21世纪以来14起严重的数据泄露事件
以前,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。21世纪以来,14起最大的数据泄露事件波及约有35亿人,其中影响最小的事件涉及1.34亿人。
本文参照最简单的标准来衡量21世纪14起最大的数据泄露事件——数据泄露波及的人数。此外,本文还对事件原因作出了区分,是恶意目的窃取还是组织的无意间的泄露。比如,推特曾在一篇日志中泄露了3.3亿用户密码,但是却没有任何为恶意分子所利用的证据,因此便不在本文列举的事件范畴中。下文按照首字母顺序进行排列,其中包括影响对象、负责人以及组织的响应方式。
最大的数据泄露:
- Adobe
- Adult Friend Finder
- Canva
- Dubsmash
- eBay
- Equifax
- Heartland 支付系统
- 万豪国际酒店
- My Fitness Pal
- MySpace
- 网易
- 雅虎
- Zynga
Adobe
日期:2013年10月
影响:1.53亿用户记录
详细信息:在2013年10月上旬,根据安全博主Brian Krebs的披露,Adobe最初报告说,黑客窃取了将近300万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。
该月晚些时候,Adobe进行了估算,其中包括3800万“活跃用户”的ID和加密密码。Krebs报告说,几天前发布的文件“似乎包含超过1.5亿个从Adobe泄露的用户名和哈希密码对。” 数周的研究表明,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。
2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。
Adult Friend Finder
日期:2016年10月
影响:4.122亿个帐户
详细信息:该网站提供的服务较为特殊,此次数据泄露对账户所有人比较敏感。FriendFinder Network于2016年10月中旬遭到入侵,其中包括休闲转播和成人内容网站,如Adult Friend Finder,Penthouse.com,Cams.com,iCams.com和Stripshow.com。在六个数据库上,被盗数据时间跨度长达20年,具体包括了用户的名称、电子邮件地址和密码。
较弱的SHA-1哈希算法可保护大多数密码。直到LeakedSource.com在2016年11月14日发布对数据集的分析时,人们才估计其中的99%已被破解。
当时,一名代号为Revolver(推特名@1×0123)的研究人员在“Adult Friend Finder”上进行了屏幕截图,该屏幕截图显示正在触发本地文件包含漏洞(LFI)。该漏洞是在“Adult Friend Finder”所使用的生产服务器模块中发现的,他表示:“正在被利用”。
Canva
日期:2019年5月
影响:1.37亿用户帐户
详细信息:2019年5月,澳大利亚图形设计工具网站Canva遭到黑客攻击,该攻击暴露了1.37亿用户的电子邮件地址、用户名、姓名、居住城市以及使用bcrypt密码加密和散列的信息(其中,不使用社交账号登录的用户约6100万)。Canva表示,黑客设法查看但没有窃取那些带有部分信用卡和付款数据的文件。
疑似背后攻击者的Gnosticplayers,称Canva已检测到他们的攻击并关闭了其数据泄露服务器,还声称通过Google获得了用的OAuth登录令牌。
该公司确认了事件并随后通知了用户,提示他们更改密码并重置OAuth令牌。但是,根据Canva的后续帖子,包含400万个被盗Canva用户账户被破解并在网上分享,这使得尚未更改密码的用户账户失效,并通知受影响的相关用户。
eBay
日期:2014年5月
影响:1.45亿用户
详细信息:eBay报告说,攻击发生于2014年5月,泄露了其 1.45亿用户帐户,包括名称、地址、出生日期和加密密码。这家在线拍卖巨人表示,黑客使用三名公司雇员的凭据访问其网络,并具有229天的完全访问权限,这足以破坏用户数据库。
该公司要求客户更改密码。财务信息(例如信用卡号)是单独存储的,没有受到破坏。该公司当时甚至因与用户之间缺乏沟通以及密码更新过程实施不力而受到批评。
Equifax
日期:2017年7月29日
影响:1.479亿客户
详细信息:美国最大的征信机构之一Equifax于2017年9月7日表示,其中一个网站的应用程序漏洞导致数据泄露,波及约1.479亿的客户。该漏洞是在7月29日发现的,但该公司表示可能在5月中旬开始。一开始,该事件泄露了1.43亿客户的个人信息(包括社会安全号码、出生日期、地址,在某些情况下还包括驾照号码)。另外,暴露了20.9万名客户的信用卡数据。而在2017年10月,该数字增加到1.479亿。
