今日热门新闻

21世纪15个最大的数据泄露事件

影响数百万用户的数据泄露实在太普遍了。这是最近记忆中一些最大,最糟糕的漏洞。

锁定电路板弹孔计算机安全漏洞
Thinkstock

今日热门新闻

展示更多

不久前,破坏几百万人数据的安全漏洞将是一个大新闻。现在,影响亿万乃至数十亿人的违规行为已经太普遍了。仅在本世纪的15次最大的违规事件中,大约有35亿人看到了他们的个人数据被盗。此列表中最小的事件涉及仅1.34亿人的数据。

公民社会组织编制了这份最大的21个清单ST 使用简单标准的Century违规:数据被泄露的人数。我们还区分了出于恶意目的窃取数据的事件与组织无意间使数据不受保护和暴露的事件之间的区别。例如,Twitter在日志中保留了其3.3亿用户的密码,但没有任何滥用的证据。因此,Twitter没有列出该列表。

事不宜迟,这里以字母顺序列出了最近历史上的15个最大的数据泄露事件,包括谁受到影响,谁负责以及公司如何应对。

最大的数据泄露

  1. 土坯 
  2. 成人朋友查找器
  3. 坎瓦
  4. Dubsmash
  5. 易趣
  6. Equifax
  7. Heartland付款系统 
  8. 领英
  9. 国际万豪酒店
  10. 我的健身朋友
  11. 我的空间
  12. 网易
  13. 新浪微博
  14. 雅虎
  15. Zynga

土坯 

日期: 2013年10月
影响: 1.53亿用户记录
细节: 据报道 安全博客作者Brian Krebs于2013年10月上旬发布了Adobe最初的报告, 黑客被盗 将近300万条加密的客户信用卡记录,以及用于数量不确定的用户帐户的登录数据。

该月晚些时候,Adobe对该估算值进行了估算,其中包括3800万“活跃用户”的ID和加密密码。克雷布斯(Krebs)报告说,几天前发布的文件“似乎包含来自Adobe的超过1.5亿个用户名和哈希密码对。”数周的研究表明,黑客还暴露了客户名称,ID,密码以及借记卡和信用卡信息。

2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付未公开的金额,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。

成人朋友查找器 

日期: 2016年十月
影响: 4.122亿个帐户
细节: 由于该网站提供的服务,这种违规对帐户持有人特别敏感。 FriendFinder Network于2016年10月中旬遭到破坏,其中包括休闲转播和成人内容网站,例如Adult Friend Finder,Penthouse.com,Cams.com,iCams.com和Stripshow.com。该窃取的数据在六个数据库中长达20年。并包括名称,电子邮件地址和密码。

较弱的SHA-1哈希算法可保护大多数密码。到LeakedSource.com于2016年11月14日发布对数据集的分析时,估计其中的99%已被破解。

作为CSO 已报告 当时,“一个在Twitter上绕过1x0123并在其他圈子中被Revolver绕过的研究人员在“成人朋友查找器”上拍摄了屏幕截图,该屏幕截图显示已触发本地文件包含漏洞(LFI)。”他说,该漏洞是在“成年朋友查找器”所使用的生产服务器模块中发现的,并且已被利用。

坎瓦

日期:  2019年五月
影响: 1.37亿用户帐户
细节: 在2019年5月,澳大利亚图形设计工具网站Canva遭受了一次攻击,该攻击暴露了1.37亿用户的电子邮件地址,用户名,姓名,居住城市,以及使用bcrypt密码(对于未使用社交登录的用户,大约6,100万)进行了盐化和哈希处理。坎瓦说,黑客设法查看但没有窃取带有部分信用卡和付款数据的文件。

可疑的罪魁祸首-被称为Gnosticplayers-联系ZDNet吹嘘该事件,称Canva已检测到他们的攻击并关闭了其数据泄露服务器。攻击者还声称获得了 OAuth 通过Google登录的用户的登录令牌。

该公司确认了事件并随后通知了用户,提示他们更改密码并重置OAuth令牌。但是,根据后来 由Canva发表,后来解密并在线共享了大约400万个包含被盗用户密码的Canva帐户列表,这导致该公司使未更改的密码无效,并使用列表中未加密的密码通知用户。

