史上最大の27件以上の情報漏えい[2021年に更新]

米国では、ハッカー攻撃が39秒ごとに発生します。

この頻度は最初は気になるかもしれません。

ただし、実際には、注目を集める攻撃が発生したとしても、ほとんどの攻撃は社会にほとんど影響を与えません。 それらはヴォルデモート危険ではありませんが、それらのいくつかはかなり接近しています。

現代史の共有における最大のデータ侵害には、5つの主要なターゲットがあります。 これらは、氏名、電子メールアドレス、物理アドレス、IPアドレス、およびクレジットカード情報です。

これが私たちが話していることの味です：

• Yahooの衰退は、この瞬間までに報告された最大のデータ侵害によって確かに加速されました。30億のアカウントが公開されました。
• 卑劣なハッカーは、 2020年までにマリオットインターナショナルの5億500万人以上のゲストの個人データを収集することができました。
• アダルトネットワークのFriendFinderの4億1,200万人のメンバーも、熱心なデータ盗難にさらされました。
• 1人の若いハッカーが機密情報を含む2億を超えるユーザーアカウントにアクセスするのに数年かかりました。 彼らは専らコートベンチャーズに属していました。
• LinkedInは、 1億1700万のアカウントが盗まれた後、LeakedInとして知られるようになりました。
• フィットネス愛好家も赤面を免れませんでした–約1億1300万人のFitMetrixユーザーが未知のハッカーと個人データを不本意に共有しました。
• さらに遡ると、2008年に1億3400万のクレジットカード番号がHeartland PaymentSystemsから削除されました。
• 話題になっている間、Equifaxは、 2017年までに公開された1億4,550万人を超えるユーザーの支払いデータを報告しました。

それ自体が大規模な違反であったとしても、私はその日のグレートパピルス攻撃をレビューしません。 代わりに、現代のセキュリティの落とし穴と、それが私たちにどのように影響したかを見ていきます。

しかし、最初のは、2020年に最新のセキュリティ侵害を確認しましょう。

2020年のデータ侵害

2020年は数多くのサイバー攻撃で始まりました。 史上最大のデータ侵害ではありませんが、この攻撃により、個人情報、電子メール、パスワード、クレジットカード番号など、何百万ものユーザーのデータが漏洩しました。

それは、現代の最高のセキュリティシステムでさえ、期待するほど効果的ではないことを示しています。

したがって、これ以上苦労することなく、2020年の最新の情報漏えいが発生します。

Elasticsearchデータ侵害2020

（出典：BankInfoSecurity）

公開された記録：2億5000万

最近の情報漏えいの1つは、マイクロソフトに関係しています。 テクノロジーの巨人は、3週間以上にわたって2億5000万件のカスタマーサポートレコードを「偶然に」公開しました。 何が起こったのかというと、Microsoftはこのデータを5つの誤って構成されたElasticsearchデータベースに保存していました。

同社の調査ではデータの盗難は明らかになりませんでしたが、彼らの株は1株あたり約10ドル下落しました。

ClearviewAIデータ侵害2020

（出典：デイリービースト）

公開された記録：不明（会社の顧客リスト全体）

2月、物議を醸している会社は、ハッカーがクライアントリストへの「不正アクセスを取得」したと報告しました。 彼らの顧客の多くは法執行機関であり、容疑者の写真を撮り、30億を超える画像の会社のデータベースと比較することができます。

サイバー侵害に対する同社の反応は単純でした。「残念ながら、データ侵害は21世紀の生活の一部です。」 ただし、同社は脆弱性を修正したと主張しており、そのサーバーは安全です。

任天堂の情報漏えい2020

（出典：The Verge）

公開された記録：160,000

4月、任天堂は約160,000のアカウント、電子メール、およびパスワードのリストが公開されたと発表しました。 漏洩したデータのリストには、名前、生年月日、性別、国も含まれています。

同社は、アカウントのセキュリティを向上させるために2要素認証を使用するようユーザーに促しました。

明るい面では、クレジットカード情報が漏洩しなかったため、ユーザーのコインはブロック内で安全です。

それを得る？

とにかく、次のものに。

Tetrad Data Breach 2020

（出典：UpGuard）

公開された記録：1億2000万

2月、Tetradは、何百万ものアメリカの家庭や企業に関する情報を公開する大規模なデータ侵害の犠牲者になりました。

同社はAmazonS3バケットを誤って構成し、Webブラウザーを使用して誰でもデータにアクセスできるようにしました。 情報は、合計747GBの3つのファイルにありました。 ありがたいことに、リークが発見されてから1週間後に、同社は脆弱性を修正しました。

