近日，《網(wǎng)絡(luò)雜志》盤點了近期發(fā)生的數(shù)據(jù)泄露事件TOP 10，這些數(shù)據(jù)泄露事件非常嚴重，且對基本服務(wù)和關(guān)鍵業(yè)務(wù)造成了威脅。旨在通過這些數(shù)據(jù)泄露事件提高人們對數(shù)據(jù)泄露導(dǎo)致嚴重后果的認識，提醒企業(yè)組織采取強大的網(wǎng)絡(luò)安全措施和災(zāi)難恢復(fù)框架來降低數(shù)據(jù)泄露事件的發(fā)生，減少數(shù)據(jù)泄露事件的影響。

TOP 1、CAM4 數(shù)據(jù)泄露

• 日期：2020 年 3 月
• 泄露記錄數(shù)：108.8 億條記錄

2020 年 3 月發(fā)生的 CAM4 數(shù)據(jù)泄露事件是截至 2024 年 1 月報告的最大數(shù)據(jù)泄露事件，其原因是 CAM4 的某個員工錯誤配置了 Elasticsearch（員工用于掃描用戶和活動日志的內(nèi)部搜索引擎）。不幸的是，公司內(nèi)部有人在沒有任何密碼保護的情況下將數(shù)據(jù)庫放到了網(wǎng)上，導(dǎo)致任何擁有 IP 地址的人都可以訪問數(shù)據(jù)。

CAM4 數(shù)據(jù)泄露中的近 110 億條記錄包括敏感的用戶信息，其中包括姓和名、電子郵件地址、密碼哈希值、性別和性取向、用戶名、聊天記錄和 IP 地址等信息。

TOP 2、雅虎數(shù)據(jù)泄露

• 日期：2017 年
• 泄露記錄數(shù)：30 億個賬戶

雅虎在 2013 年遭遇數(shù)據(jù)泄露，直到 2016 年才披露發(fā)生了什么事，雅虎披露其網(wǎng)絡(luò)上有 10 億個賬戶受到影響。事實上，在 Verizon Communications 收購雅虎之后才發(fā)現(xiàn)，這次攻擊實際上影響了雅虎的全部 30 億個用戶賬戶。

威脅者竊取了用戶的姓名、出生日期、電話號碼和密碼，而這些信息都是經(jīng)過加密的，據(jù)說很容易破解。數(shù)字黑客還獲得了用于重置丟失密碼的安全問題和備份電子郵件地址。

美國司法部于 2017 年指控四名男子（其中包括兩名俄羅斯情報人員）參與了這起入侵事件。

TOP 3、Aadhaar 數(shù)據(jù)泄露

• 日期：2018 年 3 月
• 泄露記錄數(shù)：11 億人

Aadhaar 是政府于 2009 年首次推出的一項計劃，印度所有居民都擁有一個基于其生物特征數(shù)據(jù)的 12 位數(shù)唯一身份號碼。

不幸的是，2018 年，一個有問題的 Aadhaar 軟件補丁發(fā)布，為用戶提供了更高的訪問級別，允許他們繞過虹膜掃描和 GPS 定位驗證等關(guān)鍵安全功能。這一漏洞最終暴露了當時包含約 12 億條記錄的整個數(shù)據(jù)庫。

當時的報告顯示，Aadhaar 的加密機制不夠完善，訪問控制過于寬松，安全協(xié)議已經(jīng)過時。因此，這些漏洞使惡意行為者得以利用并破壞敏感數(shù)據(jù)。

TOP 4、阿里巴巴數(shù)據(jù)泄露

• 日期：2022 年 7 月
• 泄露記錄數(shù)：11 億用戶

中國電子商務(wù)巨頭阿里巴巴于 2022 年遭遇大規(guī)模數(shù)據(jù)泄露事件，客戶數(shù)據(jù)遭到泄露。泄露的敏感信息包括姓名、身份證號碼、電話號碼、地址甚至犯罪記錄。中國最著名的公共云服務(wù)提供商阿里巴巴云總共有 23 TB 的數(shù)據(jù)被泄露。

被稱為史上最大的數(shù)據(jù)泄露事件之一，10 億中國公民的數(shù)據(jù)被暴露了一年多，黑客論壇上的一位匿名用戶提出以 10 個比特幣的價格出售這 23TB 的數(shù)據(jù)。

TOP 5、第一美國金融公司數(shù)據(jù)泄露

• 日期：2019 年 5 月
• 受損記錄數(shù)：8.85 億用戶

金融服務(wù)公司 First American 于 2019 年 5 月檢測到一起網(wǎng)絡(luò)安全漏洞，原因是其用于存儲消費者數(shù)據(jù)的專有 EaglePro 應(yīng)用程序存在漏洞。該漏洞導(dǎo)致數(shù)億條客戶記錄泄露。

該公司網(wǎng)站上存儲的文件包含銀行賬號、銀行對賬單、抵押貸款記錄、稅務(wù)文件、電匯收據(jù)和社會安全號碼。泄露的信息最早可追溯到 2003 年，而且沒有任何保護措施。

