21 世纪 15 次最大的数据泄露事件

©网络研究院

在当今数据驱动的世界中，数据泄露一次可能影响数亿甚至数十亿人。数字化转型增加了数据移动的供应，随着攻击者利用日常生活中的数据依赖性，数据泄露也随之扩大。

未来的网络攻击规模有多大仍然是猜测，但正如这份21 世纪最大的数据泄露清单所表明的那样，它们已经达到了巨大的规模。

为透明起见，此列表是根据受影响的用户数、暴露的记录数或受影响的帐户数计算的。我们还区分了数据被主动窃取或恶意转发的事件与组织无意中使数据未受保护和暴露的事件，但没有明显的滥用证据。后者故意不包括在列表中。

因此，这就是近期历史上 15 起最大数据泄露事件的最新列表，包括受影响者的详细信息、责任人以及公司如何应对（截至 2021 年 7 月）。

1.Yahoo

日期：2013 年 8 月
影响：30 亿账户

确保排名第一的位置是对雅虎的攻击——在最初的违规事件发生近七年后，自暴露的真实记录数量被披露后已有四年。该公司于 2016 年 12 月首次公开宣布该事件（据称发生在 2013 年）。当时，它正在被 Verizon 收购，估计已访问了超过 10 亿客户的帐户信息由一个黑客组织。不到一年后，雅虎宣布实际暴露的用户账户数量为 30 亿。雅虎表示，修改后的估计并不代表新的“安全问题”，它正在向所有“其他受影响的用户帐户”发送电子邮件。

尽管遭到了攻击，但与 Verizon 的交易还是完成了，尽管价格有所降低。Verizon 的首席信息安全官 Chandra McMahon 当时表示：“Verizon 致力于最高标准的问责制和透明度，我们在不断变化的在线威胁环境中积极努力确保我们的用户和网络的安全和保障。我们对雅虎的投资使该团队能够继续采取重要措施来增强其安全性，并从 Verizon 的经验和资源中受益。” 经调查发现，攻击者在访问安全问题和答案等账户信息的同时，明文密码、支付卡和银行数据并未被窃取。

2. Aadhaar

日期：2018 年 1 月
影响：11 亿印度公民的身份/生物特征信息暴露

2018 年初，有消息称恶意行为者已渗透到世界上最大的身份数据库 Aadhaar，暴露了超过 11 亿印度公民的信息，包括姓名、地址、照片、电话号码和电子邮件，以及指纹和虹膜等生物特征数据扫描。更重要的是，由于印度唯一身份识别机构 (UIDAI) 于 2009 年建立的数据库还保存了与唯一 12 位数字相关的银行账户信息，因此它也成为了信用违规行为。尽管UIDAI 最初否认数据库持有此类数据

攻击者通过 Indane 的网站渗入 Aadhaar 数据库，Indane 是一家国有公用事业公司，通过应用程序编程接口连接到政府数据库，允许应用程序检索其他应用程序或软件存储的数据。不幸的是，Indane 的 API 没有访问控制，因此使其数据易受攻击。黑客通过 WhatsApp 小组以低至 7 美元的价格出售对数据的访问权限。尽管安全研究人员和技术团体发出警告，但印度当局直到 2018 年 3 月 23 日才使易受攻击的接入点下线。

3.Alibaba

日期：2019 年 11 月
影响：11 亿条用户数据

在八个月的时间里，一位为联属营销商工作的开发人员使用他创建的爬虫软件从阿里巴巴中国购物网站淘宝上抓取了客户数据，包括用户名和手机号码。开发商和他的雇主似乎是在收集这些信息供自己使用，并没有在黑市上出售，尽管两人都被判处三年徒刑。

淘宝发言人在一份声明中表示：“淘宝投入了大量资源来打击我们平台上的未经授权的抓取，因为数据隐私和安全至关重要。我们已经主动发现并解决了这种未经授权的抓取。我们将继续与执法部门合作，捍卫和保护我们的用户和合作伙伴的利益。”

4.LinkedIn

日期：2021 年 6 月
影响：7 亿用户

2021 年 6 月，专业网络巨头 LinkedIn 在一个暗网论坛上发布了与 7 亿用户相关的数据，影响了 90% 以上的用户群。一名自称“上帝用户”的黑客利用该网站（和其他人）的 API 使用数据抓取技术，然后倾销了大约 5 亿客户的第一个信息数据集。随后，他们吹嘘说他们正在销售完整的 7 亿客户数据库。虽然 LinkedIn 辩称，由于没有暴露敏感的私人个人数据，但该事件违反了其服务条款，而不是数据泄露，但 God User 发布的抓取数据样本包含的信息包括电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节，这将为恶意行为者提供大量数据来制作令人信服的数据，受到英国 NCSC 的警告。

