27+ größte Datenlecks in der Geschichte [Aktualisiert im Jahr 2021]

In den USA kommt es alle 39 Sekunden zu einem Hackerangriff.

Diese Häufigkeit kann zunächst besorgniserregend sein.

Doch in Wirklichkeit haben die meisten Angriffe wenig Auswirkungen auf die Gesellschaft, auch wenn hochkarätige Angriffe passieren. Sie sind nicht Voldemort-gefährlich, aber einige von ihnen kommen ziemlich nahe.

Es gibt fünf Hauptziele, die die größten Datenschutzverletzungen in der modernen Geschichte teilen. Dies sind Ihr vollständiger Name, Ihre E-Mail-Adresse, Ihre physische Adresse, Ihre IP-Adresse und Ihre Kreditkarteninformationen.

Hier ist ein Vorgeschmack auf das, worüber wir sprechen:

• Der Niedergang von Yahoo wurde sicherlich durch die bisher größte gemeldete Datenpanne beschleunigt: 3 Milliarden Konten wurden aufgedeckt.
• Hinterhältigen Hackern ist es bis 2020 gelungen, die persönlichen Daten von über 505 Millionen Gästen von Marriott International zu sammeln .
• 412 Millionen Mitglieder des Erwachsenennetzwerks FriendFinder wurden ebenfalls von eifrigen Datendiebstählen durchdrungen.
• Ein einzelner junger Hacker brauchte mehrere Jahre, um auf über 200 Millionen Benutzerkonten mit sensiblen Informationen zuzugreifen ; sie gehörten ausschließlich Court Ventures.
• LinkedIn wurde als LeakedIn bekannt, nachdem 117 Millionen Konten gestohlen wurden.
• Auch Fitnessbegeisterte blieben nicht verschont – fast 113 Millionen FitMetrix-Nutzer teilten ihre persönlichen Daten widerwillig mit unbekannten Hackern.
• Weiter zurück in die Vergangenheit wurden 2008 134 Millionen Kreditkartennummern von Heartland Payment Systems entfernt.
• Während des Themas berichtete Equifax die Zahlungsdaten von über 145,5 Millionen Benutzern, die erst 2017 offengelegt wurden .

Ich werde den Großen Papyrusangriff früher nicht wiederholen, obwohl er selbst ein massiver Verstoß war. Ich werde stattdessen einen Blick auf die Fallstricke der modernen Sicherheit werfen und wie sie sich auf uns ausgewirkt haben.

Lassen Sie uns jedoch zunächst die jüngsten Sicherheitsverletzungen im Jahr 2020 überprüfen .

Datenschutzverletzungen im Jahr 2020

2020 begann mit zahlreichen Cyberangriffen. Obwohl es sich nicht um die größten Datenschutzverletzungen aller Zeiten handelt , wurden bei den Angriffen Millionen von Benutzerdaten preisgegeben, darunter persönliche Informationen, E-Mails, Passwörter und Kreditkartennummern.

Das zeigt, dass selbst die modernen Top-Sicherheitssysteme nicht so effektiv sind, wie man es sich erhofft.

Also, ohne weitere Umschweife, stehen die neuesten Informationsverstöße im Jahr 2020 an.

Elasticsearch-Datenschutzverletzung 2020

(Quelle: BankInfoSecurity)

Aufgedeckte Aufzeichnungen: 250 Millionen

Eines der jüngsten Informationslecks betrifft Microsoft. Der Technologieriese hat „aus Versehen“ über drei Wochen lang 250 Millionen Kundensupport-Datensätze offengelegt. Was geschah, war, dass Microsoft diese Daten in fünf falsch konfigurierten Elasticsearch-Datenbanken speicherte.

Obwohl die Untersuchung des Unternehmens keinen Datendiebstahl ergab, sanken ihre Aktien um fast 10 US-Dollar pro Aktie .

Clearview AI-Datenschutzverletzung 2020

(Quelle: The Daily Beast)

Aufgedeckte Datensätze: Unbekannt (die gesamte Kundenliste des Unternehmens)

Im Februar berichtete das umstrittene Unternehmen, dass sich ein Hacker „unberechtigten Zugang zu seiner Kundenliste verschafft“ habe. Viele ihrer Kunden sind Strafverfolgungsbehörden, die Fotos von Verdächtigen machen und sie mit der Datenbank des Unternehmens mit über 3 Milliarden Bildern vergleichen können.

Die Reaktion des Unternehmens auf die Cyber-Attacke war einfach: „Datenpannen gehören leider zum Leben des 21. Jahrhunderts.“ Die Firma behauptet jedoch, die Schwachstelle behoben zu haben und ihre Server sind sicher.

Nintendo-Datenschutzverletzung 2020

(Quelle: Der Rand)

Aufgedeckte Aufzeichnungen: 160.000

Im April gab Nintendo bekannt, dass etwa 160.000 Konten, E-Mail- und Passwortlisten preisgegeben wurden. Die Liste der durchgesickerten Daten enthält auch Namen, Geburtsdaten, Geschlecht und Land.

Das Unternehmen forderte seine Benutzer auf, die Zwei-Faktor-Authentifizierung zu verwenden, um die Sicherheit ihrer Konten zu verbessern.

Auf der positiven Seite wurden keine Kreditkarteninformationen durchgesickert, sodass die Münzen der Benutzer im Block sicher sind.

Kapiert?

Wie auch immer, auf zum nächsten.

