美国史上最大的数据泄露事件（2025年更新）

每个人都面临数据泄露或网络攻击的风险，无论公司规模大小。黑客和网络犯罪分子每天都在构思新方法来窃取敏感信息或个人数据，以便出售或勒索赎金。

根据身份盗窃资源中心（ITRC）发布的报告，2021年美国发生了创纪录的1862起数据泄露事件。这个数字打破了2017年创下的1506起记录，与2020年的1108起相比增加了68%。医疗、金融、商业和零售等行业是最常被攻击的领域，每年影响数百万美国人。

许多网络安全专家认为，这个数字在2023年及以后将继续增长。为了帮助您了解当今数据泄露的范围和程度，以下是美国历史上规模最大的数据泄露事件。

26起美国史上最大的数据泄露事件

当数据泄露发生时，敏感数据可能被窃取并在暗网或出售给第三方。以下是历史上一些导致数百万用户记录暴露的最大规模数据泄露事件。

1. Yahoo!

时间： 2013-2016 影响： 超过30亿用户账户暴露

雅虎的数据泄露是已知网络攻击中最恶劣和最臭名昭著的案例之一，目前保持着受影响人数最多的记录。第一次攻击发生在2013年，随后的三年里又发生了多次攻击。

一个俄罗斯黑客团队利用后门、被盗的备份和访问cookie，针对雅虎的数据库窃取了所有用户账户的记录，其中包括以下个人身份信息：

姓名
电子邮件地址
电话号码
出生日期
密码
日历
安全问题和答案

最初，雅虎报告约有10亿账户的数据被盗。然而，在威瑞森于2017年收购雅虎后，他们报告最终受影响的记录总数约为30亿账户。雅虎不仅反应迟缓，而且未能向用户披露2014年发生的一起事件，最终导致3500万美元的罚款，以及总共41起集体诉讼。

2. Microsoft

时间： 2021年1月 影响： 30,000家美国公司（全球60,000家公司）

在美国历史上最大规模的网络攻击之一中，超过30,000家美国企业受到针对微软Exchange电子邮件服务器的大范围攻击影响，这是全球最大的电子邮件服务器之一。黑客能够利用四个不同的零日漏洞，获得从小型企业到地方政府电子邮件的未授权访问。

在三个月的时间里，黑客利用了几个编码错误，使他们能够控制易受攻击的系统。他们只需要满足两个条件就能侵入每家公司的电子邮件服务器：

连接到互联网
本地管理的内部部署系统

一旦进入，他们就可以请求访问数据、部署恶意软件、使用后门访问其他系统，并最终接管服务器。由于这些请求看起来像是来自Exchange服务器本身，许多人误以为是合法请求并予以批准。

尽管微软能够修补这些漏洞，但如果各个服务器的所有者没有更新他们的系统，攻击者将能够再次利用系统漏洞。由于这些系统不在云端，微软无法立即推送补丁来修复问题。

2021年7月，拜登政府连同联邦调查局指控中国实施了这次数据泄露。微软紧随其后，并将一个名为Hafnium的中国国家支持的黑客组织指认为此次攻击的幕后黑手。

3. Real Estate Wealth Network

时间： 2023年12月 影响： 15亿条记录泄露

在美国历史上最大的数据泄露事件之一中，总部位于纽约的在线房地产教育平台Real Estate Wealth Network将其数据库中的超过15亿条记录暴露给公众。该数据库包含近1.16 TB的数据，由于文件夹和系统访问未受密码保护，暴露了未知的一段时间。暴露的数据包括：

姓名、地址、电话号码
房产历史
法院判决
买方和卖方信息
抵押贷款信息
业主协会留置权
讣告信息
破产信息
税号和其他税务信息

更值得注意的是，可以找到主要名人的财产所有权数据，其中包括凯莉·詹娜、布兰妮·斯皮尔斯、弗洛伊德·梅威瑟、南希·佩洛西等人。利用这些信息，网络犯罪分子可以轻易进行社会工程攻击、实施金融欺诈或执行其他网络攻击。

