——超过4.14亿账户的数据泄露,包括姓名,电子邮件地址和密码,对受害者来说可能是特别致命的。更重要的是,绝大多数暴露的密码都是通过弱算法SHA-1哈希的,极易被破解。

10. MySpace

时间:2013年;

影响:3.6亿用户账号;

尽管社交媒体网站MySpace早已不再是曾经的巨头,但在2016年,3.6亿用户账号被泄露到LeakedSource.com网站上,并在暗网市场the Real Deal上以6比特币(当时约3000美元)的价格出售,还是再次将它送上了新闻头条。

据该公司称,丢失的数据包括2013年6月11日之前在旧Myspace平台上创建的部分账户的电子邮件地址、密码和用户名。

11. 网易

时间:2015年10月;

影响:2.35亿用户账号;

网易是163.com和126.com等邮箱服务提供商,据报道,2015年10月,暗网市场供应商DoubleFlag出售了2.35亿账户的电子邮件地址和明文密码。乌云也爆料称,网易的用户数据库疑似泄露,影响数据总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。网易邮箱绑定的其他账户也受到波及,如iPhone用户的Apple ID等。

但网易团队却坚称没有发生数据泄露,并通过微博发布官方声明,称邮箱被暴力破解“属于网络谣传”。孰真孰假,愈显扑朔迷离。

12. Court Ventures

时间:2013年10月;

影响:2亿个人纪录;

益百利(Experian)子公司Court Ventures于2013年沦为攻击受害者,当时一名越南男子(Hieu Minh Ngo)伪装成新加坡私家侦探,诱骗益百利允许他访问一个包含2亿份个人记录的数据库。最终,该男子因向世界各地的网络犯罪分子出售美国居民的个人信息(包括信用卡号和社会安全号码)而被捕。

据悉,Ngo从2007年起就开始从事这种活动,之后他的行为细节才得以曝光。2014年3月,他在美国新罕布什尔州地区法院承认了包括身份欺诈在内的多项指控。美国司法部当时表示,Ngo通过出售个人数据总共赚了200万美元。

13. LinkedIn

时间:2012年6月;

影响:1.65亿用户;

LinkedIn也再次出现在名单中,这一次是因为它在2012年遭受的一次入侵,当时它宣布有650万个不相关的密码(无盐SHA-1哈希)被攻击者窃取,并被发布到一个俄罗斯黑客论坛上。然而,直到2016年,事件的全部细节才被披露出来。同一名出售MySpace数据的黑客被发现以5个比特币(当时约为2000美元)的价格向LinkedIn提供约1.65亿用户的电子邮件地址和密码。LinkedIn承认,它已经意识到这次入侵,并表示已重置了受影响账户的密码。

14. Dubsmash

时间:2018年12月;

影响:1.62亿用户账号;

2018年12月,总部位于纽约的视频消息服务Dubsmash称其1.62亿个电子邮件地址、用户名、PBKDF2密码哈希值和出生日期等其他个人数据被盗,所有这些数据随后在次年12月被放在暗网市场出售。。

Dubsmash承认发生了信息泄露和出售事件,并就密码修改提供了建议。然而,它未能说明攻击者是如何进入的,也未能确认有多少用户受到影响。

15. Adobe

时间:2013年10月;

影响:1.53亿条用户记录;

2013年10月初,Adobe报告称,黑客窃取了近300万份加密的客户信用卡记录和登录数据。几天后,Adobe再次更新了这一估计,称包括3800万“活跃用户”的id和加密密码失窃。安全博主Brian Krebs随后报告称,几天前发布的一个文件“似乎包含了超过1.5亿对来自Adobe的用户名和哈希密码对”。数周的研究表明,黑客还暴露了客户的姓名、密码、借记卡和信用卡信息。

2015年8月的一项协议要求Adobe支付110万美元的诉讼费用,并向用户支付100万美元,以解决违反《客户记录法》(Customer Records Act)和不公平商业行为的指控。

