27개 이상의 역사상 가장 큰 데이터 침해 [2021년에 업데이트됨]

미국에서는 39초마다 해커 공격이 발생합니다.

이 주파수는 처음에는 걱정스러울 수 있습니다.

그러나 실제로는 세간의 이목을 끄는 공격 이 발생 하더라도 대부분의 공격이 사회에 미치는 영향은 거의 없습니다 . 그것들은 볼드모트에게 위험한 것은 아니지만, 그들 중 일부는 꽤 가까이 다가옵니다.

현대 역사상 가장 큰 데이터 유출 사고 는 5가지 주요 표적이 있습니다. 이름, 이메일 주소, 실제 주소, IP 주소 및 신용 카드 정보입니다.

다음은 우리가 이야기하는 내용의 맛입니다.

• Yahoo의 쇠퇴는 지금까지 보고된 가장 큰 데이터 유출로 인해 확실히 가속화되었습니다. 30억 개의 계정이 노출되었습니다.
• 교활한 해커가 2020년까지 메리어트 인터내셔널의 5억 500만 명이 넘는 고객 의 개인 데이터를 수집했습니다 .
• 성인 네트워크 FriendFinder의 4억 1200만 회원 도 열성적인 데이터 절도에 감염되었습니다.
• 한 명의 젊은 해커 가 민감한 정보가 포함된 2억 개 이상의 사용자 계정 에 액세스하는 데 몇 년이 걸렸습니다 . 그들은 Court Ventures에 독점적으로 속했습니다.
• LinkedIn은 1억 1,700만 개의 계정 이 도난당한 후 LeakedIn으로 알려졌습니다 .
• 피트니스 애호가들도 얼굴을 붉히지 않았습니다. 거의 1억 1,300만 명의 FitMetrix 사용자가 자신의 개인 데이터를 알 수 없는 해커와 마지못해 공유했습니다.
• 시간을 거슬러 올라가면 2008년에 1억 3,400만 개의 신용 카드 번호 가 Heartland Payment Systems에서 제거되었습니다.
• 이 주제에 대해 Equifax는 2017년까지만 해도 1억 4,550만 명이 넘는 사용자 의 결제 데이터가 노출 되었다고 보고했습니다 .

비록 그 자체로 대규모 위반이었음에도 불구하고 당시의 Great Papyrus Attack을 검토하지 않을 것입니다. 대신 현대 보안의 함정과 그것이 우리에게 어떤 영향을 미쳤는지 살펴보겠습니다.

하지만 먼저 2020년에 발생한 가장 최근의 보안 침해 를 검토해 보겠습니다 .

2020 년 데이터 위반 해당

수많은 사이버 공격으로 시작된 2020년. 사상 최대 규모의 데이터 유출 은 아니지만 이 공격으로 개인 정보, 이메일, 비밀번호, 신용 카드 번호를 비롯한 수백만 명의 사용자 데이터가 노출되었습니다.

이는 현대 최고의 보안 시스템 조차도 기대만큼 효과적이지 않다는 것을 보여줍니다 .

따라서 더 이상 고민하지 않고 2020년 의 최신 정보 유출이 발생 합니다.

Elasticsearch 데이터 침해 2020

(출처: BankInfoSecurity)

노출된 기록: 2억 5천만

가장 최근의 정보 유출 중 하나 는 Microsoft와 관련이 있습니다. 이 거대 기술 기업은 "우연히" 3주 동안 2억 5천만 개의 고객 지원 기록을 노출했습니다. Microsoft가 잘못 구성된 5개의 Elasticsearch 데이터베이스에 이 데이터를 저장한 것이 문제였습니다.

회사의 조사에서 데이터 도난이 밝혀지지 않았지만 그들의 주식 은 주당 거의 $10 하락했습니다 .

Clearview AI 데이터 침해 2020

(출처: 데일리 비스트)

노출된 기록: 불명(회사의 전체 고객 목록)

2월에 이 논란의 여지가 있는 회사는 해커가 클라이언트 목록에 "무단 액세스 권한을 얻었다"고 보고했습니다. 고객의 대부분은 용의자의 사진을 찍어 회사의 30억 개 이상의 이미지 데이터베이스와 비교할 수 있는 법 집행 기관입니다.

사이버 침해 에 대한 회사의 대응 은 간단했습니다. "안타깝게도 데이터 침해는 21세기에 생활의 일부입니다." 그러나 회사는 취약점을 수정했으며 서버는 안전하다고 주장합니다.

