21世紀(jì)以來14起最大的數(shù)據(jù)泄露事件

以前,影響幾百萬人的數(shù)據(jù)泄露事件就能成為新聞?lì)^條,而如今,影響數(shù)億甚至數(shù)十億的事件卻比比皆是。21世紀(jì)以來,14起最大的數(shù)據(jù)泄露事件波及約有35億人,其中影響最小的事件涉及1.34億人。

本文參照最簡(jiǎn)單的標(biāo)準(zhǔn)來衡量21世紀(jì)14起最大的數(shù)據(jù)泄露事件——數(shù)據(jù)泄露波及的人數(shù)。此外,本文還對(duì)事件原因作出了區(qū)分,是惡意目的竊取還是組織的無意間的泄露。比如,推特曾在一篇日志中泄露了3.3億用戶密碼,但是卻沒有任何為惡意分子所利用的證據(jù),因此便不在本文列舉的事件范疇中。下文按照首字母順序進(jìn)行排列,其中包括影響對(duì)象、負(fù)責(zé)人以及組織的響應(yīng)方式。

最大的數(shù)據(jù)泄露

Adobe
Adult Friend Finder
Canva
Dubsmash
eBay
Equifax
Heartland 支付系統(tǒng)
LinkedIn
萬豪國(guó)際酒店
My Fitness Pal
MySpace
網(wǎng)易
雅虎
Zynga

Adobe

日期:2013年10月
影響:1.53億用戶記錄

詳細(xì)信息:在2013年10月上旬,根據(jù)安全博主Brian Krebs的披露,Adobe最初報(bào)告說,黑客竊取了將近300萬個(gè)加密的客戶信用卡記錄,以及數(shù)量不確定的用戶登錄信息帳戶。

該月晚些時(shí)候,Adobe進(jìn)行了估算,其中包括3800萬“活躍用戶”的ID和加密密碼。Krebs報(bào)告說,幾天前發(fā)布的文件“似乎包含超過1.5億個(gè)從Adobe泄露的用戶名和哈希密碼對(duì)。” 數(shù)周的研究表明,黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬美元的法律費(fèi)用,并向用戶支付賠償,金額數(shù)量并未公開,以解決違反《客戶記錄法》和不公平商業(yè)行為的指控。據(jù)報(bào)道,2016年11月支付給客戶的金額為100萬美元。

Adult Friend Finder

日期:2016年10月

影響:4.122億個(gè)帳戶

詳細(xì)信息:該網(wǎng)站提供的服務(wù)較為特殊,此次數(shù)據(jù)泄露對(duì)賬戶所有人比較敏感。FriendFinder Network于2016年10月中旬遭到入侵,其中包括休閑轉(zhuǎn)播和成人內(nèi)容網(wǎng)站,如Adult Friend Finder,Penthouse.com,Cams.com,iCams.com和Stripshow.com。在六個(gè)數(shù)據(jù)庫上,被盜數(shù)據(jù)時(shí)間跨度長(zhǎng)達(dá)20年,具體包括了用戶的名稱、電子郵件地址和密碼。

較弱的SHA-1哈希算法可保護(hù)大多數(shù)密碼。直到LeakedSource.com在2016年11月14日發(fā)布對(duì)數(shù)據(jù)集的分析時(shí),人們才估計(jì)其中的99%已被破解。

當(dāng)時(shí),一名代號(hào)為Revolver(推特名@1×0123)的研究人員在“Adult Friend Finder”上進(jìn)行了屏幕截圖,該屏幕截圖顯示正在觸發(fā)本地文件包含漏洞(LFI)。該漏洞是在“Adult Friend Finder”所使用的生產(chǎn)服務(wù)器模塊中發(fā)現(xiàn)的,他表示:“正在被利用”。

Canva

日期:2019年5月

影響:1.37億用戶帳戶

詳細(xì)信息:2019年5月,澳大利亞圖形設(shè)計(jì)工具網(wǎng)站Canva遭到黑客攻擊,該攻擊暴露了1.37億用戶的電子郵件地址、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息(其中,不使用社交賬號(hào)登錄的用戶約6100萬)。Canva表示,黑客設(shè)法查看但沒有竊取那些帶有部分信用卡和付款數(shù)據(jù)的文件。

