从雅虎10亿事件回顾数据泄露的这11年

日前,雅虎公开承认,在2013年8月的时候就发生了多达10亿的账户数据泄露。同时也创造了有记录以来史上最大数据泄露案。借此机会我们回顾一下自2005年以来11年间规模最大、影响最深远的数据泄露。

初次泄露

关于数据泄露,TechTarget给出了定义:

当一场事故中发生敏感,受保护或机密数据可能被未经授权的个人查看、偷窃或使用的事件,即可定义为数据泄露。 数据泄露往往涉及支付卡信息(PCI),个人健康信息(PHI),个人身份信息(PII),商业秘密或知识产权。

随着大大小小的企业越来越依赖电子数据、云计算和流动劳动力,数据泄露得到了广泛关注。 由于敏感的业务数据存储在本地计算机或是企业数据库和云服务器上,对于一个黑客而言,侵入一个公司的数据库的难度相当于获得对受限网络的访问。

数据泄露并不是从数据以电子的方式存储开始的。 事实上,从个人或公司开始保存记录或存储私人信息,数据泄露就已存在。
在计算机普及之前,数据泄露可以是简单的。例如在没有授权的情况下查看个人的医疗文件或者找到未被正确处理的敏感文档。
这种类型的数据泄露在1980年代频繁增加,直到1990年代和21世纪初,公众对数据泄露潜在威胁的认识开始上升。

大多数关于数据泄露发生2005年至今的时间段内。
这其中主要推动力是由于技术的进步以及电子数据在全世界的加速扩散。在这个过程中数据泄露逐渐成为企业和消费者关注的焦点。
在当今社会,数据泄露一旦发生,受影响的用户数量可能会在数十万,通常是冲着百万级去的,乃至更多,而且这些数据泄露只是对一家公司进行的单次攻击。

据隐私权信息交流中心(Privacy Rights
Clearinghouse,简称PRC)统计,在2005年的时候发生了最早的几起数据泄露。其中最早的一起就是发生在乔治梅森大学(2005年1月),一个黑客攻击了乔治梅森大学的主要身份服务器,涉及32000名学生和员工的个人信息,包括姓名,图片,社会保障号。

之所以从2005年开始回顾数据泄露是因为大多数数据泄露发生2005年之后的时间段内。当然,也不是意味着数据泄露在05年之前就没发生过,只是数量少且曝光率低。因此2005年可以看成数据泄露元年。

数量越来越大了,要溢出来了!

第一次泄露信息超过100万条的记录发生在2005年的3月,黑客在DSW(美国俄亥俄州著名鞋坊)的数据库中盗取了140万条信用卡信息。

仅2005年一年隐私权信息交流中心PRC就记录了136起数据泄露。自2005年至今,已有超过4500起,平均每天都会发生一起数据泄露,共8.16亿条个人记录遭到泄露。

随后数值越来越大,2005年最大的数据泄露定格在4000万条信用卡信息,来自CardSystems
Solutions(美国一家信用卡管理公司),被盗的4000万条信息中有68,000个万事达卡帐户,100,000个Visa帐户和其他信用卡厂商的30,000个帐户。泄露的数据包括姓名,卡号和信用卡密码。在次年5月12日CardSystems
Solutions申请破产。

2007年一月,TJX公司(服装家居公司),经历了那一年最大的数据泄露。TJX声称黑客分多次作案共盗取了近1亿账户的信用卡和借账卡信息以及数千条退款记录。这次数据泄露由于影响过大,给TJX公司带来了2.16亿美元的直接损失。当局也参与了案件的侦破,并在古巴查到了被盗信用卡的消费记录。2010年,事件平息,最终以28岁的黑客Albert
Gonzalez在联邦监狱服20年徒刑的形式结束。

2009年Heartland的支付系统(130,000,000)、2013年的Adobe(38,000,000)、2014年的Home Depot(56,000,000)还有2015年的Anthem(80,000,000)都曾发生过数据泄露。

