在這個數(shù)據(jù)驅(qū)動的世界中，一次數(shù)據(jù)泄露就可能影響到數(shù)億甚至數(shù)十億人。數(shù)字化轉(zhuǎn)型進一步推動了數(shù)據(jù)的移動，而隨著攻擊者加速利用日常生活中的數(shù)據(jù)依賴性，數(shù)據(jù)泄露也正隨之?dāng)U大。未來的網(wǎng)絡(luò)攻擊規(guī)模會有多大還有待考察，但正如這份21世紀(jì)最大的數(shù)據(jù)泄露清單所顯示的那樣，它們已經(jīng)達到了巨大的規(guī)模。

根據(jù)受影響的用戶、暴露的記錄或受影響的帳戶數(shù)量，我們總結(jié)了這份21世紀(jì)以來最重大的數(shù)據(jù)泄露事件清單。

1. 雅虎

時間：2013年8月；

影響：30億賬戶；

雅虎于2016年12月首次公開宣布了這起數(shù)據(jù)泄露事件，并稱其發(fā)生在2013年。當(dāng)時，它正處于被Verizon收購的過程中，據(jù)估計，超過10億用戶的賬戶信息已被黑客組織訪問。不到一年之后，雅虎宣布泄露的用戶賬戶的實際數(shù)字高達30億。

盡管遭到了攻擊，但與Verizon的交易還是完成了，只是成交價格有所降低。Verizon首席信息官Chandra McMahon當(dāng)時表示，“Verizon致力于問責(zé)制和透明度的最高標(biāo)準(zhǔn)，在不斷變化的在線威脅環(huán)境中，我們積極努力確保用戶和網(wǎng)絡(luò)的安全。我們對雅虎的投資使該團隊能夠繼續(xù)采取重大措施來增強他們的安全性，同時也能受益于Verizon的經(jīng)驗和資源?！?/span>

后來，經(jīng)過調(diào)查發(fā)現(xiàn)，雖然攻擊者訪問了安全問題和答案等賬戶信息，但明文密碼、支付卡和銀行數(shù)據(jù)并沒有被盜。

2. Aadhaar

時間：2018年1月；

影響：11億印度公民的身份/生物特征信息暴露；

2018年初，惡意行為者滲透了世界上最大的身份數(shù)據(jù)庫Aadhaar，泄露了超過11億印度公民的信息，包括姓名、地址、照片、電話號碼和電子郵件，以及指紋和虹膜掃描等生物特征數(shù)據(jù)。更重要的是，這個數(shù)據(jù)庫——由印度唯一識別局（UIDAI）于2009年建立——還包含與唯一12位數(shù)字相關(guān)的銀行賬戶信息。

據(jù)悉，攻擊者通過國有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫，Indane通過應(yīng)用程序編程接口連接到政府?dāng)?shù)據(jù)庫，該接口允許應(yīng)用程序檢索其他應(yīng)用程序或軟件存儲的數(shù)據(jù)。不幸的是，Indane的API沒有訪問控制，因此數(shù)據(jù)很容易受到攻擊。之后，攻擊者通過WhatsApp群以低至7美元的價格出售了這些數(shù)據(jù)使用權(quán)。盡管安全研究人員和技術(shù)組織發(fā)出警告，但印度當(dāng)局直到2018年3月23日才將這個易受攻擊的接入點關(guān)閉。

3. 阿里巴巴

時間：2019年11月；

影響：11億條用戶數(shù)據(jù)；

在八個月的時間里，一名開發(fā)人員使用自己開發(fā)的爬蟲軟件，從阿里巴巴（Alibaba）中文購物網(wǎng)站淘寶上抓取了大量客戶數(shù)據(jù)，包括用戶名和手機號碼。目前看來，這名開發(fā)人員及其雇主收集這些信息是為了自己使用，并沒有在黑市上出售。最終，兩人都被判處3年監(jiān)禁。

