在这个数据驱动的世界中，一次数据泄露就可能影响到数亿甚至数十亿人。数字化转型进一步推动了数据的移动，而随着攻击者加速利用日常生活中的数据依赖性，数据泄露也正随之扩大。未来的网络攻击规模会有多大还有待考察，但正如这份21世纪最大的数据泄露清单所显示的那样，它们已经达到了巨大的规模。

根据受影响的用户、暴露的记录或受影响的帐户数量，我们总结了这份21世纪以来最重大的数据泄露事件清单。

1.雅虎

时间：年8月；

影响：30亿账户；

雅虎于年12月首次公开宣布了这起数据泄露事件，并称其发生在年。当时，它正处于被Verizon收购的过程中，据估计，超过10亿用户的账户信息已被黑客组织访问。不到一年之后，雅虎宣布泄露的用户账户的实际数字高达30亿。

尽管遭到了攻击，但与Verizon的交易还是完成了，只是成交价格有所降低。Verizon首席信息官ChandraMcMahon当时表示，“Verizon致力于问责制和透明度的最高标准，在不断变化的在线威胁环境中，我们积极努力确保用户和网络的安全。我们对雅虎的投资使该团队能够继续采取重大措施来增强他们的安全性，同时也能受益于Verizon的经验和资源。”

后来，经过调查发现，虽然攻击者访问了安全问题和答案等账户信息，但明文密码、支付卡和银行数据并没有被盗。

2.Aadhaar

时间：年1月；

影响：11亿印度公民的身份/生物特征信息暴露；

年初，恶意行为者渗透了世界上最大的身份数据库Aadhaar，泄露了超过11亿印度公民的信息，包括姓名、地址、照片、电话号码和电子邮件，以及指纹和虹膜扫描等生物特征数据。更重要的是，这个数据库——由印度唯一识别局（UIDAI）于年建立——还包含与唯一12位数字相关的银行账户信息。

据悉，攻击者通过国有公用事业公司Indane的网站潜入Aadhaar数据库，Indane通过应用程序编程接口连接到政府数据库，该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是，Indane的API没有访问控制，因此数据很容易受到攻击。之后，攻击者通过WhatsApp群以低至7美元的价格出售了这些数据使用权。尽管安全研究人员和技术组织发出警告，但印度当局直到年3月23日才将这个易受攻击的接入点关闭。

3.阿里巴巴

时间：年11月；

影响：11亿条用户数据；

在八个月的时间里，一名开发人员使用自己开发的爬虫软件，从阿里巴巴（Alibaba）中文购物网站淘宝上抓取了大量客户数据，包括用户名和手机号码。目前看来，这名开发人员及其雇主收集这些信息是为了自己使用，并没有在黑市上出售。最终，两人都被判处3年监禁。

淘宝发言人在一份声明中表示，“淘宝投入大量资源打击平台上未经授权的抓取，因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作，捍卫和保护我们用户和合作伙伴的利益。”

4.LinkedIn

时间：年6月；

影响：77亿用户；

职业网络巨头领英（LinkedIn）在年6月发现，其7亿用户的相关数据被发布在暗网论坛上，影响了其90%以上的用户群。一名自称为“GodUser”的黑客利用该网站（和其他网站）的API，通过数据抓取技术转储了约5亿用户的信息数据集。接着，他们夸口说，他们正在出售完整的7亿客户数据库。

尽管LinkedIn辩称，由于没有敏感的个人数据被泄露，该事件只是违反了其服务条款，而不是数据泄露，但正如英国国家网络安全委员会（NCSC）警告的那样，GodUser发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息，这将为恶意行为者提供大量数据，在泄密事件发生后制造令人信服的后续社交工程攻击。

5.新浪微博

时间：年3月；

影响：5.38亿账户；

新浪微博拥有超过6亿用户，是中国最大的社交媒体平台之一。年3月，该公司宣布，攻击者获取了其部分数据库，影响了5.38亿微博用户及其个人信息，包括真实姓名、网站用户名、性别、位置和电话号码。据报道，攻击者随后在暗网上以美元的价格出售了该数据库。

中国工业和信息化部要求微博加强数据安全措施，更好地保护个人信息，并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称，攻击者利用一项服务——该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户——收集了公开发布的信息，但密码并未受到影响。不过，该公司也承认，如果密码在其他账户上重复使用，泄露的数据可能会被用来关联账户和密码。

6.Facebook

时间：年4月；

影响：5.33亿用户；

年4月，来自Facebook应用程序的两个数据集被暴露在公共互联网上。这些信息涉及5.3亿多Facebook用户，包括电话号码、账户名和Facebookid。然而，两年后（年4月），这些数据被免费发布，表明围绕这些数据有新的和真正的犯罪意图。事实上，考虑到此次事件影响到的电话号码数量之多，以及在暗网上可以轻易获得的电话号码，安全研究员TroyHunt为他的“HaveIBeenPwned”入侵检查网站添加了功能，允许用户验证他们的电话号码是否包含在暴露的数据集中。

7.万豪国际（喜达屋）

时间：年9月；

影响：5亿用户；

年9月，万豪国际酒店宣布其系统遭到攻击，50万喜达屋客人的敏感细节被曝光。在同年11月发布的一份声明中，这家酒店巨头表示，“年9月8日，万豪收到了来自内部安全工具的警告，称有人试图访问喜达屋的客人预订数据库。万豪迅速聘请顶尖安全专家帮助确定发生了什么。”

万豪在调查中了解到，自年以来，喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息，并采取了删除措施。年11月19日，万豪成功解密了这些信息，并确定其内容来自喜达屋客房预订数据库。

复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、到达和离开信息、预订日期和沟通偏好。对一些人来说，信息还包括支付卡号码和到期日，尽管这些显然是加密的。

事件发生后，万豪在安全专家的协助下展开了调查，并宣布计划逐步淘汰喜达屋系统，并加快对其网络的安全加固。该公司最终在年被英国数据管理机构信息专员办公室（ICO）罚款万英镑（从最初的万英镑减少），原因是未能保护客户的个人数据安全。

8.雅虎

时间：年；

影响：5亿账户；

雅虎再次出现在榜单中。在这起事件中，国家支持的黑客窃取了雅虎5亿账户的数据，包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司早在年就采取了初步的补救措施，但直到年，一个被盗的数据库在黑市上出售后，雅虎才公开了细节。

9.AdultFriendFinder

时间：年10月；

影响：4.亿账户；

年10月，面向成人的社交网络服务FriendFinderNetwork数据库遭遇黑客入侵。考虑到该公司提供的服务的敏感性质——包括休闲约会和成人内容网站，如adultFriendFinder,penthouse，和Stripshow.

转载请注明:http://www.aideyishus.com/lktp/3737.html