在這個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界中，一次數(shù)據(jù)泄露就可能影響到數(shù)億甚至數(shù)十億人。數(shù)字化轉(zhuǎn)型進(jìn)一步推動(dòng)了數(shù)據(jù)的移動(dòng)，而隨著攻擊者加速利用日常生活中的數(shù)據(jù)依賴(lài)性，數(shù)據(jù)泄露也正隨之?dāng)U大。未來(lái)的網(wǎng)絡(luò)攻擊規(guī)模會(huì)有多大還有待考察，但正如這份21世紀(jì)最大的數(shù)據(jù)泄露清單所顯示的那樣，它們已經(jīng)達(dá)到了巨大的規(guī)模。

根據(jù)受影響的用戶(hù)、暴露的記錄或受影響的帳戶(hù)數(shù)量，我們總結(jié)了這份21世紀(jì)以來(lái)最重大的數(shù)據(jù)泄露事件清單。

在這個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界中，一次數(shù)據(jù)泄露就可能影響到數(shù)億甚至數(shù)十億人。數(shù)字化轉(zhuǎn)型進(jìn)一步推動(dòng)了數(shù)據(jù)的移動(dòng)，而隨著攻擊者加速利用日常生活中的數(shù)據(jù)依賴(lài)性，數(shù)據(jù)泄露也正隨之?dāng)U大。未來(lái)的網(wǎng)絡(luò)攻擊規(guī)模會(huì)有多大還有待考察，但正如這份21世紀(jì)最大的數(shù)據(jù)泄露清單所顯示的那樣，它們已經(jīng)達(dá)到了巨大的規(guī)模。

根據(jù)受影響的用戶(hù)、暴露的記錄或受影響的帳戶(hù)數(shù)量，我們總結(jié)了這份21世紀(jì)以來(lái)最重大的數(shù)據(jù)泄露事件清單。

1. 雅虎

時(shí)間：2013年8月；

影響：30億賬戶(hù)；

雅虎于2016年12月首次公開(kāi)宣布了這起數(shù)據(jù)泄露事件，并稱(chēng)其發(fā)生在2013年。當(dāng)時(shí)，它正處于被Verizon收購(gòu)的過(guò)程中，據(jù)估計(jì)，超過(guò)10億用戶(hù)的賬戶(hù)信息已被黑客組織訪(fǎng)問(wèn)。不到一年之后，雅虎宣布泄露的用戶(hù)賬戶(hù)的實(shí)際數(shù)字高達(dá)30億。

盡管遭到了攻擊，但與Verizon的交易還是完成了，只是成交價(jià)格有所降低。Verizon首席信息官Chandra McMahon當(dāng)時(shí)表示，“Verizon致力于問(wèn)責(zé)制和透明度的最高標(biāo)準(zhǔn)，在不斷變化的在線(xiàn)威脅環(huán)境中，我們積極努力確保用戶(hù)和網(wǎng)絡(luò)的安全。我們對(duì)雅虎的投資使該團(tuán)隊(duì)能夠繼續(xù)采取重大措施來(lái)增強(qiáng)他們的安全性，同時(shí)也能受益于Verizon的經(jīng)驗(yàn)和資源?！?/p>

后來(lái)，經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，雖然攻擊者訪(fǎng)問(wèn)了安全問(wèn)題和答案等賬戶(hù)信息，但明文密碼、支付卡和銀行數(shù)據(jù)并沒(méi)有被盜。

2. Aadhaar

時(shí)間：2018年1月；

影響：11億印度公民的身份/生物特征信息暴露；

2018年初，惡意行為者滲透了世界上最大的身份數(shù)據(jù)庫(kù)Aadhaar，泄露了超過(guò)11億印度公民的信息，包括姓名、地址、照片、電話(huà)號(hào)碼和電子郵件，以及指紋和虹膜掃描等生物特征數(shù)據(jù)。更重要的是，這個(gè)數(shù)據(jù)庫(kù)——由印度唯一識(shí)別局（UIDAI）于2009年建立——還包含與唯一12位數(shù)字相關(guān)的銀行賬戶(hù)信息。