Real Estate Wealth Network的代表确认他们拥有该数据库，但目前尚不清楚他们是否正在接受调查或面临法律诉讼。

4. First American Financial Corp.

时间： 2019年5月 影响： 8.85亿份文件记录泄露

2019年，第一美国金融公司因数据安全措施薄弱和网站设计错误而遭受重大数据泄露。尽管此事件被标记为数据泄露而非数据泄露（未涉及黑客攻击），但它显示了敏感信息落入坏人之手是多么容易。

由于一个名为“不安全的直接对象引用”（IDOR）的网站设计错误，允许在无需验证或身份验证程序的情况下访问私人信息。因此，任何拥有文档链接的人都可以自由查看它们。除此之外，由于第一美国按顺序记录其记录，用户可以简单地更改URL中的数字来查看其他客户记录。

大约8.85亿份文件被暴露，包括：

银行账号
银行对账单
抵押贷款支付文件
带有社会安全号码的电汇收据
驾驶执照

幸运的是，没有数据遭到泄露或利用。由于第一美国金融公司因忽视2018年的危险信号和其他管理错误而违反了网络安全法，最终被美国证券交易委员会（SEC）处以约50万美元的罚款。

5. Facebook

时间： 2021年4月 影响： 5.3亿用户暴露

作为世界上最大的公司之一，Facebook对数据泄露和争议并不陌生。自2012年公司上市以来，这家社交媒体巨头一直在处理用户数据的安全漏洞问题。

该公司2021年4月的大规模数据泄露是其中最大的一次，向公众泄露了超过5.3亿人的姓名、电话号码、账户名和密码。Facebook在平台的联系人同步工具中发现了这个问题，称黑客利用漏洞抓取用户资料以获取客户数据。

尽管Facebook坚称没有数据遭到泄露或滥用，但由于信息曾短暂公开，因此无法核实。仅凭姓名、电话号码和电子邮件，黑客或诈骗者就可以轻易利用毫无戒心的用户。

自2013年以来，Facebook面临多次重大数据泄露，包括：

2019年3月，有信息泄露称Facebook员工可以访问超过6亿用户账户。Facebook和Instagram的账户ID和密码以纯文本文件形式存储。尽管Facebook声称没有敏感信息暴露，但这只是众多安全问题中的又一事件。
2019年4月，UpGuard的网络风险团队在公共亚马逊S3云服务器上发现了5.4亿条未受保护的Facebook用户数据记录。第三方应用开发商和墨西哥媒体公司Cultura Colectiva未能对整个数据集进行密码保护，使得信息对任何人开放访问和下载。
尽管Facebook对此事件没有直接责任，但这引发了人们对其如何管理第三方对其数据库访问的审视。在经历长期的数据泄露历史后，Facebook最终加强了对第三方开发者的限制。
仅仅几个月后，在暗网的外国服务器上发现了更多暴露的记录。进一步调查发现，越南的一个黑客组织可能滥用了Facebook的API，并抓取网站以获取用户ID、姓名和电话号码。超过3亿用户受到影响。

Facebook / Cambridge Analytica

时间： 2018年4月 影响： 5000万至9000万用户暴露

2018年，英国咨询公司剑桥分析窃取并出售了Facebook上5000万至9000万用户账户的数据，这是近年来最引人注目的案例之一。剑桥分析的安全研究员Aleksandr Kogan通过一个第三方测验应用的漏洞访问了这些数据。Facebook API中的这个漏洞允许Kogan收集任何下载该应用的人及其整个朋友网络的数据。

尽管违反了Facebook的条款和条件，但由于没有规则强制执行，剑桥分析继续非法出售数据。报告显示，Facebook早在2015年就意识到了这个问题，但直到剑桥分析员工克里斯托弗·怀利举报后才采取行动。

当美国联邦贸易委员会（FTC）宣布对Facebook违反数据安全和数据保护实践不力处以创纪录的50亿美元罚款时，事情终于到了紧要关头。联邦贸易委员会还要求公司从上到下进行全面重组，以加强对隐私合规的监督。此外，联邦贸易委员会对剑桥分析提起诉讼，迫使其首席执行官亚历山大·尼克斯辞职。

