在这个数据驱动的世界中,一次数据泄露就可能影响到数亿甚至数十亿人。数字化转型进一步推动了数据的移动,而随着攻击者加速利用日常生活中的数据依赖性,数据泄露也正随之扩大。未来的网络攻击规模会有多大还有待考察,但正如这份 21 世纪最大的数据泄露清单所显示的那样,它们已经达到了巨大的规模。

根据受影响的用户、暴露的记录或受影响的帐户数量,我们总结了这份 21 世纪以来最重大的数据泄露事件清单。

  1. 雅虎

时间:2013 年 8 月;

影响:30 亿账户;

雅虎于 2016 年 12 月首次公开宣布了这起数据泄露事件,并称其发生在 2013 年。当时,它正处于被 Verizon 收购的过程中,据估计,超过 10 亿用户的账户信息已被黑客组织访问。不到一年之后,雅虎宣布泄露的用户账户的实际数字高达 30 亿。

尽管遭到了攻击,但与 Verizon 的交易还是完成了,只是成交价格有所降低。Verizon 首席信息官 Chandra McMahon 当时表示,“Verizon 致力于问责制和透明度的最高标准,在不断变化的在线威胁环境中,我们积极努力确保用户和网络的安全。我们对雅虎的投资使该团队能够继续采取重大措施来增强他们的安全性,同时也能受益于 Verizon 的经验和资源。”

后来,经过调查发现,虽然攻击者访问了安全问题和答案等账户信息,但明文密码、支付卡和银行数据并没有被盗。

  1. Aadhaar

时间:2018 年 1 月;

影响:11 亿印度公民的身份 / 生物特征信息暴露;

2018 年初,恶意行为者渗透了世界上最大的身份数据库 Aadhaar,泄露了超过 11 亿印度公民的信息,包括姓名、地址、照片、电话号码和电子邮件,以及指纹和虹膜扫描等生物特征数据。更重要的是,这个数据库 —— 由印度唯一识别局(UIDAI)于 2009 年建立 —— 还包含与唯一 12 位数字相关的银行账户信息。

据悉,攻击者通过国有公用事业公司 Indane 的网站潜入 Aadhaar 数据库,Indane 通过应用程序编程接口连接到政府数据库,该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是,Indane 的 API 没有访问控制,因此数据很容易受到攻击。之后,攻击者通过 WhatsApp 群以低至 7 美元的价格出售了这些数据使用权。尽管安全研究人员和技术组织发出警告,但印度当局直到 2018 年 3 月 23 日才将这个易受攻击的接入点关闭。

  1. 阿里巴巴

时间:2019 年 11 月;

影响:11 亿条用户数据;

在八个月的时间里,一名开发人员使用自己开发的爬虫软件,从阿里巴巴(Alibaba)中文购物网站淘宝上抓取了大量客户数据,包括用户名和手机号码。目前看来,这名开发人员及其雇主收集这些信息是为了自己使用,并没有在黑市上出售。最终,两人都被判处 3 年监禁。

淘宝发言人在一份声明中表示,“淘宝投入大量资源打击平台上未经授权的抓取,因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作,捍卫和保护我们用户和合作伙伴的利益。”

  1. LinkedIn

时间:2021 年 6 月;

影响:7 亿用户;

职业网络巨头领英(LinkedIn)在 2021 年 6 月发现,其 7 亿用户的相关数据被发布在暗网论坛上,影响了其 90% 以上的用户群。一名自称为 “God User” 的黑客利用该网站(和其他网站)的 API,通过数据抓取技术转储了约 5 亿用户的信息数据集。接着,他们夸口说,他们正在出售完整的 7 亿客户数据库。

尽管 LinkedIn 辩称,由于没有敏感的个人数据被泄露,该事件只是违反了其服务条款,而不是数据泄露,但正如英国国家网络安全委员会(NCSC)警告的那样,God User 发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息,这将为恶意行为者提供大量数据,在泄密事件发生后制造令人信服的后续社交工程攻击。

  1. 新浪微博

时间:2020 年 3 月;

影响:5.38 亿账户;