易趣

日期: 2014年5月
影响: 1.45亿用户
细节: 易趣报告说有一次攻击 暴露了整个帐户清单 2014年5月的1.45亿用户中,包括姓名,地址,出生日期和加密密码。这家在线拍卖巨人表示,黑客使用三名公司雇员的凭据访问其网络,并具有229天的完全访问权限,这足以破坏用户数据库。

该公司要求客户更改密码。财务信息(例如信用卡号)是分开存储的,不会受到损害。该公司当时因与用户之间缺乏沟通以及密码更新过程实施不力而受到批评。

Equifax

日期: July 29, 2017
影响: 1.479亿消费者
细节: 美国最大的征信机构之一的Equifax在2017年9月7日表示,其中一个网站存在应用程序漏洞 导致数据泄露 暴露了约1.479亿消费者。该漏洞是在7月29日发现的,但该公司表示可能在5月中旬开始。违规行为损害了1.43亿消费者的个人信息(包括社会安全号码,出生日期,地址以及某些情况下的驾驶执照号码); 209,000名消费者也暴露了他们的信用卡数据。该数字在2017年10月增加到1.479亿。

Equifax因许多安全性和响应失败而存在缺陷。其中最主要的是允许攻击者访问的应用程序漏洞未修补。系统分割不充分,使攻击者易于横向移动。 Equifax也很慢地报告违规情况。 

Dubsmash

日期:  2018年12月
影响: 1.62亿用户帐户
细节: 2018年12月,总部位于纽约的视频消息服务Dubsmash拥有1.62亿个电子邮件地址,用户名,PBKDF2密码散列以及其他个人数据(例如,出生日期被盗),然后将所有这些数据在Dream Market黑暗网络上出售接下来的十二月上市。这些信息是作为收集的转储的一部分出售的,还包括MyFitnessPal(在下面进行更多说明),MyHeritage(9200万),ShareThis,Armor Games和约会应用程序CoffeeMeetsBagel之类。

Dubsmash 公认的 发生了信息泄露和销售活动,并提供了有关更改密码的建议,但并未说明攻击者是如何进入或确认有多少用户受到影响的。

Heartland付款系统 

日期: March 2008
影响: 暴露1.34亿张信用卡
细节: 发生漏洞时,Heartland每月为17.5万个商家(主要是中小型零售商)处理1亿笔支付卡交易。的 发现违规 2009年1月,Visa和万事达卡将其处理过的帐户中的可疑交易通知了Heartland。攻击者利用一个已知漏洞来执行 SQL注入 攻击。安全分析师已经警告零售商有关该漏洞的问题已有几年了,它使SQL注入成为当时针对网站的最常见攻击形式。

由于违反,支付卡行业(PCI)认为Heartland不遵守其规定 数据安全标准(DSS) 并且直到2009年5月才允许它处理主要的信用卡提供商的付款。该公司还支付了约1.45亿美元的欺诈性付款赔偿。

违反“心脏地带”是当局逮捕袭击者的罕见例子。联邦大陪审团于2009年起诉阿尔伯特·冈萨雷斯(Albert Gonzalez)和两名未具名的俄罗斯同谋。一名古巴裔美国人冈萨雷斯(Gonzalez)策划了偷窃信用卡和借记卡的国际业务。他于2010年3月在联邦监狱中被判20年徒刑。

领英

日期:  2012(和2016)
影响: 1.65亿用户帐户
细节: 作为业务专业人员的主要社交网络,LinkedIn已成为希望进行攻击的攻击者的诱人命题 社会工程学 攻击。但是,它也成为过去泄露用户数据的受害者。

2012年,该公司宣布,攻击者窃取了650万个未关联的密码(未加盐的SHA-1哈希),并将其发布到了俄罗斯黑客论坛上。但是,直到2016年事件的全部范围才被揭露。发现出售MySpace数据的同一位黑客仅用5枚比特币(当时约为2,000美元)就提供了约1.65亿LinkedIn用户的电子邮件地址和密码。领英 公认的 已经知道该违规行为,并表示已重设了受影响帐户的密码。

国际万豪酒店

日期: 2014-18
影响: 5亿客户
细节: 万豪国际集团于2018年11月宣布 攻击者窃取了数据 约有5亿客户。该漏洞最初发生在支持喜达屋酒店品牌的系统上,始于2014年。在2016年万豪收购喜达屋之后,攻击者仍留在系统中,直到2018年9月才被发现。

攻击者能够将联系信息,护照号码,喜达屋优先顾客号码,旅行信息和其他个人信息结合在一起使用。据信超过1亿客户的信用卡号和有效期被盗,但万豪无法确定攻击者是否能够解密信用卡号。据一位知情人士称,此次违规最终归因于一个中国情报组织试图收集有关美国公民的数据。 纽约时报文章.