6. LinkedIn

时间： 2021年4月 影响： 超过7亿用户记录

在2021年拥有约7.5亿用户的情况下，黑客在对LinkedIn网站进行数据抓取后，能够发布约7亿人（>总用户群的93%）的用户身份信息。尽管大部分信息是公开可用的，但通过利用LinkedIn的API进行数据抓取违反了服务条款。

抓取的数据包括：

全名
电话号码
电子邮件地址（非公开可用）
用户名
地理位置记录
性别
关联社交媒体账户的详细信息

任何在泄露期间暴露的电子邮件地址都可能成为勒索软件或网络钓鱼攻击的目标。尽管这些数据是公开的，但它引发了人们对信息安全以及第三方如何利用这些信息创建开源情报数据库的担忧。

这也为不良行为者针对高知名度个人或公司高管提供了机会。例如，较小的黑客迅速试图搭上这一事件的便车。一名用户声称在一个公共论坛上出售一套新的LinkedIn数据，以换取价值7000美元的比特币。

7. JPMorgan Chase

时间： 2014年6月 影响： 7600万户家庭和700万家小企业

2014年9月，美国最大的银行之一摩根大通披露，网络攻击泄露了超过7600万户家庭和700万家小企业的账户。尽管最初认为攻击仅影响100万个账户，但调查发现攻击要严重得多，从6月到7月持续了大约整整一个月。

摩根大通的客户幸运地没有遭受任何金融欺诈，因为数据泄露仅限于姓名、电子邮件和电话号码。然而，进一步调查发现，黑客还通过窃取一名银行员工的身份证件入侵了摩根大通服务器。千兆字节的敏感数据被盗，后来联邦调查局将其与俄罗斯的攻击联系起来。事件发生后，摩根大通高管承诺每年投入2.5亿美元来妥善保护其数据。

8. Home Depot

时间： 2014年4月 影响： 5600万张支付卡号和5300万个电子邮件地址

2014年，黑客能够使用定制的恶意软件从家得宝窃取超过5600万条支付卡记录。这次攻击持续了五个月才被发现并最终从这家受欢迎的家居建材商店的网络中移除。然而，它已经影响了美国和加拿大的数百万客户。

经过调查，网络安全专家发现，网络犯罪分子很可能是通过第三方供应商侵入服务器的。一旦进入网络，黑客就能够在销售点（POS）系统上安装恶意软件，从而收集支付卡数据并将其上传到单独的服务器。

这次攻击突显了许多大型零售商在保护敏感信息方面投入的网络安全资金之少。到2020年，尽管家得宝显著改进了其支付系统保护，但仍遭受了约1.8亿美元的损失。其中大部分损失包括向信用卡公司和银行的付款、法院和解以及客户赔偿。

9. MySpace

时间： 2013年6月 影响： 超过3.6亿账户

尽管MySpace不再是曾经的社交网站，但它仍然吸引着数百万访客访问其现在以音乐和乐队推广为主的网站。2016年，有报道称一名黑客访问了3.6亿个用户登录名、姓名和出生日期，并将其在暗网上出售，使其成为有史以来最大的数据泄露事件之一。

2013年之前，MySpace使用未加盐的哈希算法来加密用户密码。这种较旧的SHA-1算法的固定长度使其极易被破解。较新的密码身份验证协议使用加盐哈希算法，该算法在每次加密的末尾添加一串随机字符。

幸运的是，MySpace确认所有被盗数据均来自2013年之前，当时该公司推出了新更新的安全措施。他们能够使所有被盗密码失效，并通知受影响的用户有关泄露的信息。

10. FriendFinder Networks

时间： 2016年11月 影响： 4.12亿账户

受欢迎的成人娱乐公司FriendFinder Networks在2016年面临大规模数据泄露，当时其六个主要数据库遭到黑客攻击，包括其更知名的子公司AdultFriendFinder和Penthouse。超过20年的数据被盗，总计约4.12亿个账户，其中包括1500万个未从数据库中删除的已删除账户。泄露的信息包含极其敏感的信息，包括：

