从互联网时代兴起至今,人们的生活方式有了很大的变化,很多服务只需要通过一个账户就能轻松享受,但从某种角度看,这也是让渡出一些个人隐私的结果,尤其是在当前几乎所有网络服务的账号都必须要绑定手机号甚至更多隐私信息的情况下才能使用,因此这些数据信息的价值大幅提升,成为攻击者眼中的“肥肉”,因此我们也看到数据泄露事件时有发生。
近期我们整理一些数据,总结出近10年来规模庞大的十起数据泄露事件。经整理发现,虽然最大的数据泄露事件发生在接近10年前,但更多事件都发生在2018年至今的5年内,而能够发生大规模泄露的普遍都是大型企业,安全建设水平理应较高,由此可见近些年来的威胁形势的确愈加严峻。我国作为一个互联网大国,也是数字化转型速度较高的国家,也有两起成为其中之一。
1、雅虎
事件时间:2013年8月
事件影响:30亿账户
虽然事件发生在2013年8月,但首次公开是2016年,当时雅虎正处在被Verizon(威瑞森)收购的过程之中,据当时估计,被黑客获取的账户信息数量超过10亿,但不到一年之后,雅虎表示在该事件中泄露的用户账户达到30亿。雅虎在当时的官方声明中表示,被盗信息内容包括用户名、邮箱地址、电话号码、生日、以及部分用户的安全识别问题和答案。同时特别强调信用卡和银行账户信息并没有保存在黑客攻击的服务器上。
根据当时国内媒体调查分析,在泄露的用户账户中,至少有数千万是中国用户,尽管发生该事件的事件和雅虎离开中国事件大体一致,中国的活跃用户处在较低的水平,但考虑到很多用户在口令方面并没有良好的安全习惯,因此也有可能会被进一步利用。在Verizon完成对雅虎的收购后也加大了针对提升雅虎安全性方面的投入,根据外媒报道,包括口令、支付卡和银行数据的确没有被盗。
2. Aadhaar(印度唯一身份识别管理局)
事件时间:2018年1月
事件影响:超11亿印度公民身份及生物特征信息被泄露
2018年初,媒体报道称有攻击者入侵世界上最大的身份数据库——印度Aadhaar,在该事件中,总计泄露了超过11亿印度公民的信息,包括姓名、地址、照片、电话号码和电子邮件以及包括指纹、虹膜在内的生物特征数据。更重要的是,由于这个由印度唯一身份识别局 (UIDAI)在2009年建立的数据库还包含了与公民身份证号相关的银行账户信息,尽管该局最初否认数据库持有此类数据、
据当时报道显示,攻击者通过印度国有公用事业公司Indane的网站潜入Aadhaar数据库,Indane通过API接口连接到政府数据库,该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是,Indane的API并未有访问控制,因此数据很容易受到攻击。在事件发生后,攻击者通过社交媒体以低至7美元的价格出售数据使用权。尽管安全研究人员不断地发出告警,但印度当局仍然拖到直到2018年3月下旬才将这个易受攻击的接口关闭。
3、淘宝
事件时间:2019年11月
事件影响:超11亿条用户数据遭泄露
据中国基金报2021年6月报道,商丘市睢阳区人民法院当时在裁判文书网公开了一份刑事判决书,显示一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起,对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在平台注意到这一问题前,已经有超过11亿8千多万条用户信息泄露。
报道指出,在八个月的时间里,一名为关联营销人员工作的开发人员使用自己开发的爬虫软件,从该平台抓取了客户数据,包括用户名和手机号码。另一名犯罪分子利用这些信息,建了1100个微信群,每个群90-200人不等,每天用机器人在群里发平台优惠券,赚取返利,并在短短的8个月内获利34万余元。
4、领英(LinkedIn)
事件时间:2021年6月
事件影响:7亿用户数据
6月22日,有黑客在暗网销售领英7亿条包含用户邮箱、姓名、电话号码、家庭住址、个人和职业背景信息等内容的用户数据。据报道,当时领英的用户总数量为7.56亿,如此看来,当时其九成以上的用户数据都惨遭暴露。不过领英随后表示并没有敏感的个人隐私数据被泄露,虽然该事件的出现令其违反用户服务条款,但数据泄露本身并不存在。但据英国国家网络安全委员会(NCSC)发布的警告内容显示,在攻击者发布的一份抓取数据样本中,包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息,毫无疑问,这将为攻击者提供大量机会,在该数据泄露发生后制造更多的社工攻击。
据攻击者自身的表述看,该攻击仍然是利用领英网站和其他网站的API接口所发起,在数据转储过程中被抓取。
5、微博
