《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 近10年來全球規(guī)模最大的十起數(shù)據(jù)泄露事件盤點

近10年來全球規(guī)模最大的十起數(shù)據(jù)泄露事件盤點

2022-11-25
來源:安全419

  從互聯(lián)網(wǎng)時代興起至今,,人們的生活方式有了很大的變化,,很多服務只需要通過一個賬戶就能輕松享受,,但從某種角度看,,這也是讓渡出一些個人隱私的結果,,尤其是在當前幾乎所有網(wǎng)絡服務的賬號都必須要綁定手機號甚至更多隱私信息的情況下才能使用,,因此這些數(shù)據(jù)信息的價值大幅提升,,成為攻擊者眼中的“肥肉”,,因此我們也看到數(shù)據(jù)泄露事件時有發(fā)生,。

  近期我們整理一些數(shù)據(jù),,總結出近10年來規(guī)模龐大的十起數(shù)據(jù)泄露事件。經(jīng)整理發(fā)現(xiàn),,雖然最大的數(shù)據(jù)泄露事件發(fā)生在接近10年前,,但更多事件都發(fā)生在2018年至今的5年內(nèi),而能夠發(fā)生大規(guī)模泄露的普遍都是大型企業(yè),,安全建設水平理應較高,,由此可見近些年來的威脅形勢的確愈加嚴峻。我國作為一個互聯(lián)網(wǎng)大國,,也是數(shù)字化轉(zhuǎn)型速度較高的國家,,也有兩起成為其中之一。

  01 雅虎

  ● 事件時間:2013年8月

  ● 事件影響:30億賬戶

  雖然事件發(fā)生在2013年8月,,但首次公開是2016年,,當時雅虎正處在被Verizon(威瑞森)收購的過程之中,據(jù)當時估計,,被黑客獲取的賬戶信息數(shù)量超過10億,,但不到一年之后,雅虎表示在該事件中泄露的用戶賬戶達到30億,。雅虎在當時的官方聲明中表示,,被盜信息內(nèi)容包括用戶名、郵箱地址,、電話號碼,、生日、以及部分用戶的安全識別問題和答案,。同時特別強調(diào)信用卡和銀行賬戶信息并沒有保存在黑客攻擊的服務器上,。

  根據(jù)當時國內(nèi)媒體調(diào)查分析,在泄露的用戶賬戶中,至少有數(shù)千萬是中國用戶,,盡管發(fā)生該事件的事件和雅虎離開中國事件大體一致,,中國的活躍用戶處在較低的水平,但考慮到很多用戶在口令方面并沒有良好的安全習慣,,因此也有可能會被進一步利用,。在Verizon完成對雅虎的收購后也加大了針對提升雅虎安全性方面的投入,根據(jù)外媒報道,,包括口令,、支付卡和銀行數(shù)據(jù)的確沒有被盜。

  02 Aadhaar(印度唯一身份識別管理局)

  ● 事件時間:2018年1月

  ● 事件影響:超11億印度公民身份及生物特征信息被泄露,。

  2018年初,,媒體報道稱有攻擊者入侵世界上最大的身份數(shù)據(jù)庫——印度Aadhaar,在該事件中,,總計泄露了超過11億印度公民的信息,,包括姓名、地址,、照片,、電話號碼和電子郵件以及包括指紋、虹膜在內(nèi)的生物特征數(shù)據(jù),。更重要的是,,由于這個由印度唯一身份識別局 (UIDAI)在2009年建立的數(shù)據(jù)庫還包含了與公民身份證號相關的銀行賬戶信息,盡管該局最初否認數(shù)據(jù)庫持有此類數(shù)據(jù),、

  據(jù)當時報道顯示,,攻擊者通過印度國有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫,Indane通過API接口連接到政府數(shù)據(jù)庫,,該接口允許應用程序檢索其他應用程序或軟件存儲的數(shù)據(jù),。不幸的是,Indane的API并未有訪問控制,,因此數(shù)據(jù)很容易受到攻擊,。在事件發(fā)生后,攻擊者通過社交媒體以低至7美元的價格出售數(shù)據(jù)使用權,。盡管安全研究人員不斷地發(fā)出告警,但印度當局仍然拖到直到2018年3月下旬才將這個易受攻擊的接口關閉,。

