盤點21世紀以來最臭名昭著的15起數據安全事件

隨著互聯網的普及，人們的生活也越來越數字化。例如智能家居，聯網的醫療設備，網路購物，網銀轉賬等。但技術是把雙刃劍，為我們帶來方便的同時，也給我們帶來了潛藏的安全威脅。特別是有關人們隱私數據的泄露，也愈發嚴重。從個人到企業再到政府機構，數據安全儼然已經成為了我們的重中之重。下面我將為大家列舉出二十一世紀以來，最臭名昭著的15起數據安全事件。註：以下列舉事件並不一定是基於數量，而可能基於損害程度等進行綜合評估篩選。

日期： 2013-14年

影響：15億用戶賬戶

在2016年9月，曾經的互聯網巨頭雅虎在談判中向Verizon推銷他們時宣布，自己可能是2014年「得到國家資助的黑客攻擊」事件中，史上最大數據泄露的受害者。這次泄露事件導致至少5億用戶的用戶名、電郵地址、電話號碼、出生日期、密碼遭到泄露。雅虎表示，對其中所涉及的「絕大多數」密碼，已經使用了強大的bcrypt演算法進行了加密。

而在短短的幾個月後，也就是十二月份，雅虎又稱它們發現了新的安全漏洞，該漏洞可追溯至2013年8月，並造成至少10億用戶的姓名、電郵和密碼被盜。其中涉及用戶的用戶名、電郵地址、電話號碼、出生日期、密碼，甚至還包括加密的問題及答案。

由於雅虎的違約行為，Verizon與雅虎修訂了收購協議並將價格下調了3.5億美元。Verizon最終為雅虎的核心互聯網業務支付了44.8億美元。該協議要求兩家公司從違約行為中分擔監管和法律責任。此次出售並未包括阿里巴巴集團報告的投資額433億美元，雅虎日本的股份總價為93億美元。

雅虎成立於1994年，曾被估值為1000億美元。銷售後，雅虎公司將更名為Altaba。

2. Adult Friend Finder

日期：2016年10月

影響：超過4.122億賬戶

2016年10月中旬，成人約會和娛樂公司Friend Finder Network遭遇大規模數據泄密事件，導致4.12億帳號信息泄露。FriendFinder包括休閑連線和成人內容網站，如Adult Friend Finder，Penthouse.com，Cams.com，iCams.com和Stripshow.com。

黑客竊取了六個資料庫中，保存了近20年的數據。其中包括用戶名，電子郵件地址和密碼。大多數密碼僅受弱SHA-1散列演算法的保護。LeakedSource.com在11月14日發布了對整個數據集的分析，LeakedSource表示，該網站已經可以從資料庫中提取99%的密碼。

CSO Online的Steve Ragan在當時報告：「根據一個名為1x0123的研究人員Adult Friend Finder的截圖顯示，一個本地文件包含（LFI）漏洞被觸發。他表示，Adult Friend Finder生產伺服器上的模塊中發現的漏洞被「利用」。

AFF副總裁黛安娜·巴盧（Diana Ballou）發表聲明說：「我們確實發現並修復了，具有通過注入漏洞訪問源代碼能力的相關漏洞。

3. eBay

日期：2014年5月

影響：1.45億用戶受損

2014年5月，全球最大的網路交易平台之一eBay發布報告稱，稱資料庫遭黑客攻擊，至少1.45億用戶的個人資料及密碼外泄。其中包括公開名稱，地址，出生日期和加密密碼，但被盜取的文件夾不含財務資料。該公司表示，黑客是通過三名公司員工的憑證進入到公司網路的，並保持了長達229天的內部訪問許可權，在此期間他們能夠進入到用戶資料庫。

eBay要求其客戶及時更改密碼，同時表示財務信息（如信用卡號）是分開存儲的，並沒有被泄露。首席執行官John Donahue表示，違規行為導致用戶活動下降，但總體影響不會太大 - 其第二季度收入增長13％，收益增長6％，符合分析師的預期。

4. Heartland Payment Systems

日期：2008年3月

影響：SQL注入漏洞導致1.34億張信用卡數據泄露，並導致Heartland的數據系統被安裝間諜軟體。

在違約發生時，Heartland正每月為175,000家商戶（大多數中小型零售商）處理1億張支付卡交易。直到2009年1月Visa和萬事達，才通過Heartland中收到的可疑交易才最終發現了該問題。