據(jù)悉，攻擊者通過(guò)國(guó)有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫(kù)，Indane通過(guò)應(yīng)用程序編程接口連接到政府?dāng)?shù)據(jù)庫(kù)，該接口允許應(yīng)用程序檢索其他應(yīng)用程序或軟件存儲(chǔ)的數(shù)據(jù)。不幸的是，Indane的API沒(méi)有訪(fǎng)問(wèn)控制，因此數(shù)據(jù)很容易受到攻擊。之后，攻擊者通過(guò)WhatsApp群以低至7美元的價(jià)格出售了這些數(shù)據(jù)使用權(quán)。盡管安全研究人員和技術(shù)組織發(fā)出警告，但印度當(dāng)局直到2018年3月23日才將這個(gè)易受攻擊的接入點(diǎn)關(guān)閉。

3. 阿里巴巴

時(shí)間：20199年11月；

影響：11億條用戶(hù)數(shù)據(jù)；

在八個(gè)月的時(shí)間里，一名開(kāi)發(fā)人員使用自己開(kāi)發(fā)的爬蟲(chóng)軟件，從阿里巴巴（Alibaba）中文購(gòu)物網(wǎng)站淘寶上抓取了大量客戶(hù)數(shù)據(jù)，包括用戶(hù)名和手機(jī)號(hào)碼。目前看來(lái)，這名開(kāi)發(fā)人員及其雇主收集這些信息是為了自己使用，并沒(méi)有在黑市上出售。最終，兩人都被判處3年監(jiān)禁。

淘寶發(fā)言人在一份聲明中表示，“淘寶投入大量資源打擊平臺(tái)上未經(jīng)授權(quán)的抓取，因?yàn)閿?shù)據(jù)隱私和安全是最重要的。我們已經(jīng)主動(dòng)發(fā)現(xiàn)并解決了這種未經(jīng)授權(quán)的抓取行為。我們將繼續(xù)與執(zhí)法部門(mén)合作，捍衛(wèi)和保護(hù)我們用戶(hù)和合作伙伴的利益?！?/p>

4. LinkedIn

時(shí)間：2021年6月；

影響：77億用戶(hù)；

職業(yè)網(wǎng)絡(luò)巨頭領(lǐng)英（LinkedIn）在2021年6月發(fā)現(xiàn)，其7億用戶(hù)的相關(guān)數(shù)據(jù)被發(fā)布在暗網(wǎng)論壇上，影響了其90%以上的用戶(hù)群。一名自稱(chēng)為“God User”的黑客利用該網(wǎng)站（和其他網(wǎng)站）的API，通過(guò)數(shù)據(jù)抓取技術(shù)轉(zhuǎn)儲(chǔ)了約5億用戶(hù)的信息數(shù)據(jù)集。接著，他們夸口說(shuō)，他們正在出售完整的7億客戶(hù)數(shù)據(jù)庫(kù)。

盡管LinkedIn辯稱(chēng)，由于沒(méi)有敏感的個(gè)人數(shù)據(jù)被泄露，該事件只是違反了其服務(wù)條款，而不是數(shù)據(jù)泄露，但正如英國(guó)國(guó)家網(wǎng)絡(luò)安全委員會(huì)（NCSC）警告的那樣，God User發(fā)布的一份抓取數(shù)據(jù)樣本包含電子郵件地址、電話(huà)號(hào)碼、地理位置記錄、性別和其他社交媒體細(xì)節(jié)等信息，這將為惡意行為者提供大量數(shù)據(jù)，在泄密事件發(fā)生后制造令人信服的后續(xù)社交工程攻擊。