此次事件可归咎于Equifax的许多安全性和响应失效。其中最主要的是允许攻击者访问的应用程序漏洞未修补。系统拆分不充分,使攻击者易于横向移动。Equifax也很迟才报告此次事件。
Dubsmash
日期:2018年12月
影响:1.62亿个用户帐户
详细信息:2018年12月,总部位于纽约的视频消息服务Dubsmash发生数据被盗事件,拥有1.62亿个电子邮件地址、用户名、生日以及其他个人数据,所有这些信息于次年12月在Dream Market暗网市场上出售。这些信息以部分转储形式出售,其他信息还包括MyFitnessPal(以下更多内容),MyHeritage(9200万),ShareThis,Armor Games和约会应用程序CoffeeMeetsBagel之类的东西。
Dubsmash 承认发生了信息泄露和暗网售卖信息的事件,并建议用户进行密码更改,但并未说明攻击者是如何进入或确认受影响用户的具体数字。
Heartland支付系统
日期:2008年3月
影响:暴露了1.34亿张信用卡
详细信息:泄密之时,Heartland每月为17.5万个商家(主要是中小型零售商)处理1亿笔支付卡交易。2009年1月,Visa和万事达卡从其处理过的帐户中发现可疑交易,并通知了Heartland后,发现了这次数据泄露。攻击者利用一个已知漏洞执行SQL注入攻击。有关该漏洞的问题,安全分析师已经警告零售商好几年了, SQL注入在当时是针对网站的最常见攻击形式。
由于此次数据泄露事件,支付卡行业(PCI)认为Heartland不符合其数据安全标准(DSS),并且直到2009年5月才允许其处理主要信用卡提供商的付款。该公司还支付了约1.45亿美元的欺诈性赔偿。
Heartland数据泄露事件是当局逮捕到黑客的罕见例子。联邦大陪审团于2009年起诉Albert Gonzalez和两名不知名的俄罗斯同伙。这名古巴裔美国人Gonzalez策划了偷窃信用卡和借记卡的国际犯罪活动。他于2010年3月在联邦监狱中被判20年徒刑。
日期:2012年(和2016年)
影响:1.65亿用户帐户
详细信息:LinkedIn是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn极具吸引力。但是,曾经LinkedIn也是用户数据泄露的受害者。
2012年,该公司宣布,攻击者窃取了650万个未关联的密码(Unsalted SHA-1哈希),并将其公布在俄罗斯黑客论坛上。然而,直到2016年该事件的影响范围才完全揭露。出售MySpace数据的黑客仅用5个比特币(当时约为2,000美元)就提供了约1.65亿LinkedIn用户的电子邮件地址和密码。LinkedIn承认已意识到该漏洞,并表示已重设了受影响帐户的密码。
万豪国际酒店
日期:2014-18年
影响:5亿客户
详细信息:万豪国际酒店于2018年11月宣布,黑客窃取了大约5亿客户的数据。该漏洞始于2014年,最初发现在支持喜达屋酒店品牌的系统上。在2016年万豪收购喜达屋之后,该漏洞仍留在系统中,直到2018年9月才被发现。
攻击者能够收集到客户的联系信息、护照号码、喜达屋会员顾客号码、旅行信息和其他个人信息等。相信有超过1亿客户的信用卡号和有效期被盗,但是万豪无法确定攻击者是否能够解密信用卡号。
My Fitness Pal
日期:2018年2月
影响:1.5亿用户帐户
详细信息:与Dubsmash一样,UnderArmor拥有的健身应用程序MyFitnessPal,是16个受感染并遭到大规模信息转储的网站之一,约6.17亿个客户帐户泄漏并在Dream Market暗网上出售。
2018年2月,大约1.5亿客户的用户名、电子邮件地址、IP地址、SHA-1和经过bcrypt加密的密码被盗,然后在一年后与Dubsmash等同时出售。MyFitnessPal 承认该漏洞并要求客户更改密码,但没有披露受影响的帐户数量或攻击者如何获得数据访问权限等信息。
MySpace
日期:2013年
影响:3.6亿用户帐户
详细信息:MySpace尽管早已退出社交媒体网站巨头的行列,但是在2016年再度成为新闻头条。因为有3.6亿个MySpace用户的帐户泄漏,在LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场The Real Deal 上出售,要价为6比特币(当时约为3,000美元)。
