历史上从未有过如此不稳定的时期,大规模数据泄露事件此起彼伏,并且呈现出持续上升的趋势。为了警示企业数据保护的重要性,防止再次发生数据被盗的问题,我们编制了一份历史上最大的70起数据泄露事件清单。
正如您所看到的,即使是Facebook、LinkedIn和Twitter这样的知名公司也很容易受到数据泄露事件的影响。
按影响排名的70个最大的数据泄露事件
每一次数据泄露事件都揭示了导致数百万条个人数据记录被曝光的错误。
1. CAM4数据泄露
日期:2020年3月
影响:108.8亿条记录
热门成人流媒体直播平台CAM4的Elasticsearch服务器被入侵,超过100亿条记录被泄露。
被泄露的记录包括以下敏感信息:
全名
电子邮件地址
性取向
聊天记录
电子邮件通信记录
密码
IP地址
付款记录
许多暴露的电子邮件地址都与云存储服务有关。如果黑客对这些用户成功发起网络钓鱼攻击,他们就可以更深入地获取个人照片和商业信息。
由于黑客肆无忌惮地连接被破坏的数据库,受影响的用户可能会在未来许多年内成为勒索和诽谤企图的受害者。
2. 雅虎(Yahoo)数据泄露(2017年)
日期:2017年10月
影响:30亿个账户
雅虎(Yahoo)披露,2013年8月一群黑客的违规行为使10亿个账户遭到泄露。在这种情况下,安全问题和答案也被泄露,增加了身份盗窃的风险。2016年12月14日,雅虎(Yahoo)在谈判将自己出售给Verizon时首次报告了该漏洞。雅虎(Yahoo)要求所有受影响的用户更改密码,并重新输入未加密的安全问题和答案,以便重新加密。
然而,到2017年10月,雅虎(Yahoo)将用户账户的估值更改为30亿。一项调查显示,用户的明文密码、支付卡数据和银行信息没有被盗。尽管如此,这仍然是这种类型最大的数据泄露事件之一。
3. Aadhaar数据泄露
日期:2018年3月
影响:11亿人
2018年3月,存储在世界上最大的生物识别数据库中的超过10亿印度公民的个人信息可以在线购买。
这次大规模数据泄露事件是由一家国有公用事业公司运行的系统数据泄露造成的。该漏洞允许访问Aadhaar持有人的私人信息,暴露了他们的姓名、唯一的12位身份证号码和银行详细信息。
泄露的信息类型包括几乎所有印度公民的照片、拇指指纹、视网膜扫描和其他识别细节。
4. 阿里巴巴数据泄露
日期:2022年7月
影响:11亿用户
2022年年中,中国电子商务巨头阿里巴巴遭受了一次重大数据泄露,其中客户数据包括:
姓名
身份证号码
电话号码
居住地址
在线文件
总共有超过23TB的数据从阿里巴巴的云托管服务器中被泄露出来,阿里云也是中国最大的公共云服务提供商。该漏洞最初是由一名黑客通过在线论坛宣布的,他声称拥有上海警察的信息,其数据就托管在阿里云上。阿里巴巴及其创始人马云在处理极其敏感的政府信息时,却让关键服务器完全不受保护,因此受到了大量批评。
这并不是阿里巴巴的第一次数据泄露事件,因为就在一年前,第三方开发者曾泄露了阿里巴巴的购物网站淘宝上抓取的用户数据。同样,超过10亿用户被曝光,尽管该开发者和他的雇主被判处三年监禁,但阿里巴巴表明,他们在进入2022年之后继续采取宽松的安全措施。
5. 第一美国集团(FAF)数据泄露
日期:2019年5月
影响:8.85亿用户
据报道,2019年5月,第一美国集团(FAF)泄露了8.85亿用户的敏感记录,这些记录可以追溯到16年前,包括银行账户记录、社会保障号码、电汇交易和其他抵押贷款文件。
泄露是由于网站配置错误导致的,允许公众在不需要任何身份验证的情况下查看敏感信息。由于第一美国集团(FAF)的记录是连续的,任何人都可以增加或减少URL中的数字,以快速查看其他客户的记录。尽管发生了大规模泄露,但没有关于任何客户信息被盗或被用于恶意目的的报告。
6. Verifications.io数据泄露
日期:2019年2月
影响:7.63亿用户
2019年2月,电子邮件地址验证服务verifications.io在MongoDB实例中暴露了7.63亿个电子邮件地址,这些电子邮件地址在没有密码的情况下公开泄露。许多记录还包括姓名、电话号码、IP地址、出生日期和性别。
7. 领英(LinkedIn)数据泄露(2021年)
日期:2021年6月
影响:7亿用户
2021年6月,与7亿领英(LinkedIn)用户相关的数据被发布在暗网论坛上出售。这次事件影响了领英(LinkedIn)7.56亿用户中的92%的用户。
数据被分为两次泄露,最初暴露了5亿用户,然后是第二次泄露,黑客“上帝用户”吹嘘说,他们正在出售一个7亿个领英(LinkedIn)的数据。
泄露数据的预览-来源:9to5mac.com
黑客公布了包含100万条记录的样本,以确认漏洞的合法性。这些数据包括以下内容:
电子邮件地址
姓名
电话号码
地理位置
领英(LinkedIn)用户名和个人资料URL
个人和职业经历
性别
其他社交媒体账户和详细信息
黑客利用领英(LinkedIn)的API抓取了数据。
领英(LinkedIn)声称,由于个人信息没有被泄露,因此这次事件不是“数据泄露”,而只是通过被禁止的数据抓取违反了他们的服务条款。
