史上最严重网络数据泄露事件合集

在这个数据驱动的世界中，一次数据泄露就可能影响到数亿甚至数十亿人。数字化转型进一步推动了数据的移动，而随着攻击者加速利用日常生活中的数据依赖性，数据泄露也正随之扩大。未来的网络攻击规模会有多大还有待考察，但正如这份 21 世纪最大的数据泄露清单所显示的那样，它们已经达到了巨大的规模。

根据受影响的用户、暴露的记录或受影响的帐户数量，我们总结了这份 21 世纪以来最重大的数据泄露事件清单。

雅虎

时间： 年 8 月；

影响：30 亿账户；

雅虎于 年 12 月首次公开宣布了这起数据泄露事件，并称其发生在 年。当时，它正处于被 Verizon 收购的过程中，据估计，超过 10 亿用户的账户信息已被黑客组织访问。不到一年之后，雅虎宣布泄露的用户账户的实际数字高达 30 亿。

尽管遭到了攻击，但与 Verizon 的交易还是完成了，只是成交价格有所降低。Verizon 首席信息官 Chandra McMahon 当时表示，“Verizon 致力于问责制和透明度的最高标准，在不断变化的在线威胁环境中，我们积极努力确保用户和网络的安全。我们对雅虎的投资使该团队能够继续采取重大措施来增强他们的安全性，同时也能受益于 Verizon 的经验和资源。”

后来，经过调查发现，虽然攻击者访问了安全问题和答案等账户信息，但明文密码、支付卡和银行数据并没有被盗。

Aadhaar

时间： 年 1 月；

影响：11 亿印度公民的身份 / 生物特征信息暴露；

年初，恶意行为者渗透了世界上最大的身份数据库 Aadhaar，泄露了超过 11 亿印度公民的信息，包括姓名、地址、照片、电话号码和电子邮件，以及指纹和虹膜扫描等生物特征数据。更重要的是，这个数据库 —— 由印度唯一识别局（UIDAI）于 年建立 —— 还包含与唯一 12 位数字相关的银行账户信息。

据悉，攻击者通过国有公用事业公司 Indane 的网站潜入 Aadhaar 数据库，Indane 通过应用程序编程接口连接到政府数据库，该接口允许应用程序检索其他应用程序或软件存储的数据。不幸的是，Indane 的 API 没有访问控制，因此数据很容易受到攻击。之后，攻击者通过 WhatsApp 群以低至 7 美元的价格出售了这些数据使用权。尽管安全研究人员和技术组织发出警告，但印度当局直到 年 3 月 23 日才将这个易受攻击的接入点关闭。

阿里巴巴

时间： 年 11 月；

影响：11 亿条用户数据；

在八个月的时间里，一名开发人员使用自己开发的爬虫软件，从阿里巴巴（Alibaba）中文购物网站淘宝上抓取了大量客户数据，包括用户名和手机号码。目前看来，这名开发人员及其雇主收集这些信息是为了自己使用，并没有在黑市上出售。最终，两人都被判处 3 年监禁。

淘宝发言人在一份声明中表示，“淘宝投入大量资源打击平台上未经授权的抓取，因为数据隐私和安全是最重要的。我们已经主动发现并解决了这种未经授权的抓取行为。我们将继续与执法部门合作，捍卫和保护我们用户和合作伙伴的利益。”

LinkedIn

时间： 年 6 月；

影响：7 亿用户；

职业网络巨头领英（LinkedIn）在 年 6 月发现，其 7 亿用户的相关数据被发布在暗网论坛上，影响了其 90% 以上的用户群。一名自称为 “God User” 的黑客利用该网站（和其他网站）的 API，通过数据抓取技术转储了约 5 亿用户的信息数据集。接着，他们夸口说，他们正在出售完整的 7 亿客户数据库。

尽管 LinkedIn 辩称，由于没有敏感的个人数据被泄露，该事件只是违反了其服务条款，而不是数据泄露，但正如英国国家网络安全委员会（NCSC）警告的那样，God User 发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息，这将为恶意行为者提供大量数据，在泄密事件发生后制造令人信服的后续社交工程攻击。