新浪微博拥有超过 6 亿用户,是中国最大的社交媒体平台之一。2020 年 3 月,该公司宣布,攻击者获取了其部分数据库,影响了 5.38 亿微博用户及其个人信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以 250 美元的价格出售了该数据库。

中国工业和信息化部要求微博加强数据安全措施,更好地保护个人信息,并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称,攻击者利用一项服务 —— 该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户 —— 收集了公开发布的信息,但密码并未受到影响。不过,该公司也承认,如果密码在其他账户上重复使用,泄露的数据可能会被用来关联账户和密码。

  1. Facebook

时间:2019 年 4 月;

影响:5.33 亿用户;

2019 年 4 月,来自 Facebook 应用程序的两个数据集被暴露在公共互联网上。这些信息涉及 5.3 亿多 Facebook 用户,包括电话号码、账户名和 Facebook id。然而,两年后(2021 年 4 月),这些数据被免费发布,表明围绕这些数据有新的和真正的犯罪意图。事实上,考虑到此次事件影响到的电话号码数量之多,以及在暗网上可以轻易获得的电话号码,安全研究员 Troy Hunt 为他的 “HaveIBeenPwned” 入侵检查网站添加了功能,允许用户验证他们的电话号码是否包含在暴露的数据集中。

  1. 万豪国际(喜达屋)

时间:2018 年 9 月;

影响:5 亿用户;

2018 年 9 月,万豪国际酒店宣布其系统遭到攻击,50 万喜达屋客人的敏感细节被曝光。在同年 11 月发布的一份声明中,这家酒店巨头表示,“2018 年 9 月 8 日,万豪收到了来自内部安全工具的警告,称有人试图访问喜达屋的客人预订数据库。万豪迅速聘请顶尖安全专家帮助确定发生了什么。”

万豪在调查中了解到,自 2014 年以来,喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息,并采取了删除措施。2018 年 11 月 19 日,万豪成功解密了这些信息,并确定其内容来自喜达屋客房预订数据库。

复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、到达和离开信息、预订日期和沟通偏好。对一些人来说,信息还包括支付卡号码和到期日,尽管这些显然是加密的。

事件发生后,万豪在安全专家的协助下展开了调查,并宣布计划逐步淘汰喜达屋系统,并加快对其网络的安全加固。该公司最终在 2020 年被英国数据管理机构信息专员办公室(ICO)罚款 1840 万英镑(从最初的 9900 万英镑减少),原因是未能保护客户的个人数据安全。

  1. 雅虎

时间:2014 年;

影响:5 亿账户;

雅虎再次出现在榜单中。在这起事件中,国家支持的黑客窃取了雅虎 5 亿账户的数据,包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司早在 2014 年就采取了初步的补救措施,但直到 2016 年,一个被盗的数据库在黑市上出售后,雅虎才公开了细节。

  1. Adult Friend Finder

时间:2016 年 10 月;

影响:4.122 亿账户;

2016 年 10 月,面向成人的社交网络服务 FriendFinder Network 数据库遭遇黑客入侵。考虑到该公司提供的服务的敏感性质 —— 包括休闲约会和成人内容网站,如 adult Friend Finder, penthouse,和 Stripshow.com—— 超过 4.14 亿账户的数据泄露,包括姓名,电子邮件地址和密码,对受害者来说可能是特别致命的。更重要的是,绝大多数暴露的密码都是通过弱算法 SHA-1 哈希的,极易被破解。

  1. MySpace

时间:2013 年;

影响:3.6 亿用户账号;

尽管社交媒体网站 MySpace 早已不再是曾经的巨头,但在 2016 年,3.6 亿用户账号被泄露到 LeakedSource.com 网站上,并在暗网市场 the Real Deal 上以 6 比特币(当时约 3000 美元)的价格出售,还是再次将它送上了新闻头条。

据该公司称,丢失的数据包括 2013 年 6 月 11 日之前在旧 Myspace 平台上创建的部分账户的电子邮件地址、密码和用户名。

  1. 网易

时间:2015 年 10 月;

影响:2.35 亿用户账号;