Virgin Media Data Breach 2020

（出典：BBC）

公開された記録：900,000

企業は確かにサイバー犯罪者の仕事を容易にします。

5月、Virgin Mediaは、約900,000人のユーザーの個人データが10か月間アクセス可能で、セキュリティで保護されていないことを認めました。

理由？

もちろん、データベースの構成が間違っています。

誰かが本当にデータベースを適切に構成する方法をこれらの人に教えようとするべきです。

許可されていないユーザーが少なくとも1回アクセスした。 明るい面として、漏洩した情報には財務情報が含まれていませんでした。

Wawa Data Breach 2020

（出典：ZDNet）

公開された記録：3000万

2020年当社データ侵害リストはワワなしで完全ではありません。 1月には、オンラインで最大の詐欺バザールの1つであるJoker's Stashで、3,000万を超える支払いカードの詳細が売りに出されました。

同社は2019年12月に違反を発表しましたが、データは大晦日の数日後に闇市場に表示されました。 このペイメントカードの侵害は、Home Depot（5,000万）およびTarget（4,000万）と並んで、最大の侵害の1つです。

GoDaddyの情報漏えい2020

（出典：セキュリティマガジン）

公開された記録：28,000

4月23日、GoDaddyは、SSHユーザー名とパスワードが変更されたSSHファイルを介して侵害されていることを確認しました。 この最近のデータ侵害が以前に盗まれたログイン詳細によるものなのか、ブルートフォース攻撃によるものなのかは不明ですが、ホスティングプロバイダーは「攻撃者は顧客のメインのGoDaddyアカウントにアクセスできなかった」と述べています。

その28,000の公開されたレコードは、重大なデータ侵害とは言えませんが、GoDaddyが7,700万のドメインを管理していることを考えると、このリークはいくつかのセキュリティの質問を引き起こします。

今。

数字は、ユーザーデータがどれほど脆弱であるかを明確に示しています。 彼らはあなたがオンラインであるときはいつでもあなたに少し特別な注意を払うようにあなたを動かすかもしれません。

そうは言っても、世界最大のデータ侵害に移りましょう。

Yahooのデータ侵害

（出典： CSO）

年– 2013-2014

公開された記録：30億

Yahooはかつての栄光からは程遠い。 Yahoo帝国の大規模な崩壊は2013年に始まりました。まだ未知の当事者がYahooのデータベースに侵入し、 30億のアカウントにアクセスしました。 これはYahooがこれまでに遭遇した最大のハッキングや歴史の中で最大規模のデータ侵害です。 そして彼らは2016年にそれを発見しただけです。

攻撃は、後にYahooを44.8億ドルで買収したVerizonとの交渉の真っ最中に起こった。 修正価格は以前の予想より3億5000万ドル低かったが、それはYahooにとって氷山の一角に過ぎなかった。

盗まれた情報には、氏名、生年月日、電子メールアドレスとパスワード、およびセキュリティ問題の対応（質問/回答）が含まれていました。

同社は、攻撃は国の資金によるハッカーによって行われたと主張している。 A司法省は、大規模なYahooのデータ侵害の開始剤として、ロシア連邦保安局のメンバーを指している副記事をさらに示します。

個人情報は、米国とロシアの当局者、ジャーナリスト、および一部の民間部門の個人の両方を危険にさらす（恐らく恐喝する）ために使用されたとされています。 アカウントの詳細の一部は、ダークネットの仮想マーケットプレイスとして知られている「TheRealDeal」でも売りに出されました。

知識は力ですよね？

何年も前に発生しましたが、この侵害は依然として最も有名なデータ侵害のリーダーボードを上回っています。

River CityMediaのデータ侵害

（出典： TheRegister）

年：2017

公開された記録：13.7億

最近のデータ漏えいの1つは、 2017年春にRiver CityMediaが大量のデータ漏洩に遭遇したときに発生しました。

スパムメールを見て喜んでジャンプする人を見たことがありません。 驚いたことに、多くの人がそれらを開いて、スパム指向の企業にデータのいくつかのメトリックを提供していることがわかりました。