用户名和密码
电子邮件地址（包括政府和军队）
用户活动和交易
会员详细信息
IP地址
浏览器信息

根据LeakedSource的数据，FriendFinder Networks使用未加盐的哈希算法SHA-1来保护其密码，并将用户数据存储在纯文本文件中。此外，一位名为Revolver的白帽黑客从社交媒体上分享的照片中发现了本地文件包含（LFI）漏洞。这对这家成人娱乐公司来说是一个巨大的安全问题，因为就在一年前，即2015年5月，它曾遭到黑客攻击，泄露了350万用户的信息。尽管发生了数据泄露，AdultFriendFinder每月仍吸引全球超过5000万访客。

11. Marriott International

时间： 2018年9月 影响： 5亿客人

2018年11月19日，万豪国际发表声明，承认一个未知的第三方非法访问了其喜达屋预订数据库。喜达屋数据库包括万豪旗下主要酒店链的每次预订，包括威斯汀、喜来登、福朋、瑞吉和W酒店。

经过进一步调查，万豪团队发现，早在2014年的客人数据就被复制、加密和复制。总共有大约5亿客人受到影响。对于大约3.27亿客人，黑客能够窃取包括以下信息：

姓名
家庭住址
电子邮件地址
电话号码
护照号码
喜达屋优先顾客账户信息
出生日期
性别
预订详细信息
信用卡信息

对于其余客人，被盗数据仅限于姓名、地址和电子邮件。

这一事件突显了酒店业内部数据安全的缺乏。当万豪在2016年收购喜达屋时，它未能更新旧的预订系统，使其极易受到恶意软件和数据泄露的攻击。许多网络安全专家认为，中国政府发起了这次攻击以获取有价值的信息。2019年，万豪因未能达到网络安全标准而被英国信息专员办公室（ICO）罚款近2400万美元。

12. Adobe

时间： 2013年10月 影响： 3800万个信用卡号

当大约3800万个账户的敏感支付卡详细信息被发布在暗网上时，Adobe经历了21世纪最严重的数据泄露之一。最初认为大约为300万，Adobe的安全总监Brad Arkin承认实际数字要高得多。攻击者能够获取以下信息：

Adobe用户ID和密码
全名
信用卡/借记卡信息
产品源代码（Acrobat、ColdFusion、ColdFusion Builder）

Adobe的主要问题在于从销售桌面许可证转向基于云的SaaS公司。由于从服务器到一般基础设施缺乏IT安全，转型使他们变得脆弱。此外，Adobe对所有3800万受影响的用户使用相同的密码加密密钥，这体现了糟糕的数据保护实践。Adobe于2016年与15个州以仅100万美元达成和解。

13. eBay

时间： 2014年3月 影响： 1.45亿用户

2014年，全球零售商和拍卖网站eBay遭到大规模数据泄露攻击，窃取了1.45亿用户的密码。黑客通过窃取仅几名eBay员工的登录凭证获得了对主网络的访问权限。幸运的是，财务信息存储在单独的服务器上，因此攻击范围仅限于：

全名
家庭住址
电子邮件地址
电话号码
出生日期

eBay迅速开始通知客户更改密码以避免进一步损害。尽管没有报告金融欺诈，但值得注意的是，许多人至少会重复使用一次密码，这意味着其他服务很可能也受到了威胁。

14. Equifax

时间： 2017年9月 影响： 1.48亿美国人（全球1.63亿）

美国三大信用报告机构之一Equifax在2017年报告了一起重大数据泄露事件，影响了1.48亿美国公民的个人数据。作为处理极其敏感数据的公司，Equifax因其疏忽和安全状况不佳而受到猛烈抨击。

首次泄露是通过第三方门户网站Apache Struts，利用一个已知的后端漏洞进行的。尽管漏洞已被修补，但Equifax未能更新其内部服务器，使得入侵者能够活跃76天。

