安全從業(yè)者從專業(yè)角度出發(fā)票選出14起最嚴(yán)重?cái)?shù)據(jù)安全事件。

數(shù)據(jù)安全事故每天都在上演，統(tǒng)計(jì)數(shù)據(jù)分分秒秒在增加記錄條目。但是，重大數(shù)據(jù)泄露和小型數(shù)據(jù)安全事故之間的差別在哪里呢?請(qǐng)看下列本世紀(jì)最重大數(shù)據(jù)泄露清單，你會(huì)發(fā)現(xiàn)其中關(guān)鍵。

該清單未必基于被泄記錄數(shù)量，而是根據(jù)數(shù)據(jù)泄露事件對(duì)公司、保險(xiǎn)公司、用戶或賬戶持有者造成的破壞或風(fēng)險(xiǎn)定出的。某些案例中，口令和其他信息收到加密措施良好保護(hù)，因而口令重置就消弭了大部分風(fēng)險(xiǎn)。

1. 雅虎

[[194434]]

時(shí)間：2013-2014

影響：15億用戶賬戶

2016年9月，在與威瑞森談判收購(gòu)事宜期間，該曾經(jīng)的互聯(lián)網(wǎng)巨頭宣稱，在2014年時(shí)成為了史上最大數(shù)據(jù)泄露事件受害者，泄露事件有可能是國(guó)家支持黑客所為。該攻擊染指了5億用戶的真實(shí)姓名、電郵地址、生日和電話號(hào)碼等信息。雅虎稱，絕大部分涉事口令都經(jīng)強(qiáng)壯的bcrypt算法進(jìn)行了散列加密。

幾個(gè)月后，該年12月，隨著2013年另一黑客組織盜走10億賬戶的事件被披露，早前的記錄被刷新。除了姓名、生日、郵箱地址和口令并未像2014年被盜賬戶一樣保護(hù)良好，這次事件中，安全問題和答案也沒能保住。

該泄露事件直接造成雅虎拋售價(jià)格縮水3.5億美元的估值，最終以44.8億美元被威瑞森收購(gòu)了其核心互聯(lián)網(wǎng)業(yè)務(wù)。收購(gòu)協(xié)議要求兩家公司共同承擔(dān)數(shù)據(jù)泄露事件的監(jiān)管和法律責(zé)任。收購(gòu)案并未包含阿里巴巴集團(tuán)控股的413億美元投資和雅虎日本的93億美元所有者權(quán)益。

雅虎成立于1994年，曾被估值1000億美元。收購(gòu)案后，該公司更名為Altaba。

2. Adult Friend Finder

時(shí)間：2016年10月

影響：超4.122億賬戶

FriendFinder Network 包含約炮和成人內(nèi)容網(wǎng)站，比如 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com，約在2016年10月中旬被黑。黑客從6個(gè)數(shù)據(jù)庫(kù)中收集到了20年的數(shù)據(jù)，包含姓名、郵箱地址和口令。

大多數(shù)口令僅用SHA-1散列算法加密，意味著99%的口令，在11月14號(hào)LeakedSource.com公布了對(duì)整個(gè)數(shù)據(jù)集的分析后，都被破解了。

推特賬號(hào)1x0123，其他圈子昵稱Revolver(左輪手槍)的研究人員，貼出了取自 Adult Friend Finder 的截屏，顯示本地文件包含漏洞(LFI)被觸發(fā)。該漏洞是在 Adult Friend Finder 所用產(chǎn)品服務(wù)器的一個(gè)模塊中被發(fā)現(xiàn)的。

AFF副總裁發(fā)表了聲明，稱：“我們確實(shí)發(fā)現(xiàn)也修復(fù)了通過(guò)注入漏洞訪問源代碼的相關(guān)功能。”

3. eBay

[[194435]]

時(shí)間：2014年5月

影響：1.45億用戶

該在線拍賣巨頭報(bào)告稱，2014年5月的一場(chǎng)網(wǎng)絡(luò)攻擊，致使其全部1.45億用戶的姓名、地址、生日和加密口令被曝光。該公司稱，黑客利用3名公司雇員的憑證侵入公司網(wǎng)絡(luò)，在駐留公司網(wǎng)絡(luò)內(nèi)部的229天時(shí)間里，獲取到了該用戶數(shù)據(jù)庫(kù)。

