27+ Pelanggaran Data Terbesar Dalam Sejarah [Diperbarui pada tahun 2021]

Serangan hacker terjadi setiap 39 detik di AS.

Frekuensi ini mungkin mengkhawatirkan pada awalnya.

Namun, pada kenyataannya, sebagian besar serangan berdampak kecil pada masyarakat, meskipun serangan tingkat tinggi memang terjadi. Mereka tidak berbahaya bagi Voldemort, tapi beberapa di antaranya cukup dekat.

Ada lima target utama pelanggaran data terbesar dalam sejarah modern. Ini adalah nama lengkap Anda, alamat email, alamat fisik, alamat IP, dan informasi kartu kredit.

Inilah rasa dari apa yang kita bicarakan:

• Penurunan Yahoo tentu dipercepat oleh pelanggaran data terbesar yang dilaporkan hingga saat ini: 3 miliar akun terekspos.
• Peretas licik berhasil mengumpulkan data pribadi lebih dari 505 juta tamu Marriott International hingga 2020.
• 412 juta anggota jaringan dewasa FriendFinder juga ditembus oleh pencurian data yang bersemangat.
• Butuh beberapa tahun bagi seorang peretas muda untuk mengakses lebih dari 200 juta akun pengguna dengan informasi sensitif; mereka secara eksklusif dimiliki oleh Court Ventures.
• LinkedIn dikenal sebagai LeakedIn setelah 117 juta akun dicuri.
• Penggemar kebugaran juga tidak luput dari malu – hampir 113 juta pengguna FitMetrix dengan enggan berbagi data pribadi mereka dengan peretas yang tidak dikenal.
• Lebih jauh ke masa lalu, pada tahun 2008 134 juta nomor kartu kredit diambil dari Sistem Pembayaran Heartland.
• Sementara pada topik, Equifax melaporkan data pembayaran lebih dari 145,5 juta pengguna yang terpapar baru-baru ini pada tahun 2017.

Saya tidak akan mengulas Serangan Papirus Besar pada hari itu, meskipun itu adalah pelanggaran besar dalam dirinya sendiri. Sebagai gantinya, saya akan melihat jebakan keamanan modern dan bagaimana hal itu memengaruhi kita.

Tapi pertama-tama, mari kita tinjau pelanggaran keamanan terbaru di tahun 2020 .

Pelanggaran Data pada tahun 2020

2020 dimulai dengan berbagai serangan siber. Meskipun mereka bukan pelanggaran data terbesar sepanjang masa , serangan tersebut mengekspos jutaan data pengguna, termasuk informasi pribadi, email, kata sandi, dan nomor kartu kredit.

Itu menunjukkan bahwa bahkan sistem keamanan top modern tidak seefektif yang diharapkan.

Jadi, tanpa basa-basi lagi, berikut adalah pelanggaran informasi terbaru di tahun 2020.

Pelanggaran Data Elasticsearch 2020

(Sumber: BankInfoSecurity)

Rekor terbuka: 250 juta

Salah satu kebocoran informasi terbaru melibatkan Microsoft. Raksasa teknologi "secara tidak sengaja" mengekspos 250 juta catatan dukungan pelanggan selama lebih dari tiga minggu. Apa yang terjadi adalah bahwa Microsoft menyimpan data ini di lima database Elasticsearch yang salah konfigurasi.

Meskipun penyelidikan perusahaan tidak mengungkapkan pencurian data , saham mereka tenggelam hampir $10 per saham .

Clearview AI Data Breach 2020

(Sumber: The Daily Beast)

Catatan terbuka: Tidak diketahui (seluruh daftar pelanggan perusahaan)

Pada bulan Februari, perusahaan kontroversial tersebut melaporkan bahwa seorang peretas “mendapatkan akses tidak sah” ke daftar kliennya. Banyak dari pelanggan mereka adalah lembaga penegak hukum, yang dapat mengambil foto tersangka dan membandingkannya dengan database perusahaan yang berisi lebih dari 3 miliar gambar.

Reaksi perusahaan terhadap pelanggaran cyber sederhana: "Sayangnya, pelanggaran data adalah bagian dari kehidupan di abad ke-21." Namun, perusahaan mengklaim telah memperbaiki kerentanan dan servernya aman.

Pelanggaran Data Nintendo 2020

(Sumber: The Verge)

Rekor terbuka: 160.000

Pada bulan April, Nintendo mengumumkan bahwa sekitar 160.000 akun, email, dan daftar kata sandi telah terungkap. Daftar data yang bocor juga mencakup nama, tanggal lahir, jenis kelamin, dan negara.

Perusahaan mendesak penggunanya untuk menggunakan otentikasi dua faktor untuk meningkatkan keamanan akun mereka.

Sisi baiknya, tidak ada informasi kartu kredit yang bocor sehingga koin pengguna aman di blok.

Mengerti?

Pokoknya, o n ke yang berikutnya.

Pelanggaran Data Tetrad 2020

(Sumber: UpGuard)

Rekor terbuka: 120 juta

Pada bulan Februari, Tetrad menjadi korban pelanggaran data besar - besaran yang mengungkap informasi tentang jutaan rumah tangga dan bisnis Amerika.

