1、Evernote

前不久，在線筆記應用公司Evernote向其5000萬用戶發出重置密碼通知，因為該公司發現功黑客已經侵入內部賬戶信息數據庫來竊取加密的用戶名和密碼組合。雖然該公司使用加鹽值MD5哈希來進行加密保護，但專家批評這是很容易遭受暴力破解的加密方法，并不像bcrypt、scrypt或者PBKDF2那么有效，這些加密方法可以減少攻擊者每秒的自動猜測密碼的數量。

評論：防不勝防，加密信息被盜。

2、Yahoo Voices

在2012年7月，名為D33Ds Company的黑客組織通過SQL注入攻擊侵入雅虎的子網站，對包含超過45萬未加密Yahoo Voice密碼的數據庫進行竊取。攻擊者在其公開張貼在網上的密碼信息中附上了這條信息：“我們希望負責管理該子網站的安全性的各方將此作為一次警告，而不是一種威脅。”

評論：保護數據，自我保護和外部防范都要做好。

3、LinkedIn

在2012年6月，LinkedIn從安全社區得到糟糕的評價，因為該公司有超過650萬用戶密碼被竊取，而這些密碼的唯一保護是未加料的加密哈希。研究人員Ching Tim Meng表示：“從一個重要線索中我們可以確定該公司對其安全是否重視：使用未加料SHA1密碼哈希。這是不安全地存儲哈希密碼的經典錯誤，這是一個嚴重的錯誤。”

評論：疏忽帶來用戶密碼被盜。

4、eHarmony

在LinkedIn事故不久后，攻擊者在網上公布了來自eHarmony網站的超過150萬不區分大小寫的密碼，這暴露了該在線交友網站糟糕的密碼保護政策。與LinkedIn一樣，eHarmony也是使用未加料的哈希來保護其密碼。來自Trustwave SpiderLabs的研究人員報告稱，只花了72小時就破解了80%的密碼。

評論：同樣的案例。

5、Zappos

在2012年1月，在線鞋類零售商Zappos在發現2400萬密碼遭受泄露后，向其所有客戶發送密碼重置通知。該公司對于其對密碼部署的保護機制“含糊其辭”，并沒有透露用以模糊登錄信息的加密類型。雖然該公司因此受到一些非議，但很多業內人士對該公司快速響應泄露事故以及采取積極措施要求用戶重置密碼的做法表示贊賞。

評論：亡羊補牢，為時未晚。

6、DreamHost

Web托管公司DreamHost遭受了嚴重的泄露事故，攻擊者侵入了包含其所有共享托管賬戶的FTP登錄憑證的數據庫。這次泄露事故也暴露了該托管公司的問題，即他們將這些密碼存儲以純文本保存的傳統數據庫表中。很多身份管理專家稱，這次泄露事故很好地說明了為什么企業需要重新思考在分布式數據庫中登錄憑證的存儲。

7、Twitter

上個月，Twitter宣布超過25萬用戶的密碼被泄露，并敦促其用戶重置其密碼。根據業界傳言稱，該公司正在努力開發與谷歌目前使用的類似的雙因素身份驗證。這并不是Twitter遭遇的唯一的泄露事故。在2012年5月，攻擊者在Pastebin公布了約6萬名Twitter用戶的密碼賬戶信息，雖然該公司表示，這其中至少有一半是被阻攔的垃圾郵件賬戶。

評論：即使重要信息泄露的可能是百分之一，也不能松懈。

8、Booz Allen Hamilton

來自AntiSec組織的攻擊者向政府軍方承包商Booz Allen Hamilton進行了攻擊，并發布了9萬個美國軍方電子郵件地址和密碼，這些密碼使用未加料的SHA1哈希加密。另外有趣的細節包括美國中央司令部、特種作戰司令部、海軍陸戰隊、空軍部隊以及國土安全局的賬戶密碼。

評論：國家安全受到威脅。

9、Sony Pictures

對于索尼來說，2011年并不是一個好年頭。在超過7700萬索尼Playstation網絡用戶的個人身份信息泄露后，LulzSec繼續在其傷口上撒鹽—竊取并公布了SonyPictures.com的100萬用戶密碼。此泄露事故的攻擊者Raynaldo Rivera去年被定罪。

評論：震驚世界的黑客行動。

10、RockYou

RockYou公司在2009年遭受了泄露事故，3200萬純文本密碼被泄露，這也是第一批公開的大型密碼泄露事故之一。RockYou不得不向FTC支付25萬美元的民事罰款，因為其未能履行隱私政策—沒有提供足夠安全的密碼保護。