以前，影響幾百萬人的數(shù)據(jù)泄露事件就能成為新聞?lì)^條，而如今，影響數(shù)億甚至數(shù)十億的事件卻比比皆是。21世紀(jì)以來，14起最大的數(shù)據(jù)泄露事件波及約有35億人，其中影響最小的事件涉及1.34億人。

本文參照最簡(jiǎn)單的標(biāo)準(zhǔn)來衡量21世紀(jì)14起最大的數(shù)據(jù)泄露事件——數(shù)據(jù)泄露波及的人數(shù)。此外，本文還對(duì)事件原因作出了區(qū)分，是惡意目的竊取還是組織的無意間的泄露。比如，推特曾在一篇日志中泄露了3.3億用戶密碼，但是卻沒有任何為惡意分子所利用的證據(jù)，因此便不在本文列舉的事件范疇中。下文按照首字母順序進(jìn)行排列，其中包括影響對(duì)象、負(fù)責(zé)人以及組織的響應(yīng)方式。

最大的數(shù)據(jù)泄露

Adobe
Adult Friend Finder
Canva
Dubsmash
eBay
Equifax
Heartland 支付系統(tǒng)
LinkedIn
萬豪國(guó)際酒店
My Fitness Pal
MySpace
網(wǎng)易
雅虎
Zynga

Adobe

Adobe-Collection.jpg

日期：2013年10月
影響：1.53億用戶記錄

詳細(xì)信息：在2013年10月上旬，根據(jù)安全博主Brian Krebs的披露，Adobe最初報(bào)告說，黑客竊取了將近300萬個(gè)加密的客戶信用卡記錄，以及數(shù)量不確定的用戶登錄信息帳戶。

該月晚些時(shí)候，Adobe進(jìn)行了估算，其中包括3800萬“活躍用戶”的ID和加密密碼。Krebs報(bào)告說，幾天前發(fā)布的文件“似乎包含超過1.5億個(gè)從Adobe泄露的用戶名和哈希密碼對(duì)。” 數(shù)周的研究表明，黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015年8月的一項(xiàng)協(xié)議要求Adobe支付110萬美元的法律費(fèi)用，并向用戶支付賠償，金額數(shù)量并未公開，以解決違反《客戶記錄法》和不公平商業(yè)行為的指控。據(jù)報(bào)道，2016年11月支付給客戶的金額為100萬美元。

Adult Friend Finder

日期：2016年10月

影響：4.122億個(gè)帳戶

詳細(xì)信息：該網(wǎng)站提供的服務(wù)較為特殊，此次數(shù)據(jù)泄露對(duì)賬戶所有人比較敏感。FriendFinder Network于2016年10月中旬遭到入侵，其中包括休閑轉(zhuǎn)播和成人內(nèi)容網(wǎng)站，如Adult Friend Finder，Penthouse.com，Cams.com，iCams.com和Stripshow.com。在六個(gè)數(shù)據(jù)庫上，被盜數(shù)據(jù)時(shí)間跨度長(zhǎng)達(dá)20年，具體包括了用戶的名稱、電子郵件地址和密碼。

較弱的SHA-1哈希算法可保護(hù)大多數(shù)密碼。直到LeakedSource.com在2016年11月14日發(fā)布對(duì)數(shù)據(jù)集的分析時(shí)，人們才估計(jì)其中的99％已被破解。

當(dāng)時(shí)，一名代號(hào)為Revolver(推特名@1×0123)的研究人員在“Adult Friend Finder”上進(jìn)行了屏幕截圖，該屏幕截圖顯示正在觸發(fā)本地文件包含漏洞（LFI）。該漏洞是在“Adult Friend Finder”所使用的生產(chǎn)服務(wù)器模塊中發(fā)現(xiàn)的，他表示：“正在被利用”。