其後果是，Heartland被判定為不符合支付卡行業數據安全標準（PCI DSS），並且在2009年5月之前不允許處理主要信用卡提供商的付款。該公司還為此支付了約1.45億美元的欺詐付款賠償金。

聯邦陪審團於2009年起訴了Albert Gonzalez和兩名未命名的俄羅斯共犯。Albert是古巴裔美國人，他被指控策劃了信用卡和借記卡竊取的國際行動。2010年3月，他在聯邦監獄被判處20年有期徒刑。 。

5. Target Stores

日期：2013年12月

影響：信用卡/借記卡信/聯繫信息泄露，達1.1億人受損。

這個漏洞實際上在感恩節之前就有了，但直到幾個星期後才被發現。該零售商巨頭最初宣布，黑客已通過第三方HVAC供應商進入其銷售點（POS）支付卡讀卡器，並收集了約4000萬張信用卡和借記卡號碼。

然而到2014年1月，該公司又報告稱，其7000萬客戶的個人身份信息（PII）已經被泄露。其中包括客戶全名，地址，電子郵件和電話號碼。最終估計受影響的客戶，達到了1.1億。

Target的CIO也因此於2014年3月引咎辭職，其CEO也於5月辭職。該公司的違約成本估計為1.62億美元。

6. TJX Companies, Inc.

日期：2006年12月

影響：9400萬張信用卡被曝光。

2007年1月，零售商The TJX Companies聲稱它的客戶交易系統遭到了黑客攻擊。2003年至2006年12月期間多次遭到了入侵，黑客訪問了9400萬個客戶賬戶。後來發現，有人利用竊取的信息實施了案值800萬美元的禮品卡欺詐案和偽造信用卡欺詐案。2008年夏天，11個人因與該事件有關的指控而被判有罪，這也是美國司法部有史以來提起公訴的最嚴重的黑客破壞和身份失竊案。

TJX估計泄密帶來的損失為2.56億美元。這包括修復計算機系統以及為應對訴訟、調查、罰款及更多事項而支付的成本。這還包括因造成的損失而賠錢給維薩公司（4100萬美元）和萬士達卡公司（2400萬美元）。

7. JP Morgan Chase

日期：2014年7月

影響：7600萬家庭和700萬企業受影響。

2014年夏天，美國最大的銀行摩根大通(Jp Morgan Chase)遭到黑客攻擊。這起事件共造成7600萬賬戶信息被泄，損害了美國近一半以上的家庭，同時還對700萬企業造成了影響。根據向證券交易委員會提交的文件，這些數據包括聯繫人信息 - 姓名，地址，電話號碼和電子郵件地址以及用戶的內部信息。

但是摩根大通表示，目前還沒有證據顯示客戶的賬戶信息，包括賬戶號碼、密碼、用戶名、生日和社會安全號碼在此次攻擊中被竊取。

不過，有黑客聲稱他們能夠獲取到90多家銀行伺服器的「root」許可權，這意味著他們可以採取任何行動，包括轉移資金和關閉賬戶。根據SANS研究所的統計顯示，摩根大通每年為安全方面支出的費用，高達2.5億美元。

2015年11月，聯邦當局起訴了涉嫌參與摩根大通黑客事件的四名男子Gery Shalon，Joshua Samuel Aaron和Ziv Orenstein，他們共面臨23項指控，其中包括未經授權計算機訪問，身份盜用，證券和電匯詐騙以及洗錢等，估計非法獲利達1億美元。而第四位黑客的身份至今還未確定。

Shalon和Orenstein都是以色列人，他們於2016年6月承認了其罪行。Aaron則在去年十二月份，在紐約的JFK機場被捕。

8. 美國人事管理局 (OPM)

日期：2012-14年

影響：2200萬當前和前聯邦僱員的個人信息

美國人事管理局的網路被黑客入侵，約有2200萬人的敏感信息（包括社會保險號碼）被竊取。人事管理局在發現它的內部資料庫底遭到攻擊后便申請了法律調查，發現其現任、前任與潛在聯邦僱員及合同工的信息均受到了威脅。簡而言之，如果在2000年及之後填寫了SF-86,SF-85及SF-85P問卷的僱員，均有很高可能性遭受威脅；而在2000年之前參與背景審查的員工，也有一定可能受到波及，但概率較小。

