近年來，隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)已經(jīng)成為現(xiàn)代企業(yè)不可或缺的發(fā)展資源。然而，隨之而來的數(shù)據(jù)泄露危機(jī)，給個(gè)人、企業(yè)甚至整個(gè)社會(huì)帶來了巨大的風(fēng)險(xiǎn)。

截至2024年上半年，一些最嚴(yán)重的數(shù)據(jù)泄露事件已經(jīng)竊取、暴露了至少10億條記錄，而且這一數(shù)字仍在不斷攀升。這些觸目驚心地?cái)?shù)字時(shí)刻提醒人們，數(shù)據(jù)泄露威脅是無法避免的。重要的是，組織是否有足夠強(qiáng)大的網(wǎng)絡(luò)安全措施和災(zāi)難恢復(fù)框架來緩解惡意活動(dòng)的影響。

通過實(shí)施威脅檢測(cè)和響應(yīng)策略，組織將有更高的機(jī)會(huì)保護(hù)有價(jià)值的數(shù)據(jù)，或者更容易地從泄露事件中恢復(fù)。

考慮到這一點(diǎn)，《網(wǎng)絡(luò)雜志》（Cyber Magazine）回顧了近年來威脅到“基礎(chǔ)服務(wù)”和“關(guān)鍵業(yè)務(wù)”的一些最嚴(yán)重的數(shù)據(jù)泄露事件，旨在提高人們對(duì)數(shù)據(jù)泄露毀滅性后果的認(rèn)識(shí)。

CAM4數(shù)據(jù)泄露

時(shí)間：2020年3月

泄露記錄數(shù)：108.8億條記錄

2020年3月，熱門成人流媒體直播平臺(tái)CAM4遭遇數(shù)據(jù)泄露，起因是內(nèi)部人員錯(cuò)誤配置Elasticsearch，且公司內(nèi)部有人在沒有任何密碼保護(hù)的情況下將數(shù)據(jù)庫(kù)放到了網(wǎng)上，使得任何擁有IP地址的人都能輕易獲取這些數(shù)據(jù)。最終，近110億條記錄泄露，成為迄今為止報(bào)告的最大數(shù)據(jù)泄露事件。

據(jù)悉，被泄露的敏感用戶信息包括姓名、電子郵件地址、密碼散列、性別和性取向、用戶名、聊天記錄和IP地址等信息。其中，許多暴露的電子郵件都與云存儲(chǔ)服務(wù)有關(guān)，如果黑客對(duì)這些用戶成功發(fā)起網(wǎng)絡(luò)釣魚攻擊，他們就可以更深入地獲取個(gè)人照片和敏感業(yè)務(wù)信息。

如此大規(guī)模的網(wǎng)絡(luò)攻擊也凸顯了世界各地組織對(duì)強(qiáng)大網(wǎng)絡(luò)安全措施日益增長(zhǎng)的需求，以便他們可以減輕潛在的數(shù)據(jù)泄露威脅。

雅虎數(shù)據(jù)泄露

時(shí)間：2017年10月

泄露記錄數(shù)：30億個(gè)賬戶

雅虎在2013年經(jīng)歷了一次數(shù)據(jù)泄露，但直到2016年12月14日，雅虎在談判將自身出售給Verizon時(shí)才首次報(bào)告了該事件，并透露其網(wǎng)絡(luò)上的10億個(gè)賬戶受到了影響。當(dāng)時(shí)，雅虎要求所有受影響的用戶更改密碼，重新輸入未加密的安全問題和答案，以便重新加密。

然而，到2017年10月，收購(gòu)活動(dòng)完成后，雅虎再次將泄露記錄數(shù)更改為30億個(gè)賬戶。據(jù)報(bào)道，黑客竊取了用戶的姓名、出生日期、電話號(hào)碼和密碼，這些信息雖都經(jīng)過了安全加密，但及易破解。此外，黑客還獲得了用于重置丟失密碼的安全問題和備份電子郵件地址。

最終，美國(guó)司法部（DoJ）指控了包括兩名俄羅斯情報(bào)官員在內(nèi)的四人參與了2017年的泄密事件。

Aadhaar數(shù)據(jù)泄露

時(shí)間：2018年3月

泄露記錄數(shù)：11億用戶數(shù)據(jù)