Perusahaan telah salah mengonfigurasi bucket Amazon S3, membuat data dapat diakses oleh siapa saja yang memiliki browser web. Informasi itu terletak di tiga file dengan total 747 GB. Untungnya, seminggu setelah kebocoran ditemukan, perusahaan memperbaiki kerentanannya.

Pelanggaran Data Virgin Media 2020

(Sumber: BBC)

Rekor terbuka: 900.000

Perusahaan pasti membuat pekerjaan penjahat dunia maya lebih mudah.

Pada bulan Mei, Virgin Media mengakui ada data pribadi sekitar 900.000 pengguna yang dibiarkan dapat diakses dan tidak aman selama 10 bulan.

Alasannya?

Database yang salah konfigurasi, tentu saja!

Seseorang harus benar-benar mencoba mengajari orang-orang ini cara mengkonfigurasi database dengan benar.

Itu diakses setidaknya sekali oleh pengguna yang tidak sah. Sisi baiknya, informasi yang bocor tidak termasuk informasi keuangan apa pun.

Pelanggaran Data Wawa 2020

(Sumber: ZDNet)

Rekor terbuka: 30 juta

Daftar pelanggaran data kami untuk tahun 2020 tidak akan lengkap tanpa Wawa. Pada bulan Januari, lebih dari 30 juta detail kartu pembayaran dijual di Joker's Stash, salah satu bazaar penipuan online terbesar.

Perusahaan mengumumkan pelanggaran pada Desember 2019, tetapi data muncul di pasar gelap beberapa hari setelah Malam Tahun Baru. Pelanggaran kartu pembayaran ini termasuk yang terbesar, bersama dengan Home Depot (50 juta) dan Target (40 juta).

Pelanggaran Data GoDaddy 2020

(Sumber: Majalah Keamanan)

Rekor terbuka: 28,000

Pada tanggal 23 April, GoDaddy mengidentifikasi bahwa nama pengguna dan kata sandi SSH telah disusupi melalui file SSH yang diubah. Tidak jelas apakah pelanggaran data baru-baru ini disebabkan oleh detail login yang dicuri sebelumnya atau serangan brute force , tetapi penyedia hosting menyatakan bahwa "pelaku ancaman tidak memiliki akses ke akun GoDaddy utama pelanggan."

Meskipun 28.000 catatan yang terekspos itu tidak dapat disebut sebagai pelanggaran data besar , mengingat GoDaddy mengelola 77 juta domain , kebocoran ini menimbulkan beberapa pertanyaan keamanan.

Sekarang.

Angka-angka tersebut dengan jelas menunjukkan betapa rentannya data pengguna. Mereka mungkin mendorong Anda untuk lebih berhati-hati setiap kali Anda online.

Karena itu, mari beralih ke pelanggaran data terbesar di dunia.

Pelanggaran Data Yahoo

(Sumber: CSO)

Tahun – 2013-2014

Rekor terbuka: 3 miliar

Yahoo jauh dari kejayaan sebelumnya. Kejatuhan besar-besaran kerajaan Yahoo dimulai pada tahun 2013. Sebuah pihak yang belum diketahui masuk ke database Yahoo, mendapatkan akses ke 3 miliar akun . Ini adalah peretasan terbesar yang pernah dialami Yahoo dan pelanggaran data terbesar dalam sejarah . Dan mereka baru menemukannya pada tahun 2016.

Serangan itu terjadi tepat di tengah negosiasi mereka dengan Verizon, yang kemudian mengakuisisi Yahoo senilai $4,48 miliar. Harga yang direvisi adalah $350 juta lebih rendah dari perkiraan sebelumnya, tetapi itu hanyalah puncak gunung es bagi Yahoo.

Informasi yang dicuri termasuk nama lengkap, tanggal lahir, alamat email dan kata sandi, dan korespondensi masalah keamanan (pertanyaan/jawaban).

Perusahaan mengklaim serangan itu dilakukan oleh peretas yang didanai negara. Sebuah artikel Wakil lebih lanjut menunjukkan Departemen Kehakiman menunjuk anggota Layanan Keamanan Federal Rusia sebagai pemrakarsa pelanggaran data Yahoo besar-besaran .

Detail pribadi diduga digunakan untuk berkompromi (mungkin pemerasan) pejabat AS dan Rusia, jurnalis, dan beberapa individu sektor swasta. Beberapa detail akun juga dijual di “TheRealDeal”, pasar virtual darknet yang terkenal.

Pengetahuan adalah kekuatan, bukan?

Meskipun terjadi bertahun-tahun yang lalu, pelanggaran ini masih berada di puncak Papan Peringkat Pelanggaran Data Paling Terkenal .

Pelanggaran Data Media Kota Sungai

(Sumber: TheRegister)

Tahun: 2017

Rekor terbuka: 1,37 miliar

Salah satu pelanggaran data terbaru yang lebih memprihatinkan terjadi pada musim semi 2017 ketika River City Media menghadapi paparan data besar-besaran.