了解数据泄露和数据泄漏之间的区别。
但泄露的数据足以引发大量的网络攻击,这使得该事件在很大程度上被归类为数据泄露。
8. Facebook数据泄露(2019年)
日期:2019年4月
影响:5.33亿用户
2019年4月,UpGuard Cyber Risk团队透露,两个第三方Facebook应用数据集已经暴露在公共互联网上。墨西哥的媒体公司Cultura Colectiva称,高达146GB,包含超过5.33亿条记录,详细记录了评论、点赞、反应、账户名称、FB ID等。考虑到此类数据的潜在用途,这种以同样集中形式进行的同一类型的数据泄露事件,在最近引起了广泛关注。
该公司的数据库于2021年4月在暗网上被免费泄露,为最初于2019年泄露的数据增加了新一波的犯罪曝光。这使得Facebook成为2021年被黑客入侵的最大公司之一。
9. 雅虎(Yahoo)数据泄露(2014年)
日期:2014年
影响:5亿个账户
雅虎(Yahoo)认为,2014年这次首次网络攻击的幕后黑手是一个“国家支持的行为者”。被盗数据包括个人信息,如姓名、电子邮件地址、电话号码、密码、出生日期,以及安全问题和答案,其中一些是未加密的。
雅虎(Yahoo)早在2014年就意识到了这个漏洞,采取了一些初步的补救措施,但未能进一步调查。大约两年后,在该公司被盗的数据库据称在黑市上出售后,雅虎(Yahoo)才公开披露这一漏洞。
10. 喜达屋(Starwood)数据泄露
日期:2018年11月
影响:5亿客人
2018年11月,万豪国际宣布,黑客窃取了大约5亿喜达屋酒店客户的数据。攻击者早在2014年就未经授权访问了喜达屋系统,并在2016年万豪集团收购喜达屋后仍然留在该系统中。然而,这一发现直到2018年才发现。
被曝光的信息包括姓名、联系信息、护照号码、喜达屋贵宾客人号码、旅行信息和其他个人信息。万豪集团认为,超过1亿客户的信用卡和借记卡号码,以及到期日等财务信息被盗,尽管该公司不确定攻击者是否能够解密信用卡号码。
11. AdultFriendFinder数据泄露
日期:2016年10月
影响:4.122亿个账户
2016年10月,黑客在六个数据库中收集了20年的数据,其中包括成人约会和娱乐公司AdultFriendFinder Network的用户姓名、电子邮件地址和密码。FriendFinder网络包括Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com等网站。
大多数密码仅受薄弱的SHA-1算法保护,这意味着在LeakedSource.com于11月14日发布对整个数据集的分析时,其99%的密码已被破解。
12. MySpace数据泄露
日期:2013年6月
影响:3.6亿个账户
2013年6月,大约3.6亿个MySpace账户被一名俄罗斯黑客入侵,但该事件直到2016年才被公开披露。被泄露的信息包括账户信息,如所有者列出的姓名、用户名和出生日期。
在2013年至2016年期间,任何获得这些泄露信息的人都可能接管任何Myspace账户。此后,这家前社交媒体网络巨头已经宣布2013年之前设置的所有账户密码无效。
13. Exactis数据泄露
日期:2018年6月
影响:3.4亿人
2018年6月,总部位于佛罗里达州的营销和数据聚合公司Exactis在一个可公开访问的服务器上,披露了一个包含近3.4亿条记录的数据库。该漏洞暴露了个人信息,如电话号码、家庭和电子邮件地址、兴趣以及他们孩子的数量、年龄和性别。这一数据泄露是由安全专家Vinny Troia发现的,他表示,该漏洞包括数以亿计的美国成年人和数百万企业的数据。
14. 推特(Twitter)数据泄露(2018年)
日期:2018年5月
影响:3.3亿用户
2018年5月,社交媒体巨头推特(Twitter)通知用户,内部日志中存储的密码出现故障,导致内部网络可以访问所有用户的密码。推特(Twitter)要求其3.3亿用户更改密码,但该公司表示已经修复了这个漏洞,没有出现违规或滥用行为的迹象,但鼓励更新密码作为预防措施。推特(Twitter)没有透露有多少用户受到了影响,但表示用户数量很大,他们受到影响的时间长达数月。
15. 网易数据泄露
日期:2015年10月
影响:2.34亿用户
2015年10月,网易遭受了数据泄露事件,影响了数亿订阅者。虽然有证据表明这些数据是合法的(许多用户在数据中确认了他们的密码),但很难进行重点验证。
泄露的信息包括电子邮件地址和纯文本密码。
16. Socialarks(笨鸟社交)数据泄露
日期:2021年1月
影响:2亿条记录
中国初创公司 Socialarks(笨鸟社交)在2021年通过其不安全的ElasticSearch数据库遭受了巨大的数据泄露。
Sociallarks的服务器没有密码保护,没有加密,它是公开暴露的资产。这种致命的组合意味着任何了解服务器IP地址的人都可以访问泄露的敏感数据,而这正是所发生的事情。
被入侵的数据库存储了超过2亿Facebook、Instagram和Linkedin用户的数据。
笨鸟社交泄露的数据包括:
姓名
电话号码
电子邮件地址
个人资料描述
关注者和参与度数据
地理位置
LinkedIn个人资料链接
关联的社交媒体账户登录名
17. 深根分析(Deep Root Analytics)数据泄露
日期:2017年6月
影响:2亿美国选民
代表共和党全国委员会(RNC)工作的公司深根分析(Deep Root Analytics)访问了2亿选民的记录。这些数据包括1.1TB的选民个人身份信息(PII),包括姓名、地址和出生日期。
访问的数据还包含基于Reddit帖子活动的全面选民分析,可用于预测某人将如何对特定问题进行投票。
被入侵的数据库是由UpGuard网络研究团队发现的。
18.Court Ventures数据泄露
日期:2013年10月
影响:2亿条个人记录
信用卡监控公司Experian的子公司Court Ventures被入侵,泄露了2亿条个人记录。
黑客经营着一家销售个人身份信息的企业,并出售他在数据泄露事件中获取的信用卡号码和社会保障号码。
黑客冒充来自新加坡的私家侦探,说服员工放弃对内部数据库的访问,从而实现了渗透。
Experian在2020年遭受了另一次入侵,当时一名自称是Experian客户的威胁行为者说服员工出于营销目的放弃客户信息。
这些事件使Experian获得了金融服务行业中遭受最大数据泄露的声誉。
19.领英(LinkedIn)数据泄露
日期:2012年6月
影响:1.65亿用户
2012年6月,领英(LinkedIn)披露发生了数据泄露事件,但当时的密码重置通知表明,只有650万个账户受到影响。领英(LinkedIn)从未确认过实际数字,在2016年,我们了解到原因:高达1.65亿个用户账户被泄露,包括1.17亿个密码。
这一披露促使其他服务机构梳理他们的领英(LinkedIn)数据,并迫使自己的用户更改任何匹配的密码(感谢Netflix在这一问题上的带头作用)。为什么领英(LinkedIn)在四年内没有进一步调查最初的违规行为,或通知超过1亿受影响的用户,这一点没有得到回答。
20. Dubsmash数据泄露
日期:2018年12月
影响:1.62亿用户
2018年12月,Dubmash遭遇数据泄露,暴露了1.62亿个电子邮件地址、用户名和DBKDF2密码。2019年,这些数据出现在暗网上进行销售,并被更广泛地传播。
21. Adobe数据泄露
日期:2013年10月
影响:1.52亿账户
2013年10月,1.53亿个Adobe账户被入侵。泄露的数据包含内部ID、用户名、电子邮件、加密密码和明文密码提示。加密功能薄弱,许多密码很快被解析为纯文本,密码提示增加了损坏,使许多用户的密码很容易被猜到。
22.MyFitnessPal数据泄露
日期:2018年2月
影响:1.5亿用户
2018年2月,饮食和锻炼应用程序MyFitnessPal(由Under Armour旗下)遭遇攻击,泄露了1.44亿个的电子邮件、IP地址和登录账号,如存储为SHA-1和bcrypt存储的用户名和密码(前者用于早期账户,后者用于新账户)。2019年,这些敏感数据出现在暗网市场上挂牌出售,并开始更广泛地传播,因此它被识别并提供给数据安全网站Have I Been Pwned。
23.Equifax数据泄露
日期:2017年9月
影响:1.48亿人
2017年9月,美国三大消费者信用报告机构之一Equifax宣布其系统遭到破坏,1.48亿美国人的敏感个人数据被泄露。被泄露的数据包括姓名、家庭住址、电话号码、出生日期、社会保险号和驾照号码。大约209,000名消费者的信用卡信息也通过这次事件被泄露了。Equifax处理的信息的敏感性使得这次泄露事件前所未有,也是迄今为止最大的数据泄露事件之一。
24.eBay数据泄露
日期:2014年2月/3月
影响:1.45亿用户
2014年2月至3月期间,eBay成为加密密码泄露的受害者,导致其所有1.45亿用户都要求重设密码。攻击者使用一小部分员工账号来访问这些用户数据。被盗信息包括加密密码和其他个人信息,包括姓名、电子邮件地址、实际地址、电话号码和出生日期。经过eBay长达一个月的调查,该漏洞于2014年5月披露。
25.Canva数据泄露
日期:2019年5月
影响:1.37亿用户
2019年5月,澳大利亚企业Canva(一个在线平面设计工具)遭受了数据泄露,影响了1.37亿用户。暴露的数据包括作为bcrypt存储的电子邮件地址、姓名、用户名、城市和密码。
疑似罪魁祸首——Gnosticplayers,已经发现并修复了导致数据泄露的网络威胁。攻击者还声称获得了通过谷歌登录的OAuth账户。
Canva确认了这一事件,通知了用户,并提示他们更改密码和重置OAuth账户。这一事件是澳大利亚最大的数据泄露事件之一。
26.Heartland支付系统数据泄露
日期:2008年3月
影响:1.34亿张信用卡被曝光
在数据泄漏发生时,Heartland每月为175,000家商家处理超过1亿笔信用卡交易。2009年1月,Visa和万事达卡通知Heartland可疑交易时,发现了这一漏洞。攻击者利用已知的漏洞来执行SQL注入攻击。
