金融行业最大的 10 起数据泄露事件 [2026]

1. 简介：为什么数据泄露对金融行业是严重威胁？#

金融行业日益成为网络攻击的主要目标，以直接的经济回报和高价值的个人数据吸引着攻击者。2023 年，金融机构占全球所有泄露事件的 27%，甚至超过了医疗保健行业，成为遭受泄露最多的行业。

这些事件造成的经济损失是巨大的：到 2024 年，金融行业每次数据泄露的平均成本达到了 608 万美元（比全球跨行业平均水平高出 22%）。恶意攻击，尤其是网络钓鱼和勒索软件，仍然是网络犯罪分子使用的主要方法，他们利用第三方集成、传统系统和人为错误中的漏洞。

在本文中，我们将探讨金融行业中发生过的十起全球最大的数据泄露事件，重点介绍这些泄露是如何发生的、它们存在的关键漏洞，以及组织必须采取的基本预防策略。

2. 为什么数据泄露在金融行业如此普遍？#

网络攻击经常将银行、保险公司和支付服务作为目标，因为这些机构处于数字经济的核心。一次成功的攻击可以在一次打击中提供资金和机密的客户数据，这为犯罪分子尝试攻击提供了令人信服的动机。快速变化的在线服务、复杂的技术以及公众对全天候可用性的高期望，使得金融行业成为一个难以防御的领域。以下是攻击者频繁将金融行业作为目标的一些原因：

2.1 直接的现金激励#

攻击者将焦点放在银行和支付公司上，因为他们可以非常迅速地将泄露转化为现金。首先，如果他们获得了访问权限，他们可以直接从客户账户中提取资金，或者组织自动取款机（ATM）“提现”活动，在数小时内提供硬通货（通常只是从大量账户中提取少量资金以免引起怀疑）。其次，银行持有的卡号和个人详细信息在地下市场能卖出高价，因此每条被盗记录都能带来有保证的收入。第三，通过用勒索软件加密关键系统，犯罪分子可以向急于恢复服务并避免罚款的银行施压，迫使他们支付数百万美元的赎金。

2.2 高价值数据#

金融机构之所以成为网络攻击的主要目标，主要是因为它们持有的客户数据量巨大且极其敏感。在当今时代，几乎每个人都有银行账户用于存款、取款和转移资金，因此银行和相关组织维护着广泛的记录，包括姓名、地址、出生日期、社会安全号码、详细的财务历史、就业细节，甚至是大多数公民的税务信息。这些丰富的数据使攻击者能够通过立即控制客户账户、进行欺诈交易或转移资金，迅速将数据泄露货币化。此外，被盗信息在暗网市场上可以卖出高价，在那里，全面的身份信息包（被称为“fullz”）或单独的银行账户凭证能够以可观的金额出售。加剧这种风险的是，像了解你的客户（KYC）和反洗钱（AML）法律这样严格的监管指南要求金融机构安全地存储客户数据多年，这极大地延长了漏洞窗口期。总而言之，这些因素创造了一个环境，在这个环境中，每一次成功的泄露不仅能带来立竿见影的利润，还能为复杂的身份和金融欺诈提供长期机会，使得金融机构特别有吸引力，并反复成为网络犯罪分子的目标。

2.3 通过传统 IT 系统轻松访问#

大多数核心银行业务软件运行在供应商多年前就不再支持的平台上，因此在较新平台发布补丁很久之后，已知的安全漏洞仍然敞开着。几十年来拼凑的补丁，如链接到门户网站的大型机、自定义中间件和临时脚本，可能会形成一个错综复杂的网络，打破其中一个薄弱环节可能会危及从客户余额到支付渠道的所有内容。由于这些传统系统通常无法支持较新的安全功能，例如多因素登录或持续监控代理，安全团队被迫使用安全变通方案，而攻击者却能学会规避这些方案。严格的变更控制策略增加了风险：补丁在实施之前可能需要数周甚至数月的时间进行测试，这给了攻击者利用它们的绝佳机会。

2.4 人为错误和内部威胁#

尽管有先进的安全工具，人类行为仍然是金融行业的一个关键漏洞。金融机构是拥有数千名员工、承包商和合作伙伴的大型组织，其中任何一个人都可能无意或恶意地为攻击者打开大门。网络钓鱼、凭据重用和社交工程仍然是主要的泄露途径。此外，拥有特权访问权限的内部人员（例如 IT 管理员或心怀不满的员工）可以绕过许多标准的安全控制，这使得内部威胁特别难以检测和预防。