該公司請(qǐng)求客戶修改口令，但表示，金融信息，比如信用卡號(hào)，是被單獨(dú)存儲(chǔ)的，且并未被黑。當(dāng)時(shí)，該公司被批缺乏與其用戶的溝通，口令更新過(guò)程也很糟糕。

CEO約翰·多納休稱，該數(shù)據(jù)泄露事件導(dǎo)致了用戶活動(dòng)減少，但基本沒有影響其基線——第二季度盈利增長(zhǎng)13%，收益增長(zhǎng)6%，與分析師與其相符合。

4. 哈特蘭支付系統(tǒng)公司

時(shí)間：2008年3月

影響：哈特蘭的數(shù)據(jù)被黑客經(jīng)由SQL注入方法安裝了間諜軟件，導(dǎo)致1.34億信用卡信息被曝光。

事發(fā)當(dāng)時(shí)，哈特蘭每月要負(fù)責(zé)處理17.5萬(wàn)商戶的1億支付卡交易——多為中小型零售商戶。直到2009年1月，Visa和MasterCard通報(bào)哈特蘭其處理賬戶中有可疑交易，數(shù)據(jù)泄露才被發(fā)現(xiàn)。

造成后果包括哈特蘭被判違反支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)( PCI DSS )，2009年5月前不準(zhǔn)處理主流信用卡供應(yīng)商的支付。該公司賠付了約1.45億欺詐支付補(bǔ)償金。

聯(lián)邦大陪審團(tuán)在2009年起訴艾爾伯特·岡薩雷斯和2名俄羅斯共犯。岡薩雷斯是古巴裔美國(guó)人，被控策劃了這起盜取信用卡借記卡的跨國(guó)犯罪活動(dòng)。2010年他被判在聯(lián)邦監(jiān)獄服刑20年。SQL注入漏洞廣為人知，安全分析師數(shù)年前就早已警告過(guò)零售商。然而，很多面向Web的應(yīng)用中該漏洞一直持續(xù)，讓SQL注入成為了當(dāng)時(shí)最常見的網(wǎng)站攻擊形式。

5. 塔吉特百貨

[[194437]]

時(shí)間：2013年12月

影響：1.1億人的信用卡信息和聯(lián)系人信息

該數(shù)據(jù)泄露實(shí)際上從感恩節(jié)就開始了，但直到數(shù)周后才被發(fā)現(xiàn)。零售巨頭塔吉特最初宣稱，黑客通過(guò)第三方暖通空調(diào)供應(yīng)商訪問到其銷售終端(POS)支付卡讀取器，收集了約4000萬(wàn)信用卡和借記卡號(hào)。

然而，2014年1月，該公司提升了估計(jì)數(shù)字，報(bào)告稱有7000萬(wàn)客戶的個(gè)人可識(shí)別信息(PII)被泄。其中包括有全名、地址、郵箱和電話號(hào)碼。最終估測(cè)是，該數(shù)據(jù)泄露影響到1.1億客戶。

塔吉特CIO于2014年3月辭職，CEO在5月辭職。該公司最近估測(cè)，該起數(shù)據(jù)泄露造成的損失高達(dá)1.62億美元。

該公司被認(rèn)為做出了重大安全改進(jìn)。但是，前趨勢(shì)科技CSO，現(xiàn) Strategic Cyber Ventures CEO 湯姆·凱勒曼，將一項(xiàng)于2017年5月宣布的和解協(xié)議(給了塔吉特180天做出具體安全整改)，描述為“象征性的懲罰”，“代表著過(guò)時(shí)的安全模式。”——因?yàn)檎囊蠹性谧柚构粽?，而不是改進(jìn)事件響應(yīng)上。

