以前，影響幾百萬人的數(shù)據(jù)泄露事件就能成為新聞頭條，而如今，影響數(shù)億甚至數(shù)十億的事件卻比比皆是。21世紀(jì)以來，14起最大的數(shù)據(jù)泄露事件波及約有35億人，其中影響最小的事件涉及1.34億人。

本文參照最簡單的標(biāo)準(zhǔn)來衡量21世紀(jì)14起最大的數(shù)據(jù)泄露事件——數(shù)據(jù)泄露波及的人數(shù)。此外，本文還對事件原因作出了區(qū)分，是惡意目的竊取還是組織的無意間的泄露。比如，推特曾在一篇日志中泄露了3.3億用戶密碼，但是卻沒有任何為惡意分子所利用的證據(jù)，因此便不在本文列舉的事件范疇中。下文按照首字母順序進行排列，其中包括影響對象、負(fù)責(zé)人以及組織的響應(yīng)方式。

最大的數(shù)據(jù)泄露：

• Adobe
• Adult Friend Finder
• Canva
• Dubsmash
• eBay
• Equifax
• Heartland 支付系統(tǒng)
• LinkedIn
• 萬豪國際酒店
• My Fitness Pal
• MySpace
• 網(wǎng)易
• 雅虎
• Zynga

Adobe

[[321736]]

日期：2013年10月

影響：1.53億用戶記錄

詳細(xì)信息：在2013年10月上旬，根據(jù)安全博主Brian Krebs的披露，Adobe最初報告說，黑客竊取了將近300萬個加密的客戶信用卡記錄，以及數(shù)量不確定的用戶登錄信息帳戶。

該月晚些時候，Adobe進行了估算，其中包括3800萬“活躍用戶”的ID和加密密碼。Krebs報告說，幾天前發(fā)布的文件“似乎包含超過1.5億個從Adobe泄露的用戶名和哈希密碼對。” 數(shù)周的研究表明，黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015年8月的一項協(xié)議要求Adobe支付110萬美元的法律費用，并向用戶支付賠償，金額數(shù)量并未公開，以解決違反《客戶記錄法》和不公平商業(yè)行為的指控。據(jù)報道，2016年11月支付給客戶的金額為100萬美元。

Adult Friend Finder

日期：2016年10月

影響：4.122億個帳戶

詳細(xì)信息：該網(wǎng)站提供的服務(wù)較為特殊，此次數(shù)據(jù)泄露對賬戶所有人比較敏感。FriendFinder Network于2016年10月中旬遭到入侵，其中包括休閑轉(zhuǎn)播和成人內(nèi)容網(wǎng)站，如Adult Friend Finder，Penthouse.com，Cams.com，iCams.com和Stripshow.com。在六個數(shù)據(jù)庫上，被盜數(shù)據(jù)時間跨度長達20年，具體包括了用戶的名稱、電子郵件地址和密碼。

較弱的SHA-1哈希算法可保護大多數(shù)密碼。直到LeakedSource.com在2016年11月14日發(fā)布對數(shù)據(jù)集的分析時，人們才估計其中的99%已被破解。

當(dāng)時，一名代號為Revolver(推特名@1×0123)的研究人員在“Adult Friend Finder”上進行了屏幕截圖，該屏幕截圖顯示正在觸發(fā)本地文件包含漏洞(LFI)。該漏洞是在“Adult Friend Finder”所使用的生產(chǎn)服務(wù)器模塊中發(fā)現(xiàn)的，他表示：“正在被利用”。

Canva

日期：2019年5月

影響：1.37億用戶帳戶

詳細(xì)信息：2019年5月，澳大利亞圖形設(shè)計工具網(wǎng)站Canva遭到黑客攻擊，該攻擊暴露了1.37億用戶的電子郵件地址、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息(其中，不使用社交賬號登錄的用戶約6100萬)。Canva表示，黑客設(shè)法查看但沒有竊取那些帶有部分信用卡和付款數(shù)據(jù)的文件。

疑似背后攻擊者的Gnosticplayers，稱Canva已檢測到他們的攻擊并關(guān)閉了其數(shù)據(jù)泄露服務(wù)器，還聲稱通過Google獲得了用的OAuth登錄令牌。

該公司確認(rèn)了事件并隨后通知了用戶，提示他們更改密碼并重置OAuth令牌。但是，根據(jù)Canva的后續(xù)帖子，包含400萬個被盜Canva用戶賬戶被破解并在網(wǎng)上分享，這使得尚未更改密碼的用戶賬戶失效，并通知受影響的相關(guān)用戶。

eBay

日期：2014年5月

影響：1.45億用戶

詳細(xì)信息：eBay報告說，攻擊發(fā)生于2014年5月，泄露了其 1.45億用戶帳戶，包括名稱、地址、出生日期和加密密碼。這家在線拍賣巨人表示，黑客使用三名公司雇員的憑據(jù)訪問其網(wǎng)絡(luò)，并具有229天的完全訪問權(quán)限，這足以破壞用戶數(shù)據(jù)庫。

