2025年数据泄露回顾:10大数据安全事件!
IBM《2025年数据泄露成本报告》显示,全球数据泄露事件的平均成本为444万美元。数据安全事件对国家战略、企业运营和个人隐私等构成了深远威胁。本文梳理过去一年全球范围内具有代表性的十起数据安全事件,真实反映当前安全态势与挑战。
历史级数据泄露事件,涉及160亿条凭证
2025年6月,一批包含约160亿条登录凭证的数据集在网络上公开暴露。此次泄露的数据并非源于某次独立攻击,而是攻击者通过长期部署信息窃取恶意软件,持续从全球范围内受感染的设备中逐步收集、累积。泄露信息涵盖谷歌、苹果、Facebook等主流网络服务平台相关的用户名和密码,甚至还包括部分政府门户的账户信息。安全专家警告,这批海量凭证将使全球数十亿在线账户面临撞库攻击、账户盗用和身份欺诈的极高风险。(消息来源:Forbes、Cybernews)
AT&T遭遇重大数据泄露事件,8600万条记录被曝光
2025年5月,攻击者在暗网平台泄露了一个包含8600万条AT&T客户记录的数据集,且相关数据已按照索引完成整理。据悉,泄露的信息涵盖用户的全名、出生日期、联系方式以及住址等。倘若这些数据真实准确,极有可能引发大规模的身份盗用和定向诈骗。攻击者可凭借这些数据冒充受害者身份、开设欺诈账户,甚至绕过安全验证机制。(消息来源:Hackread、cyber security news)
麦当劳暴露6400万条求职者个人数据
2025年7月,快餐巨头麦当劳曝出一起因AI招聘聊天机器人平台McHire安全漏洞引发的重大数据安全事件。两位研究员使用登录密码“123456”,短短三十分钟成功获得管理员权限,最终成功浏览了存储在低防护数据库中的大量应聘者信息。据悉,数据多达6400万条,内容包括姓名、电子邮箱、电话号码及其完整简历,其中包含出生日期、教育背景和工作经历等敏感信息。这起事件凸显出,诸如使用默认密码、缺乏多因素验证等基础安全疏忽,同样可能引发大规模、高影响的数据灾难。安全专家分析认为,若提前实施强密码策略、严格进行特权访问管控,并对数据库进行逻辑隔离,可显著降低风险,有效阻止对求职者信息的未授权访问。(消息来源:Forbes、CSO)
SK Telecom数据泄露事件波及2300万用户,被罚约7亿元人民币
2025年4月,韩国移动通信运营商SK电讯的主数据库遭黑客入侵,导致涉及2300多万LTE及5G用户的25类信息被泄露,其中包括手机号码、用户识别号码、USIM卡认证密钥等。以手机号码及IMSI为统计基准,确认泄露记录约2696万条。该数据已排除企业专线、多线路用户及其他非个人用户,是按实际个人用户统计得出的。调查显示,黑客攻击分阶段进行:2021年8月,黑客首次侵入SK电讯内网,在多个服务器植入恶意程序;2022年6月,在综合客户认证系统内部署恶意程序,建立持久控制据点;此后持续潜伏,并于2025年4月18日将归属用户服务器数据库中约9.82GB的用户个人信息泄露至外部。由于违反信息安全措施义务及泄露通知义务,SK电讯被处以1347亿9100万韩元行政罚款,并另处960万韩元过失罚款,总计约7亿元人民币。(消息来源:pipc)
Zoomcar发生数据泄露,约840万用户受影响
2025年6月,印度知名汽车共享平台Zoomcar披露了一起数据泄露事件。攻击者利用安全漏洞侵入后端系统,随后暗网论坛上出现了包含数百万用户记录的样本数据集,这引发了人们对泄露规模的广泛担忧。经确认,泄露的信息涵盖用户名、手机号码、电子邮件地址、家庭住址以及车辆登记资料等,约840万用户受到了影响。尽管未发现财务数据外泄,但该事件仍带来了网络钓鱼与身份盗用的显著风险。值得关注的是,这并非Zoomcar首次遭遇数据泄露。该公司曾在2018年遭受类似攻击,致使数百万用户数据在暗网被出售。(消息来源:DarkReading)
Kering遭遇数据泄露事件,波及多个奢侈品品牌
2025年9月,全球奢侈品行业巨头开云集团(Kering)确认发生了一起数据泄露事件。其旗下多个品牌,如古驰、巴黎世家,以及伊夫・圣・罗兰的客户数据遭到了未授权访问。据悉,此次入侵始于2025年6月,有未经授权的第三方临时侵入其系统,并获取了部分客户数据。泄露的信息涵盖客户姓名、电子邮件地址、电话号码、住址以及在品牌门店的消费总额,但并未涉及信用卡或银行账户等支付信息。此次攻击被指是由知名黑客组织“ShinyHunters”所为。该组织事后宣称窃取了约740万条关联电子邮件地址的数据。资料显示,ShinyHunters在过去五年中曾多次对大型企业发起攻击,受害者包括微软、GitHub、AT&T、Ticketmaster及Santander等,其攻击手段包括云平台入侵、社工攻击及数据库窃取等多种方式。(消息来源:BBC、IT之家)