River City Mediaはどういうわけか、電子メールと住所の大規模なデータベースへの不正アクセスを許可することに成功しました。 その結果、 13.7億の加入者レコードが突然公開されました。

しかし…これは正確には違反ではありませんでした。

ワイオミング州ジャクソンを拠点とするマーケティング会社は、200GBのリポジトリへの無料アクセスを許可しました。 この問題を最初に発見したChrisVickeryによると、データはパスワード保護のないシステムで静かに待機していました。

史上最大のデータ侵害のいくつかは、必ずしもハッカーによって引き起こされているわけではないことがわかりましたね。

さて、ずさんな仲間が何を漏らしたのか見てみましょう–実名、フルネーム、IP /メール/物理アドレス。 何千万人もの人々が、情報にアクセスしようとする人に情報を漏らしていました。

さらに、この違反は、RCMの開発計画と、同社の非公開の関連会社のリストに光を当てました。

River City Mediaは、意図を秘密にしていたため、リークにすぐには対応しませんでした。 しかし、目立つデータ侵害は通常、沈黙を認めません。

ブランドは、すべてのデータがFTCおよび2003年のCan-Spam Actの要件に従って合法的に取得されたと後で述べて、彼らの行動の欠如を説明しようとしました。 しかし、これは彼らがスパムハウスブラックリストマークを受け取ることから彼らを救いませんでした。

マリオット国際情報漏えい[2020年に更新]

（出典： Vox）

年：2014-2018、2020

公開された記録：5億500万以上

ホテル事業に少し移行します。 マリオット・インターナショナルは、自社のデータ記録が破られたことを11月30日日に発表しました。 ハッカーは、2014年から2018年後半までのすべての記録にアクセスできました。また、2020年1月に再びアクセスできました。

私たちは2020年データ侵害について話すとき、我々はミスマリオット・インターナショナルはできません。 最近のセキュリティ違反の1つにより、 520万人を超えるゲストの個人データへのアクセスが許可されました。 データには、連絡先の詳細、個人情報、好みなどが含まれます。

しかし、ビッグデータ侵害の観点から、520万のレコードはその印象的ではありません。 それでは、2014年から2018年までの数年前に何が起こったのか見てみましょう。

サイバーセキュリティの侵害に関する限り、これは最も長い歴史を持つものの1つでした。 ブルズアイ。

侵害の略奪品は5億人の個人情報であると推定されました。

データベースには、名前（完全な組み合わせと部分的な組み合わせ）、郵送/電子メールアドレス、電話番号、アカウント情報、生年月日、性別、予約日、到着/出発時刻、支払いカード番号/有効期限、およびパスポート情報が含まれていました。

ありがたいことに、すべてのクレジットカード情報（860万のクレジット/デビットカード番号）はAES-128暗号化の下にありました。 OK、少なくとも支払い情報は安全です…他に何もないとしても。

これは最大のデータ侵害の1つであり、データの大部分は誰でも読み取ることができました。

たとえば、525万の顧客パスポート番号は暗号化されていませんでした。 これは、記録されているすべての数値の20％のわずかに北にあり、さらに2,030万の数値が実際に暗号化されていました。 マリオットインターナショナルは、損害をさらに評価し、影響を受けた顧客の数を3億8300万人と推定しました。

さて、これほど多くのゲストレコードを使用しているのは誰ですか？ 素朴な質問ですが、専門家は中国の情報収集チームが攻撃の背後にいると信じています。

問題の事実は、マリオットインターナショナルは、これまでで最も有名なデータ侵害の1つの背後にあると考えている人物をまだ明らかにしていません。

彼らは、違反に関するニュースに反応し、主な目的は「何が起こったのかを理解すること」と「ゲストを最もよく助ける方法」であると述べました。

FriendFinderネットワークのデータ侵害

（出典： ComputerWorld）

年：2016

公開された記録：412百万

一部の人々は、性的履歴を公開するよりも、銀行口座へのアクセスを提供することを好むでしょう。 そのため、これが「2016年の最大の違反」と名付けられたのも不思議ではありません。 公開された記録は、ユーザー名とパスワード、電子メールアドレスなど、4億1,200万件を超える情報になりました。