該公司要求客戶更改密碼。財務(wù)信息(例如信用卡號)是單獨存儲的，沒有受到破壞。該公司當(dāng)時甚至因與用戶之間缺乏溝通以及密碼更新過程實施不力而受到批評。

Equifax

日期：2017年7月29日

影響：1.479億客戶

詳細(xì)信息：美國最大的征信機構(gòu)之一Equifax于2017年9月7日表示，其中一個網(wǎng)站的應(yīng)用程序漏洞導(dǎo)致數(shù)據(jù)泄露，波及約1.479億的客戶。該漏洞是在7月29日發(fā)現(xiàn)的，但該公司表示可能在5月中旬開始。一開始，該事件泄露了1.43億客戶的個人信息(包括社會安全號碼、出生日期、地址，在某些情況下還包括駕照號碼)。另外，暴露了20.9萬名客戶的信用卡數(shù)據(jù)。而在2017年10月，該數(shù)字增加到1.479億。

此次事件可歸咎于Equifax的許多安全性和響應(yīng)失效。其中最主要的是允許攻擊者訪問的應(yīng)用程序漏洞未修補。系統(tǒng)拆分不充分，使攻擊者易于橫向移動。Equifax也很遲才報告此次事件。

Dubsmash

[[321737]]

日期：2018年12月

影響：1.62億個用戶帳戶

詳細(xì)信息：2018年12月，總部位于紐約的視頻消息服務(wù)Dubsmash發(fā)生數(shù)據(jù)被盜事件，擁有1.62億個電子郵件地址、用戶名、生日以及其他個人數(shù)據(jù)，所有這些信息于次年12月在Dream Market暗網(wǎng)市場上出售。這些信息以部分轉(zhuǎn)儲形式出售，其他信息還包括MyFitnessPal(以下更多內(nèi)容)，MyHeritage(9200萬)，ShareThis，Armor Games和約會應(yīng)用程序CoffeeMeetsBagel之類的東西。

Dubsmash 承認(rèn)發(fā)生了信息泄露和暗網(wǎng)售賣信息的事件，并建議用戶進行密碼更改，但并未說明攻擊者是如何進入或確認(rèn)受影響用戶的具體數(shù)字。

Heartland支付系統(tǒng)

日期：2008年3月

影響：暴露了1.34億張信用卡

詳細(xì)信息：泄密之時，Heartland每月為17.5萬個商家(主要是中小型零售商)處理1億筆支付卡交易。2009年1月，Visa和萬事達卡從其處理過的帳戶中發(fā)現(xiàn)可疑交易，并通知了Heartland后，發(fā)現(xiàn)了這次數(shù)據(jù)泄露。攻擊者利用一個已知漏洞執(zhí)行SQL注入攻擊。有關(guān)該漏洞的問題，安全分析師已經(jīng)警告零售商好幾年了， SQL注入在當(dāng)時是針對網(wǎng)站的最常見攻擊形式。

由于此次數(shù)據(jù)泄露事件，支付卡行業(yè)(PCI)認(rèn)為Heartland不符合其數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)，并且直到2009年5月才允許其處理主要信用卡提供商的付款。該公司還支付了約1.45億美元的欺詐性賠償。

Heartland數(shù)據(jù)泄露事件是當(dāng)局逮捕到黑客的罕見例子。聯(lián)邦大陪審團于2009年起訴Albert Gonzalez和兩名不知名的俄羅斯同伙。這名古巴裔美國人Gonzalez策劃了偷竊信用卡和借記卡的國際犯罪活動。他于2010年3月在聯(lián)邦監(jiān)獄中被判20年徒刑。

LinkedIn

[[321738]]

日期：2012年(和2016年)

影響：1.65億用戶帳戶

詳細(xì)信息：LinkedIn是商務(wù)專業(yè)人士的主要社交網(wǎng)絡(luò)。對于希望進行社交工程攻擊的攻擊者來說，LinkedIn極具吸引力。但是，曾經(jīng)LinkedIn也是用戶數(shù)據(jù)泄露的受害者。

2012年，該公司宣布，攻擊者竊取了650萬個未關(guān)聯(lián)的密碼(Unsalted SHA-1哈希)，并將其公布在俄羅斯黑客論壇上。然而，直到2016年該事件的影響范圍才完全揭露。出售MySpace數(shù)據(jù)的黑客僅用5個比特幣(當(dāng)時約為2,000美元)就提供了約1.65億LinkedIn用戶的電子郵件地址和密碼。LinkedIn承認(rèn)已意識到該漏洞，并表示已重設(shè)了受影響帳戶的密碼。