Canva

008HMucmxuU9RKJTZoGgiIu-1.fit_scale.size_2698x1517.v1569484039.jpg

日期：2019年5月

影響：1.37億用戶帳戶

詳細(xì)信息：2019年5月，澳大利亞圖形設(shè)計(jì)工具網(wǎng)站Canva遭到黑客攻擊，該攻擊暴露了1.37億用戶的電子郵件地址、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息（其中，不使用社交賬號(hào)登錄的用戶約6100萬）。Canva表示，黑客設(shè)法查看但沒有竊取那些帶有部分信用卡和付款數(shù)據(jù)的文件。

疑似背后攻擊者的Gnosticplayers，稱Canva已檢測(cè)到他們的攻擊并關(guān)閉了其數(shù)據(jù)泄露服務(wù)器，還聲稱通過Google獲得了用的OAuth登錄令牌。

該公司確認(rèn)了事件并隨后通知了用戶，提示他們更改密碼并重置OAuth令牌。但是，根據(jù)Canva的后續(xù)帖子，包含400萬個(gè)被盜Canva用戶賬戶被破解并在網(wǎng)上分享，這使得尚未更改密碼的用戶賬戶失效，并通知受影響的相關(guān)用戶。

eBay

日期：2014年5月

影響：1.45億用戶

詳細(xì)信息：eBay報(bào)告說，攻擊發(fā)生于2014年5月，泄露了其 1.45億用戶帳戶，包括名稱、地址、出生日期和加密密碼。這家在線拍賣巨人表示，黑客使用三名公司雇員的憑據(jù)訪問其網(wǎng)絡(luò)，并具有229天的完全訪問權(quán)限，這足以破壞用戶數(shù)據(jù)庫。

該公司要求客戶更改密碼。財(cái)務(wù)信息（例如信用卡號(hào)）是單獨(dú)存儲(chǔ)的，沒有受到破壞。該公司當(dāng)時(shí)甚至因與用戶之間缺乏溝通以及密碼更新過程實(shí)施不力而受到批評(píng)。

Equifax

日期：2017年7月29日

影響：1.479億客戶

詳細(xì)信息：美國(guó)最大的征信機(jī)構(gòu)之一Equifax于2017年9月7日表示，其中一個(gè)網(wǎng)站的應(yīng)用程序漏洞導(dǎo)致數(shù)據(jù)泄露，波及約1.479億的客戶。該漏洞是在7月29日發(fā)現(xiàn)的，但該公司表示可能在5月中旬開始。一開始，該事件泄露了1.43億客戶的個(gè)人信息（包括社會(huì)安全號(hào)碼、出生日期、地址，在某些情況下還包括駕照號(hào)碼）。另外，暴露了20.9萬名客戶的信用卡數(shù)據(jù)。而在2017年10月，該數(shù)字增加到1.479億。

此次事件可歸咎于Equifax的許多安全性和響應(yīng)失效。其中最主要的是允許攻擊者訪問的應(yīng)用程序漏洞未修補(bǔ)。系統(tǒng)拆分不充分，使攻擊者易于橫向移動(dòng)。Equifax也很遲才報(bào)告此次事件。

Dubsmash

Dubsmash-Songs.png

日期：2018年12月

影響：1.62億個(gè)用戶帳戶

詳細(xì)信息：2018年12月，總部位于紐約的視頻消息服務(wù)Dubsmash發(fā)生數(shù)據(jù)被盜事件，擁有1.62億個(gè)電子郵件地址、用戶名、生日以及其他個(gè)人數(shù)據(jù)，所有這些信息于次年12月在Dream Market暗網(wǎng)市場(chǎng)上出售。這些信息以部分轉(zhuǎn)儲(chǔ)形式出售，其他信息還包括MyFitnessPal（以下更多內(nèi)容），MyHeritage（9200萬），ShareThis，Armor Games和約會(huì)應(yīng)用程序CoffeeMeetsBagel之類的東西。

Dubsmash 承認(rèn)發(fā)生了信息泄露和暗網(wǎng)售賣信息的事件，并建議用戶進(jìn)行密碼更改，但并未說明攻擊者是如何進(jìn)入或確認(rèn)受影響用戶的具體數(shù)字。

Heartland支付系統(tǒng)

