无论公司大小,每个人都面临数据泄露或网络攻击的风险。黑客和网络犯罪分子每天都想出新的方法来窃取敏感信息或个人数据,他们可能会出售这些信息或赎金。 根据身份盗窃资源中心 (ITRC) 发布的一份报告,2021 年美国发生了创纪录的 1862 起数据泄露事件。这一数字打破了 2017 年创下的 1506 次记录,与 2020 年的 1108 次违规相比增加了 68%。医疗保健、金融、商业和零售等行业是最常受到攻击的行业,每年影响数百万美国人。 许多网络安全专家认为,这个数字将在 2022 年及以后继续增加。为了帮助您了解当今数据泄露的范围和程度,以下是美国历史上最大的数据泄露事件。
美国历史上20大数据泄露事件
当发生数据泄露时, 敏感数据 可能会被盗并在 暗网上 或第三方出售。以下是历史上一些导致数百万用户记录暴露的最大数据泄露事件。
1. 雅虎! 雅虎 的数据泄露是已知网络攻击中最严重和最臭名昭著的案例之一,目前保持着受影响人数最多的记录。第一次攻击发生在 2013 年,未来三年还会继续发生更多攻击。 一组俄罗斯黑客使用后门、窃取的备份和访问 cookie 来攻击雅虎的数据库,以窃取所有用户帐户的记录,其中包括 个人身份信息 (PII) ,例如: 最初,雅虎报告了大约 10 亿个账户的被盗数据。然而,在 2017 年 Verizon 收购雅虎后,他们报告称,最终受影响的记录总数约为 30 亿个账户。不仅雅虎反应迟缓,而且该公司也未能向用户披露 2014 年的一起事件,这导致了 3500 万美元的罚款,以及总共 41 起集体诉讼。
2.微软 影响:30,000 家美国公司(全球 60,000 家公司) 在美国历史上最大的网络攻击 之一中,超过 30,000 家美国企业受到对 Microsoft Exchange 电子邮件服务器的全面攻击,该服务器是世界上最大的电子邮件服务器之一。黑客能够 利用 四个不同 的零日漏洞 ,使他们能够未经授权访问从小企业到地方政府的电子邮件。 三个月来,黑客利用一些编码错误来控制易受攻击的系统。他们只需要两个条件就可以侵入每个公司的电子邮件服务器:
一旦进入,他们就可以请求访问数据、部署 恶意软件 、使用后门访问其他系统,并最终接管服务器。由于这些请求看起来像是来自 Exchange 服务器本身,因此许多人认为它是合法的并获得批准。 虽然 微软 能够修补 漏洞 ,但如果个别服务器的所有者没有更新他们的系统,攻击者将能够再次利用系统漏洞。由于系统不在云端,微软无法立即发布补丁来解决问题。 2021 年 7 月, 拜登政府 与 FBI 一起指控中国数据泄露。微软紧随其后,将黑客组织 Hafnium 列为此次攻击的罪魁祸首。
3.第一美国金融公司 2019 年, First American Financial Corp.因 数据安全措施 不力和网站设计错误而遭受重大 数据泄露。 尽管此事件被标记为数据泄漏而不是违规(不涉及黑客攻击),但它表明敏感信息很容易落入坏人之手。 由于称为不安全直接对象引用 (IDOR)的网站设计错误,允许访问私人信息而无需验证或身份验证程序。因此,任何拥有文档链接的人都可以自由地查看它们。最重要的是,由于 First American 按顺序记录他们的记录,用户只需更改 URL 中的数字即可查看其他客户记录。 幸运的是,没有数据被破坏或利用。由于 First American 因在 2018 年忽视危险信号和其他行政错误而违反了网络安全法,他们最终被美国证券交易委员会 (SEC) 罚款约 500,000 美元。
4. 脸书 虽然是世界上最大的公司之一,但 Facebook 对数据泄露和争议并不陌生。自公司于 2012 年上市以来,这家社交媒体巨头一直在处理用户数据的安全漏洞。 该公司在 2021 年 4 月发生的大规模数据泄露事件是其规模最大的事件之一,向公众泄露了超过 5.3 亿人的姓名、电话号码、账户名和密码。Facebook 发现了该平台同步联系人工具中的问题,理由是黑客利用漏洞抓取用户个人资料以获取客户数据。 尽管 Facebook 坚称没有数据被泄露或滥用,但由于信息公开时间很短,因此无法核实。黑客或诈骗者可以很容易地利用他们的姓名、电话号码和电子邮件来利用毫无戒心的用户。 自 2013 年以来,Facebook 面临多起重大数据泄露事件,包括:
2019 年 3 月,信息泄露称,Facebook 员工可以访问超过 6 亿个用户帐户。Facebook 和 Instagram 的帐户 ID 和密码都存储在纯文本文件中。 尽管 Facebook 声称没有泄露敏感信息,但这是众多安全问题中的又一事件。
2019 年 4 月,UpGuard 的网络风险团队在公共 Amazon S3 云服务器上发现了 5.4 亿条不安全的 Facebook 用户数据记录。第三方应用程序开发商和墨西哥媒体公司 Cultura Colectiva 未能对他们的整个数据集进行密码保护,从而使任何人都可以访问和下载信息。
尽管 Facebook 对这一事件没有直接责任,但它对社交网络如何管理第三方对其数据库的访问进行了审查。在经历了漫长的数据泄露历史之后,Facebook 终于 加大了对第三方开发者的限制。
仅仅几个月后,在暗网上的一台外国服务器上发现了更多暴露的记录。进一步调查发现,越南的一个黑客组织可能滥用了 Facebook 的 API,并从该网站获取用户 ID、姓名和电话号码。 超过 3 亿用户受到影响。
脸书/剑桥分析 2018 年,英国咨询公司 Cambridge Analytica在近期记忆中最引人注目的案例之一中 窃取并出售了 Facebook 上 50-9000 万用户帐户的数据。 Cambridge Analytica 安全研究员 Aleksandr Kogan 通过第三方测验应用程序的漏洞访问了这些数据。Facebook 的 API(应用程序编程接口)中的这个漏洞允许 Kogan 编译来自下载该应用程序的任何人及其整个朋友网络的数据。 尽管违反了 Facebook 的条款和条件,Cambridge Analytica 仍继续非法出售数据,因为没有执行规则。报道显示,Facebook 早在 2015 年就意识到了这个问题,但直到 Cambridge Analytica 员工克里斯托弗·威利 (Christopher Wylie) 揭发后才采取行动。 当联邦贸易委员会 (FTC) 宣布对 Facebook 持续违反数据安全 和不良数据保护做法的行为处以 50 亿美元的历史性罚款时,事情终于达到了高潮。FTC 还要求从上到下进行全面重组,以加强对隐私合规性的监督。此外,联邦贸易委员会对剑桥分析公司提起诉讼,迫使首席执行官亚历山大尼克斯辞职。
5. 领英 2021 年约有 7.5 亿用户,黑客在对LinkedIn 网站进行数据抓取后,能够发布约 7 亿人(> 总用户群的 93%)的用户身份。尽管大部分信息都是公开的,但利用 LinkedIn 的 API 执行数据抓取违反了服务条款。 在违规期间暴露的任何电子邮件地址都可能受到 勒索软件 或 网络钓鱼 攻击。尽管这些数据是公开的,但它引发了对信息安全以及第三方如何使用该信息来创建 OSINT(开源情报)数据库的 担忧。 它还为不良行为者提供了瞄准知名个人或公司高管的机会。例如,较小的黑客很快就试图利用这一事件。一位用户声称在公共论坛上出售一组新的 LinkedIn 数据,以换取价值 7000 美元的比特币。
6.摩根大通 2014 年 9 月,美国最大的银行之一 摩根大通 披露,网络攻击破坏了超过 7600 万户家庭和 700 万家小企业的账户。虽然最初认为这次攻击只影响了 100 万个账户,但调查发现这次攻击要严重得多,从 6 月到 7 月持续了大约整整一个月。 幸运的是,摩根大通的客户没有遭受任何财务欺诈,因为数据泄露仅限于姓名、电子邮件和电话号码。然而,进一步调查发现,黑客还通过窃取银行员工的身份到达摩根大通的服务器。千兆字节的敏感数据被盗,后来与联邦调查局的俄罗斯袭击有关。事件发生后,摩根大通高管承诺每年花费 2.5 亿美元来妥善保护他们的数据。
7.家得宝 影响:5600 万个支付卡号码和 5300 万个电子邮件地址 2014 年,黑客能够使用定制的恶意软件从 Home Depot窃取超过 5600 万条支付卡记录。 攻击持续了五个月才被发现并最终从流行的家居装饰商店的网络中删除。然而,它已经影响了横跨美国和加拿大的数百万客户。 经调查,网络安全专家发现,网络犯罪分子极有可能通过第三方供应商入侵服务器。一旦进入网络,黑客就能够在销售点 (POS) 系统上安装恶意软件,允许他们收集支付卡数据并将其上传到单独的服务器。 这次攻击突显了许多大型零售商在网络安全上花费很少来保护敏感信息。到 2020 年,尽管家得宝显着改善了支付系统保护,但遭受了约 1.8 亿美元的损失。大部分损失包括向信用卡公司和银行付款、法庭和解以及客户付款。
