取消
普通评论
普通评论

盘点21世纪以来最臭名昭著的15起数据安全事件

FreebuF.COM2017-06-23 09:43
数据安全 信息安全

盘点21世纪以来最臭名昭著的15起数据安全事件

  随着互联网的普及,人们的生活也越来越数字化。例如智能家居,联网的医疗设备,网络购物,网银转账等。但技术是把双刃剑,为我们带来方便的同时,也给我们带来了潜藏的安全威胁。特别是有关人们隐私数据的泄露,也愈发严重。从个人到企业再到政府机构,数据安全俨然已经成为了我们的重中之重。下面我将为大家列举出二十一世纪以来,最臭名昭著的15起数据安全事件。注:以下列举事件并不一定是基于数量,而可能基于损害程度等进行综合评估筛选。

  1. Yahoo

  日期:2013-14年

  影响:15亿用户账户

  在2016年9月,曾经的互联网巨头雅虎在谈判中向Verizon推销他们时宣布,自己可能是2014年“得到国家资助的黑客攻击”事件中,史上最大数据泄露的受害者。这次泄露事件导致至少5亿用户的用户名、电邮地址、电话号码、出生日期、密码遭到泄露。雅虎表示,对其中所涉及的“绝大多数”密码,已经使用了强大的bcrypt算法进行了加密。

  而在短短的几个月后,也就是十二月份,雅虎又称它们发现了新的安全漏洞,该漏洞可追溯至2013年8月,并造成至少10亿用户的姓名、电邮和密码被盗。其中涉及用户的用户名、电邮地址、电话号码、出生日期、密码,甚至还包括加密的问题及答案。

  由于雅虎的违约行为,Verizon与雅虎修订了收购协议并将价格下调了3.5亿美元。Verizon最终为雅虎的核心互联网业务支付了44.8亿美元。该协议要求两家公司从违约行为中分担监管和法律责任。此次出售并未包括阿里巴巴集团报告的投资额433亿美元,雅虎日本的股份总价为93亿美元。

  雅虎成立于1994年,曾被估值为1000亿美元。销售后,雅虎公司将更名为Altaba。

  2. Adult Friend Finder

  日期:2016年10月

  影响:超过4.122亿账户

  2016年10月中旬,成人约会和娱乐公司Friend Finder Network遭遇大规模数据泄密事件,导致4.12亿帐号信息泄露。FriendFinder包括休闲连线和成人内容网站,如Adult Friend Finder,Penthouse.com,Cams.com,iCams.com和Stripshow.com。

  黑客窃取了六个数据库中,保存了近20年的数据。其中包括用户名,电子邮件地址和密码。大多数密码仅受弱SHA-1散列算法的保护。LeakedSource.com在11月14日发布了对整个数据集的分析,LeakedSource表示,该网站已经可以从数据库中提取99%的密码。

  CSO Online的Steve Ragan在当时报告:“根据一个名为1x0123的研究人员Adult Friend Finder的截图显示,一个本地文件包含(LFI)漏洞被触发。他表示,Adult Friend Finder生产服务器上的模块中发现的漏洞被“利用”。

  AFF副总裁戴安娜·巴卢(Diana Ballou)发表声明说:“我们确实发现并修复了,具有通过注入漏洞访问源代码能力的相关漏洞。

  3. eBay

  日期:2014年5月

  影响:1.45亿用户受损

  2014年5月,全球最大的网络交易平台之一eBay发布报告称,称数据库遭黑客攻击,至少1.45亿用户的个人资料及密码外泄。其中包括公开名称,地址,出生日期和加密密码,但被盗取的文件夹不含财务资料。该公司表示,黑客是通过三名公司员工的凭证进入到公司网络的,并保持了长达229天的内部访问权限,在此期间他们能够进入到用户数据库。

  eBay要求其客户及时更改密码,同时表示财务信息(如信用卡号)是分开存储的,并没有被泄露。首席执行官John Donahue表示,违规行为导致用户活动下降,但总体影响不会太大 - 其第二季度收入增长13%,收益增长6%,符合分析师的预期。