但是这些都没有2015年5月的MySpace厉害。

今年5月31日,黑客在MySpace盗取了3亿6千万账户的用户名、密码。在当时已经是大新闻了。

  • 这些泄露的数据以“SHA-1”的哈希加密的方式存储的,性能较弱,易于攻破,雪上加霜的是,该公司在散列过程中没有对密码进行“salt”

根据CSC在2012年的预测:

  • 到2020年为止,超过三分之一的数据会实时存储或是传到数据云中。
  • 在2020年,数据产业可能达到2009年的44倍。专家估计到2020年年度数据生成增长4300%。
  • 虽然个人用户负责大多数(70%)数据产出,但所有数据的80%还是由企业存储。

接下来由雅虎接管比赛!你们都是渣滓!

9月22日,雅虎宣称他们被盗取了5亿个用户的账户密码。不过这起事件实际是发生在2014年的。按照雅虎的说法,雅虎也是在今年8月份对另外一起数据泄露事件发起调查的时候,才发现2014年5亿帐号被盗这一事实的。

这次事件一时之间占据大量媒体版面头条。雅虎就此事强调了两点,其一此次事件疑似为“国家背景”的攻击者所为,另外并未泄露如明文密码、银行卡信息这类最具价值的数据。

不少美国人已经开始担心,雅虎5亿用户账户被盗事件甚至可能对许多美国人的日常生活产生影响。

我们本来一度以为5亿可能已经是很难超越的数字了。直到上周三,雅虎又将自己创造的记录提高了一倍,达到了10亿。这一次数据泄露似乎还跟上次5亿泄露不同,真正的泄露发生在2013年,2016年11月的时候才第一次发觉。由于雅虎在2013年以前一直使用的脆弱的算法MD5保存用户账号,黑客组织“Group
E”盗取了这些数据并在暗网上出售。

反思

即使是世界上最大的公司也会遭受巨大的数据泄露,影响了数百万消费者。现代企业需要一个全面的,全方位的数据保护和安全的方法。 过去的应对方法根本无法在现代威胁环境中杜绝数据泄露。

作者:佚名

来源:51CTO

时间: 2024-09-20 11:45:45

从雅虎10亿事件回顾数据泄露的这11年的相关文章

雅虎10亿泄漏数据在暗网出售:30万美元

据外媒报道,雅虎承认系统遭到黑客的攻击,并窃取了大约10亿帐号.令人不安的是,现在已经有完整的数据库公开在暗网上售卖.雅虎证实被偷窃的信息包含姓名.密码.电话号码.安全问题和答案,这显然对于那些在其他网站上使用相同密码的用户产生极大的风险. 雅虎10亿泄漏数据在暗网出售(图片来自cnBeta) 报道称,从雅虎窃取的10亿帐号在今年8月已经开始在暗网上出售,售价为30万美元,而更为糟糕的是有三名不同的买家愿意付款获得该数据库的控制权. 安全公司InfoArmor的首席信息官Andrew Komar

2010年中国域名业界10大事件回顾

中介交易 SEO诊断 淘宝客 云主机 技术大厅 在2011年到来时,和大家一起重温一下过去这一年来的中国域名业界大事: 1 .CN域名一年净减1000万个 .CN域名由2009年11月的1368万个减少到不足500万个,一年时间净减将近1000万个.造成这个局面的主要原因:一是.CN域名注册审核比.CN域名开放二级域名前(2002年9月)还严格,二是.CN域名使用(启用)政策同监管体系不配套造成的不便利,三是.CN域名"自杀性"一元试用政策终止,四是.CN域名二级交易市场操作不受政策支

出资10亿元入股大冶有色长江电力PE平台问世

成立4个月之后,长电PE终于出手,吃下了投资的第一单. 6月28日,长江电力(600900.SH)旗下的创新投资有限公司(简称长电创投)出资10亿元,入股湖北省大冶有色金属有限公司(简称大冶有色). 与之前令人目不暇接的投资行为不同,长江电力的这一次投资,由长电创投完成.今年2月,注册资本达15亿元的长电创投宣告成立,长电谋划已久的PE平台就此问世. 知情人士透露,长电创投此次参股总资产为60亿元,大冶有色的股权比例大约在40%以上,属财务性投资,后者将以"超常规速度"在两年内完成改制

港股认股证成交额35.10亿元占大市11.04%

恒指现报17141.73点,涨 19.91 点,成交金额317.87 亿元:认股证成交金额为35.10 亿元,占大市成交11.04%. 认购证总成交额为30.36 亿元,占认股证成交的86.49%:认沽证总成交额为4.74 亿元,占认股证成交的13.51%.

