在当今数据驱动的世界中,数据泄露可能一次影响数亿甚至数十亿人。数字化转型增加了数据移动的供应,随着攻击者利用日常生活中的数据依赖性,数据泄露也随之扩大。如何在未来的大网络攻击可能成为遗体猜测,但作为最大的数据违反21的这个名单ST世纪表示,他们已经达到了巨大的幅度。


为透明起见,此列表是根据受影响的用户数、公开的记录或受影响的帐户数计算得出的。我们还区分了数据被主动窃取或恶意转发的事件与组织无意中使数据不受保护和暴露的事件,但没有明显的滥用证据。后者故意不包括在列表中。

因此,这是最近历史上 15 起最大数据泄露事件的最新列表,包括受影响者的详细信息、责任人以及公司的响应方式(截至 2021 年 7 月)。


1. 雅虎

日期: 2013 年 8 月

影响: 30 亿个账户

 

确保第一名的位置——在最初的泄露事件发生后将近七年,以及在暴露的真实记录数量被揭露后四年——是对雅虎的攻击。该公司于 2016 年 12 月首次公开宣布了这一事件——据称该事件发生在 2013 年。 当时,它正处于被 Verizon 收购的过程中,估计其超过 10 亿客户的账户信息已被访问由黑客组织。不到一年后,雅虎宣布用户账户被曝光的实际数字为 30 亿。雅虎表示,修订后的估计并不代表新的“安全问题”,它正在向所有“其他受影响的用户帐户”发送电子邮件。

尽管遭到攻击,但与 Verizon 的交易还是完成了,尽管价格有所降低。Verizon 的 CISO Chandra McMahon 当时表示:“Verizon 致力于最高标准的问责制和透明度,我们积极努力确保我们的用户和网络在不断变化的在线威胁环境中的安全和保障。我们对雅虎的投资使该团队能够继续采取重要措施来增强其安全性,并从 Verizon 的经验和资源中受益。” 经调查发现,虽然攻击者访问的安全问题和答案、明文密码、支付卡和银行数据等账户信息并未被窃取。


2.阿里巴巴

日期: 2019年11月

影响: 11亿条用户数据


在八个月的时间里,一名为联属营销商工作的开发人员使用他创建的爬虫软件从阿里巴巴中国购物网站淘宝上抓取了客户数据,包括用户名和手机号码。看来开发商和他的雇主正在收集信息供自己使用,并没有在黑市上出售,尽管两人都被判处三年徒刑。

一个淘宝的发言人在一份声明中说:“淘宝致力于大量的资源,我们的平台上打击非法抓取,数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取。我们将继续与执法部门合作,捍卫和保护我们用户和合作伙伴的利益。”


3. 领英

日期: 2021 年 6 月

影响: 7 亿用户

2021 年 6 月,专业网络巨头 LinkedIn 在一个暗网论坛上发布了与 7 亿用户相关的数据,影响了其 90% 以上的用户群。一个被称为“上帝用户”的黑客在倾倒大约 5 亿客户的第一个信息数据集之前,通过利用该网站(和其他人)的 API 来使用数据抓取技术。然后他们吹嘘说他们正在销售完整的 7 亿客户数据库。虽然 LinkedIn 辩称,由于没有泄露敏感的私人个人数据,该事件违反了其服务条款而不是数据泄露,但 God User 发布的数据样本包含的信息包括电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体详细信息,这将为恶意行为者提供大量数据以使其具有说服力,受到英国 NCSC 的警告。


4. 新浪微博

日期: 2020 年 3 月

影响: 5.38 亿个账户

新浪微博拥有超过 6 亿用户,是中国最大的社交媒体平台之一。2020 年 3 月,该公司宣布攻击者获得了其部分数据库,影响了 5.38 亿微博用户及其个人详细信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以 250 美元的价格出售了该数据库。

中国工业和信息化部(MIIT)责令微博加强其数据安全措施,以更好地保护个人信息,并在发生数据安全事件时通知用户和当局。新浪微博在一份声明中辩称,攻击者通过使用一项服务来收集公开发布的信息,该服务旨在帮助用户通过输入他们的电话号码来定位朋友的微博帐户,并且没有密码受到影响。但是,它承认如果密码在其他帐户上重复使用,则暴露的数据可用于将帐户与密码相关联。该公司表示,它加强了其安全策略,并向有关当局报告了详细信息。