5. 新浪微博

時(shí)間：2020年3月；

影響：5.38億賬戶(hù)；

新浪微博擁有超過(guò)6億用戶(hù)，是中國(guó)最大的社交媒體平臺(tái)之一。2020年3月，該公司宣布，攻擊者獲取了其部分?jǐn)?shù)據(jù)庫(kù)，影響了5.38億微博用戶(hù)及其個(gè)人信息，包括真實(shí)姓名、網(wǎng)站用戶(hù)名、性別、位置和電話(huà)號(hào)碼。據(jù)報(bào)道，攻擊者隨后在暗網(wǎng)上以250美元的價(jià)格出售了該數(shù)據(jù)庫(kù)。

中國(guó)工業(yè)和信息化部要求微博加強(qiáng)數(shù)據(jù)安全措施，更好地保護(hù)個(gè)人信息，并在發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)通知用戶(hù)和有關(guān)部門(mén)。新浪微博在一份聲明中稱(chēng)，攻擊者利用一項(xiàng)服務(wù)——該服務(wù)旨在幫助用戶(hù)通過(guò)輸入朋友的電話(huà)號(hào)碼來(lái)定位他們的微博賬戶(hù)——收集了公開(kāi)發(fā)布的信息，但密碼并未受到影響。不過(guò)，該公司也承認(rèn)，如果密碼在其他賬戶(hù)上重復(fù)使用，泄露的數(shù)據(jù)可能會(huì)被用來(lái)關(guān)聯(lián)賬戶(hù)和密碼。

6. Facebook

時(shí)間：2019年4月；

影響：5.33億用戶(hù)；

2019年4月，來(lái)自Facebook應(yīng)用程序的兩個(gè)數(shù)據(jù)集被暴露在公共互聯(lián)網(wǎng)上。這些信息涉及5.3億多Facebook用戶(hù)，包括電話(huà)號(hào)碼、賬戶(hù)名和Facebook id。然而，兩年后（2021年4月），這些數(shù)據(jù)被免費(fèi)發(fā)布，表明圍繞這些數(shù)據(jù)有新的和真正的犯罪意圖。事實(shí)上，考慮到此次事件影響到的電話(huà)號(hào)碼數(shù)量之多，以及在暗網(wǎng)上可以輕易獲得的電話(huà)號(hào)碼，安全研究員Troy Hunt為他的“HaveIBeenPwned”入侵檢查網(wǎng)站添加了功能，允許用戶(hù)驗(yàn)證他們的電話(huà)號(hào)碼是否包含在暴露的數(shù)據(jù)集中。

7. 萬(wàn)豪國(guó)際（喜達(dá)屋）

時(shí)間：2018年9月；

影響：5億用戶(hù)；

2018年9月，萬(wàn)豪國(guó)際酒店宣布其系統(tǒng)遭到攻擊，50萬(wàn)喜達(dá)屋客人的敏感細(xì)節(jié)被曝光。在同年11月發(fā)布的一份聲明中，這家酒店巨頭表示，“2018年9月8日，萬(wàn)豪收到了來(lái)自?xún)?nèi)部安全工具的警告，稱(chēng)有人試圖訪(fǎng)問(wèn)喜達(dá)屋的客人預(yù)訂數(shù)據(jù)庫(kù)。萬(wàn)豪迅速聘請(qǐng)頂尖安全專(zhuān)家?guī)椭_定發(fā)生了什么。”

萬(wàn)豪在調(diào)查中了解到，自2014年以來(lái)，喜達(dá)屋的網(wǎng)絡(luò)一直存在未經(jīng)授權(quán)的訪(fǎng)問(wèn)。未經(jīng)授權(quán)的一方復(fù)制并加密了信息，并采取了刪除措施。2018年11月19日，萬(wàn)豪成功解密了這些信息，并確定其內(nèi)容來(lái)自喜達(dá)屋客房預(yù)訂數(shù)據(jù)庫(kù)。

復(fù)制的數(shù)據(jù)包括客人的姓名、郵寄地址、電話(huà)號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、喜達(dá)屋首選客人賬戶(hù)信息、出生日期、性別、到達(dá)和離開(kāi)信息、預(yù)訂日期和溝通偏好。對(duì)一些人來(lái)說(shuō)，信息還包括支付卡號(hào)碼和到期日，盡管這些顯然是加密的。