一旦黑客进入系统，他们就可以轻松地在服务器之间移动，因为Equifax没有实施适当的网络安全或分段。 Equifax允许其公钥基础设施证书过期，这是一项例行的更新任务，本可以使公司更早地检测到异常的数据移动。 Equifax赋予了用户广泛的权限，允许他们访问比允许范围更多的敏感信息。许多公司采用的常见安全实践涉及零信任模型中的最小权限原则。实施这两种方法将需要身份验证过程，本可以防止许多问题。

直到Equifax发现泄露一个多月后，公众才得知此事。到那时，公司的高管已经开始抛售股票，引发了内幕交易的指控。

Equifax最终投入超过14亿美元来清理损失并重建其数据保护防线。两年后，他们与美国联邦贸易委员会、各州和地区以及其他当局达成和解，赔偿5.75亿美元。

15. River City Media

时间： 2017年3月 影响： 14亿文件记录泄露

世界上最大的电子邮件垃圾邮件运营公司之一River City Media在2016年至2017年间遭受了美国历史上最大的数据库泄露之一。这次泄露暴露了近14亿人的个人详细信息和大量公司内部文件。尽管大部分信息仅限于电子邮件地址，但许多记录包括IP地址、全名和实际地址。

在将其MySQL数据库配置备份服务器时，这家位于波特兰的公司未能设置密码保护，导致整个公司暴露。这个简单的错误被忽略了近三个月，使得超过十亿人暴露在潜在的黑客攻击之下。在这三个月里，所有14亿个账户都被发布到互联网上供任何人查看。

最终，River City Media被报告给国际网络安全组织Spamhaus，以将该垃圾邮件运营公司列入黑名单。尽管否认其服务器漏洞，但由于负面宣传，RCM迅速倒闭。

16. Target

时间： 2013年11月 影响： 4100万条支付卡记录和7000万条客户记录

在一年中最繁忙的购物日之一，塔吉特在2013年黑色星期五期间成为第三方数据泄露的受害者。即使有安全系统，任何拥有脆弱第三方的组织都可能使自己面临数据泄露或网络攻击的高风险。在这种情况下，塔吉特使用了一个第三方供应商可以访问其数据的门户。然而，这样做在第三方可以访问塔吉特自身网络方面产生了漏洞。

这次重大数据泄露使得网络犯罪分子能够窃取超过4100万条信用卡和借记卡记录以及7000万条客户记录。管理第三方风险应成为每个公司网络安全实践的重中之重。只需要一个受损的第三方就可以渗透整个网络。

除此之外，塔吉特没有分段网络或足够的防火墙，这本来可以极大地限制网络攻击。一旦进入内部，黑客就使用特洛伊木马攻击塔吉特的销售点系统，从而允许他们访问支付卡信息。

最终，塔吉特遭受了约2.02亿美元的损失（保险前为2.92亿美元），其中包括1850万美元的和解金、1000万美元的集体诉讼，以及支付给银行和信用卡公司的1.275亿美元。他们还花费了大量资金升级其网络安全实践，如在其公司页面上所列：

改进系统活动监控
改进防火墙
销售点系统白名单
增加网络分段
限制第三方访问
减少员工访问权限

17. Heartland Payment Systems

时间： 2008年5月 影响： 超过1亿条支付卡记录

专门从事支付、销售点和薪资系统的公司Heartland在2008年成为数据泄露的受害者，攻击者盗走了超过1亿条支付卡记录。然而，由于安全管理不善，该公司直到五个月后的2008年10月，Visa和MasterCard报告Heartland账户的可疑交易时，才意识到任何非法活动。

在聘请网络安全取证团队后，他们发现他们的系统在2007年遭受了SQL注入攻击，这使得黑客能够修改Web代码并获得登录权限。他们能够在几个月内不受阻碍地浏览Heartland系统，并使用真实的磁条制造伪造的信用卡。

尽管罪犯最终被抓获，但Heartland遭受了无法弥补的损失，失去了大部分客户，并支付了超过2亿美元的赔偿金。事件发生后的几个月内，其股价下跌了77%。后来在2015年，一家更大的支付处理公司Global Payments以43亿美元收购了Heartland。