淘寶發(fā)言人在一份聲明中表示，“淘寶投入大量資源打擊平臺上未經(jīng)授權(quán)的抓取，因為數(shù)據(jù)隱私和安全是最重要的。我們已經(jīng)主動發(fā)現(xiàn)并解決了這種未經(jīng)授權(quán)的抓取行為。我們將繼續(xù)與執(zhí)法部門合作，捍衛(wèi)和保護我們用戶和合作伙伴的利益?！?/span>

4. LinkedIn

時間：2021年6月；

影響：77億用戶；

職業(yè)網(wǎng)絡(luò)巨頭領(lǐng)英（LinkedIn）在2021年6月發(fā)現(xiàn)，其7億用戶的相關(guān)數(shù)據(jù)被發(fā)布在暗網(wǎng)論壇上，影響了其90%以上的用戶群。一名自稱為“God User”的黑客利用該網(wǎng)站（和其他網(wǎng)站）的API，通過數(shù)據(jù)抓取技術(shù)轉(zhuǎn)儲了約5億用戶的信息數(shù)據(jù)集。接著，他們夸口說，他們正在出售完整的7億客戶數(shù)據(jù)庫。

盡管LinkedIn辯稱，由于沒有敏感的個人數(shù)據(jù)被泄露，該事件只是違反了其服務(wù)條款，而不是數(shù)據(jù)泄露，但正如英國國家網(wǎng)絡(luò)安全委員會（NCSC）警告的那樣，God User發(fā)布的一份抓取數(shù)據(jù)樣本包含電子郵件地址、電話號碼、地理位置記錄、性別和其他社交媒體細(xì)節(jié)等信息，這將為惡意行為者提供大量數(shù)據(jù)，在泄密事件發(fā)生后制造令人信服的后續(xù)社交工程攻擊。

5. 新浪微博

時間：2020年3月；

影響：5.38億賬戶；

新浪微博擁有超過6億用戶，是中國最大的社交媒體平臺之一。2020年3月，該公司宣布，攻擊者獲取了其部分?jǐn)?shù)據(jù)庫，影響了5.38億微博用戶及其個人信息，包括真實姓名、網(wǎng)站用戶名、性別、位置和電話號碼。據(jù)報道，攻擊者隨后在暗網(wǎng)上以250美元的價格出售了該數(shù)據(jù)庫。

中國工業(yè)和信息化部要求微博加強數(shù)據(jù)安全措施，更好地保護個人信息，并在發(fā)生數(shù)據(jù)安全事件時及時通知用戶和有關(guān)部門。新浪微博在一份聲明中稱，攻擊者利用一項服務(wù)——該服務(wù)旨在幫助用戶通過輸入朋友的電話號碼來定位他們的微博賬戶——收集了公開發(fā)布的信息，但密碼并未受到影響。不過，該公司也承認(rèn)，如果密碼在其他賬戶上重復(fù)使用，泄露的數(shù)據(jù)可能會被用來關(guān)聯(lián)賬戶和密碼。

6. Facebook

時間：2019年4月；

影響：5.33億用戶；

2019年4月，來自Facebook應(yīng)用程序的兩個數(shù)據(jù)集被暴露在公共互聯(lián)網(wǎng)上。這些信息涉及5.3億多Facebook用戶，包括電話號碼、賬戶名和Facebook id。然而，兩年后（2021年4月），這些數(shù)據(jù)被免費發(fā)布，表明圍繞這些數(shù)據(jù)有新的和真正的犯罪意圖。事實上，考慮到此次事件影響到的電話號碼數(shù)量之多，以及在暗網(wǎng)上可以輕易獲得的電話號碼，安全研究員Troy Hunt為他的“HaveIBeenPwned”入侵檢查網(wǎng)站添加了功能，允許用戶驗證他們的電話號碼是否包含在暴露的數(shù)據(jù)集中。

