数据安全｜重大数据泄露（2亿+）事件及其教训

阳光下的宅女

2022年11月21日更新 ，新增参考 https://www.wangan.com/p/7fy786af8f174770
<hr/>近年来，企业数据信息泄漏事件频发，为了让企业更重视数据安全，本文基于网络的公开信息特整理此文 。
<hr/>根据Ponemon和IBM Security近日联合发布的《2022年数据泄露成本报告》，2022年识别和遏制数据泄漏的平均时间是277天，平均花费207天来识别数据泄漏，遏止数据泄漏则平均花费70天。这意味着，如果数据泄漏发生在1月1日，那么组织要到当年的10月4日才能识别并遏制数据泄漏。其中 被盗或被破解凭证、商业电子邮件泄漏、网络钓鱼、第三方软件漏洞、恶意内部员工导致的数据泄漏的识别和遏制平均时长要高于277天这个平均值。
2022年全球数据泄露规模和平均成本均创下历史新高，数据泄露事件的平均成本高达435万美元。过去两年数据泄露成本增加了近13%。（一起数据泄露事件中，会涉及到赎金、罚款等直接的资金成本，这些成本都是可计算出来的。也有一些隐性的成本，如法务、客户流失、补救、收入损失、声誉损害、国家安全及生命。报告中的成本主要是指可计算出来的直接的资金成本）。
<hr/>发生数据泄漏对于企业来说要付出的代价已经是不可忽略的了。而数据泄露等重大网络安全事件往往是不断重复错误的过程。因此，以史为鉴，我将收集到的泄漏数据超过2亿条目以上的整理出来，希望可以帮助我们从过去的数据泄露事件中吸取宝贵经验教训。
信息来源：https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

1 印度政府数据库Aadhaar(India’s nataional ID database ）

• 泄露数据：11亿
  
• 泄露日期：未知
  
• 披露日期：2018年1月
  

Aadhaar，是由印度政府推动，旨在将生物信息纳入每个人的公民身份，通过一个中央数据库存储每个居民的生物识别信息（包括指纹、虹膜扫描和照片，并在2019年补充纳入人脸信息），匹配每个人的基本人口统计信息，以及一串由12位的唯一身份证明编号（Aadhaar number），可供世界各地的印度公民和符合条件的印度居民用来注册公司、购买手机卡、开银行账号、申请贷款等。


虽然，印度政府并不强制要求公民在数据库中注册，但对于那些想要访问某些政府资源或援助的人来说是必要，公民的生活基本脱离不开政府服务，这也就意味着基本所有公民都必须要注册。印度政府身份数据库Aadhaar遭到入侵后，这也意味着11亿印度公民的记录被曝光。
《论坛报》记者仅向黑客支付了500印度卢比（2018年汇率换算约为8美元）就获得了访问数据库的账号密码，并报道了这一泄露事件。可未经授权访问的数据库信息包括：姓名、生日、电子邮件地址、电话号码和邮政编码。卖家向记者提供了一个软件（仅需300卢比），可以打印唯一的印度居民身份证。
据《论坛报》报道，卖方是通过前Aadhaar员工访问数据库的犯罪组织成员。ZDNet后来报道说，泄漏发生在一家国有公用事业公司运行的系统上，该公司可以通过用于验证客户身份的不安全API访问数据库。
更多信息：A new data leak hits Aadhaar, India's national ID database
2. 阿里巴巴

• 时间：2019 年 11 月；
  
• 影响：11 亿条用户数据；
  

在八个月的时间里，一名开发人员使用自己开发的爬虫软件，从阿里巴巴（Alibaba）中文购物网站淘宝上抓取了大量客户数据，包括用户名和手机号码。目前看来，这名开发人员及其雇主收集这些信息是为了自己使用，并没有在黑市上出售。最终，两人都被判处 3 年监禁。
淘宝发言人在一份声明中表示，“淘宝投入大量资源打击平台上未经授权的抓取，因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作，捍卫和保护我们用户和合作伙伴的利益。”
原文：https://www.wangan.com/p/7fy786af8f174770
3 雅虎