雅虎披露第二次大规模数据泄露事件 超过10亿帐户被盗

据外媒报道,雅虎在当地时间周三宣布, 黑客至少盗取了10亿雅虎注册账户信息,这场大规模的数据泄露发生于2013年8月.受影响账户中被窃取的信息包括姓名.电子邮件地址.电话号码.出生日期.哈希密码以及加密或者未加密的安全问题和答案. 不过雅虎认为明文密码.银行帐户信息.信用卡/借记卡信息等并未被盗取. 雅虎表示,在执法人员向该公司提供了不明来源的雅虎用户数据后,该公司才发现了此次泄露事件. 雅虎称该公司一直未能确定具体的入侵手段,但此次攻击"可能"与2014年发生的5亿用户数据被盗事件不

雅虎被泄露10亿数据可能被用来实施网络战

2013年雅虎遭遇大规模黑客攻击事件,影响10亿Yahoo用户.这起黑客事件说明,网络攻击收集的数据可能被用于间谍.信息战和盈利活动. 上周三揭露的这起数据泄露事件数有史以来规模最大.Yahoo今年9月公布一起发生在2014年的黑客攻击,导致5亿Yahoo用户受到影响. 安全咨询公司Denim Group的约翰·迪克森表示,从表面看,泄露的数据是"一堆垃圾",毫无价值.但创建可搜索数据库(例如生日和手机号码)的能力对黑客价值连城,以便他们盈利并参与工业或国家间谍活动. 美国空军信息战中

AOL CEO详解雅虎交易:10亿用户很难忽视

7月26日消息,经过持续多月的竞标后,Verizon昨晚宣布它将以48.3亿美元的价格收购雅虎的核心业务.科技博客TechCrunch采访了AOL CEO蒂姆·阿姆斯特朗(Tim Armstrong),期间他详细解释了该项收购和未来的发展计划. 该收购的目标似乎是,整合雅虎和Verizon去年收购回来的AOL,组成单一的组织来与像谷歌.Facebook这样的数字媒体巨头展开竞争.该交易预计将于2017年第一季度完成. AOL CEO阿姆斯特朗在该交易公布后接受采访时称,由于雅虎是通过拍卖形式出售

雅虎今发声明称10亿账户数据被泄,又悲剧了

   在今年 9 月曝出 5 亿账户信息泄露后,雅虎又摊上大事了!这次还是它自己主动招认的. 12 月 15 日,雅虎发布声明称其发现了新的安全漏洞,并表示此次数据泄露与 2016 年 9 月的 5 亿用户数据泄露"并无关联",据雅虎官方说明,本次信息泄露可追溯至 2013 年 8 月,该漏洞造成至少 10 亿用户的姓名.电邮和密码被盗. 被窃的用户账号信息可能包括姓名.电子邮件地址.电话号码.出生日期以及密码.雷锋网(公众号:雷锋网)发现,据美国<纽约时报>网站报道,新披

深挖雅虎5亿数据泄露事故

日前雅虎正式承认其遭遇史上最严重数据泄露事故,其中至少5亿用户账户数据被泄露. 雅虎数据泄露事故发生在2014年年底,不过直到"最近调查"出来时该公司才正式承认.雅虎没有提供事件的具体时间表,但FlashPoint证实最近发现2亿雅虎账户在深网出售. "在2016年8月2日,Flashpoint注意到在TheRealDeal Marketplace由'peace_of_mind'张贴的广告--出售2亿雅虎账户,"FlashPoint公司网络犯罪情报高级分析师Vita