事件时间:2020年3月
事件影响:5.38亿用户账户
2020年3月,微博表示攻击者获取了其部分数据库,影响了5.38亿微博用户和他们的个人信息,包括真实姓名、网站用户名、性别、位置和电话号码。据报道,攻击者随后在暗网上以250美元的价格出售该数据库。
微博在声明中称,攻击者利用一项服务收集了公开发布的信息,该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户,而密码没有受到影响。不过,微博也承认,如果密码在其他账户上重复使用,泄露的数据可能会被用来关联账户和密码。
6、Facebook
事件时间:2019年4月
事件影响:5.33亿用户账户
2021年4月,有一个用户在黑客论坛中发布了一份数量庞大的数据,这些数据涉及106个国家的5.33亿Facebook用户,包括ID、用户全名、位置、生日、个人简介以及电子邮件地址等信息。其中来自美国(约3200万条)、英国(约1100万条)以及印度(约600万条)都是受影响的主要群体。随后经过研究机构验证后,这些数据的真实性得以证实。
尽管Facebook在声明中表示,这些数据是在2019年4月被泄露的,并在当年8月就已经修复了该漏洞,其言外之意无外乎是宣扬该事件影响有限,但对于用户而言,在Facebook上面绑定的电话号码、邮件可不会经常更换,更别提那些和用户全名、出生日期等数据了。
7、万豪国际
事件时间:2018年9月
事件影响:5亿用户
在2018年11月发布的声明中,万豪国际酒店宣布其系统在2018年9月遭受入侵后,那些曾于2018年9月10日或之前在该酒店预订的客户信息或被泄露,涉案数据约5亿条。
万豪国际在后期的调查中了解到,自2014年以来,其系统中就一直存在未经授权的访问。在这一攻击过程中,未经授权的一方复制并加密了信息,随后则采取删除的手段。2018年11月19日,万豪国际成功解密了这些信息,并确定其内容来自喜达屋客房预订数据库。报道显示,被窃取的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码以及喜达屋常旅客计划(Starwood Preferred Guest,SPG )的账户信息、出生日期、性别、到达和离开信息、预订日期和其他偏好。对一些人来说,信息还包括支付用银行卡的卡号和到期日。
2020年,万豪国际因未能保护用户的个人数据安全,被英国数据管理机构信息专员办公室(ICO)罚款1840万英镑,值得一提的是,如果不是因为疫情原因“打折”,该罚款的金额应达到9900万英镑。
8、雅虎
事件时间:2014年
事件影响:5亿用户
作为整个互联网世界的老牌企业,雅虎确实承受了不少的攻击,除了前面2013遭受的攻击之外,在2014年它也遭受了攻击,而在这一事件当中,攻击者窃取了雅虎5亿用户的数据,包括姓名、电子邮件地址、电话号码和出生日期等等。不过,直至涉案数据库于2016年在黑市上被出售之后,雅虎才官方公布了该事件相关细节,并表示在2014年当年就采取了补救措施,但具体如何,谁知道呢?毕竟2013年遭受攻击之后,2014年仍然还有涉及如此庞大的用户数据被泄露,其所谓的安全“加强”能力也是可见一斑。
9、Friend Finder Network
事件时间:2016年10月
事件影响:4.12亿用户
Friend Finder Network泄露的数据除了包含自身的3.39亿用户账号信息之外,还包括其他同行业的网站(如聊天站等)用户信息,总数量达到了4.12亿,泄露的数据包括姓名,电子邮件地址和密码等,考虑到该网站的服务性质,可以想象这些泄露的信息对于受害者的影响恐怕是巨大的。另外值得一提的是,暴露的个人信息中,包括大量通过弱算法SHA-1哈希加密的,根据研究人员对其数据集的分析之后,在2016年11月发布结果显示,预计会有99%的密码被破解。
10、MySpace
事件时间:2013年
事件影响:3.6亿用户账号
熟悉这个社交媒体网站的人可能不会太年轻了,它曾经是当年的社交媒体网站巨头之一,但现在已经没落,但考虑到它在鼎盛时期的受欢迎程度,也就不难想象它一旦发生用户数据泄露,量级也一定小不了。
2016年,MySpace网站的3.6亿用户账号被暴露在互联网上,并在暗网以6个比特币的价格进行出售,而在那个时候,6个比特币的价格也才大约3000美元而已,这和3.6亿的数字之间差距实在是太大了,以至于该新闻甚至成为当时不少主流媒体的头条。
根据该公司的官方说法,泄露的数据包括2013年6月11日之前在旧Myspace平台上创建的部分账户的电子邮件地址、密码和用户名,并呼吁在此之前创建账号的用户能够返回网站进行验证并按照提示重置他们的密码。