  4. Heartland Payment Systems

  日期:2008年3月

  影响:SQL注入漏洞导致1.34亿张信用卡数据泄露,并导致Heartland的数据系统被安装间谍软件。

  在违约发生时,Heartland正每月为175,000家商户(大多数中小型零售商)处理1亿张支付卡交易。直到2009年1月Visa和万事达,才通过Heartland中收到的可疑交易才最终发现了该问题。

  其后果是,Heartland被判定为不符合支付卡行业数据安全标准(PCI DSS),并且在2009年5月之前不允许处理主要信用卡提供商的付款。该公司还为此支付了约1.45亿美元的欺诈付款赔偿金。

  联邦陪审团于2009年起诉了Albert Gonzalez和两名未命名的俄罗斯共犯。Albert是古巴裔美国人,他被指控策划了信用卡和借记卡窃取的国际行动。2010年3月,他在联邦监狱被判处20年有期徒刑。 。

  5. Target Stores

  日期:2013年12月

  影响:信用卡/借记卡信/联系信息泄露,达1.1亿人受损。

  这个漏洞实际上在感恩节之前就有了,但直到几个星期后才被发现。该零售商巨头最初宣布,黑客已通过第三方HVAC供应商进入其销售点(POS)支付卡读卡器,并收集了约4000万张信用卡和借记卡号码。

  然而到2014年1月,该公司又报告称,其7000万客户的个人身份信息(PII)已经被泄露。其中包括客户全名,地址,电子邮件和电话号码。最终估计受影响的客户,达到了1.1亿。

  Target的CIO也因此于2014年3月引咎辞职,其CEO也于5月辞职。该公司的违约成本估计为1.62亿美元。

  6. TJX Companies, Inc.

  日期:2006年12月

  影响:9400万张信用卡被曝光。

  2007年1月,零售商The TJX Companies声称它的客户交易系统遭到了黑客攻击。2003年至2006年12月期间多次遭到了入侵,黑客访问了9400万个客户账户。后来发现,有人利用窃取的信息实施了案值800万美元的礼品卡欺诈案和伪造信用卡欺诈案。2008年夏天,11个人因与该事件有关的指控而被判有罪,这也是美国司法部有史以来提起公诉的最严重的黑客破坏和身份失窃案。

  TJX估计泄密带来的损失为2.56亿美元。这包括修复计算机系统以及为应对诉讼、调查、罚款及更多事项而支付的成本。这还包括因造成的损失而赔钱给维萨公司(4100万美元)和万士达卡公司(2400万美元)。

  7. JP Morgan Chase

  日期:2014年7月

  影响:7600万家庭和700万企业受影响。

  2014年夏天,美国最大的银行摩根大通(Jp Morgan Chase)遭到黑客攻击。这起事件共造成7600万账户信息被泄,损害了美国近一半以上的家庭,同时还对700万企业造成了影响。根据向证券交易委员会提交的文件,这些数据包括联系人信息 - 姓名,地址,电话号码和电子邮件地址以及用户的内部信息。

  但是摩根大通表示,目前还没有证据显示客户的账户信息,包括账户号码、密码、用户名、生日和社会安全号码在此次攻击中被窃取。

  不过,有黑客声称他们能够获取到90多家银行服务器的“root”权限,这意味着他们可以采取任何行动,包括转移资金和关闭账户。根据SANS研究所的统计显示,摩根大通每年为安全方面支出的费用,高达2.5亿美元。

  2015年11月,联邦当局起诉了涉嫌参与摩根大通黑客事件的四名男子Gery Shalon,Joshua Samuel Aaron和Ziv Orenstein,他们共面临23项指控,其中包括未经授权计算机访问,身份盗用,证券和电汇诈骗以及洗钱等,估计非法获利达1亿美元。而第四位黑客的身份至今还未确定。

  Shalon和Orenstein都是以色列人,他们于2016年6月承认了其罪行。Aaron则在去年十二月份,在纽约的JFK机场被捕。

  8. 美国人事管理局 (OPM)