6. TJX公司

時(shí)間：2006年12月

影響：9400萬(wàn)信用卡暴露

事發(fā)原因眾說(shuō)紛紜。一個(gè)猜測(cè)是，某黑客組織利用了脆弱數(shù)據(jù)加密系統(tǒng)，從邁阿密兩家Marshall商店的無(wú)線傳輸中盜取了信用卡數(shù)據(jù)。另一種說(shuō)法是，黑客通過(guò)店內(nèi)可電子化申請(qǐng)崗位的查詢機(jī)攻入TJX網(wǎng)絡(luò)。

艾爾伯特·岡薩雷斯，哈特蘭數(shù)據(jù)泄露事件中的傳奇黑客頭子，因帶領(lǐng)小弟盜取信用卡而被判入獄20年，另有11名共犯被逮捕。岡薩雷斯曾是hi美國(guó)特勤局的線人，犯罪時(shí)工資標(biāo)準(zhǔn)是7.5萬(wàn)美元。政府在其判決備忘中宣稱，涉事公司、銀行和保險(xiǎn)商損失了近2億美元。

7. 摩根大通銀行

[[194439]]

時(shí)間：2014年7月

影響：7600萬(wàn)家庭和700萬(wàn)小企業(yè)

2014年夏天，該美國(guó)最大銀行，淪為了侵害美國(guó)半數(shù)家庭和700萬(wàn)小企業(yè)的數(shù)據(jù)泄露案受害者。據(jù)美國(guó)證券交易委員會(huì)文件透露，被泄數(shù)據(jù)包括聯(lián)系人信息——姓名、地址、電話號(hào)碼和郵箱地址，以及用戶的內(nèi)部信息。

該銀行稱，客戶資金并未被盜，沒有證據(jù)顯示這些受影響客戶的賬戶信息——賬戶號(hào)、口令、用戶ID、生日或社會(huì)安全號(hào)，在攻擊中被泄露。

而且，黑客據(jù)稱有能力在該銀行90多臺(tái)服務(wù)器上獲取到“root”權(quán)限，意味著他們可以進(jìn)行包括轉(zhuǎn)賬和注銷賬戶在內(nèi)的各種行動(dòng)。SANS研究所稱，摩根大通每年的安全開支有2.5億美元。

2015年11月，聯(lián)邦政府起訴了4名男子，罪名是摩根大通黑客案和其他金融機(jī)構(gòu)黑客行為。格里·沙龍、約書亞·薩繆爾·艾倫和齊夫·奧蘭斯坦面臨23項(xiàng)指控，包括未授權(quán)計(jì)算機(jī)訪問、身份盜竊、證券欺詐和洗錢等為他們賺取了1億美元的犯罪活動(dòng)。幫助這3人突破金融機(jī)構(gòu)網(wǎng)絡(luò)的第4名黑客至今未被發(fā)現(xiàn)。

沙龍和奧蘭斯坦都是以色列人，在2016年6月拒不認(rèn)罪。艾倫在去年12月于紐約肯尼迪機(jī)場(chǎng)被抓。

8. 美國(guó)人事管理局(OPM)

時(shí)間：2012-2014

影響：2200萬(wàn)在職和退休聯(lián)邦雇員個(gè)人信息

黑客據(jù)稱來(lái)自中國(guó)，自2012年起就進(jìn)駐了OPM的電腦系統(tǒng)，但直到2014年3月20日才被檢測(cè)出來(lái)。另一黑客或黑客組織，在2014年5月通過(guò)第三方承包商進(jìn)入OPM，但直到近1年后才被發(fā)現(xiàn)。入侵者滲漏了大量個(gè)人數(shù)據(jù)，包括很多詳細(xì)的安全調(diào)查信息和指紋數(shù)據(jù)。

去年，前FBI局長(zhǎng)詹姆斯·科米談及所謂SF-86表里所含信息——該表用于執(zhí)行雇員安全調(diào)查的背景審查。他說(shuō)：“我的SF-86表列出了我自18歲起生活過(guò)的每一處地方，我的每次海外旅行，我全部的家人及其住址。所以，不僅僅是我個(gè)人的身份受影響。我有兄弟姐妹，我有5個(gè)孩子。他們的信息都在上面。”

眾議院監(jiān)督與政府改革委員會(huì)在去年秋天發(fā)布了一份報(bào)告，報(bào)告標(biāo)題即總結(jié)了OPM數(shù)據(jù)泄露案：《OPM數(shù)據(jù)泄露：政府是怎么危及我們的國(guó)家安全超過(guò)一代人以上的》。