疑似背后攻擊者的Gnosticplayers,稱Canva已檢測(cè)到他們的攻擊并關(guān)閉了其數(shù)據(jù)泄露服務(wù)器,還聲稱通過Google獲得了用的OAuth登錄令牌。

該公司確認(rèn)了事件并隨后通知了用戶,提示他們更改密碼并重置OAuth令牌。但是,根據(jù)Canva的后續(xù)帖子,包含400萬個(gè)被盜Canva用戶賬戶被破解并在網(wǎng)上分享,這使得尚未更改密碼的用戶賬戶失效,并通知受影響的相關(guān)用戶。

eBay

日期:2014年5月

影響:1.45億用戶

詳細(xì)信息:eBay報(bào)告說,攻擊發(fā)生于2014年5月,泄露了其 1.45億用戶帳戶,包括名稱、地址、出生日期和加密密碼。這家在線拍賣巨人表示,黑客使用三名公司雇員的憑據(jù)訪問其網(wǎng)絡(luò),并具有229天的完全訪問權(quán)限,這足以破壞用戶數(shù)據(jù)庫。

該公司要求客戶更改密碼。財(cái)務(wù)信息(例如信用卡號(hào))是單獨(dú)存儲(chǔ)的,沒有受到破壞。該公司當(dāng)時(shí)甚至因與用戶之間缺乏溝通以及密碼更新過程實(shí)施不力而受到批評(píng)。

Equifax

日期:2017年7月29日

影響:1.479億客戶

詳細(xì)信息:美國(guó)最大的征信機(jī)構(gòu)之一Equifax于2017年9月7日表示,其中一個(gè)網(wǎng)站的應(yīng)用程序漏洞導(dǎo)致數(shù)據(jù)泄露,波及約1.479億的客戶。該漏洞是在7月29日發(fā)現(xiàn)的,但該公司表示可能在5月中旬開始。一開始,該事件泄露了1.43億客戶的個(gè)人信息(包括社會(huì)安全號(hào)碼、出生日期、地址,在某些情況下還包括駕照號(hào)碼)。另外,暴露了20.9萬名客戶的信用卡數(shù)據(jù)。而在2017年10月,該數(shù)字增加到1.479億。

此次事件可歸咎于Equifax的許多安全性和響應(yīng)失效。其中最主要的是允許攻擊者訪問的應(yīng)用程序漏洞未修補(bǔ)。系統(tǒng)拆分不充分,使攻擊者易于橫向移動(dòng)。Equifax也很遲才報(bào)告此次事件。

Dubsmash

日期:2018年12月

影響:1.62億個(gè)用戶帳戶

詳細(xì)信息:2018年12月,總部位于紐約的視頻消息服務(wù)Dubsmash發(fā)生數(shù)據(jù)被盜事件,擁有1.62億個(gè)電子郵件地址、用戶名、生日以及其他個(gè)人數(shù)據(jù),所有這些信息于次年12月在Dream Market暗網(wǎng)市場(chǎng)上出售。這些信息以部分轉(zhuǎn)儲(chǔ)形式出售,其他信息還包括MyFitnessPal(以下更多內(nèi)容),MyHeritage(9200萬),ShareThis,Armor Games和約會(huì)應(yīng)用程序CoffeeMeetsBagel之類的東西。

Dubsmash 承認(rèn)發(fā)生了信息泄露和暗網(wǎng)售賣信息的事件,并建議用戶進(jìn)行密碼更改,但并未說明攻擊者是如何進(jìn)入或確認(rèn)受影響用戶的具體數(shù)字。

Heartland支付系統(tǒng)

日期:2008年3月

影響:暴露了1.34億張信用卡

詳細(xì)信息:泄密之時(shí),Heartland每月為17.5萬個(gè)商家(主要是中小型零售商)處理1億筆支付卡交易。2009年1月,Visa和萬事達(dá)卡從其處理過的帳戶中發(fā)現(xiàn)可疑交易,并通知了Heartland后,發(fā)現(xiàn)了這次數(shù)據(jù)泄露。攻擊者利用一個(gè)已知漏洞執(zhí)行SQL注入攻擊。有關(guān)該漏洞的問題,安全分析師已經(jīng)警告零售商好幾年了, SQL注入在當(dāng)時(shí)是針對(duì)網(wǎng)站的最常見攻擊形式。

