上周三，雅虎公開承認(rèn)，在2013年8月的時(shí)候就發(fā)生了多達(dá)10億的賬戶數(shù)據(jù)泄露。同時(shí)也創(chuàng)造了有記錄以來史上最大數(shù)據(jù)泄露案。借此機(jī)會我們回顧一下自2005年以來11年間規(guī)模最大、影響最深遠(yuǎn)的數(shù)據(jù)泄露。

初次泄露

關(guān)于數(shù)據(jù)泄露，TechTarget給出了定義：

當(dāng)一場事故中發(fā)生敏感，受保護(hù)或機(jī)密數(shù)據(jù)可能被未經(jīng)授權(quán)的個(gè)人查看、偷竊或使用的事件，即可定義為數(shù)據(jù)泄露。 數(shù)據(jù)泄露往往涉及支付卡信息（PCI），個(gè)人健康信息（PHI），個(gè)人身份信息（PII），商業(yè)秘密或知識產(chǎn)權(quán)。

隨著大大小小的企業(yè)越來越依賴電子數(shù)據(jù)、云計(jì)算和流動勞動力，數(shù)據(jù)泄露得到了廣泛關(guān)注。 由于敏感的業(yè)務(wù)數(shù)據(jù)存儲在本地計(jì)算機(jī)或是企業(yè)數(shù)據(jù)庫和云服務(wù)器上，對于一個(gè)黑客而言，侵入一個(gè)公司的數(shù)據(jù)庫的難度相當(dāng)于獲得對受限網(wǎng)絡(luò)的訪問。

數(shù)據(jù)泄露并不是從數(shù)據(jù)以電子的方式存儲開始的。 事實(shí)上，從個(gè)人或公司開始保存記錄或存儲私人信息，數(shù)據(jù)泄露就已存在。 在計(jì)算機(jī)普及之前，數(shù)據(jù)泄露可以是簡單的。例如在沒有授權(quán)的情況下查看個(gè)人的醫(yī)療文件或者找到未被正確處理的敏感文檔。 這種類型的數(shù)據(jù)泄露在1980年代頻繁增加，直到1990年代和21世紀(jì)初，公眾對數(shù)據(jù)泄露潛在威脅的認(rèn)識開始上升。

大多數(shù)關(guān)于數(shù)據(jù)泄露發(fā)生2005年至今的時(shí)間段內(nèi)。 這其中主要推動力是由于技術(shù)的進(jìn)步以及電子數(shù)據(jù)在全世界的加速擴(kuò)散。在這個(gè)過程中數(shù)據(jù)泄露逐漸成為企業(yè)和消費(fèi)者關(guān)注的焦點(diǎn)。 在當(dāng)今社會，數(shù)據(jù)泄露一旦發(fā)生，受影響的用戶數(shù)量可能會在數(shù)十萬，通常是沖著百萬級去的，乃至更多，而且這些數(shù)據(jù)泄露只是對一家公司進(jìn)行的單次攻擊。

據(jù)隱私權(quán)信息交流中心（Privacy Rights Clearinghouse，簡稱PRC）統(tǒng)計(jì)，在2005年的時(shí)候發(fā)生了最早的幾起數(shù)據(jù)泄露。其中最早的一起就是發(fā)生在喬治梅森大學(xué)（2005年1月），一個(gè)黑客攻擊了喬治梅森大學(xué)的主要身份服務(wù)器，涉及32000名學(xué)生和員工的個(gè)人信息，包括姓名，圖片，社會保障號。

之所以從2005年開始回顧數(shù)據(jù)泄露是因?yàn)榇蠖鄶?shù)數(shù)據(jù)泄露發(fā)生2005年之后的時(shí)間段內(nèi)。當(dāng)然，也不是意味著數(shù)據(jù)泄露在05年之前就沒發(fā)生過，只是數(shù)量少且曝光率低。因此2005年可以看成數(shù)據(jù)泄露元年。

數(shù)量越來越大了，要溢出來了！

第一次泄露信息超過100萬條的記錄發(fā)生在2005年的3月，黑客在DSW（美國俄亥俄州著名鞋坊）的數(shù)據(jù)庫中盜取了140萬條信用卡信息。

僅2005年一年隱私權(quán)信息交流中心PRC就記錄了136起數(shù)據(jù)泄露。自2005年至今，已有超過4500起，平均每天都會發(fā)生一起數(shù)據(jù)泄露，共8.16億條個(gè)人記錄遭到泄露。