5.Sina Weibo

日期：2020 年 3 月
影响：5.38 亿账户

新浪微博拥有超过 6 亿用户，是中国最大的社交媒体平台之一。2020 年 3 月，该公司宣布攻击者获取了其部分数据库，影响了 5.38 亿微博用户及其个人详细信息，包括真实姓名、网站用户名、性别、位置和电话号码。据报道，攻击者随后在暗网上以 250 美元的价格出售了该数据库。

中国工业和信息化部 (MIIT) 要求微博加强其数据安全措施，以更好地保护个人信息，并在发生数据安全事件时通知用户和当局。新浪微博在一份声明中辩称，攻击者通过使用旨在帮助用户通过输入朋友的电话号码来定位朋友的微博帐户的服务收集公开发布的信息，并且没有密码受到影响。但是，它承认，如果密码在其他帐户上重复使用，则暴露的数据可用于将帐户与密码相关联。该公司表示，它加强了其安全战略，并向有关当局报告了细节。

6.Facebook

日期：2019 年 4 月
影响：5.33 亿用户

2019 年 4 月，据透露，来自 Facebook 应用程序的两个数据集已暴露在公共互联网上。这些信息涉及超过 5.3 亿 Facebook 用户，包括电话号码、账户名和 Facebook ID。然而，两年后（2021 年 4 月），数据被免费发布，表明围绕数据的新的和真实的犯罪意图。事实上，鉴于该事件导致大量电话号码受到影响并且在暗网上随时可用，安全研究员 Troy Hunt 为他的 HaveIBeenPwned (HIBP) 违规凭证检查网站添加了功能，允许用户验证他们的电话是否数字已包含在公开的数据集中。

“我从来没有打算让电话号码可搜索，”亨特在博客文章中写道。“我对此的立场是，由于很多原因，它没有意义。Facebook 数据改变了这一切。有超过 5 亿个电话号码，但只有几百万个电子邮件地址，因此超过 99% 的人在本应受到打击时却错过了。”

7.Marriott International (Starwood)

日期：2018 年 9 月
影响：5 亿客户

万豪国际酒店在 2018 年 9 月的系统遭到攻击后，宣布暴露属于 50 万喜达屋客人的敏感细节。在同年 11 月发表的一份声明中，这家酒店巨头表示：“2018 年 9 月 8 日，万豪收到来自内部安全工具的关于试图访问喜达屋客人预订数据库的警报。万豪迅速聘请了领先的安全专家来帮助确定发生了什么。”

万豪在调查期间获悉，自 2014 年以来，喜达屋网络遭到未经授权的访问。2018 年 11 月 19 日，万豪能够解密信息并确定内容来自喜达屋宾客预订数据库，”声明补充说。

复制的数据包括客人姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人帐户信息、出生日期、性别、抵达和离开信息、预订日期和通信偏好。对于一些人来说，这些信息还包括支付卡号和到期日期，尽管这些显然是加密的。

万豪在安全专家的协助下进行了一项调查，并宣布计划逐步淘汰喜达屋系统并加快其网络的安全增强。该公司最终因未能保护客户个人数据的安全而于 2020 年被英国数据管理机构信息专员办公室 (ICO)罚款 1840万英镑（从 9900 万英镑减少）。

8.Yahoo

日期：2014 年
影响：5 亿账户

在此列表中第二次出现的是雅虎，它在 2014 年遭受了与上述 2013 年的攻击不同的攻击。在这种情况下，国家资助的演员从 5 亿个账户中窃取了数据，包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司在 2014 年采取了初步补救措施，但直到 2016 年，在被盗数据库在黑市上出售后，雅虎才公开详细信息。

9.Adult Friend Finder

日期：2016 年 10 月
影响：4.122 亿账户

面向成人的社交网络服务 FriendFinder Network 在 2016 年 10 月被网络窃贼窃取的六个数据库中拥有 20 年的用户数据。鉴于该公司提供的服务的敏感性——包括休闲联播和成人内容网站像 Adult Friend Finder、Penthouse.com 和 Stripshow.com - 超过 4.14 亿个账户的数据泄露，包括姓名、电子邮件地址和密码，可能对受害者造成特别严重的打击。更重要的是，绝大多数暴露的密码都是通过臭名昭著的弱算法 SHA-1 进行散列处理的，到 LeakedSource.com 于 2016 年 11 月 14 日发布对数据集的分析时，估计其中 99% 的密码已被破解。