3. 金融行业最大的数据泄露事件#

在下文中，您将看到金融行业全球最大的数据泄露事件列表。这些数据泄露事件按受影响账户数量降序排列。

3.1 第一美国金融公司（First American Financial Corporation）数据泄露事件 (2019)#

2019 年 5 月，美国最大的产权保险和结算服务提供商之一第一美国金融公司（First American Financial Corporation），通过其网站漏洞暴露了大约 8.85 亿条敏感记录。由于访问控制不当，任何拥有有效文档 URL 链接的人只需修改 URL 中的数字，无需身份验证即可查看其他无关文档。

泄露的文件包括关键的财务和个人信息，例如社会安全号码、银行账户详细信息、抵押贷款记录和税务文件，使客户面临巨大的欺诈和身份盗窃风险。鉴于房地产交易记录的高度敏感性，此次泄露尤其令人震惊，它凸显了整个金融行业在 Web 应用程序安全实践方面的重大漏洞。

预防方法：

• 对文档存储库实施强大的访问控制和身份验证检查

• 在公开发布应用程序之前进行彻底的安全测试（例如渗透测试）

• 监控和审计应用程序访问模式，以及早发现异常行为

3.2 Equifax 数据泄露事件 (2017)#

于 2017 年 9 月公开披露的 Equifax 数据泄露事件仍然是金融史上影响最深远的网络安全事件之一。攻击者利用了开源 Web 应用程序框架 Apache Struts 中的一个已知漏洞 (CVE-2017-5638)。尽管安全补丁在 2017 年 3 月已发布，Equifax 仍未更新其美国在线争议门户网站，导致系统在两个多月的时间里一直存在漏洞。

攻击者进行了广泛的侦察，向 48 个不相关的数据库发送了超过 9,000 次查询，并成功提取了 265 次敏感个人信息。雪上加霜的是，一张过期的安全证书禁用了关键的监控工具，大大延迟了对泄露事件的发现。

后果是严重的：Equifax 面临诉讼、监管审查，并最终支付了 13.8 亿美元的和解金，用于消费者赔偿和网络安全强化。此次泄露促成了美国立法的改变，允许消费者免费冻结信用报告。2020 年 2 月，美国起诉了四名执行此次数据泄露的中国军事人员，不过中国否认参与其中。

预防方法：

• 及时应用软件和框架的安全补丁及更新。

• 保持主动监控工具运行，并定期审计安全证书。

• 对敏感数据实施全面的加密和强大的访问控制。

• 进行持续的安全评估并采取主动的威胁检测措施。

3.3 Heartland Payment Systems 数据泄露事件 (2008–2009)#

2009 年 1 月发现的 Heartland Payment Systems 泄露事件是有史以来最大的银行卡数据泄露事件之一。攻击者最初在 2007 年底通过 Heartland 公司网站上的 SQL 注入漏洞获得了访问权限。随后，他们在公司的支付处理网络上部署了恶意软件，在交易发生时捕获了敏感的银行卡信息，包括卡号、姓名、到期日和安全码。

该恶意软件在数月内未被发现，损害了大约 1.3 亿张卡片。Visa 和 MasterCard 追踪到的可疑交易导致发现了这一漏洞，Heartland 公开披露了这一事件，并广泛配合执法部门。此次数据泄露给 Heartland 造成了 1.7 亿至 2 亿美元的损失，包括罚款、和解以及商业信誉的丧失。此次攻击背后的网络犯罪分子 Albert Gonzalez 被判处 20 年监禁，这是当时网络犯罪的最长刑期。

预防方法：

• 定期进行漏洞扫描和渗透测试，以发现和修复 SQL 注入等关键漏洞。

• 对敏感交易数据实施端到端加密，确保数据在静止和传输过程中均受到保护。

• 建立主动、持续的监控和高级威胁检测系统，以迅速识别恶意软件或未经授权的网络访问。

• 确保合规标准能够补充而不是取代全面的网络安全实践和协议。

3.4 Capital One 数据泄露事件 (2019)#

Capital One 泄露事件发生在 2019 年 3 月，四个月后被发现，起因是该银行在 Amazon Web Services (AWS) 云环境中的 Web 应用程序防火墙配置错误。前 AWS 员工 Paige Adele Thompson 利用她的内部知识访问并下载了近 30 GB 的敏感客户信息。