8.我的空间 虽然不再是以前的社交网站,但 MySpace 仍然吸引了数百万访问者访问他们现在主要的音乐和乐队宣传网站。2016 年有报道称,一名黑客访问了 3.6 亿用户登录名、姓名和出生日期,并将其发布在暗网上出售,这使其成为有史以来最大的数据泄露事件之一。 2013 年之前,MySpace 使用无盐哈希算法 对用户密码 进行加密。这种较旧的 SHA-1 算法的固定长度使其非常容易破解。较新的密码身份验证协议使用加盐哈希算法,该算法在每次加密的末尾添加一个随机字符串。 幸运的是,MySpace 确认所有被盗数据都来自 2013 年公司推出新更新的安全措施之前。他们能够使所有被盗密码无效,并将违规通知受影响的用户。
9.交友网络 受欢迎的成人娱乐公司 FriendFinder Networks 在 2016 年面临大规模数据泄露,当时其六个主要数据库遭到黑客攻击,包括其更知名的子公司 AdultFriendFinder 和 Penthouse。超过 20 年的数据被盗,总计约 4.12 亿个帐户,其中包括 1500 万个未从数据库中删除的已删除帐户。该违规行为包含极其妥协的信息,其中包括: 据 LeakedSource 称,FriendFinder Networks 使用无盐哈希算法 SHA-1 保护他们的密码,并将用户数据存储在纯文本文件中。此外,一位名叫 Revolver 的白帽黑客从社交媒体上共享的照片中发现了一个本地文件包含 (LFI)漏洞。对于这家成人娱乐公司来说,这是一个巨大的安全问题,因为它仅在一年前,即 2015 年 5 月被黑客入侵,导致 350 万用户受损。尽管数据泄露,AdultFriendFinder 仍每月在全球吸引超过 5000 万访问者。
10. 万豪国际 2018 年 11 月 19 日, 万豪国际 发布 声明 ,承认未知第三方非法访问其喜达屋预订数据库。喜达屋数据库包括万豪旗下主要连锁酒店的所有预订,包括威斯汀酒店、喜来登酒店、四点酒店、瑞吉酒店和 W 酒店。 经过进一步调查,万豪团队发现,早在 2014 年,客人数据就已被复制、加密和复制。总共约有 5 亿客人受到影响。对于大约 3.27 亿客人,黑客能够窃取以下信息: 对于其余的客人,被盗数据仅限于姓名、地址和电子邮件。 这一事件凸显了酒店业缺乏数据安全性。当万豪在 2016 年收购喜达屋时,它未能更新旧的预订系统,使其极易受到恶意软件和数据泄露的影响。许多网络安全专家认为,发起这次攻击是为了获取有价值的信息。2019 年,万豪因未能达到网络安全标准而被英国信息专员办公室 (ICO) 罚款近 2400 万美元。
11. Adobe Adobe 经历了 21 世纪最严重的数据泄露事件之一,当时来自大约 3800 万个账户的 敏感支付卡详细信息 被发布在暗网上。Adobe 的安全主管 Brad Arkin 最初认为这个数字约为 300 万,但他承认这个数字要高得多。攻击者能够访问以下信息:
产品源代码(Acrobat、ColdFusion、ColdFusion Builder)
Adobe 的主要问题是从销售桌面许可证转向基于 云的 SaaS 公司 。由于缺乏 IT 安全性,从服务器到通用基础设施,这种过渡使他们容易受到攻击。此外,Adobe 为所有 3800 万受影响的用户使用了相同的密码加密密钥,这表明数据保护做法很差。Adobe 在 2016 年以 100 万美元的价格与 15 个州达成了和解。
12. 易趣 2014 年,全球零售商和拍卖网站 eBay 遭遇大规模数据泄露事件,窃取了 1.45 亿用户的密码。黑客通过从几名 eBay 员工那里窃取登录凭据来获得对主网络的访问权限。幸运的是,财务信息存储在单独的服务器上,因此攻击范围仅限于: eBay 很快开始通知他们的客户 更改密码 以避免进一步的损害。尽管没有报告财务欺诈,但重要的是要注意许多人 至少重复使用一次密码 ,这意味着其他服务很可能已受到损害。