Saya belum pernah melihat orang melompat kegirangan saat melihat email spam. Saya sangat terkejut, ternyata banyak orang yang membukanya, sehingga memberikan beberapa metrik data ke perusahaan yang berorientasi spam.

River City Media entah bagaimana berhasil mengizinkan akses tidak sah ke database email dan alamat pos yang besar. Ini menghasilkan 1,37 miliar catatan pelanggan tiba-tiba dirilis di alam liar.

Namun ... ini bukan pelanggaran.

Perusahaan pemasaran yang berbasis di Jackson, Wyoming memberikan akses gratis ke repositori 200GB. Menurut Chris Vickery, yang pertama kali menemukan masalah ini, data diam-diam menunggu di sistem tanpa perlindungan kata sandi.

Ternyata beberapa pembobolan data terbesar sepanjang masa tidak selalu disebabkan oleh peretas, kan?

Oke, mari kita lihat apa yang dibocorkan oleh orang-orang ceroboh – nama asli, lengkap, dan alamat IP/email/fisik. Puluhan juta orang membocorkan informasi mereka kepada siapa pun yang mau mengaksesnya.

Selain itu, pelanggaran tersebut menjelaskan rencana pengembangan RCM, bersama dengan daftar afiliasi perusahaan yang dirahasiakan.

River City Media tidak segera menanggapi kebocoran tersebut, karena mereka merahasiakan niat mereka. Tetapi pelanggaran data profil tinggi biasanya tidak menghargai keheningan.

Merek tersebut mencoba menjelaskan kurangnya tindakan mereka dengan kemudian menyatakan bahwa semua data diperoleh secara legal sesuai dengan persyaratan FTC dan Can-Spam Act tahun 2003. Namun, ini tidak menyelamatkan mereka dari menerima tanda daftar hitam Spamhaus.

Pelanggaran Data Internasional Marriott [Diperbarui pada tahun 2020]

(Sumber: Vox)

Tahun: 2014-2018, 2020

Rekor terbuka: 505+ juta

Kami akan pindah ke bisnis hotel sebentar. Marriott International mengumumkan pada 30 November th bahwa catatan data mereka telah dilanggar. Peretas memiliki akses ke catatan mereka dari 2014 hingga akhir 2018. Dan sekali lagi pada Januari 2020.

Ketika kita berbicara tentang pelanggaran data pada tahun 2020, kita tidak dapat melewatkan Marriott International. Salah satu pelanggaran keamanan terbaru memungkinkan akses ke data pribadi lebih dari 5,2 juta tamu . Data tersebut mencakup detail kontak, informasi pribadi, preferensi, dan lainnya.

Namun, dalam hal pelanggaran data besar, 5,2 juta catatan tidak begitu mengesankan. Jadi mari kita lihat apa yang terjadi beberapa tahun yang lalu – dari 2014 hingga 2018.

Sejauh pelanggaran keamanan dunia maya , ini adalah salah satu yang paling lama bertahan. Tepat sasaran.

Harta rampasan pelanggaran diperkirakan menjadi informasi pribadi 500 juta orang .

Basis data berisi nama (kombinasi lengkap dan sebagian), alamat surat/email, nomor telepon, info akun, tanggal lahir, jenis kelamin, tanggal reservasi, waktu kedatangan/keberangkatan, nomor kartu pembayaran/tanggal kedaluwarsa, dan informasi paspor.

Untungnya, semua informasi kartu kredit (8,6 juta nomor kartu kredit/debit) berada di bawah enkripsi AES-128 . Oke, setidaknya informasi pembayaran aman… jika tidak ada yang lain.

Ini adalah salah satu pelanggaran data terbesar dan sebagian besar data dapat dibaca oleh siapa saja .

Misalnya, 5,25 juta nomor paspor pelanggan tidak dienkripsi. Ini hanya sedikit di utara 20% dari semua angka yang tercatat, karena 20,3 juta lainnya benar-benar dienkripsi. Marriott International membuat evaluasi lebih lanjut atas kerusakan dan memperkirakan jumlah pelanggan yang terkena dampak mencapai 383 juta.

Baiklah, jadi siapa yang menggunakan begitu banyak catatan tamu? Sebuah pertanyaan naif, ya, tetapi para ahli percaya bahwa tim pengumpul intelijen China berada di balik serangan itu.

Faktanya adalah, Marriott International masih belum mengungkapkan siapa yang dianggap berada di balik salah satu pembobolan data paling terkenal yang pernah ada.

Mereka bereaksi terhadap berita tentang pelanggaran tersebut dengan mengatakan bahwa tujuan utama mereka adalah “untuk mencari tahu apa yang terjadi” dan “bagaimana mereka dapat membantu tamu mereka dengan sebaik-baiknya”.

Pelanggaran Data Jaringan FriendFinder

(Sumber: ComputerWorld)

Tahun: 2016

Rekor terbuka : 412 juta

Beberapa orang lebih suka memberikan akses ke rekening bank mereka daripada membuat riwayat seksual mereka dipublikasikan. Itu sebabnya tidak heran yang satu ini dinobatkan sebagai "pelanggaran terbesar 2016". Catatan terbuka berjumlah lebih dari 412 juta keping informasi, termasuk nama pengguna dan kata sandi, dan alamat email.

