在那个数据驱动的世界中,一次数据泄露就可能影响到数亿以至数十亿人。数字化转型进一步鞭策了数据的挪动,而跟着进攻者加速操纵日常生活中的数据依赖性,数据泄露也正随之扩大。将来的收集进攻规模会有多大还有待察看,但正如那份21世纪更大的数据泄露清单所显示的那样,它们已经到达了庞大的规模。
根据受影响的用户、表露的笔录或受影响的帐户数量,我们总结了那份21世纪以来最严重的数据泄露事务清单。
1. 雅虎
时间:2013年8月;
影响:30亿账户;
雅虎于2016年12月初次公开颁布发表了那起数据泄露事务,并称其发作在2013年。其时,它正处于被Verizon收买的过程中,据估量,超越10亿用户的账户信息已被黑客组织拜候。不到一年之后,雅虎颁布发表泄露的用户账户的现实数字高达30亿。
虽然遭到了进攻,但与Verizon的交易仍是完成了,只是成交价格有所降低。Verizon首席信息官Chandra McMahon其时表达,“Verizon努力于问责造和通明度的更高原则,在不竭改变的在线威胁情况中,我们积极勤奋确保用户和收集的平安。我们对雅虎的投资使该团队可以继续采纳严重办法来加强他们的平安性,同时也能受益于Verizon的经历和资本。”
后来,颠末查询拜访发现,固然进攻者拜候了平安问题和谜底等账户信息,但明文密码、付出卡和银行数据并没有被盗。
2. Aadhaar
时间:2018年1月;
影响:11亿印度公民的身份/生物特征信息表露;
据悉,进攻者通过国有公用事业公司Indane的网站潜入Aadhaar数据库,Indane通过应用法式编程接口毗连到政府数据库,该接口允许应用法式检索其他应用法式或软件存储的数据。不幸的是,Indane的API没有拜候掌握,因而数据很容易遭到进攻。之后,进攻者通过WhatsApp群以低至7美圆的价格出卖了那些数据利用权。虽然平安研究人员和手艺组织发出警告,但印度当局曲到2018年3月23日才将那个易受进攻的接入点封闭。
展开全文
3. 阿里巴巴
时间:2019年11月;
影响:11亿条用户数据;
在八个月的时间里,一名开发人员利用本身开发的爬虫软件,从阿里巴巴(Alibaba)中文购物网站淘宝上抓取了大量客户数据,包罗用户名和手机号码。目前看来,那名开发人员及其雇主搜集那些信息是为了本身利用,并没有在暗盘上出卖。最末,两人都被判处3年监禁。
淘宝发言人在一份声明中表达,“淘宝投入大量资本冲击平台上未经受权的抓取,因为数据隐私和平安是最重要的。我们已经主动发现并处理了那种未经受权的抓取行为。我们将继续与执法部分协做,保卫和庇护我们用户和协做伙伴的利益。”
4. LinkedIn
时间:2021年6月;
影响:7亿用户;
职业收集巨头领英(LinkedIn)在2021年6月发现,其7亿用户的相关数据被发布在暗网论坛上,影响了其90%以上的用户群。一名自称为“God User”的黑客操纵该网站(和其他网站)的API,通过数据抓取手艺转储了约5亿用户的信息数据集。接着,他们夸口说,他们正在出卖完好的7亿客户数据库。
虽然LinkedIn辩称,因为没有敏感的小我数据被泄露,该事务只是违背了其办事条目,而不是数据泄露,但正如英国国度收集平安委员会(NCSC)警告的那样,God User发布的一份抓取数据样本包罗电子邮件地址、德律风号码、天文位置笔录、性别和其他社交媒体细节等信息,那将为歹意行为者供给大量数据,在泄密事务发作后造造令人信服的后续社交工程进攻。
5. 新浪微博
时间:2020年3月;
影响:5.38亿账户;
新浪微博拥有超越6亿用户,是中国更大的社交媒体平台之一。2020年3月,该公司颁布发表,进攻者获取了其部门数据库,影响了5.38亿微博用户及其小我信息,包罗实在姓名、网站用户名、性别、位置和德律风号码。据报导,进攻者随后在暗网上以250美圆的价格出卖了该数据库。