13. Equifax 美国三大信用报告机构(TransUnion、Experian、Equifax)之一的 Equifax 报告了 2017 年的重大数据泄露事件,影响了 1.48 亿美国公民的个人数据 。 作为一家处理极其敏感数据的公司,Equifax 因其疏忽大意和糟糕的 安全 状况而受到抨击。
第一次违规是通过第三方门户网站 Apache Struts 使用已知的后端漏洞发生的。即使该漏洞已修补,Equifax 也未能更新其内部服务器,从而使入侵者能够保持活跃 76 天。
一旦黑客进入系统内部,他们就可以轻松地从一个服务器转移到另一个服务器,因为 Equifax 没有实施适当的 网络安全 或分段。
Equifax 允许其公钥基础设施 (PKI) 证书过期,这是一项例行更新任务,可以让公司更快地检测到异常数据移动。
Equifax 为用户提供了广泛的权限,这使他们能够访问比所允许的更敏感的信息。许多公司采用的常见安全实践涉及 零信任模型 中的 最小特权 原则。实现这两种方法将需要身份验证过程,而这可以防止许多问题。
直到 Equifax 发现该漏洞一个多月后,公众才发现该漏洞。到那时,该公司的高管已经开始出售他们的股票,引发了内幕交易的指控。
Equifax 最终投资超过 14 亿美元来清理损失并重建其数据保护防御。两年后,他们以 5.75 亿美元与 FTC、各州和领地以及其他当局达成和解。
14. 河城传媒 世界上最大的垃圾邮件运营商之一,River City Media,在 2016 年至 2017 年期间遭遇了美国历史上世界上最大的数据库泄漏事件之一。这次泄漏暴露了近 14 亿人的个人详细信息和大量公司内部文件。尽管大部分信息仅限于电子邮件地址,但许多记录包括 IP 地址、全名和物理地址。 在为其 MySQL 数据库 配置备份服务器时,这家位于波特兰的公司未能设置密码保护,从而暴露了整个公司。这个简单的错误被忽视了近三个月,导致超过 10 亿人暴露在潜在的黑客面前。在这三个月中,所有 14 亿个帐户都被发布到互联网上供任何人查看。 最终,River City Media 被报告给国际网络安全组织 Spamhaus,将垃圾邮件操作列入黑名单。尽管否认了他们的服务器漏洞,但由于负面宣传,RCM 很快就崩溃了。
15. TARGET 影响:4100 万条支付卡记录和 7000 万条客户记录 在一年中最繁忙的购物日之一, Target 在 2013 年黑色星期五期间成为第三方数据泄露的受害者。即使有安全系统,任何拥有易受攻击的第三方的组织都可能将自己置于数据的高风险中违规或网络攻击。在这种情况下,Target 使用了一个门户, 第三方供应商 可以通过该门户访问他们的数据。但是,这样做会造成第三方可以访问 Target 自己的网络的漏洞。 这一重大数据泄露使网络犯罪分子窃取了超过 4100 万条信用卡和借记卡记录以及 7000 万条客户记录。 管理第三方风险 应该是每家公司网络安全实践的首要任务。只需要一个受感染的第三方就可以渗透整个网络。 最重要的是,Target 没有分段网络或足够的防火墙,这将极大地限制网络攻击。一旦进入内部,黑客就使用木马攻击了 Target 的销售点 (POS) 系统,从而使他们能够访问支付卡信息。 最终,Target 蒙受了约 2.02 亿美元的损失(保险前为 2.92 亿美元),其中包括 1850 万美元的和解支出、1000 万美元的集体诉讼以及支付给银行和信用卡公司的 1.275 亿美元。他们还花了一大笔钱来 升级他们的网络安全实践,如他们的 公司页面 上所列:
16. Heartland 支付系统 Heartland 是一家专门从事支付、POS 和工资系统的公司,它在 2008 年成为数据泄露的受害者,攻击者窃取了超过 1 亿条支付卡记录。然而,由于安全管理不善,该公司直到五个月后的 2008 年 10 月才意识到有任何非法活动,当时 Visa 和 MasterCard 报告了来自 Heartland 账户的可疑交易。 在聘请了网络安全取证团队后,他们发现他们的系统在 2007 年受到 SQL 注入 攻击,这使得黑客能够修改 Web 代码并获得登录权限。他们能够在几个月内畅通无阻地浏览 Heartland 系统,并创建带有真正磁条的伪造信用卡。 尽管罪魁祸首最终被抓获,但 Heartland 遭受了无法弥补的损失,失去了很大一部分客户,并支付了超过 2 亿美元的赔偿金。事件发生后的几个月内,他们的股价下跌了 77%。2015 年晚些时候,更大的支付处理商 Global Payments 以 43 亿美元收购了 Heartland。
