©收集研究院
在当今数据驱动的世界中,数据泄露一次可能影响数亿以至数十亿人。数字化转型增加了数据挪动的赐与,跟着进攻者操纵日常生活中的数据依靠性,数据泄露也随之扩展。
将来的收集进攻规模有多大仍然是揣测,但正如那份21 世纪更大的数据泄露清单所表白的那样,它们已经到达了浩荡的规模。
为通明起见,此列表是根据受影响的用户数、表露的笔录数或受影响的帐户数计算的。我们还区分了数据被主动窃取或歹意转发的事务与组织无意中使数据未受庇护和表露的事务,但没有明显的滥用证据。后者有意不包罗在列表中。
因而,那就是近期汗青上 15 起更大数据泄露事务的最新列表,包罗受影响者的详尽信息、责任人以及公司若何应对(截至 2021 年 7 月)。
1.Yahoo
日期:2013 年 8 月
影响:30 亿账户
确保排名第一的位置是对雅虎的进攻——在最后的违规事务发作近七年后,自表露的实在笔录数量被披露后已有四年。该公司于 2016 年 12 月初次公开公布该事务(据称发作在 2013 年)。其时,它正在被 Verizon 收买,估量已拜候了超越 10 亿客户的帐户信息由一个黑客组织。不到一年后,雅虎公布现实表露的用户账户数量为 30 亿。雅虎表达,修改后的估量其实不代表新的“平安问题”,它正在向所有“其他受影响的用户帐户”发送电子邮件。
虽然遭到了进攻,但与 Verizon 的交易仍是完成了,虽然价格有所降低。Verizon 的首席信息平安官 Chandra McMahon 其时表达:“Verizon 努力于更高原则的问责造和通明度,我们在不竭改变的在线威胁情况中积极勤奋确保我们的用户和收集的平安和保障。我们对雅虎的投资使该团队可以陆续摘取重要办法来加强其平安性,并从 Verizon 的体味和资本中受益。” 经查询拜访发现,进攻者在拜候平安问题和谜底等账户信息的同时,明文密码、付出卡和银行数据并未被窃取。
2. Aadhaar
日期:2018 年 1 月
影响:11 亿印度公民的身份/生物特征信息表露
2018 岁首年月,有动静称歹意行为者已渗入到世界上更大的身份数据库 Aadhaar,表露了超越 11 亿印度公民的信息,包罗姓名、地址、照片、德律风号码和电子邮件,以及指纹和虹膜等生物特征数据扫描。更重要的是,因为印度独一身份识别机构 (UIDAI) 于 2009 年成立的数据库还保留了与独一 12 位数字相关的银行账户信息,因而它也成为了信誉违规行为。虽然UIDAI 最后承认数据库持有此类数据
进攻者通过 Indane 的网站渗进 Aadhaar 数据库,Indane 是一家国有公用事业公司,通过利用法式编程接口毗连到政府数据库,容许利用法式检索其他利用法式或软件存储的数据。不幸的是,Indane 的 API 没有拜候掌握,因而使其数据易受进攻。黑客通过 WhatsApp 小组以低至 7 美圆的价格出卖对数据的拜候权限。虽然平安研究人员和手艺团体发出警告,但印度当局曲到 2018 年 3 月 23 日才使易受进攻的接进点下线。
3.Alibaba
日期:2019 年 11 月
影响:11 亿条用户数据
在八个月的时间里,一位为联属营销商工做的开发人员利用他创建的爬虫软件从阿里巴巴中国购物网站淘宝上挠取了客户数据,包罗用户名和手机号码。开发商和他的雇主似乎是在搜集那些信息供本身利用,并没有在暗盘上出卖,虽然两人都被判处三年徒刑。
淘宝发言人在一份声明中表达:“淘宝投进了大量资本来冲击我们平台上的未经受权的挠取,因为数据隐私和平安至关重要。我们已经主动发现并处理了那种未经受权的挠取。我们将陆续与执法部分协做,保卫和庇护我们的用户和协做伙伴的利益。”
4.LinkedIn
日期:2021 年 6 月
影响:7 亿用户
2021 年 6 月,专业收集巨头 LinkedIn 在一个暗网论坛上发布了与 7 亿用户相关的数据,影响了 90% 以上的用户群。一名自称“天主用户”的黑客操纵该网站(和其别人)的 API 利用数据挠取手艺,然后推销了大约 5 亿客户的第一个信息数据集。随后,他们吹嘘说他们正在销售完全的 7 亿客户数据库。固然 LinkedIn 辩称,因为没有表露灵敏的私家小我数据,但该事务违背了其办事条目,而不是数据泄露,但 God User 发布的挠取数据样本包罗的信息包罗电子邮件地址、德律风号码、天文位置笔录、性别和其他社交媒体细节,那将为歹意行为者供给大量数据来造造令人心服的数据,遭到英国 NCSC 的警告。