• 泄露数据：10亿
  
• 泄露日期：2013年8月
  
• 披露日期：2016年12月
  

雅虎最初在2016年宣布，其2013年的泄露事件仅影响了10亿个账户，被泄漏的数据中包括雅虎用户的姓名、出生日期、电话号码和密码、以及用于重置密码的安全问题和电子邮件地址，但没有任何财务数据（例如信用卡号码或银行账户详细信息）被公开。雅虎在最初的披露中宣布，它强制对所有自2013年以来更改过的账户进行了密码重置。迄今为止，雅虎尚未披露违规原因。
但在2017年Verizon收购雅虎后，有消息称这个数字实际上是30亿。该事件影响了雅虎电子邮件账户和其他公司服务，包括Tumblr、Flickr、雅虎梦幻体育和雅虎财经。
原文：Yahoo Says 1 Billion User Accounts Were Hacked
4 垃圾邮件服务器（Onliner Spambot）

• 泄露数据：7.11亿
  
• 披露日期：2017年8月
  

据英国《每日邮报》2017年8月报道，澳大利亚计算机安全专家Troy Hunt报告称，总部位于巴黎的安全研究员Benkow发现了一个暴露的垃圾邮件服务器，名为Onliner，Onliner Spambot利用散布含有银行程式的垃圾邮件而被窃取账号和密码，受害规模相当恐怖，包括7.11条记录，其中包括电子邮件地址和密码。
在被发现之前，Onliner通过窃取数据的特洛伊木马传播了至少一年。
原文：https://www.theguardian.com/technology/2017/aug/30/spambot-leaks-700m-email-addresses-huge-data-breach-passwords
5. 新浪微博

• 时间：2020 年 3 月；
  
• 影响：5.38 亿账户；
  

新浪微博拥有超过 6 亿用户，是中国最大的社交媒体平台之一。3月19号，微博网友“安全_云舒”发微博称，很多人的手机号被泄露，根据微博账号就能查找手机号。这条微博一发出，立即引发网友关注，有人还发出了疑似微博个人数据的打包售卖截图，截图显示，这些信息标价为1900美元。2020 年 3 月，有爆料人有爆料人称，5.38亿微博用户的个人信息中，有1.72亿被人在暗网上打包出售，攻击者获取了其部分数据库，影响了 5.38 亿微博用户及其个人信息，包括真实姓名、网站用户名、性别、位置和电话号码，据报道，攻击在暗网上以 250 美元的价格出售了该数据库。




对此，新浪微博回应称：自2011年来，微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但用户仅能查询到相关账号昵称，也可随时取消授权。同时，微博安全中心也发现，此前，确实有黑客通过手机号比对服务获得多个平台的用户信息，例如通讯录好友微博昵称、QQ号、邮箱等，并抓取微博用户个人主页上的公开数据，以“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的名义进行售卖。新浪微博方面表示，目前已加强安全策略，并将详细情况上报给司法机关。
中国工业和信息化部要求微博加强数据安全措施，更好地保护个人信息，并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称，攻击者利用一项服务 —— 该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户 —— 收集了公开发布的信息，但密码并未受到影响。不过，该公司也承认，如果密码在其他账户上重复使用，泄露的数据可能会被用来关联账户和密码。
转自链接：https://www.wangan.com/p/7fy786af8f174770
6 Facebook

• 泄露数据：5.33亿
  
• 泄漏日期：2019年
  
• 披露日期：2021年3月
  

2021年，随着黑客在黑客论坛上发布了一个包含来自106个国家5.33亿用户敏感数据的泄露数据库，Facebook特大数据泄露事件浮出水面。这次信息泄漏发生在2019年，2019年Facebook的全球活跃用户达23.75亿，约占世界人口1/3，泄漏的用户信息涉及106个国家，包括电话号码、姓名、位置和电子邮件地址 和 生物识别信息，安全研究人员声称黑客可以利用这些数据来冒充用户进行欺诈 。
更多信息：533 million Facebook users’ phone numbers and personal data have been leaked online

7 Linkin

• 泄漏数据：5亿
  
• 披露日期：2021年
  

4月9日消息，职业社交网站LinkedIn（领英）在一份声明中表示，它审查了一组据称被发布出售的LinkedIn数据，确定其来自一些网站和公司的数据汇总。其中包括可公开查看的会员资料数据。“这并不是LinkedIn的数据泄露，在我们能够审查到的数据中，并没有包括LinkedIn的私人会员账户数据。”
据Cyber News此前报道，LinkedIn遭遇用户信息大规模泄露。一个据称包含从5亿个LinkedIn用户个人资料的数据档案已在某黑客论坛上出售。报道称，泄露的信息包括用户ID、名称、邮件地址、手机号码、工作信息、性别、其它社交媒体账户。
更多信息：5 亿 LinkedIn 用户的爬虫数据泄露 - 网安
8 雅虎Yahoo