9. 索尼 PlayStation Network

時(shí)間：2011年4月20日

影響：7700萬(wàn) PlayStation Network 賬戶被黑;網(wǎng)站下線1個(gè)月，估算損失1.71億美元。

被視為有史以來(lái)最糟糕的游戲社區(qū)數(shù)據(jù)泄露事件。超7700萬(wàn)受影響賬戶中，1200萬(wàn)個(gè)賬戶的信用卡被破解。黑客得到了賬戶全名、口令、郵箱、家庭地址、購(gòu)買歷史、信用卡號(hào)和PSN/Qriocity登錄憑證。這足以讓每一個(gè)優(yōu)秀安全人員驚異：“假若索尼的情況就是這么糟糕，那其他坐擁上千萬(wàn)用戶數(shù)據(jù)記錄的跨國(guó)公司情況又怎樣呢?”應(yīng)提醒IT安全從業(yè)者，要在整個(gè)公司里持續(xù)發(fā)現(xiàn)并應(yīng)用安全控制。對(duì)客戶而言，則要注意自己交出數(shù)據(jù)的對(duì)象。訪問在線游戲或其他虛擬資產(chǎn)或許不值這個(gè)價(jià)碼。

2014年，在關(guān)于該數(shù)據(jù)泄露的一場(chǎng)集體訴訟中，索尼同意支付1500萬(wàn)美元的和解金。

10. Anthem

時(shí)間：2015年2月

影響：7880萬(wàn)客戶和前客戶個(gè)人信息被盜

Anthem是美國(guó)第二大醫(yī)療保險(xiǎn)公司，舊稱WellPoint。網(wǎng)絡(luò)攻擊中，該公司當(dāng)前客戶和前客戶的姓名、地址、社會(huì)安全號(hào)、生日和雇傭歷史被曝，客戶身份岌岌可危。

《財(cái)富》雜志在1月份報(bào)道，全國(guó)調(diào)查結(jié)論顯示，某外國(guó)政府可能招募黑客執(zhí)行了這一起醫(yī)療行業(yè)歷史上最大型的數(shù)據(jù)泄露案。據(jù)稱，數(shù)據(jù)泄露在事發(fā)前1年就已開始，起因是Anthem子公司里某用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚郵件中的一個(gè)鏈接。該數(shù)據(jù)泄露的總損失尚無(wú)法估量，但應(yīng)該不會(huì)少于1億美元。

2016年，Anthem稱，沒有證據(jù)表明客戶數(shù)據(jù)被出售、共享或用于欺詐。據(jù)說(shuō)，信用卡和醫(yī)療信息也沒有被拿走。

11. RSA Security

時(shí)間：2011年3月

影響：可能有4000萬(wàn)雇員記錄被盜

該安全巨頭SecurID身份驗(yàn)證令牌信息被盜的影響尚在討論之中。作為易安信旗下安全部門，RSA稱，兩個(gè)獨(dú)立的黑客團(tuán)伙與某外國(guó)政府協(xié)作，發(fā)起了針對(duì)RSA雇員的網(wǎng)絡(luò)釣魚攻擊，假冒該公司雇員信任的人，滲透進(jìn)公司網(wǎng)絡(luò)。

去年7月，易安信報(bào)告稱其在修復(fù)上至少花費(fèi)了6600萬(wàn)美元。RSA高管透露，客戶的網(wǎng)絡(luò)沒有遭到入侵。但eIQnetworks的副總裁兼首席安全合規(guī)官并不買賬，稱：“RSA最開始模糊攻擊方法和被盜數(shù)據(jù)的做法于事無(wú)補(bǔ)。后續(xù)對(duì)洛克希德馬丁、L3和其他公司的攻擊只不過(guò)是時(shí)間早晚問題，而這些攻擊據(jù)說(shuō)都或多或少受到RSA數(shù)據(jù)泄露的影響。除此之外還有心理上的損害。甚至RSA這種久負(fù)盛名的安全公司，竟然都會(huì)被黑，信心打擊太嚴(yán)重。