닌텐도 데이터 침해 2020

(출처: 더 버지)

노출된 기록: 160,000

4월에 Nintendo는 약 160,000개의 계정, 이메일 및 비밀번호 목록 이 노출 되었다고 발표했습니다 . 유출된 데이터 목록에는 이름, 생년월일, 성별, 국가도 포함됩니다.

회사는 사용자에게 계정 보안을 개선하기 위해 이중 인증을 사용할 것을 촉구했습니다.

밝은면에서는 신용 카드 정보가 누출되지 않아 사용자의 코인이 블록에서 안전합니다.

알겠어?

어쨌든 다음으로 넘어가겠습니다.

Tetrad 데이터 침해 2020

(출처: 업가드)

노출된 기록: 1억 2천만

2월에 Tetrad는 수백만 명의 미국 가정과 기업에 대한 정보를 노출시킨 대규모 데이터 유출 의 희생자가 되었습니다 .

회사는 Amazon S3 버킷을 잘못 구성하여 웹 브라우저만 있으면 누구나 데이터에 액세스할 수 있습니다. 정보는 총 747GB에 달하는 3개의 파일에 있습니다. 다행히 유출이 발견된 지 일주일 만에 회사에서 취약점을 수정했습니다.

Virgin Media 데이터 침해 2020

(출처: BBC)

노출된 기록: 900,000

회사는 확실히 사이버 범죄자의 작업을 더 쉽게 만듭니다.

지난 5월 Virgin Media는 약 900,000명의 사용자에 대한 개인 데이터가 10개월 동안 액세스 및 보안되지 않은 상태로 남아 있음을 인정했습니다.

이유?

물론 잘못 구성된 데이터베이스입니다!

누군가가 이 사람들에게 데이터베이스를 올바르게 구성하는 방법을 가르쳐야 합니다.

권한이 없는 사용자가 한 번 이상 액세스했습니다. 밝은 면에서 유출된 정보 에는 재무 정보가 포함되지 않았습니다.

와와 데이터 침해 2020

(출처: ZDNet)

노출된 기록: 3천만

2020 년 우리의 데이터 침해 목록 와와없이 완전하지 않을 것이다. 1월에는 온라인에서 가장 큰 사기 시장 중 하나인 Joker's Stash에 3천만 개 이상의 결제 카드 정보가 판매되었습니다.

회사는 2019년 12월에 침해를 발표했지만, 데이터는 새해 전야 며칠 후 암시장에 나타났습니다. 이번 결제 카드 유출은 홈디포(5000만), 타겟(4000만)과 함께 최대 규모다.

GoDaddy 데이터 침해 2020

(출처: 시큐리티 매거진)

노출된 기록: 28,000

4월 23일 GoDaddy는 SSH 사용자 이름과 비밀번호가 변경된 SSH 파일을 통해 손상되었음을 확인했습니다. 이 최근 데이터 유출이 이전에 도난당한 로그인 정보나 무차별 대입 공격 때문인지는 확실하지 않지만 호스팅 제공업체는 "위협 행위자가 고객의 기본 GoDaddy 계정에 액세스할 수 없었다"고 말했습니다.

28,000개의 노출된 레코드를 주요 데이터 유출 이라고 할 수는 없지만 GoDaddy가 7,700만 개의 도메인을 관리한다는 점을 고려할 때 이 유출은 몇 가지 보안 문제를 제기합니다.

지금.

숫자는 사용자 데이터가 얼마나 취약한지를 명확하게 보여줍니다. 그들은 당신이 온라인에있을 때마다 약간의주의를 기울이도록 당신을 재촉 할 수 있습니다.

즉, 세계에서 가장 큰 데이터 유출로 넘어가 겠습니다 .

야후 데이터 침해

(출처: CSO)

연도 – 2013-2014

노출된 기록: 30억

야후는 예전의 영광과는 거리가 멀다. 야후 제국의 거대한 몰락은 2013년에 시작되었습니다. 아직 알려지지 않은 당사자가 야후의 데이터베이스에 침입하여 30억 개의 계정에 대한 액세스 권한을 얻었습니다 . 이것은 야후가 겪은 가장 큰 해킹 이자 역사상 가장 큰 데이터 유출 사건 입니다 . 그리고 그들은 2016년에야 그것을 발견했습니다.