网易是 163.com 和 126.com 等邮箱服务提供商,据报道,2015 年 10 月,暗网市场供应商 DoubleFlag 出售了 2.35 亿账户的电子邮件地址和明文密码。乌云也爆料称,网易的用户数据库疑似泄露,影响数据总共数亿条,泄露信息包括用户名、MD5 密码、密码提示问题 / 答案(hash)、注册 IP、生日等。网易邮箱绑定的其他账户也受到波及,如 iPhone 用户的 Apple ID 等。

但网易团队却坚称没有发生数据泄露,并通过微博发布官方声明,称邮箱被暴力破解 “属于网络谣传”。孰真孰假,愈显扑朔迷离。

  1. Court Ventures

时间:2013 年 10 月;

影响:2 亿个人纪录;

益百利(Experian)子公司 Court Ventures 于 2013 年沦为攻击受害者,当时一名越南男子(Hieu Minh Ngo)伪装成新加坡私家侦探,诱骗益百利允许他访问一个包含 2 亿份个人记录的数据库。最终,该男子因向世界各地的网络犯罪分子出售美国居民的个人信息(包括信用卡号和社会安全号码)而被捕。

据悉,Ngo 从 2007 年起就开始从事这种活动,之后他的行为细节才得以曝光。2014 年 3 月,他在美国新罕布什尔州地区法院承认了包括身份欺诈在内的多项指控。美国司法部当时表示,Ngo 通过出售个人数据总共赚了 200 万美元。

  1. LinkedIn

时间:2012 年 6 月;

影响:1.65 亿用户;

LinkedIn 也再次出现在名单中,这一次是因为它在 2012 年遭受的一次入侵,当时它宣布有 650 万个不相关的密码(无盐 SHA-1 哈希)被攻击者窃取,并被发布到一个俄罗斯黑客论坛上。然而,直到 2016 年,事件的全部细节才被披露出来。同一名出售 MySpace 数据的黑客被发现以 5 个比特币(当时约为 2000 美元)的价格向 LinkedIn 提供约 1.65 亿用户的电子邮件地址和密码。LinkedIn 承认,它已经意识到这次入侵,并表示已重置了受影响账户的密码。

  1. Dubsmash

时间:2018 年 12 月;

影响:1.62 亿用户账号;

2018 年 12 月,总部位于纽约的视频消息服务 Dubsmash 称其 1.62 亿个电子邮件地址、用户名、PBKDF2 密码哈希值和出生日期等其他个人数据被盗,所有这些数据随后在次年 12 月被放在暗网市场出售。。

Dubsmash 承认发生了信息泄露和出售事件,并就密码修改提供了建议。然而,它未能说明攻击者是如何进入的,也未能确认有多少用户受到影响。

  1. Adobe

时间:2013 年 10 月;

影响:1.53 亿条用户记录;

2013 年 10 月初,Adobe 报告称,黑客窃取了近 300 万份加密的客户信用卡记录和登录数据。几天后,Adobe 再次更新了这一估计,称包括 3800 万 “活跃用户” 的 id 和加密密码失窃。安全博主 Brian Krebs 随后报告称,几天前发布的一个文件 “似乎包含了超过 1.5 亿对来自 Adobe 的用户名和哈希密码对”。数周的研究表明,黑客还暴露了客户的姓名、密码、借记卡和信用卡信息。

2015 年 8 月的一项协议要求 Adobe 支付 110 万美元的诉讼费用,并向用户支付 100 万美元,以解决违反《客户记录法》(Customer Records Act)和不公平商业行为的指控。

史上最严重网络数据泄露事件合集相关推荐

  1. 史上最全网络安全面试题合集

    php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadm ...

  2. 630本经典绘本世界中英文PDF+音视频,呕心推荐史上最全电子版绘本合集

    儿童文学作家格雷厄姆·格林说:"只有童年读的书,才会对人生产生深刻的影响." 因为对2个孩子的热爱,想让他们从小能养成阅读的好习惯,而开始关注绘本.工作之余,翻阅了大量中英文经典绘 ...

  3. 从入门到进阶,史上最全Python精华文章合集

    我将这些文章分为 10 类--顺便一提,这也恰好反映出 Python 的多用途.多目标的性质. 这些类别如下: Python 常规编程 Python 性能优化 Python 开发环境及 DevOps ...

  4. 【干货】2020史上最全自动驾驶资源大合集!

