21世紀以來14起最大的數據洩露事件

以前，影響幾百萬人的數據洩露事件就能成為新聞頭條，而如今，影響數億甚至數十億的事件卻比比皆是。21世紀以來，14起最大的數據洩露事件波及約有35億人，其中影響最小的事件涉及1.34億人。

本文參照最簡單的標準來衡量21世紀14起最大的數據洩露事件——數據洩露波及的人數。此外，本文還對事件原因作出了區分，是惡意目的竊取還是組織的無意間的洩露。比如，推特曾在一篇日誌中洩露了3.3億用戶密碼，但是卻沒有任何為惡意分子所利用的證據，因此便不在本文列舉的事件範疇中。下文按照首字母順序進行排列，其中包括影響對象、負責人以及組織的響應方式。

最大的數據洩露

Adobe

Adult Friend Finder

Canva

Dubsmash

eBay

Equifax

Heartland 支付系統

LinkedIn

萬豪國際酒店

My Fitness Pal

MySpace

網易

雅虎

Zynga

Adobe

日期：2013年10月

影響：1.53億用戶記錄

詳細信息：在2013年10月上旬，根據安全博主Brian Krebs的披露，Adobe最初報告說，黑客竊取了將近300萬個加密的客戶信用卡記錄，以及數量不確定的用戶登錄信息帳戶。

該月晚些時候，Adobe進行了估算，其中包括3800萬“活躍用戶”的ID和加密密碼。Krebs報告說，幾天前發佈的文件“似乎包含超過1.5億個從Adobe洩露的用戶名和哈希密碼對。” 數週的研究表明，黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015年8月的一項協議要求Adobe支付110萬美元的法律費用，並向用戶支付賠償，金額數量並未公開，以解決違反《客戶記錄法》和不公平商業行為的指控。據報道，2016年11月支付給客戶的金額為100萬美元。

Adult Friend Finder

日期：

影響：4.122億個帳戶

詳細信息：該網站提供的服務較為特殊，此次數據洩露對賬戶所有人比較敏感。FriendFinder Network於2016年10月中旬遭到入侵，其中包括休閒轉播和成人內容網站，如Adult Friend Finder，Penthouse.com，Cams.com，iCams.com和Stripshow.com。在六個數據庫上，被盜數據時間跨度長達20年，具體包括了用戶的名稱、電子郵件地址和密碼。

較弱的SHA-1哈希算法可保護大多數密碼。直到LeakedSource.com在2016年11月14日發佈對數據集的分析時，人們才估計其中的99％已被破解。

當時，一名代號為Revolver(推特名@1x0123)的研究人員在“Adult Friend Finder”上進行了屏幕截圖，該屏幕截圖顯示正在觸發本地文件包含漏洞（LFI）。該漏洞是在“Adult Friend Finder”所使用的生產服務器模塊中發現的，他表示：“正在被利用”。

Canva

日期：2019年5月

影響：1.37億用戶帳戶

詳細信息：2019年5月，澳大利亞圖形設計工具網站Canva遭到黑客攻擊，該攻擊暴露了1.37億用戶的電子郵件地址、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息（其中，不使用社交賬號登錄的用戶約6100萬）。Canva表示，黑客設法查看但沒有竊取那些帶有部分信用卡和付款數據的文件。

疑似背後攻擊者的Gnosticplayers，稱Canva已檢測到他們的攻擊並關閉了其數據洩露服務器，還聲稱通過Google獲得了用的OAuth登錄令牌。

該公司確認了事件並隨後通知了用戶，提示他們更改密碼並重置OAuth令牌。但是，根據Canva的後續帖子，包含400萬個被盜Canva用戶賬戶被破解並在網上分享，這使得尚未更改密碼的用戶賬戶失效，並通知受影響的相關用戶。

eBay

影響：1.45億用戶

詳細信息：eBay報告說，攻擊發生於2014年5月，洩露了其 1.45億用戶帳戶，包括名稱、地址、出生日期和加密密碼。這家在線拍賣巨人表示，黑客使用三名公司僱員的憑據訪問其網絡，並具有229天的完全訪問權限，這足以破壞用戶數據庫。

該公司要求客戶更改密碼。財務信息（例如信用卡號）是單獨存儲的，沒有受到破壞。該公司當時甚至因與用戶之間缺乏溝通以及密碼更新過程實施不力而受到批評。

Equifax

日期：2017年7月29日

影響：1.479億客戶

詳細信息：美國最大的徵信機構之一Equifax於2017年9月7日表示，其中一個網站的應用程序漏洞導致數據洩露，波及約1.479億的客戶。該漏洞是在7月29日發現的，但該公司表示可能在5月中旬開始。一開始，該事件洩露了1.43億客戶的個人信息（包括社會安全號碼、出生日期、地址，在某些情況下還包括駕照號碼）。另外，暴露了20.9萬名客戶的信用卡數據。而在2017年10月，該數字增加到1.479億。

此次事件可歸咎於Equifax的許多安全性和響應失效。其中最主要的是允許攻擊者訪問的應用程序漏洞未修補。系統拆分不充分，使攻擊者易於橫向移動。Equifax也很遲才報告此次事件。

Dubsmash

日期：2018年12月

詳細信息：2018年12月，總部位於紐約的視頻消息服務Dubsmash發生數據被盜事件，擁有1.62億個電子郵件地址、用戶名、生日以及其他個人數據，所有這些信息於次年12月在Dream Market暗網市場上出售。這些信息以部分轉儲形式出售，其他信息還包括MyFitnessPal（以下更多內容），MyHeritage（9200萬），ShareThis，Armor Games和約會應用程序CoffeeMeetsBagel之類的東西。

