以前，影響幾百萬人的數據泄露事件就能成為新聞頭條，而如今，影響數億甚至數十億的事件卻比比皆是。21 世紀以來，14 起最大的數據泄露事件波及約有 35 億人，其中影響最小的事件涉及 1.34 億人。

　　本文參照最簡單的標準來衡量 21 世紀 14 起最大的數據泄露事件——數據泄露波及的人數。此外，本文還對事件原因作出了區分，是惡意目的竊取還是組織的無意間的泄露。比如，推特曾在一篇日志中泄露了 3.3 億用戶密碼，但是卻沒有任何為惡意分子所利用的證據，因此便不在本文列舉的事件范疇中。下文按照首字母順序進行排列，其中包括影響對象、負責人以及組織的響應方式。

　　最大的數據泄露：

1. Adobe
2. Adult Friend Finder
3. Canva
4. Dubsmash
5. eBay
6. Equifax
7. Heartland 支付系統
8. LinkedIn
9. 萬豪國際酒店
10. My Fitness Pal
11. MySpace
12. 網易
13. 雅虎
14. Zynga

　　Adobe

日期：2013 年 10 月

影響：1.53 億用戶記錄

詳細信息：在 2013 年 10 月上旬，根據安全博主 Brian Krebs 的披露，Adobe 最初報告說，黑客竊取了將近 300 萬個加密的客戶信用卡記錄，以及數量不確定的用戶登錄信息帳戶。

該月晚些時候，Adobe 進行了估算，其中包括 3800 萬“活躍用戶”的 ID 和加密密碼。Krebs 報告說，幾天前發布的文件“似乎包含超過 1.5 億個從 Adobe 泄露的用戶名和哈希密碼對。” 數周的研究表明，黑客還暴露了用戶名稱、ID、密碼以及借記卡和信用卡信息。

2015 年 8 月的一項協議要求 Adobe 支付 110 萬美元的法律費用，并向用戶支付賠償，金額數量并未公開，以解決違反《客戶記錄法》和不公平商業行為的指控。據報道，2016 年 11 月支付給客戶的金額為 100 萬美元。

　　Adult Friend Finder

日期：2016 年 10 月

影響：4.122 億個帳戶

詳細信息：該網站提供的服務較為特殊，此次數據泄露對賬戶所有人比較敏感。FriendFinder Network 于 2016 年 10 月中旬遭到入侵，其中包括休閑轉播和成人內容網站，如 Adult Friend Finder，Penthouse.com，Cams.com，iCams.com 和 Stripshow.com。在六個數據庫上，被盜數據時間跨度長達 20 年，具體包括了用戶的名稱、電子郵件地址和密碼。

較弱的 SHA-1 哈希算法可保護大多數密碼。直到 LeakedSource.com 在 2016 年 11 月 14 日發布對數據集的分析時，人們才估計其中的 99％ 已被破解。

當時，一名代號為 Revolver (推特名@1×0123) 的研究人員在“Adult Friend Finder”上進行了屏幕截圖，該屏幕截圖顯示正在觸發本地文件包含漏洞（LFI）。該漏洞是在“Adult Friend Finder”所使用的生產服務器模塊中發現的，他表示：“正在被利用”。

　　Canva

日期：2019 年 5 月

影響：1.37 億用戶帳戶

詳細信息：2019 年 5 月，澳大利亞圖形設計工具網站 Canva 遭到黑客攻擊，該攻擊暴露了 1.37 億用戶的電子郵件地址、用戶名、姓名、居住城市以及使用 bcrypt 密碼加密和散列的信息（其中，不使用社交賬號登錄的用戶約 6100 萬）。Canva 表示，黑客設法查看但沒有竊取那些帶有部分信用卡和付款數據的文件。

疑似背后攻擊者的 Gnosticplayers，稱 Canva 已檢測到他們的攻擊并關閉了其數據泄露服務器，還聲稱通過 Google 獲得了用的 OAuth 登錄令牌。

該公司確認了事件并隨后通知了用戶，提示他們更改密碼并重置 OAuth 令牌。但是，根據 Canva 的后續帖子，包含 400 萬個被盜 Canva 用戶賬戶被破解并在網上分享，這使得尚未更改密碼的用戶賬戶失效，并通知受影響的相關用戶。

　　eBay

日期：2014 年 5 月

影響：1.45 億用戶

詳細信息：eBay 報告說，攻擊發生于 2014 年 5 月，泄露了其 1.45 億用戶帳戶，包括名稱、地址、出生日期和加密密碼。這家在線拍賣巨人表示，黑客使用三名公司雇員的憑據訪問其網絡，并具有 229 天的完全訪問權限，這足以破壞用戶數據庫。