Aadhaar是一項(xiàng)于2009年首次啟動(dòng)的政府項(xiàng)目，根據(jù)其生物特征數(shù)據(jù)，所有印度居民都有一個(gè)12位數(shù)字的唯一身份號(hào)碼。

不幸的是，2018年發(fā)布了一個(gè)有缺陷的Aadhaar軟件補(bǔ)丁，為用戶提供了更高的訪問級(jí)別，并允許他們繞過虹膜掃描和GPS位置驗(yàn)證等關(guān)鍵安全功能。這個(gè)漏洞最終暴露了整個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)當(dāng)時(shí)包含大約12億條記錄。泄露的信息類型包括幾乎所有印度公民的姓名、照片、拇指指紋、視網(wǎng)膜掃描和其他識(shí)別細(xì)節(jié)，以及唯一的12位身份證號(hào)碼和銀行詳細(xì)信息。

當(dāng)時(shí)的報(bào)告顯示，Aadhaar的加密機(jī)制不足，訪問控制過于寬松，且安全協(xié)議也已過時(shí)。因此，這些漏洞使惡意行為者能夠利用和破壞敏感數(shù)據(jù)。

阿里巴巴數(shù)據(jù)泄露

時(shí)間：2022年7月

泄露記錄數(shù)：11億用戶數(shù)據(jù)

2022年，中國(guó)電商巨頭阿里巴巴遭遇了大規(guī)模數(shù)據(jù)泄露，導(dǎo)致客戶數(shù)據(jù)外泄。泄露的敏感信息包括姓名、身份證號(hào)碼、電話號(hào)碼、地址，甚至犯罪記錄。據(jù)悉，總共有超過23TB的數(shù)據(jù)從阿里巴巴的云托管服務(wù)器（阿里云）中被泄露出來，被稱為史上最大的數(shù)據(jù)泄露事件之一，相關(guān)開發(fā)者及其雇主被判處三年監(jiān)禁，

而這并不是阿里巴巴的第一次數(shù)據(jù)泄露事件，因?yàn)榫驮谝荒昵埃谌介_發(fā)者曾泄露了阿里巴巴的購(gòu)物網(wǎng)站淘寶上抓取的用戶數(shù)據(jù)。同樣超過10億用戶被曝光。

First American金融公司數(shù)據(jù)泄露

時(shí)間：2019年5月

泄露記錄數(shù)：8.85億用戶數(shù)據(jù)

2019年5月，美國(guó)金融服務(wù)公司First American發(fā)生了一起網(wǎng)絡(luò)安全事件，原因是其用于存儲(chǔ)消費(fèi)者數(shù)據(jù)的專有EaglePro應(yīng)用程序存在漏洞，允許公眾在不需要任何身份驗(yàn)證的情況下查看敏感信息。由于這次數(shù)據(jù)泄露，數(shù)以億計(jì)的客戶記錄被曝光。

據(jù)悉，該公司網(wǎng)站上存儲(chǔ)的文件包括銀行賬號(hào)、銀行對(duì)賬單、抵押貸款記錄、稅務(wù)文件、電匯收據(jù)和社會(huì)保險(xiǎn)號(hào)。其中一些信息甚至最早可以追溯到2003年，沒有任何保護(hù)措施。

Verifications.io 數(shù)據(jù)泄露

時(shí)間：2019年2月

泄露記錄數(shù)：7.63億用戶數(shù)據(jù)

Verifications.io 是一項(xiàng)數(shù)據(jù)認(rèn)證和驗(yàn)證服務(wù)，旨在幫助企業(yè)驗(yàn)證電子郵件地址和其他聯(lián)系信息。

該組織的數(shù)據(jù)泄露最早是由安全研究人員Vinny Troia和Bob Diachenko在2019年發(fā)現(xiàn)的。據(jù)透露，有7.63億條獨(dú)特的記錄在網(wǎng)絡(luò)上被曝光，其中絕大多數(shù)包括美國(guó)公民的營(yíng)銷數(shù)據(jù)。

作為回應(yīng)，該公司于2019年3月關(guān)閉了其網(wǎng)站，不久之后便完全停止運(yùn)營(yíng)。

領(lǐng)英（LinkedIn）數(shù)據(jù)泄露

時(shí)間：2021年6月

泄露記錄數(shù)：7億用戶數(shù)據(jù)