珍妮弗·巴尤，獨(dú)立信息安全顧問間美國(guó)史蒂文斯理工學(xué)院教授，在2012年就曾公開表示，“該數(shù)據(jù)泄露是對(duì)安全產(chǎn)品行業(yè)的重大打擊，因?yàn)镽SA簡(jiǎn)直就是安全行業(yè)的標(biāo)桿。他們是典型的安全廠商。這樣的廠商竟然也是脆弱點(diǎn)，可謂石破天驚。我不覺得有人會(huì)對(duì)此無(wú)所謂。”

12. VeriSign

時(shí)間：貫穿2010年

影響：未披露信息被盜

安全專家一致認(rèn)為，VeriSign數(shù)據(jù)泄露事件中最麻煩的事，不是黑客得到了特權(quán)系統(tǒng)和信息的訪問權(quán)，而是該公司處理事件的方式——很糟糕。VeriSign從未公布過(guò)受到的攻擊。這些安全事件直到2011年才曝光，而且僅是通過(guò)一份美國(guó)證券交易委員會(huì)(SEC)強(qiáng)制的文件歸檔。

VeriSign在SEC季報(bào)中掩埋了信息，弄得好像是普通的趣聞似的。

VeriSign稱沒有關(guān)鍵系統(tǒng)被攻破，比如DNS服務(wù)器或證書服務(wù)器，但確實(shí)提到：“我們的一小部分計(jì)算機(jī)和服務(wù)器上的信息受到了訪問。”該公司至今沒報(bào)告是哪些信息被盜，又會(huì)對(duì)該公司及其客戶造成什么影響。

13. 家得寶

[[194444]]

時(shí)間：2014年9月

影響：5600萬(wàn)可信用卡/借記卡信息被盜

該硬件與建筑用品零售商在9月宣布了已懷疑數(shù)周的事件——起始于4月或5月，其POS系統(tǒng)遭惡意軟件感染。該公司之后稱，調(diào)查結(jié)果顯示，有一獨(dú)特的定制惡意軟件偽裝成反病毒軟件安裝到其POS系統(tǒng)中。

2016年3月，該公司同意支付至少1950萬(wàn)美元補(bǔ)償美國(guó)客戶，其中有1300萬(wàn)美元基金用于補(bǔ)償顧客的資費(fèi)損失，650萬(wàn)美元投入一年半的持卡人身份防護(hù)服務(wù)。

和解覆蓋了約4000萬(wàn)支付卡數(shù)據(jù)被盜的受害者，以及5200萬(wàn)郵箱地址被盜的人。這兩種分類有部分重疊。該公司估算，此次數(shù)據(jù)泄露的稅前開銷約為1.61億美元，包括消費(fèi)者和解和預(yù)期的保險(xiǎn)賠償金。

14. Adobe

時(shí)間：2013年10月

影響：3800萬(wàn)用戶記錄

最早在10月初被安全博主布萊恩·克雷布斯報(bào)道，花了數(shù)周時(shí)間查清泄露范圍和內(nèi)容。該公司最初報(bào)告稱，黑客盜取了近300萬(wàn)加密客戶信用卡記錄，以及數(shù)量未知的用戶賬戶登錄數(shù)據(jù)。

10月末，Adobe稱，攻擊者獲取了3800萬(wàn)“活躍用戶”的ID和加密口令。但克雷布斯報(bào)道稱，就在數(shù)天前有份文件被貼到了網(wǎng)上，似乎包含了超過(guò)1.5億取自Adobe的用戶名和散列加密口令對(duì)。數(shù)周的研究過(guò)后，最終結(jié)論是，除了幾個(gè)Adobe產(chǎn)品的源代碼，該次攻擊還暴露了客戶姓名、ID、口令和借記卡/信用卡信息。

2015年8月，Adobe被要求支付110萬(wàn)美元的訴訟費(fèi)和未公開數(shù)目的用戶賠款，以平息違反《客戶記錄法案》和不正當(dāng)商業(yè)行為的指控。2016年11月，支付給客戶的賠償金據(jù)稱有100萬(wàn)美元。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文