事件發(fā)生后，萬(wàn)豪在安全專(zhuān)家的協(xié)助下展開(kāi)了調(diào)查，并宣布計(jì)劃逐步淘汰喜達(dá)屋系統(tǒng)，并加快對(duì)其網(wǎng)絡(luò)的安全加固。該公司最終在2020年被英國(guó)數(shù)據(jù)管理機(jī)構(gòu)信息專(zhuān)員辦公室（ICO）罰款1840萬(wàn)英鎊（從最初的9900萬(wàn)英鎊減少），原因是未能保護(hù)客戶(hù)的個(gè)人數(shù)據(jù)安全。

8. 雅虎

時(shí)間：2014年；

影響：5億賬戶(hù)；

雅虎再次出現(xiàn)在榜單中。在這起事件中，國(guó)家支持的黑客竊取了雅虎5億賬戶(hù)的數(shù)據(jù)，包括姓名、電子郵件地址、電話(huà)號(hào)碼、散列密碼和出生日期。該公司早在2014年就采取了初步的補(bǔ)救措施，但直到2016年，一個(gè)被盜的數(shù)據(jù)庫(kù)在黑市上出售后，雅虎才公開(kāi)了細(xì)節(jié)。

9. Adult Friend Finder

時(shí)間：2016年10月；

影響：4.122億賬戶(hù)；

2016年10月，面向成人的社交網(wǎng)絡(luò)服務(wù)FriendFinder Network數(shù)據(jù)庫(kù)遭遇黑客入侵?？紤]到該公司提供的服務(wù)的敏感性質(zhì)——包括休閑約會(huì)和成人內(nèi)容網(wǎng)站，如adult Friend Finder, penthouse，和Stripshow.com——超過(guò)4.14億賬戶(hù)的數(shù)據(jù)泄露，包括姓名，電子郵件地址和密碼，對(duì)受害者來(lái)說(shuō)可能是特別致命的。更重要的是，絕大多數(shù)暴露的密碼都是通過(guò)弱算法SHA-1哈希的，極易被破解。

10. MySpace

時(shí)間：2013年；

影響：3.6億用戶(hù)賬號(hào)；

盡管社交媒體網(wǎng)站MySpace早已不再是曾經(jīng)的巨頭，但在2016年，3.6億用戶(hù)賬號(hào)被泄露到LeakedSource.com網(wǎng)站上，并在暗網(wǎng)市場(chǎng)the Real Deal上以6比特幣（當(dāng)時(shí)約3000美元）的價(jià)格出售，還是再次將它送上了新聞?lì)^條。

據(jù)該公司稱(chēng)，丟失的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺(tái)上創(chuàng)建的部分賬戶(hù)的電子郵件地址、密碼和用戶(hù)名。

11. 網(wǎng)易

時(shí)間：2015年10月；

影響：2.35億用戶(hù)賬號(hào)；

網(wǎng)易是163.com和126.com等郵箱服務(wù)提供商，據(jù)報(bào)道，2015年10月，暗網(wǎng)市場(chǎng)供應(yīng)商DoubleFlag出售了2.35億賬戶(hù)的電子郵件地址和明文密碼。烏云也爆料稱(chēng)，網(wǎng)易的用戶(hù)數(shù)據(jù)庫(kù)疑似泄露，影響數(shù)據(jù)總共數(shù)億條，泄露信息包括用戶(hù)名、MD5密碼、密碼提示問(wèn)題/答案（hash）、注冊(cè)IP、生日等。網(wǎng)易郵箱綁定的其他賬戶(hù)也受到波及，如iPhone用戶(hù)的Apple ID等。

但網(wǎng)易團(tuán)隊(duì)卻堅(jiān)稱(chēng)沒(méi)有發(fā)生數(shù)據(jù)泄露，并通過(guò)微博發(fā)布官方聲明，稱(chēng)郵箱被暴力破解“屬于網(wǎng)絡(luò)謠傳”。孰真孰假，愈顯撲朔迷離。