隨后數(shù)值越來越大，2005年最大的數(shù)據(jù)泄露定格在4000萬條信用卡信息，來自CardSystems Solutions（美國一家信用卡管理公司），被盜的4000萬條信息中有68,000個(gè)萬事達(dá)卡帳戶，100,000個(gè)Visa帳戶和其他信用卡廠商的30,000個(gè)帳戶。泄露的數(shù)據(jù)包括姓名，卡號和信用卡密碼。在次年5月12日CardSystems Solutions申請破產(chǎn)。

2007年一月，TJX公司（服裝家居公司），經(jīng)歷了那一年最大的數(shù)據(jù)泄露。TJX聲稱黑客分多次作案共盜取了近1億賬戶的信用卡和借賬卡信息以及數(shù)千條退款記錄。這次數(shù)據(jù)泄露由于影響過大，給TJX公司帶來了2.16億美元的直接損失。當(dāng)局也參與了案件的偵破，并在古巴查到了被盜信用卡的消費(fèi)記錄。2010年，事件平息，最終以28歲的黑客Albert Gonzalez在聯(lián)邦監(jiān)獄服20年徒刑的形式結(jié)束。

2009年Heartland的支付系統(tǒng)（130,000,000）、2013年的Adobe（38,000,000）、2014年的Home Depot（56,000,000）還有2015年的Anthem（80,000,000）都曾發(fā)生過數(shù)據(jù)泄露。

但是這些都沒有2015年5月的MySpace厲害。

今年5月31日，黑客在MySpace盜取了3億6千萬賬戶的用戶名、密碼。在當(dāng)時(shí)已經(jīng)是大新聞了?！疚恼禄仡檪魉烷T】

這些泄露的數(shù)據(jù)以“SHA-1”的哈希加密的方式存儲的，性能較弱，易于攻破，雪上加霜的是，該公司在散列過程中沒有對密碼進(jìn)行“salt”

　　根據(jù)CSC在2012年的預(yù)測：

·到2020年為止，超過三分之一的數(shù)據(jù)會實(shí)時(shí)存儲或是傳到數(shù)據(jù)云中。

·在2020年，數(shù)據(jù)產(chǎn)業(yè)可能達(dá)到2009年的44倍。專家估計(jì)到2020年年度數(shù)據(jù)生成增長4300％。

·雖然個(gè)人用戶負(fù)責(zé)大多數(shù)（70％）數(shù)據(jù)產(chǎn)出，但所有數(shù)據(jù)的80％還是由企業(yè)存儲。

　　接下來由雅虎接管比賽！你們都是渣滓！

9月22日，雅虎宣稱他們被盜取了5億個(gè)用戶的賬戶密碼。不過這起事件實(shí)際是發(fā)生在2014年的。按照雅虎的說法，雅虎也是在今年8月份對另外一起數(shù)據(jù)泄露事件發(fā)起調(diào)查的時(shí)候，才發(fā)現(xiàn)2014年5億帳號被盜這一事實(shí)的。【文章回顧傳送門】

這次事件一時(shí)之間占據(jù)大量媒體版面頭條。雅虎就此事強(qiáng)調(diào)了兩點(diǎn)，其一此次事件疑似為“國家背景”的攻擊者所為，另外并未泄露如明文密碼、銀行卡信息這類最具價(jià)值的數(shù)據(jù)。

不少美國人已經(jīng)開始擔(dān)心，雅虎5億用戶賬戶被盜事件甚至可能對許多美國人的日常生活產(chǎn)生影響。

我們本來一度以為5億可能已經(jīng)是很難超越的數(shù)字了。直到上周三，雅虎又將自己創(chuàng)造的記錄提高了一倍，達(dá)到了10億。這一次數(shù)據(jù)泄露似乎還跟上次5億泄露不同，真正的泄露發(fā)生在2013年，2016年11月的時(shí)候才第一次發(fā)覺。由于雅虎在2013年以前一直使用的脆弱的算法MD5保存用戶賬號，黑客組織“Group E”盜取了這些數(shù)據(jù)并在暗網(wǎng)上出售。

反思

即使是世界上最大的公司也會遭受巨大的數(shù)據(jù)泄露，影響了數(shù)百萬消費(fèi)者。現(xiàn)代企業(yè)需要一個(gè)全面的，全方位的數(shù)據(jù)保護(hù)和安全的方法。 過去的應(yīng)對方法根本無法在現(xiàn)代威脅環(huán)境中杜絕數(shù)據(jù)泄露。