  日期:2012-14年

  影响:2200万当前和前联邦雇员的个人信息

  美国人事管理局的网络被黑客入侵,约有2200万人的敏感信息(包括社会保险号码)被窃取。人事管理局在发现它的内部数据库底遭到攻击后便申请了法律调查,发现其现任、前任与潜在联邦雇员及合同工的信息均受到了威胁。简而言之,如果在2000年及之后填写了SF-86,SF-85及SF-85P问卷的雇员,均有很高可能性遭受威胁;而在2000年之前参与背景审查的员工,也有一定可能受到波及,但概率较小。

  据《纽约时报》称,来自中国的黑客从2012年开始就进入到了OPM系统,但到2014年3月20日才被发现。第二个黑客或团体在2014年5月通过第三方承包商获得了OPM许可,但直到近一年后才被发现。其中遭窃取的个人资料 - 包括详细的安全许可信息和指纹数据。

  去年,联邦调查局前主任詹姆斯·科米(James Comey)谈到了所谓的SF-86表格,表示其用于对员工安全许可进行背景调查。“我的SF-86列出了自18岁以来我所居住的每一个地方,我曾到过的所有国外旅行,以及我所有家人,他们的住址等信息。”所以这不仅仅是我的身份受到影响。我有兄弟姐妹和五个孩子,他们的信息也都在那里。

  内部监督和政府改革委员会去年秋天发布的一份报告总结了其所称的损害:“OPM数据泄露:政府如何危及我们的国家安全一代以上”。

  9. Sony’s PlayStation Network

  日期:2011年4月20日

  影响:7700万PlayStation网络帐户被黑客入侵;估计损失达1.71亿美元,同时被迫关闭网络近一个月。

  这被认为是最糟糕的游戏社区数据泄露事件。 在受影响的7700万个帐户中,有1200万个未加密的信用卡号码。公司确信黑客获取了用户的全名,密码,电子邮件,家庭地址,购买历史记录,信用卡号码和PSN/Qriocity登录名和密码等信息。此外,用户在PSN平台上提交过的信用卡信息,除信用卡背面的安全码外,包括用户信用卡号码和有效期等数据也遭到了黑客的盗取。

  2009年1月时,Heartland支付系统公司曾丢失1亿用户帐户信息。而此次7700万信用卡资料泄露,也使索尼事件将成为近两年最大消费者金融数据泄露案。

  10. Anthem

  日期:2015年2月

  影响:导致近8000万条个人医疗数据泄露。

  美国第二大医疗保险公司Anthem称遭遇黑客攻击,客户的姓名,地址,社会安全号码,出生日期和就业历史等信息遭到泄露。

  加利福尼亚保险专员Dave Jones在对媒体的声明中表示,“我们的联合检查组高度证实,某国政府发起了Anthem网络攻击。另据加利福尼亚保险部1月6日率先对外发布了一份调查声明显示,Anthem公司已经为此次数据泄露付出了沉重的成本代价,其中包括250万美元聘请专家顾问、1亿1500万美元进行安全设备改进、3100万美元的受影响机构和个人的初期通报,以及为受影响用户提供的1亿1200万美元信用保护。

  Anthem在2016年表示,没有证据表明会员的数据已经被出售,共享或使用。信用卡和医疗信息也均为被利用。

  11. RSA Security

  日期:2011年3月

  影响:可能有4000万员工记录被盗。

  2011年3月,EMC公司旗下安全部门RSA遭到安全攻击。攻击者向RSA雇员发送包含了Excel文件附件的邮件,该附件利用了一个新的Adobe Flash零日漏洞(CVE-2011-0609),触发后在受害机器上安装Poison Ivy RAT远程控制木马。因此,攻击者获得了RSA公司内部网络的访问权,进而从网络搜集更高权限的账号,最终获得了RSA的Secur ID令牌产品的相关数据。Secure ID令牌是RSA公司的一次性密钥认证产品,有数百万企业员工使用。它提供不断变化的六位数动态密码,与常规密码一同使用,实现双密码认证。

  两个月后,美国国防巨头洛克希德马丁、诺思罗普格鲁曼和L-3 Communications接连遭黑客攻击,攻击方法如出一辙,都是使用克隆的RSA SecurID令牌。有业内人士称,RSA此次遭遇攻击并不是一个小问题, 截至2009年底,约有4000万个RSA令牌被用于企业和政府网络中。除了硬件令牌,约2.5亿部智能手机在使用软件模拟令牌。现在,RSA Security 宣布替换大约4000万SecurID令牌。