Tetrad-Datenschutzverletzung 2020

(Quelle: UpGuard)

Aufgedeckte Aufzeichnungen: 120 Millionen

Im Februar wurde Tetrad Opfer einer massiven Datenschutzverletzung , bei der Informationen über Millionen amerikanischer Haushalte und Unternehmen preisgegeben wurden.

Das Unternehmen hat einen Amazon S3-Bucket falsch konfiguriert, sodass die Daten für jeden mit einem Webbrowser zugänglich sind. Die Informationen befanden sich in drei Dateien mit insgesamt 747 GB. Glücklicherweise hat das Unternehmen eine Woche nach der Entdeckung des Lecks die Schwachstelle behoben.

Virgin Media-Datenschutzverletzung 2020

(Quelle: BBC)

Aufgedeckte Aufzeichnungen: 900.000

Unternehmen erleichtern sicherlich die Arbeit von Cyberkriminellen.

Im Mai gab Virgin Media zu, dass es personenbezogene Daten von 900.000 Benutzern gab, die 10 Monate lang zugänglich und ungesichert waren.

Der Grund?

Natürlich eine falsch konfigurierte Datenbank!

Jemand sollte wirklich versuchen, diesen Leuten beizubringen, wie man eine Datenbank richtig konfiguriert.

Es wurde mindestens einmal von einem nicht autorisierten Benutzer darauf zugegriffen. Auf der positiven Seite enthielten die durchgesickerten Informationen keine Finanzinformationen.

Wawa-Datenschutzverletzung 2020

(Quelle: ZDNet)

Aufgedeckte Aufzeichnungen: 30 Millionen

Unsere Liste der Datenschutzverletzungen für 2020 wäre ohne Wawa nicht vollständig. Im Januar wurden mehr als 30 Millionen Zahlungskartendaten auf Joker's Stash, einem der größten Online-Betrugsbasare, zum Verkauf angeboten.

Das Unternehmen gab den Verstoß im Dezember 2019 bekannt, die Daten tauchten jedoch wenige Tage nach Silvester auf dem Schwarzmarkt auf. Diese Zahlungskartenverletzung gehört neben Home Depot (50 Millionen) und Target (40 Millionen) zu den größten.

GoDaddy-Datenschutzverletzung 2020

(Quelle: Sicherheitsmagazin)

Aufgedeckte Aufzeichnungen: 28.000

Am 23. April stellte GoDaddy fest, dass SSH-Benutzernamen und -Passwörter über eine geänderte SSH-Datei kompromittiert wurden. Es ist unklar, ob diese jüngste Datenpanne auf zuvor gestohlene Login-Daten oder Brute-Force-Angriffe zurückzuführen war , aber der Hosting-Provider erklärte, dass "der Bedrohungsakteur keinen Zugriff auf die wichtigsten GoDaddy-Konten der Kunden hatte".

Obwohl diese 28.000 offengelegten Datensätze nicht als schwerwiegender Datenschutzverstoß bezeichnet werden können , wirft dieses Leck angesichts der Tatsache, dass GoDaddy 77 Millionen Domains verwaltet, einige Sicherheitsfragen auf.

Jetzt.

Die Zahlen zeigen deutlich, wie verwundbar Nutzerdaten sein können. Sie könnten Sie dazu drängen, ein wenig besonders vorsichtig zu sein, wenn Sie online sind.

Kommen wir jedoch zu den größten Datenschutzverletzungen der Welt.

Yahoo-Datenschutzverletzung

(Quelle: CSO)

Jahr – 2013-2014

Aufgedeckte Aufzeichnungen: 3 Milliarden

Yahoo ist weit von seinem früheren Glanz entfernt. Der massive Untergang des Yahoo-Imperiums begann im Jahr 2013. Eine noch unbekannte Partei brach in die Yahoo-Datenbank ein und verschaffte sich Zugang zu 3 Milliarden Konten . Dies ist der größte Hack, den Yahoo je erlebt hat, und die größte Datenpanne in der Geschichte . Und sie haben es erst 2016 entdeckt.

Der Angriff ereignete sich mitten in den Verhandlungen mit Verizon, das Yahoo später für 4,48 Milliarden US-Dollar erwarb. Der revidierte Preis war 350 Millionen US-Dollar weniger als zuvor erwartet, aber das war nur die Spitze des Eisbergs für Yahoo.

Zu den gestohlenen Informationen gehörten vollständige Namen, Geburtsdaten, E-Mail-Adressen und Passwörter sowie Korrespondenz zu Sicherheitsfragen (Fragen/Antworten).

Das Unternehmen behauptet, der Angriff sei von staatlich finanzierten Hackern durchgeführt worden. Ein Vice - Artikel zeigt weiter , dass das Justizministerium Mitglieder des russischen Föderalen Sicherheitsdienstes als Initiatoren der massiven Yahoo - Datenschutzverletzung bezeichnet .

Die persönlichen Daten wurden angeblich verwendet, um US-amerikanische und russische Beamte, Journalisten und einige Privatpersonen zu kompromittieren (möglicherweise zu erpressen). Einige der Kontodaten wurden auch auf „TheRealDeal“, einem bekannten virtuellen Darknet-Marktplatz, zum Verkauf angeboten.

Wissen ist Macht, oder?

Obwohl es vor Jahren passiert ist, steht dieser Verstoß immer noch an der Spitze der Bestenliste der berühmtesten Datenschutzverletzungen .