Meretas basis pengguna "Komunitas Sex & Swinger Terbesar di Dunia" dapat dengan mudah diklasifikasikan sebagai salah satu pelanggaran data terbesar di dunia , mengingat sifat sensitif dari informasi tersebut. Jaringan FriendFinder mengalami pelanggaran keamanan yang berisi data pelanggan, terakumulasi selama lebih dari dua dekade. Data tersebar di enam database yang berbeda – FriendFinder, Adultfinder, Cams, Penthouse, iCams, dan Stripshow.

Penilaian LeakedSource adalah bahwa semua informasi sensitif disimpan dalam plaintext atau hashing SHA1 . Yang merupakan cara yang buruk untuk menyimpan data pelanggan. Sekali lagi, Leaked Source menunjuk ke Oktober sebagai periode peretasan yang paling mungkin.

Ya, kali ini hacker.

FriendFinder mengklaim bahwa mereka peduli dengan keamanan klien mereka. Yah, mereka bisa saja membagikan informasi tentang pelanggaran keamanan lebih cepat. Itu hanya kesopanan umum untuk meluruskan hal-hal dengan klien mereka dan memperingatkan mereka. "Hei, teman-teman, kami agak diretas ... asal tahu saja."

Selain itu, LeakedSource bahkan berhasil memecahkan 99% kata sandi terenkripsi. Tentu saja, kata sandi yang paling sering digunakan adalah 123456. Saya tidak mengatakan "vanillaicecream1902" lebih mudah diingat, tetapi mungkin membuat akun Anda sedikit lebih aman. (Dan masih jauh lebih aman, menurut para ahli.). Karena itu, bagi Anda yang masih menggunakan kata sandi semacam itu, kami telah menyiapkan panduan yang dapat ditindaklanjuti tentang cara membuat kata sandi yang kuat .

Pelanggaran Data MySpace

(Sumber: TechCrunch)

Tahun: 2016

Rekor terbuka: 360 juta

Februari 2016 sama sekali tidak tenang untuk MySpace.

Meski banyak yang sudah melupakan platform tersebut, namun tetap eksis. Itu bertanggung jawab atas salah satu pelanggaran data terbesar hingga saat ini, mencetak lebih dari 360 juta poin pada aplikasi Catatan Akun yang Dicuri.

(Tidak ada aplikasi seperti itu, jangan mencarinya.)

Meskipun Time Inc., pemilik MySpace saat ini, mengonfirmasi bahwa data yang dicuri itu sudah tua, namun masih menjadi hit besar. Menurut mereka, para peretas baru berhasil memperoleh data sebelum 11 Juni 2013. Dan apa yang mereka dapatkan? Daftar email dan kata sandi . Bahkan kata sandi kedua sesekali.

CFO MySpace, Jeff Bairstow, dengan cepat meyakinkan pengguna bahwa mereka menganggap keamanan data "sangat serius".

Meskipun tampaknya tidak separah pelanggaran keamanan siber sebelumnya , akun-akun ini menyimpan semua jenis informasi pribadi. Nama, pekerjaan, aktivitas jaringan, dan beberapa metrik prasejarah sejak MySpace populer.

Juga, pertimbangkan ini – banyak pengguna terbiasa mengetikkan kata sandi yang sama untuk semua akun online mereka. Jika ada yang mengetahui kata sandi MySpace Anda, kemungkinan mereka akan dapat masuk ke setidaknya salah satu profil internet Anda yang lain.

Jadi, variasi adalah kuncinya.

Pelanggaran Data Tepat

(Sumber: InfoArmor)

Tahun: 2018

Rekor terbuka: 230 juta

Melihat semua kasus pelanggaran data baru - baru ini di tahun 2018 , tidak lama kemudian nama Exactis muncul. Sebuah perusahaan agregasi data/pemasaran yang terletak di Palm Coast, Florida, yang... Anda dapat menebaknya, juga diretas.

Tampaknya mereka mendukung pendekatan menunjukkan lebih sedikit, sambil mengetahui lebih banyak.

Mengkhawatirkan bahwa Exactis entah bagaimana berhasil mengekspos informasi pribadi sekitar 230 juta warga AS pada tahun 2018. Pelanggaran itu terungkap pada bulan Juni oleh Vinny Troia, seorang peneliti keamanan yang sedang memeriksa pertahanan perusahaan ElasticSearch.

Troia menggunakan Shodan, mesin pencari yang menargetkan perangkat yang terhubung ke internet, untuk menemukan salah satu pelanggaran data terbesar pada tahun 2018 – sekitar 7.000 basis data berbeda di server publik. Salah satunya milik Exactis dan itu hanya bersantai, benar-benar tidak terlindungi.

Sama seperti makan siang sekolah menengahmu yang tertinggal di meja umum di kafetaria.

