在这个数据驱动的世界里,一次数据泄露可能影响数亿甚至数十亿人。数字化转型进一步推动了数据的移动,随着攻击者加速利用日常生活中的数据依赖性,数据泄露事件正在扩大。未来的网络攻击规模有多大还有待观察,但正如这份21世纪最大数据泄露清单所示,它们已经达到了巨大的规模。根据受影响的用户数量、暴露的记录或受影响的帐户数量,我们编制了这份21世纪最重大数据泄露事件列表。在这个数据驱动的世界中,一次数据泄露可能会影响数亿甚至数十亿人。数字化转型进一步推动了数据的移动,随着攻击者加速利用日常生活中的数据依赖性,数据泄露事件正在扩大。未来的网络攻击规模有多大还有待观察,但正如这份21世纪最大数据泄露清单所示,它们已经达到了巨大的规模。根据受影响的用户数量、暴露的记录或受影响的帐户数量,我们编制了这份21世纪最重大数据泄露事件列表。1、雅虎时间:2013年8月;影响:30亿个账户;雅虎于2016年12月首次公开公布数据泄露事件,称发生在2013年,当时正处于被Verizon收购的过程中,估计超过10亿用户的账户信息已被访问黑客组织。不到一年后,雅虎宣布实际泄露的用户账户数量高达30亿。尽管遭到攻击,但还是与Verizon达成了交易,尽管价格有所降低。Verizon首席信息官ChandraMcMahon当时表示,“Verizon致力于最高标准的问责制和透明度,我们积极努力在不断变化的在线威胁环境中保护我们的用户和网络安全。我们对雅虎的投资使团队将继续采取重要措施来增强他们的安全性,同时也受益于Verizon的经验和资源。”后来调查发现,虽然攻击者获得了安全问答等账户信息,但明文密码、支付卡、银行数据并未被盗2.Aadhaar时间:2018年1月;影响:1.1的身份/生物识别信息十亿印度公民暴露;2018年初,恶意行为者渗透了世界上最大的身份数据库Aadhaar,泄露了超过11亿印度公民的信息,其中包括姓名、地址、照片、电话号码和电子邮件,以及指纹等生物识别数据更重要的是,这个由印度唯一身份识别机构(UIDAI)于2009年建立的数据库还包含与唯一的12位数字相关联的银行账户信息。据说攻击者通过国有公用事业公司Indane的网站渗透了Aadhaar数据库,该网站通过应用程序编程接口连接到政府数据库,允许应用程序检索其他应用程序或软件存储的数据。不幸的是,Indane的API没有访问控制,因此数据很容易受到攻击。然后,攻击者通过WhatsApp群组以低至7美元的价格出售对数据的访问权限。尽管安全研究人员和技术团体发出警告,印度当局直到2018年3月23日才关闭易受攻击的接入点。3、阿里巴巴时间:2019年11月;影响:11亿条用户数据;在八个月的时间里,一名开发人员使用自己的爬虫软件从阿里巴巴的中国购物网站淘宝上抓取数据。大量客户数据被盗,包括用户名和手机号码。看来开发商和他的雇主收集这些信息是为了他们自己使用,并没有在黑市上出售。最终,两人均被判处有期徒刑三年。淘宝发言人在一份声明中表示,“淘宝投入了大量资源来打击平台上的未经授权的抓取,因为数据隐私和安全至关重要。我们已经主动发现并解决了此类未经授权的抓取问题。我们将继续与执法机构合作,以捍卫和保护我们用户和合作伙伴的利益。”4、领英时间:2021年6月;影响:77亿用户;职业网络巨头领英(LinkedIn)在2021年6月发现其7亿用户的相关数据被发布在暗网论坛上,影响其90%以上的用户群。一位自称“上帝用户”的黑客使用该网站(和其他网站)的API通过数据抓取技术转储了大约5亿用户的信息数据集。然后他们吹嘘说他们正在出售他们拥有7亿客户的整个数据库。虽然LinkedIn辩称该事件是违反其服务条款,而不是数据泄露,因为没有泄露任何敏感的个人数据,但正如英国国家网络安全委员会(NCSC)所警告的那样,GodUser发布的爬网,数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体详细信息等信息,这些信息将为恶意行为者提供大量数据,以便在违规后创建令人信服的后续社会工程攻击。5、新浪微博时间:2020年3月;影响:5.38亿个账户;新浪微博拥有超过6亿用户,是中国最大的社交媒体平台之一。2020年3月,该公司宣布攻击者获得了其部分数据库,影响了5.38亿微博用户及其个人信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以250美元的价格出售了该数据库。中国工信部已要求微博加强数据安全措施,更好地保护个人信息,在发生数据安全事件时及时通知用户和相关部门。新浪微博在一份声明中表示,攻击者使用了一项服务——旨在帮助用户通过输入朋友的电话号码来定位朋友的微博帐户——来收集公开发布的信息,但密码没有受到影响。不过,该公司也承认,如果密码在其他账户上被重复使用,泄露的数据可能会被用来链接账户和密码。6、脸书时间:2019年4月;影响:5.33亿用户;2019年4月,来自Facebook应用程序的两个数据集在公共互联网上曝光。这些信息涉及超过5.3亿Facebook用户,包括电话号码、账户名和FacebookID。然而,两年后(2021年4月),这些数据被免费发布,表明围绕这些数据存在新的真实犯罪意图。事实上,考虑到受此事件影响的电话号码数量之多,以及它们在暗网上的易用性,安全研究员TroyHunt已经在他的“HaveIBeenPwned”黑客检查网站中添加了一项功能,允许用户验证他们是否电话号码包含在公开的数据集中。7、万豪国际(喜达屋)时间:2018年9月;影响:5亿用户;2018年9月,万豪国际宣布其系统遭到攻击,50万喜达屋宾客的敏感信息被曝光。