据该公司称,丢失的数据包括在2013年6月11日之前创建的部分账户电子邮件、密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。
网易
日期:2015年10月
影响:2.35亿用户帐户
详细信息:网易是163.com和126.com之类的邮箱服务提供商。据报道,大约2.35亿个网易帐户的电子邮件地址和纯文本密码被一家DoubleFlag暗网市场供应商出售。该供应商还出售了从其他企业那里获得的信息,例如腾讯的QQ.com、新浪公司和搜狐公司。据报道,网易否认有任何数据泄露行为。HaveIBeenPwned 认为这个事件是“未验证”的。
雅虎
日期:2013-14年
影响:30亿用户帐户
详细信息:雅虎于2016年9月宣布,自己是2014年里数据泄露事件最大的受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。
在2016年12月,雅虎披露了另一位攻击者自2013年以来的数据窃取行为,该攻击行为泄露了10亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数,总计包含30亿用户。
最初的数据泄露公布的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。此次泄露事件使公司价值缩水了约3.5亿美元。
Zynga
日期:2019年9月
影响:2.18亿用户帐户
详细信息:Farmville的创建者Zynga曾经是Facebook游戏界的巨头,现在仍然是移动游戏领域最大的玩家之一,在全球拥有数百万玩家。
2019年9月,一个名为Gnosticplayers的巴基斯坦黑客声称入侵了Zynga的Draw Something and Words with Friends玩家数据库,并获得了在那里注册的2.18亿个帐户的访问权限。Zynga随后证实,Facebook和Zynga帐户的电子邮件地址、Salted SHA-1哈希密码、电话号码以及用户ID被盗。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
万豪再次遭到黑客入侵,520万客人信息泄露
旅馆巨头万豪酒店在两年内第二次遭受数据泄露。这一次新事件影响了520万客人,泄漏了他们的个人信息,包括姓名,电子邮件和邮寄地址以及真实姓名。 万豪酒店的前车之鉴的影响了数十亿人口,暴露了范围广泛的个人数据,因此有些人可能认为新的违规行为造成的损害较小。 但事实上,根据酒店运营商的调查,新事件起源于以万豪品牌运营的酒店。两名雇员的登录凭据被不知名黑客进行了访问。而且按照规定,一旦发现违规,便会禁用凭据,并展开调查。 这项调查显示,这次不为人知的活动始于2020年1月中旬,直到2月下旬才被发现,这已经为网络罪犯留下了大约六周的时间来窃取数据。令人气愤的是,直到现在,这家国际酒店连锁公司才披露了该违规行为,然后通知了受影响的客户。 Marriot在一份官方声明中说,“我们的调查正在进行中,但我们目前怀疑这些信息已经被窃取:包括万豪酒店帐户的PIN密码、支付卡信息、护照信息、身份证号或驾驶执照号估计已经被泄露。” 另一方面,公开的个人隐私信息包括联系方式、姓名、地址、电子邮箱、电话号码,会员帐号和积分、性别、生日和公司信息、住宿偏好都被人在屏幕的另一侧了如指掌。 万豪酒店不得不采取措施来帮助客...
- 下一篇
新基建彰显五大网络安全新机遇
自从今年3月初中共中央政治局常务委员会提出要加快5G网络、数据中心等新型基础设施建设进度后,工信部也相继发布了《工业和信息化部关于推动5G加快发展的通知》、《关于开展产业链固链行动 推动产业链协同复工复产的通知》,对加快5G网络、物联网、大数据、人工智能、工业互联网、智慧城市等新基础设施建设提出了进一步的要求。新型基础设施建设的本质其实就是信息数字化的基础设施建设,而作为数字世界重要保障的网络安全建设就更需要紧跟新基建脚步,做好5G、人工智能、工业互联网、物联网的安全防护工作。 全面展开新基建迫在眉睫 今年初新冠疫情突然爆发,新基建的工作进展也被迫拖慢。即便如此,在中央政府安排抗击疫情工作中也多次提出要加快新基建,助力战“疫”,并藉此契机改造提升传统产业,培育壮大新兴产业。随着国内各地复工复产的全面铺开,新基建工作也必然会进入加速状态。实际上,在工信部发布的《工业和信息化部关于推动5G加快发展的通知》里已经明确提出要“加快5G网络建设进度”,“抢抓工期,最大程度消除新冠肺炎疫情影响”。 新基建背后的经济新动能 中国信通院预测,到2025年我国5G网络建设投资总额将达1.2万亿,5G建设...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装