「世界最大のセックス＆スウィンガーコミュニティ」のユーザーベースをハッキングすることは、情報の機密性を考慮すると、世界最大のデータ侵害の1つとして簡単に分類できます。 FriendFinder Networkは、 20年以上にわたって蓄積された、顧客データを含むセキュリティ違反に見舞われました。 データは、FriendFinder、Adultfinder、Cams、Penthouse、iCams、Stripshowの6つの異なるデータベースに分散されていました。

LeakedSourceの評価では、すべての機密情報はプレーンテキストまたはSHA1ハッシュで保持されていました。 これは、顧客データを保存するためのひどい方法です。 繰り返しになりますが、Leaked Sourceは、ハッキングの最も可能性の高い期間として10月を指摘しています。

はい、今回はハッカーです。

FriendFinderは、クライアントのセキュリティに関心があると主張しています。 まあ、彼らはセキュリティ違反についての情報をもっと早く共有することができたでしょう。 クライアントに物事をまっすぐに設定し、警告するのは一般的な礼儀です。 「ねえ、人々、私たちはちょっとハッキングされました…ちょうどあなたが知っているように。」

さらに、LeakedSourceは、暗号化されたパスワードの99％を解読することさえできました。 当然、最も使用されているパスワードは123456であることが判明しました。「vanillaicecream1902」の方が覚えやすいとは言いませんが、アカウントの安全性が少し向上する可能性があります。 （専門家によると、それでもはるかに安全です。） そうは言っても、まだその種のパスワードを使用している人のために、強力なパスワードを作成する方法に関する実用的なガイドを用意しました。

MySpaceのデータ侵害

（出典： TechCrunch）

年：2016

公開された記録：3億6000万

2016年2月はMySpaceにとってまったく落ち着きがありませんでした。

多くの人がプラットフォームを忘れていますが、それはまだ存在しています。 これは、これまでで最大のデータ侵害の1つであり、Stolen AccountRecordsアプリで3億6000万ポイントを獲得しました。

（そのようなアプリはありません。検索しないでください。）

MySpaceの現在の所有者であるTimeInc。は、盗まれたデータが古いことを確認したが、それでも大ヒットしている。 彼らによると、ハッカーは2013年6月11日以前からデータを取得することしかできませんでした。そして彼らは何を入手したのでしょうか。 電子メールとパスワードのリスト。 たまに2番目のパスワードでも。

MySpaceのCFOであるJeffBairstowは、データセキュリティを「非常に真剣に」受け止めていることをユーザーにすぐに安心させました。

以前のサイバーセキュリティ違反ほど深刻ではないように見えますが、これらのアカウントにはあらゆる種類の個人情報が保持されています。 MySpaceが人気を博したときの名前、職業、ネットワークアクティビティ、およびいくつかの先史時代の指標。

また、これを考慮してください。多くのユーザーは、すべてのオンラインアカウントに同じパスワードを入力することに慣れています。 MySpaceのパスワードを知った人がいたら、他のインターネットプロファイルの少なくとも1つにログインできる可能性があります。

したがって、多様性が鍵となります。

正確なデータ漏えい

（出典： InfoArmor）

年：2018

公開された記録：2億3000万

2018年のすべての最近のデータ侵害の例を見ながら、それは長いExactisが表面化する前に名前はなかったです。 フロリダ州パームコーストにあるデータ集約/マーケティング会社もハッキングされました。

彼らは、より多くのことを知りながら、より少なく見せることのアプローチを支持しているようです。

Exactisが2018年になんとかして2億3000万人の米国市民の個人情報を公開したことが懸念されます。この違反は、ElasticSearch社の防御をチェックしていたセキュリティ研究者のVinnyTroiaの手によって6月に明らかになりました。

Troiaは、インターネットに接続されたデバイスを対象とした検索エンジンであるShodanを使用して、 2018年に最大のデータ侵害の1つである、パブリックサーバー上の約7,000の異なるデータベースを発見しました。 それらの1つはExactisに属していました、そしてそれは完全に無防備で、ただまったりしていました。

高校の給食が食堂の共通のテーブルに残っているように。

ただし、貴重な食べ物とは異なり、Exactisデータベースは約3億4000万件のレコードで構成されていました。 それらの66％強は個人に関連しており、残りは全国的な事業会社に属しています。