Mediendatenverletzung von River City

(Quelle: TheRegister)

Jahr: 2017

Aufgedeckte Aufzeichnungen: 1,37 Milliarden

Eine der besorgniserregenderen Datenschutzverletzungen ereignete sich im Frühjahr 2017, als River City Media auf eine massive Datenexponierung stieß.

Ich habe noch nie erlebt, dass eine Person vor Freude gesprungen ist, wenn sie eine Spam-E-Mail sieht. Zu meiner echten Überraschung stellt sich heraus, dass viele Leute diese öffnen und so Spam-orientierten Unternehmen einige Datenmetriken zur Verfügung stellen.

River City Media hat es irgendwie geschafft, unbefugten Zugriff auf eine große Datenbank mit E-Mails und Postanschriften zu ermöglichen. Dies führte dazu, dass 1,37 Milliarden Abonnentendatensätze plötzlich in freier Wildbahn veröffentlicht wurden.

Allerdings… das war nicht gerade ein Verstoß.

Die Marketingfirma mit Sitz in Jackson, Wyoming, gewährte kostenlosen Zugang zu einem 200-GB-Repository. Laut Chris Vickery, der das Problem zuerst entdeckte, warteten die Daten leise in einem System ohne Passwortschutz.

Es stellte sich heraus, dass einige der größten Datenschutzverletzungen aller Zeiten nicht immer von Hackern verursacht werden, oder?

OK, mal sehen, was die schlampigen Kerle durchgesickert haben – echte, vollständige Namen und IP/E-Mail/physische Adressen. Zehn Millionen Menschen wurden ihre Informationen an jeden weitergegeben, der bereit war, darauf zuzugreifen.

Darüber hinaus wirft der Verstoß Licht auf die Entwicklungspläne von RCM, zusammen mit einer Liste der nicht genannten verbundenen Unternehmen des Unternehmens.

River City Media reagierte nicht sofort auf das Leck, da sie ihre Absichten geheim hielten. Aber hochkarätige Datenschutzverletzungen schätzen normalerweise keine Stille.

Die Marke versuchte ihre Untätigkeit zu erklären, indem sie später erklärte, dass alle Daten gemäß den Anforderungen des FTC und des Can-Spam Act von 2003 legal erlangt wurden. Dies hat sie jedoch nicht davor bewahrt, eine Spamhaus-Blacklist-Markierung zu erhalten.

Marriott International Datenschutzverletzung [Aktualisiert im Jahr 2020]

(Quelle: Vox)

Jahr: 2014-2018, 2020

Aufgedeckte Aufzeichnungen: 505+ Millionen

Wir wechseln für ein bisschen in die Hotellerie. Marriott International kündigte am 30. November , dass ihre Datensätze verletzt wurden. Die Hacker hatten von 2014 bis Ende 2018 Zugriff auf ihre Aufzeichnungen. Und noch einmal im Januar 2020.

Wenn wir über Datenschutzverletzungen im Jahr 2020 sprechen, können wir Marriott International nicht verpassen. Eine der jüngsten Sicherheitsverletzungen ermöglichte den Zugriff auf die persönlichen Daten von mehr als 5,2 Millionen Gästen . Die Daten umfassen Kontaktdaten, persönliche Informationen, Präferenzen und mehr.

In Bezug auf Big-Data-Verletzungen sind 5,2 Millionen Datensätze jedoch nicht so beeindruckend. Schauen wir uns also an, was vor ein paar Jahren passiert ist – von 2014 bis 2018.

In Bezug auf Cyber-Sicherheitsverletzungen war dies eine der am längsten bestehenden. Volltreffer.

Schätzungen zufolge handelte es sich bei der Beute des Einbruchs um die persönlichen Daten von 500 Millionen Menschen .

Die Datenbank enthielt Namen (vollständige und teilweise Kombinationen), Post-/E-Mail-Adressen, Telefonnummern, Kontoinformationen, Geburtsdatum, Geschlecht, Reservierungsdaten, Ankunfts-/Abreisezeiten, Zahlungskartennummern/Ablaufdaten und Reisepassinformationen.

Glücklicherweise waren alle Kreditkarteninformationen (8,6 Millionen Kredit-/Debitkartennummern) unter AES-128-Verschlüsselung . OK, zumindest sind die Zahlungsinformationen sicher… wenn auch sonst nichts.

Dies ist eine der größten Datenschutzverletzungen und ein großer Teil der Daten war für jeden lesbar .

So waren beispielsweise 5,25 Millionen Kundenpassnummern unverschlüsselt. Dies war knapp über 20 % aller aktenkundigen Zahlen, da weitere 20,3 Millionen davon tatsächlich verschlüsselt waren. Marriott International nahm eine weitere Schadensbewertung vor und schätzte die Zahl der betroffenen Kunden auf 383 Millionen.

Okay, wer kann so viele Gästedatensätze nutzen? Eine naive Frage, ja, aber Experten glauben, dass chinesische Geheimdienstteams hinter dem Angriff stecken.

Tatsache ist, dass Marriott International immer noch nicht bekannt gegeben hat, wer seiner Meinung nach hinter einer der berühmtesten Datenschutzverletzungen aller Zeiten steckt .

Sie reagierten auf die Nachricht über den Verstoß, indem sie sagten, ihre Hauptziele seien „herauszufinden, was passiert ist“ und „wie sie ihren Gästen am besten helfen können“.

