從互聯網時代興起至今,人們的生活方式有了很大的變化,很多服務只需要通過一個賬戶就能輕松享受,但從某種角度看,這也是讓渡出一些個人隱私的結果,尤其是在當前幾乎所有網絡服務的賬號都必須要綁定手機號甚至更多隱私信息的情況下才能使用,因此這些數據信息的價值大幅提升,成為攻擊者眼中的“肥肉”,因此我們也看到數據泄露事件時有發生。
近期我們整理一些數據,總結出近10年來規模龐大的十起數據泄露事件。經整理發現,雖然最大的數據泄露事件發生在接近10年前,但更多事件都發生在2018年至今的5年內,而能夠發生大規模泄露的普遍都是大型企業,安全建設水平理應較高,由此可見近些年來的威脅形勢的確愈加嚴峻。我國作為一個互聯網大國,也是數字化轉型速度較高的國家,也有兩起成為其中之一。
01 雅虎
● 事件時間:2013年8月
● 事件影響:30億賬戶
雖然事件發生在2013年8月,但首次公開是2016年,當時雅虎正處在被Verizon(威瑞森)收購的過程之中,據當時估計,被黑客獲取的賬戶信息數量超過10億,但不到一年之后,雅虎表示在該事件中泄露的用戶賬戶達到30億。雅虎在當時的官方聲明中表示,被盜信息內容包括用戶名、郵箱地址、電話號碼、生日、以及部分用戶的安全識別問題和答案。同時特別強調信用卡和銀行賬戶信息并沒有保存在黑客攻擊的服務器上。
根據當時國內媒體調查分析,在泄露的用戶賬戶中,至少有數千萬是中國用戶,盡管發生該事件的事件和雅虎離開中國事件大體一致,中國的活躍用戶處在較低的水平,但考慮到很多用戶在口令方面并沒有良好的安全習慣,因此也有可能會被進一步利用。在Verizon完成對雅虎的收購后也加大了針對提升雅虎安全性方面的投入,根據外媒報道,包括口令、支付卡和銀行數據的確沒有被盜。
02 Aadhaar(印度唯一身份識別管理局)
● 事件時間:2018年1月
● 事件影響:超11億印度公民身份及生物特征信息被泄露。
2018年初,媒體報道稱有攻擊者入侵世界上最大的身份數據庫——印度Aadhaar,在該事件中,總計泄露了超過11億印度公民的信息,包括姓名、地址、照片、電話號碼和電子郵件以及包括指紋、虹膜在內的生物特征數據。更重要的是,由于這個由印度唯一身份識別局 (UIDAI)在2009年建立的數據庫還包含了與公民身份證號相關的銀行賬戶信息,盡管該局最初否認數據庫持有此類數據、
據當時報道顯示,攻擊者通過印度國有公用事業公司Indane的網站潛入Aadhaar數據庫,Indane通過API接口連接到政府數據庫,該接口允許應用程序檢索其他應用程序或軟件存儲的數據。不幸的是,Indane的API并未有訪問控制,因此數據很容易受到攻擊。在事件發生后,攻擊者通過社交媒體以低至7美元的價格出售數據使用權。盡管安全研究人員不斷地發出告警,但印度當局仍然拖到直到2018年3月下旬才將這個易受攻擊的接口關閉。
03 淘寶
● 事件時間:2019年11月
● 事件影響:超11億條用戶數據遭泄露
據中國基金報2021年6月報道,商丘市睢陽區人民法院當時在裁判文書網公開了一份刑事判決書,顯示一名住在河南商丘市的本科畢業的大學生逯某自2019年11月起,對淘寶實施了長達八個月的數據爬取并盜走大量用戶數據。在平臺注意到這一問題前,已經有超過11億8千多萬條用戶信息泄露。
報道指出,在八個月的時間里,一名為關聯營銷人員工作的開發人員使用自己開發的爬蟲軟件,從該平臺抓取了客戶數據,包括用戶名和手機號碼。另一名犯罪分子利用這些信息,建了1100個微信群,每個群90-200人不等,每天用機器人在群里發平臺優惠券,賺取返利,并在短短的8個月內獲利34萬余元。
04 領英(LinkedIn)
● 事件時間:2021年6月
● 事件影響:7億用戶數據
6月22日,有黑客在暗網銷售領英7億條包含用戶郵箱、姓名、電話號碼、家庭住址、個人和職業背景信息等內容的用戶數據。據報道,當時領英的用戶總數量為7.56億,如此看來,當時其九成以上的用戶數據都慘遭暴露。不過領英隨后表示并沒有敏感的個人隱私數據被泄露,雖然該事件的出現令其違反用戶服務條款,但數據泄露本身并不存在。但據英國國家網絡安全委員會(NCSC)發布的警告內容顯示,在攻擊者發布的一份抓取數據樣本中,包含電子郵件地址、電話號碼、地理位置記錄、性別和其他社交媒體細節等信息,毫無疑問,這將為攻擊者提供大量機會,在該數據泄露發生后制造更多的社工攻擊。
據攻擊者自身的表述看,該攻擊仍然是利用領英網站和其他網站的API接口所發起,在數據轉儲過程中被抓取。
05 微博
● 事件時間:2020年3月
● 事件影響:5.38億用戶賬戶
