從互聯(lián)網(wǎng)時(shí)代興起至今，人們的生活方式有了很大的變化，很多服務(wù)只需要通過一個(gè)賬戶就能輕松享受，但從某種角度看，這也是讓渡出一些個(gè)人隱私的結(jié)果，尤其是在當(dāng)前幾乎所有網(wǎng)絡(luò)服務(wù)的賬號(hào)都必須要綁定手機(jī)號(hào)甚至更多隱私信息的情況下才能使用，因此這些數(shù)據(jù)信息的價(jià)值大幅提升，成為攻擊者眼中的“肥肉”，因此我們也看到數(shù)據(jù)泄露事件時(shí)有發(fā)生。

　　近期我們整理一些數(shù)據(jù)，總結(jié)出近10年來規(guī)模龐大的十起數(shù)據(jù)泄露事件。經(jīng)整理發(fā)現(xiàn)，雖然最大的數(shù)據(jù)泄露事件發(fā)生在接近10年前，但更多事件都發(fā)生在2018年至今的5年內(nèi)，而能夠發(fā)生大規(guī)模泄露的普遍都是大型企業(yè)，安全建設(shè)水平理應(yīng)較高，由此可見近些年來的威脅形勢的確愈加嚴(yán)峻。我國作為一個(gè)互聯(lián)網(wǎng)大國，也是數(shù)字化轉(zhuǎn)型速度較高的國家，也有兩起成為其中之一。

　　01 雅虎

　　● 事件時(shí)間：2013年8月

　　● 事件影響：30億賬戶

　　雖然事件發(fā)生在2013年8月，但首次公開是2016年，當(dāng)時(shí)雅虎正處在被Verizon（威瑞森）收購的過程之中，據(jù)當(dāng)時(shí)估計(jì)，被黑客獲取的賬戶信息數(shù)量超過10億，但不到一年之后，雅虎表示在該事件中泄露的用戶賬戶達(dá)到30億。雅虎在當(dāng)時(shí)的官方聲明中表示，被盜信息內(nèi)容包括用戶名、郵箱地址、電話號(hào)碼、生日、以及部分用戶的安全識(shí)別問題和答案。同時(shí)特別強(qiáng)調(diào)信用卡和銀行賬戶信息并沒有保存在黑客攻擊的服務(wù)器上。

　　根據(jù)當(dāng)時(shí)國內(nèi)媒體調(diào)查分析，在泄露的用戶賬戶中，至少有數(shù)千萬是中國用戶，盡管發(fā)生該事件的事件和雅虎離開中國事件大體一致，中國的活躍用戶處在較低的水平，但考慮到很多用戶在口令方面并沒有良好的安全習(xí)慣，因此也有可能會(huì)被進(jìn)一步利用。在Verizon完成對雅虎的收購后也加大了針對提升雅虎安全性方面的投入，根據(jù)外媒報(bào)道，包括口令、支付卡和銀行數(shù)據(jù)的確沒有被盜。

　　02 Aadhaar（印度唯一身份識(shí)別管理局）

　　● 事件時(shí)間：2018年1月

　　● 事件影響：超11億印度公民身份及生物特征信息被泄露。

　　2018年初，媒體報(bào)道稱有攻擊者入侵世界上最大的身份數(shù)據(jù)庫——印度Aadhaar，在該事件中，總計(jì)泄露了超過11億印度公民的信息，包括姓名、地址、照片、電話號(hào)碼和電子郵件以及包括指紋、虹膜在內(nèi)的生物特征數(shù)據(jù)。更重要的是，由于這個(gè)由印度唯一身份識(shí)別局 （UIDAI）在2009年建立的數(shù)據(jù)庫還包含了與公民身份證號(hào)相關(guān)的銀行賬戶信息，盡管該局最初否認(rèn)數(shù)據(jù)庫持有此類數(shù)據(jù)、

　　據(jù)當(dāng)時(shí)報(bào)道顯示，攻擊者通過印度國有公用事業(yè)公司Indane的網(wǎng)站潛入Aadhaar數(shù)據(jù)庫，Indane通過API接口連接到政府?dāng)?shù)據(jù)庫，該接口允許應(yīng)用程序檢索其他應(yīng)用程序或軟件存儲(chǔ)的數(shù)據(jù)。不幸的是，Indane的API并未有訪問控制，因此數(shù)據(jù)很容易受到攻擊。在事件發(fā)生后，攻擊者通過社交媒體以低至7美元的價(jià)格出售數(shù)據(jù)使用權(quán)。盡管安全研究人員不斷地發(fā)出告警，但印度當(dāng)局仍然拖到直到2018年3月下旬才將這個(gè)易受攻擊的接口關(guān)閉。