新浪微博

时间： 年 3 月；

影响：5.38 亿账户；

新浪微博拥有超过 6 亿用户，是中国最大的社交媒体平台之一。 年 3 月，该公司宣布，攻击者获取了其部分数据库，影响了 5.38 亿微博用户及其个人信息，包括真实姓名、网站用户名、性别、位置和电话号码。据报道，攻击者随后在暗网上以 250 美元的价格出售了该数据库。

中国工业和信息化部要求微博加强数据安全措施，更好地保护个人信息，并在发生数据安全事件时及时通知用户和有关部门。新浪微博在一份声明中称，攻击者利用一项服务 —— 该服务旨在帮助用户通过输入朋友的电话号码来定位他们的微博账户 —— 收集了公开发布的信息，但密码并未受到影响。不过，该公司也承认，如果密码在其他账户上重复使用，泄露的数据可能会被用来关联账户和密码。

Facebook

时间： 年 4 月；

影响：5.33 亿用户；

年 4 月，来自 Facebook 应用程序的两个数据集被暴露在公共互联网上。这些信息涉及 5.3 亿多 Facebook 用户，包括电话号码、账户名和 Facebook id。然而，两年后（ 年 4 月），这些数据被免费发布，表明围绕这些数据有新的和真正的犯罪意图。事实上，考虑到此次事件影响到的电话号码数量之多，以及在暗网上可以轻易获得的电话号码，安全研究员 Troy Hunt 为他的 “HaveIBeenPwned” 入侵检查网站添加了功能，允许用户验证他们的电话号码是否包含在暴露的数据集中。

万豪国际（喜达屋）

时间： 年 9 月；

影响：5 亿用户；

年 9 月，万豪国际酒店宣布其系统遭到攻击，50 万喜达屋客人的敏感细节被曝光。在同年 11 月发布的一份声明中，这家酒店巨头表示，“ 年 9 月 8 日，万豪收到了来自内部安全工具的警告，称有人试图访问喜达屋的客人预订数据库。万豪迅速聘请顶尖安全专家帮助确定发生了什么。”

万豪在调查中了解到，自 年以来，喜达屋的网络一直存在未经授权的访问。未经授权的一方复制并加密了信息，并采取了删除措施。 年 11 月 19 日，万豪成功解密了这些信息，并确定其内容来自喜达屋客房预订数据库。

复制的数据包括客人的姓名、邮寄地址、电话号码、电子邮件地址、护照号码、喜达屋首选客人账户信息、出生日期、性别、到达和离开信息、预订日期和沟通偏好。对一些人来说，信息还包括支付卡号码和到期日，尽管这些显然是加密的。

事件发生后，万豪在安全专家的协助下展开了调查，并宣布计划逐步淘汰喜达屋系统，并加快对其网络的安全加固。该公司最终在 年被英国数据管理机构信息专员办公室（ICO）罚款 1840 万英镑（从最初的 9900 万英镑减少），原因是未能保护客户的个人数据安全。

雅虎

时间： 年；

影响：5 亿账户；

雅虎再次出现在榜单中。在这起事件中，国家支持的黑客窃取了雅虎 5 亿账户的数据，包括姓名、电子邮件地址、电话号码、散列密码和出生日期。该公司早在 年就采取了初步的补救措施，但直到 年，一个被盗的数据库在黑市上出售后，雅虎才公开了细节。

Adult Friend Finder

时间： 年 10 月；

影响：4.122 亿账户；

年 10 月，面向成人的社交网络服务 FriendFinder Network 数据库遭遇黑客入侵。考虑到该公司提供的服务的敏感性质 —— 包括休闲约会和成人内容网站，如 adult Friend Finder, penthouse，和 —— 超过 4.14 亿账户的数据泄露，包括姓名，电子邮件地址和密码，对受害者来说可能是特别致命的。更重要的是，绝大多数暴露的密码都是通过弱算法 SHA-1 哈希的，极易被破解。

