21世纪以来14起最大的数据泄露事件-风君雪科技博客

  以前,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。21 世纪以来,14 起最大的数据泄露事件波及约有 35 亿人,其中影响最小的事件涉及 1.34 亿人。

  本文参照最简单的标准来衡量 21 世纪 14 起最大的数据泄露事件——数据泄露波及的人数。此外,本文还对事件原因作出了区分,是恶意目的窃取还是组织的无意间的泄露。比如,推特曾在一篇日志中泄露了 3.3 亿用户密码,但是却没有任何为恶意分子所利用的证据,因此便不在本文列举的事件范畴中。下文按照首字母顺序进行排列,其中包括影响对象、负责人以及组织的响应方式。

  最大的数据泄露:

  1. Adobe
  2. Adult Friend Finder
  3. Canva
  4. Dubsmash
  5. eBay
  6. Equifax
  7. Heartland 支付系统
  8. LinkedIn
  9. 万豪国际酒店
  10. My Fitness Pal
  11. MySpace
  12. 网易
  13. 雅虎
  14. Zynga

  Adobe

21世纪以来14起最大的数据泄露事件-风君雪科技博客

日期:2013 年 10 月

影响:1.53 亿用户记录

详细信息:在 2013 年 10 月上旬,根据安全博主 Brian Krebs 的披露,Adobe 最初报告说,黑客窃取了将近 300 万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。

该月晚些时候,Adobe 进行了估算,其中包括 3800 万“活跃用户”的 ID 和加密密码。Krebs 报告说,几天前发布的文件“似乎包含超过 1.5 亿个从 Adobe 泄露的用户名和哈希密码对。” 数周的研究表明,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。

2015 年 8 月的一项协议要求 Adobe 支付 110 万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016 年 11 月支付给客户的金额为 100 万美元。

  Adult Friend Finder

日期:2016 年 10 月

影响:4.122 亿个帐户

详细信息:该网站提供的服务较为特殊,此次数据泄露对账户所有人比较敏感。FriendFinder Network 于 2016 年 10 月中旬遭到入侵,其中包括休闲转播和成人内容网站,如 Adult Friend Finder,Penthouse.com,Cams.com,iCams.com 和 Stripshow.com。在六个数据库上,被盗数据时间跨度长达 20 年,具体包括了用户的名称、电子邮件地址和密码。

较弱的 SHA-1 哈希算法可保护大多数密码。直到 LeakedSource.com 在 2016 年 11 月 14 日发布对数据集的分析时,人们才估计其中的 99% 已被破解。

当时,一名代号为 Revolver (推特名@1×0123) 的研究人员在“Adult Friend Finder”上进行了屏幕截图,该屏幕截图显示正在触发本地文件包含漏洞(LFI)。该漏洞是在“Adult Friend Finder”所使用的生产服务器模块中发现的,他表示:“正在被利用”。

  Canva

21世纪以来14起最大的数据泄露事件-风君雪科技博客

日期:2019 年 5 月

影响:1.37 亿用户帐户

详细信息:2019 年 5 月,澳大利亚图形设计工具网站 Canva 遭到黑客攻击,该攻击暴露了 1.37 亿用户的电子邮件地址、用户名、姓名、居住城市以及使用 bcrypt 密码加密和散列的信息(其中,不使用社交账号登录的用户约 6100 万)。Canva 表示,黑客设法查看但没有窃取那些带有部分信用卡和付款数据的文件。

疑似背后攻击者的 Gnosticplayers,称 Canva 已检测到他们的攻击并关闭了其数据泄露服务器,还声称通过 Google 获得了用的 OAuth 登录令牌。

该公司确认了事件并随后通知了用户,提示他们更改密码并重置 OAuth 令牌。但是,根据 Canva 的后续帖子,包含 400 万个被盗 Canva 用户账户被破解并在网上分享,这使得尚未更改密码的用户账户失效,并通知受影响的相关用户。

  eBay

日期:2014 年 5 月

影响:1.45 亿用户

详细信息:eBay 报告说,攻击发生于 2014 年 5 月,泄露了其 1.45 亿用户帐户,包括名称、地址、出生日期和加密密码。这家在线拍卖巨人表示,黑客使用三名公司雇员的凭据访问其网络,并具有 229 天的完全访问权限,这足以破坏用户数据库。

