首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

史上最严重的 20 起数据泄露事件,有你知道的吗

科技   2024-06-26 07:10   上海  

将 "数据与人" 设为 "星标⭐"

第一时间收到文章更新

历史上从未有过如此不稳定的时期,大规模数据泄露事件此起彼伏,并且呈现出持续上升的趋势。为了警示企业数据保护的重要性,防止再次发生数据被盗的问题,我们编制了一份历史上最大的20起数据泄露事件清单。


每一次数据泄露事件都揭示了导致数百万条个人数据记录被曝光的错误。
1. CAM4数据泄露

日期:2020年3月
影响:108.8亿条记录
热门成人流媒体直播平台CAM4的Elasticsearch服务器被入侵,超过100亿条记录被泄露。
被泄露的记录包括以下敏感信息:
  • 全名
  • 电子邮件地址
  • 性取向
  • 聊天记录
  • 电子邮件通信记录
  • 密码
  • IP地址

  • 付款记录

许多暴露的电子邮件地址都与云存储服务有关。如果黑客对这些用户成功发起网络钓鱼攻击,他们就可以更深入地获取个人照片和商业信息。
由于黑客肆无忌惮地连接被破坏的数据库,受影响的用户可能会在未来许多年内成为勒索和诽谤企图的受害者。
2. 雅虎(Yahoo)数据泄露(2017年)
日期:2017年10月
影响:30亿个账户
雅虎(Yahoo)披露,2013年8月一群黑客的违规行为使10亿个账户遭到泄露。在这种情况下,安全问题和答案也被泄露,增加了身份盗窃的风险。2016年12月14日,雅虎(Yahoo)在谈判将自己出售给Verizon时首次报告了该漏洞。雅虎(Yahoo)要求所有受影响的用户更改密码,并重新输入未加密的安全问题和答案,以便重新加密。
然而,到2017年10月,雅虎(Yahoo)将用户账户的估值更改为30亿。一项调查显示,用户的明文密码、支付卡数据和银行信息没有被盗。尽管如此,这仍然是这种类型最大的数据泄露事件之一。
3. Aadhaar数据泄露
日期:2018年3月
影响:11亿人
2018年3月,存储在世界上最大的生物识别数据库中的超过10亿印度公民的个人信息可以在线购买。
这次大规模数据泄露事件是由一家国有公用事业公司运行的系统数据泄露造成的。该漏洞允许访问Aadhaar持有人的私人信息,暴露了他们的姓名、唯一的12位身份证号码和银行详细信息。
泄露的信息类型包括几乎所有印度公民的照片、拇指指纹、视网膜扫描和其他识别细节。
4. 阿里巴巴数据泄露
日期:2022年7月
影响:11亿用户
2022年年中,中国电子商务巨头阿里巴巴遭受了一次重大数据泄露,其中客户数据包括:
  • 姓名
  • 身份证号码
  • 电话号码
  • 居住地址