18. Exactis

时间： 2018年6月 影响： 3.4亿人

总部位于佛罗里达州的营销公司Exactis收集和销售企业和消费者数据，据称暴露了一个包含3.4亿条个人记录的数据库。安全研究员Vinny Troia最初发现整个Exactis数据库位于一个完全未受保护且所有人都可以访问的公共网络上。

Troia立即联系了FBI，后者进行了自己的调查。FBI认为，根据他们的发现，该数据库包含几乎所有美国公民和数百万家企业的信息。该数据库包含敏感数据，包括但不限于：

全名（包括儿童）
年龄
性别
实际地址
电子邮件地址
宗教信仰
政治派别
吸烟习惯
宠物
收入
信用评级
教育水平

这是有史以来最完整的数据集合之一，完全暴露给任何人查看。这些信息可以使诈骗者和网络犯罪分子在大范围内执行社会工程攻击，针对毫无戒心且安全实践薄弱的个人和企业。

尽管数据库在报告后不久就从公共领域撤下，但FBI认为它已经在网上存在了很长时间。Exactis对此问题保持沉默，但目前正面临多起集体诉讼。

19. Capital One

时间： 2019年7月 影响： 1亿用户记录

2019年，亚马逊网络服务前雇员Paige Thompson入侵了Capital One服务器，并获取了超过1亿客户账户记录以及可追溯到2005年的信用卡申请信息。在这些记录中，包括：

银行账号
姓名
地址
信用评分
账户余额
社会安全号码
加拿大社会保险号码

Thompson利用了一个云防火墙配置漏洞，该漏洞允许她在Capital One服务器上执行多个命令。她获取了管理员凭据以绕过防火墙，访问数据桶和文件夹，然后复制并导出数据。随后，她将被盗数据发布到GitHub，这留下了数字痕迹并导致她被逮捕。

尽管是云服务的主要倡导者，但Capital One未能实施足够的安全措施来保护客户数据。如果Capital One实施了分段的网络安全或限制了用户访问权限，可能会使Thompson的访问变得更加困难。这需要对每一层数据进行多次验证过程。

随着越来越多的公司转向云托管服务器，必须实施第三方风险管理工具。Capital One最终在2021年以1.9亿美元和解了一起集体诉讼。

20. Dubsmash

时间： 2018年12月 影响： 1.62亿用户记录

2018年12月，一次大规模数据泄露袭击了16个不同的网站，影响了超过6.17亿个被盗账户。Dubsmash是最突出的受害者，在暗网上泄露了超过1.62亿条用户记录。被盗数据包括：

用户名
密码
电子邮件地址
地理位置
国家

世界各地的公司也在同一次攻击中遭受了重大数据损失，包括：

Under Armour / MyFitnessPal (1.51亿)
MyHeritage (9200万)
Whitepages (1800万)
Armor Games (1100万)
Coffee Meets Bagel (600万)

21. Deep Root Analytics

时间： 2017年6月 影响： 1.98亿美国公民

2017年6月，共和党数据分析集团Deep Root Analytics拥有的近2亿注册选民的个人信息被泄露。该数据首先由UpGuard的网络威胁分析团队发现，这是历史上最大的敏感选民信息暴露事件。

数据包含：

姓名
地址
电子邮件
电话号码
出生日期
互联网浏览历史
选民ID号码
政治派别
宗教和种族

利用这些数据，双方的政治团体都有可能利用它来操纵选民行为。许多高知名度、有影响力的个人和组织也包含在这个数据集中。尽管共和党全国委员会在数据泄露后不久就与Deep Root Analytics断绝了关系，但他们在2020年重新聘用了该数据组织，为唐纳德·特朗普的连任竞选做准备。

22. Zynga

时间： 2019年9月 影响： 2.18亿用户

最受欢迎的在线游戏公司之一Zynga在2019年9月宣布发生密码泄露事件，影响了超过2亿用户。通过《Words With Friends》、《Farmville》和《Draw Something》等热门手机游戏，一名名为Gnosticplayers的黑客能够侵入系统以窃取用户名和密码。