5.Sina Weibo
日期:2020 年 3 月
影响:5.38 亿账户
新浪微博拥有超越 6 亿用户,是中国更大的社交媒体平台之一。2020 年 3 月,该公司公布进攻者获取了其部门数据库,影响了 5.38 亿微博用户及其小我详尽信息,包罗实在姓名、网站用户名、性别、位置和德律风号码。据报导,进攻者随后在暗网上以 250 美圆的价格出卖了该数据库。
中国工业和信息化部 (MIIT) 要求微博加强其数据平安办法,以更好地庇护小我信息,并在发作数据平安事务时通知用户和当局。新浪微博在一份声明中辩称,进攻者通过利用旨在搀扶帮助用户通过输进伴侣的德律风号码来定位伴侣的微博帐户的办事搜集公开发布的信息,而且没有密码遭到影响。但是,它认可,假设密码在其他帐户上反复利用,则表露的数据可用于将帐户与密码相联系关系。该公司表达,它加强了其平安战术,并向有关当局陈述了细节。
6.Facebook
日期:2019 年 4 月
影响:5.33 亿用户
2019 年 4 月,据透露,来自 Facebook 利用法式的两个数据集已表露在公共互联网上。那些信息涉及超越 5.3 亿 Facebook 用户,包罗德律风号码、账户名和 Facebook ID。然而,两年后(2021 年 4 月),数据被免费发布,表白围绕数据的新的和实在的立功企图。事实上,鉴于该事务招致大量德律风号码遭到影响而且在暗网上随时可用,平安研究员 Troy Hunt 为他的 HaveIBeenPwned (HIBP) 违规凭证查抄网站添加了功用,容许用户验证他们的德律风能否数字已包罗在公开的数据集中。
“我历来没有诡计让德律风号码可搜刮,”亨特在博客文章中写道。“我对此的立场是,因为良多原因,它没有意义。Facebook 数据改动了那一切。有超越 5 亿个德律风号码,但只要几百万个电子邮件地址,因而超越 99% 的人在本应遭到冲击时却错过了。”
7.Marriott International (Starwood)
日期:2018 年 9 月
影响:5 亿客户
万豪国际酒店在 2018 年 9 月的系统遭到进攻后,公布表露属于 50 万喜达屋客人的灵敏细节。在同年 11 月颁发的一份声明中,那家酒店巨头表达:“2018 年 9 月 8 日,万豪收到来自内部平安东西的关于试图拜候喜达屋客人预订数据库的警报。万豪敏捷礼聘了领先的平安专家来搀扶帮助确定发作了什么。”
万豪在查询拜访期间得悉,自 2014 年以来,喜达屋收集遭到未经受权的拜候。2018 年 11 月 19 日,万豪可以解密信息并确定内容来自喜达屋来宾预订数据库,”声明填补说。
复造的数据包罗客人姓名、邮寄地址、德律风号码、电子邮件地址、护照号码、喜达屋首选客人帐户信息、出生日期、性别、抵达和分开信息、预订日期和通信偏好。关于一些人来说,那些信息还包罗付出卡号和到期日期,虽然那些显然是加密的。
万豪在平安专家的协助下停止了一项查询拜访,并公布方案逐渐裁减喜达屋系统并加快其收集的平安加强。该公司最末因未能庇护客户小我数据的平安而于 2020 年被英国数据治理机构信息专员办公室 (ICO)罚款 1840万英镑(从 9900 万英镑削减)。
8.Yahoo
日期:2014 年
影响:5 亿账户
在此列表中第二次呈现的是雅虎,它在 2014 年遭受了与上述 2013 年的进攻差别的进攻。在那种情状下,国度帮助的演员从 5 亿个账户中窃取了数据,包罗姓名、电子邮件地址、德律风号码、散列密码和出生日期。该公司在 2014 年摘取了初步弥补办法,但曲到 2016 年,在被盗数据库在暗盘上出卖后,雅虎才公开详尽信息。
9.Adult Friend Finder
日期:2016 年 10 月
影响:4.122 亿账户
面向成人的社交收集办事 FriendFinder Network 在 2016 年 10 月被收集窃贼窃取的六个数据库中拥有 20 年的用户数据。鉴于该公司供给的办事的灵敏性——包罗休闲联播和成人内容网站像 Adult Friend Finder、Penthouse.com 和 Stripshow.com - 超越 4.14 亿个账户的数据泄露,包罗姓名、电子邮件地址和密码,可能对受害者形成特殊严峻的冲击。更重要的是,绝大大都表露的密码都是通过臭名远扬的弱算法 SHA-1 停止散列处置的,到 LeakedSource.com 于 2016 年 11 月 14 日发布对数据集的阐发时,估量此中 99% 的密码已被破解。