10.MySpace

日期：2013 年
影响：3.6 亿用户帐户

尽管它早已不再是曾经的强国，但社交媒体网站 MySpace 在 2016 年成为头条新闻，因为 3.6 亿用户帐户被泄露到 LeakedSource.com 并在暗网市场 The Real Deal 上以要价出售6 个比特币（当时约为 3,000 美元）。

据该公司称，丢失的数据包括“在 2013 年 6 月 11 日之前在旧的 Myspace 平台上创建的部分帐户的电子邮件地址、密码和用户名。为了保护我们的用户，我们已将 2013 年 6 月 11 日之前在旧版 Myspace 平台上创建的受影响帐户的所有用户密码作废。这些返回 Myspace 的用户将被提示验证他们的帐户并按照说明重置密码。”

据信，密码存储为密码前 10 个字符转换为小写的 SHA-1 哈希值。

11.NetEase

日期：2015 年 10 月
影响：2.35 亿用户帐户

据报道，通过 163.com 和 126.com 等提供邮箱服务的网易在 2015 年 10 月遭遇了违规，当时暗网市场供应商 DoubleFlag 出售了与 2.35 亿个账户相关的电子邮件地址和明文密码。网易坚称没有发生数据泄露事件，至今 HIBP 表示：“虽然有证据表明数据本身是合法的（多个 HIBP 订阅者确认他们使用的密码在数据中），但由于难以重点验证中国人它已被标记为“未验证”。

12.Court Ventures (Experian)

日期：2013 年 10 月
影响：2 亿条个人记录

Experian 子公司 Court Ventures 在 2013 年成为受害者，当时一名越南男子假扮新加坡私人调查员，诱骗其访问包含 2 亿条个人记录的数据库。Hieu Minh Ngo 从 2007 年开始向全球网络犯罪分子出售美国居民的个人信息（包括信用卡号和社会保险号）被捕后，他的攻击细节才曝光。2014 年 3 月，他在美国新罕布什尔州地方法院对多项指控认罪，包括身份欺诈。美国司法部当时表示，Ngo 通过出售个人数据总共赚了 200 万美元。

13.LinkedIn

日期：2012 年 6 月
影响：1.65 亿用户

第二次出现在此列表中的是 LinkedIn，这一次是指它在 2012 年遭受的一次泄露，当时它宣布 650 万个未关联的密码（未加盐的 SHA-1 哈希）被攻击者窃取并发布到俄罗斯黑客论坛。然而，直到 2016 年，事件的全部范围才被揭露。同一名出售 MySpace 数据的黑客被发现以 5 个比特币（当时约为 2,000 美元）的价格提供约 1.65 亿 LinkedIn 用户的电子邮件地址和密码。LinkedIn承认它已经意识到了违规行为，并表示它已经重置了受影响帐户的密码。

14.Dubsmash

日期：2018 年 12 月
影响：1.62 亿用户帐户

2018 年 12 月，总部位于纽约的视频消息服务 Dubsmash 有 1.62 亿个电子邮件地址、用户名、PBKDF2 密码哈希和其他个人数据（例如出生日期）被盗，然后所有这些数据都在 Dream Market 暗网上出售次年十二月上市。这些信息作为收集的转储的一部分出售，还包括 MyFitnessPal（更多内容见下文）、MyHeritage（9200 万）、ShareThis、Armor Games 和约会应用程序 CoffeeMeetsBagel 等。

Dubsmash 承认发生了信息泄露和出售的情况，并提供了有关更改密码的建议。但是，它没有说明攻击者是如何进入的，也没有确认有多少用户受到影响。

15.Adobe

日期：2013 年 10 月

影响：1.53 亿用户记录

2013 年 10 月上旬，Adobe 报道黑客窃取了近 300 万个加密的客户信用卡记录和未确定数量的用户帐户的登录数据。几天后，Adobe 增加了对 3800 万“活跃用户”的 ID 和加密密码的估计。安全博主布赖恩·克雷布斯随后报道称，几天前发布的一份文件“似乎包含来自 Adobe 的超过 1.5 亿个用户名和散列密码对”。数周的研究表明，黑客还暴露了客户姓名、密码、借记卡和信用卡信息。2015 年 8 月的一项协议要求 Adobe 向用户支付 110 万美元的法律费用和未披露的金额，以解决违反《客户记录法》和不公平商业行为的索赔。据报道，2016 年 11 月，支付给客户的金额为 100 万美元。

长按添加关注，为您保驾护航！