过去,影响数百万人的数据泄露可能会成为新闻头条,但如今,影响数亿甚至数十亿的事件比比皆是。进入21世纪以来,最大的14起数据泄露事件影响了约35亿人,其中最小的一次影响了1.34亿人。本文引用了衡量21世纪14大数据泄露事件最简单的标准——受数据泄露事件影响的人数。此外,本文还区分了事件的起因,是恶意目的窃取还是组织无意泄密。例如推特曾在一条日志中泄露了3.3亿用户密码,但没有证据显示被恶意分子利用,因此不在本文所列事件范围之内。以下按字母顺序列出,包括受影响的人员、负责的人员以及组织的响应方式。最大的数据泄露事件:AdobeAdultFriendFinderCanvaDubsmasheBayEquifaxHeartland支付系统LinkedInMarriottInternationalHotelsMyFitnessPalMySpace网易YahooZyngaAdob??e日期:2013年10月受影响:1.53亿条用户记录详情:2013年10月上旬,根据以下安全披露Adobe博主BrianKrebs最初报告称,黑客窃取了近300万条加密的客户信用卡记录,以及数量不详的帐户的用户登录信息。当月晚些时候,Adobe做出了一个估计,其中包括3800万“活跃用户”的ID和加密密码。克雷布斯报告说,几天前发布的文件“似乎包含从Adob??e泄露的超过1.5亿个用户名和散列密码对”。数周的研究表明,黑客还泄露了用户名、ID、密码以及借记卡和信用卡信息。2015年8月的一项协议要求Adob??e支付110万美元的法律费用,并向用户支付未公开数额的款项,以解决对违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。AdultFriendFinder日期:2016年10月受影响:4.122亿帐户详细信息:该网站提供特殊服务,此数据泄露对帐户所有者很敏感。FriendFinderNetwork于2016年10月中旬遭到入侵,其中包括成人交友网站、Penthouse.com、Cams.com、iCams.com和Stripshow.com等休闲联播和成人内容网站。在六个数据库中,被盗数据跨越20年,包括用户名、电子邮件地址和密码。较弱的SHA-1哈希算法可保护大多数密码。直到LeakedSource.com于2016年11月14日发布了对数据集的分析,估计其中99%已被破解。当时,一位代号为Revolver(推特名@1×0123)的研究人员在“AdultFriendFinder”上截取了一张显示本地文件包含漏洞(LFI)被触发的截图。他说,该漏洞是在“AdultFriendFinder”使用的生产服务器模块中发现的,并且“正在被利用”。Canva日期:2019年5月影响:1.37亿用户帐户详细信息:2019年5月,澳大利亚图形设计工具网站Canva在一次攻击中遭到黑客攻击,暴露了1.37亿用户的电子邮件地址、用户名、姓名、住所城市和信息加密和散列使用bcrypt密码(其中约6100万用户未使用社交帐户登录)。Canva表示,黑客设法查看但没有窃取文件,其中包含一些信用卡和支付数据。此次攻击背后的疑似攻击者Gnosticplayers表示,Canva已经检测到他们的攻击并关闭了其数据泄露服务器,并声称已通过谷歌获得了使用过的OAuth登录令牌。该公司确认了这一事件并随后通知了用户,提示他们更改密码并重置OAuth令牌。然而,根据Canva的后续帖子,有400万个被盗的Canva用户帐户被黑客入侵并在线共享,这导致未更改密码的用户帐户失效,并通知受影响的用户。eBay日期:2014年5月影响:1.45亿用户详细信息:eBay报告称攻击发生在2014年5月,暴露了其1.45亿用户帐户,包括姓名、地址、出生日期和加密密码。这家在线拍卖巨头表示,黑客使用了三名公司员工的凭证来访问其网络,并拥有229天的完全访问权限,足以破坏用户数据库。该公司要求客户更改密码。财务信息(例如信用卡号)是单独存储的,不会受到损害。该公司当时甚至因缺乏与用户的沟通以及密码更新流程执行不力而受到批评。Equifax日期:2017年7月29日影响:1.479亿客户详细信息:美国最大的信用报告机构之一Equifax于2017年9月7日表示,其网站之一的应用程序漏洞导致数据泄露,影响大约1.479亿客户。该漏洞是在7月29日发现的,但该公司表示可能会在5月中旬开始。最初,该漏洞泄露了1.43亿客户的个人信息(包括社会安全号码、出生日期、地址,在某些情况下还包括驾照号码)。此外,还有209,000名客户的信用卡数据被泄露。2017年10月,这个数字增加到1.479亿。该事件可归咎于Equifax的多次安全和响应失败。其中最主要的是允许攻击者访问它们的未修补的应用程序漏洞。系统的不充分碎片化使得攻击者很容易横向移动。Equifax也未能及时报告该事件。Dubsmash日期:2018年12月影响:1.62亿个用户帐户详细信息:2018年12月,总部位于纽约的视频消息服务Dubsmash遭受数据盗窃,其中包含1.62亿个电子邮件地址、用户名、生日等个人数据,所有这些都在次年12月的DreamMarket暗网市场。这些信息作为部分转储出售,与MyFitnessPal(更多内容见下文)、MyHeritage(9200万)、ShareThis、ArmorGames和约会应用程序CoffeeMeetsBagel等类似。