• 泄露数据：5亿
  
• 泄露日期：2014年11月/12月
  
• 披露日期：2016年9月
  

雅虎在2016年宣布，其5亿账户在2014年的国家黑客攻击中遭到入侵。雅虎表示，被盗信息可能包括姓名、电子邮件地址、生日、电话号码和散列密码。2018年，卡里姆·巴拉托夫(Karim Baratov)因帮助俄罗斯情报人员访问“相关个人”账户而被判五年徒刑。雅虎在内部调查后将这次攻击归因于鱼叉式网络钓鱼电子邮件。
更多信息：Yahoo data breach is among the biggest in history
9 Syniverse

• 泄漏数据：5亿条
  
• 泄漏日期：-
  
• 披露日期：2021年12月
  

全球知名短信发送服务商Syniverse，向政府监管机构透露，一名黑客在5年内未经授权访问了其数据库。据了解，Syniverse是一个为全球数百家运营商相互传递计费信息的通用交换中心，服务用户包括Verizon、T-Mobile 、AT&T等，美国主流移动运营商也都在使用Syniverse的服务。该公司称，其每年为全球300多家移动运营商处理超过7400亿条消息。此次遭遇黑客入侵始于2016年5月，个人或组织多次未经授权访问其网络内的数据库，并且登录其电子数据传输（' EDT') 环境，大约有235位客户受到影响。”目前，Syniverse和运营商尚未确认黑客是否可以访问客户的短信。
在2019年11月，Syniverse就曾发生过服务器故障，导致超过16.8万条消息延迟发送了近9个月。
更多信息：全球知名短信发送服务商Syniverse遭黑客入侵长达5年
10 Shanghai Police

• 泄漏数据：5亿条记录
  
• 泄漏日期：-
  
• 披露日期：2022年7月
  

2022年6月30日，有位ID叫“ChinaDan”的人在网络安全圈内某论坛发布消息，称上海某机构（http://SHAG.gov.cn)数据库遭到泄漏。泄漏数据总大小誉为：23.88TB，泄漏总量约为：10亿居名信息，其中包含个人姓名、身份证号码、电话号码以及警情信息。
据这些网络安全专家称，上海警方的这些记录是被安全存储的，其中包含个人姓名、身份证号码、电话号码以及警情信息，涉及近10亿中国公民的数据。他们说，但一个用于管理和访问该数据库的显示界面(dashboard)被设置在一个公开网址上，没有加设密码，任何有相对基本技术知识的人都可以轻松访问、复制或窃取库中的海量信息。



更多信息：Billion-record stolen Chinese database for sale on breach forum
上海公安数据库10亿人信息遭窃，数据销毁是刚需 | 淼一回收与销毁
11 FaceBook

• 泄漏数据：4.19亿
  
• 泄漏日期：-
  
• 披露日期：2019年9月
  

被泄漏的每条记录都包含一个Facebook用户的手机号码，还有一些包含用户名、性别和所在区域。因为前面还有一条FaceBook的数据泄漏案例这里就不过多补充了。
更多信息：The phone numbers of 419 million Facebook accounts have been leaked
12 FriendFinder

• 泄露数据：4.12亿
  
• 泄露日期：-
  
• 披露日期：2016年11月
  

FriendFinder是国外一款成人社交软件，2016年的一次泄露暴露了FriendFinder Networks的4.12亿用户帐户，泄露的内容包括20年来的用户名、电子邮件地址、密码和其他敏感信息，以及仍在其系统中的1500万个已删除帐户。黑客从公司的生产环境中找到了源代码，以及在网上泄露了的公钥和私钥对，并将获得的数据发布在某个论坛上。作为数据泄露事件的一位受害者之一Shaun曾表示他其实早在数据泄露发生之前，就已经删除了他的帐户。泄露事件表明，即使用户的帐户已经删除，相关数据依然会保存在服务器上。
更多信息：AdultFriendFinder network hack exposes 412 million accounts
13 万豪国际(Marriott International)