暴露的数据包括个人标识符、详细的信用历史记录、社会安全号码和银行账户信息，影响了美国和加拿大超过 1.06 亿人。Capital One 面临严厉的监管和法律后果，最终为罚款、和解和补救工作支付了超过 3 亿美元，其中包括因其云基础架构风险管理不当而被罚款 8,000 万美元。

此次泄露严重损害了 Capital One 的声誉，促使其在网络安全改进方面进行了大量投资，特别是增强了云配置和强大的访问控制。

预防方法：

• 定期审计云环境和配置，以防出现可能导致未授权访问的配置错误。

• 实施严格的访问控制措施，特别监控具备内部知识或管理权限的员工活动。

• 保持持续的安全监控，以迅速检测漏洞和泄露。

• 为所有 IT 人员提供全面的网络安全培训，强调云安全实践。

3.5 Experian 数据泄露事件 (2012–2020)#

Experian 是一家全球信用报告巨头，经历过多次重大的数据泄露事件，影响了全球数千万人。

• 2012–2013 Court Ventures 数据泄露： 在 Experian 收购 Court Ventures 之后，一名伪装成私人调查员的黑客在网上非法获取并出售了敏感个人数据，影响了数百万人。

• 2015 T-Mobile 数据泄露： 黑客访问了一台存有 T-Mobile 客户信用申请的 Experian 服务器，泄露了约 1500 万人的个人详细信息。尽管进行了加密，但据报道攻击者规避了保护措施，获取了敏感的身份信息。

• 2020 南非数据泄露： 一名欺诈者诱骗 Experian 泄露了约 2400 万公民和近 80 万家企业的数据，引发了对身份盗窃的严重担忧。

这些事件严重破坏了 Experian 的信誉，招致了广泛的监管审查，并暴露了消费者面临身份盗窃和金融欺诈的风险。作为回应，Experian 加强了其安全措施，与当局合作，并向受影响的个人提供了信用监控服务。

预防方法：

• 增强身份验证协议和内部审查机制，防止社交工程及欺诈性访问。

• 应用加密标准，结合定期安全审计，确保数据被访问后仍受保护。

• 在合并与收购期间执行深入的网络安全尽职调查，在收购后维持持续监控。

• 定期更新和改善员工的网络安全意识培训项目。

3.6 摩根大通（JPMorgan Chase）数据泄露事件 (2014)#

2014 年，摩根大通披露了袭击美国金融行业的最严重的违规事件之一，影响了约 7600 万户家庭和 700 万家小企业。攻击者通过受损的员工账户获得了访问权限，利用了该银行网络基础设施中的弱点。尽管账号、密码或社会安全号码等财务信息没有被盗，但攻击者的确获取了姓名、地址、电子邮件地址和电话号码。

由于该银行在美国经济中扮演着关键角色，此次数据泄露引起了极大关注，并给整个金融服务行业的网络安全准备工作敲响了警钟。它导致了更严格的监管审查，并促使许多金融机构重新评估其网络安全框架，特别是在保护员工账户和网络分段方面。

预防方法：

• 对所有内部和外部账户强制执行多因素身份验证 (MFA)

• 实施强大的网络分段，限制系统受损时的横向移动

• 定期测试并更新员工访问管理的安全协议

3.7 Block, Inc. (Cash App Investing) 数据泄露事件 (2021)#

2021 年 12 月，Block, Inc.（前身为 Square）经历了数据泄露，影响了其 Cash App Investing 产品的约 820 万名客户。此次违规事件涉及一名前员工在被解雇后保留了未经授权的访问权限，这凸显了 Block 在离职和访问管理流程中的重大弱点。

该前员工下载了包含敏感经纪相关数据的报告，例如姓名、帐号，以及部分客户详细的投资组合和交易活动。社会安全号码和支付信息等敏感财务标识符并未受到影响。

Block 在四个月后（即 2022 年 4 月）公开披露了这一漏洞，引发了对其延迟通知和保障措施不力的批评和集体诉讼。此事件促使 Block 加强其内部管理控制，改善数据丢失预防措施，并与执法部门和监管机构密切合作。