该公司要求客户更改密码。财务信息(例如信用卡号)是单独存储的,没有受到破坏。该公司当时甚至因与用户之间缺乏沟通以及密码更新过程实施不力而受到批评。

  Equifax

日期:2017 年 7 月 29 日

影响:1.479 亿客户

详细信息:美国最大的征信机构之一 Equifax 于 2017 年 9 月 7 日表示,其中一个网站的应用程序漏洞导致数据泄露,波及约 1.479 亿的客户。该漏洞是在 7 月 29 日发现的,但该公司表示可能在 5 月中旬开始。一开始,该事件泄露了 1.43 亿客户的个人信息(包括社会安全号码、出生日期、地址,在某些情况下还包括驾照号码)。另外,暴露了 20.9 万名客户的信用卡数据。而在 2017 年 10 月,该数字增加到 1.479 亿。

此次事件可归咎于 Equifax 的许多安全性和响应失效。其中最主要的是允许攻击者访问的应用程序漏洞未修补。系统拆分不充分,使攻击者易于横向移动。Equifax 也很迟才报告此次事件。

  Dubsmash

21世纪以来14起最大的数据泄露事件-风君雪科技博客

日期:2018 年 12 月

影响:1.62 亿个用户帐户

详细信息:2018 年 12 月,总部位于纽约的视频消息服务 Dubsmash 发生数据被盗事件,拥有 1.62 亿个电子邮件地址、用户名、生日以及其他个人数据,所有这些信息于次年 12 月在 Dream Market 暗网市场上出售。这些信息以部分转储形式出售,其他信息还包括 MyFitnessPal(以下更多内容),MyHeritage(9200 万),ShareThis,Armor Games 和约会应用程序 CoffeeMeetsBagel 之类的东西。

Dubsmash 承认发生了信息泄露和暗网售卖信息的事件,并建议用户进行密码更改,但并未说明攻击者是如何进入或确认受影响用户的具体数字。

  Heartland 支付系统

日期:2008 年 3 月

影响:暴露了 1.34 亿张信用卡

详细信息:泄密之时,Heartland 每月为 17.5 万个商家(主要是中小型零售商)处理 1 亿笔支付卡交易。2009 年 1 月,Visa 和万事达卡从其处理过的帐户中发现可疑交易,并通知了 Heartland 后,发现了这次数据泄露。攻击者利用一个已知漏洞执行 SQL 注入攻击。有关该漏洞的问题,安全分析师已经警告零售商好几年了, SQL 注入在当时是针对网站的最常见攻击形式。

由于此次数据泄露事件,支付卡行业(PCI)认为 Heartland 不符合其数据安全标准(DSS),并且直到 2009 年 5 月才允许其处理主要信用卡提供商的付款。该公司还支付了约 1.45 亿美元的欺诈性赔偿。

Heartland 数据泄露事件是当局逮捕到黑客的罕见例子。联邦大陪审团于 2009 年起诉 Albert Gonzalez 和两名不知名的俄罗斯同伙。这名古巴裔美国人 Gonzalez 策划了偷窃信用卡和借记卡的国际犯罪活动。他于 2010 年 3 月在联邦监狱中被判 20 年徒刑。

  LinkedIn

21世纪以来14起最大的数据泄露事件-风君雪科技博客

日期:2012 年(和 2016 年)

影响:1.65 亿用户帐户

详细信息:LinkedIn 是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn 极具吸引力。但是,曾经 LinkedIn 也是用户数据泄露的受害者。

2012 年,该公司宣布,攻击者窃取了 650 万个未关联的密码(Unsalted SHA-1 哈希),并将其公布在俄罗斯黑客论坛上。然而,直到 2016 年该事件的影响范围才完全揭露。出售 MySpace 数据的黑客仅用 5 个比特币(当时约为2,000 美元)就提供了约 1.65 亿 LinkedIn 用户的电子邮件地址和密码。LinkedIn 承认已意识到该漏洞,并表示已重设了受影响帐户的密码。