12. Court Ventures

時(shí)間：2013年10月；

影響：2億個(gè)人紀(jì)錄；

益百利（Experian）子公司Court Ventures于2013年淪為攻擊受害者，當(dāng)時(shí)一名越南男子（Hieu Minh Ngo）偽裝成新加坡私家偵探，誘騙益百利允許他訪(fǎng)問(wèn)一個(gè)包含2億份個(gè)人記錄的數(shù)據(jù)庫(kù)。最終，該男子因向世界各地的網(wǎng)絡(luò)犯罪分子出售美國(guó)居民的個(gè)人信息（包括信用卡號(hào)和社會(huì)安全號(hào)碼）而被捕。

據(jù)悉，Ngo從2007年起就開(kāi)始從事這種活動(dòng)，之后他的行為細(xì)節(jié)才得以曝光。2014年3月，他在美國(guó)新罕布什爾州地區(qū)法院承認(rèn)了包括身份欺詐在內(nèi)的多項(xiàng)指控。美國(guó)司法部當(dāng)時(shí)表示，Ngo通過(guò)出售個(gè)人數(shù)據(jù)總共賺了200萬(wàn)美元。

13. LinkedIn

時(shí)間：2012年6月；

影響：1.65億用戶(hù)；

LinkedIn也再次出現(xiàn)在名單中，這一次是因?yàn)樗?012年遭受的一次入侵，當(dāng)時(shí)它宣布有650萬(wàn)個(gè)不相關(guān)的密碼（無(wú)鹽SHA-1哈希）被攻擊者竊取，并被發(fā)布到一個(gè)俄羅斯黑客論壇上。然而，直到2016年，事件的全部細(xì)節(jié)才被披露出來(lái)。同一名出售MySpace數(shù)據(jù)的黑客被發(fā)現(xiàn)以5個(gè)比特幣（當(dāng)時(shí)約為2000美元）的價(jià)格向LinkedIn提供約1.65億用戶(hù)的電子郵件地址和密碼。LinkedIn承認(rèn)，它已經(jīng)意識(shí)到這次入侵，并表示已重置了受影響賬戶(hù)的密碼。

14. Dubsmash

時(shí)間：2018年12月；

影響：1.62億用戶(hù)賬號(hào)；

2018年12月，總部位于紐約的視頻消息服務(wù)Dubsmash稱(chēng)其1.62億個(gè)電子郵件地址、用戶(hù)名、PBKDF2密碼哈希值和出生日期等其他個(gè)人數(shù)據(jù)被盜，所有這些數(shù)據(jù)隨后在次年12月被放在暗網(wǎng)市場(chǎng)出售。。

Dubsmash承認(rèn)發(fā)生了信息泄露和出售事件，并就密碼修改提供了建議。然而，它未能說(shuō)明攻擊者是如何進(jìn)入的，也未能確認(rèn)有多少用戶(hù)受到影響。

15. Adobe

時(shí)間：2013年10月；

影響：1.53億條用戶(hù)記錄；

2013年10月初，Adobe報(bào)告稱(chēng)，黑客竊取了近300萬(wàn)份加密的客戶(hù)信用卡記錄和登錄數(shù)據(jù)。幾天后，Adobe再次更新了這一估計(jì)，稱(chēng)包括3800萬(wàn)“活躍用戶(hù)”的id和加密密碼失竊。安全博主Brian Krebs隨后報(bào)告稱(chēng)，幾天前發(fā)布的一個(gè)文件“似乎包含了超過(guò)1.5億對(duì)來(lái)自Adobe的用戶(hù)名和哈希密碼對(duì)”。數(shù)周的研究表明，黑客還暴露了客戶(hù)的姓名、密碼、借記卡和信用卡信息。

2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬(wàn)美元的訴訟費(fèi)用，并向用戶(hù)支付100萬(wàn)美元，以解決違反《客戶(hù)記錄法》（Customer Records Act）和不公平商業(yè)行為的指控。

本文翻譯自：https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html