尽管承认密码泄露，但Zynga未能立即通知用户。尽管没有财务信息暴露，但这次Zynga泄露事件引发了人们对黑客利用简单信息策划网络钓鱼攻击或诈骗的重大担忧。如果泄露的数据流入暗网，个人可能会遭受网络攻击。

23. Progress Software (MOVEit漏洞)

时间： 2023年6月 影响： 9400万用户 / >2500个组织 / >150亿美元损失

在2023年较受关注的攻击之一中，MOVEit漏洞是一个零日漏洞，影响了世界上许多最大的组织。该漏洞源自Progress Software的文件传输应用程序MOVEit Transfer，全球数千个组织使用该软件。

尽管泄露发生在全球范围内，但估计近80%的MOVEit受害者是美国公司，其中包括美国能源部、第一国民银行、佐治亚大学、约翰斯·霍普金斯大学、纽约市教育局等。

最初的MOVEit漏洞是Progress Software披露的八个CVE之一，许多组织仍在处理零日漏洞的后果和恢复工作。截至2024年初，受影响的用户数量已飙升至超过9400万，总损失超过150亿美元，并且仍在增加。

24. Plex

时间： 2022年8月 影响： 3000万用户

媒体流媒体平台Plex于2022年8月24日向近3000万用户发出密码重置通知，此前他们注意到未经授权的一方访问了包括电子邮件、用户名和加密密码在内的数据。尽管密码使用哈希算法加密以防止犯罪分子窃取账户的可能性，但数据泄露暴露了一个未修补的漏洞，使得犯罪分子能够通过隧道进入Plex的系统。

此外，广泛的密码更改暴露了Plex处理其内部服务器流量的能力不足，导致了额外的错误消息或密码更改失败。即使使用加密密码，威胁行为者也可以利用暴力加密破解软件来窃取许多人使用的基本密码。

由于Plex服务器上没有存储支付信息，并且公司迅速应对了情况，最终没有发生处罚或信息被盗的案例。该事件突显了在发生攻击时创建强密码的重要性。

25. 洛杉矶联合学区

时间： 2022年9月 影响： 1000所学校 / 60万学生 / 500GB数据

在教育行业有史以来最大的数据泄露事件之一中，洛杉矶联合学区在劳动节周末遭到俄罗斯犯罪集团Vice Society的攻击。这次攻击影响了美国第二大校区的1000多所学校和60万名学生。Vice Society部署了勒索软件攻击，阻止LAUSD官员访问关键数据，包括：

个人信息（姓名、实际地址、电话号码）
电子邮件地址
计算机系统和应用程序
护照详细信息
员工社会安全号码
员工账户登录信息
税务表格
合同和法律文件
财务报告
银行详细信息
健康信息（包括COVID-19疫苗接种数据）
背景调查和定罪报告
学生心理评估
VPN凭据

由于网络安全专家和执法部门强烈建议不要支付赎金，LAUSD发表声明称，他们不会支付给他们的赎金。结果，Vice Society在被盗数据发布到他们的暗网论坛上。

尽管攻击的持续影响尚未确定，但如果欺诈或身份盗窃案件变得普遍，可能会面临潜在诉讼。还需要注意的是，LAUSD在攻击前已被告知潜在的漏洞，但未能解决或补救这些问题，这可能会在调查后导致进一步的处罚或罚款。

26. Cash App

时间： 2022年4月 影响： 820万用户

2022年4月，一名心怀不满的前员工通过Cash App Investing下载了超过800万用户的信息，这是CashApp服务中可访问的股票交易功能。需要注意的是，通过Cash App Investing持有的信息与Cash App个人对个人支付服务的主产品是分开的。

被盗信息包括：

客户姓名
经纪账户号码
股票交易组合
股票交易活动

尽管没有其他个人身份信息被盗，但这次数据泄露是一个重大的安全风险，反映了未能实施访问控制策略，尤其是对于一名不再在Cash App工作的员工。此外，在Cash App未能检测或处理活跃数据泄露的4个月期间，攻击持续发生。

在非法下载敏感信息后，Cash App目前正因未能实施适当的安全措施来保护用户数据而面临多起集体诉讼。