  万豪国际酒店

日期:2014-18 年

影响:5 亿客户

详细信息:万豪国际酒店于 2018 年 11 月宣布,黑客窃取了大约 5 亿客户的数据。该漏洞始于 2014 年,最初发现在支持喜达屋酒店品牌的系统上。在 2016 年万豪收购喜达屋之后,该漏洞仍留在系统中,直到 2018 年 9 月才被发现。

攻击者能够收集到客户的联系信息、护照号码、喜达屋会员顾客号码、旅行信息和其他个人信息等。相信有超过 1 亿客户的信用卡号和有效期被盗,但是万豪无法确定攻击者是否能够解密信用卡号。

  My Fitness Pal

日期:2018 年 2 月

影响:1.5 亿用户帐户

详细信息:与 Dubsmash 一样,UnderArmor 拥有的健身应用程序 MyFitnessPal,是 16 个受感染并遭到大规模信息转储的网站之一,约 6.17 亿个客户帐户泄漏并在 Dream Market 暗网上出售。

2018 年 2 月,大约 1.5 亿客户的用户名、电子邮件地址、IP 地址、SHA-1 和经过 bcrypt 加密的密码被盗,然后在一年后与 Dubsmash 等同时出售。MyFitnessPal 承认该漏洞并要求客户更改密码,但没有披露受影响的帐户数量或攻击者如何获得数据访问权限等信息。

  MySpace

日期:2013 年

影响:3.6 亿用户帐户

详细信息:MySpace 尽管早已退出社交媒体网站巨头的行列,但是在 2016 年再度成为新闻头条。因为有 3.6 亿个 MySpace 用户的帐户泄漏,在 LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场 The Real Deal 上出售,要价为 6 比特币(当时约为3,000 美元)。

据该公司称,丢失的数据包括在 2013 年 6 月 11 日之前创建的部分账户电子邮件、密码和用户名。根据 HaveIBeenPwned 的 Troy Hunt 的介绍,密码存储为 SHA-1 哈希,密码的前 10 个字符转换为小写。

  网易

日期:2015 年 10 月

影响:2.35 亿用户帐户

详细信息:网易是 163.com 和 126.com 之类的邮箱服务提供商。据报道,大约 2.35 亿个网易帐户的电子邮件地址和纯文本密码被一家 DoubleFlag 暗网市场供应商出售。该供应商还出售了从其他企业那里获得的信息,例如腾讯的 QQ.com、新浪公司和搜狐公司。据报道,网易否认有任何数据泄露行为。HaveIBeenPwned 认为这个事件是“未验证”的。

  雅虎

21世纪以来14起最大的数据泄露事件-风君雪科技博客

日期:2013-14 年

影响:30 亿用户帐户

详细信息:雅虎于 2016 年 9 月宣布,自己是 2014 年里数据泄露事件最大的受害者。攻击者窃取了 5 亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。

在 2016 年 12 月,雅虎披露了另一位攻击者自 2013 年以来的数据窃取行为,该攻击行为泄露了 10 亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于 2017 年 10 月修订了这一估计数,总计包含 30 亿用户。

最初的数据泄露公布的时机不好,因为雅虎正在被 Verizon 收购,后者最终以 44.8 亿美元的价格收购了 Yahoo 的核心互联网业务。此次泄露事件使公司价值缩水了约 3.5 亿美元。

  Zynga

日期:2019 年 9 月

影响:2.18 亿用户帐户

详细信息:Farmville 的创建者 Zynga 曾经是 Facebook 游戏界的巨头,现在仍然是移动游戏领域最大的玩家之一,在全球拥有数百万玩家。

2019 年 9 月,一个名为 Gnosticplayers 的巴基斯坦黑客声称入侵了 Zynga 的 Draw Something and Words with Friends 玩家数据库,并获得了在那里注册的 2.18 亿个帐户的访问权限。Zynga 随后证实,Facebook 和 Zynga 帐户的电子邮件地址、Salted SHA-1 哈希密码、电话号码以及用户 ID 被盗。

  *参考来源:Csoonline,Sandra1432 编译,转载请注明来自 FreeBuf.COM