该公司为欺诈性付款支付了约1.45亿美元的赔偿金。
27.Apollo数据泄露
日期:2018年7月
影响:1.26亿用户
2018年7月,Apollo将一个包含数十亿数据点的数据库公开曝光。该数据的一个子集被发送到Have I Been Pwned,其中有1.26亿个电子邮件地址。完整的数据集包括个人身份信息(PII),如姓名、电子邮件地址、工作地点、担任的角色和位置。
28.Badoo数据泄露
日期:2013年7月
影响:1.12亿用户
2013年6月,来自社交网站Badoo的数据泄露事件被传播。该漏洞包含1.12亿个电子邮件地址和PII,如姓名、出生日期和密码。
29.Capital One数据泄露
日期:2013年7月
影响:1.06亿个信用卡号码
2013年7月,Capital One发现其客户记录出现安全漏洞,暴露了其客户的个人信息,包括信用卡数据、社会安全号码和银行账户号码。
30.Evite数据泄露
日期:2013年8月
影响:1.01亿用户
2019年4月,社会规划和邀请网站Evite发现了2013年的数据泄露。暴露的数据包括1.01亿个电子邮件地址,以及以纯文本形式存储的电话号码、姓名、地理位置、出生日期、性别和密码。
31.Quora数据泄露
日期:2018年12月
影响:1亿用户
受欢迎的问答网站Quora在2018年遭受了攻击,被泄漏了高达1亿用户的个人数据。
泄露的数据类型包括个人信息,如姓名、电子邮件地址、加密密码、链接到Quora的用户账户,以及用户发布的公开问题和答案。没有证据表明,匿名发布的问题和答案受到漏洞的影响。
32.VK数据泄露
日期:2012年1月
影响:9300万用户
俄罗斯社交媒体网站VK被黑客入侵,暴露了9300万个姓名、电话号码、电子邮件地址和纯文本密码。
33.MyHeritage数据泄露
日期:2018年6月
影响:9200万用户
MyHeritage数据泄露,影响了超过9200万个用户账户。该漏洞发生在2017年10月,但直到2018年6月才被披露。一位安全研究人员在私人服务器上发现了一个文件,其中包含电子邮件地址和加密密码。MyHeritage的安全团队证实,该文件的内容影响了9200万用户,但没有发现任何证据表明攻击者曾使用过这些数据。MyHeritage因及时调查并向公众披露漏洞的细节,赢得了赞誉。
34.优酷数据泄露
日期:2016年12月
影响:9200万用户
中国领先的在线视频平台优酷暴露了9200万个用户账户和MD5密码。
35.Rambler数据泄露
日期:2014年3月
影响:9100万用户
Rambler(俄罗斯雅虎)的9100万个账户被在线交易,其中包含用户名(构成Rambler电子邮件的一部分)和纯文本密码。
36.Facebook数据泄露(2018年)
日期:2018年初(这是一个剑桥分析公司的告密者披露此事的时间)
影响:8700万用户
虽然数据泄露的类型略有不同,因为信息不是从Facebook窃取的,但影响到8700万Facebook账户的事件。剑桥分析公司是一家数据分析公司,受政治利益相关者委托,包括特朗普选举和支持英国脱欧运动的官员。
剑桥分析公司从剑桥大学的数据科学家亚历山大-科根(Aleksandr Kogan)那里获得了数据,他使用一个名为“这是你的数字生活”的应用程序收集数据。此次泄露事件中最具争议的一点是,用户不欣赏或不同意将一款看似无害的生活方式应用程序的数据用于政治用途。
UpGuard的研究人员还发现并披露了AggregateIQ的相关漏洞,这是一家与剑桥分析公司关系密切的加拿大公司。
37.Dailymotion数据泄露
日期:2016年10月
影响:8500万用户
2016年10月,视频分享平台Dailymotion暴露了超过8500万个用户账户,包括电子邮件、用户名和密码。
38.Anthem数据泄露
日期:2015年2月
影响:7880万客户和前客户个人信息被盗
2015年2月,美国医疗保险公司Anthem子公司的一名用户点击了一封网络钓鱼电子邮件,该电子邮件允许攻击者访问:
姓名
地址
出生日期
工作经历
社会保障号码
这次袭击还通过Anthem网络影响了其他品牌,包括Blue Cross、Blue Shield、Amerigroup、Caremore和Unicare。当黑客从Anthem服务器窃取信息时,该漏洞在数周内没有被发现,也没有被检测到。尽管数据没有被要求加密,但Anthem仍因未能保护用户数据而遭到强烈反对。
2017年,作为有史以来最大的医疗数据泄露事件之一,Anthem支付了创纪录的1.15亿美元。此外,Anthem还与美国卫生与公众服务部(HHS)达成了1600万美元的和解,原因是该公司未能采取适当措施检测黑客和未经授权的网络活动。
39.Dropbox数据泄露
日期:2012年中
影响:6900万用户
2012年年中,Dropbox遭遇了数据泄露,暴露了6800万条记录,其中包含电子邮件地址和密码。
40. tumblr数据泄露
日期:2013年2月
影响:6600万用户
2013年2月,tumblr遭受了数据泄露,暴露了6500万个账户。该漏洞包括电子邮件地址和SHA1密码。