據《紐約時報》稱，來自的黑客從2012年開始就進入到了OPM系統，但到2014年3月20日才被發現。第二個黑客或團體在2014年5月通過第三方承包商獲得了OPM許可，但直到近一年後才被發現。其中遭竊取的個人資料 - 包括詳細的安全許可信息和指紋數據。

去年，聯邦調查局前主任詹姆斯·科米（James Comey）談到了所謂的SF-86表格，表示其用於對員工安全許可進行背景調查。「我的SF-86列出了自18歲以來我所居住的每一個地方，我曾到過的所有國外旅行，以及我所有家人，他們的住址等信息。」所以這不僅僅是我的身份受到影響。我有兄弟姐妹和五個孩子，他們的信息也都在那裡。

內部監督和政府改革委員會去年秋天發布的一份報告總結了其所稱的損害：「OPM數據泄露：政府如何危及我們的國家安全一代以上」。

9. Sony』s PlayStation Network

日期：2011年4月20日

影響：7700萬PlayStation網路帳戶被黑客入侵；估計損失達1.71億美元，同時被迫關閉網路近一個月。

這被認為是最糟糕的遊戲社區數據泄露事件。 在受影響的7700萬個帳戶中，有1200萬個未加密的信用卡號碼。公司確信黑客獲取了用戶的全名，密碼，電子郵件，家庭地址，購買歷史記錄，信用卡號碼和PSN/Qriocity登錄名和密碼等信息。此外，用戶在PSN平台上提交過的信用卡信息，除信用卡背面的安全碼外，包括用戶信用卡號碼和有效期等數據也遭到了黑客的盜取。

2009年1月時，Heartland支付系統公司曾丟失1億用戶帳戶信息。而此次7700萬信用卡資料泄露，也使索尼事件將成為近兩年最大消費者金融數據泄露案。

10. Anthem

日期：2015年2月

影響：導致近8000萬條個人醫療數據泄露。

美國第二大醫療保險公司Anthem稱遭遇黑客攻擊，客戶的姓名，地址，社會安全號碼，出生日期和就業歷史等信息遭到泄露。

加利福尼亞保險專員Dave Jones在對媒體的聲明中表示，「我們的聯合檢查組高度證實，某國政府發起了Anthem網路攻擊。另據加利福尼亞保險部1月6日率先對外發布了一份調查聲明顯示，Anthem公司已經為此次數據泄露付出了沉重的成本代價，其中包括250萬美元聘請專家顧問、1億1500萬美元進行安全設備改進、3100萬美元的受影響機構和個人的初期通報，以及為受影響用戶提供的1億1200萬美元信用保護。

Anthem在2016年表示，沒有證據表明會員的數據已經被出售，共享或使用。信用卡和醫療信息也均為被利用。

11. RSA Security

日期：2011年3月

影響：可能有4000萬員工記錄被盜。

2011年3月，EMC公司旗下安全部門RSA遭到安全攻擊。攻擊者向RSA僱員發送包含了Excel文件附件的郵件，該附件利用了一個新的Adobe Flash零日漏洞（CVE-2011-0609），觸發后在受害機器上安裝Poison Ivy RAT遠程控制木馬。因此，攻擊者獲得了RSA公司內部網路的訪問權，進而從網路搜集更高許可權的賬號，最終獲得了RSA的Secur ID令牌產品的相關數據。Secure ID令牌是RSA公司的一次性密鑰認證產品，有數百萬企業員工使用。它提供不斷變化的六位數動態密碼，與常規密碼一同使用，實現雙密碼認證。

兩個月後，美國國防巨頭洛克希德馬丁、諾思羅普格魯曼和L-3 Communications接連遭黑客攻擊，攻擊方法如出一轍，都是使用克隆的RSA SecurID令牌。有業內人士稱，RSA此次遭遇攻擊並不是一個小問題， 截至2009年底，約有4000萬個RSA令牌被用於企業和政府網路中。除了硬體令牌，約2.5億部智能手機在使用軟體模擬令牌。現在，RSA Security 宣布替換大約4000萬SecurID令牌。