  • 在线文件

总共有超过23TB的数据从阿里巴巴的云托管服务器中被泄露出来,阿里云也是中国最大的公共云服务提供商。该漏洞最初是由一名黑客通过在线论坛宣布的,他声称拥有上海警察的信息,其数据就托管在阿里云上。阿里巴巴及其创始人马云在处理极其敏感的政府信息时,却让关键服务器完全不受保护,因此受到了大量批评。
这并不是阿里巴巴的第一次数据泄露事件,因为就在一年前,第三方开发者曾泄露了阿里巴巴的购物网站淘宝上抓取的用户数据。同样,超过10亿用户被曝光,尽管该开发者和他的雇主被判处三年监禁,但阿里巴巴表明,他们在进入2022年之后继续采取宽松的安全措施。
5. 第一美国集团(FAF)数据泄露
日期:2019年5月
影响:8.85亿用户
据报道,2019年5月,第一美国集团(FAF)泄露了8.85亿用户的敏感记录,这些记录可以追溯到16年前,包括银行账户记录、社会保障号码、电汇交易和其他抵押贷款文件。
泄露是由于网站配置错误导致的,允许公众在不需要任何身份验证的情况下查看敏感信息。由于第一美国集团(FAF)的记录是连续的,任何人都可以增加或减少URL中的数字,以快速查看其他客户的记录。尽管发生了大规模泄露,但没有关于任何客户信息被盗或被用于恶意目的的报告。
6. Verifications.io数据泄露
日期:2019年2月
影响:7.63亿用户
2019年2月,电子邮件地址验证服务verifications.io在MongoDB实例中暴露了7.63亿个电子邮件地址,这些电子邮件地址在没有密码的情况下公开泄露。许多记录还包括姓名、电话号码、IP地址、出生日期和性别。
7. 领英(LinkedIn)数据泄露(2021年)
日期:2021年6月
影响:7亿用户
2021年6月,与7亿领英(LinkedIn)用户相关的数据被发布在暗网论坛上出售。这次事件影响了领英(LinkedIn)7.56亿用户中的92%的用户。
数据被分为两次泄露,最初暴露了5亿用户,然后是第二次泄露,黑客“上帝用户”吹嘘说,他们正在出售一个7亿个领英(LinkedIn)的数据。
泄露数据的预览-来源:9to5mac.com
黑客公布了包含100万条记录的样本,以确认漏洞的合法性。这些数据包括以下内容:
  • 电子邮件地址
  • 姓名
  • 电话号码
  • 地理位置
  • 领英(LinkedIn)用户名和个人资料URL
  • 个人和职业经历
  • 性别

  • 其他社交媒体账户和详细信息

黑客利用领英(LinkedIn)的API抓取了数据。
领英(LinkedIn)声称,由于个人信息没有被泄露,因此这次事件不是“数据泄露”,而只是通过被禁止的数据抓取违反了他们的服务条款。
了解数据泄露和数据泄漏之间的区别。
但泄露的数据足以引发大量的网络攻击,这使得该事件在很大程度上被归类为数据泄露。
8. Facebook数据泄露(2019年)
日期:2019年4月
影响:5.33亿用户
2019年4月,UpGuard Cyber Risk团队透露,两个第三方Facebook应用数据集已经暴露在公共互联网上。墨西哥的媒体公司Cultura Colectiva称,高达146GB,包含超过5.33亿条记录,详细记录了评论、点赞、反应、账户名称、FB ID等。考虑到此类数据的潜在用途,这种以同样集中形式进行的同一类型的数据泄露事件,在最近引起了广泛关注。