2021年6月，一個(gè)名為“TomLiner”的黑客在一個(gè)暗網(wǎng)論壇上發(fā)布了“出售約7億領(lǐng)英用戶信息”的廣告。當(dāng)時(shí)，這一數(shù)字約占該公司總用戶群的90%，這是LinkedIn迄今為止最大的數(shù)據(jù)泄露事件。

據(jù)了解，這些數(shù)據(jù)被分為兩次泄露，最初是2021年4月泄露的5億條領(lǐng)英記錄，隨后是6月的這次。如此大規(guī)模的數(shù)據(jù)泄露是由于濫用LinkedIn的API導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)收集。LinkedIn當(dāng)時(shí)證實(shí)，被抓取的數(shù)據(jù)包括電子郵件地址、全名、電話號(hào)碼、實(shí)際地址、LinkedIn用戶名和個(gè)人資料URL、個(gè)人和職業(yè)經(jīng)歷以及其他社交媒體賬戶和詳細(xì)信息。

Ticketmaster數(shù)據(jù)泄露

時(shí)間：2024年5月

泄露記錄數(shù)：5.6億用戶數(shù)據(jù)

在一群黑客承認(rèn)竊取了5.6億客戶的個(gè)人信息后，Ticketmaster的所有者Live Nation證實(shí)其數(shù)據(jù)庫(kù)中存在未經(jīng)授權(quán)的活動(dòng)。聲稱對(duì)此次事件負(fù)責(zé)的ShinyHunters組織稱，被盜數(shù)據(jù)包括全球Ticketmaster用戶的姓名、地址、電話號(hào)碼和部分信用卡詳細(xì)信息。

Ticketmaster的第三方云提供商雪花（Snowflake）將此次事件確定為云賬戶劫持攻擊的結(jié)果，并稱這就是使用被盜憑據(jù)訪問敏感數(shù)據(jù)的最常見入口。

Facebook數(shù)據(jù)泄露

時(shí)間：2019年4月

泄露記錄數(shù)：5.33億用戶數(shù)據(jù)

2021年媒體報(bào)道稱，來自106個(gè)國(guó)家的數(shù)億Facebook（現(xiàn)在的Meta）用戶的個(gè)人信息在網(wǎng)上泄露。據(jù)報(bào)道，這些數(shù)據(jù)是通過利用Facebook的聯(lián)系人導(dǎo)入功能獲得的，該公司在2019年首次發(fā)現(xiàn)該漏洞被利用后修復(fù)了該功能。

由于這次數(shù)據(jù)泄露，當(dāng)時(shí)大約20%的Facebook用戶受到了影響。暴露的數(shù)據(jù)包括電話號(hào)碼、Facebook id、全名、地點(diǎn)、出生日期，在某些情況下還包括電子郵件地址、雇主、性別和關(guān)系狀態(tài)。

喜達(dá)屋（萬豪）數(shù)據(jù)泄露

時(shí)間：2018年11月

泄露記錄數(shù)：5億客人信息

2018年11月，跨國(guó)酒店公司萬豪國(guó)際發(fā)布通知稱，黑客竊取了約5億客戶的個(gè)人信息。攻擊者早在2014年就未經(jīng)授權(quán)訪問了喜達(dá)屋系統(tǒng)，并在2016年萬豪集團(tuán)收購(gòu)喜達(dá)屋后仍然留在該系統(tǒng)中。然而，這一發(fā)現(xiàn)直到2018年才發(fā)現(xiàn)。

被曝光的信息包括姓名、聯(lián)系信息、護(hù)照號(hào)碼、喜達(dá)屋貴賓客人號(hào)碼、旅行信息和其他個(gè)人信息。萬豪集團(tuán)認(rèn)為，超過1億客戶的信用卡和借記卡號(hào)碼，以及到期日等財(cái)務(wù)信息被盜，盡管該公司不確定攻擊者是否能夠解密信用卡號(hào)碼。

最終，萬豪因未能達(dá)到《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）標(biāo)準(zhǔn)而被罰款2380萬美元。

原文鏈接：https://cybermagazine.com/top10/top-10-data-breaches