由于此次數(shù)據(jù)泄露事件,支付卡行業(yè)(PCI)認(rèn)為Heartland不符合其數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS),并且直到2009年5月才允許其處理主要信用卡提供商的付款。該公司還支付了約1.45億美元的欺詐性賠償。

Heartland數(shù)據(jù)泄露事件是當(dāng)局逮捕到黑客的罕見例子。聯(lián)邦大陪審團(tuán)于2009年起訴Albert Gonzalez和兩名不知名的俄羅斯同伙。這名古巴裔美國(guó)人Gonzalez策劃了偷竊信用卡和借記卡的國(guó)際犯罪活動(dòng)。他于2010年3月在聯(lián)邦監(jiān)獄中被判20年徒刑。

LinkedIn

日期:2012年(和2016年)

影響:1.65億用戶帳戶

詳細(xì)信息:LinkedIn是商務(wù)專業(yè)人士的主要社交網(wǎng)絡(luò)。對(duì)于希望進(jìn)行社交工程攻擊的攻擊者來說,LinkedIn極具吸引力。但是,曾經(jīng)LinkedIn也是用戶數(shù)據(jù)泄露的受害者。

2012年,該公司宣布,攻擊者竊取了650萬個(gè)未關(guān)聯(lián)的密碼(Unsalted SHA-1哈希),并將其公布在俄羅斯黑客論壇上。然而,直到2016年該事件的影響范圍才完全揭露。出售MySpace數(shù)據(jù)的黑客僅用5個(gè)比特幣(當(dāng)時(shí)約為2,000美元)就提供了約1.65億LinkedIn用戶的電子郵件地址和密碼。LinkedIn承認(rèn)已意識(shí)到該漏洞,并表示已重設(shè)了受影響帳戶的密碼。

萬豪國(guó)際酒店

日期:2014-18年

影響:5億客戶

詳細(xì)信息:萬豪國(guó)際酒店于2018年11月宣布,黑客竊取了大約5億客戶的數(shù)據(jù)。該漏洞始于2014年,最初發(fā)現(xiàn)在支持喜達(dá)屋酒店品牌的系統(tǒng)上。在2016年萬豪收購喜達(dá)屋之后,該漏洞仍留在系統(tǒng)中,直到2018年9月才被發(fā)現(xiàn)。

攻擊者能夠收集到客戶的聯(lián)系信息、護(hù)照號(hào)碼、喜達(dá)屋會(huì)員顧客號(hào)碼、旅行信息和其他個(gè)人信息等。相信有超過1億客戶的信用卡號(hào)和有效期被盜,但是萬豪無法確定攻擊者是否能夠解密信用卡號(hào)。

My Fitness Pal

日期:2018年2月

影響:1.5億用戶帳戶

詳細(xì)信息:與Dubsmash一樣,UnderArmor擁有的健身應(yīng)用程序MyFitnessPal,是16個(gè)受感染并遭到大規(guī)模信息轉(zhuǎn)儲(chǔ)的網(wǎng)站之一,約6.17億個(gè)客戶帳戶泄漏并在Dream Market暗網(wǎng)上出售。

2018年2月,大約1.5億客戶的用戶名、電子郵件地址、IP地址、SHA-1和經(jīng)過bcrypt加密的密碼被盜,然后在一年后與Dubsmash等同時(shí)出售。MyFitnessPal 承認(rèn)該漏洞并要求客戶更改密碼,但沒有披露受影響的帳戶數(shù)量或攻擊者如何獲得數(shù)據(jù)訪問權(quán)限等信息。

MySpace

日期:2013年

影響:3.6億用戶帳戶

詳細(xì)信息:MySpace盡管早已退出社交媒體網(wǎng)站巨頭的行列,但是在2016年再度成為新聞?lì)^條。因?yàn)橛?.6億個(gè)MySpace用戶的帳戶泄漏,在LeakedSource(可搜索的數(shù)據(jù)庫,其中包含被盜帳戶)和暗網(wǎng)市場(chǎng)The Real Deal 上出售,要價(jià)為6比特幣(當(dāng)時(shí)約為3,000美元)。