该公司的数据库于2021年4月在暗网上被免费泄露,为最初于2019年泄露的数据增加了新一波的犯罪曝光。这使得Facebook成为2021年被黑客入侵的最大公司之一。 
9. 雅虎(Yahoo)数据泄露(2014年)
日期:2014年
影响:5亿个账户
雅虎(Yahoo)认为,2014年这次首次网络攻击的幕后黑手是一个“国家支持的行为者”。被盗数据包括个人信息,如姓名、电子邮件地址、电话号码、密码、出生日期,以及安全问题和答案,其中一些是未加密的。
雅虎(Yahoo)早在2014年就意识到了这个漏洞,采取了一些初步的补救措施,但未能进一步调查。大约两年后,在该公司被盗的数据库据称在黑市上出售后,雅虎(Yahoo)才公开披露这一漏洞。
10. 喜达屋(Starwood)数据泄露
日期:2018年11月
影响:5亿客人
2018年11月,万豪国际宣布,黑客窃取了大约5亿喜达屋酒店客户的数据。攻击者早在2014年就未经授权访问了喜达屋系统,并在2016年万豪集团收购喜达屋后仍然留在该系统中。然而,这一发现直到2018年才发现。
被曝光的信息包括姓名、联系信息、护照号码、喜达屋贵宾客人号码、旅行信息和其他个人信息。万豪集团认为,超过1亿客户的信用卡和借记卡号码,以及到期日等财务信息被盗,尽管该公司不确定攻击者是否能够解密信用卡号码。
11. AdultFriendFinder数据泄露
日期:2016年10月
影响:4.122亿个账户
2016年10月,黑客在六个数据库中收集了20年的数据,其中包括成人约会和娱乐公司AdultFriendFinderNetwork的用户姓名、电子邮件地址和密码。FriendFinder网络包括Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com等网站。
大多数密码仅受薄弱的SHA-1算法保护,这意味着在LeakedSource.com于11月14日发布对整个数据集的分析时,其99%的密码已被破解。
12. MySpace数据泄露
日期:2013年6月
影响:3.6亿个账户
2013年6月,大约3.6亿个MySpace账户被一名俄罗斯黑客入侵,但该事件直到2016年才被公开披露。被泄露的信息包括账户信息,如所有者列出的姓名、用户名和出生日期。
在2013年至2016年期间,任何获得这些泄露信息的人都可能接管任何Myspace账户。此后,这家前社交媒体网络巨头已经宣布2013年之前设置的所有账户密码无效。
13. Exactis数据泄露
日期:2018年6月
影响:3.4亿人
2018年6月,总部位于佛罗里达州的营销和数据聚合公司Exactis在一个可公开访问的服务器上,披露了一个包含近3.4亿条记录的数据库。该漏洞暴露了个人信息,如电话号码、家庭和电子邮件地址、兴趣以及他们孩子的数量、年龄和性别。这一数据泄露是由安全专家Vinny Troia发现的,他表示,该漏洞包括数以亿计的美国成年人和数百万企业的数据。
14. 推特(Twitter)数据泄露(2018年)
日期:2018年5月
影响:3.3亿用户
2018年5月,社交媒体巨头推特(Twitter)通知用户,内部日志中存储的密码出现故障,导致内部网络可以访问所有用户的密码。推特(Twitter)要求其3.3亿用户更改密码,但该公司表示已经修复了这个漏洞,没有出现违规或滥用行为的迹象,但鼓励更新密码作为预防措施。推特(Twitter)没有透露有多少用户受到了影响,但表示用户数量很大,他们受到影响的时间长达数月。
15. 网易数据泄露 
日期:2015年10月
影响:2.34亿用户
2015年10月,网易遭受了数据泄露事件,影响了数亿订阅者。虽然有证据表明这些数据是合法的(许多用户在数据中确认了他们的密码),但很难进行重点验证。
泄露的信息包括电子邮件地址和纯文本密码。
16. Socialarks(笨鸟社交)数据泄露
日期:2021年1月
影响:2亿条记录
中国初创公司 Socialarks(笨鸟社交)在2021年通过其不安全的ElasticSearch数据库遭受了巨大的数据泄露。
Sociallarks的服务器没有密码保护,没有加密,它是公开暴露的资产。这种致命的组合意味着任何了解服务器IP地址的人都可以访问泄露的敏感数据,而这正是所发生的事情。
被入侵的数据库存储了超过2亿Facebook、Instagram和Linkedin用户的数据。
笨鸟社交泄露的数据包括:
  • 姓名

  • 电话号码
  • 电子邮件地址
  • 个人资料描述
  • 关注者和参与度数据
  • 地理位置
  • LinkedIn个人资料链接

  • 关联的社交媒体账户登录名

17. 深根分析(Deep Root Analytics)数据泄露
日期:2017年6月
影响:2亿美国选民
代表共和党全国委员会(RNC)工作的公司深根分析(Deep Root Analytics)访问了2亿选民的记录。这些数据包括1.1TB的选民个人身份信息(PII),包括姓名、地址和出生日期。
访问的数据还包含基于Reddit帖子活动的全面选民分析,可用于预测某人将如何对特定问题进行投票。
被入侵的数据库是由UpGuard网络研究团队发现的。
18.Court Ventures数据泄露
日期:2013年10月
影响:2亿条个人记录
信用卡监控公司Experian的子公司Court Ventures被入侵,泄露了2亿条个人记录。
黑客经营着一家销售个人身份信息的企业,并出售他在数据泄露事件中获取的信用卡号码和社会保障号码。
黑客冒充来自新加坡的私家侦探,说服员工放弃对内部数据库的访问,从而实现了渗透。
Experian在2020年遭受了另一次入侵,当时一名自称是Experian客户的威胁行为者说服员工出于营销目的放弃客户信息。
这些事件使Experian获得了金融服务行业中遭受最大数据泄露的声誉。
19.领英(LinkedIn)数据泄露
日期:2012年6月
影响:1.65亿用户
2012年6月,领英(LinkedIn)披露发生了数据泄露事件,但当时的密码重置通知表明,只有650万个账户受到影响。领英(LinkedIn)从未确认过实际数字,在2016年,我们了解到原因:高达1.65亿个用户账户被泄露,包括1.17亿个密码。
这一披露促使其他服务机构梳理他们的领英(LinkedIn)数据,并迫使自己的用户更改任何匹配的密码(感谢Netflix在这一问题上的带头作用)。为什么领英(LinkedIn)在四年内没有进一步调查最初的违规行为,或通知超过1亿受影响的用户,这一点没有得到回答。
20. Dubsmash数据泄露
日期:2018年12月
影响:1.62亿用户
2018年12月,Dubmash遭遇数据泄露,暴露了1.62亿个电子邮件地址、用户名和DBKDF2密码。2019年,这些数据出现在暗网上进行销售,并被更广泛地传播。
*声明:本文于网络整理,版权归原作者所有,如来源信息有误或侵犯权益,请联系我们删除或授权事宜。