該公司要求客戶更改密碼。財務信息（例如信用卡號）是單獨存儲的，沒有受到破壞。該公司當時甚至因與用戶之間缺乏溝通以及密碼更新過程實施不力而受到批評。

　　Equifax

日期：2017 年 7 月 29 日

影響：1.479 億客戶

詳細信息：美國最大的征信機構之一 Equifax 于 2017 年 9 月 7 日表示，其中一個網站的應用程序漏洞導致數據泄露，波及約 1.479 億的客戶。該漏洞是在 7 月 29 日發現的，但該公司表示可能在 5 月中旬開始。一開始，該事件泄露了 1.43 億客戶的個人信息（包括社會安全號碼、出生日期、地址，在某些情況下還包括駕照號碼）。另外，暴露了 20.9 萬名客戶的信用卡數據。而在 2017 年 10 月，該數字增加到 1.479 億。

此次事件可歸咎于 Equifax 的許多安全性和響應失效。其中最主要的是允許攻擊者訪問的應用程序漏洞未修補。系統拆分不充分，使攻擊者易于橫向移動。Equifax 也很遲才報告此次事件。

　　Dubsmash

日期：2018 年 12 月

影響：1.62 億個用戶帳戶

詳細信息：2018 年 12 月，總部位于紐約的視頻消息服務 Dubsmash 發生數據被盜事件，擁有 1.62 億個電子郵件地址、用戶名、生日以及其他個人數據，所有這些信息于次年 12 月在 Dream Market 暗網市場上出售。這些信息以部分轉儲形式出售，其他信息還包括 MyFitnessPal（以下更多內容），MyHeritage（9200 萬），ShareThis，Armor Games 和約會應用程序 CoffeeMeetsBagel 之類的東西。

Dubsmash 承認發生了信息泄露和暗網售賣信息的事件，并建議用戶進行密碼更改，但并未說明攻擊者是如何進入或確認受影響用戶的具體數字。

　　Heartland 支付系統

日期：2008 年 3 月

影響：暴露了 1.34 億張信用卡

詳細信息：泄密之時，Heartland 每月為 17.5 萬個商家（主要是中小型零售商）處理 1 億筆支付卡交易。2009 年 1 月，Visa 和萬事達卡從其處理過的帳戶中發現可疑交易，并通知了 Heartland 后，發現了這次數據泄露。攻擊者利用一個已知漏洞執行 SQL 注入攻擊。有關該漏洞的問題，安全分析師已經警告零售商好幾年了， SQL 注入在當時是針對網站的最常見攻擊形式。

由于此次數據泄露事件，支付卡行業（PCI）認為 Heartland 不符合其數據安全標準（DSS），并且直到 2009 年 5 月才允許其處理主要信用卡提供商的付款。該公司還支付了約 1.45 億美元的欺詐性賠償。

Heartland 數據泄露事件是當局逮捕到黑客的罕見例子。聯邦大陪審團于 2009 年起訴 Albert Gonzalez 和兩名不知名的俄羅斯同伙。這名古巴裔美國人 Gonzalez 策劃了偷竊信用卡和借記卡的國際犯罪活動。他于 2010 年 3 月在聯邦監獄中被判 20 年徒刑。

　　LinkedIn

日期：2012 年（和 2016 年）

影響：1.65 億用戶帳戶

詳細信息：LinkedIn 是商務專業人士的主要社交網絡。對于希望進行社交工程攻擊的攻擊者來說，LinkedIn 極具吸引力。但是，曾經 LinkedIn 也是用戶數據泄露的受害者。

2012 年，該公司宣布，攻擊者竊取了 650 萬個未關聯的密碼（Unsalted SHA-1 哈希），并將其公布在俄羅斯黑客論壇上。然而，直到 2016 年該事件的影響范圍才完全揭露。出售 MySpace 數據的黑客僅用 5 個比特幣（當時約為2,000 美元）就提供了約 1.65 億 LinkedIn 用戶的電子郵件地址和密碼。LinkedIn 承認已意識到該漏洞，并表示已重設了受影響帳戶的密碼。