MySpace

时间： 年；

影响：3.6 亿用户账号；

尽管社交媒体网站 MySpace 早已不再是曾经的巨头，但在 年，3.6 亿用户账号被泄露到 网站上，并在暗网市场 the Real Deal 上以 6 比特币（当时约 3000 美元）的价格出售，还是再次将它送上了新闻头条。

据该公司称，丢失的数据包括 年 6 月 11 日之前在旧 Myspace 平台上创建的部分账户的电子邮件地址、密码和用户名。

网易

时间： 年 10 月；

影响：2.35 亿用户账号；

网易是 和 等邮箱服务提供商，据报道， 年 10 月，暗网市场供应商 DoubleFlag 出售了 2.35 亿账户的电子邮件地址和明文密码。乌云也爆料称，网易的用户数据库疑似泄露，影响数据总共数亿条，泄露信息包括用户名、MD5 密码、密码提示问题 / 答案（hash）、注册 IP、生日等。网易邮箱绑定的其他账户也受到波及，如 iPhone 用户的 Apple ID 等。

但网易团队却坚称没有发生数据泄露，并通过微博发布官方声明，称邮箱被暴力破解 “属于网络谣传”。孰真孰假，愈显扑朔迷离。

Court Ventures

时间： 年 10 月；

影响：2 亿个人纪录；

益百利（Experian）子公司 Court Ventures 于 年沦为攻击受害者，当时一名越南男子（Hieu Minh Ngo）伪装成新加坡私家侦探，诱骗益百利允许他访问一个包含 2 亿份个人记录的数据库。最终，该男子因向世界各地的网络犯罪分子出售美国居民的个人信息（包括信用卡号和社会安全号码）而被捕。

据悉，Ngo 从 年起就开始从事这种活动，之后他的行为细节才得以曝光。 年 3 月，他在美国新罕布什尔州地区法院承认了包括身份欺诈在内的多项指控。美国司法部当时表示，Ngo 通过出售个人数据总共赚了 200 万美元。

LinkedIn

时间： 年 6 月；

影响：1.65 亿用户；

LinkedIn 也再次出现在名单中，这一次是因为它在 年遭受的一次入侵，当时它宣布有 650 万个不相关的密码（无盐 SHA-1 哈希）被攻击者窃取，并被发布到一个俄罗斯黑客论坛上。然而，直到 年，事件的全部细节才被披露出来。同一名出售 MySpace 数据的黑客被发现以 5 个比特币（当时约为 2000 美元）的价格向 LinkedIn 提供约 1.65 亿用户的电子邮件地址和密码。LinkedIn 承认，它已经意识到这次入侵，并表示已重置了受影响账户的密码。

Dubsmash

时间： 年 12 月；

影响：1.62 亿用户账号；

年 12 月，总部位于纽约的视频消息服务 Dubsmash 称其 1.62 亿个电子邮件地址、用户名、PBKDF2 密码哈希值和出生日期等其他个人数据被盗，所有这些数据随后在次年 12 月被放在暗网市场出售。。

Dubsmash 承认发生了信息泄露和出售事件，并就密码修改提供了建议。然而，它未能说明攻击者是如何进入的，也未能确认有多少用户受到影响。

Adobe

时间： 年 10 月；

影响：1.53 亿条用户记录；

年 10 月初，Adobe 报告称，黑客窃取了近 300 万份加密的客户信用卡记录和登录数据。几天后，Adobe 再次更新了这一估计，称包括 3800 万 “活跃用户” 的 id 和加密密码失窃。安全博主 Brian Krebs 随后报告称，几天前发布的一个文件 “似乎包含了超过 1.5 亿对来自 Adobe 的用户名和哈希密码对”。数周的研究表明，黑客还暴露了客户的姓名、密码、借记卡和信用卡信息。

年 8 月的一项协议要求 Adobe 支付 110 万美元的诉讼费用，并向用户支付 100 万美元，以解决违反《客户记录法》（Customer Records Act）和不公平商业行为的指控。

如果觉得《史上最严重网络数据泄露事件合集》对你有帮助，请点赞、收藏，并留下你的观点哦！