预防方法：

• 离职员工应立即撤销其系统访问权限及凭据，以降低内部威胁风险。

• 执行基于最小权限原则的强效访问控制框架。

• 定期审查并实施严格的数据丢失防护 (DLP) 策略，快速发现未授权的数据访问或外泄行为。

• 保证漏洞通知流程的即时公开和透明度，以维持客户信任并遵守合规要求。

3.8 Desjardins Group 数据泄露事件 (2016–2019)#

Desjardins Group 是加拿大最大的金融合作社之一，它遭遇了由内部人士引发的大规模数据泄露事件，暴露了近 970 万人的个人和财务细节。内部调查发现一名前员工在至少 26 个月内一直在收集和泄露数据后，该违规行为才被发现。这些信息被转移到了该组织外部，直到联邦隐私专员介入，Desjardins 的监控系统才检测到。

此次数据泄露源于对合法内部访问权限的滥用，突显了 Desjardins 内部控制中的系统性弱点，特别是在用户活动监控、访问权限和数据泄露警报方面。它仍然是加拿大企业历史上内部威胁的最重要例子之一，尤其是考虑到泄露的持续时间和受损数据的敏感性。

预防方法：

• 执行严格的访问控制和最小权限策略

• 定期监控和审计员工数据访问情况

• 利用行为分析来侦测异常活动

3.9 西太平洋银行（Westpac Banking Corporation）数据泄露事件 (2019–2024)#

Westpac，澳大利亚的一家主要银行，在 2019 年至 2024 年期间面临多起数据相关事件，尤其是涉及其 PayID 平台的事件。

• 2019 年初，与 Westpac 合作的房地产估价公司 LandMark White 发生第三方数据泄露事件，暴露了房地产估价数据和客户联系信息。Westpac 迅速暂停了该供应商的合作，并通知了受影响的个人。

• 2019 年 5 月，攻击者利用枚举技术通过 Westpac 的 PayID 服务提取了约 98,000 名客户的姓名和相关手机号码。尽管没有银行业务凭据或帐号受损，但暴露的数据引发了大规模欺诈和身份盗窃的风险。

• 2024 年 10 月，Westpac 经历了持续数天的严重在线和移动银行业务中断，最初引发了对潜在网络攻击的担忧。虽然中断似乎与拒绝服务（DoS）攻击一致，但 Westpac 证实没有任何客户数据受损。

这些事件共同强调了强大数据安全的重要性、第三方风险管理和主动事件响应策略。

预防方法：

• 借助加强的速率限制、异常检测以及多层身份验证措施，强化针对枚举攻击的防御。

• 实施全方位的第三方风险管理协议，包含对供应商的持续监控及定期网络安全评估。

• 构建具有韧性的网络安全框架，以便迅速应对并缓解拒绝服务攻击，确保业务连贯性。

• 增加与客户在网络安全风险及事件响应方面的透明度和沟通。

3.10 Flagstar 银行数据泄露事件 (2021–2023)#

美国知名金融机构 Flagstar 银行在 2021 年至 2023 年间遭遇了多起重大违规事件，数百万客户受到影响：

• 2021 年 12 月数据泄露： 攻击者直接进入 Flagstar 的网络，泄露了约 150 万名客户的个人数据，包括姓名和社会安全号码。监管机构因 Flagstar 披露不充分和关于此次数据泄露的沟通存在误导，向其开出了 350 万美元的罚单。

• 2023 年 5 月 MOVEit Transfer 数据泄露： 为 Flagstar 提供服务的第三方供应商 Fiserv 通过 MOVEit Transfer 漏洞经历了数据泄露，影响了大约 837,390 名 Flagstar 客户。此次泄露暴露了广泛的个人详细信息，包括地址、电话号码，以及潜在的社会安全号码和税务记录。

• 2021 年初 Accellion 数据泄露： Flagstar 是受 Accellion 遗留文件传输设备（FTA）漏洞影响的几家机构之一，导致近 150 万客户的社会安全号码和税务文件等敏感数据泄露。

这些事件导致了监管处罚、大量的补救工作，以及 Flagstar 对显著加强网络安全措施的承诺。

预防方法：

• 强化内部网络安全实践，重点落实快速检测、修复及明确的披露流程。

• 定期执行第三方网络安全评估，并强制实施严格的供应商管理协议。

• 及时淘汰传统系统，一旦关键安全补丁发布便立即部署。

• 为员工提供持续的网络安全培训，并推行全面的数据防泄漏 (DLP) 和威胁监控方案。

4. 金融行业数据泄露的常见模式#

分析这些重大的金融行业数据泄露事件，揭示了几个反复出现的漏洞和网络安全弱点。金融机构必须主动认识并解决这些常见模式，以更好地保护敏感信息和客户信任：

4.1 利用已知漏洞和未修补的系统#

许多重大的违规事件，如 Equifax 和 Flagstar Bank，都是由于未能及时应用现有的软件补丁造成的。Equifax 几个月来一直未修复记录在案的 Apache Struts 漏洞，导致近 1.48 亿人受到灾难性的违规影响。同样，Flagstar Bank 通过 MOVEit Transfer 和 Accellion FTA 漏洞遭受的违规事件也说明了延迟修补的高昂代价。金融机构必须采用严格的补丁管理程序，包括持续的漏洞扫描、快速软件更新，以及彻底的部署前测试，以便在攻击者利用之前消除安全隐患。