41.Uber数据泄露
日期:2016年底
影响:5700万Uber用户和60万司机的个人信息被曝光
2016年底,Uber获悉,两名黑客能够访问Uber应用程序5700万用户的姓名、电子邮件地址和手机号码。他们还获得了60万名Uber司机的驾驶执照号码。此外,黑客能够访问Uber的GitHub账户,在那里他们找到了Uber的亚马逊网络服务证书。
42.家得宝数据泄露
日期:2014年9月
影响:5600万客户的信用卡信息
家得宝公司宣布,其POS(销售点)系统被一个定制的恶意软件感染,该恶意软件冒充防病毒软件,影响了家得宝美国和加拿大的客户。经过调查,网络执法部门发现,网络犯罪分子最有可能通过第三方供应商入侵了家得宝的服务器,这使得他们能够在近五个月内窃取支付信息,而不被发现。
在这次攻击和造成超过1.8亿美元的损失后,家得宝公司承诺投资网络安全,以更好地保护敏感的财务数据。大部分的损失包括向受影响的个人、信用卡公司、银行和诉讼的支付。
43.TJX数据泄露
日期:2005年7月
影响:4560万个卡号
TJX是美国和全世界的服装和家庭时尚低价零售商,其支付系统之一被入侵,暴露了超过4500万张信用卡和借记卡号码。这些漏洞发生在2005年7月至2007年1月,是在几波违规事件中被盗用的。
TJX声称,与每个被盗卡号相关联的姓名和地址并没有在此次漏洞中暴露。
44.Ashley Madison数据泄露
日期:2015年7月
影响:3200万用户
被确定为Impact Team的黑客团体泄露了社交网站Ashley Madison的3500万条用户记录。
黑客要求其母公司Avid Life Media在30天内关闭Ashley Madison和姐妹网站Estabendment Men,以避免泄露的记录发布。
Avid Life Media未能遵守约定,导致Pastebin上出现了一波又一波的分类数据泄露,被曝光的用户名单包括军队和政府成员。
以下记录包含在访问的数据中:
七年的信用卡支付历史
全名
地理位置
电子邮件地址
其他细节
Impact Team声称,该漏洞很容易实现,几乎没有任何安全问题可以绕过。
45.Plex数据泄露
日期:2022年8月
影响:2000万用户
流媒体平台Plex遭受了数据泄露,影响了大约2000万的用户。在这次网络攻击中,以下类型的敏感信息被泄露:
用户名
电子邮件地址
密码
在给用户的电子邮件中,Plex向用户保证,所有被泄露的密码都是按照最 佳网络安全做法进行加密和保护的。
46.Bonobos数据泄露
日期:2021年1月
影响:1230万条记录
男子服装店Bonobos在2021年遭遇数据泄露,因为一名网络犯罪分子破坏了其包含客户数据的备份服务器。
以下几类数据被访问,总数达1230万条:
700万条送货地址记录
180万条账户信息记录
350万份部分信用卡记录
该数据库没有连接到Bonobo的私人数据,这些数据被隔离以进行保护。但攻击者仍然可以利用被盗信息。
在被盗数据被丢弃在黑客论坛上后,一名攻击者声称发现了158,000个SHA-256密码,但剩下的用SHA-512加密的密码却无法被破解。
47.MGM Grand数据泄露
日期:2020年2月
影响:1060万客户
黑客从MGM Grand酒店获得了超过1000万条访客记录。这些记录暴露了酒店客人的联系信息,包括贾斯汀·比伯、推特首席执行官杰克·多西和政府官员。
MGM Grand酒店保证,在这次漏洞中没有暴露任何财务或密码数据。
48.Optus数据泄露
日期:2022年9月
影响:980万客户
网络犯罪分子进入了Optus的内部网络,获得了与980万客户有关的客户数据库。被泄露的数据最早可以追溯到2017年,包括以下类型的信息:
姓名
出生日期
电话号码
电子邮件地址
子数据集还包括街道地址、驾驶执照和护照号码。
据推测,网络犯罪集团通过未经授权的API端点获得访问权限,这意味着连接到API不需要用户/密码或任何其他身份验证方法。
一名网络犯罪分子声称要承担责任,揭示了Optus数据泄露的所谓细节-来源:推特-Jeremy Kirk。
49.Medibank数据泄露
日期:2022年11月
影响:970万条记录
一名网络犯罪分子利用从暗网上窃取的特权凭证,进入了Medibank的内部系统。在找到该公司敏感的客户数据资源后,黑客部署了一个脚本来自动窃取数据。当渗透完成时,200 GB的客户数据从Medibank被盗,影响了970万客户。
受损的记录包括:
姓名
出生日期
护照号码
医疗保险索赔信息
50.Easyjet数据泄露
日期:2020年5月
影响:900万客户
一次高度复杂的网络攻击泄露了Easyjet航空900万客户的数据。
漏洞中访问的数据包括:旅行详细信息、电子邮件地址,以及2208名客户的完整信用卡信息。
由于客户信用卡信息被泄露,这次网络攻击致使Easyjet违反《通用数据保护条例》的行为,这可能导致其赔付全球年营业额4%的罚款。
51.123RF数据泄露
日期:2020年11月
影响:830万条记录