　　03 淘寶

　　● 事件時(shí)間：2019年11月

　　● 事件影響：超11億條用戶數(shù)據(jù)遭泄露

　　據(jù)中國基金報(bào)2021年6月報(bào)道，商丘市睢陽區(qū)人民法院當(dāng)時(shí)在裁判文書網(wǎng)公開了一份刑事判決書，顯示一名住在河南商丘市的本科畢業(yè)的大學(xué)生逯某自2019年11月起，對淘寶實(shí)施了長達(dá)八個(gè)月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù)。在平臺(tái)注意到這一問題前，已經(jīng)有超過11億8千多萬條用戶信息泄露。

　　報(bào)道指出，在八個(gè)月的時(shí)間里，一名為關(guān)聯(lián)營銷人員工作的開發(fā)人員使用自己開發(fā)的爬蟲軟件，從該平臺(tái)抓取了客戶數(shù)據(jù)，包括用戶名和手機(jī)號(hào)碼。另一名犯罪分子利用這些信息，建了1100個(gè)微信群，每個(gè)群90-200人不等，每天用機(jī)器人在群里發(fā)平臺(tái)優(yōu)惠券，賺取返利，并在短短的8個(gè)月內(nèi)獲利34萬余元。

　　04 領(lǐng)英（LinkedIn）

　　● 事件時(shí)間：2021年6月

　　● 事件影響：7億用戶數(shù)據(jù)

　　6月22日，有黑客在暗網(wǎng)銷售領(lǐng)英7億條包含用戶郵箱、姓名、電話號(hào)碼、家庭住址、個(gè)人和職業(yè)背景信息等內(nèi)容的用戶數(shù)據(jù)。據(jù)報(bào)道，當(dāng)時(shí)領(lǐng)英的用戶總數(shù)量為7.56億，如此看來，當(dāng)時(shí)其九成以上的用戶數(shù)據(jù)都慘遭暴露。不過領(lǐng)英隨后表示并沒有敏感的個(gè)人隱私數(shù)據(jù)被泄露，雖然該事件的出現(xiàn)令其違反用戶服務(wù)條款，但數(shù)據(jù)泄露本身并不存在。但據(jù)英國國家網(wǎng)絡(luò)安全委員會(huì)（NCSC）發(fā)布的警告內(nèi)容顯示，在攻擊者發(fā)布的一份抓取數(shù)據(jù)樣本中，包含電子郵件地址、電話號(hào)碼、地理位置記錄、性別和其他社交媒體細(xì)節(jié)等信息，毫無疑問，這將為攻擊者提供大量機(jī)會(huì)，在該數(shù)據(jù)泄露發(fā)生后制造更多的社工攻擊。

　　據(jù)攻擊者自身的表述看，該攻擊仍然是利用領(lǐng)英網(wǎng)站和其他網(wǎng)站的API接口所發(fā)起，在數(shù)據(jù)轉(zhuǎn)儲(chǔ)過程中被抓取。

　　05 微博

　　● 事件時(shí)間：2020年3月

　　● 事件影響：5.38億用戶賬戶

　　2020年3月，微博表示攻擊者獲取了其部分?jǐn)?shù)據(jù)庫，影響了5.38億微博用戶和他們的個(gè)人信息，包括真實(shí)姓名、網(wǎng)站用戶名、性別、位置和電話號(hào)碼。據(jù)報(bào)道，攻擊者隨后在暗網(wǎng)上以250美元的價(jià)格出售該數(shù)據(jù)庫。

　　微博在聲明中稱，攻擊者利用一項(xiàng)服務(wù)收集了公開發(fā)布的信息，該服務(wù)旨在幫助用戶通過輸入朋友的電話號(hào)碼來定位他們的微博賬戶，而密碼沒有受到影響。不過，微博也承認(rèn)，如果密碼在其他賬戶上重復(fù)使用，泄露的數(shù)據(jù)可能會(huì)被用來關(guān)聯(lián)賬戶和密碼。

　　06 Facebook

　　● 事件時(shí)間：2019年4月

　　● 事件影響：5.33億用戶賬戶

　　2021年4月，有一個(gè)用戶在黑客論壇中發(fā)布了一份數(shù)量龐大的數(shù)據(jù)，這些數(shù)據(jù)涉及106個(gè)國家的5.33億Facebook用戶，包括ID、用戶全名、位置、生日、個(gè)人簡介以及電子郵件地址等信息。其中來自美國（約3200萬條）、英國（約1100萬條）以及印度（約600萬條）都是受影響的主要群體。隨后經(jīng)過研究機(jī)構(gòu)驗(yàn)證后，這些數(shù)據(jù)的真實(shí)性得以證實(shí)。

　　盡管Facebook在聲明中表示，這些數(shù)據(jù)是在2019年4月被泄露的，并在當(dāng)年8月就已經(jīng)修復(fù)了該漏洞，其言外之意無外乎是宣揚(yáng)該事件影響有限，但對于用戶而言，在Facebook上面綁定的電話號(hào)碼、郵件可不會(huì)經(jīng)常更換，更別提那些和用戶全名、出生日期等數(shù)據(jù)了。