7. 萬豪國際（喜達屋）

時間：2018年9月；

影響：5億用戶；

2018年9月，萬豪國際酒店宣布其系統(tǒng)遭到攻擊，50萬喜達屋客人的敏感細(xì)節(jié)被曝光。在同年11月發(fā)布的一份聲明中，這家酒店巨頭表示，“2018年9月8日，萬豪收到了來自內(nèi)部安全工具的警告，稱有人試圖訪問喜達屋的客人預(yù)訂數(shù)據(jù)庫。萬豪迅速聘請頂尖安全專家?guī)椭_定發(fā)生了什么?！?/span>

萬豪在調(diào)查中了解到，自2014年以來，喜達屋的網(wǎng)絡(luò)一直存在未經(jīng)授權(quán)的訪問。未經(jīng)授權(quán)的一方復(fù)制并加密了信息，并采取了刪除措施。2018年11月19日，萬豪成功解密了這些信息，并確定其內(nèi)容來自喜達屋客房預(yù)訂數(shù)據(jù)庫。

復(fù)制的數(shù)據(jù)包括客人的姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、喜達屋首選客人賬戶信息、出生日期、性別、到達和離開信息、預(yù)訂日期和溝通偏好。對一些人來說，信息還包括支付卡號碼和到期日，盡管這些顯然是加密的。

事件發(fā)生后，萬豪在安全專家的協(xié)助下展開了調(diào)查，并宣布計劃逐步淘汰喜達屋系統(tǒng)，并加快對其網(wǎng)絡(luò)的安全加固。該公司最終在2020年被英國數(shù)據(jù)管理機構(gòu)信息專員辦公室（ICO）罰款1840萬英鎊（從最初的9900萬英鎊減少），原因是未能保護客戶的個人數(shù)據(jù)安全。

8. 雅虎

時間：2014年；

影響：5億賬戶；

雅虎再次出現(xiàn)在榜單中。在這起事件中，國家支持的黑客竊取了雅虎5億賬戶的數(shù)據(jù)，包括姓名、電子郵件地址、電話號碼、散列密碼和出生日期。該公司早在2014年就采取了初步的補救措施，但直到2016年，一個被盜的數(shù)據(jù)庫在黑市上出售后，雅虎才公開了細(xì)節(jié)。

9. Adult Friend Finder

時間：2016年10月；

影響：4.122億賬戶；

2016年10月，面向成人的社交網(wǎng)絡(luò)服務(wù)FriendFinder Network數(shù)據(jù)庫遭遇黑客入侵。考慮到該公司提供的服務(wù)的敏感性質(zhì)——包括休閑約會和成人內(nèi)容網(wǎng)站，如adult Friend Finder, penthouse，和Stripshow.com——超過4.14億賬戶的數(shù)據(jù)泄露，包括姓名，電子郵件地址和密碼，對受害者來說可能是特別致命的。更重要的是，絕大多數(shù)暴露的密碼都是通過弱算法SHA-1哈希的，極易被破解。

10. MySpace

時間：2013年；

影響：3.6億用戶賬號；

盡管社交媒體網(wǎng)站MySpace早已不再是曾經(jīng)的巨頭，但在2016年，3.6億用戶賬號被泄露到LeakedSource.com網(wǎng)站上，并在暗網(wǎng)市場the Real Deal上以6比特幣（當(dāng)時約3000美元）的價格出售，還是再次將它送上了新聞頭條。

據(jù)該公司稱，丟失的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺上創(chuàng)建的部分賬戶的電子郵件地址、密碼和用戶名。

11. 網(wǎng)易

時間：2015年10月；

影響：2.35億用戶賬號；

網(wǎng)易是163.com和126.com等郵箱服務(wù)提供商，據(jù)報道，2015年10月，暗網(wǎng)市場供應(yīng)商DoubleFlag出售了2.35億賬戶的電子郵件地址和明文密碼。烏云也爆料稱，網(wǎng)易的用戶數(shù)據(jù)庫疑似泄露，影響數(shù)據(jù)總共數(shù)億條，泄露信息包括用戶名、MD5密碼、密碼提示問題/答案（hash）、注冊IP、生日等。網(wǎng)易郵箱綁定的其他賬戶也受到波及，如iPhone用戶的Apple ID等。