17. 执行者 Exactis Exactis 是一家总部位于佛罗里达州的营销公司,负责收集和销售企业和消费者的数据,据报道,该公司暴露了一个包含 3.4 亿条个人记录的数据库。最初由安全研究员 Vinny Troia 发现,他在一个完全不安全且所有人都可以访问的公共网络上发现了整个 Exactis 数据库。 Troia 立即联系了 FBI,后者进行了自己的调查。联邦调查局认为,该数据库包含几乎所有美国公民和数百万企业的调查结果信息。该数据库包含敏感数据,包括但不限于: 它是有史以来最完整的数据集合之一,完全公开供任何人查看。这些信息可能使诈骗者和网络犯罪分子能够在广泛的层面上执行 社会工程 攻击,针对毫无戒心且安全实践不佳的个人和企业。 尽管该数据库在报告后不久就从公共领域撤下,但 FBI 认为它可以在很长一段时间内在线使用。Exactis 对此问题保持沉默,但目前正面临多起集体诉讼。
17. 第一资本 2019 年,前亚马逊网络服务 (AWS) 员工 Paige Thompson 入侵了 Capital One 服务器,并获得了早在 2005 年以来超过 1 亿条客户账户记录和信用卡申请的访问权限。其中包括: Thompson 利用了一个云防火墙配置漏洞 ,使她能够在 Capital One 服务器上执行多个命令。她获得了管理员凭据以绕过防火墙,访问数据存储桶和文件夹,并复制和导出数据。然后,她将窃取的数据发布到 GitHub,这创建了一条导致她被捕的数字线索。 尽管作为云服务的主要倡导者,Capital One 未能实施足够的安全措施来保护客户数据。如果第一资本实施了分段网络安全或有限的用户访问权限,这可能会使汤普森更难访问。它需要对每一层数据进行多个验证过程。 随着越来越多的公司过渡到云托管服务器, 监控第三方攻击面的 网络安全解决方案 必须到位。第一资本最终将在 2021 年以 1.9 亿美元解决集体诉讼。
18. Dubsmash 2018 年 12 月,一场大规模的数据泄露袭击了 16 个不同的网站,影响了超过 6.17 亿个被盗账户。 Dubsmash 是最突出的受害者,在暗网上有超过 1.62 亿条用户记录被盗。被盗数据包括: 世界各地的公司也在同一次攻击中遭受了重大数据损失,包括:
Under Armour / MyFitnessPal(1.51 亿)
Coffee Meets Bagel(600 万)
19. DEEPROOT 近 2 亿登记选民的个人信息于 2017 年 6 月泄露,这些数据由共和党数据分析集团 Deep Root Analytics 拥有。这些数据最早是由 UpGuard 的网络威胁分析团队发现的,这是历史上最大的敏感选民信息曝光。 有了这些数据,双方的政党都可能利用它来操纵选民的行为。该数据集中还包括许多知名、有影响力的个人和组织。尽管共和党全国委员会 (RNC) 在数据泄露后不久就切断了与 Deep Root Analytics 的联系,但他们在 2020 年重新雇用了该数据组织,为唐纳德·特朗普的连任竞选做准备。
20. Zynga Zynga 是最受欢迎的在线游戏公司之一,于 2019 年 9 月宣布密码泄露事件影响了超过 2 亿用户。通过 Words With Friends、Farmville 和 Draw Something 等流行的手机游戏,一个名叫 Gnosticplayers 的黑客能够访问该系统以窃取用户名和密码。 尽管承认密码泄露,Zynga 未能立即通知用户。尽管没有披露任何财务信息,但这次 Zynga 违规事件代表了黑客利用简单信息来设计网络钓鱼攻击或诈骗的严重担忧。如果受损数据进入暗网,个人可能会受到网络攻击。
原文始发于微信公众号(网络研究院):美国历史上最大的数据泄露
免责声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1220948.html
复制链接 复制链接
左青龙
微信扫一扫
右白虎
微信扫一扫
评论