ありがたいことに、社会保障番号やクレジットカード番号は公開されていません。

しかし、住所、メールアドレス、電話番号、年齢、性別、さらには顧客の子供の性別、所属宗教、喫煙習慣など、他にも多くの情報が漏洩しました。

繰り返しになりますが、これが協調的なハッカーの侵害なのか、それとも単なるずさんなリークなのかは不明です。

コートベンチャーズのデータ​​侵害

（出典： KrebsOnSecurity）

2013年

公開された記録：2億

2013年10月、変更のための主要なハッキングイベントに戻ると、Experianに属する会社であるCourt Venturesが、2億件の消費者記録が公開された違反をもたらしました。 違反が発生した方法は魅力的です。

25歳のHieuMinh Ngoは、かなり長い間、完全に目に見えない個人情報の盗難操作を実行することができました。 ハッカーは、米国に住所を持つPIを装って、10か月もの間顧客情報にアクセスしました。

これは、機密性の高い個人情報の2億件の記録を収集するのに十分でした。

その後、彼はID盗難WebサイトSuperget.infoとFindget.meの両方で1,300人以上に販売しました。 情報セキュリティの侵害は、時には非常に有益な場合があります。

彼はベトナムにいる間にこれらすべてをしました。 それにもかかわらず、彼はその後、2015年7月に米国連邦刑務所で13年の刑を宣告されました。

サンディエゴユニオントリビューンによると、3000万人以上の消費者が盗まれたデータの犠牲者だった可能性があります。 さらに、13,000の偽造された納税申告書がNgoと彼の可能な関連会社によって記入されました。

その結果、存在しない税金の還付で6,500万ドルが集められました。

Experianは、2013年12月に、この違反によって被害を受けた顧客はいないと述べました。 少なくとも彼らの知る限りではありません。

ディープルート分析のデータ侵害

（出典：UpGuard）

年：2015

公開された記録：1億9800万

2015年12月には、クリスマス前後に最大のサイバーセキュリティ侵害の1つが発生し、ドナルドトランプは依然として大統領候補にすぎませんでした。

1億9800万人を超える有権者の記録が、保護が不十分なデータベースに保存されていたことが判明しました。氏名、居住地、住所、生年月日、電話番号、投票の詳細はすべて一般に公開されていました。 民族性と宗教の詳細もパックに含まれていました。

Chris Vickeryは、この脆弱性を発見した人物です。 彼は、すべての情報が防御なしでクラウドサーバーに保持されていることを共有しました。 1.1TBのデータは、頭の回転が速い人なら誰でも手に入れることができました。

TargetPointConsultingとDataTrustも選挙違反に関与しましたが、主な責任はDeep RootAnalyticsにあります。

1億人を超える個人に影響を与えた、メキシコとフィリピンでの以前のデータ侵害のニュースに続いて、DRA違反は、世界中で投票情報がどのように保護されているかについて懸念を引き起こしました。

大規模なアメリカの違反

（出典：テクノロジーレビュー）

年：2005-2012

公開された記録：1億6000万

これは大規模で協調的な攻撃でした。

ロシアのハッカーのグループは、2005年から2012年までの7年間、複数の企業からクレジットカード/デビットカードの番号にアクセスして収集することに成功しました。

ハッキングされた企業は、 7-Eleven、JC Penney、Heartland Payment Systems、Carrefour、Wet Seal、Dexia、Commidea、Hannaford、JetBlue、Euronet、Dow Jones、Global Payment、Visa Jordan、Ingenicard、DinersSingaporeの合計15社でした。

当時、この作戦は、ニュージャージー州の検察官ポール・フィッシュマンによって「米国でこれまでに作成された最大のハッキングおよびデータ侵害スキーム」と呼ばれていました。 私たちは今、より大きな違反を知っていますが、これは当時衝撃的でした。

この違反により、ハッキングされた企業とその消費者に数億の損失が発生しました。 これらに加えて、3人の企業被害者が攻撃による3億ドル以上の損失を報告しました。

個人情報の盗難の可能性は言うまでもありません。

ニューアーク連邦裁判所によると、加害者はウラジミール・ドリンクマン、アレクサンドル・カリニン、ローマン・コトフ、ミハイル・リチコフ、ドミトリ・スミリアネッツであり、すべてロシアまたはウクライナを拠点としています。