中国工业和信息化部要求微博加强数据平安办法,更好地庇护小我信息,并在发作数据平安事务时及时通知用户和有关部分。新浪微博在一份声明中称,进攻者操纵一项办事——该办事旨在搀扶帮助用户通过输入伴侣的德律风号码来定位他们的微博账户——搜集了公开发布的信息,但密码并未遭到影响。不外,该公司也认可,若是密码在其他账户上反复利用,泄露的数据可能会被用来联系关系账户和密码。
6. Facebook
时间:2019年4月;
影响:5.33亿用户;
2019年4月,来自Facebook应用法式的两个数据集被表露在公共互联网上。那些信息涉及5.3亿多Facebook用户,包罗德律风号码、账户名和Facebook id。然而,两年后(2021年4月),那些数据被免费发布,表白围绕那些数据有新的和实正的立功企图。事实上,考虑到此次事务影响到的德律风号码数量之多,以及在暗网上能够随便获得的德律风号码,平安研究员Troy Hunt为他的“HaveIBeenPwned”入侵查抄网站添加了功用,允许用户验证他们的德律风号码能否包罗在表露的数据集中。
7. 万豪国际(喜达屋)
时间:2018年9月;
影响:5亿用户;
2018年9月,万豪国际酒店颁布发表其系统遭到进攻,50万喜达屋客人的敏感细节被曝光。在同年11月发布的一份声明中,那家酒店巨头表达,“2018年9月8日,万豪收到了来自内部平安东西的警告,称有人试图拜候喜达屋的客人预订数据库。万豪敏捷礼聘顶尖平安专家搀扶帮助确定发作了什么。”
万豪在查询拜访中领会到,自2014年以来,喜达屋的收集不断存在未经受权的拜候。未经受权的一方复造并加密了信息,并采纳了删除办法。2018年11月19日,万豪胜利解密了那些信息,并确定其内容来自喜达屋客房预订数据库。
复造的数据包罗客人的姓名、邮寄地址、德律风号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、抵达和分开信息、预订日期和沟通偏好。对一些人来说,信息还包罗付出卡号码和到期日,虽然那些显然是加密的。
事务发作后,万豪在平安专家的协助下展开了查询拜访,并颁布发表方案逐渐裁减喜达屋系统,并加快对其收集的平安加固。该公司最末在2020年被英国数据办理机构信息专员办公室(ICO)罚款1840万英镑(从最后的9900万英镑削减),原因是未能庇护客户的小我数据平安。
8. 雅虎
时间:2014年;
影响:5亿账户;
雅虎再次呈现在榜单中。在那起事务中,国度撑持的黑客窃取了雅虎5亿账户的数据,包罗姓名、电子邮件地址、德律风号码、散列密码和出生日期。该公司早在2014年就采纳了初步的弥补办法,但曲到2016年,一个被盗的数据库在暗盘上出卖后,雅虎才公开了细节。
9. Adult Friend Finder
时间:2016年10月;
影响:4.122亿账户;
2016年10月,面向成人的社交收集办事FriendFinder Network数据库遭遇黑客入侵。考虑到该公司供给的办事的敏感性量——包罗休闲约会和成人内容网站,如adult Friend Finder, penthouse,和Stripshow.com——超越4.14亿账户的数据泄露,包罗姓名,电子邮件地址和密码,对受害者来说可能是特新颖命的。更重要的是,绝大大都表露的密码都是通过弱算法SHA-1哈希的,极易被破解。
10. MySpace
时间:2013年;
影响:3.6亿用户账号;
