一、2025年国外十大数据泄露事件——按规模由大到小
1.160亿账号凭据超级集合(约160亿条记录)
时间:2025年7月曝光
规模:CyberNews研究人员发现了有史以来最大规模的数据泄露事件,共计160亿条登录凭证遭到曝光。调查显示,这些凭证可能通过多种信息窃取软件(infostealer)收集而来。研究团队今年持续监测网络活动,发现30个泄露数据集分布在不同平台上,单个数据集规模从数千万条到35亿条记录不等,平均每个数据集包含5.5亿条记录。这些数据集曾短暂暴露在未加密的Elasticsearch或存储实例中,涉及Apple、Google、Facebook、Telegram、GitHub及政府门户等服务。
性质:
l 不是单一公司被攻破,而是多年间信息窃取木马日志、各类既往数据库泄露的大规模拼盘。
l 包含网银、电商、社交媒体、约会网站、邮箱等大量网站的账号。
风险点:旧数据占比高,但很多用户长期密码复用,叠加在一起后,非常适合做大规模撞库、接管账号。
2.AT&T客户数据库再度流出(约8,600万条记录)
时间:数据在2025-05-15首次出现在俄语犯罪论坛,06-03再次被重新上传并扩散。
规模:AT&T遭遇大规模数据泄露事件,黑客声称已成功解密此前受保护的社会安全号码(SSN),并在网络犯罪论坛上公开了8600万客户的个人信息。该泄露事件于2025年5月15日首次发布在知名俄罗斯网络犯罪论坛,6月3日再次上传。数据集被认为来自被盗的AT&T数据库,去重后包含86,017,090条唯一记录,总计88,320,018条记录。泄露信息包括全名、出生日期、电话号码、电子邮箱、实体地址,其中43,989,219条记录包含SSN。
性质:
l 这批数据被普遍认为是2024年Snowflake/AT&T入侵的“再包装版”,但在2025年被完整解密并大规模转售,攻击价值反而上升。
l 包含姓名、出生日期、电话、邮件、住址、大量解密后的SSN等。
特点:典型的“旧数据新泄露”:源自早期入侵,但在2025年以更危险的形式重新流通。
3.PowerSchoolK-12教育系统入侵(约7,200万学生与教职工)
时间:入侵发生在2024年底,PowerSchool于2025年1月披露,2025年10月黑客被判刑时披露了更多规模细节。
规模(估算):PowerSchool公司总部位于加利福尼亚州福尔瑟姆,为全球16000所学校提供服务,管理着6000多万学生的数据。1月7日,该公司确认攻击者访问并外泄了存储在其学生信息系统中的个人数据。被盗数据包括社会安全号、医疗记录和家庭住址。BleepingComputer的一份报告披露了攻击者发出的勒索信,声称他们窃取了6240万名学生和950万名教师的记录。合计7,200万+个人数据被窃。
数据类型:学生成绩、健康/医疗信息、社会安全号、受保护学生信息(包括限制令等极敏感记录)。
攻击方式:黑客利用此前电信公司泄露中偷来的账号密码,暴力尝试直至成功登录PowerSchool支持门户,然后横向移动到核心学生信息系统。
4.Kering(Gucci/Balenciaga等奢侈品牌)数据泄露(5,600万条记录)
时间:攻击在2025-04发生,Kering在2025-06确认入侵,9月起大量细节曝光。
规模:法国奢侈品巨头开云集团(Kering)确认,旗下古驰(Gucci)、巴黎世家(Balenciaga)及亚历山大·麦昆(AlexanderMcQueen)等品牌发生大规模客户数据泄露事件,涉及数百万条个人信息。根据公开资料整理,黑客组织ShinyHunters声称共窃取约5,600万条客户记录(其中4,350万条来自Gucci早前一次入侵,约1,300万条来自2025年4月针对其它品牌的攻击)。含740万唯一邮箱地址。
数据类型:姓名、联系方式、地址、生日、详尽消费历史(含累计消费额),但不含银行卡号等金融信息。
特殊风险:这些都是高净值客户,详尽消费记录极利于定制式钓鱼、诈骗、勒索。
5.Qantas航空第三方平台被攻破(最多约600万客户记录)
时间:2025-07-02Qantas正式确认。
规模:澳大利亚最大航空公司Qantas(澳航)确认,其外包呼叫中心使用的客户服务平台于6月30日遭黑客入侵,最多600万名旅客个人资料被窃取。泄露字段包括姓名、电子邮箱、手机号码、出生日期与常旅客号码,护照、信用卡信息及账户PIN未受影响。官方已向澳大利亚网络安全中心和隐私专员报告,并启动客户通知及一年期免费身份监测服务。目前航班运行及核心预订系统未遭波及。