Dubsmash承认在暗网上存在信息泄露和出售的情况,并建议用户更改密码,但没有说明攻击者如何获得访问权限或确认受影响的用户数量。Heartland支付系统日期:2008年3月影响:1.34亿信用卡详细信息被泄露:发生违规事件时,Heartland每月为175,000家商家处理1亿笔支付卡交易,其中大部分是中小型零售商。2009年1月,在Visa和万事达卡通知Heartland他们处理的账户存在可疑交易后,数据泄露事件被发现。攻击者利用已知漏洞执行SQL注入攻击。安全分析师多年来一直就此漏洞向零售商发出警告,SQL注入是当时最常见的网站攻击形式。由于数据泄露,支付卡行业(PCI)认为Heartland不符合其数据安全标准(DSS),直到2009年5月,它才被允许处理来自主要信用卡提供商的付款。该公司还支付了约1.45亿美元的欺诈性赔偿金。Heartland数据泄露事件是当局逮捕黑客的罕见案例。2009年,联邦大陪审团起诉阿尔伯特·冈萨雷斯和两名未具名的俄罗斯同谋。古巴裔美国人冈萨雷斯策划了盗窃信用卡和借记卡的国际犯罪。他于2010年3月在联邦监狱被判处20年监禁。LinkedIn日期:2012年(和2016年)影响:1.65亿用户帐户详细信息:LinkedIn是商业专业人士的首要社交网络。LinkedIn对于想要进行社会工程攻击的攻击者来说极具吸引力。然而,LinkedIn也曾经是用户数据泄露的受害者。2012年,该公司宣布攻击者窃取了650万个无关密码(未加盐的SHA-1哈希值)并将它们发布在俄罗斯黑客论坛上。然而,直到2016年事件的全部范围才被揭露。出售MySpace数据的黑客仅以5个比特币(当时约2,000美元)的价格提供了约1.65亿LinkedIn用户的电子邮件地址和密码。LinkedIn承认它知道违规行为,并表示已为受影响的帐户重置密码。万豪国际日期:2014-18影响:5亿客户详情:万豪国际于2018年11月宣布黑客窃取了大约5亿客户的数据。该漏洞始于2014年,最初是在支持喜达屋酒店品牌的系统上发现的。2016年万豪收购喜达屋后,该漏洞一直存在于系统中,直到2018年9月才被发现。攻击者能够收集客户的联系方式、护照号码、喜达屋会员号码、旅行信息等个人信息。超过1亿客户的信用卡号码和有效期被认为已被盗,但万豪无法确定攻击者是否能够解密信用卡号码。MyFitnessPal日期:2018年2月影响:1.5亿用户帐户详细信息:与Dubsmash一样,UnderArmour拥有的健身应用程序MyFitnessPal是16个受感染网站之一,并遭受大量信息转储,大约6.171亿客户帐户在DreamMarket上泄露和出售暗网。2018年2月,大约1.5亿客户的用户名、电子邮件地址、IP地址、SHA-1和bcrypt加密密码被盗,一年后与Dubsmash和其他公司一起出售。MyFitnessPal承认违规并要求客户更改密码,但没有透露有多少帐户受到影响或攻击者如何获得数据访问权限。MySpace日期:2013年影响:3.6亿用户帐户详细信息:MySpace在2016年再次成为头条新闻,尽管它早已退出社交媒体巨头的行列。由于3.6亿MySpace用户的账户被泄露,他们在LeakedSource(一个可搜索的被盗账户数据库)和暗网市场TheRealDeal上以6个比特币(当时约3,000美元)的价格出售。据该公司称,丢失的数据包括2013年6月11日之前创建的一些帐户的电子邮件、密码和用户名。根据HaveIBeenPwned的TroyHunt的说法,密码存储为SHA-1哈希,密码的前10个字符转换为小写.网易日期:2015年10月影响:2.35亿用户帐户详细信息:网易是163.com和126.com等电子邮件服务提供商。据报道,大约2.35亿个网易账户的电子邮件地址和纯文本密码被DoubleFlag暗网市场供应商出售。该供应商还出售从其他企业获得的信息,例如腾讯旗下的QQ.com、新浪公司和搜狐公司。据报道,网易否认有任何数据泄露事件。HaveIBeenPwned认为此事件“未经身份验证”。雅虎日期:2013-14影响:30亿用户帐户详情:雅虎于2016年9月宣布,它是2014年数据泄露的最大受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码用户。大多数泄露的密码都是散列密码。2016年12月,雅虎披露了另一起攻击者从2013年开始的数据窃取事件,暴露了10亿用户账户的姓名、出生日期、电子邮件地址和密码以及安全问题和答案。雅虎在2017年10月修改了这一估计,将总计30亿用户包括在内。最初的数据泄露公告来得不是时候,因为雅虎正在被Verizon收购,后者最终以44.8亿美元收购了雅虎的核心互联网业务。此次违规使公司市值蒸发了约3.5亿美元。Zynga日期:2019年9月影响:2.18亿用户帐户详细信息:Farmville的创建者Zynga曾经是Facebook游戏世界的巨头,并且仍然是移动游戏领域最大的玩家之一,在全球拥有数百万玩家。2019年9月,一名名为Gnosticplayers的巴基斯坦黑客声称已经攻破了Zynga的DrawSomethingandWordswithFriends玩家数据库,并获得了在那里注册的2.18亿个账户的访问权限。Zynga后来证实,电子邮件地址、SaltedSHA-1散列密码、电话号码以及Facebook和Zynga帐户的用户ID均被盗。