  03 淘寶

  ● 事件時間:2019年11月

  ● 事件影響:超11億條用戶數(shù)據(jù)遭泄露

  據(jù)中國基金報2021年6月報道,,商丘市睢陽區(qū)人民法院當時在裁判文書網(wǎng)公開了一份刑事判決書,顯示一名住在河南商丘市的本科畢業(yè)的大學生逯某自2019年11月起,,對淘寶實施了長達八個月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù),。在平臺注意到這一問題前,已經(jīng)有超過11億8千多萬條用戶信息泄露。

  報道指出,,在八個月的時間里,,一名為關聯(lián)營銷人員工作的開發(fā)人員使用自己開發(fā)的爬蟲軟件,從該平臺抓取了客戶數(shù)據(jù),,包括用戶名和手機號碼,。另一名犯罪分子利用這些信息,建了1100個微信群,,每個群90-200人不等,,每天用機器人在群里發(fā)平臺優(yōu)惠券,賺取返利,,并在短短的8個月內(nèi)獲利34萬余元,。

  04 領英(LinkedIn)

  ● 事件時間:2021年6月

  ● 事件影響:7億用戶數(shù)據(jù)

  6月22日,有黑客在暗網(wǎng)銷售領英7億條包含用戶郵箱,、姓名,、電話號碼、家庭住址,、個人和職業(yè)背景信息等內(nèi)容的用戶數(shù)據(jù),。據(jù)報道,當時領英的用戶總數(shù)量為7.56億,,如此看來,,當時其九成以上的用戶數(shù)據(jù)都慘遭暴露。不過領英隨后表示并沒有敏感的個人隱私數(shù)據(jù)被泄露,,雖然該事件的出現(xiàn)令其違反用戶服務條款,,但數(shù)據(jù)泄露本身并不存在。但據(jù)英國國家網(wǎng)絡安全委員會(NCSC)發(fā)布的警告內(nèi)容顯示,,在攻擊者發(fā)布的一份抓取數(shù)據(jù)樣本中,,包含電子郵件地址、電話號碼,、地理位置記錄,、性別和其他社交媒體細節(jié)等信息,毫無疑問,,這將為攻擊者提供大量機會,,在該數(shù)據(jù)泄露發(fā)生后制造更多的社工攻擊。

  據(jù)攻擊者自身的表述看,,該攻擊仍然是利用領英網(wǎng)站和其他網(wǎng)站的API接口所發(fā)起,,在數(shù)據(jù)轉(zhuǎn)儲過程中被抓取。

  05 微博

  ● 事件時間:2020年3月

  ● 事件影響:5.38億用戶賬戶

  2020年3月,,微博表示攻擊者獲取了其部分數(shù)據(jù)庫,,影響了5.38億微博用戶和他們的個人信息,,包括真實姓名、網(wǎng)站用戶名,、性別,、位置和電話號碼。據(jù)報道,,攻擊者隨后在暗網(wǎng)上以250美元的價格出售該數(shù)據(jù)庫,。

  微博在聲明中稱,攻擊者利用一項服務收集了公開發(fā)布的信息,,該服務旨在幫助用戶通過輸入朋友的電話號碼來定位他們的微博賬戶,,而密碼沒有受到影響。不過,,微博也承認,,如果密碼在其他賬戶上重復使用,泄露的數(shù)據(jù)可能會被用來關聯(lián)賬戶和密碼,。

  06 Facebook

  ● 事件時間:2019年4月

  ● 事件影響:5.33億用戶賬戶

  2021年4月,,有一個用戶在黑客論壇中發(fā)布了一份數(shù)量龐大的數(shù)據(jù),這些數(shù)據(jù)涉及106個國家的5.33億Facebook用戶,,包括ID,、用戶全名、位置,、生日,、個人簡介以及電子郵件地址等信息。其中來自美國(約3200萬條),、英國(約1100萬條)以及印度(約600萬條)都是受影響的主要群體,。隨后經(jīng)過研究機構驗證后,這些數(shù)據(jù)的真實性得以證實,。

  盡管Facebook在聲明中表示,,這些數(shù)據(jù)是在2019年4月被泄露的,并在當年8月就已經(jīng)修復了該漏洞,,其言外之意無外乎是宣揚該事件影響有限,,但對于用戶而言,在Facebook上面綁定的電話號碼,、郵件可不會經(jīng)常更換,,更別提那些和用戶全名、出生日期等數(shù)據(jù)了,。