日期：2008年3月

影響：暴露了1.34億張信用卡

詳細(xì)信息：泄密之時(shí)，Heartland每月為17.5萬個(gè)商家（主要是中小型零售商）處理1億筆支付卡交易。2009年1月，Visa和萬事達(dá)卡從其處理過的帳戶中發(fā)現(xiàn)可疑交易，并通知了Heartland后，發(fā)現(xiàn)了這次數(shù)據(jù)泄露。攻擊者利用一個(gè)已知漏洞執(zhí)行SQL注入攻擊。有關(guān)該漏洞的問題，安全分析師已經(jīng)警告零售商好幾年了， SQL注入在當(dāng)時(shí)是針對(duì)網(wǎng)站的最常見攻擊形式。

由于此次數(shù)據(jù)泄露事件，支付卡行業(yè)（PCI）認(rèn)為Heartland不符合其數(shù)據(jù)安全標(biāo)準(zhǔn)（DSS），并且直到2009年5月才允許其處理主要信用卡提供商的付款。該公司還支付了約1.45億美元的欺詐性賠償。

Heartland數(shù)據(jù)泄露事件是當(dāng)局逮捕到黑客的罕見例子。聯(lián)邦大陪審團(tuán)于2009年起訴Albert Gonzalez和兩名不知名的俄羅斯同伙。這名古巴裔美國(guó)人Gonzalez策劃了偷竊信用卡和借記卡的國(guó)際犯罪活動(dòng)。他于2010年3月在聯(lián)邦監(jiān)獄中被判20年徒刑。

LinkedIn

LinkedIn-1.jpg

日期：2012年（和2016年）

影響：1.65億用戶帳戶

詳細(xì)信息：LinkedIn是商務(wù)專業(yè)人士的主要社交網(wǎng)絡(luò)。對(duì)于希望進(jìn)行社交工程攻擊的攻擊者來說，LinkedIn極具吸引力。但是，曾經(jīng)LinkedIn也是用戶數(shù)據(jù)泄露的受害者。

2012年，該公司宣布，攻擊者竊取了650萬個(gè)未關(guān)聯(lián)的密碼（Unsalted SHA-1哈希），并將其公布在俄羅斯黑客論壇上。然而，直到2016年該事件的影響范圍才完全揭露。出售MySpace數(shù)據(jù)的黑客僅用5個(gè)比特幣（當(dāng)時(shí)約為2,000美元）就提供了約1.65億LinkedIn用戶的電子郵件地址和密碼。LinkedIn承認(rèn)已意識(shí)到該漏洞，并表示已重設(shè)了受影響帳戶的密碼。

萬豪國(guó)際酒店

日期：2014-18年

影響：5億客戶

詳細(xì)信息：萬豪國(guó)際酒店于2018年11月宣布，黑客竊取了大約5億客戶的數(shù)據(jù)。該漏洞始于2014年，最初發(fā)現(xiàn)在支持喜達(dá)屋酒店品牌的系統(tǒng)上。在2016年萬豪收購喜達(dá)屋之后，該漏洞仍留在系統(tǒng)中，直到2018年9月才被發(fā)現(xiàn)。

攻擊者能夠收集到客戶的聯(lián)系信息、護(hù)照號(hào)碼、喜達(dá)屋會(huì)員顧客號(hào)碼、旅行信息和其他個(gè)人信息等。相信有超過1億客戶的信用卡號(hào)和有效期被盜，但是萬豪無法確定攻擊者是否能夠解密信用卡號(hào)。

My Fitness Pal

日期：2018年2月

影響：1.5億用戶帳戶

詳細(xì)信息：與Dubsmash一樣，UnderArmor擁有的健身應(yīng)用程序MyFitnessPal，是16個(gè)受感染并遭到大規(guī)模信息轉(zhuǎn)儲(chǔ)的網(wǎng)站之一，約6.17億個(gè)客戶帳戶泄漏并在Dream Market暗網(wǎng)上出售。