参考及来源:

https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.htm

信息泄露数据与信息
本作品采用《CC 协议》,转载必须注明作者和本文链接
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人
2022年1月,国务院印发《“十四五”数字经济发展规划》(以下简称“规划”),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平效率更加统一的新经济形态。
在数字经济时代,随着人工智能、大数据等产业的快速发展,数据要素的作用及其重要性愈发凸显。与此同时,大量挖掘和收集用户数据信息,金融领域用户数据信息泄露事件多发。 随着《数据保护法》《个人信息保护法》等的落地,金融业如何做到既保护数据安全,又充分发挥数据资产价值、高效链接多方数据,成为一项亟需解决的课题。
各经济体更加重视数据竞争力,纷纷制定出台数据战略,宣誓数据安全和主权。因此,欧盟认为必须建立欧洲数据主权。近年来,我国陆续发布了一系列数据及其安全相关的法律法规和标准规范,数据资产价值得到确认。2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制。
国家工业信息安全发展研究中心作为国家级信息安全研究和推进机构,联合华为技术有限公司共同研究编制了《数据安全白皮书》,全面分析了我国数据安全产业基础、防护关键技术、法律法规体系现状,从提升数据安全产业基础能力、加快研究和应用数据安全防护技术、强化法律法规在数据安全主权的支撑保障作用等三方面展望数据安全发展未来,提出了数据安全发展倡议,为行业发展提供借鉴和参考,积极推动我国数据治理工作有序开展。
近年来,随着国家网络安全战略部署的有效推进,在新一代信息技术加速两化融合的同时,工业信息安全风险持续攀升,工业领域面临着越来越严峻的安全形势。一旦工业控制系统遭受到攻击,除了直接造成工业生产停滞,带来巨大的经济损失外,还会将后果延伸至整个产业生态,危及公众生命及财产安全,甚至进一步威胁到国家安全。
数据所有者能够根据授权用户的属性设置密文策略,在数据加密的同时保证授权的灵活性。针对量子计算的发展可能带来的安全挑战,基于格构造抗量子的方案可以有效提升安全性。此外,利用区块链技术存储数据信息,以应对非可信云服务的伪造、篡改数据等行为。最后,分析了方案的安全性各方面性能,结果表明所提方案能够适用于非可信的云存储应用。
关键信息基础设施安全保护制度是党中央有关文件和《中华人民共和国网络安全法》确定的基本制度。在当前严峻的网络安全形势下,全面摸清关键信息基础设施底数,准确了解关键信息基础设施安全现状,确定其信息资产的价值、敏感性和严重性,分析发生威胁时潜在的损失或破坏,为全面掌握关键信息基础设施网络安全风险提供依据。近年来,各单位、各部门按照相关法律法规规定,开展了关键信息基础设施的安全检查和整改工作,全面加强了网
数据、云计算等信息技术的发展,加速了信息化发展速度,同样刺激了网络攻击的普遍化、持久化、武器化,也给攻击溯源带来了新挑战。传统的溯源技术大都针对某一类 或某几类的数据进行分析,还原攻击过程,且溯源过程需要大量的人工介入。从攻击溯源的 基本思路入手,结合大数据技术特点,以及大数据安全产品的开发经验,提出一种基于大数 据技术的多层溯源框架,对多元数据进行分析,绘制尽可能完整的攻击路径,还原攻击全过程
数据是指大型复杂的结构化或非结构化数据集。大数据技术使组织能够生成、收集、管理、分析和可视化大数据集,并为诊断、预测或其他决策任务提供见解。处理大数据的关键问题之一是采用适当的大数据治理框架,这样可以:①以所需的方式管理大数据,以支持有效机器学习的高质量数据访问;②确保该框架规范存储和处理在相关监管框架内以可信赖的方式收集来自供应商和用户的数据。提出了一个大数据治理框架,指导组织在相关的规则框架
VSole
网络安全专家