Datenschutzverletzung im FriendFinder-Netzwerk

(Quelle: ComputerWelt)

Jahr: 2016

Aufgedeckte Aufzeichnungen : 412 Millionen

Manche Leute würden es vorziehen, den Zugang zu ihrem Bankkonto zu verschenken, anstatt ihre sexuelle Geschichte öffentlich zu machen. Kein Wunder also, dass dieser als „größter Verstoß des Jahres 2016“ bezeichnet wurde. Die exponierten Datensätze umfassten über 412 Millionen Informationen, darunter Benutzernamen und Passwörter sowie E-Mail-Adressen.

Das Hacken der Benutzerbasis der „weltgrößten Sex- und Swinger-Community“ könnte angesichts der sensiblen Natur der Informationen leicht als eine der weltweit größten Datenschutzverletzungen eingestuft werden . Das FriendFinder-Netzwerk erlitt eine Sicherheitslücke mit Kundendaten, die über mehr als zwei Jahrzehnte gesammelt wurden. Die Daten wurden auf sechs verschiedene Datenbanken verteilt – FriendFinder, Adultfinder, Cams, Penthouse, iCams und Stripshow.

Die Einschätzung von LeakedSource ist, dass alle sensiblen Informationen im Klartext oder SHA1-Hashing gespeichert wurden . Das ist eine lausige Art, Kundendaten zu speichern. Auch hier weist Leaked Source auf den Oktober als wahrscheinlichsten Zeitraum des Hacks hin.

Ja, diesmal sind es Hacker.

FriendFinder behauptet, dass ihm die Sicherheit seiner Kunden am Herzen liegt. Nun, sie hätten die Informationen über die Sicherheitsverletzungen früher teilen können . Es ist nur übliche Höflichkeit, die Dinge mit ihren Kunden in Ordnung zu bringen und sie zu warnen. „Hey Leute, wir wurden irgendwie gehackt… nur damit ihr es wisst.“

Darüber hinaus gelang es LeakedSource sogar, 99% der verschlüsselten Passwörter zu knacken. Natürlich war das am häufigsten verwendete Passwort 123456. Ich sage nicht, dass „vanillaicecream1902“ leichter zu merken ist, aber es kann Ihr Konto ein bisschen sicherer machen. (Und es ist laut Experten immer noch viel sicherer.). Das heißt, für diejenigen unter Ihnen, die diese Art von Passwort noch verwenden, haben wir eine umsetzbare Anleitung zum Erstellen eines starken Passworts vorbereitet .

MySpace-Datenschutzverletzung

(Quelle: TechCrunch)

Jahr: 2016

Aufgedeckte Aufzeichnungen: 360 Millionen

Der Februar 2016 war für MySpace alles andere als ruhig.

Auch wenn viele die Plattform vergessen haben, existiert sie immer noch. Es war für eine der bisher größten Datenschutzverletzungen verantwortlich und erzielte über 360 Millionen Punkte in der App Stolen Account Records.

(Es gibt keine solche App, suchen Sie nicht danach.)

Obwohl Time Inc., der derzeitige Besitzer von MySpace, bestätigte, dass die gestohlenen Daten alt waren, ist es immer noch ein großer Erfolg. Den Hackern zufolge gelang es den Hackern nur an Daten vor dem 11. Juni 2013 zu gelangen. Und was haben sie dabei herausbekommen? E-Mail- und Passwortlisten . Auch ein zweites Passwort hin und wieder.

Der CFO von MySpace, Jeff Bairstow, versicherte den Benutzern schnell, dass sie die Datensicherheit „extrem ernst“ nehmen.

Auch wenn es nicht so schwerwiegend zu sein scheint wie die vorherigen Cybersicherheitsverletzungen , enthalten diese Konten alle Arten von persönlichen Informationen. Name, Beruf, Netzwerkaktivität und einige prähistorische Metriken aus der Zeit, als MySpace populär war.

Bedenken Sie auch Folgendes – viele Benutzer sind es gewohnt, für alle ihre Online-Konten dasselbe Passwort einzugeben. Wenn jemand Ihr MySpace-Passwort erfährt, kann er sich wahrscheinlich in mindestens eines Ihrer anderen Internetprofile einloggen.

Abwechslung ist also das A und O.

Exactis-Datenschutzverletzung

(Quelle: InfoArmor)

Jahr: 2018

Aufgedeckte Aufzeichnungen: 230 Millionen

Bei der Betrachtung aller jüngsten Fälle von Datenschutzverletzungen im Jahr 2018 dauerte es nicht lange, bis der Name Exactis auftauchte. Ein Datenaggregations-/Marketingunternehmen mit Sitz in Palm Coast, Florida, das… Sie ahnen es schon, wurde ebenfalls gehackt.

Es scheint, dass sie den Ansatz unterstützen, weniger zu zeigen und gleichzeitig viel mehr zu wissen.

Es ist besorgniserregend, dass Exactis es 2018 irgendwie geschafft hat, personenbezogene Daten von 230 Millionen US-Bürgern preiszugeben. Der Verstoß wurde im Juni durch Vinny Troia, einen Sicherheitsforscher, der die Verteidigung des Unternehmens ElasticSearch überprüfte, ans Licht gebracht.

Troia nutzte Shodan, eine Suchmaschine für mit dem Internet verbundene Geräte, um eine der größten Datenschutzverletzungen im Jahr 2018 zu entdecken – etwa 7.000 verschiedene Datenbanken auf öffentlichen Servern. Einer von denen gehörte Exactis und es war einfach nur chillen, völlig ungeschützt.

Genauso wie dein High-School-Mittagessen auf dem gemeinsamen Tisch in der Mensa.