图片库网站中最具性价比的商业图片素材供应商123RF的830万条数据库记录被复制并发布在黑客论坛上进行销售。
被泄露的数据包括:
电话号码
地址
电子邮件
IP地址
MD5密码
ImagineGroup(123RF母公司)保证,此次漏洞中没有任何财务信息被获取,并且所有用户密码都已加密。
然而,数据泄露调查员BleepingComputer使用在线MD5破解工具成功地将许多账户的密码转换为纯文本。
虽然这一漏洞没有直接暴露财务信息,但如果被入侵的用户在注册123RF时重复使用他们的Paypal密码,他们将面临很高的财务被盗风险。
52.Twitch数据泄露
日期:2021年10月
影响:700万用户
Twitch是一家亚马逊旗下的公司,其几乎整个代码库都遭到了破坏。事件的确切影响尚未得到证实,但鉴于其泄露的深度,它有可能影响到Twitch的所有用户。
125GB的敏感数据通过匿名论坛4chan上的种子链接发布。
敏感数据泄露包括:
Twitch的全部源代码
创作者(包括高知名度的创作者)的三年支付报告
Twitch的所有属性(包括IGDB和CurseForge)
与Twitch使用的专有SDK和内部AWS服务相关的代码
亚马逊游戏工作室的一个未发布的steam竞争对手的身份--Vapor
Twitch的内部“红队工具”,被内部安全团队用于网络攻击培训演习
尽管Twitch在其声明中承认,创建者支付数据的子集也被访问,但该公司保证信用卡号和银行信息没有被泄露。
导致此次攻击的安全漏洞是服务器配置更改,允许第三方未经授权访问。这一问题现已得到补救。
大多数网络犯罪分子在入侵后都会将窃取的数据发布出售,但这位身份不明的网络犯罪分子很可能使用了代理服务器,并且对金钱收益不感兴趣。相反,他们的目标是呼吁大规模破坏,以打击Twitch。
53.万豪酒店(Marriott)数据泄露
日期:2020年3月
影响:520万客人
万豪酒店(Marriott)再次成为客人记录泄露的受害者。3月31日,该公司宣布多达520万条记录被泄露。虽然被破坏的记录的确切名单尚未得到确认,但以下客人记录被泄露了:
电子邮件地址
电话号码
公司名称
性别
出生日期
住宿偏好
语言偏好
关联的航空公司忠诚度计划和号码
万豪酒店(Marriott)在其新闻稿中表示,此次黑客攻击并没有泄露密码、支付卡信息、身份证、驾驶执照号码或会员卡密码。
通过增加其内部登录身份验证并持续扫描数据泄露,万豪酒店(Marriott)可以缓解或完全防止未来的网络攻击。
54.尼曼(Neiman Marcus)数据泄露
日期:2021年9月
影响:480万客户
美国以经营奢侈品为主的连锁高端百货商店尼曼(Neiman Marcus)在一份声明中证实,“未经授权的一方”可以访问敏感的客户信息,包括:
用户名
密码
安全问题
财务信息
该漏洞影响了近310万张支付卡和虚拟礼品卡,其中超过85%的卡已过期或不再有效。
在得知这一事件后,尼曼(Neiman Marcus)联系了自2020年5月以来没有更改过密码的客户,敦促他们立即更改密码。
该事件凸显了在不同网站使用相同密码的危险性。如果不遵循这种网络安全最 佳实践,一次泄露就可能导致受害者遭受多次泄露。
55.MeetMindful数据泄露
日期:2021年1月
影响:228万用户
美国相亲网站MeetiMindful被一位名叫ShinyHunters的知名黑客入侵。
ShinyHunter在暗网上的黑客论坛上免费发布了泄露的数据-来源:ZD Net
用户之间的个人信息没有被泄露,但以下私人信息被曝光:
IP地址
真实姓名
电子邮件地址
城市、州和邮政编码详细信息
Facebook用户ID
Facebook身份验证
约会偏好
婚姻状况
出生日期
Bcrypt-hashed账户密码
56.Pixlr数据泄露
日期:2021年1月
影响:190万用户
臭名昭著的网络犯罪“ShinyHunters”将在线照片编辑器Pixlr的190万用户记录数据库泄露到一个暗网黑客论坛上。
Pixlr被入侵的数据库被ShinyHunters挂在黑客论坛上 - 来源: bleepingcomputer.com
泄露的数据包括:
用户名
电子邮件地址
国家
密码
这些数据是在123RF数据泄露事件发生时被盗的。
57.Tackle Warehouse LLC、Running Warehouse LLC、Tennis Warehouse LLC和SkateWarehouse LLC数据泄露
日期:2021年10月
影响:180万人
四家在线体育商店遭到网络攻击,导致包括信用卡数据在内的高度敏感的客户信息被盗。
数据泄露于2021年12月由一家代表每家体育商店的律师事务所披露。10月15日,受影响的网站发现了数据泄露事件。
以下网站受到影响:
Tackle Warehouse LLC(tacklewarehouse.com)
Running Warehouse LLC(runningwarehouse.com)
Tennis Warehouse LCC(tennis-warehouse.com)