2020年3月,微博表示攻擊者獲取了其部分數據庫,影響了5.38億微博用戶和他們的個人信息,包括真實姓名、網站用戶名、性別、位置和電話號碼。據報道,攻擊者隨后在暗網上以250美元的價格出售該數據庫。
微博在聲明中稱,攻擊者利用一項服務收集了公開發布的信息,該服務旨在幫助用戶通過輸入朋友的電話號碼來定位他們的微博賬戶,而密碼沒有受到影響。不過,微博也承認,如果密碼在其他賬戶上重復使用,泄露的數據可能會被用來關聯賬戶和密碼。
06 Facebook
● 事件時間:2019年4月
● 事件影響:5.33億用戶賬戶
2021年4月,有一個用戶在黑客論壇中發布了一份數量龐大的數據,這些數據涉及106個國家的5.33億Facebook用戶,包括ID、用戶全名、位置、生日、個人簡介以及電子郵件地址等信息。其中來自美國(約3200萬條)、英國(約1100萬條)以及印度(約600萬條)都是受影響的主要群體。隨后經過研究機構驗證后,這些數據的真實性得以證實。
盡管Facebook在聲明中表示,這些數據是在2019年4月被泄露的,并在當年8月就已經修復了該漏洞,其言外之意無外乎是宣揚該事件影響有限,但對于用戶而言,在Facebook上面綁定的電話號碼、郵件可不會經常更換,更別提那些和用戶全名、出生日期等數據了。
07 萬豪國際
● 事件時間:2018年9月
● 事件影響:5億用戶
在2018年11月發布的聲明中,萬豪國際酒店宣布其系統在2018年9月遭受入侵后,那些曾于2018年9月10日或之前在該酒店預訂的客戶信息或被泄露,涉案數據約5億條。
萬豪國際在后期的調查中了解到,自2014年以來,其系統中就一直存在未經授權的訪問。在這一攻擊過程中,未經授權的一方復制并加密了信息,隨后則采取刪除的手段。2018年11月19日,萬豪國際成功解密了這些信息,并確定其內容來自喜達屋客房預訂數據庫。報道顯示,被竊取的數據包括客人的姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼以及喜達屋常旅客計劃(Starwood Preferred Guest,SPG )的賬戶信息、出生日期、性別、到達和離開信息、預訂日期和其他偏好。對一些人來說,信息還包括支付用銀行卡的卡號和到期日。
2020年,萬豪國際因未能保護用戶的個人數據安全,被英國數據管理機構信息專員辦公室(ICO)罰款1840萬英鎊,值得一提的是,如果不是因為疫情原因“打折”,該罰款的金額應達到9900萬英鎊。
08 雅虎
● 事件時間:2014年
● 事件影響:5億用戶
作為整個互聯網世界的老牌企業,雅虎確實承受了不少的攻擊,除了前面2013遭受的攻擊之外,在2014年它也遭受了攻擊,而在這一事件當中,攻擊者竊取了雅虎5億用戶的數據,包括姓名、電子郵件地址、電話號碼和出生日期等等。不過,直至涉案數據庫于2016年在黑市上被出售之后,雅虎才官方公布了該事件相關細節,并表示在2014年當年就采取了補救措施,但具體如何,誰知道呢?畢竟2013年遭受攻擊之后,2014年仍然還有涉及如此龐大的用戶數據被泄露,其所謂的安全“加強”能力也是可見一斑。
09 Friend Finder Network
● 事件時間:2016年10月
● 事件影響:4.12億用戶
Friend Finder Network泄露的數據除了包含自身的3.39億用戶賬號信息之外,還包括其他同行業的網站(如聊天站等)用戶信息,總數量達到了4.12億,泄露的數據包括姓名,電子郵件地址和密碼等,考慮到該網站的服務性質,可以想象這些泄露的信息對于受害者的影響恐怕是巨大的。另外值得一提的是,暴露的個人信息中,包括大量通過弱算法SHA-1哈希加密的,根據研究人員對其數據集的分析之后,在2016年11月發布結果顯示,預計會有99%的密碼被破解。
10 MySpace
● 事件時間:2013年
● 事件影響:3.6億用戶賬號
熟悉這個社交媒體網站的人可能不會太年輕了,它曾經是當年的社交媒體網站巨頭之一,但現在已經沒落,但考慮到它在鼎盛時期的受歡迎程度,也就不難想象它一旦發生用戶數據泄露,量級也一定小不了。
2016年,MySpace網站的3.6億用戶賬號被暴露在互聯網上,并在暗網以6個比特幣的價格進行出售,而在那個時候,6個比特幣的價格也才大約3000美元而已,這和3.6億的數字之間差距實在是太大了,以至于該新聞甚至成為當時不少主流媒體的頭條。
根據該公司的官方說法,泄露的數據包括2013年6月11日之前在舊Myspace平臺上創建的部分賬戶的電子郵件地址、密碼和用戶名,并呼吁在此之前創建賬號的用戶能夠返回網站進行驗證并按照提示重置他們的密碼。
更多信息可以來這里獲取==>>電子技術應用-AET<<