    点击上方,选择星标或置顶,不定期资源大放送! 阅读大概需要11分钟 Follow小博主,每天更新前沿干货 [导读]本文为大家整理了自动驾驶方面的一些资源,主要包括视频课程学习.书籍资料.顶会论文.开源 ...

  5. 史上最全推荐系统传统算法合集

    ©作者 | YBH 学校 | 上海交通大学 研究方向 | 推荐系统 我花了半个多月将推荐系统传统算法分别进行了总结归纳,应该时目前全网最全的版本了.希望对大家了解推荐系统传统算法有所帮助. 推荐系统的 ...

  6. 【收藏】史上最全推荐系统传统算法合集

    猜你喜欢 0.[免费下载]2021年12月热门报告盘点1.如何搭建一套个性化推荐系统?2.从零开始搭建创业公司后台技术栈3.全民K歌推荐系统算法.架构及后台实现4.微博推荐算法实践与机器学习平台演进5 ...

  7. 一定有你要找的——史上最强短视频配乐合集!

    或许你正想尝试着拍摄自己的第一支vlog,或许你正在为自己的抖音作品寻找一个合适的bgm,或许你很羡慕那些宝藏up主,憧憬着自己有一天也能拍出这样的视频......那一定要往下看! 一个好玩.合适.新 ...

  8. 网络数据泄露事件频发,个人隐私信息如何保护?

    近期,网络数据泄露事件频发,学习通被爆出大量学生用户个人信息泄露.某酒店大量住客个人信息泄露.WPS被爆会删除用户本地文件等等. 大数据时代,数据泄露成为常态,个人隐私信息如何保护成为困扰许多人的问题 ...

  9. 史上最详细网络基础知识

    网络技术的基本原理: 1. 网络层次划分 2. OSI七层网络模型 3. IP地址 4. 子网掩码及网络划分 5. ARP/RARP协议 6. 路由选择协议 7. TCP/IP协议 8. UDP协议 ...

  10. 史上最详细的DOM事件之拖动事件

    史上最详细的DOM事件之拖动事件 上篇博客讲了DOM的剪贴板事件,这篇博客我们来讲一讲DOM的拖动(DragEvent)事件. HTMl代码: <img src="../../CSS/ ...

最新文章

  1. 建立自己的voc数据集_一次将自己的数据集制作成PASCAL VOC格式的惨痛经历
  2. 在配置文件(.settings、.config)中存储自定义对象
  3. Linux CentOS 6.x设置静态IP(亲测有效)
  4. MySQL和PostgreSQL的常用语法差异
  5. Spark之spark shell
  6. [蓝桥杯]算法提高 第二点五个不高兴的小明(记忆化搜索||动态规划)
  7. 随便聊聊,Linux 中的环境变量
  8. 科普!程序员分不清万圣节和圣诞节?
  9. mysql进阶,03-事务2-多个客户端一起操作时的情况
  10. 力扣401.二进制手表
  11. PCL之统计异常值去除滤波器--StatisticalOutlierRemoval
  12. 测量程序运行时间;getTickCount()与getTickFrequency()
  13. vb与php通讯加密,在VB.NET中加密和在PHP中解密
  14. 【数理统计】卡方检验
  15. Bootstrap 导航栏
  16. (数位dp) 算法竞赛入门到进阶 书本题集
  17. python计算矩阵行列式_基础 | Python 下的行列式值
  18. phpstorm连接mysql
  19. Lamber表达式 List,Map,Set 互相转换
  20. SAP Archiving (归档)

热门文章

  1. GBT 31000-2015 社会治安综合治理基础数据规范 数据项 编码
  2. 使用阿里邮箱发送邮件,邮件被反垃圾系统认定为垃圾邮件,导致邮件被系统退回。
  3. 有些公司的年会,还不如《天龙八部》的万仙大会
  4. JS实现类似打字的特效,JS实现打字效果
  5. Science:无氧世界的古菌氨氧化
  6. 临湘东经子午线经度_地区经度查询_实用查询工具大全 - Powered by Senlon!
  7. 淘宝Refrash_token签名错误的解决办法
  8. GBIT51231-2016装配式混凝土结构建筑技术标准
  9. win10系统让图片打开方式为照片查看器
  10. 记住网站建设这几个步骤