萬豪國際酒店

日期：2014-18年

影響：5億客戶

詳細(xì)信息：萬豪國際酒店于2018年11月宣布，黑客竊取了大約5億客戶的數(shù)據(jù)。該漏洞始于2014年，最初發(fā)現(xiàn)在支持喜達屋酒店品牌的系統(tǒng)上。在2016年萬豪收購喜達屋之后，該漏洞仍留在系統(tǒng)中，直到2018年9月才被發(fā)現(xiàn)。

攻擊者能夠收集到客戶的聯(lián)系信息、護照號碼、喜達屋會員顧客號碼、旅行信息和其他個人信息等。相信有超過1億客戶的信用卡號和有效期被盜，但是萬豪無法確定攻擊者是否能夠解密信用卡號。

My Fitness Pal

日期：2018年2月

影響：1.5億用戶帳戶

詳細(xì)信息：與Dubsmash一樣，UnderArmor擁有的健身應(yīng)用程序MyFitnessPal，是16個受感染并遭到大規(guī)模信息轉(zhuǎn)儲的網(wǎng)站之一，約6.17億個客戶帳戶泄漏并在Dream Market暗網(wǎng)上出售。

2018年2月，大約1.5億客戶的用戶名、電子郵件地址、IP地址、SHA-1和經(jīng)過bcrypt加密的密碼被盜，然后在一年后與Dubsmash等同時出售。MyFitnessPal 承認(rèn)該漏洞并要求客戶更改密碼，但沒有披露受影響的帳戶數(shù)量或攻擊者如何獲得數(shù)據(jù)訪問權(quán)限等信息。

MySpace

日期：2013年

影響：3.6億用戶帳戶

詳細(xì)信息：MySpace盡管早已退出社交媒體網(wǎng)站巨頭的行列，但是在2016年再度成為新聞頭條。因為有3.6億個MySpace用戶的帳戶泄漏，在LeakedSource(可搜索的數(shù)據(jù)庫，其中包含被盜帳戶)和暗網(wǎng)市場The Real Deal 上出售，要價為6比特幣(當(dāng)時約為3,000美元)。

據(jù)該公司稱，丟失的數(shù)據(jù)包括在2013年6月11日之前創(chuàng)建的部分賬戶電子郵件、密碼和用戶名。根據(jù)HaveIBeenPwned的Troy Hunt的介紹，密碼存儲為SHA-1哈希，密碼的前10個字符轉(zhuǎn)換為小寫。

網(wǎng)易

日期：2015年10月

影響：2.35億用戶帳戶

詳細(xì)信息：網(wǎng)易是163.com和126.com之類的郵箱服務(wù)提供商。據(jù)報道，大約2.35億個網(wǎng)易帳戶的電子郵件地址和純文本密碼被一家DoubleFlag暗網(wǎng)市場供應(yīng)商出售。該供應(yīng)商還出售了從其他企業(yè)那里獲得的信息，例如騰訊的QQ.com、新浪公司和搜狐公司。據(jù)報道，網(wǎng)易否認(rèn)有任何數(shù)據(jù)泄露行為。HaveIBeenPwned 認(rèn)為這個事件是“未驗證”的。

雅虎

[[321739]]

日期：2013-14年

影響：30億用戶帳戶

詳細(xì)信息：雅虎于2016年9月宣布，自己是2014年里數(shù)據(jù)泄露事件最大的受害者。攻擊者竊取了5億用戶的真實姓名、電子郵件地址、出生日期和電話號碼。大多數(shù)泄露的密碼多哦為散列密碼。

在2016年12月，雅虎披露了另一位攻擊者自2013年以來的數(shù)據(jù)竊取行為，該攻擊行為泄露了10億個用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎于2017年10月修訂了這一估計數(shù)，總計包含30億用戶。

最初的數(shù)據(jù)泄露公布的時機不好，因為雅虎正在被Verizon收購，后者最終以44.8億美元的價格收購了Yahoo的核心互聯(lián)網(wǎng)業(yè)務(wù)。此次泄露事件使公司價值縮水了約3.5億美元。

Zynga

日期：2019年9月

影響：2.18億用戶帳戶

詳細(xì)信息：Farmville的創(chuàng)建者Zynga曾經(jīng)是Facebook游戲界的巨頭，現(xiàn)在仍然是移動游戲領(lǐng)域最大的玩家之一，在全球擁有數(shù)百萬玩家。

2019年9月，一個名為Gnosticplayers的巴基斯坦黑客聲稱入侵了Zynga的Draw Something and Words with Friends玩家數(shù)據(jù)庫，并獲得了在那里注冊的2.18億個帳戶的訪問權(quán)限。Zynga隨后證實，F(xiàn)acebook和Zynga帳戶的電子郵件地址、Salted SHA-1哈希密碼、電話號碼以及用戶ID被盜。