但網(wǎng)易團隊卻堅稱沒有發(fā)生數(shù)據(jù)泄露，并通過微博發(fā)布官方聲明，稱郵箱被暴力破解“屬于網(wǎng)絡(luò)謠傳”。孰真孰假，愈顯撲朔迷離。

12. Court Ventures

時間：2013年10月；

影響：2億個人紀(jì)錄；

益百利（Experian）子公司Court Ventures于2013年淪為攻擊受害者，當(dāng)時一名越南男子（Hieu Minh Ngo）偽裝成新加坡私家偵探，誘騙益百利允許他訪問一個包含2億份個人記錄的數(shù)據(jù)庫。最終，該男子因向世界各地的網(wǎng)絡(luò)犯罪分子出售美國居民的個人信息（包括信用卡號和社會安全號碼）而被捕。

據(jù)悉，Ngo從2007年起就開始從事這種活動，之后他的行為細(xì)節(jié)才得以曝光。2014年3月，他在美國新罕布什爾州地區(qū)法院承認(rèn)了包括身份欺詐在內(nèi)的多項指控。美國司法部當(dāng)時表示，Ngo通過出售個人數(shù)據(jù)總共賺了200萬美元。

13. LinkedIn

時間：2012年6月；

影響：1.65億用戶；

LinkedIn也再次出現(xiàn)在名單中，這一次是因為它在2012年遭受的一次入侵，當(dāng)時它宣布有650萬個不相關(guān)的密碼（無鹽SHA-1哈希）被攻擊者竊取，并被發(fā)布到一個俄羅斯黑客論壇上。然而，直到2016年，事件的全部細(xì)節(jié)才被披露出來。同一名出售MySpace數(shù)據(jù)的黑客被發(fā)現(xiàn)以5個比特幣（當(dāng)時約為2000美元）的價格向LinkedIn提供約1.65億用戶的電子郵件地址和密碼。LinkedIn承認(rèn)，它已經(jīng)意識到這次入侵，并表示已重置了受影響賬戶的密碼。

14. Dubsmash

時間：2018年12月；

影響：1.62億用戶賬號；

2018年12月，總部位于紐約的視頻消息服務(wù)Dubsmash稱其1.62億個電子郵件地址、用戶名、PBKDF2密碼哈希值和出生日期等其他個人數(shù)據(jù)被盜，所有這些數(shù)據(jù)隨后在次年12月被放在暗網(wǎng)市場出售。。

Dubsmash承認(rèn)發(fā)生了信息泄露和出售事件，并就密碼修改提供了建議。然而，它未能說明攻擊者是如何進入的，也未能確認(rèn)有多少用戶受到影響。

15. Adobe

時間：2013年10月；

影響：1.53億條用戶記錄；

2013年10月初，Adobe報告稱，黑客竊取了近300萬份加密的客戶信用卡記錄和登錄數(shù)據(jù)。幾天后，Adobe再次更新了這一估計，稱包括3800萬“活躍用戶”的id和加密密碼失竊。安全博主Brian Krebs隨后報告稱，幾天前發(fā)布的一個文件“似乎包含了超過1.5億對來自Adobe的用戶名和哈希密碼對”。數(shù)周的研究表明，黑客還暴露了客戶的姓名、密碼、借記卡和信用卡信息。

2015年8月的一項協(xié)議要求Adobe支付110萬美元的訴訟費用，并向用戶支付100萬美元，以解決違反《客戶記錄法》（Customer Records Act）和不公平商業(yè)行為的指控。

參考及來源：https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html