據(jù)該公司稱,丟失的數(shù)據(jù)包括在2013年6月11日之前創(chuàng)建的部分賬戶電子郵件、密碼和用戶名。根據(jù)HaveIBeenPwned的Troy Hunt的介紹,密碼存儲(chǔ)為SHA-1哈希,密碼的前10個(gè)字符轉(zhuǎn)換為小寫。

網(wǎng)易

日期:2015年10月

影響:2.35億用戶帳戶

詳細(xì)信息:網(wǎng)易是163.com和126.com之類的郵箱服務(wù)提供商。據(jù)報(bào)道,大約2.35億個(gè)網(wǎng)易帳戶的電子郵件地址和純文本密碼被一家DoubleFlag暗網(wǎng)市場(chǎng)供應(yīng)商出售。該供應(yīng)商還出售了從其他企業(yè)那里獲得的信息,例如騰訊的QQ.com、新浪公司和搜狐公司。據(jù)報(bào)道,網(wǎng)易否認(rèn)有任何數(shù)據(jù)泄露行為。HaveIBeenPwned 認(rèn)為這個(gè)事件是“未驗(yàn)證”的。

雅虎

日期:2013-14年

影響:30億用戶帳戶

詳細(xì)信息:雅虎于2016年9月宣布,自己是2014年里數(shù)據(jù)泄露事件最大的受害者。攻擊者竊取了5億用戶的真實(shí)姓名、電子郵件地址、出生日期和電話號(hào)碼。大多數(shù)泄露的密碼多哦為散列密碼。

在2016年12月,雅虎披露了另一位攻擊者自2013年以來的數(shù)據(jù)竊取行為,該攻擊行為泄露了10億個(gè)用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎于2017年10月修訂了這一估計(jì)數(shù),總計(jì)包含30億用戶。

最初的數(shù)據(jù)泄露公布的時(shí)機(jī)不好,因?yàn)檠呕⒄诒籚erizon收購,后者最終以44.8億美元的價(jià)格收購了Yahoo的核心互聯(lián)網(wǎng)業(yè)務(wù)。此次泄露事件使公司價(jià)值縮水了約3.5億美元。

Zynga

日期:2019年9月

影響:2.18億用戶帳戶

詳細(xì)信息:Farmville的創(chuàng)建者Zynga曾經(jīng)是Facebook游戲界的巨頭,現(xiàn)在仍然是移動(dòng)游戲領(lǐng)域最大的玩家之一,在全球擁有數(shù)百萬玩家。

2019年9月,一個(gè)名為Gnosticplayers的巴基斯坦黑客聲稱入侵了Zynga的Draw Something and Words with Friends玩家數(shù)據(jù)庫,并獲得了在那里注冊(cè)的2.18億個(gè)帳戶的訪問權(quán)限。Zynga隨后證實(shí),F(xiàn)acebook和Zynga帳戶的電子郵件地址、Salted SHA-1哈希密碼、電話號(hào)碼以及用戶ID被盜。

來自FreeBuf.COM**
鏈接:https://www.freebuf.com/articles/database/231332.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容

  • 月影臨窗窺我夢(mèng), 星辰嘲笑妾癡情。 春風(fēng)入戶催人醒, 雄雉長(zhǎng)啼旭日升。 羅幔半遮豐肩潤(rùn), 峨山秋水黛眉平。 桃腮玉...
    云逸1108閱讀 136評(píng)論 1 0
  • 如果歷史的教訓(xùn) 不能被吸取 只好痛苦其實(shí)可以避免的痛苦
    平常心七七閱讀 237評(píng)論 1 7
  • 大家好,我是陪伴家創(chuàng)始人阿昌,今天是2018年8月30日,是每天一篇文章第392篇 很多痛苦,都是自身肉體承受不了...
    陪伴家阿昌閱讀 110評(píng)論 0 0
  • (風(fēng))雨獨(dú)行前路長(zhǎng)(雪)季葬花情迷茫 (流)年哭干思人淚(蘭)心殤逝離人腸 (墨)筆紅箋玉女恨(閣)樓寂寥閨怨藏 ...
    A風(fēng)流墨客A閱讀 254評(píng)論 0 0