在当年11月发布的一份声明中,这家酒店巨头表示,“2018年9月8日,万豪收到来自内部安全工具的警报,有人试图访问喜达屋的客人预订数据库。万豪迅速聘请了顶级安全专家帮助确定发生了什么。”万豪在调查期间了解到,自2014年以来,喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息,并采取措施将其删除。2018年11月19日,万豪成功解密消息,确定消息内容来自喜达屋客房预订数据库。复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋优先顾客账户信息、出生日期、性别、抵达和离开信息、预订日期和通讯偏好。对于一些人来说,这些信息还包括支付卡号和有效期,尽管这些信息显然是加密的。事件发生后,万豪在安全专家的协助下展开调查,并宣布计划逐步淘汰喜达屋系统并加速加固其网络。该公司最终在2020年因未能确保客户个人数据的安全而被英国数据监管机构信息专员办公室(ICO)罚款1840万英镑(低于最初的9900万英镑)。8.雅虎时间:2014;影响:5亿个账户;雅虎再次出现在名单上。在此事件中,国家支持的黑客窃取了5亿个雅虎帐户的数据,包括姓名、电子邮件地址、电话号码、散列密码和出生日期。早在2014年,雅虎就采取了初步措施对其进行补救,但直到2016年被盗的数据库在黑市上出售后,雅虎才披露细节。9.成人交友时间:2016年10月;影响:4.122亿个账户;2016年10月,面向成人的社交网络服务FriendFinderNetwork的数据库遭到黑客攻击。鉴于该公司提供的服务的敏感性——包括休闲约会和成人内容网站,如成人FriendFinder、penthouse和Stripshow.com——超过4.14亿个账户的数据泄露,包括姓名、电子邮件地址、和密码,这对受害者来说尤其致命。更重要的是,绝大多数暴露的密码都是通过弱算法SHA-1进行哈希处理的,极易破解。10.MySpace时间:2013年;影响:3.6亿个用户帐户;尽管社交媒体网站MySpace不再是曾经的巨头,但在2016年,3.6亿用户账户被泄露到LeakedSource.com网站,并在暗网上以6个比特币(当时约合3000美元)的价格出售真正的交易市场,它再次成为头条新闻。据该公司称,丢失的数据包括2013年6月11日之前在旧Myspace平台上创建的一些账户的电子邮件地址、密码和用户名。11、网易时间:2015年10月;影响:2.35亿个用户帐户;网易是163.com和126.com等电子邮件服务提供商。据报道,2015年10月,暗网市场提供商DoubleFlag出售了2.35亿个账户的电子邮件地址和明文密码。吴云还爆料称,网易用户数据库疑似泄露,影响上亿条数据。泄露的信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP地址、生日等,其他绑定网易邮箱的账号也受到影响,比如iPhone用户的AppleID。但网易团队坚称不存在数据泄露,并通过微博发表官方声明,称邮箱被暴力破解“属于网络谣言”。哪个是真的哪个是假的越来越扑朔迷离了。12.CourtVentures时间:2013年10月;影响:2亿条个人记录;Experian的子公司CourtVentures在2013年成为攻击的受害者,当时一名越南男子(HieuMinhNgo)冒充新加坡私家侦探,诱骗Experian让他访问包含2亿条个人记录的数据库。最终,这名男子因向世界各地的网络犯罪分子出售美国居民的个人信息(包括信用卡号和社会保险号)而被捕。据报道,在他的行为细节被曝光之前,Ngo自2007年以来一直从事此类活动。2014年3月,他在美国新罕布什尔地区法院承认了多项指控,包括身份欺诈。司法部当时表示,Ngo通过出售个人数据共获利200万美元。13.LinkedIn时间:2012年6月;受影响:1.65亿用户;LinkedIn也再次出现在名单上,这次是因为它在2012年遭遇了一次违规,当时它宣布650万个不相关的密码(无盐SHA-1哈希)被攻击者窃取并发布在俄罗斯黑客论坛上。然而,直到2016年,事件的全部细节才被披露。发现同一位出售MySpace数据的黑客以5个比特币(当时约2,000美元)的价格向LinkedIn提供了约1.65亿用户的电子邮件地址和密码。LinkedIn承认它知道违规行为,并表示已为受影响的帐户重置密码。14.Dubsmash时间:2018年12月;影响:1.62亿个用户帐户;2018年12月,总部位于纽约的视频消息服务Dubsmash表示其拥有1.62亿个电子邮件地址、用户名、PBKDF2密码哈希值和出生日期等个人数据被盗,所有这些数据随后都在暗网市场上出售,如下所示十二月。.Dubsmash承认违规和出售,并就密码更改提出了建议。但是,它没有说明攻击者是如何进入的,也没有确认有多少用户受到影响。15、Adobe时间:2013年10月;影响:1.53亿条用户记录;2013年10月上旬,Adobe报告称黑客窃取了近300万条加密的客户信用卡记录和登录数据。几天后,Adobe再次更新了这一估计,称其中包括3800万“活跃用户”的ID和加密密码被盗。安全博主BrianKrebs随后报道说,几天前发布的一份文件“似乎包含来自Adob??e的超过1.5亿个用户名和散列密码对”。数周的研究表明,黑客还泄露了客户的姓名、密码以及借记卡和信用卡信息。2015年8月的一项协议要求Adob??e支付110万美元的法律费用,并向用户支付100万美元,以解决违反《客户记录法》(客户记录法)和不公平商业行为的指控。本文翻译自:https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html