  12. Stuxnet

  日期:2010年的某个时间,最早始于2005年

  影响:伊朗核设施遭到破坏,并成为了针对电网,供水或公共交通系统的现实入侵和服务中断的经典案例。

  2010年9月,伊朗政府宣布,大约3万个网络终端感染“震网”,病毒攻击目标直指核设施。分析人士在猜测病毒研发者具有国家背景的同时,更认为这预示着网络战已发展到以破坏硬件为目的的新阶段。伊朗政府指责美国和以色列是“震网”的幕后主使。整个攻击过程如同科幻电影:由于被病毒感染,监控录像被篡改。监控人员看到的是正常画面,而实际上离心机在失控情况下不断加速而最终损毁。位于纳坦兹的约8000台离心机中有1000台在2009年底和2010年初被换掉。俄罗斯常驻北约代表罗戈津称,病毒给伊朗布什尔核电站造成严重影响,导致放射性物质泄漏,危害不亚于切尔诺贝利核电站事故。

  “震网”无须通过互联网便可传播,只要目标计算机使用微软系统,“震网”便会伪装RealTek与JMicron两大公司的数字签名,顺利绕过安全检测,自动找寻及攻击工业控制系统软件,以控制设施冷却系统或涡轮机运作,甚至让设备失控自毁,而工作人员却毫不知情。由此,“震网”成为第一个专门攻击物理世界基础设施的蠕虫病毒。可以说,“震网”也是有史以来最高端的蠕虫病毒,是首个超级网络武器。

  13. VeriSign

  日期:2010全年

  影响:未披露的信息被盗

  2011年秋季,全球最大SSL证书发布机构VeriSign,在呈交给美国证管会(SEC)的文件中承认2010年曾多次被黑。据称2010年时,VeriSign曾经数度遭黑客成功入侵到企业内网,并且取得小部分计算机与服务器的访问权限。

  安全专家一致认为,相较于黑客的攻击行为,最令人不安的是公司的处理方式。VeriSign此前从未公布过被攻击的情况。”

  VeriSign表示,没有诸如DNS服务器或证书服务器等关键系统受到威胁,但同时表示,“少部分计算机和服务器上的信息被窃取。还没有报告被盗的信息是什么,以及它对公司或客户将带来怎样的影响。

  14. Home Depot

  日期:2014年9月

  影响:5600万客户的信用卡/借记卡信息被盗。

  2014年9月,北美最大家居用品连锁零售集团Home Depot宣布,从今年的4、5月份开始,其POS系统就已经被恶意软件感染。

  2016年3月,该公司同意支付1950万美金赔偿。包括支付1300万美金消费者损失,提供650万美金个人身份保护服务。并同意在两年内提升数据安全,增设“首席信息安全官”职位。该公司已为此泄漏花费1.52亿美金,律师费支出就高达870万美金。

  该解决方案涉及约4000支付卡数据被盗的用户,以及5200万电子邮件地址被窃取的用户(两组数据有重叠)。该公司估计违约的税前费用为1.61亿美元,包括消费者结算和预期保险收益。

  15. Adobe

  日期:2013年10月

  影响:3800万用户记录。

  Adobe公司曾在10月初透露,黑客窃取了该公司290万客户的信息,包括他们的姓名、用户识别码和加密密码以及支付卡号,另外黑客还获得了Adobe Acrobat以及ColdFusion和ColdFusion Builder的源代码。

  而后过了不久Adobe又表示,黑客访问了存储在一个独立数据库中的数量不详的Adobe ID和加密密码,Adobe表示该数据库被盗的帐号约为3800万,远远超出了月初的报道,而且该公司旗下最受欢迎的软件——Photoshop的部分源代码也被窃取。同时,黑客也窃取了客户的名称、借记卡和信用卡信息。另外据Krebs的报道称,似乎还有更多的用户信息遭泄露,可能超过1.5亿。

  2015年8月,一项协议要求Adobe向用户支付110万美元违约款,已对其行和客户进行赔偿。在2016年11月,Adobe已支付给客户的款额为100万美元。

责任编辑:韩希宇

为你推荐

暂无相关推荐