4.2 访问控制弱点和内部威胁管理#

不充分的内部访问控制一再让内部威胁造成重大危害，Desjardins Group 和 Block (Cash App Investing) 的违规事件就证明了这一点。在 Desjardins，监管不力导致一名员工在两年内系统地窃取客户数据。同样，Block 未能及时撤销一名前员工的访问权限，导致未经授权的数据提取，影响了数百万用户。这些违规事件强调了必须强制执行严格的访问管理、在员工离职时及时撤销凭据、密切监控内部数据访问，并定期培训员工识别和缓解内部风险。

4.3 监控不足和延迟检测#

在 Heartland Payment Systems、Desjardins Group 和 Equifax 的违规事件中，延迟检测大大加剧了损失。Heartland 的攻击者连续数月未被发现，不间断地截获了卡片数据。Desjardins 经历了两年的数据窃取才被检测到。Equifax 的事件暴露了一个疏忽，过期的证书导致监控系统瘫痪了 19 个月。为了缓解此类风险，金融机构必须实施强大的实时监控、不断更新的安全证书以及高级异常检测工具，以迅速识别和应对威胁。

4.4 缓慢或无效的事件响应和披露#

对于涉及 Block、Equifax 和 Flagstar Bank 的违规事件，糟糕的事件响应和延迟披露严重放大了后果。Block 因四个月的披露延迟面临批评，而 Equifax 缓慢的响应引发了监管审查和巨额和解金。Flagstar Bank 披露不充分导致了实质性的监管处罚。有效的事件管理需要明确定义和演练过的响应协议、与监管机构和客户透明及时的沟通，以及果断的内部协调，以限制声誉损害和监管影响。

5. 结论#

对全球金融行业最大的数据泄露事件的分析揭示了清晰的模式：大多数泄露事件并非由复杂的黑客技术驱动，而是由基本的网络安全疏忽引起的，例如延迟修补、内部控制不足、监控不力以及事件响应无效。这些反复出现的漏洞突显了一个关键的教训：金融机构必须超越基本的合规性，主动将网络安全融入其运营文化中。优先考虑补丁管理、加强内部威胁预防、实施实时监控并准备清晰的事件响应计划不仅是最佳实践。它们是维持客户信任和确保金融组织长期弹性的重要基石。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

按暴露记录数量计算，金融行业最大的数据泄露事件是哪一起？#

2019 年 5 月的第一美国金融公司（First American Financial Corporation）数据泄露事件暴露了大约 8.85 亿条敏感记录，包括社会安全号码、银行账户详细信息和抵押贷款文件。泄露的原因是任何人都可以通过修改 URL 中的数字来访问机密文件，而无需进行身份验证。

Equifax 数据泄露事件是如何发生的，给公司造成了什么损失？#

Equifax 在 Apache Struts 漏洞 (CVE-2017-5638) 补丁于 2017 年 3 月发布后的两个多月里未能应用该补丁。攻击者向 48 个数据库发送了超过 9,000 次查询，提取数据达 265 次。Equifax 最终支付了 13.8 亿美元的和解金，用于消费者赔偿和网络安全强化。

内部威胁是如何导致金融机构数据泄露的？#

内部威胁通过利用合法的内部访问权限引发了两起重大的金融泄露事件。在 Desjardins，一名员工在超过 26 个月的时间里在未被发现的情况下窃取数据，导致 970 万人受影响。在 Block（Cash App Investing），一名前员工在被解雇后保留了系统访问权限，并下载了影响 820 万名客户的经纪数据。

金融行业数据泄露背后最常见的四种模式是什么？#

四种反复出现的模式导致了大多数金融行业数据泄露：未能及时修补已知漏洞、导致内部威胁的访问控制薄弱、导致检测延迟的实时监控不足以及缓慢或不透明的事件响应。Equifax 的监控工具因证书过期而瘫痪了 19 个月，严重延迟了数据泄露的发现。