　　07 萬豪國際

　　● 事件時(shí)間：2018年9月

　　● 事件影響：5億用戶

　　在2018年11月發(fā)布的聲明中，萬豪國際酒店宣布其系統(tǒng)在2018年9月遭受入侵后，那些曾于2018年9月10日或之前在該酒店預(yù)訂的客戶信息或被泄露，涉案數(shù)據(jù)約5億條。

　　萬豪國際在后期的調(diào)查中了解到，自2014年以來，其系統(tǒng)中就一直存在未經(jīng)授權(quán)的訪問。在這一攻擊過程中，未經(jīng)授權(quán)的一方復(fù)制并加密了信息，隨后則采取刪除的手段。2018年11月19日，萬豪國際成功解密了這些信息，并確定其內(nèi)容來自喜達(dá)屋客房預(yù)訂數(shù)據(jù)庫。報(bào)道顯示，被竊取的數(shù)據(jù)包括客人的姓名、郵寄地址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼以及喜達(dá)屋常旅客計(jì)劃（Starwood Preferred Guest，SPG ）的賬戶信息、出生日期、性別、到達(dá)和離開信息、預(yù)訂日期和其他偏好。對一些人來說，信息還包括支付用銀行卡的卡號(hào)和到期日。

　　2020年，萬豪國際因未能保護(hù)用戶的個(gè)人數(shù)據(jù)安全，被英國數(shù)據(jù)管理機(jī)構(gòu)信息專員辦公室（ICO）罰款1840萬英鎊，值得一提的是，如果不是因?yàn)橐咔樵颉按蛘邸?，該罰款的金額應(yīng)達(dá)到9900萬英鎊。

　　08 雅虎

　　● 事件時(shí)間：2014年

　　● 事件影響：5億用戶

　　作為整個(gè)互聯(lián)網(wǎng)世界的老牌企業(yè)，雅虎確實(shí)承受了不少的攻擊，除了前面2013遭受的攻擊之外，在2014年它也遭受了攻擊，而在這一事件當(dāng)中，攻擊者竊取了雅虎5億用戶的數(shù)據(jù)，包括姓名、電子郵件地址、電話號(hào)碼和出生日期等等。不過，直至涉案數(shù)據(jù)庫于2016年在黑市上被出售之后，雅虎才官方公布了該事件相關(guān)細(xì)節(jié)，并表示在2014年當(dāng)年就采取了補(bǔ)救措施，但具體如何，誰知道呢？畢竟2013年遭受攻擊之后，2014年仍然還有涉及如此龐大的用戶數(shù)據(jù)被泄露，其所謂的安全“加強(qiáng)”能力也是可見一斑。

　　09 Friend Finder Network

　　● 事件時(shí)間：2016年10月

　　● 事件影響：4.12億用戶

　　Friend Finder Network泄露的數(shù)據(jù)除了包含自身的3.39億用戶賬號(hào)信息之外，還包括其他同行業(yè)的網(wǎng)站（如聊天站等）用戶信息，總數(shù)量達(dá)到了4.12億，泄露的數(shù)據(jù)包括姓名，電子郵件地址和密碼等，考慮到該網(wǎng)站的服務(wù)性質(zhì)，可以想象這些泄露的信息對于受害者的影響恐怕是巨大的。另外值得一提的是，暴露的個(gè)人信息中，包括大量通過弱算法SHA-1哈希加密的，根據(jù)研究人員對其數(shù)據(jù)集的分析之后，在2016年11月發(fā)布結(jié)果顯示，預(yù)計(jì)會(huì)有99%的密碼被破解。

　　10 MySpace

　　● 事件時(shí)間：2013年

　　● 事件影響：3.6億用戶賬號(hào)

　　熟悉這個(gè)社交媒體網(wǎng)站的人可能不會(huì)太年輕了，它曾經(jīng)是當(dāng)年的社交媒體網(wǎng)站巨頭之一，但現(xiàn)在已經(jīng)沒落，但考慮到它在鼎盛時(shí)期的受歡迎程度，也就不難想象它一旦發(fā)生用戶數(shù)據(jù)泄露，量級(jí)也一定小不了。

　　2016年，MySpace網(wǎng)站的3.6億用戶賬號(hào)被暴露在互聯(lián)網(wǎng)上，并在暗網(wǎng)以6個(gè)比特幣的價(jià)格進(jìn)行出售，而在那個(gè)時(shí)候，6個(gè)比特幣的價(jià)格也才大約3000美元而已，這和3.6億的數(shù)字之間差距實(shí)在是太大了，以至于該新聞甚至成為當(dāng)時(shí)不少主流媒體的頭條。

　　根據(jù)該公司的官方說法，泄露的數(shù)據(jù)包括2013年6月11日之前在舊Myspace平臺(tái)上創(chuàng)建的部分賬戶的電子郵件地址、密碼和用戶名，并呼吁在此之前創(chuàng)建賬號(hào)的用戶能夠返回網(wǎng)站進(jìn)行驗(yàn)證并按照提示重置他們的密碼。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<