  07 萬豪國際

  ● 事件時間:2018年9月

  ● 事件影響:5億用戶

  在2018年11月發(fā)布的聲明中,,萬豪國際酒店宣布其系統(tǒng)在2018年9月遭受入侵后,那些曾于2018年9月10日或之前在該酒店預訂的客戶信息或被泄露,,涉案數(shù)據(jù)約5億條,。

  萬豪國際在后期的調(diào)查中了解到,自2014年以來,,其系統(tǒng)中就一直存在未經(jīng)授權的訪問,。在這一攻擊過程中,未經(jīng)授權的一方復制并加密了信息,,隨后則采取刪除的手段,。2018年11月19日,萬豪國際成功解密了這些信息,,并確定其內(nèi)容來自喜達屋客房預訂數(shù)據(jù)庫,。報道顯示,被竊取的數(shù)據(jù)包括客人的姓名,、郵寄地址,、電話號碼、電子郵件地址,、護照號碼以及喜達屋常旅客計劃(Starwood Preferred Guest,,SPG )的賬戶信息、出生日期,、性別,、到達和離開信息、預訂日期和其他偏好,。對一些人來說,,信息還包括支付用銀行卡的卡號和到期日。

  2020年,,萬豪國際因未能保護用戶的個人數(shù)據(jù)安全,,被英國數(shù)據(jù)管理機構信息專員辦公室(ICO)罰款1840萬英鎊,值得一提的是,,如果不是因為疫情原因“打折”,,該罰款的金額應達到9900萬英鎊。

  08 雅虎

  ● 事件時間:2014年

  ● 事件影響:5億用戶

  作為整個互聯(lián)網(wǎng)世界的老牌企業(yè),,雅虎確實承受了不少的攻擊,,除了前面2013遭受的攻擊之外,在2014年它也遭受了攻擊,,而在這一事件當中,,攻擊者竊取了雅虎5億用戶的數(shù)據(jù),包括姓名,、電子郵件地址,、電話號碼和出生日期等等。不過,,直至涉案數(shù)據(jù)庫于2016年在黑市上被出售之后,,雅虎才官方公布了該事件相關細節(jié),,并表示在2014年當年就采取了補救措施,但具體如何,,誰知道呢,?畢竟2013年遭受攻擊之后,2014年仍然還有涉及如此龐大的用戶數(shù)據(jù)被泄露,,其所謂的安全“加強”能力也是可見一斑,。

  09 Friend Finder Network

  ● 事件時間:2016年10月

  ● 事件影響:4.12億用戶

  Friend Finder Network泄露的數(shù)據(jù)除了包含自身的3.39億用戶賬號信息之外,還包括其他同行業(yè)的網(wǎng)站(如聊天站等)用戶信息,,總數(shù)量達到了4.12億,,泄露的數(shù)據(jù)包括姓名,電子郵件地址和密碼等,,考慮到該網(wǎng)站的服務性質(zhì),,可以想象這些泄露的信息對于受害者的影響恐怕是巨大的。另外值得一提的是,,暴露的個人信息中,,包括大量通過弱算法SHA-1哈希加密的,根據(jù)研究人員對其數(shù)據(jù)集的分析之后,,在2016年11月發(fā)布結果顯示,,預計會有99%的密碼被破解。

  10 MySpace

  ● 事件時間:2013年

  ● 事件影響:3.6億用戶賬號

  熟悉這個社交媒體網(wǎng)站的人可能不會太年輕了,,它曾經(jīng)是當年的社交媒體網(wǎng)站巨頭之一,,但現(xiàn)在已經(jīng)沒落,但考慮到它在鼎盛時期的受歡迎程度,,也就不難想象它一旦發(fā)生用戶數(shù)據(jù)泄露,,量級也一定小不了。

  2016年,,MySpace網(wǎng)站的3.6億用戶賬號被暴露在互聯(lián)網(wǎng)上,,并在暗網(wǎng)以6個比特幣的價格進行出售,而在那個時候,,6個比特幣的價格也才大約3000美元而已,,這和3.6億的數(shù)字之間差距實在是太大了,以至于該新聞甚至成為當時不少主流媒體的頭條,。

  根據(jù)該公司的官方說法,,泄露的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺上創(chuàng)建的部分賬戶的電子郵件地址、密碼和用戶名,,并呼吁在此之前創(chuàng)建賬號的用戶能夠返回網(wǎng)站進行驗證并按照提示重置他們的密碼,。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。