5.脸书

日期: 2019 年 4 月

影响: 5.33 亿用户

2019 年 4 月,据透露,来自 Facebook 应用程序的两个数据集已暴露在公共互联网上。这些信息涉及超过 5.3 亿 Facebook 用户,包括电话号码、帐户名称和 Facebook ID。然而,两年后(2021 年 4 月),这些数据被免费发布,表明围绕这些数据的新的和真实的犯罪意图。事实上,鉴于事件导致暗网中受到影响的电话号码数量庞大且随时可用,安全研究员 Troy Hunt 为他的 HaveIBeenPwned (HIBP) 违规凭证检查站点添加了功能,允许用户验证他们的电话数字已包含在公开的数据集中。

“我从未打算让电话号码可搜索,”亨特在博客文章中写道。“我对此的立场是,出于多种原因,这没有意义。Facebook 数据改变了这一切。有超过 5 亿个电话号码,但只有几百万个电子邮件地址,因此 > 99% 的人在他们应该受到打击的时候却错过了。”


6.万豪国际(喜达屋)

日期: 2018 年 9 月

影响: 5 亿客户

万豪国际酒店在 2018 年 9 月其系统遭到攻击后,宣布暴露了50 万喜达屋客人的敏感信息。在同年 11 月发布的一份声明中,这家酒店巨头表示:“2018 年 9 月 8 日,万豪收到了来自内部安全工具的关于试图访问喜达屋客人预订数据库的警报。万豪迅速聘请了领先的安全专家来帮助确定发生了什么。”

万豪在调查中获悉,自 2014 年以来,喜达屋网络一直遭到未经授权的访问。“万豪最近发现,未经授权的一方复制并加密了信息,并采取措施将其删除。2018 年 11 月 19 日,万豪能够解密信息并确定内容来自喜达屋客人预订数据库,”声明补充道。

复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋优先客户帐户信息、出生日期、性别、到达和离开信息、预订日期和通信偏好。对于一些人来说,这些信息还包括支付卡号和到期日期,尽管这些显然是加密的。

事件发生后,万豪在安全专家的协助下进行了一项调查,并宣布了逐步淘汰喜达屋系统并加速其网络安全增强的计划。该公司最终在 2020 年被英国数据管理机构信息专员办公室 (ICO)罚款 1840万英镑(从 9900 万英镑减少),原因是未能保证客户个人数据的安全。


7. 雅虎

日期: 2014 年

影响: 5 亿个账户

第二次出现在这份名单中的是雅虎,它在 2014 年遭受了一次攻击,与上面提到的 2013 年的攻击不同。在这种情况下,国家资助的演员从 5 亿个帐户中窃取了数据,包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司在 2014 年采取了初步补救措施,但直到 2016 年,雅虎才在被盗数据库在黑市上出售后公开了详细信息。


8.The FriendFinder Network

日期: 2016 年 10 月

影响: 4.122 亿个账户

面向成人的社交网络服务 The FriendFinder Network 在 2016 年 10 月被网络窃贼窃取的六个数据库中拥有 20 年的用户数据。 鉴于该公司提供的服务的敏感性 - 其中包括休闲联播和成人内容网站像 Adult Friend Finder、Penthouse.com 和 Stripshow.com——超过 4.14 亿个账户的数据泄露,包括姓名、电子邮件地址和密码,有可能对受害者造成特别大的打击。此外,绝大多数暴露的密码都是通过臭名昭著的弱算法 SHA-1 进行哈希处理的,在 LeakedSource.com 于 2016 年 11 月 14 日发布对数据集的分析时,估计其中 99% 已被破解。


9. MySpace

日期: 2013 年

影响: 3.6 亿用户帐户

尽管它早已不再是曾经的强者,但在 3.6 亿用户帐户被泄露到 LeakedSource.com 并在暗网市场上以要价出售后,社交媒体网站 MySpace 于 2016 年成为头条新闻6 个比特币(当时约为 3,000 美元)。

据该公司称,丢失的数据包括“2013 年 6 月 11 日之前在旧 Myspace 平台上创建的部分帐户的电子邮件地址、密码和用户名”。为了保护我们的用户,我们已使 2013 年 6 月 11 日之前在旧 Myspace 平台上创建的受影响帐户的所有用户密码失效。这些返回 Myspace 的用户将被提示验证他们的帐户并按照说明重置他们的密码。”