報告によると、Smilianetsは、漏洩したクレジットカード番号を販売し、有罪判決を受ける前にチームメンバーと利益を共有したとのことです。

アンダーアーマーの情報漏えい[MyFitnessPal]

（出典：フォーブス）

年：2018

公開された記録：1億5000万

2018年3月、ヘルスアプリMyFitnessPalは、ヘルスケアニッチで最大のデータ侵害の1つを公開しました。

プライバシーの侵害は1億5000万人のユーザーに影響を及ぼしました。 レコードには、ユーザー名、電子メールアドレス、およびハッシュ化されたパスワードが含まれていました。 すでにお気づきかもしれませんが、この状況には銀色の裏打ちがあります。パスワードはハッシュ化されています。 これは、データがすでに所有されていた後でも、ハッカーがデータを復号化するのに苦労したことを意味します。

この種のことに慣れていない場合は、なぜだろうと思うかもしれません。

まあ、ハッシュアルゴリズムの複雑さに応じて、パスワードは、重大なデータ侵害の後でも、何十年も安全に保つことができます。 または、ほんの数分で復号化できます。 そうです、暗号化があるからといって、パスワードが安全であるとは限りません。

尊敬されている企業は最高ランクの暗号化ツールを使用していますが、ユーザーはそのような違反の後でパスワードを変更することをお勧めします。

Under Armourは、より害のないデータ侵害の例の1つであり、財務データが漏洩しないことを顧客に保証しました。 彼らが財務情報と一般情報を別々の場所に保存するのは良いことです。

違反の一部として運転免許証や社会保障番号が漏洩することもありませんでした。

全体として、この攻撃にはそれほど破壊的な余波はありませんでしたが、それでも懸念されています。

Equifaxのデータ侵害

（出典： LifeLock）

年：2017

公開された記録：1億4550万

2017年には、最近のデータ漏えいの恐ろしい例が明らかになりました。ハッカーの攻撃は、米国の1億4,550万人の消費者に影響を及ぼし、詳細な個人情報にアクセスできるようになりました。

信用報告分野で有名な企業であるEquifaxは、7月29日にこの違反を発見しました。氏名、社会保障番号、生年月日、住所、運転免許証番号が公開されたため、この違反は大きなものでした。

Equifaxの顧客へのアドバイスは、一般的な安心感であり、実質的なものではありませんでした。 これは、多くの企業がこのような状況でとるルートです。

Equifaxのデータ侵害の後、彼らは詳細なプレスリリースでハッカーの攻撃に光を当てました。 彼らによると、加害者は米国のWebサイトアプリの脆弱性を利用して防御を破りました。

ただし、侵害されたアカウントでは不正なアクティビティは発生していないようです。

このような違反を防ぐことは、どの企業にとっても最大の関心事です。 時間、献身、そして環境への理解が必要です。 繰り返しになりますが、これはハッキングにも当てはまります。

eBayのデータ侵害

（出典： BankInfoSecurity）

年：2014

公開された記録：1億4500万

2014年、eBayはサイバー攻撃の犠牲者になったことを発表しました。

1億4500万人の顧客のeBayアカウントのそれぞれがハッキングされました。 サイバー犯罪者は個人情報と暗号化されたパスワードを入手しました。

これは、すべての時間の最大のデータ侵害の一つであったすべてのもののため、従業員のログイン資格情報を使用して行きました。 従業員が計画に「参加」していたのか、それとも会社が実際にハッキングされたのかは、公の知識ではありません。

私が参照した個人情報には、生年月日、住所、電話番号、氏名が含まれていました。 プラットフォームによると、財務情報が危険にさらされることはありませんでした。

違反が発生してから2週間後、同社はどのユーザーアカウントでも疑わしいアクティビティが発生しないことをユーザーに保証しました。

金銭的な詳細は明らかにされていませんが、 eBayのデータ侵害は依然として1億5000万件近くの記録で構成されていました。 いくつかの損害を与えるのに十分な情報以上。

Javelin Strategy andResearchの経験豊富なセキュリティアナリストであるAlPascualによると、この侵害にはスピアフィッシングキャンペーンが行われた可能性があります。 スピアフィッシングは、電子メールを偽装する戦術であり、企業の特定のメンバーを標的にして不正アクセスを取得するように設計されています。