Tidak seperti gigitan makanan yang berharga, bagaimanapun, database Exactis terdiri dari sekitar 340 juta catatan. Sedikit lebih dari 66% dari mereka terikat pada individu, sementara sisanya milik perusahaan yang beroperasi secara nasional.

Untungnya, tidak ada nomor jaminan sosial atau nomor kartu kredit yang diungkapkan.

Namun, banyak informasi lain yang bocor: alamat fisik, alamat email, nomor telepon, usia, jenis kelamin, bahkan jenis kelamin anak-anak pelanggan, agama yang dianut, dan kebiasaan merokok.

Sekali lagi, tidak jelas apakah ini adalah pelanggaran peretas yang terkoordinasi atau hanya kebocoran yang ceroboh.

Pelanggaran Data Court Ventures

(Sumber: KrebsOnSecurity)

Tahun 2013

Rekor terbuka: 200 juta

Kembali ke peristiwa peretasan besar untuk sebuah perubahan, Oktober 2013 membawa Court Ventures, sebuah perusahaan milik Experian, sebuah pelanggaran di mana 200 juta catatan konsumen terungkap. Cara pelanggaran itu terjadi sangat menarik.

Hieu Minh Ngo, berusia 25 tahun, berhasil menjalankan operasi pencurian identitas yang sama sekali tidak terlihat selama beberapa waktu. Peretas menyamar sebagai PI dengan alamat di Amerika Serikat untuk mendapatkan akses ke informasi pelanggan selama sepuluh bulan.

Ini cukup untuk mengumpulkan 200 juta catatan informasi pribadi yang sensitif.

Dia kemudian menjualnya ke lebih dari 1.300 orang di kedua situs pencurian identitasnya – Superget.info dan Findget.me. Pelanggaran keamanan informasi terkadang bisa sangat menguntungkan.

Dia melakukan semua ini selama di Vietnam. Meskipun demikian, ia kemudian dijatuhi hukuman 13 tahun di penjara federal AS pada Juli 2015.

Menurut The San Diego Union-Tribune, ada kemungkinan lebih dari 30 juta konsumen menjadi korban data curian. Selain itu, 13.000 formulir pengembalian pajak palsu diisi oleh Ngo dan kemungkinan afiliasinya.

Ini menghasilkan pengumpulan $ 65 juta dalam pengembalian pajak yang tidak ada.

Experian menyatakan kembali pada Desember 2013 bahwa tidak ada pelanggan yang dirugikan oleh pelanggaran tersebut. Setidaknya tidak untuk pengetahuan mereka.

Pelanggaran Data Analisis Akar Dalam

(Sumber: UpGuard)

Tahun: 2015

Rekor terbuka: 198 juta

Desember 2015 menjadi salah satu pelanggaran keamanan dunia maya terbesar di sekitar Natal, dengan Donald Trump masih menjadi calon presiden.

Ternyata lebih dari 198 juta catatan pemilih disimpan dalam basis data yang tidak terlindungi dengan baik – nama lengkap, negara bagian tempat tinggal, alamat, tanggal lahir, nomor telepon, dan detail pemungutan suara semuanya diungkapkan kepada publik. Detail etnis dan agama juga ada dalam kemasan.

Chris Vickery lagi-lagi yang melihat kerentanannya. Dia berbagi bahwa semua informasi disimpan di server cloud tanpa pertahanan apa pun. 1.1TB data siap untuk diperebutkan oleh siapa saja yang berpikiran cepat.

TargetPoint Consulting dan Data Trust juga terlibat dalam pelanggaran pemilu tetapi tanggung jawab utama terletak pada Deep Root Analytics.

Menyusul berita pelanggaran data sebelumnya di Meksiko dan Filipina, yang mempengaruhi lebih dari 100 juta orang, pelanggaran DRA menimbulkan kekhawatiran tentang bagaimana informasi pemungutan suara dilindungi di seluruh dunia.

Pelanggaran Besar Amerika

(Sumber: Tinjauan Teknologi)

Tahun: 2005-2012

Rekor terbuka: 160 juta

Yang ini adalah serangan besar-besaran yang terkoordinasi.

Sekelompok peretas Rusia telah berhasil mengakses dan mengumpulkan nomor kartu kredit/debit dari beberapa perusahaan selama tujuh tahun penuh, antara 2005 dan 2012.

Ada total 15 perusahaan yang diretas – 7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard, dan Diners Singapore.

Kembali pada hari itu, operasi itu disebut "skema peretasan dan pelanggaran data terbesar yang pernah diproduksi di Amerika Serikat" oleh jaksa New Jersey, Paul Fishman. Meskipun kita sekarang mengetahui pelanggaran yang lebih besar, yang ini mengejutkan pada saat itu.

Pelanggaran tersebut menyebabkan kerugian ratusan juta bagi perusahaan yang telah diretas dan konsumennya. Selain itu, tiga korban perusahaan melaporkan kerugian lebih dari $300 juta akibat serangan tersebut.

Belum lagi kemungkinan pencurian identitas.