我的健身朋友

日期:  2018年2月
影响: 1.5亿用户帐户
细节: 与Dubsmash一样,UnderArmor拥有的健身应用程序MyFitnessPal也是16个受感染网站的大规模信息转储之一,该网站看到约6.17亿客户帐户被泄露并在Dream Market上出售。

2018年2月,大约1.5亿客户的用户名,电子邮件地址,IP地址,SHA-1和经过bcrypt加密的密码被盗,然后在一年后与Dubsmash等人同时出售。 MyFitnessPal 公认的 并要求客户更改密码,但没有分享受影响的帐户数量或攻击者如何获得数据访问权限。

我的空间

日期: 2013
影响: 3.6亿用户帐户
细节: 尽管社交媒体网站MySpace早已不再是昔日的强大力量,但在2016年,3.6亿个用户帐户被泄漏到LeakedSource(一个可搜索的数据库,包含被盗帐户)上并在市场上出售后,MySpace成为头条新闻 暗网 市场The Real Deal的要价为6比特币(当时约为3,000美元)。

根据 公司,丢失的数据包括“在旧的Myspace平台上于2013年6月11日之前创建的部分帐户”的电子邮件地址,密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。

网易

日期:  2015年10月
影响: 2.35亿用户帐户
细节: 网易是163.com和126.com之类的邮箱服务提供商。据报道,来自网易客户的大约2.35亿个帐户的电子邮件地址和纯文本密码正由一家被称为DoubleFlag的暗网市场供应商出售。该供应商还出售了从其他中国巨头那里获得的信息,例如腾讯的QQ.com,新浪公司和搜狐公司。据报道,网易否认有任何违规行为。 HaveIBeenPwned 清单 此违规行为为“未经验证”。

新浪微博

日期:2020年年3月
影响: 5.38亿个帐户
细节: 新浪微博拥有超过5亿用户,是中国对Twitter的回应。但是,据报道,2020年3月,真实姓名,网站用户名,性别,位置以及(对于1.72亿用户)电话号码已在暗网市场上出售。不包括密码,这可能表明为什么仅需1,799日元(250美元)就可以使用数据。

微博承认要出售的数据来自该公司,但声称该数据是通过将联系人与其通讯录API相匹配而获得的。它还说,由于不以明文形式存储密码,因此用户不必担心。但是,这并不正确,因为所提供的某些信息(例如位置数据)无法通过API获得。这家社交媒体巨头表示已将有关事件通知当局,工业和信息化部中国网络安全管理局表示正在调查。

雅虎

日期: 2013-14
影响: 30亿用户帐户
细节: 雅虎在2016年9月宣布,2014年它曾是 历史上最大的数据泄露。公司认为我们是“国家资助的参与者”,这些攻击者破坏了5亿用户的真实姓名,电子邮件地址,出生日期和电话号码。雅虎声称,大多数泄露的密码都是散列的。

然后在2016年12月,雅虎披露了另一位攻击者自2013年以来的另一次违规行为,攻击者破坏了10亿个用户帐户的名称,出生日期,电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修改了该估算值,将其所有 30亿用户帐户.

最初的泄密公告的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。这些漏洞使公司的市值损失了大约3.5亿美元。

Zynga

日期:  2019年九月
影响: 2.18亿用户帐户
细节: 曾经是Facebook游戏界的巨头,Farmville的创作者Zynga仍然是手机游戏领域最大的玩家之一,在全球拥有数百万玩家。

2019年9月,一个名为Gnosticplayers的巴基斯坦黑客声称入侵了Zynga的Draw Something and Words with Friends玩家数据库,并获得了在那里注册的2.18亿个帐户的访问权限。后来Zynga 已确认 Facebook和Zynga帐户的电子邮件地址,加盐的SHA-1哈希密码,电话号码以及用户ID被盗。

版权© 2020 IDG通讯,Inc.