更多精彩内容,关注我们▼▼

 http://mp.weixin.qq.com/s?__biz=MzA3MTg3NDY1OQ==&mid=2648680401&idx=2&sn=0f60345a5fcdddcc4ed964fcc4c4cb39
数据与人
聚焦技术和人文,分享干货,共同成长。
 最新文章
8种特“坑”的 SQL 写法,性能降低100倍,你不来看看??
初创公司技术开发心酸事
面试被要求斗地主?你都经历过哪些奇葩面试?
程序员找房子的正确姿势
你了解 localhost 与 127.0.0.1 的区别吗?
"顺着网线去打你" 这种情况是否存在可行性?
select count(*) 会不会导致全表扫描?
开发都认为运维工程师很Low?我反手一个大嘴巴子
面试了一个 46 岁的程序员,我思绪万千!
MySQL 中的 distinct 和 group by 哪个效率更高?
月薪15000,在西安的生活现状。
《黑神话·悟空》员工工资收入曝光,对比自己在哪一级
取代数据岗,中国又一新兴岗位在崛起!这才是数据人未来5年最好的就业方向!
MySQL 慢查询定位优化技巧,从10s优化到300ms
得知公司打算“优化”你,但是没有出正式通知,应该怎么做?
莫名其妙,MySQL coredump 了
为什么博客园快要“凉凉”,CSDN还活得风生水起?
2024年,大厂外包:你知道我这三年是怎么过的吗?
互联网大厂招聘学历鄙视链,你在第几层
从华为离职了
运维总监让我管理 4 万台服务器,这可能吗?
不懂就问:left join 后用 on 还是 where?
争议 | 要不要去 IT 外包公司工作?
七夕将近,用 Python 实现浪漫表白程序
那些在大厂呆了10年以上的财富自由了嘛?
写了个 insert into select,就被开了?
大专码农和 985 程序员有什么区别?
MySQL 中 Varchar(50) 和 varchar(500) 有什么区别?
程序员是怎么做到写了 Bug 还理直气壮的?
看电脑就知道一家公司好不好?
谁用 kill -9 关闭程序就开除!
读懂的 Prometheus 告警原理
大厂的背调是如何开展的
入职第一天,误删生产库,公司要起诉,我该怎么办?
离职后,前公司会调查你的去向吗?
集群被入侵,服务器变矿机。
为了摸鱼,我用AI自动清洗数据
史上最严重的 20 起数据泄露事件,有你知道的吗
外包小哥爱上正式员工小姐姐,网友给我整笑了。
大厂的堡垒机到底是个啥?
盘点那些令人目瞪口呆的 bug!
入职东北国企做程序员,谈谈我的感受。
做个很小众的应用就可以月入数万,为什么多数程序员都不做个人独立开发?
慢 SQL 是如何拖垮数据库的?
为什么运维难招?这些回答犀利又扎心。
周六,我删除了公司数据库。
遇到一个满嘴 “骚话” 的 HR
不吐不快:不必取悦所有人!
2024年了,2000万的行数还是 MySQL 表的限制吗?
自己亲手引发运维事故是一种什么样的体验?
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