Menurut Pengadilan Federal Newark, para pelakunya adalah Vladimir Drinkman, Alexandr Kalinin, Roman Kotov, Mikhail Rytikov, dan Dmitriy Smilianets – semuanya berbasis di Rusia atau Ukraina.

Laporan menunjukkan bahwa Smilianets berhasil menjual nomor kartu kredit yang bocor dan berbagi keuntungan dengan anggota timnya sebelum mereka dihukum.

Pelanggaran Data Under Armour [MyFitnessPal]

(Sumber: Forbes)

Tahun: 2018

Rekor terbuka: 150 juta

Pada bulan Maret 2018, aplikasi kesehatan MyFitnessPal mengumumkan salah satu pelanggaran data terbesar di ceruk layanan kesehatan.

Pelanggaran privasi yang terkena 150 juta pengguna. Catatan termasuk nama pengguna, alamat email, dan kata sandi hash. Sekarang, seperti yang mungkin telah Anda perhatikan, ada hikmahnya dalam situasi ini – kata sandi telah di-hash. Ini berarti para peretas mengalami kesulitan mendekripsi data, bahkan setelah data tersebut sudah mereka miliki.

Jika Anda tidak terbiasa dengan hal semacam ini, Anda mungkin bertanya-tanya mengapa.

Nah, tergantung pada kompleksitas algoritme hashing, kata sandi dapat tetap aman selama beberapa dekade, bahkan setelah pelanggaran data besar . Atau didekripsi dalam hitungan menit. Jadi ya, hanya karena ada enkripsi tidak berarti kata sandinya aman.

Meskipun perusahaan terkemuka menggunakan alat enkripsi berperingkat tertinggi, pengguna tetap disarankan untuk mengubah kata sandi mereka setelah pelanggaran semacam itu.

Menjadi salah satu contoh pelanggaran data yang lebih jinak , Under Armour memastikan pelanggan bahwa tidak ada data keuangan yang bocor. Untung mereka menyimpan info keuangan dan umum di lokasi terpisah.

Tidak ada SIM atau nomor jaminan sosial yang bocor sebagai bagian dari pelanggaran.

Secara keseluruhan, serangan ini tidak memiliki dampak destruktif seperti itu, tapi tetap saja mengkhawatirkan.

Pelanggaran Data Equifax

(Sumber: LifeLock)

Tahun: 2017

Rekor terbuka: 145,5 juta

Contoh mengerikan dari pelanggaran data terbaru terungkap pada tahun 2017. Serangan peretas memengaruhi 145,5 juta konsumen Amerika Serikat, mendapatkan akses ke informasi pribadi terperinci.

Equifax, sebuah perusahaan terkenal di bidang pelaporan kredit, menemukan pelanggaran pada 29 Juli. Pelanggaran itu besar, karena merilis nama lengkap, nomor jaminan sosial, tanggal lahir, alamat, dan nomor SIM untuk penggunaan umum.

Saran Equifax kepada pelanggan hanyalah jaminan umum dan tidak ada substansi. Itulah rute yang diambil banyak perusahaan dalam situasi seperti ini.

Setelah pelanggaran data Equifax, mereka menjelaskan serangan peretas dalam siaran pers yang terperinci. Menurut mereka, para pelaku menggunakan kerentanan di aplikasi situs web AS untuk menghancurkan pertahanan mereka.

Namun, tampaknya tidak ada aktivitas tidak sah yang terjadi di akun yang disusupi.

Mencegah pelanggaran semacam itu harus menjadi perhatian utama bagi perusahaan mana pun. Dibutuhkan waktu, dedikasi, dan pemahaman tentang lingkungan. Kemudian lagi, ini juga berlaku untuk peretasan.

Pelanggaran Data eBay

(Sumber: BankInfoSecurity)

Tahun: 2014

Rekor terbuka: 145 juta

Pada tahun 2014, eBay mengumumkan telah menjadi korban serangan cyber.

Setiap akun eBay 145 juta nasabah hacked. Para penjahat dunia maya memperoleh informasi pribadi dan kata sandi terenkripsi.

Ini adalah salah satu pelanggaran data terbesar sepanjang masa dan dilakukan dengan menggunakan kredensial login karyawan, dari semua hal. Bukan pengetahuan publik apakah karyawan tersebut "terlibat" dalam rencana tersebut, atau apakah perusahaan tersebut benar-benar diretas.

Informasi pribadi yang saya maksud termasuk tanggal lahir, alamat surat, nomor telepon, dan nama lengkap. Tidak ada informasi keuangan yang dikompromikan menurut platform.

Dua minggu setelah pelanggaran terjadi, perusahaan meyakinkan pengguna bahwa tidak ada aktivitas mencurigakan yang terjadi di akun pengguna mana pun.

Tidak ada rincian keuangan yang diungkapkan, tetapi pelanggaran data eBay masih terdiri dari hampir 150 juta catatan. Lebih dari cukup informasi untuk melakukan beberapa kerusakan.