• 泄露数据：3.83亿
  
• 泄露日期：2014
  
• 披露日期：2018年11月
  

酒店供应商万豪国际集团已经多次被黑客光顾，2022年7月7日，酒店集团万豪国际集团刚证实了另一起数据泄露事件，黑客们声称窃取了20GB的敏感数据--包括客人的信用卡信息。但规模最大的一次数据泄露发生在2018年，攻击者从四年前开始访问其喜达屋宾客数据库，访问了万豪旗下喜达屋自2014年以来的客人预订系统，复制并加密了约3.83亿客人的信息。暴露的记录包括姓名、电话号码、护照详细信息、邮寄和电子邮件地址、客人的抵达和离开信息（在某些情况下，还包括加密的信用卡号码）。
该漏洞是在其内部安全系统发出警报后发现的。攻击者已入侵数据库并加密和泄露敏感数据。万豪最初认为该漏洞泄露了5亿客人的信息，但经过进一步内部调查，该公司宣布该漏洞影响了约3.83亿客人。然而，泄露的原因仍然未知。万豪在2016年收购了喜达屋，但截至2018年尚未将其迁移到万豪的系统；喜达屋数据库继续使用遗留的IT基础设施。
更多信息：万豪国际数据遭泄露，20GB文件被窃取_客人_加密_信息
https://www.nytimes.com/2018/11/30/business/marriott-data-breach.html
14 OxyData

• 泄漏数据：3.8亿
  
• 披露日期：2019年11月
  

威胁情报平台Data Viper上周揭露，Google Cloud上有一个公开的Elasticsearch服务器上，存放了12亿名用户的资料，该服务器不需密码或认证就能直接存取并下载所有资料。Data Viper其实是在4TB资料、40亿使用者帐号中找到这12亿名不重覆的群众资料，外泄的资料包括姓名、电子邮件、电话号码、以及LinkedIN与脸书的个人档案；而且它们来自两家不同的丰富数据的公司，其中就包括OxyData。
更多信息：公开的Elasticsearch服务器曝露12亿名民众资料_Data
15 River City Media

• 泄漏数据：3.4亿
  
• 泄漏日期：-
  
• 披露日期：2017年3月
  

2017年1月，来自“River City Media”的大量数据被公布在网上，包含近14亿条记录，包含电子邮件地址、IP地址、真实地址等信息，其中包括了3.93亿个电子邮件账户。
2017年3月，安全公司MacKeeper发表文章，揭开14亿条数据泄露的真相。River City Media伪装成一个合法的营销公司，但背后是两个知名的垃圾邮件制造者，每天发送10亿规模的垃圾邮件。
一个错误的备份不经意间曝光了他们的整个工作数据库，导致所有用户的数据泄露。

更多信息：https://www.theguardian.com/technology/2017/mar/06/email-addresses-spam-leak-river-city-media
16 Twitter

• 泄露数据：3.3亿
  
• 泄露日期：未知
  
• 披露日期：2018年5月
  

2018年Twitter建议其超过3.3亿用户更改密码，据称是因为漏洞导致一些密码以明文形式存储在内部日志系统中。该公司表示自己发现了这个漏洞，并且已经删除了未经哈希处理的密码，并采取了措施防止未来出现故障。
目前尚不清楚密码暴露了多长时间以及有多少用户受到影响。该社交网络表示，没有证据表明密码被恶意访问。
更多信息：https://www.reuters.com/article/us-twitter-passwords/twitter-urges-all-users-to-change-passwords-after-glitch-idUSKBN1I42JG
17 微软

• 泄露数据：2.5亿
  
• 泄露日期：2019年12月
  
• 披露日期：2020年1月
  

微软在2020年披露，时间跨度长达14年的2.5亿条客户服务和支持记录在网上泄露，遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码，以及文件，而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。该公司表示，个人数据在存储之前已从记录中删除，但一些明文电子邮件和IP地址被暴露。微软表示，它没有发现恶意使用这些记录的迹象，这些记录暴露了不到一个月。
微软将此次违规归因于内部数据库安全规则的错误配置，由于一台服务器配置不当，导致某些客户的敏感信息遭暴露。微软在2022年9月24日获悉该泄露事件后加固了服务器安全，“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”
更多信息：微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息
18 网易邮箱