Skate Warehouse LLC(skatewarehouse.com)
具体的安全漏洞和促进该漏洞的攻击方法尚未披露,但据推测,访问是通过数据库漏洞实现的。
以下数据在此次网络攻击中被泄露:
客户姓名
信用卡号码(附CVV)
借记卡号码(附CVV)
网站账户密码
在撰写本文时,尚不清楚被盗的信用卡号码是否完整。黑客仍然可以用复杂的暴力破解方法进行解密。
无论谁对这次漏洞负有责任,都可能因其安全疏忽而遭受严厉的监管后果。
58.海逸酒店(Harbour Plaza Hotel)数据泄露
日期:2022年2月
影响:120万条记录
香港海逸酒店(Harbour Plaza Hotel)的住宿预订数据库遭到破坏,影响了约120万客户。
根据与该事件相关的常见问题,海逸酒店(Harbour Plaza Hotel)尚未确认网络犯罪分子是否设法解密了漏洞中包含的加密信用卡数据。
59.格拉夫(Graff)数据泄露
日期:2021年11月
影响:110万条记录
英国的珠宝及钟表品牌格拉夫(Graff)遭受了数据泄露,使其许多知名客户受到影响。俄罗斯网络犯罪组织Conti对此次涉及部署勒索软件的攻击负责。
在窃取格拉夫(Graff)的敏感数据并加密其内部系统后,Conti开始在暗网上发布一些被盗记录,并承诺只有在支付了高达1000万英镑的赎金后才会停止。
为了证明他们没有虚张声势,Conti在暗网上发布了11000条记录,根据俄罗斯网络犯罪分子的说法,这只占被盗记录总数的1%。
被盗数据包括客户姓名、地址、发票、收据和信用记录。
据报道,受此次漏洞影响的一些高知名度的客户包括:
唐纳德·特朗普
大卫·贝克汉姆
奥普拉·温弗瑞
亚历克·鲍德温
菲利普·格林爵士
Ghislaine Maxwell
沙特王储穆罕默德·本·萨勒曼
谢赫·穆罕默德·本·拉希德·阿勒马克图姆
60.洛杉矶联合学区(LAUSD)
日期:2022年9月
影响:1000所学校/600,000名学生/ 500GB的数据
在教育行业有史以来最大的数据泄露事件之一,洛杉矶联合学区(LAUSD)遭到了俄罗斯犯罪黑客组织Vice Society的袭击。这次攻击影响了美国第二大学区的1000多所学校和60万名学生。勒索软件攻击发生在劳动节周末,使洛杉矶校区的官员无法访问重要数据,包括:
个人信息(姓名、实际地址、电话号码)
电子邮件地址
计算机系统和应用程序
护照详细信息
员工社会保障号码
员工账户登录信息
税单
合同和法律文件
财务报告
银行详情
健康信息(包括新冠肺炎疫苗接种数据)
背景调查
学生心理评估
VPN证书
在与CISA和FBI协商后,LAUSD发布了一份声明表示,他们不会支付Vice Society要求的赎金。因此,Vice Society在他们的暗网论坛上发布了被盗数据。尽管这次攻击的持久影响尚未确定,但由于敏感数据的疏忽和处理不当,未来几年可能会有潜在的诉讼。在攻击之前,LAUSD被告知其系统中的潜在漏洞,但学区未能采取行动来补救这些问题。
61.Zoom数据泄露
日期:2020年4月
影响:50万用户
当Zoom注册在2020年4月接近疫情高峰时,黑客入侵了50万个账户,并在暗网上出售或免费发布。
黑客们最初在暗网数据库中搜索以前被泄露的登录凭证,可以追溯到2013年。由于密码通常是循环使用的,这使他们能够立即进入大量活跃的Zoom账户。
然后发起了一系列填充攻击,以破坏剩余的账户。
被入侵的Zoom账户的接收者能够登录直播会议。
62.Slickwraps数据泄露
日期:2020年2月
影响:37万用户
作为一家开发iPhone和Mac等苹果设备外观的公司,Slickwraps存在严重漏洞,允许未经授权的黑客访问客户数据,超37万用户受影响。
如果Slickwraps听取了白帽黑客的警告,强调该公司糟糕的网络安全状况,这种漏洞就可以避免。在被忽视后,黑客在一个媒体帖子中重复了他的警告。
Slickwraps仍然无视这些警告。
在媒体帖子被删除之前,第二个黑客阅读了这篇文章,并决定也尝试说服Slickwraps,但采用更有影响力的方法。
第二名黑客实际上破坏了Slickwraps糟糕的防御系统,并在给超过37万名客户的电子邮件中宣布了他们对网络安全的自满。
让我们希望在经历了如此动荡的历史之后,SlickWraps最终加强了他们的网络安全框架。
Slickwraps公司漏洞的电子邮件
63.麦哲伦健康服务(Magellan Health)数据泄露
日期:2020年4月
影响:365,000名患者
财富500强公司麦哲伦健康服务(Magellan Health)是一次复杂的勒索软件攻击的受害者,超过365,000名患者记录被泄露。
员工登录信息首先从内部安装的恶意软件中访问。然后,通过在网络钓鱼攻击中冒充麦哲伦客户端,黑客获得了对一台公司服务器的访问权并实施了他们的勒索软件。
被泄露的数据中包括患者社会保障号码、W-2信息和员工身份证号码。
64.任天堂(Nintendo)数据泄露
日期:2020年4月
影响:30万账户
30万个任天堂账户被盗,并用于进行未经请求的数字购买。经进一步调查,受影响的账户数量比最初声明的14万个几乎翻了一番。