相信密码被存储为密码的前 10 个字符的 SHA-1 哈希转换为小写。


10.网易

日期: 2015 年 10 月

影响: 2.35 亿用户帐户

据报道,网易是一家通过 163.com 和 126.com 等网站提供邮箱服务的提供商,据报道,该公司在 2015 年 10 月遭受了一次攻击,当时暗网市场供应商 DoubleFlag 出售了与 2.35 亿个帐户相关的电子邮件地址和明文密码。网易坚称没有发生数据泄露事件,直到今天 HIBP 表示:“虽然有证据表明数据本身是合法的(多个 HIBP 订阅者确认他们使用的密码在数据中),但由于难以强调验证中文违规行为已被标记为“未经验证”。


11. Court Ventures(益百利)

日期: 2013 年 10 月

影响: 2 亿条个人记录

Experian 子公司 Court Ventures 于 2013 年成为受害者,当时一名越南男子伪装成来自新加坡的私家侦探,诱使他访问包含 2 亿条个人记录的数据库。Hieu Minh Ngo 的攻击细节在他因向世界各地的网络犯罪分子出售美国居民的个人信息(包括信用卡号码和社会安全号码)而被捕后才被曝光,这是他自 2007 年以来一直在做的事情。 2014 年 3 月,他在美国新罕布什尔州地方法院对包括身份欺诈在内的多项指控认罪。美国司法部当时表示,Ngo 通过出售个人数据总共赚了 200 万美元。


12. 领英

日期: 2012 年 6 月

影响: 1.65 亿用户

第二次出现在这个名单上的是 LinkedIn,这一次是指它在 2012 年遭受的破坏,当时它宣布攻击者窃取了 650 万个未关联的密码(未加盐的 SHA-1 哈希)并将其发布到俄罗斯黑客论坛上。然而,直到 2016 年,事件的全部范围才被揭露。发现出售 MySpace 数据的同一黑客仅以 5 个比特币(当时约为 2,000 美元)提供了大约 1.65 亿 LinkedIn 用户的电子邮件地址和密码。LinkedIn承认已获悉该违规行为,并表示已重置受影响帐户的密码。


13. Dubsmash

日期: 2018 年 12 月

影响: 1.62 亿用户帐户

2018 年 12 月,总部位于纽约的视频消息服务 Dubsmash 有 1.62 亿个电子邮件地址、用户名、PBKDF2 密码哈希值和其他个人数据(如出生日期)被盗,所有这些数据随后都在 Dream Market 暗网上出售次年 12 月上市。这些信息作为收集的转储的一部分出售,其中还包括 MyFitnessPal(更多信息见下文)、MyHeritage(9200 万)、ShareThis、Armor Games 和约会应用 CoffeeMeetsBagel 等。

Dubsmash 承认发生了信息泄露和出售,并提供了有关更改密码的建议。但是,它没有说明攻击者如何进入或确认有多少用户受到影响。


14. Adobe

日期: 2013 年 10 月

影响: 1.53 亿条用户记录

2013 年 10 月上旬,Adobe 报道黑客窃取了近 300 万加密客户信用卡记录和数量不明的用户帐户登录数据。几天后,Adobe 提高了这一估计值,包括 3800 万“活跃用户”的 ID 和加密密码。安全博主布赖恩·克雷布斯 (Brian Krebs) 随后报道称,几天前发布的一个文件“似乎包含来自 Adob​​e 的超过 1.5 亿个用户名和散列密码对。” 数周的研究表明,黑客还暴露了客户姓名、密码以及借记卡和信用卡信息。2015 年 8 月的一项协议要求 Adob​​e 向用户支付 110 万美元的法律费用和一笔未公开的金额,以解决违反《客户记录法》和不公平商业行为的索赔。2016 年 11 月,据报道支付给客户的金额为 100 万美元。


15. MyFitnessPal

日期: 2018 年 2 月

影响: 1.5 亿用户帐户

2018 年 2 月,饮食和锻炼应用 MyFitnessPal(由 Under Armour 拥有)暴露了大约 1.5 亿个唯一的电子邮件地址、IP 地址和登录凭据,例如存储为 SHA-1 和 bcrypt 哈希值的用户名和密码。第二年,这些数据出现在暗网上和更广泛的范围内出售。该公司承认了违规行为,并表示已采取行动通知用户这一事件。“一旦我们意识到这一点,我们就迅速采取措施确定问题的性质和范围。我们正在与领先的数据安全公司合作,以协助我们进行调查。我们还通知并正在与执法部门协调,”它说。