Cyber Magazine：危及基本服务和关键业务的数据泄露事件TOP 10

近日，《网络杂志》盘点了近期发生的数据泄露事件TOP 10，这些数据泄露事件非常严重，且对基本服务和关键业务造成了威胁。旨在通过这些数据泄露事件提高人们对数据泄露导致严重后果的认识，提醒企业组织采取强大的网络安全措施和灾难恢复框架来降低数据泄露事件的发生，减少数据泄露事件的影响。

TOP 1、CAM4 数据泄露

• 日期：2020 年 3 月
• 泄露记录数：108.8 亿条记录

2020 年 3 月发生的 CAM4 数据泄露事件是截至 2024 年 1 月报告的最大数据泄露事件，其原因是 CAM4 的某个员工错误配置了 Elasticsearch（员工用于扫描用户和活动日志的内部搜索引擎）。不幸的是，公司内部有人在没有任何密码保护的情况下将数据库放到了网上，导致任何拥有 IP 地址的人都可以访问数据。

CAM4 数据泄露中的近 110 亿条记录包括敏感的用户信息，其中包括姓和名、电子邮件地址、密码哈希值、性别和性取向、用户名、聊天记录和 IP 地址等信息。

TOP 2、雅虎数据泄露

• 日期：2017 年
• 泄露记录数：30 亿个账户

雅虎在 2013 年遭遇数据泄露，直到 2016 年才披露发生了什么事，雅虎披露其网络上有 10 亿个账户受到影响。事实上，在 Verizon Communications 收购雅虎之后才发现，这次攻击实际上影响了雅虎的全部 30 亿个用户账户。

威胁者窃取了用户的姓名、出生日期、电话号码和密码，而这些信息都是经过加密的，据说很容易破解。数字黑客还获得了用于重置丢失密码的安全问题和备份电子邮件地址。

美国司法部于 2017 年指控四名男子（其中包括两名俄罗斯情报人员）参与了这起入侵事件。

TOP 3、Aadhaar 数据泄露

• 日期：2018 年 3 月
• 泄露记录数：11 亿人

Aadhaar 是政府于 2009 年首次推出的一项计划，印度所有居民都拥有一个基于其生物特征数据的 12 位数唯一身份号码。

不幸的是，2018 年，一个有问题的 Aadhaar 软件补丁发布，为用户提供了更高的访问级别，允许他们绕过虹膜扫描和 GPS 定位验证等关键安全功能。这一漏洞最终暴露了当时包含约 12 亿条记录的整个数据库。

当时的报告显示，Aadhaar 的加密机制不够完善，访问控制过于宽松，安全协议已经过时。因此，这些漏洞使恶意行为者得以利用并破坏敏感数据。

TOP 4、阿里巴巴数据泄露

• 日期：2022 年 7 月
• 泄露记录数：11 亿用户

中国电子商务巨头阿里巴巴于 2022 年遭遇大规模数据泄露事件，客户数据遭到泄露。泄露的敏感信息包括姓名、身份证号码、电话号码、地址甚至犯罪记录。中国最著名的公共云服务提供商阿里巴巴云总共有 23 TB 的数据被泄露。

被称为史上最大的数据泄露事件之一，10 亿中国公民的数据被暴露了一年多，黑客论坛上的一位匿名用户提出以 10 个比特币的价格出售这 23TB 的数据。

TOP 5、第一美国金融公司数据泄露

• 日期：2019 年 5 月
• 受损记录数：8.85 亿用户

金融服务公司 First American 于 2019 年 5 月检测到一起网络安全漏洞，原因是其用于存储消费者数据的专有 EaglePro 应用程序存在漏洞。该漏洞导致数亿条客户记录泄露。

该公司网站上存储的文件包含银行账号、银行对账单、抵押贷款记录、税务文件、电汇收据和社会安全号码。泄露的信息最早可追溯到 2003 年，而且没有任何保护措施。

TOP 6、Verifications.io 数据泄露

• 日期：2019 年 2 月
• 泄露记录数：7.63 亿用户

Verifications.io 是一家数据验证和核实服务公司，帮助企业核实电子邮件地址和其他联系信息。

安全研究人员 Vinny Troia 和 Bob Diachenko 于 2019 年首次发现了该组织的数据泄露事件。据透露，有 7.63 亿条独特记录在网络上曝光，其中绝大部分包括美国公民的营销数据。

作为回应，该公司于 2019 年 3 月关闭了网站，之后不久又完全关闭。

TOP 7、LinkedIn 数据泄露

• 日期：2021 年 6 月
• 泄露记录数：7 亿

2021 年 6 月，一个名为 "TomLiner "的黑客在一个暗网论坛上发布广告，出售约 7 亿 LinkedIn 用户的信息。当时，这一数字约占该公司用户总数的 90%，这也是迄今为止最大的 LinkedIn 数据泄露事件。

2021 年 4 月，LinkedIn 的 5 亿条记录也是由同一个人泄露的。造成如此大规模数据泄露的原因是，LinkedIn 的 API 被滥用，从而导致了未经授权的数据收集。当时，LinkedIn 证实，被窃取的数据包括电子邮件地址、全名、电话号码和实际地址。

TOP 8、Ticketmaster 数据泄露

• 日期：2024 年 5 月
• 泄露记录数：5.6 亿

在一群黑客承认窃取了 5.6 亿客户的个人信息后，Ticketmaster 的所有者 Live Nation 证实其数据库存在未经授权的活动。据声称对此事负责的 ShinyHunters 称，被盗数据包括全球 Ticketmaster 用户的姓名、地址、电话号码和部分信用卡信息。

Ticketmaster的第三方云服务提供商Snowflake确认此次事件是云账户劫持攻击的结果。这是指利用窃取的凭证访问敏感数据。

TOP 9、Facebook 数据泄露

• 日期： 2019 年 4 月
• 泄露记录数：5.33 亿用户

2021 年，来自超过 106 个国家的数百万 Facebook（现为 Meta）用户的个人信息在网上泄露。据报道，这些数据是通过利用 Facebook 的联系人导入器功能获得的，该公司在首次发现该漏洞被利用后，于 2019 年对其进行了修复。

此次漏洞导致 Facebook 当时约 20% 的用户群受到影响。暴露的数据包括电话号码、Facebook ID、全名、地点、出生日期，在某些情况下还包括电子邮件地址、雇主、性别和关系状态。

TOP 10、喜达屋（万豪）数据泄露事件

• 日期： 2018 年 11 月
• 泄露记录数量：5 亿客人

跨国酒店公司万豪国际集团于 2018 年 11 月通知客户发生数据泄露事件，导致属于 5 亿客户的信用卡、护照号码和其他身份信息可能泄露。

万豪内部调查后发现，黑客对数据进行了加密，并从喜达屋系统中删除了这些数据。该漏洞还被发现首次发生在 2014 年，但四年后才被发现。因此，万豪酒店因未达到 GDPR 标准而被罚款 2380 万美元。

总结

通过分析以上严重的数据泄露事件，不难看出导致这些数据泄露事件的原因主要在于系统漏洞、API被滥用、凭证被窃取、配置错误、密码弱等，这提醒着企业，不仅需要采取强有力的网络安全措施，比如部署防火墙、防病毒软件、入侵检测系统、SSL证书等安全防护措施；还需要实施访问控制权限和多重身份验证，预防未经授权访问以及登录凭证泄露；定期更新系统及时修补漏洞，并正确配置内部系统，以降低数据泄露风险，从而保障网络安全、数据安全。

资料参考来源：Cyber Magazine