Im Gegensatz zum kostbaren Lebensmittelbiss umfasste die Exactis-Datenbank jedoch rund 340 Millionen Datensätze. Etwas mehr als 66 % davon sind an Einzelpersonen gebunden, der Rest gehört zu bundesweit agierenden Unternehmen.

Zum Glück wurden keine Sozialversicherungsnummern oder Kreditkartennummern bekannt gegeben.

Es wurden jedoch viele andere Informationen durchgesickert: physische Adressen, E-Mail-Adressen, Telefonnummern, Alter, Geschlecht, sogar das Geschlecht der Kinder der Kunden, Religionszugehörigkeit und Rauchgewohnheiten.

Auch hier ist unklar, ob es sich um einen koordinierten Hackerangriff oder nur um ein schlampiges Leck handelte.

Datenschutzverletzung bei Court Ventures

(Quelle: KrebsOnSecurity)

Jahr 2013

Aufgedeckte Aufzeichnungen: 200 Millionen

Um zur Abwechslung auf die großen Hacker-Ereignisse zurückzukommen : Der Oktober 2013 brachte Court Ventures, ein Unternehmen von Experian, eine Sicherheitslücke, bei der 200 Millionen Verbraucherdatensätze aufgedeckt wurden. Die Art und Weise, wie der Bruch stattfand, ist faszinierend.

Der 25-jährige Hieu Minh Ngo hat es geraume Zeit geschafft, einen völlig unsichtbaren Identitätsdiebstahl durchzuführen. Der Hacker gab sich als PI mit einer Adresse in den USA aus, um bis zu zehn Monate lang Zugang zu Kundeninformationen zu erhalten.

Dies reichte aus, um 200 Millionen Datensätze mit sensiblen persönlichen Informationen zu sammeln.

Anschließend verkaufte er es auf seinen beiden Websites für Identitätsdiebstahl – Superget.info und Findget.me – an über 1.300 Personen. Verstöße gegen die Informationssicherheit können manchmal sehr profitabel sein.

All dies tat er in Vietnam. Trotzdem wurde er im Juli 2015 zu 13 Jahren Haft in einem US-Bundesgefängnis verurteilt.

Laut The San Diego Union-Tribune ist es möglich, dass mehr als 30 Millionen Verbraucher Opfer gestohlener Daten wurden. Darüber hinaus wurden 13.000 fabrizierte Steuererklärungsformulare von Ngo und seinen möglichen Partnern ausgefüllt.

Dies führte dazu, dass 65 Millionen US-Dollar an nicht bestehenden Steuerrückerstattungen gesammelt wurden.

Experian gab bereits im Dezember 2013 an, dass keine Kunden durch den Verstoß geschädigt wurden. Zumindest nicht ihres Wissens.

Deep Root Analytics-Datenverletzung

(Quelle: UpGuard)

Jahr: 2015

Aufgedeckte Aufzeichnungen: 198 Millionen

Im Dezember 2015 kam es zu einer der größten Cybersicherheitsverletzungen rund um Weihnachten, wobei Donald Trump noch immer nur ein Präsidentschaftskandidat ist.

Es stellte sich heraus, dass über 198 Millionen Wählerdaten in einer schlecht geschützten Datenbank aufbewahrt wurden – vollständige Namen, Wohnort, Adressen, Geburtsdatum, Telefonnummern und Abstimmungsdetails wurden der Öffentlichkeit bekannt gegeben. Details zu Ethnie und Religion waren ebenfalls im Paket.

Chris Vickery war erneut derjenige, der die Schwachstelle erkannte. Er teilte mit, dass alle Informationen ohne Abwehrmaßnahmen auf einem Cloud-Server gespeichert wurden. 1,1 TB Daten standen jedem mit einem schnellen Verstand zur Verfügung.

TargetPoint Consulting und Data Trust waren ebenfalls an der Wahlverletzung beteiligt, aber die Hauptverantwortung liegt bei Deep Root Analytics.

Nach den vorherigen Meldungen über Datenschutzverletzungen in Mexiko und auf den Philippinen, von denen etwas mehr als 100 Millionen Personen betroffen waren, führte die DRA-Verletzung zu Bedenken hinsichtlich des weltweiten Schutzes von Stimmdaten.

Massiver amerikanischer Verstoß

(Quelle: Technology Review)

Jahr: 2005-2012

Aufgedeckte Aufzeichnungen: 160 Millionen

Dieser war ein massiver, koordinierter Angriff.

Einer Gruppe russischer Hacker ist es gelungen, zwischen 2005 und 2012 sieben volle Jahre lang auf Kredit-/Debitkartennummern mehrerer Unternehmen zuzugreifen und diese zu sammeln.

Es gab insgesamt 15 gehackte Unternehmen – 7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard und Diners Singapore.

Damals wurde die Operation von einem Staatsanwalt aus New Jersey, Paul Fishman, als „das größte Hacking- und Datenverletzungsprogramm, das jemals in den Vereinigten Staaten produziert wurde“ , bezeichnet. Obwohl wir jetzt von größeren Verstößen wissen, war dieser damals schockierend.

Die Verletzung verursachte den gehackten Unternehmen und ihren Verbrauchern Verluste in Millionenhöhe . Darüber hinaus meldeten drei Opfer von Unternehmen Verluste von über 300 Millionen US-Dollar durch den Angriff.

Ganz zu schweigen von den Möglichkeiten des Identitätsdiebstahls.

Nach Angaben des Bundesgerichts in Newark waren die Täter Vladimir Drinkman, Alexandr Kalinin, Roman Kotov, Mikhail Rytikov und Dmitriy Smilianets – alle mit Sitz in Russland oder der Ukraine.

Berichten zufolge gelang es Smilianets, die durchgesickerten Kreditkartennummern zu verkaufen und den Gewinn mit seinen Teammitgliedern zu teilen, bevor sie verurteilt wurden.

Under Armour-Datenschutzverletzung [MyFitnessPal]

(Quelle: Forbes)

Jahr: 2018

Aufgedeckte Aufzeichnungen: 150 Millionen

Im März 2018 hat die Gesundheits-App MyFitnessPal eine der größten Datenschutzverletzungen in der Gesundheitsnische veröffentlicht.

Von der Verletzung der Privatsphäre waren 150 Millionen Nutzer betroffen. Die Aufzeichnungen enthielten Benutzernamen, E-Mail-Adressen und gehashte Passwörter. Wie Sie vielleicht bereits bemerkt haben, gibt es in dieser Situation einen Silberstreifen – die Passwörter wurden gehasht. Dies bedeutet, dass die Hacker Schwierigkeiten hatten, die Daten zu entschlüsseln, selbst nachdem sie bereits in ihrem Besitz waren.

Wenn Sie mit so etwas nicht vertraut sind, fragen Sie sich vielleicht, warum.

Nun, je nach Komplexität des Hashing-Algorithmus können Passwörter auch nach größeren Datenschutzverletzungen jahrzehntelang sicher bleiben . Oder in wenigen Minuten entschlüsselt werden. Also ja, nur weil es eine Verschlüsselung gibt, heißt das nicht, dass die Passwörter sicher sind.

Obwohl angesehene Unternehmen die am höchsten eingestuften Verschlüsselungstools verwenden, wird Benutzern dennoch empfohlen, ihre Passwörter nach einem solchen Verstoß zu ändern.

Als eines der harmloseren Beispiele für Datenschutzverletzungen stellte Under Armour seinen Kunden sicher, dass keine Finanzdaten durchgesickert waren. Gut, dass sie Finanz- und allgemeine Informationen an separaten Orten speichern.

Im Rahmen des Verstoßes wurden auch keine Führerschein- oder Sozialversicherungsnummern durchgesickert.

Alles in allem hatte dieser Angriff keine so destruktiven Folgen, aber er ist dennoch besorgniserregend.

Equifax-Datenschutzverletzung

(Quelle: LifeLock)

Jahr: 2017

Aufgedeckte Aufzeichnungen: 145,5 Millionen

Ein erschreckendes Beispiel für die jüngsten Datenschutzverletzungen wurde 2017 aufgedeckt. Von dem Hackerangriff waren 145,5 Millionen US-Verbraucher betroffen und erhielten Zugang zu detaillierten persönlichen Informationen.

Equifax, ein renommiertes Unternehmen auf dem Gebiet der Kreditauskunft, entdeckte den Verstoß am 29. Juli. Der Verstoß war groß, da vollständige Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und Führerscheinnummern für die Öffentlichkeit freigegeben wurden.

Der Rat von Equifax an die Kunden war nur eine allgemeine Beruhigung und keine Substanz. Das ist der Weg, den viele Unternehmen in solchen Situationen einschlagen.

Nach der Datenpanne bei Equifax haben sie den Hackerangriff in einer ausführlichen Pressemitteilung beleuchtet. Demnach nutzten die Täter eine Schwachstelle in der US-Website-App, um ihre Abwehr zu durchbrechen.

In den kompromittierten Konten scheint jedoch keine unbefugte Aktivität stattgefunden zu haben.

Die Verhinderung solcher Verstöße sollte für jedes Unternehmen von größter Bedeutung sein. Es braucht Zeit, Engagement und Verständnis für die Umwelt. Dies gilt wiederum auch für das Hacken.

eBay-Datenschutzverletzung

(Quelle: BankInfoSecurity)

Jahr 2014

Aufgedeckte Aufzeichnungen: 145 Millionen

Im Jahr 2014 gab eBay bekannt, Opfer eines Cyberangriffs geworden zu sein.

Jedes eBay-Konto von 145 Millionen Kunden wurde gehackt . Die Cyberkriminellen erhielten persönliche Informationen und verschlüsselte Passwörter.

Dies war eine der größten Datenschutzverletzungen aller Zeiten und wurde ausgerechnet mit den Zugangsdaten der Mitarbeiter durchgeführt. Es ist nicht öffentlich bekannt, ob der Mitarbeiter bei dem Plan „in“ war oder ob das Unternehmen tatsächlich gehackt wurde.

Zu den personenbezogenen Daten, auf die ich mich bezog, gehörten Geburtsdaten, Postanschriften, Telefonnummern und vollständige Namen. Laut der Plattform wurden keine Finanzinformationen kompromittiert.

Zwei Wochen nach der Verletzung versicherte das Unternehmen den Benutzern, dass in keinem der Benutzerkonten verdächtige Aktivitäten stattgefunden haben.

Es wurden keine finanziellen Details bekannt gegeben, aber die eBay-Datenverletzung umfasste immer noch fast 150 Millionen Datensätze. Mehr als genug Informationen, um Schaden anzurichten.

Laut Al Pascual, einem erfahrenen Sicherheitsanalysten bei Javelin Strategy and Research, wurde die Sicherheitslücke wahrscheinlich mit einer Spear-Phishing-Kampagne angegangen. Spear-Phishing ist eine Taktik des E-Mail-Spoofings, die darauf abzielt, bestimmte Mitglieder eines Unternehmens anzugreifen, um unbefugten Zugriff zu erlangen.

„Das System ist so sicher wie sein schwächstes Glied, und das sind sehr oft seine Menschen“, ergänzt der Experte.

„Wir arbeiten mit Strafverfolgungsbehörden und führenden Sicherheitsexperten zusammen, um die Angelegenheit aggressiv zu untersuchen“, teilte die Marke nach dem ersten Verstoßbericht mit.

Datenschutzverletzung bei Heartland Payment Systems

(Quelle: Comodo)

Jahr: 2009-2017

Aufgedeckte Aufzeichnungen: 134 Millionen

Vor einem Jahrzehnt galt die Verletzung des Heartland Payment Systems als die bisher größte derartige Operation.

Während einer der schädlichsten Datenschutzverletzungen stahlen Eindringlinge 134 Millionen einzigartige Kreditkarten, einschließlich der codierten Daten auf den Magnetkartenstreifen.

Dies war ein großer.

Heartland Payment Systems führte 2008 rund 100 Millionen Transaktionen durch und bediente 175.000 Händler. Alle verließen sich auf dieses Unternehmen, um die Informationen ihrer Kunden zu schützen. Wie Sie sich vorstellen können, betrafen alle durchgesickerten Informationen nicht nur das Unternehmen, sondern alle Unternehmen, mit denen sie zusammenarbeiteten. Die meisten davon waren kleine bis mittelgroße Einzelhändler.

Angesichts der Tatsache, dass dies eine der größten Datenschutzverletzungen aller Zeiten war, geschah dies auf eine ziemlich fußläufige Weise. Die Operation wurde durch eine SQL-Injection initiiert. Einfach ausgedrückt, Hacker haben zusätzliche Datenbankbefehle in Webskripte eingefügt, um den Server dazu zu bringen, ihren Befehlen zu gehorchen.

Die Hacker nutzten die Sicherheitsanfälligkeit seit acht Jahren aus, als der erste Angriff bereits im Jahr 2009 stattfand.

Laut dem Heartland-Bericht brauchten Hacker acht Monate, um in das Zahlungsabwicklungssystem einzudringen, ohne entdeckt zu werden. Alle von Heartland verwendeten Antiviren-Anbieter konnten sie nicht erkennen.

Als wichtige Hacking Ereignisse gehen, würden die Leute hinter dieser eine für die lange con. Die Entschlossenheit der Angreifer zahlte sich schließlich aus, als eine „Sniffer“-Spyware die Szene betrat.

Normalerweise kann solche Spyware verwendet werden, um den Netzwerkverkehr zu sammeln und zu überwachen – Unternehmen analysieren ihn dann und lösen alle auftretenden Probleme.

Andererseits können „Sniffer“ auch Hacker auf ihre Zielinformationen hinweisen. Berichten zufolge verfügte die Gruppe über alle Informationen, die sie brauchten, um die gestohlenen Kreditkarten nach dem Verstoß zu verwenden.

Das düstere Ergebnis für Heartland Payment Services war die Beendigung ihrer Verbindung mit PCI DSS, ein Rückgang der Einnahmen, 145 Millionen US-Dollar an Entschädigungen und insgesamt über 200 Millionen US-Dollar an Verlusten.

Nametests Datenschutzverletzung

(Quelle: Fossbytes)

Jahr: 2017-2018

Aufgedeckte Aufzeichnungen: 120 Millionen

Die Liste der jüngsten Datenschutzverletzungen kann ohne diejenige, an der Facebook beteiligt war, nicht vollständig sein.

Ich denke, wir alle haben zumindest vorübergehende Kenntnisse darüber, was vor einiger Zeit während des Facebook-Cambridge-Analytica-Skandals passiert ist. Massenpanik, „Ich lösche mein Facebook“ behauptet, Zuckerberg sei ein Roboter.

Ich werde nicht näher auf den Skandal selbst eingehen, sondern mich eher auf Namenstests konzentrieren.

Namenstests?

Ich habe genauso reagiert, als ich es das erste Mal gehört habe. Es stellte sich heraus, dass Nametests eine Facebook-Quiz-App ist, mit der ermittelt wird, welche fiktive Figur am besten zu Ihnen passt.

Nametests haben es in die größten Datenschutzverletzungen des Jahres 2018 geschafft, indem sie die personenbezogenen Daten von 120 Millionen Nutzern preisgegeben haben. Hätte Inti De Ceukelaire es nicht entdeckt, hätte die App weiterhin Benutzerinformationen missbraucht.

Der Sicherheitsforscher entdeckte den Nametests-Schein während des Datenmissbrauchs-Bounty-Programms von Facebook.

Ceukelaire hat eine neu erstellte Website eingerichtet und eine Verbindung zu Nametests hergestellt. Beim Zugriff auf alle gespeicherten Facebook-Profildetails kam er nicht ins Schwitzen – Namen, Bilder, Beiträge, Beruf und so weiter.

Darüber hinaus verteilte Nametests Token, die Echtzeitzugriff auf die Feeds der Benutzer gewährten. Selbst wenn Sie die App gelöscht haben, würde sie Ihre personenbezogenen Daten dennoch an Dritte auf ihrer Website weitergeben.

LinkedIn-Datenschutzverletzung

(Quelle: Fortune)

Jahr 2012

Aufgedeckte Aufzeichnungen: 117 Millionen

Im Jahr 2012 erlitt LinkedIn einen Diebstahl von 6,5 Millionen Benutzerkonten. Natürlich verlieh ihnen die Internet-Community den Spitznamen „LeakedIn“.

Dies ist mit Sicherheit eine der bisher größten Datenschutzverletzungen der Welt .

Während 6,5 Millionen immer noch viel sind, handelte LinkedIn schnell und deaktivierte die kompromittierten Konten.

Die erfassten Daten wurden in einem russischen Forum zum Verkauf angeboten. LinkedIn reagierte, und das Problem war bald nicht mehr. Dies gab ihm Zeit, sich zu erholen, aber im Mai 2018 tauchten neue grausige Details auf.

Die angebliche Zahl der 6,5 Millionen geleakten Konten stellte sich plötzlich als 117 Millionen heraus. Darüber hinaus waren sie auf dem DarkWeb-Marktplatz erhältlich. „Peace“ oder „Peace_of_Mind“, ein in Russland ansässiger Hacker, hat sie für fünf BTC ( Bitcoin ) zum Verkauf angeboten und LinkedIn zu einer der bekanntesten Datenschutzverletzungen aller Zeiten gemacht .

LeakedSource behauptet, auch eine durchsuchbare Liste dieser Datenbank zu besitzen, die mit einer 4-Tages-Testoption verfügbar ist.

Carry Scott, CISO bei LinkedIn, gab an, die Passwörter der durchgesickerten Konten zurückgesetzt zu haben.

MindBody-Datenschutzverletzung

(Quelle: Pymnts)

Jahr: 2018

Aufgedeckte Aufzeichnungen: 113,5 Millionen

2018 wurde FitMetrix Teil der MindBody-Familie. Und es trat auch den Verein von Unternehmen , die gehackt wurden.

MindBody, selbst ein Fitnessstudio- und Wellness-Dienstleister, zahlte 15,3 Millionen US-Dollar für die Übernahme. Sie wussten nicht, dass es sie viel mehr kosten würde.

Bei FitMetrix kam es zu einer massiven Datenschutzverletzung von 113,5 Millionen Benutzerkonten. Jeder Datensatz bestand aus Benutzernamen, E-Mail-Adressen, Geschlecht, Telefonnummer, Bildern, Größe, Gewicht, Schuhgrößen und gewünschten Fitnessstudios.

Notfallkontakte wurden ebenfalls aufgelistet, sowie Informationen mit der Bezeichnung „weitere Informationen“.

Bob Diachenko entdeckte diese relativ neue Datenschutzverletzung im Jahr 2018 . Diachenko ist Direktor der Cyber-Risiko-Forschung bei Hacken und gilt als Experte für das Thema. Sein Bericht zeigte, dass eine Reihe von MindBody-Servern nicht passwortgeschützt waren.

Einer ihrer Datenbanken war sogar eine Lösegeldforderung beigefügt.

Seiner Meinung nach griffen die Eindringlinge auf eine Datenbank zu, exportierten sie, löschten sie und hefteten anschließend die Lösegeldforderung an. MindBody dachte nicht viel über seine Ergebnisse nach.

Sie reagierten erst auf den Verstoß, nachdem ein TechCrunch- Artikel ans Licht kam.

„Wir haben umgehend Schritte unternommen, um diese Schwachstelle zu schließen“, erklärte das Unternehmen. Weißt du, die Monate später irgendwie sofort.

TJ Stores Datenschutzverletzung

(Quelle: ComputerWelt)

Jahr: 2007

Aufgedeckte Aufzeichnungen: 100 Millionen

Eine der größten Datenschutzverletzungen des Jahres 2007 wurde öffentlich bekannt, als TJX Companies Informationen über einen Hackerangriff veröffentlichten, der auf über 100 Millionen Kundendatensätze abzielte.

Hacker zielten auf die üblichen Arten von Informationen wie Kreditkartennummern, Kaufrücksendungen, vollständige Namen und Führerscheinnummern ab.

45,6 Millionen davon waren Kartennummern von Benutzern in verschiedenen Ländern. Die Klage gegen TJX beziffert die tatsächliche Zahl jedoch auf 94 Millionen.

Ähnlich wie die Datenschutzverletzungen von 2018 hat diese vor zwölf Jahren die Marktbewertung des Unternehmens beeinflusst. Laut den Börsenstatistiken 2007-08 verzeichneten die Aktien des Unternehmens einen Rückgang von 30 auf 29 US-Dollar – ein Rückgang des Unternehmenswertes um 3,4%.

Die Ausgaben für TJX-Verletzungen beliefen sich auf rund 250 Millionen US-Dollar. Dazu gehörten Recherchen zu Sicherheitslücken, Ansprüche, Klagen und Geldstrafen.

Der Hacker, der zuerst für den Verstoß verantwortlich gemacht wurde, Albert Gonzales , war fest entschlossen, mit voller Genehmigung des US-Geheimdienstes gehandelt zu haben.

Er schaffte es 2011, gegen sein Urteil Berufung einzulegen, aber der TJX-Verstoß wird als der schockierendste seiner Zeit in der Geschichte bleiben.

VK.com-Datenverletzung

(Quelle: TheHackerNews)

Jahr: 2016

Aufgedeckte Aufzeichnungen: 100 Millionen

Eine weitere der jüngsten Datenschutzverletzungen führt uns zu VK.com, der am weitesten entwickelten Social-Networking-Plattform in Russland.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

Abschluss

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.