TOP 6、Verifications.io 數(shù)據(jù)泄露

• 日期：2019 年 2 月
• 泄露記錄數(shù)：7.63 億用戶

Verifications.io 是一家數(shù)據(jù)驗證和核實服務(wù)公司，幫助企業(yè)核實電子郵件地址和其他聯(lián)系信息。

安全研究人員 Vinny Troia 和 Bob Diachenko 于 2019 年首次發(fā)現(xiàn)了該組織的數(shù)據(jù)泄露事件。據(jù)透露，有 7.63 億條獨特記錄在網(wǎng)絡(luò)上曝光，其中絕大部分包括美國公民的營銷數(shù)據(jù)。

作為回應(yīng)，該公司于 2019 年 3 月關(guān)閉了網(wǎng)站，之后不久又完全關(guān)閉。

TOP 7、LinkedIn 數(shù)據(jù)泄露

• 日期：2021 年 6 月
• 泄露記錄數(shù)：7 億

2021 年 6 月，一個名為 "TomLiner "的黑客在一個暗網(wǎng)論壇上發(fā)布廣告，出售約 7 億 LinkedIn 用戶的信息。當時，這一數(shù)字約占該公司用戶總數(shù)的 90%，這也是迄今為止最大的 LinkedIn 數(shù)據(jù)泄露事件。

2021 年 4 月，LinkedIn 的 5 億條記錄也是由同一個人泄露的。造成如此大規(guī)模數(shù)據(jù)泄露的原因是，LinkedIn 的 API 被濫用，從而導(dǎo)致了未經(jīng)授權(quán)的數(shù)據(jù)收集。當時，LinkedIn 證實，被竊取的數(shù)據(jù)包括電子郵件地址、全名、電話號碼和實際地址。

TOP 8、Ticketmaster 數(shù)據(jù)泄露

• 日期：2024 年 5 月
• 泄露記錄數(shù)：5.6 億

在一群黑客承認竊取了 5.6 億客戶的個人信息后，Ticketmaster 的所有者 Live Nation 證實其數(shù)據(jù)庫存在未經(jīng)授權(quán)的活動。據(jù)聲稱對此事負責的 ShinyHunters 稱，被盜數(shù)據(jù)包括全球 Ticketmaster 用戶的姓名、地址、電話號碼和部分信用卡信息。

Ticketmaster的第三方云服務(wù)提供商Snowflake確認此次事件是云賬戶劫持攻擊的結(jié)果。這是指利用竊取的憑證訪問敏感數(shù)據(jù)。

TOP 9、Facebook 數(shù)據(jù)泄露

• 日期： 2019 年 4 月
• 泄露記錄數(shù)：5.33 億用戶

2021 年，來自超過 106 個國家的數(shù)百萬 Facebook（現(xiàn)為 Meta）用戶的個人信息在網(wǎng)上泄露。據(jù)報道，這些數(shù)據(jù)是通過利用 Facebook 的聯(lián)系人導(dǎo)入器功能獲得的，該公司在首次發(fā)現(xiàn)該漏洞被利用后，于 2019 年對其進行了修復(fù)。

此次漏洞導(dǎo)致 Facebook 當時約 20% 的用戶群受到影響。暴露的數(shù)據(jù)包括電話號碼、Facebook ID、全名、地點、出生日期，在某些情況下還包括電子郵件地址、雇主、性別和關(guān)系狀態(tài)。

TOP 10、喜達屋（萬豪）數(shù)據(jù)泄露事件

• 日期： 2018 年 11 月
• 泄露記錄數(shù)量：5 億客人

跨國酒店公司萬豪國際集團于 2018 年 11 月通知客戶發(fā)生數(shù)據(jù)泄露事件，導(dǎo)致屬于 5 億客戶的信用卡、護照號碼和其他身份信息可能泄露。

萬豪內(nèi)部調(diào)查后發(fā)現(xiàn)，黑客對數(shù)據(jù)進行了加密，并從喜達屋系統(tǒng)中刪除了這些數(shù)據(jù)。該漏洞還被發(fā)現(xiàn)首次發(fā)生在 2014 年，但四年后才被發(fā)現(xiàn)。因此，萬豪酒店因未達到 GDPR 標準而被罰款 2380 萬美元。

總結(jié)

通過分析以上嚴重的數(shù)據(jù)泄露事件，不難看出導(dǎo)致這些數(shù)據(jù)泄露事件的原因主要在于系統(tǒng)漏洞、API被濫用、憑證被竊取、配置錯誤、密碼弱等，這提醒著企業(yè)，不僅需要采取強有力的網(wǎng)絡(luò)安全措施，比如部署防火墻、防病毒軟件、入侵檢測系統(tǒng)、SSL證書等安全防護措施；還需要實施訪問控制權(quán)限和多重身份驗證，預(yù)防未經(jīng)授權(quán)訪問以及登錄憑證泄露；定期更新系統(tǒng)及時修補漏洞，并正確配置內(nèi)部系統(tǒng)，以降低數(shù)據(jù)泄露風險，從而保障網(wǎng)絡(luò)安全、數(shù)據(jù)安全。

資料參考來源：Cyber Magazine