12. Stuxnet

日期：2010年的某個時間，最早始於2005年

影響：伊朗核設施遭到破壞，並成為了針對電網，供水或公共交通系統的現實入侵和服務中斷的經典案例。

2010年9月，伊朗政府宣布，大約3萬個網路終端感染「震網」，病毒攻擊目標直指核設施。分析人士在猜測病毒研發者具有國家背景的同時，更認為這預示著網路戰已發展到以破壞硬體為目的的新階段。伊朗政府指責美國和以色列是「震網」的幕後主使。整個攻擊過程如同科幻電影：由於被病毒感染，監控錄像被篡改。監控人員看到的是正常畫面，而實際上離心機在失控情況下不斷加速而最終損毀。位於納坦茲的約8000台離心機中有1000台在2009年底和2010年初被換掉。俄羅斯常駐北約代表羅戈津稱，病毒給伊朗布希爾核電站造成嚴重影響，導致放射性物質泄漏，危害不亞於切爾諾貝利核電站事故。

「震網」無須通過互聯網便可傳播，只要目標計算機使用微軟系統，「震網」便會偽裝RealTek與JMicron兩大公司的數字簽名，順利繞過安全檢測，自動找尋及攻擊工業控制系統軟體，以控制設施冷卻系統或渦輪機運作，甚至讓設備失控自毀，而工作人員卻毫不知情。由此，「震網」成為第一個專門攻擊物理世界基礎設施的蠕蟲病毒。可以說，「震網」也是有史以來最高端的蠕蟲病毒，是首個超級網路武器。

13. VeriSign

日期：2010全年

影響：未披露的信息被盜

2011年秋季，全球最大SSL證書發布機構VeriSign，在呈交給美國證管會(SEC)的文件中承認2010年曾多次被黑。據稱2010年時，VeriSign曾經數度遭黑客成功入侵到企業內網，並且取得小部分計算機與伺服器的訪問許可權。

安全專家一致認為，相較於黑客的攻擊行為，最令人不安的是公司的處理方式。VeriSign此前從未公布過被攻擊的情況。」

VeriSign表示，沒有諸如DNS伺服器或證書伺服器等關鍵系統受到威脅，但同時表示，「少部分計算機和伺服器上的信息被竊取。還沒有報告被盜的信息是什麼，以及它對公司或客戶將帶來怎樣的影響。

14. Home Depot

日期：2014年9月

影響：5600萬客戶的信用卡/借記卡信息被盜。

2014年9月，北美最大家居用品連鎖零售集團Home Depot宣布，從今年的4、5月份開始，其POS系統就已經被惡意軟體感染。

2016年3月，該公司同意支付1950萬美金賠償。包括支付1300萬美金消費者損失，提供650萬美金個人身份保護服務。並同意在兩年內提升數據安全，增設「首席信息安全官」職位。該公司已為此泄漏花費1.52億美金，律師費支出就高達870萬美金。

該解決方案涉及約4000支付卡數據被盜的用戶，以及5200萬電子郵件地址被竊取的用戶（兩組數據有重疊）。該公司估計違約的稅前費用為1.61億美元，包括消費者結算和預期保險收益。

15. Adobe

日期：2013年10月

影響：3800萬用戶記錄。

Adobe公司曾在10月初透露，黑客竊取了該公司290萬客戶的信息，包括他們的姓名、用戶識別碼和加密密碼以及支付卡號，另外黑客還獲得了Adobe Acrobat以及ColdFusion和ColdFusion Builder的源代碼。

而後過了不久Adobe又表示，黑客訪問了存儲在一個獨立資料庫中的數量不詳的Adobe ID和加密密碼，Adobe表示該資料庫被盜的帳號約為3800萬，遠遠超出了月初的報道，而且該公司旗下最受歡迎的軟體——Photoshop的部分源代碼也被竊取。同時，黑客也竊取了客戶的名稱、借記卡和信用卡信息。另外據Krebs的報道稱，似乎還有更多的用戶信息遭泄露，可能超過1.5億。

2015年8月，一項協議要求Adobe向用戶支付110萬美元違約款，已對其行和客戶進行賠償。在2016年11月，Adobe已支付給客戶的款額為100萬美元。

*參考來源：csoonline，FB小編 secist 編譯，轉載請註明來自FreeBuf（FreeBuf.COM）