Dubsmash 承認發生了信息洩露和暗網售賣信息的事件，並建議用戶進行密碼更改，但並未說明攻擊者是如何進入或確認受影響用戶的具體數字。

Heartland支付系統

日期：2008年3月

影響：暴露了1.34億張信用卡

詳細信息：洩密之時，Heartland每月為17.5萬個商家（主要是中小型零售商）處理1億筆支付卡交易。2009年1月，Visa和萬事達卡從其處理過的帳戶中發現可疑交易，並通知了Heartland後，發現了這次數據洩露。攻擊者利用一個已知漏洞執行SQL注入攻擊。有關該漏洞的問題，安全分析師已經警告零售商好幾年了， SQL注入在當時是針對網站的最常見攻擊形式。

由於此次數據洩露事件，支付卡行業（PCI）認為Heartland不符合其數據安全標準（DSS），並且直到2009年5月才允許其處理主要信用卡提供商的付款。該公司還支付了約1.45億美元的欺詐性賠償。

Heartland數據洩露事件是當局逮捕到黑客的罕見例子。聯邦大陪審團於2009年起訴Albert Gonzalez和兩名不知名的俄羅斯同夥。這名古巴裔美國人Gonzalez策劃了偷竊信用卡和借記卡的國際犯罪活動。他於2010年3月在聯邦監獄中被判20年徒刑。

LinkedIn

日期：2012年（和2016年）

影響：1.65億用戶帳戶

詳細信息：LinkedIn是商務專業人士的主要社交網絡。對於希望進行社交工程攻擊的攻擊者來說，LinkedIn極具吸引力。但是，曾經LinkedIn也是用戶數據洩露的受害者。

2012年，該公司宣佈，攻擊者竊取了650萬個未關聯的密碼（Unsalted SHA-1哈希），並將其公佈在俄羅斯黑客論壇上。然而，直到2016年該事件的影響範圍才完全揭露。出售MySpace數據的黑客僅用5個比特幣（當時約為2,000美元）就提供了約1.65億LinkedIn用戶的電子郵件地址和密碼。LinkedIn承認已意識到該漏洞，並表示已重設了受影響帳戶的密碼。

萬豪國際酒店

日期：2014-18年

影響：5億客戶

詳細信息：萬豪國際酒店於2018年11月宣佈，黑客竊取了大約5億客戶的數據。該漏洞始於2014年，最初發現在支持喜達屋酒店品牌的系統上。在2016年萬豪收購喜達屋之後，該漏洞仍留在系統中，直到2018年9月才被發現。

攻擊者能夠收集到客戶的聯繫信息、護照號碼、喜達屋會員顧客號碼、旅行信息和其他個人信息等。相信有超過1億客戶的信用卡號和有效期被盜，但是萬豪無法確定攻擊者是否能夠解密信用卡號。

My Fitness Pal

日期：2018年2月

影響：1.5億用戶帳戶

詳細信息：與Dubsmash一樣，UnderArmor擁有的健身應用程序MyFitnessPal，是16個受感染並遭到大規模信息轉儲的網站之一，約6.17億個客戶帳戶洩漏並在Dream Market暗網上出售。

2018年2月，大約1.5億客戶的用戶名、電子郵件地址、IP地址、SHA-1和經過bcrypt加密的密碼被盜，然後在一年後與Dubsmash等同時出售。MyFitnessPal 承認該漏洞並要求客戶更改密碼，但沒有披露受影響的帳戶數量或攻擊者如何獲得數據訪問權限等信息。

MySpace

日期：2013年

影響：3.6億用戶帳戶

詳細信息：MySpace儘管早已退出社交媒體網站巨頭的行列，但是在2016年再度成為新聞頭條。因為有3.6億個MySpace用戶的帳戶洩漏，在LeakedSource（可搜索的數據庫，其中包含被盜帳戶）和暗網市場The Real Deal 上出售，要價為6比特幣（當時約為3,000美元）。

據該公司稱，丟失的數據包括在2013年6月11日之前創建的部分賬戶電子郵件、密碼和用戶名。根據HaveIBeenPwned的Troy Hunt的介紹，密碼存儲為SHA-1哈希，密碼的前10個字符轉換為小寫。

網易

日期：2015年10月

影響：2.35億用戶帳戶

雅虎

日期：2013-14年

影響：30億用戶帳戶

詳細信息：雅虎於2016年9月宣佈，自己是2014年裡數據洩露事件最大的受害者。攻擊者竊取了5億用戶的真實姓名、電子郵件地址、出生日期和電話號碼。大多數洩露的密碼多哦為散列密碼。

在2016年12月，雅虎披露了另一位攻擊者自2013年以來的數據竊取行為，該攻擊行為洩露了10億個用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎於2017年10月修訂了這一估計數，總計包含30億用戶。

最初的數據洩露公佈的時機不好，因為雅虎正在被Verizon收購，後者最終以44.8億美元的價格收購了Yahoo的核心互聯網業務。此次洩露事件使公司價值縮水了約3.5億美元。

Zynga

日期：2019年9月

詳細信息：Farmville的創建者Zynga曾經是Facebook遊戲界的巨頭，現在仍然是移動遊戲領域最大的玩家之一，在全球擁有數百萬玩家。

2019年9月，一個名為Gnosticplayers的巴基斯坦黑客聲稱入侵了Zynga的Draw Something and Words with Friends玩家數據庫，並獲得了在那裡註冊的2.18億個帳戶的訪問權限。Zynga隨後證實，Facebook和Zynga帳戶的電子郵件地址、Salted SHA-1哈希密碼、電話號碼以及用戶ID被盜。

閱讀更多 一同長知識 的文章

關鍵字: 最大 Myspa 黑客