数据类型:姓名、邮箱、电话、出生日期、常旅客号;无银行卡、护照号等。
特点:典型的供应链/第三方服务商被攻破,核心系统并未被直接入侵,但客户数据仍然大量泄露。
6.YaleNewHavenHealth医疗系统入侵(约550万人)
时间:2025-03-08发现异常,4月底披露,之后和解诉讼时确认规模。
规模:耶鲁-纽黑文健康系统(YaleNewHavenHealthSystem,YNHHS)11月披露,约555.6万名患者的敏感信息遭黑客窃取,成为美国卫生与公众服务部(HHS)公布的2025年度最大医疗数据泄露事件。攻击时间线显示,黑客于2025年3月8日首次渗透系统,直至4月11日医院方确认数据已被非法下载。被盗信息包括姓名、出生日期、社会安全号(SSN)、住址、电话、医疗记录编号(MRN)及就诊类型等,但电子病历内容和财务信息未被访问。受影响患者遍及康涅狄格州、纽约州及罗德岛州的360余家医疗机构。YNHHS已从4月14日起向受影响患者发送通知,为社安号泄露用户提供一年免费身份监控和信用保护服务,并建议密切检查医疗账单、冻结信用报告。医院称目前无证据显示信息已被用于身份盗用或金融欺诈,但多家律师事务所已启动调查,评估集体诉讼可能性。
数据类型:姓名、地址、电话、邮件、出生日期、种族/族裔信息、病历号、部分社保号,及部分医疗相关信息(但核心EMR系统据称未被访问)。
特点:再次印证医疗行业=高价值目标+高停机成本,对勒索团伙极具吸引力。
7.Episource医疗服务公司入侵(约540万人)
时间:入侵窗口约为2025-01-27至02-06,6–7月相继向监管与公众披露。
规模:美国医疗服务和技术公司Episource披露,一起网络攻击导致超过540万人的个人和健康数据泄露。该公司主要为MedicareAdvantage、Medicaid等医疗保险计划提供风险调整服务、临床数据分析和病历审查解决方案。攻击时间线显示,威胁行为者于2025年1月27日至2月6日期间访问并复制了系统数据。2月6日,Episource检测到系统异常活动后立即关闭系统,启动调查并聘请专业团队协助,同时通报执法部门。公司表示目前未发现数据被滥用的报告。
数据类型:医疗记录、保险信息、出生日期、地址、部分社保号等典型受《HIPAA》保护的数据。
特点:属于医疗SaaS/医疗账单服务公司,被攻击后波及多家医院与保险公司,放大了单一供应商被攻破的影响范围。
8.TransUnion信用局第三方应用泄露(约446万人)
时间:2025-07-28攻击发生,8月末披露并开始发信通知。
规模:美国信用评分和监测公司TransUnion披露,一起针对第三方应用的网络攻击导致4,461,511人的个人数据泄露。该公司向缅因州总检察长办公室提交的文件显示,攻击发生于7月28日,两天后被发现。据TransUnion发给消费者的通知函,攻击者入侵了其客户支持人员使用的第三方应用,导致个人信息暴露。泄露数据通常包括姓名、家庭地址、电子邮箱和电话号码,某些情况下可能涉及护照、驾照和身份证信息。公司强调核心信用数据库和信用报告未受影响,暴露信息"仅限于特定数据元素"。TransUnion在声明中表示已迅速控制事件,并与执法部门合作,聘请第三方网络安全专家进行独立取证审查。公司将为受影响用户提供24个月的信用监测服务(通过myTrueIdentityOnline)和欺诈协助(由其旗下公司Cyberscout提供)。
数据类型:姓名、出生日期、社保号、账单地址、电话、邮箱等,高度敏感的身份信息。
攻击路径:攻击者入侵了一款用于客户支持的第三方应用,与近期多起针对Salesforce/OAuth集成的攻击手法高度相似。
9.HyundaiAutoEver北美车主数据泄露(最多270万人,规模存在争议)
时间:入侵发生在2025-02-22至03-01,被3月初发现,11月陆续更新细节。
规模:10月30日,现代汽车集团旗下IT服务公司HyundaiAutoEverAmerica(HAEA)证实,其平台因今年2月遭受网络攻击,导致发生数据泄露事件。据悉,此次事件导致现代、起亚与捷恩斯三大品牌车主的个人信息被泄露,涉及用户可能多达数百万。HAEA通报称,攻击者于2月22日成功入侵其网络,并在系统中保持长达10天的未授权访问,直至3月2日才被发现。内部调查显示,黑客在此期间访问了部分用户数据库,泄露内容可能包括社会保障号码和驾驶执照信息。
数据类型:姓名、驾照号、社保号及车辆相关信息。