以下信息被曝光:
账户密码
账户所有者姓名
出生日期
电子邮件地址
居住国家
虽然不清楚黑客是如何访问账户的,但据推测,弱密码是罪魁祸首。为了防止进一步的违规行为,任天堂发布了一条推文,要求会员启用2步身份验证。
65.Mailfire数据泄露
日期:2020年9月
影响:100,000个用户
Mailfire是成人约会网站和电子商务网站使用的电子邮件营销软件,其数据库被泄露,暴露了70多个网站的个人用户记录。
该漏洞是通过Mailfire不安全的Elasticsearch服务器发生的。一旦被入侵,黑客就从推送到Mailfire客户端的通知中访问了获得3.2亿条记录。
曝光的记录包括成人约会网站成员之间的私人对话,以及以下个人身份信息:
姓名
年龄
出生日期
性别
消息发送者的位置
IP地址
会员资料图片
会员简历描述
除了网站成员的个人信息外,这次数据泄露还暴露了许多编造女性个人资料的诈骗交友网站。
66.Antheus Tecnologia数据泄露
日期:2020年3月
影响:76,000枚指纹
专门开发指纹识别系统的巴西生物识别公司Antheus Tecnologia的服务器遭到破坏,可能会暴露76,000条指纹记录。
被访问的数据由230万个数据点组成,这些数据点可以进行反向工程,以重新创建每个原始指纹。
除了指纹数据点外,还访问了8150万条记录,包括电子邮件地址、员工电话号码和管理员登录信息。
67.SolarWinds数据泄露
日期:2020年3月
影响:18,000家企业
2020年3月,来自俄罗斯的民族国家黑客入侵了一个DLL文件,该文件与SolarWinds的猎户座平台的软件更新有关。供应链攻击影响了多达18,000名SolarWinds客户,其中包括六个美国政府部门。
这次攻击直到2020年12月才被发现。
这一事件推动了乔·拜登的《网络安全行政命令》,该命令现在强制所有组织加强其供应链安全工作。
据悉,黑客还对FireEye网络攻击负责,导致其Red Team评估工具被盗,这是FireEye开发的一套工具,用于发现任何组织内的网络攻击漏洞。
鉴于FireEye的客户基础包括政府机构,人们进一步推测,这些红队评估工具使美国政府数据泄露成为可能,网络安全专家将这次攻击称为国家安全历史上最大的漏洞。
受害者的名单还在不断增加,如果要检查您是否受到影响,您应该对每个供应商进行彻底的风险评估。
68.飞马航空(Pegasus)数据泄露
日期:2022年3月
影响:6.5TB的数据
一个配置错误的AWS存储桶导致属于土耳其航空公司飞马航空(Pegasus)的2300万个文件被盗。安全漏洞是由安全公司Safety Detectives发现的。
这些数据与航空公司的EFB软件相关联,该解决方案需要访问起飞、着陆和加油数据,以及机组人员的敏感信息。
AWS存储桶配置错误意味着任何人都可以免费访问此数据库,包括近400个带有纯文本密码和密钥的文件。
当曝光被报道时,飞马航空(Pegasus)没有发现数据泄露的证据。然而,当AWS存储桶仍然配置错误时,网络犯罪分子可能已经秘密地泄露了暴露的数据。
69.菲律宾竞选委员会(COMELEC)数据泄露
日期:2022年1月
影响:60 GB的数据
一个黑客组织破坏了菲律宾竞选委员会(COMELEC)的安全系统,泄露了60GB选民的敏感信息。
这些信息的深度可能使网络犯罪分子绘制出菲律宾选举系统的完整内部运作图,为国家安全层面更具破坏性的后续攻击铺平了道路。
被泄露的数据包括投票计票机(VCM)的用户名和PINS。
70.MailChimp数据泄露
日期:2022年4月
影响:100个客户
在一次成功的社交工程攻击后,网络犯罪分子获得了内部客户支持和账户管理团队使用的工具的权限,Mailchimp成为数据泄露的受害者。然而,这个最初的漏洞只是整个网络攻击计划的初步阶段。
在拼命搜索存储在Mailchimp内部工具中的客户端电子邮件列表时,网络犯罪分子终于找到了他们要找的东西——硬件加密货币钱包Trezor客户的电子邮件列表。
然后,网络犯罪分子向整个客户名单发送了一封非常令人信服的网络钓鱼电子邮件,声称发生了严重的安全事件,需要紧急下载Trezor应用程序的补丁版本。
发送给Trezor客户的钓鱼邮件--来源:Bleeping Computer
当点击这个链接时,用户会被引导到一个与Trezor网站几乎没有区别的恶意网站。为了访问这个欺诈性应用程序,用户需要提交他们的恢复种子,用于恢复对加密钱包的访问的有序单词列表。
调查仍在进行中,因此这次网络钓鱼攻击的全部影响尚不清楚。在网络钓鱼电子邮件中,网络犯罪分子声称106,852个账户被泄露。这个数字可能代表网络钓鱼活动中目标的电子邮件账户总数,但还没有得到证实。
目前可以确认的是,在网络攻击的最初阶段,大约有100个Mailchimp客户账户被攻破。
这一网络事件凸显了一些网络钓鱼攻击者所具有的可怕复杂能力。
并不是所有的网络钓鱼邮件都是语法糟糕,对细节缺乏关注。有些非常先进,他们几乎无法通过公司在电子邮件中被错误地表示来识别。甚至Trezor也对这次网络钓鱼攻击的复杂性感到惊讶。