10.MySpace
日期:2013 年
影响:3.6 亿用户帐户
虽然它早已不再是曾经的强国,但社交媒体网站 MySpace 在 2016 年成为头条新闻,因为 3.6 亿用户帐户被泄露到 LeakedSource.com 并在暗网市场 The Real Deal 上以要价出卖6 个比特币(其时约为 3,000 美圆)。
据该公司称,丧失的数据包罗“在 2013 年 6 月 11 日之前在旧的 Myspace 平台上创建的部门帐户的电子邮件地址、密码和用户名。为了庇护我们的用户,我们已将 2013 年 6 月 11 日之前在旧版 Myspace 平台上创建的受影响帐户的所有用户密码做废。那些返回 Myspace 的用户将被提醒验证他们的帐户并根据阐明重置密码。”
据信,密码存储为密码前 10 个字符转换为小写的 SHA-1 哈希值。
11.NetEase
日期:2015 年 10 月
影响:2.35 亿用户帐户
据报导,通过 163.com 和 126.com 等供给邮箱办事的网易在 2015 年 10 月遭遇了违规,其时暗网市场赐与商 DoubleFlag 出卖了与 2.35 亿个账户相关的电子邮件地址和明文密码。网易坚称没有发作数据泄露事务,至今 HIBP 表达:“固然有证据表白数据自己是合法的(多个 HIBP 订阅者确认他们利用的密码在数据中),但因为难以重点验证中国人它已被标识表记标帜为“未验证”。
12.Court Ventures (Experian)
日期:2013 年 10 月
影响:2 亿条小我笔录
Experian 子公司 Court Ventures 在 2013 年成为受害者,其时一名越南须眉假扮新加坡私家查询拜访员,拐骗其拜候包罗 2 亿条小我笔录的数据库。Hieu Minh Ngo 从 2007 年起头向全球收集立功分子出卖美国居民的小我信息(包罗信誉卡号和社会保险号)被捕后,他的进攻细节才曝光。2014 年 3 月,他在美国新罕布什尔州处所法院对多项指控认功,包罗身份欺诈。美国司法部其时表达,Ngo 通过出卖小我数据总共赚了 200 万美圆。
13.LinkedIn
日期:2012 年 6 月
影响:1.65 亿用户
第二次呈现在此列表中的是 LinkedIn,那一次是指它在 2012 年遭受的一次泄露,其时它公布 650 万个未联系关系的密码(未加盐的 SHA-1 哈希)被进攻者窃取并发布到俄罗斯黑客论坛。然而,曲到 2016 年,事务的全数范畴才被揭露。统一名出卖 MySpace 数据的黑客被发现以 5 个比特币(其时约为 2,000 美圆)的价格供给约 1.65 亿 LinkedIn 用户的电子邮件地址和密码。LinkedIn认可它已经意识到了违规行为,并表达它已经重置了受影响帐户的密码。
14.Dubsmash
日期:2018 年 12 月
影响:1.62 亿用户帐户
2018 年 12 月,总部位于纽约的视频动静办事 Dubsmash 有 1.62 亿个电子邮件地址、用户名、PBKDF2 密码哈希和其他小我数据(例如出生日期)被盗,然后所有那些数据都在 Dream Market 暗网上出卖次年十二月上市。那些信息做为搜集的转储的一部门出卖,还包罗 MyFitnessPal(更多内容见下文)、MyHeritage(9200 万)、ShareThis、Armor Games 和约会利用法式 CoffeeMeetsBagel 等。
Dubsmash 认可发作了信息泄露和出卖的情状,并供给了有关更改密码的定见。但是,它没有阐明进攻者是若何进进的,也没有确认有几用户遭到影响。
15.Adobe日期:2013 年 10 月
影响:1.53 亿用户笔录
2013 年 10 月上旬,Adobe 报导黑客窃取了近 300 万个加密的客户信誉卡笔录和未确定命量的用户帐户的登录数据。几天后,Adobe 增加了对 3800 万“活泼用户”的 ID 和加密密码的估量。平安博主布赖恩·克雷布斯随后报导称,几天前发布的一份文件“似乎包罗来自 Adobe 的超越 1.5 亿个用户名和散列密码对”。数周的研究表白,黑客还表露了客户姓名、密码、借记卡和信誉卡信息。2015 年 8 月的一项协议要求 Adobe 向用户付出 110 万美圆的法令费用和未披露的金额,以处理违背《客户笔录法》和不公允贸易行为的索赔。据报导,2016 年 11 月,付出给客户的金额为 100 万美圆。