「システムはその最も弱いリンクと同じくらい安全であり、それは非常に多くの場合その人々です」と専門家は付け加えました。

「私たちは法執行機関や一流のセキュリティ専門家と協力して問題を積極的に調査しています」と、ブランドは最初の違反報告の後に共有しました。

Heartland PaymentSystemsのデータ侵害

（出典：コモド）

年：2009-2017

公開された記録：1億3400万

10年前、Heartland Payment Systemsの侵害は、これまでで最大のそのような操作と見なされていました。

最も被害の大きい注目を集めるデータ侵害の1つで、侵入者は磁気カードストリップのコード化されたデータを含め、1億3400万枚の固有のクレジットカードを盗みました。

これは大きなものでした。

Heartland Payment Systemsは、2008年に約1億件の取引を行い、175,000の加盟店にサービスを提供しました。 彼らは皆、クライアントの情報を安全に保つためにこの会社に依存していました。 ご想像のとおり、漏洩した情報は会社だけでなく、提携しているすべての事業に影響を及ぼしました。 それらのほとんどは中小規模の小売業者でした。

これがこれまでで最大のデータ侵害の1つであったことを考えると、かなり歩行者の方法で発生しました。 操作はSQLインジェクションによって開始されました。 簡単に言えば、ハッカーはサーバーにコマンドに従うようにWebスクリプトに追加のデータベースコマンドを含めました。

最初の違反が2009年に発生したため、ハッカーはこの脆弱性を8年間利用していました。

ハートランドのレポートによると、ハッカーは検出されずに支払い処理システムに入るのに8か月かかりました。 Heartlandが使用したすべてのウイルス対策プロバイダーはそれらを見つけることができませんでした。

主要なハッキングイベントが進むにつれ、このイベントの背後にいる人々は長い間詐欺に遭っていました。 「スニファー」スパイウェアが登場したとき、攻撃者の決意はついに報われました。

通常、このようなスパイウェアは、ネットワークトラフィックを収集および監視するために使用できます。企業はそれを分析し、存在する問題を解決します。

一方、「スニファ」はハッカーに標的情報を示すこともできます。 報告によると、グループは、侵害後に盗まれたクレジットカードを使用するために必要なすべての情報を持っていました。

Heartland Payment Servicesの悲惨な結果は、PCI DSSとの接続の終了、収益の減少、1億4500万ドルの補償、および合計2億ドルを超える損失でした。

Nametestsのデータ侵害

（出典：Fossbytes）

年：2017-2018

公開された記録：1億2000万

最近のデータ侵害のリストは、Facebookが関与したものなしでは完全ではありません。

私たちは皆、Facebook-CambridgeAnalyticaスキャンダルの間に何が起こったのかについて少なくともある程度の知識を持っていると思います。 大規模なパニック、「Facebookを削除します」と主張するザッカーバーグはロボットです。

スキャンダル自体を深く掘り下げるのではなく、ネームテストに焦点を当てます。

ネームテスト？

最初に聞いたときも同じように反応しました。 Nametestsは、どの架空のキャラクターがあなたに最も適しているかを判断するために使用されるFacebookクイズアプリであることが判明しました。

Nametestsは、 1億2000万人のユーザーの個人データを公開することにより、 2018年の最大のデータ侵害に突入しました。 Inti De Ceukelaireがそれを検出しなかった場合、アプリはユーザー情報を悪用し続けていたでしょう。

セキュリティ研究者は、Facebookのデータ乱用報奨金プログラム中にNametestsのスリップを発見しました。

Ceukelaireは、新しく作成されたWebサイトをセットアップし、Nametestsへの接続を確立しました。 彼は、保存されているすべてのFacebookプロファイルの詳細（名前、写真、投稿、職業など）にアクセスすることに汗を流しませんでした。

さらに、Nametestsは、ユーザーのフィードへのリアルタイムアクセスを許可するトークンを配布していました。 アプリを削除した場合でも、アプリのWebサイトで第三者と個人情報が共有されます。

LinkedInのデータ侵害

（出典：フォーチュン）

年：2012

公開された記録：1億1700万

2012年に戻ると、LinkedInは650万人のユーザーアカウントの盗難に見舞われました。 当然のことながら、インターネットコミュニティは彼らに「LeakedIn」というニックネームを与えました。