Menurut Al Pascual, seorang analis keamanan berpengalaman di Javelin Strategy and Research, pelanggaran tersebut kemungkinan didekati dengan kampanye spear phishing. Spear phishing adalah taktik email-spoofing, yang dirancang untuk menargetkan anggota perusahaan tertentu untuk mendapatkan akses tidak sah.

“Sistem ini seaman mata rantai terlemahnya, dan itu sering kali orang-orangnya,” tambah pakar tersebut.

“Kami bekerja dengan penegak hukum dan pakar keamanan terkemuka untuk menyelidiki masalah ini secara agresif,” merek tersebut berbagi setelah laporan pelanggaran awal.

Pelanggaran Data Sistem Pembayaran Heartland

(Sumber: Comodo)

Tahun: 2009-2017

Rekor terbuka: 134 juta

Satu dekade lalu, pelanggaran Sistem Pembayaran Heartland dianggap sebagai operasi terbesar yang pernah ada.

Selama salah satu pelanggaran data profil tinggi yang paling merusak , penyusup mencuri 134 juta kartu kredit unik, termasuk data berkode pada strip kartu magnetik.

Ini adalah salah satu yang besar.

Sistem Pembayaran Heartland melakukan sekitar 100 juta transaksi pada tahun 2008, melayani 175.000 merchant. Semuanya mengandalkan perusahaan ini untuk menjaga keamanan informasi klien mereka. Seperti yang dapat Anda bayangkan, informasi yang bocor tidak hanya memengaruhi perusahaan, tetapi juga semua bisnis tempat mereka bekerja. Sebagian besar dari mereka adalah pengecer kecil hingga menengah.

Mengingat ini adalah salah satu pelanggaran data terbesar yang pernah ada, itu terjadi dengan cara yang cukup pejalan kaki. Operasi ini dimulai dengan injeksi SQL. Sederhananya, peretas memasukkan perintah basis data tambahan dalam skrip web untuk membuat server mematuhi perintah mereka.

Peretas telah memanfaatkan kerentanan selama delapan tahun karena pelanggaran awal terjadi pada tahun 2009.

Menurut laporan Heartland, peretas membutuhkan waktu delapan bulan untuk memasuki sistem pemrosesan pembayaran tanpa terdeteksi. Semua penyedia antivirus yang digunakan Heartland tidak dapat menemukannya.

Saat peristiwa peretasan besar berlangsung , orang-orang di balik yang satu ini akan melakukan penipuan panjang. Tekad penyerang akhirnya terbayar ketika spyware "sniffer" memasuki tempat kejadian.

Biasanya, spyware semacam itu dapat digunakan untuk mengumpulkan dan memantau lalu lintas jaringan – perusahaan kemudian menganalisisnya dan menyelesaikan masalah apa pun yang ada.

Di sisi lain, "sniffer" juga dapat mengarahkan peretas ke informasi target mereka. Laporan menunjukkan kelompok tersebut memiliki semua informasi yang mereka butuhkan untuk menggunakan kartu kredit curian setelah pelanggaran.

Hasil suram untuk Layanan Pembayaran Heartland adalah pemutusan hubungan mereka dengan PCI DSS, penurunan pendapatan, kompensasi $145 juta, dan kerugian total lebih dari $200 juta.

Pelanggaran Data Nametests

(Sumber: Fossbytes)

Tahun: 2017-2018

Rekor terbuka: 120 juta

Daftar pelanggaran data terakhir tidak bisa lengkap tanpa satu di mana Facebook terlibat.

Saya pikir kita semua setidaknya memiliki sedikit pengetahuan tentang apa yang terjadi selama skandal Facebook-Cambridge Analytica beberapa waktu lalu. Kepanikan massal, "Saya akan menghapus Facebook saya" mengklaim, Zuckerberg adalah robot.

Saya tidak akan masuk lebih dalam ke skandal itu sendiri, melainkan fokus pada Nametests.

tes nama?

Saya bereaksi dengan cara yang sama ketika saya pertama kali mendengarnya. Ternyata Nametests adalah aplikasi Kuis Facebook yang digunakan untuk menentukan karakter fiksi mana yang paling cocok untuk Anda.

Nametests masuk ke dalam pelanggaran data terbesar tahun 2018 dengan mengekspos data pribadi 120 juta pengguna. Jika Inti De Ceukelaire tidak mendeteksinya, aplikasi akan terus menyalahgunakan informasi pengguna.

Peneliti keamanan melihat slip Nametests selama program Bounty Penyalahgunaan Data Facebook.

Ceukelaire membuat situs web yang baru dibuat dan membuat koneksi ke Nametests. Dia tidak berkeringat mengakses semua rincian profil Facebook yang tersimpan – nama, gambar, posting, pekerjaan, dan sebagainya.

Selain itu, Nametests mendistribusikan token yang memberikan akses waktu nyata ke umpan pengguna. Bahkan jika Anda telah menghapus aplikasi, itu masih akan membagikan informasi pribadi Anda dengan pihak ketiga mana pun di situs webnya.

Pelanggaran Data LinkedIn

(Sumber: Fortune)

Tahun: 2012

Rekor terbuka: 117 juta

Kembali ke 2012, LinkedIn mengalami pencurian akun pengguna 6,5 ​​juta. Wajar saja, komunitas internet menganugerahkan mereka dengan julukan “LeakedIn”.