2018年2月，大約1.5億客戶的用戶名、電子郵件地址、IP地址、SHA-1和經(jīng)過bcrypt加密的密碼被盜，然后在一年后與Dubsmash等同時(shí)出售。MyFitnessPal 承認(rèn)該漏洞并要求客戶更改密碼，但沒有披露受影響的帳戶數(shù)量或攻擊者如何獲得數(shù)據(jù)訪問權(quán)限等信息。

MySpace

日期：2013年

影響：3.6億用戶帳戶

詳細(xì)信息：MySpace盡管早已退出社交媒體網(wǎng)站巨頭的行列，但是在2016年再度成為新聞?lì)^條。因?yàn)橛?.6億個(gè)MySpace用戶的帳戶泄漏，在LeakedSource（可搜索的數(shù)據(jù)庫，其中包含被盜帳戶）和暗網(wǎng)市場(chǎng)The Real Deal 上出售，要價(jià)為6比特幣（當(dāng)時(shí)約為3,000美元）。

據(jù)該公司稱，丟失的數(shù)據(jù)包括在2013年6月11日之前創(chuàng)建的部分賬戶電子郵件、密碼和用戶名。根據(jù)HaveIBeenPwned的Troy Hunt的介紹，密碼存儲(chǔ)為SHA-1哈希，密碼的前10個(gè)字符轉(zhuǎn)換為小寫。

網(wǎng)易

日期：2015年10月

影響：2.35億用戶帳戶

詳細(xì)信息：網(wǎng)易是163.com和126.com之類的郵箱服務(wù)提供商。據(jù)報(bào)道，大約2.35億個(gè)網(wǎng)易帳戶的電子郵件地址和純文本密碼被一家DoubleFlag暗網(wǎng)市場(chǎng)供應(yīng)商出售。該供應(yīng)商還出售了從其他企業(yè)那里獲得的信息，例如騰訊的QQ.com、新浪公司和搜狐公司。據(jù)報(bào)道，網(wǎng)易否認(rèn)有任何數(shù)據(jù)泄露行為。HaveIBeenPwned 認(rèn)為這個(gè)事件是“未驗(yàn)證”的。

雅虎

yahoo-purple-sign-1920-800x450.jpg

日期：2013-14年

影響：30億用戶帳戶

詳細(xì)信息：雅虎于2016年9月宣布，自己是2014年里數(shù)據(jù)泄露事件最大的受害者。攻擊者竊取了5億用戶的真實(shí)姓名、電子郵件地址、出生日期和電話號(hào)碼。大多數(shù)泄露的密碼多哦為散列密碼。

在2016年12月，雅虎披露了另一位攻擊者自2013年以來的數(shù)據(jù)竊取行為，該攻擊行為泄露了10億個(gè)用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎于2017年10月修訂了這一估計(jì)數(shù)，總計(jì)包含30億用戶。

最初的數(shù)據(jù)泄露公布的時(shí)機(jī)不好，因?yàn)檠呕⒄诒籚erizon收購，后者最終以44.8億美元的價(jià)格收購了Yahoo的核心互聯(lián)網(wǎng)業(yè)務(wù)。此次泄露事件使公司價(jià)值縮水了約3.5億美元。

Zynga

日期：2019年9月

影響：2.18億用戶帳戶

詳細(xì)信息：Farmville的創(chuàng)建者Zynga曾經(jīng)是Facebook游戲界的巨頭，現(xiàn)在仍然是移動(dòng)游戲領(lǐng)域最大的玩家之一，在全球擁有數(shù)百萬玩家。

2019年9月，一個(gè)名為Gnosticplayers的巴基斯坦黑客聲稱入侵了Zynga的Draw Something and Words with Friends玩家數(shù)據(jù)庫，并獲得了在那里注冊(cè)的2.18億個(gè)帳戶的訪問權(quán)限。Zynga隨后證實(shí)，F(xiàn)acebook和Zynga帳戶的電子郵件地址、Salted SHA-1哈希密碼、電話號(hào)碼以及用戶ID被盜。

來自FreeBuf.COM**
鏈接：https://www.freebuf.com/articles/database/231332.html