• 时间：2015 年 10 月；
  
• 影响：2.35 亿用户账号；
  

乌云漏洞报告平台宣布发现漏洞，此漏洞将导致网易163、126邮箱过亿数据泄露，涉及数据过亿的交易证明数据、邮箱账号、密码、用户密保。据报道，2015 年 10 月，暗网市场供应商 DoubleFlag 出售了 2.35 亿账户的电子邮件地址和明文密码。乌云也爆料称，网易的用户数据库疑似泄露，影响数据总共数亿条，泄露信息包括用户名、MD5 密码、密码提示问题 / 答案（hash）、注册 IP、生日等。网易邮箱绑定的其他账户也受到波及，如 iPhone 用户的 Apple ID 等。
但网易团队却坚称没有发生数据泄露，并通过微博发布官方声明，称邮箱被暴力破解 “属于网络谣传”。孰真孰假，愈显扑朔迷离。

转自链接：https://www.wangan.com/p/7fy786af8f174770 ，
更多原文：网易邮箱数据泄漏事件_百度百科
19 Experian Brazil

• 泄漏数据：2.2亿
  
• 泄漏事件：-
  
• 披露时间：2021年1月
  

PSafe的网络安全实验室dfndr报告称，巴西的一个数据库发生了一起重大泄密事件，数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露，泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息，受影响的人员数量可能有2.2亿。
泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF--包括当局。在一份新闻稿中，dfndr实验室主任Emilio Simoni指出，最大的风险是这些数据会被用于网络钓鱼诈骗，其将会诱使人们在一个虚假页面上提供更多的个人信息。
据了解，超1.04亿辆汽车的信息会曝光重要的细节如汽车的底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机容量乃至使用的燃料类型。在公司方面，，泄露的信息则包括了CNPJ、企业名称、商号名称、成立日期。
圣保罗州消费者权益协会主席Procon认为这件事并非黑客攻击而是内部管理不善导致的。

更多信息：Experian challenged over massive data leak in Brazil
Experian Lapse Allowed ID Theft Service Access to 200 Million Consumer Records
20 Chinese resume leak

• 泄漏数据：2.02亿
  
• 泄漏日期：-
  
• 披露日期：2018年2月
  

根据安全站点HackenProof的报告，由于MongoDB数据库没有采取任何安全保护措施，导致共计202,730,434份国人求职简历泄漏。其中，简历中包含姓名、性别、生日、手机号码、微信、学历等各种隐私数据。
通过对比简历的数据模式，发现GitHub项目xzfan/data-import(改项目已被删除)疑似为收集这些简历数据的爬虫。该爬虫会收集来自58同城等各个求职平台的简历。58同城否认数据泄漏来自他们，认为是第三方爬虫泄漏了简历数据。

原文：https://www.forbes.com/sites/daveywinder/2020/01/22/microsoft-security-shocker-as-250-million-customer-records-exposed-online/#91076484d1b3
21 销售情报公司Apollo

• 泄漏数据：2亿
  
• 泄漏日期：-
  
• 披露日期：2018年5月
  

一名黑客利用 ApolloX 的交易奖励合约中的一个漏洞积累了 255 个签名，然后使用这些签名从提款合约中盗取了 5300 万枚 APX Token,并利用销售人员和买家建立连接的过程的漏洞，收集大量的客户信息，包括姓名、电子邮件地址和公司联络信息。不过，用户的资金不会受到损失，ApolloX 更改了 Staking 合约的真实持有者。ApolloX 团队还用 60 万美元紧急回购了 12,748,585 枚 APX Token。损失的 Token 将通过交易平台交易费赚取的 APX 来弥补。
原文：https://www.wired.com/story/apollo-breach-linkedin-salesforce-data/
英特尔公司Apollo数据泄露2亿条个人信息|NOSEC安全讯息平台 - 白帽汇安全研究院
<hr/>黑客是精算计算机的高手，但另一个视角，黑客也是很多科技公司的噩梦。2016年1.17亿LinkedIn领英数据，黑市售价2200美元 ，2022年ShangPolice售价10比特币。 黑客发生的泄漏世界，已经发展成“公司拥有个人隐私数据+黑客盗取数据+数据利益化”这样一条龙的企业，个人很难通过自己的努力避免自己的信息被公开在网站上，以至于变成几毛钱一条的商品，公司则面临着高额罚款和用户流失。
做好日常企业数据安全的调理，不要等到重大发生才后悔莫及。