虽然社交媒体网站MySpace早已不再是曾经的巨头,但在2016年,3.6亿用户账号被泄露到LeakedSource.com网站上,并在暗网市场the Real Deal上以6比特币(其时约3000美圆)的价格出卖,仍是再次将它送上了新闻头条。
据该公司称,丧失的数据包罗2013年6月11日之前在旧Myspace平台上创建的部门账户的电子邮件地址、密码和用户名。
11. 网易
时间:2015年10月;
影响:2.35亿用户账号;
网易是163.com和126.com等邮箱办事供给商,据报导,2015年10月,暗网市场供给商DoubleFlag出卖了2.35亿账户的电子邮件地址和明文密码。乌云也爆料称,网易的用户数据库疑似泄露,影响数据总共数亿条,泄露信息包罗用户名、MD5密码、密码提醒问题/谜底(hash)、注册IP、生日等。网易邮箱绑定的其他账户也遭到涉及,如iPhone用户的Apple ID等。
但网易团队却坚称没有发作数据泄露,并通过微博发布官方声明,称邮箱被暴力破解“属于收集讹传”。孰实孰假,愈显扑朔迷离。
12. Court Ventures
时间:2013年10月;
影响:2亿小我纪录;
益百利(Experian)子公司Court Ventures于2013年沦为进攻受害者,其时一名越南须眉(Hieu Minh Ngo)假装成新加坡私人侦探,拐骗益百利允许他拜候一个包罗2亿份小我笔录的数据库。最末,该须眉因向世界各地的收集立功分子出卖美国居民的小我信息(包罗信誉卡号和社会平安号码)而被捕。
据悉,Ngo从2007年起就起头处置那种活动,之后他的行为细节才得以曝光。2014年3月,他在美国新罕布什尔州地域法院认可了包罗身份欺诈在内的多项指控。美国司法部其时表达,Ngo通过出卖小我数据总共赚了200万美圆。
13. LinkedIn
时间:2012年6月;
影响:1.65亿用户;
LinkedIn也再次呈现在名单中,那一次是因为它在2012年遭受的一次入侵,其时它颁布发表有650万个不相关的密码(无盐SHA-1哈希)被进攻者窃取,并被发布到一个俄罗斯黑客论坛上。然而,曲到2016年,事务的全数细节才被披露出来。统一名出卖MySpace数据的黑客被发现以5个比特币(其时约为2000美圆)的价格向LinkedIn供给约1.65亿用户的电子邮件地址和密码。LinkedIn认可,它已经意识到此次入侵,并表达已重置了受影响账户的密码。
14. Dubsmash
时间:2018年12月;
影响:1.62亿用户账号;
2018年12月,总部位于纽约的视频动静办事Dubsmash称其1.62亿个电子邮件地址、用户名、PBKDF2密码哈希值和出生日期等其他小我数据被盗,所有那些数据随后在次年12月被放在暗网市场出卖。。
Dubsmash认可发作了信息泄露和出卖事务,并就密码修改供给了定见。然而,它未能阐明进攻者是若何进入的,也未能确认有几用户遭到影响。
15. Adobe
时间:2013年10月;
影响:1.53亿条用户笔录;
2013年10月初,Adobe陈述称,黑客窃取了近300万份加密的客户信誉卡笔录和登录数据。几天后,Adobe再次更新了那一估量,称包罗3800万“活泼用户”的id和加密密码失窃。平安博主Brian Krebs随后陈述称,几天前发布的一个文件“似乎包罗了超越1.5亿对来自Adobe的用户名和哈希密码对”。数周的研究表白,黑客还表露了客户的姓名、密码、借记卡和信誉卡信息。
2015年8月的一项协议要求Adobe付出110万美圆的诉讼费用,并向用户付出100万美圆,以处理违背《客户笔录法》(Customer Records Act)和不公允贸易行为的指控。
转自:嘶吼专业版
金融信息平安讨论群,请添加群主微信:qiao070132,备注:姓名+公司+职务+平安入群。