　　萬豪國際酒店

日期：2014-18 年

影響：5 億客戶

詳細信息：萬豪國際酒店于 2018 年 11 月宣布，黑客竊取了大約 5 億客戶的數據。該漏洞始于 2014 年，最初發現在支持喜達屋酒店品牌的系統上。在 2016 年萬豪收購喜達屋之后，該漏洞仍留在系統中，直到 2018 年 9 月才被發現。

攻擊者能夠收集到客戶的聯系信息、護照號碼、喜達屋會員顧客號碼、旅行信息和其他個人信息等。相信有超過 1 億客戶的信用卡號和有效期被盜，但是萬豪無法確定攻擊者是否能夠解密信用卡號。

　　My Fitness Pal

日期：2018 年 2 月

影響：1.5 億用戶帳戶

詳細信息：與 Dubsmash 一樣，UnderArmor 擁有的健身應用程序 MyFitnessPal，是 16 個受感染并遭到大規模信息轉儲的網站之一，約 6.17 億個客戶帳戶泄漏并在 Dream Market 暗網上出售。

2018 年 2 月，大約 1.5 億客戶的用戶名、電子郵件地址、IP 地址、SHA-1 和經過 bcrypt 加密的密碼被盜，然后在一年后與 Dubsmash 等同時出售。MyFitnessPal 承認該漏洞并要求客戶更改密碼，但沒有披露受影響的帳戶數量或攻擊者如何獲得數據訪問權限等信息。

　　MySpace

日期：2013 年

影響：3.6 億用戶帳戶

詳細信息：MySpace 盡管早已退出社交媒體網站巨頭的行列，但是在 2016 年再度成為新聞頭條。因為有 3.6 億個 MySpace 用戶的帳戶泄漏，在 LeakedSource（可搜索的數據庫，其中包含被盜帳戶）和暗網市場 The Real Deal 上出售，要價為 6 比特幣（當時約為3,000 美元）。

據該公司稱，丟失的數據包括在 2013 年 6 月 11 日之前創建的部分賬戶電子郵件、密碼和用戶名。根據 HaveIBeenPwned 的 Troy Hunt 的介紹，密碼存儲為 SHA-1 哈希，密碼的前 10 個字符轉換為小寫。

　　網易

日期：2015 年 10 月

影響：2.35 億用戶帳戶

詳細信息：網易是 163.com 和 126.com 之類的郵箱服務提供商。據報道，大約 2.35 億個網易帳戶的電子郵件地址和純文本密碼被一家 DoubleFlag 暗網市場供應商出售。該供應商還出售了從其他企業那里獲得的信息，例如騰訊的 QQ.com、新浪公司和搜狐公司。據報道，網易否認有任何數據泄露行為。HaveIBeenPwned 認為這個事件是“未驗證”的。

　　雅虎

日期：2013-14 年

影響：30 億用戶帳戶

詳細信息：雅虎于 2016 年 9 月宣布，自己是 2014 年里數據泄露事件最大的受害者。攻擊者竊取了 5 億用戶的真實姓名、電子郵件地址、出生日期和電話號碼。大多數泄露的密碼多哦為散列密碼。

在 2016 年 12 月，雅虎披露了另一位攻擊者自 2013 年以來的數據竊取行為，該攻擊行為泄露了 10 億個用戶帳戶的名稱、出生日期、電子郵件地址和密碼以及安全性問題和答案。雅虎于 2017 年 10 月修訂了這一估計數，總計包含 30 億用戶。

最初的數據泄露公布的時機不好，因為雅虎正在被 Verizon 收購，后者最終以 44.8 億美元的價格收購了 Yahoo 的核心互聯網業務。此次泄露事件使公司價值縮水了約 3.5 億美元。

　　Zynga

日期：2019 年 9 月

影響：2.18 億用戶帳戶

詳細信息：Farmville 的創建者 Zynga 曾經是 Facebook 游戲界的巨頭，現在仍然是移動游戲領域最大的玩家之一，在全球擁有數百萬玩家。

2019 年 9 月，一個名為 Gnosticplayers 的巴基斯坦黑客聲稱入侵了 Zynga 的 Draw Something and Words with Friends 玩家數據庫，并獲得了在那里注冊的 2.18 億個帳戶的訪問權限。Zynga 隨后證實，Facebook 和 Zynga 帳戶的電子郵件地址、Salted SHA-1 哈希密碼、電話號碼以及用戶 ID 被盜。

　　*參考來源：Csoonline，Sandra1432 編譯，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的21世纪以来14起最大的数据泄露事件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。