Ini dengan mudah merupakan salah satu pelanggaran data terbesar di dunia hingga saat ini.

Sementara 6,5 ​​juta masih banyak, LinkedIn bertindak cepat dan menonaktifkan akun yang disusupi.

Data yang diperoleh telah diposting untuk dijual di forum yang berbasis di Rusia. LinkedIn bereaksi, dan masalahnya segera tidak ada lagi. Ini memberinya waktu untuk pulih, tetapi pada Mei 2018 detail mengerikan baru muncul.

Dugaan jumlah 6,5 juta akun yang bocor tiba-tiba berubah menjadi 117 juta. Selain itu, mereka tersedia untuk dibeli di pasar DarkWeb. “Peace” atau “Peace_of_Mind”, seorang peretas yang berbasis di Rusia, menjualnya dengan harga lima BTC ( Bitcoin ) dan mengubah LinkedIn menjadi salah satu pembobol data paling terkenal hingga saat ini.

LeakedSource mengklaim juga memiliki daftar database yang dapat dicari, tersedia dengan opsi uji coba $ 4 satu hari.

Carry Scott, CISO di LinkedIn menyatakan bahwa mereka telah mengatur ulang kata sandi akun yang bocor.

Pelanggaran Data MindBody

(Sumber: Pymnts)

Tahun: 2018

Rekor terbuka: 113,5 juta

Pada tahun 2018, FitMetrix, menjadi bagian dari keluarga MindBody. Dan itu juga bergabung dengan klub perusahaan yang telah diretas .

MindBody, raksasa gym dan layanan kesehatan sendiri, membayar $15,3 juta untuk akuisisi tersebut. Sedikit yang mereka tahu, itu akan menghabiskan biaya lebih dari itu.

Pelanggaran data besar-besaran terhadap 113,5 juta akun pengguna terjadi di FitMetrix. Setiap catatan terdiri dari nama pengguna, alamat email, jenis kelamin, nomor telepon, gambar, tinggi badan, berat badan, ukuran sepatu, dan lokasi gym yang diinginkan.

Kontak darurat juga terdaftar, serta sedikit informasi berlabel "informasi lebih lanjut".

Bob Diachenko menemukan pelanggaran data yang cukup baru ini pada tahun 2018 . Diachenko adalah direktur penelitian risiko dunia maya di Hacken dan dianggap sebagai ahli dalam topik tersebut. Laporannya menunjukkan sejumlah server MindBody tidak dilindungi kata sandi.

Salah satu database mereka bahkan memiliki catatan tebusan yang dilampirkan padanya.

Menurutnya, penyusup mengakses database, mengekspornya, menghapusnya, dan melampirkan catatan tebusan sesudahnya. MindBody tidak terlalu memikirkan temuannya.

Mereka bertindak atas pelanggaran hanya setelah artikel TechCrunch terungkap.

“Kami mengambil langkah segera untuk menutup kerentanan ini,” kata perusahaan tersebut. Anda tahu, bulan-bulan kemudian segera.

Pelanggaran Data Toko TJ

(Sumber: ComputerWorld)

Tahun: 2007

Rekor terbuka: 100 juta

Salah satu pelanggaran data terbesar tahun 2007 menjadi pengetahuan publik ketika TJX Companies mengungkapkan informasi tentang serangan hacker yang menargetkan lebih dari 100 juta catatan pelanggan.

Peretas menargetkan jenis informasi biasa seperti nomor kartu kredit, catatan pengembalian pembelian, nama lengkap, dan nomor SIM.

45,6 juta di antaranya merupakan nomor kartu milik pengguna di berbagai negara. Namun, klaim gugatan terhadap TJX menempatkan jumlah sebenarnya di 94 juta.

Sama halnya dengan pembobolan data tahun 2018 , yang satu ini dari dua belas tahun lalu berhasil mempengaruhi valuasi pasar perusahaan. Menurut statistik pasar saham 2007-8, saham perusahaan mengalami penurunan, dari $30 menjadi $29 – penurunan nilai perusahaan sebesar 3,4%.

Biaya pelanggaran TJX bertambah hingga sekitar $250 juta. Ini termasuk penelitian kelemahan keamanan, klaim, tuntutan hukum, dan denda.

Peretas yang pertama kali dianggap bertanggung jawab atas pelanggaran tersebut, Albert Gonzales , bertekad untuk bertindak dengan otorisasi penuh dari Dinas Rahasia AS.

Dia berhasil mengajukan banding atas hukumannya pada tahun 2011, tetapi pelanggaran TJX akan tetap dalam sejarah sebagai yang paling mengejutkan pada masanya.

Pelanggaran Data VK.com

(Sumber: TheHackerNews)

Tahun: 2016

Rekor terbuka: 100 juta

Lain dari pelanggaran data terakhir mengutus kita untuk VK.com, platform jejaring sosial paling berkembang di Rusia.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

Kesimpulan

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.