澳航发生数据泄露,涉及约570万客户
2025年7月,澳大利亚航空公司Qantas(澳航)确认一起数据泄露事件。攻击者通过其第三方呼叫中心平台获取了客户信息,航空公司核心系统及安全体系未受影响,但部分被盗数据随后出现在暗网论坛中。此次泄露涉及约570万客户,信息包括客户姓名、电子邮件地址,少数受影响客户数据还包含了工作或家庭地址、出生日期及电话号码。支付信息、信用卡数据与护照信息未在此次事件中泄露。事件发生后,澳航立即采取了平台安全加固措施,通知了受影响客户,并与网络安全专家及相关监管部门展开协作。(消息来源:《纽约时报》)
700Credit发生数据泄露,超560万消费者信息遭窃
2025年12月,美国信用审查与身份核验服务商700Credit披露了一起数据泄露事件。公司发现其用于信用调查与风险评估的内部系统遭到了未授权访问,经内外调查确认,包括姓名、社会安全号码、出生日期、驾照号码及信用相关记录在内的敏感消费者信息已外泄。据密歇根州总检察长办公室指出,攻击者窃取了2025年5月至10月期间从经销商处收集的个人数据,受影响人数至少达560万。此次泄露已引发监管通报、法律审查,并对相关贷款机构及经销商合作伙伴的声誉造成了连带影响。(消息来源:techcrunch)
耶鲁纽黑文健康系统发生重大数据泄露事故,波及超555万人
2025年3月,耶鲁纽黑文健康系统披露了一起重大数据泄露事件。该系统于3月8日监测到IT系统出现“异常活动”,经调查确认,有未经授权的第三方访问了其内部网络。随后在4月11日,向美国卫生与公众服务部报告了涉及被入侵网络服务器的违规情况。此次泄露的数据涵盖患者姓名、出生日期、住址、电话号码、电子邮件地址、种族/民族信息、社会安全号码及医疗记录编号等敏感信息。2025年10月,耶鲁纽黑文健康系统同意支付1800万美元,就此次事件达成和解。目前,联邦法院已对该和解协议予以初步批准,最终批准听证会定于2026年3月3日举行。 (消息来源:GovInfosecurity)
TransUnion发生第三方应用关联数据泄露,波及约440万人
2025年7月,征信机构TransUnion披露了一起数据泄露事件。攻击者借助一个被入侵的第三方应用程序,于7月侵入其系统,获取了高度敏感的身份记录。鉴于TransUnion在信用评估和财务验证领域的重要地位,此次事件受到了广泛关注。泄露信息涵盖全名、身份标识信息以及社会安全号码,涉及人数约440万。此次事件再次表明,第三方应用程序的接入权限已成为存储海量身份数据机构的关键风险点。若此次安全漏洞主要影响的是辅助支持系统,而非核心征信数据库,那么短期风险将集中在利用所泄露的联系方式和身份信息,如姓名、住址、电话号码以及可能包含的官方身份文件,实施定向钓鱼和账户盗用行为。 (消息来源:databreach)
结语
数据安全已成为牵动全球商业格局与个人生活的核心命题。从160亿条凭证的全球泄露,到由默认密码“123456”引发的企业级灾难,再到长期潜伏、分阶段实施的定向攻击,2025年的这些事件共同揭示出当前数据安全生态的三大关键特征:
其一,攻击正走向“系统化”与“常态化”。 攻击者不再满足于单点突破,而是通过部署恶意软件长期潜伏、利用供应链与第三方漏洞横向渗透,甚至分阶段、持续性地实施数据窃取。安全防御必须从“事件响应”转向“持续治理”。
其二,风险往往源于“基础性”疏失。 无论是默认密码、未修复的API接口,还是脆弱的第三方系统,许多大规模泄露事件的根源并非高深技术,而是基础安全控制与合规流程的缺失。这警示企业:安全建设需回归本质,筑牢身份、访问、数据分级等基础防线。
其三,代价已超越财务范畴。 动辄数千万美元的罚款、和解金与业务损失之外,品牌声誉受损、客户信任瓦解、监管审查加剧等隐性成本正在持续放大。数据安全不仅关乎技术,更直接关系到企业生存与社会责任。
面对日益复杂的威胁环境,仅依靠技术防护已远远不够。企业需构建涵盖技术、流程、人员与第三方生态的立体防御体系,将安全融入业务全流程,并在事件发生后保持透明、迅速响应与沟通。2025年的警钟已经敲响,在数据驱动未来的道路上,安全不仅是底线,更是承载信任与发展的基石。
来源:赛博研究院,原文链接:https://mp.weixin.qq.com/s/G_irpvS2mB8Hs241fvDC0Q