これは、最新の世界最大のデータ侵害の1つです。

650万はまだ多いですが、LinkedInは迅速に行動し、侵害されたアカウントを非アクティブ化しました。

取得したデータは、ロシアを拠点とするフォーラムに売りに出されました。 LinkedInが反応し、問題はすぐになくなりました。 これは回復する時間を与えましたが、2018年5月に新しい恐ろしい詳細が表面化しました。

リークされたアカウントの650万件の申し立てられた数は、代わりに突然1億1700万件であることが判明しました。 その上、それらはDarkWebマーケットプレイスで購入できました。 ロシアを拠点とするハッカーである「Peace」または「Peace_of_Mind」は、5つのBTC（ビットコイン）でそれらを売りに出し、 LinkedInをこれまでで最も有名なデータ侵害の1つに変えました。

LeakedSourceは、このデータベースの検索可能なリストも所有していると主張しており、1日4ドルの試用オプションで利用できます。

LinkedInのCISOであるCarryScottは、漏洩したアカウントのパスワードをリセットしたと述べました。

MindBodyデータ侵害

（出典：Pymnts）

年：2018

公開された記録：1億1350万

2018年、FitMetrixはMindBodyファミリーの一部になりました。 そしてそれはまた、ハッキングされている企業のクラブに参加しました。

ジムとウェルネスサービスの巨人であるMindBodyは、買収に1,530万ドルを支払いました。 彼らはほとんど知りませんでした、それは彼らにそれよりはるかに多くの費用がかかるでしょう。

FitMetrixでは、1億1350万のユーザーアカウントの大規模なデータ侵害が発生しました。 各レコードは、ユーザー名、メールアドレス、性別、電話番号、写真、身長、体重、靴のサイズ、および希望するジムの場所で構成されていました。

緊急連絡先、および「詳細情報」というラベルの付いた情報も一覧表示されました。

Bob Diachenkoは、 2018年にこのかなり最近のデータ侵害を発見しました。 ディアチェンコはハッケンのサイバーリスク研究のディレクターであり、このトピックの専門家と見なされています。 彼の報告によると、多くのMindBodyサーバーがパスワードで保護されていませんでした。

彼らのデータベースの1つには、身代金のメモが添付されていました。

彼の意見では、侵入者はデータベースにアクセスし、それをエクスポートし、削除し、その後身代金メモを添付していました。 MindBodyは彼の発見にあまり考えを入れませんでした。

彼らはTechCrunchの記事が明るみに出た後にのみ違反に対処した。

「私たちはこの脆弱性を閉じるために即座に措置を講じました」と同社は述べています。 ご存知のように、数か月後のようなものです。

TJはデータ侵害を保存します

（出典：ComputerWorld）

年：2007

公開された記録：1億

TJX社が1億を超える顧客レコードを標的としたハッカー攻撃に関する情報を開示したとき、2007年の最大のデータ侵害の1つが一般に知られるようになりました。

ハッカーは、クレジットカード番号、購入返品記録、氏名、運転免許証番号などの通常の種類の情報を標的にしていました。

そのうち4,560万人は、さまざまな国のユーザーが所有するカード番号でした。 しかし、 TJXに対する訴訟の申し立てにより、実際の数は9,400万人になります。

2018年のデータ漏えいと同様に、これは12年前のデータ漏えいであり、会社の市場評価に影響を及ぼしました。 2007-8年の株式市場の統計によると、同社の株式は30ドルから29ドルに下落し、企業価値は3.4％減少しました。

TJXの侵害費用は合計で約2億5000万ドルになりました。 これには、セキュリティ上の欠陥の調査、請求、訴訟、および罰金が含まれていました。

違反の責任を最初に負ったハッカー、アルバートゴンザレスは、米国シークレットサービスの完全な承認を得て行動したと判断されました。

彼は2011年になんとか判決を上訴しましたが、TJXの違反は、当時の最も衝撃的なものとして歴史に残るでしょう。

VK.comのデータ侵害

（出典：TheHackerNews）

年：2016

公開された記録：1億

最近のデータ侵害のもう1つは、ロシアで最も開発されたソーシャルネットワーキングプラットフォームであるVK.comに私たちを送ります。

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

結論

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.