特点:显示随着汽车“软件定义”与互联化,车企的IT/云支撑公司已成新的高价值目标。
10.AllianzLife(美国寿险子公司)第三方CRM泄露(约140万人)
时间:攻击发生在2025-07-16,7–8月披露并通知客户。
规模:7月16日,安联人寿北美公司遭遇黑客攻击,攻击者通过社会工程学技术入侵其使用的第三方云端CRM系统,导致大部分美国客户、金融专业人士及部分员工的个人身份信息被窃取。安联人寿目前在美国拥有140万客户,意味着多数客户信息可能受到影响。发现入侵后,公司迅速控制事态并通知FBI。调查显示,黑客未入侵安联人寿自身网络或保单管理系统。社会工程学是黑客通过操纵、欺骗获取敏感信息的常用手段,此次事件凸显企业依赖第三方服务时面临的数据安全风险。
数据类型:姓名、地址、出生日期等个人识别信息,但不包括账户余额等金融数据。
攻击特点:攻击者通过社会工程攻破第三方云端CRM系统,而非Allianz自己的数据中心——再次凸显第三方云服务的系统性风险。
*说明:像McLarenHealth(约74.3万人)、KetteringHealth(约73万份病患文件)等2025年披露的大型医疗泄露事件数字略小一些,这里没有挤进前10,但同样非常严重。
二、这些泄露事件的共性与规律
1、“单点入侵,多方受害”:第三方与云供应链成为主战场
Qantas、TransUnion、Allianz、Kering等案例,都不是直接打穿核心业务系统,而是攻破第三方平台(客服SaaS、CRM、Salesforce集成等)。
YaleNewHavenHealth、Episource等医疗案例,也体现了云托管数据库和外包服务商被攻击后,能一次性暴露成百上千家客户机构的数据。
规律:供应链安全已从“合规附属项”变成真正的头号风险;只看自己系统安全,而忽视合作伙伴,就是在给攻击者留后门。
2、旧数据“回魂”:再包装、再流通的泄露越来越常见
16B凭据超级集合本身就是对多年来泄露/木马日志的重新汇总与包装。
AT&T8,600万记录同样被证明主要来自2024年攻击,但在2025年以解密SSN+去重整合的方式重新流出。
规律:
即使企业觉得“那次泄露已经过去了”,数据一旦外流,在黑市上会长期存在与再加工;
组织必须假设任何历史泄露数据都可能被反复利用,重点是持续监控异常行为、推动用户改密码与身份验证强度,而不是“事情过去就算了”。
3、高敏感行业特别“招黑”:教育、医疗、金融&高净值消费群体
教育:PowerSchool一次性覆盖美国绝大部分学区,暴露未成年与教师的大量敏感信息。
医疗:YaleNewHavenHealth、Episource、McLaren、Kettering全是医疗体系,2025年医疗行业继续是被攻击最频繁、成本最高的领域之一。
金融与信用:TransUnion、Allianz、AT&T(带SSN的电信身份数据),为身份盗用和金融欺诈提供了“黄金素材”。
奢侈品牌高净值人群:Kering泄露大量“消费金额+购买历史”,非常利于针对富裕客户定制诈骗。
规律:攻击者越来越倾向于瞄准“身份+资产+可勒索”价值最高的人群和行业,而不是单纯追求记录数量。
4、社工+账号安全沦陷:人是最薄弱的一环
DoorDash、Allianz、HyundaiAutoEver等2025案例都明确提到,员工被社工钓鱼或被诱导操作是攻击起点。
PowerSchool、AT&T的攻击则利用了已经泄露的凭据和缺少MFA的账号。
规律:
密码复用+弱MFA策略+员工安全意识薄弱,基本就是当代大部分大型泄露的三件套。
趋势已经不再是“0day技术奇迹”,而是成熟的社工和身份滥用产业化运营。
5、勒索团伙的“双重勒索”和“数据武器化”越来越成熟
Kering、McLaren、Kettering以及Episource等多起事件都与勒索团伙(ShinyHunters、Interlock等)有关,采用典型的“先窃数据再加密系统,再威胁泄露”模式。
大规模凭据与身份数据库(16B凭据、AT&T86M、TransUnion4.4M)也成为后续攻击(接管账号、贷款欺诈、SIM交换等)的“原材料”。
规律:数据不再只是被“偷走”,而是被当作长期“武器化资产”
l 用来攻击其他服务
l 用来二次勒索(“不付钱就曝光/不删数据”)、
l 用来构造高度可信的钓鱼与商务邮件欺诈。
6、地理分布:仍以北美和欧洲为主战场
这些大案多数集中在美国、加拿大、澳大利亚与西欧的金融、医疗、教育、零售、航空等高数字化行业。
(内容来源于“安全牛”公众号,如涉侵权,请联系删除)
推荐阅读:
