以前,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。21世纪以来,14起最大的数据泄露事件波及约有35亿人,其中影响最小的事件涉及1.34亿人。
本文参照最简单的标准来衡量21世纪14起最大的数据泄露事件——数据泄露波及的人数。此外,本文还对事件原因作出了区分,是恶意目的窃取还是组织的无意间的泄露。比如,推特曾在一篇日志中泄露了3.3亿用户密码,但是却没有任何为恶意分子所利用的证据,因此便不在本文列举的事件范畴中。下文按照首字母顺序进行排列,其中包括影响对象、负责人以及组织的响应方式。
最大的数据泄露
Adobe
Adult Friend Finder
Canva
Dubsmash
eBay
Equifax
Heartland 支付系统
万豪国际酒店
My Fitness Pal
MySpace
网易
雅虎
Zynga
Adobe
日期:2013年10月
影响:1.53亿用户记录
详细信息:在2013年10月上旬,根据安全博主Brian Krebs的披露,Adobe最初报告说,黑客窃取了将近300万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。
该月晚些时候,Adobe进行了估算,其中包括3800万“活跃用户”的ID和加密密码。Krebs报告说,几天前发布的文件“似乎包含超过1.5亿个从Adobe泄露的用户名和哈希密码对。” 数周的研究表明,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。
2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。
Adult Friend Finder
日期:2016年10月
影响:4.122亿个帐户
详细信息:该网站提供的服务较为特殊,此次数据泄露对账户所有人比较敏感。FriendFinder Network于2016年10月中旬遭到入侵,其中包括休闲转播和成人内容网站,如Adult Friend Finder,Penthouse.com,Cams.com,iCams.com和Stripshow.com。在六个数据库上,被盗数据时间跨度长达20年,具体包括了用户的名称、电子邮件地址和密码。
较弱的SHA-1哈希算法可保护大多数密码。直到LeakedSource.com在2016年11月14日发布对数据集的分析时,人们才估计其中的99%已被破解。
当时,一名代号为Revolver(推特名@1x0123)的研究人员在“Adult Friend Finder”上进行了屏幕截图,该屏幕截图显示正在触发本地文件包含漏洞(LFI)。该漏洞是在“Adult Friend Finder”所使用的生产服务器模块中发现的,他表示:“正在被利用”。
Canva
日期:2019年5月
影响:1.37亿用户帐户
详细信息:2019年5月,澳大利亚图形设计工具网站Canva遭到黑客攻击,该攻击暴露了1.37亿用户的电子邮件地址、用户名、姓名、居住城市以及使用bcrypt密码加密和散列的信息(其中,不使用社交账号登录的用户约6100万)。Canva表示,黑客设法查看但没有窃取那些带有部分信用卡和付款数据的文件。
疑似背后攻击者的Gnosticplayers,称Canva已检测到他们的攻击并关闭了其数据泄露服务器,还声称通过Google获得了用的OAuth登录令牌。
该公司确认了事件并随后通知了用户,提示他们更改密码并重置OAuth令牌。但是,根据Canva的后续帖子,包含400万个被盗Canva用户账户被破解并在网上分享,这使得尚未更改密码的用户账户失效,并通知受影响的相关用户。
eBay
日期:2014年5月
影响:1.45亿用户
详细信息:eBay报告说,攻击发生于2014年5月,泄露了其 1.45亿用户帐户,包括名称、地址、出生日期和加密密码。这家在线拍卖巨人表示,黑客使用三名公司雇员的凭据访问其网络,并具有229天的完全访问权限,这足以破坏用户数据库。
该公司要求客户更改密码。财务信息(例如信用卡号)是单独存储的,没有受到破坏。该公司当时甚至因与用户之间缺乏沟通以及密码更新过程实施不力而受到批评。
Equifax
日期:2017年7月29日
影响:1.479亿客户
详细信息:美国最大的征信机构之一Equifax于2017年9月7日表示,其中一个网站的应用程序漏洞导致数据泄露,波及约1.479亿的客户。该漏洞是在7月29日发现的,但该公司表示可能在5月中旬开始。一开始,该事件泄露了1.43亿客户的个人信息(包括社会安全号码、出生日期、地址,在某些情况下还包括驾照号码)。另外,暴露了20.9万名客户的信用卡数据。而在2017年10月,该数字增加到1.479亿。
此次事件可归咎于Equifax的许多安全性和响应失效。其中最主要的是允许攻击者访问的应用程序漏洞未修补。系统拆分不充分,使攻击者易于横向移动。Equifax也很迟才报告此次事件。
Dubsmash
日期:2018年12月
影响:1.62亿个用户帐户
详细信息:2018年12月,总部位于纽约的视频消息服务Dubsmash发生数据被盗事件,拥有1.62亿个电子邮件地址、用户名、生日以及其他个人数据,所有这些信息于次年12月在Dream Market暗网市场上出售。这些信息以部分转储形式出售,其他信息还包括MyFitnessPal(以下更多内容),MyHeritage(9200万),ShareThis,Armor Games和约会应用程序CoffeeMeetsBagel之类的东西。
Dubsmash 承认发生了信息泄露和暗网售卖信息的事件,并建议用户进行密码更改,但并未说明攻击者是如何进入或确认受影响用户的具体数字。
Heartland支付系统
日期:2008年3月
影响:暴露了1.34亿张信用卡
详细信息:泄密之时,Heartland每月为17.5万个商家(主要是中小型零售商)处理1亿笔支付卡交易。2009年1月,Visa和万事达卡从其处理过的帐户中发现可疑交易,并通知了Heartland后,发现了这次数据泄露。攻击者利用一个已知漏洞执行SQL注入攻击。有关该漏洞的问题,安全分析师已经警告零售商好几年了, SQL注入在当时是针对网站的最常见攻击形式。
由于此次数据泄露事件,支付卡行业(PCI)认为Heartland不符合其数据安全标准(DSS),并且直到2009年5月才允许其处理主要信用卡提供商的付款。该公司还支付了约1.45亿美元的欺诈性赔偿。
Heartland数据泄露事件是当局逮捕到黑客的罕见例子。联邦大陪审团于2009年起诉Albert Gonzalez和两名不知名的俄罗斯同伙。这名古巴裔美国人Gonzalez策划了偷窃信用卡和借记卡的国际犯罪活动。他于2010年3月在联邦监狱中被判20年徒刑。
日期:2012年(和2016年)
影响:1.65亿用户帐户
详细信息:LinkedIn是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn极具吸引力。但是,曾经LinkedIn也是用户数据泄露的受害者。
2012年,该公司宣布,攻击者窃取了650万个未关联的密码(Unsalted SHA-1哈希),并将其公布在俄罗斯黑客论坛上。然而,直到2016年该事件的影响范围才完全揭露。出售MySpace数据的黑客仅用5个比特币(当时约为2,000美元)就提供了约1.65亿LinkedIn用户的电子邮件地址和密码。LinkedIn承认已意识到该漏洞,并表示已重设了受影响帐户的密码。
万豪国际酒店
日期:2014-18年
影响:5亿客户
详细信息:万豪国际酒店于2018年11月宣布,黑客窃取了大约5亿客户的数据。该漏洞始于2014年,最初发现在支持喜达屋酒店品牌的系统上。在2016年万豪收购喜达屋之后,该漏洞仍留在系统中,直到2018年9月才被发现。
攻击者能够收集到客户的联系信息、护照号码、喜达屋会员顾客号码、旅行信息和其他个人信息等。相信有超过1亿客户的信用卡号和有效期被盗,但是万豪无法确定攻击者是否能够解密信用卡号。
My Fitness Pal
日期:2018年2月
影响:1.5亿用户帐户
详细信息:与Dubsmash一样,UnderArmor拥有的健身应用程序MyFitnessPal,是16个受感染并遭到大规模信息转储的网站之一,约6.17亿个客户帐户泄漏并在Dream Market暗网上出售。
2018年2月,大约1.5亿客户的用户名、电子邮件地址、IP地址、SHA-1和经过bcrypt加密的密码被盗,然后在一年后与Dubsmash等同时出售。MyFitnessPal 承认该漏洞并要求客户更改密码,但没有披露受影响的帐户数量或攻击者如何获得数据访问权限等信息。
MySpace
日期:2013年
影响:3.6亿用户帐户
详细信息:MySpace尽管早已退出社交媒体网站巨头的行列,但是在2016年再度成为新闻头条。因为有3.6亿个MySpace用户的帐户泄漏,在LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场The Real Deal 上出售,要价为6比特币(当时约为3,000美元)。
据该公司称,丢失的数据包括在2013年6月11日之前创建的部分账户电子邮件、密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。
网易
日期:2015年10月
影响:2.35亿用户帐户
详细信息:网易是163.com和126.com之类的邮箱服务提供商。据报道,大约2.35亿个网易帐户的电子邮件地址和纯文本密码被一家DoubleFlag暗网市场供应商出售。该供应商还出售了从其他企业那里获得的信息,例如腾讯的QQ.com、新浪公司和搜狐公司。据报道,网易否认有任何数据泄露行为。HaveIBeenPwned 认为这个事件是“未验证”的。
雅虎
日期:2013-14年
影响:30亿用户帐户
详细信息:雅虎于2016年9月宣布,自己是2014年里数据泄露事件最大的受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。
在2016年12月,雅虎披露了另一位攻击者自2013年以来的数据窃取行为,该攻击行为泄露了10亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数,总计包含30亿用户。
最初的数据泄露公布的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。此次泄露事件使公司价值缩水了约3.5亿美元。
Zynga
日期:2019年9月
影响:2.18亿用户帐户
详细信息:Farmville的创建者Zynga曾经是Facebook游戏界的巨头,现在仍然是移动游戏领域最大的玩家之一,在全球拥有数百万玩家。
2019年9月,一个名为Gnosticplayers的巴基斯坦黑客声称入侵了Zynga的Draw Something and Words with Friends玩家数据库,并获得了在那里注册的2.18亿个帐户的访问权限。Zynga随后证实,Facebook和Zynga帐户的电子邮件地址、Salted SHA-1哈希密码、电话号码以及用户ID被盗。
*参考来源:Csoonline,Sandra1432编译,转载请注明来自FreeBuf.COM