이 공격은 나중에 야후를 44억 8천만 달러에 인수한 Verizon과의 협상 도중에 발생했습니다. 수정된 가격은 이전 예상보다 3억 5,000만 달러 낮았지만 이는 야후의 빙산의 일각에 불과했습니다.

도난당한 정보에는 성명, 생년월일, 이메일 주소 및 비밀번호, 보안 문제 서신(질문/답변)이 포함되었습니다.

회사는 공격이 국가 자금을 지원하는 해커에 의해 수행되었다고 주장합니다. 부사장 기사는 더 쇼 법무부가 거대한 야후의 데이터 침해의 기자로 러시아 연방 보안 서비스의 회원 가리키고 있습니다.

개인 정보는 미국과 러시아 관리, 언론인, 일부 민간 부문 개인을 위협하는 데 사용된 것으로 추정됩니다. 일부 계정 세부 정보는 알려진 다크넷 가상 마켓플레이스인 "TheRealDeal"에도 판매되었습니다.

아는 것이 힘이겠죠?

몇 년 전에 발생했지만 이 침해는 여전히 가장 유명한 데이터 침해 순위표에서 1위를 차지하고 있습니다.

리버 시티 미디어 데이터 유출

(출처: 더 레지스터)

연도: 2017

노출된 기록: 13억 7천만

가장 우려되는 최근 데이터 유출 중 하나는 2017년 봄에 River City Media가 대규모 데이터 노출에 직면했을 때 발생했습니다.

나는 스팸 이메일을 보고 기뻐하는 사람을 본 적이 없습니다. 놀랍게도 많은 사람들이 이 파일을 열어 스팸 지향 기업에 일부 데이터 메트릭을 제공합니다.

River City Media는 어떻게든 이메일과 우편 주소의 대규모 데이터베이스에 대한 무단 액세스를 허용했습니다. 그 결과 13억 7천만 명의 구독자 기록이 갑자기 공개 되었습니다.

그러나… 이것은 정확히 위반이 아니었습니다.

와이오밍 주 잭슨에 기반을 둔 마케팅 회사는 200GB 저장소에 대한 무료 액세스 권한을 부여했습니다. 이 문제를 처음 발견한 Chris Vickery에 따르면 데이터는 암호 보호 기능이 없는 시스템에서 조용히 기다리고 있었습니다.

역사상 가장 큰 데이터 침해 중 일부가 항상 해커에 의해 발생하는 것은 아닙니다.

좋아, 진짜, 이름, IP/이메일/물리적 주소 등 엉성한 친구들이 무엇을 유출했는지 봅시다. 수천만 명의 사람들이 정보 에 액세스하려는 모든 사람 에게 정보가 누출 되었습니다.

또한 이 유출로 인해 RCM의 비공개 계열사 목록과 함께 RCM의 개발 계획이 밝혀졌습니다.

River City Media는 의도를 비밀로 유지했기 때문에 누출에 즉시 대응하지 않았습니다. 그러나 세간의 이목을 끄는 데이터 침해 는 일반적으로 침묵을 좋아하지 않습니다.

브랜드는 나중에 모든 데이터가 2003년 요구 사항의 FTC 및 스팸 스팸 방지법에 따라 합법적으로 획득되었다고 말함으로써 조치의 부족을 설명하려고 했습니다. 그러나 이것은 Spamhaus 블랙리스트 마크를받는 것을 방지하지 못했습니다.

메리어트 인터내셔널 데이터 유출 [2020년 업데이트]

(출처: 복스)

연도: 2014-2018, 2020

노출된 기록: 5억 5백만 개 이상

우리는 잠시 호텔 사업으로 이동합니다. 메리어트 인터내셔널은 데이터 레코드를 위반 한 일 11 월, 30 일 발표했다. 해커는 2014년부터 2018년 말까지 자신의 기록에 액세스할 수 있었습니다. 그리고 2020년 1월에 다시 한 번.

2020년 데이터 침해 에 대해 이야기할 때 메리어트 인터내셔널을 빼놓을 수 없습니다. 가장 최근의 보안 침해 중 하나는 520만 명이 넘는 게스트 의 개인 데이터에 대한 액세스를 허용 했습니다 . 데이터에는 연락처 세부 정보, 개인 정보, 기본 설정 등이 포함됩니다.

그러나 빅 데이터 침해의 관점에서, 520 만 개 기록은 인상하지 않습니다. 2014년부터 2018년까지 몇 년 전 무슨 일이 일어났는지 봅시다.

지금까지 사이버 보안 침해로,이 가장 긴 - 서있는 사람 중 하나였다. 황소의 눈.

침해의 전리품은 5억 명의 개인 정보 로 추정됩니다 .

데이터베이스에는 이름(전체 및 부분 조합), 우편/이메일 주소, 전화번호, 계정 정보, 생년월일, 성별, 예약 날짜, 도착/출발 시간, 지불 카드 번호/만료 날짜 및 여권 정보가 포함되었습니다.

고맙게도 모든 신용 카드 정보(860만 신용/직불 카드 번호)는 AES-128 암호화 하에 있었습니다 . 좋아, 적어도 지불 정보는 안전합니다…

이것은 가장 큰 데이터 유출 중 하나이며 데이터의 상당 부분은 누구나 읽을 수 있습니다.

예를 들어 525만 명의 고객 여권 번호가 암호화되지 않았습니다. 이는 기록에 있는 모든 숫자의 20%에서 약간 북쪽에 있었으며 그 중 2030만 개는 실제로 암호화되었습니다. 메리어트 인터내셔널은 피해에 대한 추가 평가를 통해 피해를 입은 고객 수를 3억 8,300만 명으로 추산했다.

자, 누가 그렇게 많은 손님 기록을 사용합니까? 순진한 질문이지만 전문가들은 중국 정보 수집 팀이 공격의 배후에 있다고 믿고 있습니다.

문제는 메리어트 인터내셔널이 가장 유명한 데이터 유출 사건의 배후가 누구라고 생각하는지 아직 밝히지 않았다는 것 입니다.

그들은 침해에 대한 뉴스에 대해 "무슨 일이 일어났는지 파악하는 것"과 "손님을 가장 잘 도울 수 있는 방법"을 주요 목표로 삼았습니다.

FriendFinder 네트워크 데이터 침해

(출처: 컴퓨터월드)

연도: 2016

노출된 기록 : 4억 1,200만

어떤 사람들은 성적 이력을 공개하는 것보다 은행 계좌에 대한 액세스 권한을 부여하는 것을 선호합니다. 그렇기 때문에 이 문제가 "2016년의 가장 큰 위반 사항"으로 선정된 것은 놀라운 일이 아닙니다. 노출된 기록은 사용자 이름과 비밀번호, 이메일 주소를 포함하여 4억 1200만 개 이상의 정보에 달했습니다.

"세계 최대 섹스 및 스윙어 커뮤니티"의 사용자 기반을 해킹하는 것은 정보의 민감한 특성을 고려할 때 세계 최대 데이터 유출 중 하나로 쉽게 분류될 수 있습니다 . FriendFinder Network는 20년 이상 축적된 고객 데이터가 포함 된 보안 침해 사고 를 겪었습니다 . 데이터는 FriendFinder, Adultfinder, Cams, Penthouse, iCams, Stripshow 등 6개의 서로 다른 데이터베이스에 분산되어 있습니다.

LeakedSource의 평가는 모든 민감한 정보가 일반 텍스트 또는 SHA1 해싱 으로 유지되었다는 것 입니다. 이는 고객 데이터를 저장하는 비열한 방법입니다. 다시, Leaked Source는 10월을 해킹 가능성이 가장 높은 기간으로 지적합니다.

네, 이번에는 해커입니다.

FriendFinder는 고객의 보안을 중요하게 생각한다고 주장합니다. 글쎄요, 그들은 보안 침해 에 대한 정보 를 더 빨리 공유할 수 있었습니다 . 고객에게 문제를 바로잡고 경고하는 것은 일반적인 예의일 뿐입니다. "이봐, 사람들, 우리는 일종의 해킹을 당했다... 그냥 너도 알다시피."

또한 LeakedSource는 암호화된 암호의 99%를 해독하기도 했습니다. 당연히 가장 많이 사용되는 비밀번호는 123456으로 밝혀졌습니다. "vanillaicecream1902"가 기억하기 쉽다는 말은 아니지만 계정을 조금 더 안전하게 만들 수 있습니다. (그리고 전문가들에 따르면 여전히 훨씬 안전합니다.) 하지만 여전히 그런 종류의 비밀번호를 사용하는 분들 을 위해 강력한 비밀번호를 만드는 방법 에 대한 실행 가능한 가이드를 준비했습니다 .

마이스페이스 데이터 침해

(출처: TechCrunch)

연도: 2016

노출된 기록: 3억 6천만

2016년 2월은 MySpace에게 전혀 평온하지 않았습니다.

많은 사람들이 플랫폼에 대해 잊었지만 여전히 존재합니다. Stolen Account Records 앱에서 3억 6,000만 포인트 이상을 기록하여 지금까지 가장 큰 데이터 유출 중 하나를 담당했습니다 .

(그런 앱이 없으니 검색하지 마세요.)

마이스페이스의 현 소유주인 타임은 훔친 데이터가 오래된 것이라고 확인했지만 여전히 큰 인기를 끌고 있다. 그들에 따르면, 해커는 2013년 6월 11일 이전의 데이터만 획득할 수 있었습니다. 그리고 그들은 무엇을 얻었습니까? 이메일 및 비밀번호 목록 . 때때로 두 번째 비밀번호도 사용됩니다.

MySpace의 CFO인 Jeff Bairstow는 사용자가 데이터 보안을 "매우 심각하게 생각하고 있다"고 재빨리 안심시켰습니다.

이전 사이버 보안 침해 만큼 심각하지 않은 것처럼 보이지만 이러한 계정에는 모든 종류의 개인 정보가 들어 있습니다. 이름, 직업, 네트워크 활동 및 MySpace가 유명했던 선사시대 측정항목입니다.

또한 이것을 고려하십시오. 많은 사용자가 모든 온라인 계정에 대해 동일한 암호를 입력하는 데 익숙합니다. 누구든지 귀하의 MySpace 비밀번호를 알게 되면 귀하의 다른 인터넷 프로필 중 적어도 하나에 로그인할 수 있을 것입니다.

따라서 다양성이 핵심입니다.

Exactis 데이터 침해

(출처: InfoArmor)

연도: 2018

노출된 기록: 2억 3천만

2018년의 모든 최근 데이터 침해 사례를 살펴보면서 Exactis라는 이름이 등장한 지 얼마 되지 않았습니다. 플로리다 팜 코스트에 위치한 데이터 집계/마케팅 회사도 해킹당했습니다.

그들은 훨씬 더 많이 알고 있으면서 덜 보여주는 접근 방식을 지지하는 것 같습니다.

Exactis가 2018년에 2억 3천만 명의 미국 시민에 대한 개인 정보를 어떻게든 노출했다는 사실이 우려됩니다. 이 유출은 ElasticSearch 회사의 방어를 점검하던 보안 연구원 Vinny Troia에 의해 6월에 밝혀졌습니다.

Troia는 인터넷 연결 장치를 대상으로 하는 검색 엔진인 Shodan을 사용 하여 2018년 최대 데이터 침해 중 하나인 공용 서버에 있는 약 7,000개의 서로 다른 데이터베이스를 발견했습니다. 그 중 하나는 Exactis에 속해 있었고 완전히 보호받지 못한 채 놀고 있었습니다.

식당의 공용 테이블에 남겨진 고등학교 점심처럼.

그러나 귀한 음식과 달리 Exactis 데이터베이스는 약 3억 4천만 개의 레코드로 구성되어 있습니다. 그 중 66%가 약간 넘는 개인이 소속되어 있고 나머지는 전국 운영 회사에 속해 있습니다.

다행히 주민등록번호나 신용카드 번호는 공개되지 않았다.

하지만 실제 주소, 이메일 주소, 전화번호, 나이, 성별, 심지어 고객 자녀의 성별, 종교, 흡연 습관 등 많은 정보가 유출되었습니다.

그러나 이것이 해커의 협조적인 침해인지 단순한 유출인지는 불분명합니다.

Court Ventures 데이터 유출

(출처: KrebsOnSecurity)

연도: 2013

노출된 기록: 2억

주요 해킹 사건으로 돌아가 2013년 10월 Experian에 속한 회사인 Court Ventures가 2억 소비자 기록이 노출된 침해 사고를 일으켰습니다. 위반이 발생한 방식은 매력적입니다.

25세의 Hieu Minh Ngo 는 꽤 오랫동안 완전히 보이지 않는 신분 도용 작전을 수행했습니다. 해커는 최대 10개월 동안 고객 정보에 액세스하기 위해 미국 주소를 가진 PI로 가장했습니다.

이는 2억 건의 민감한 개인 정보를 수집하기에 충분했습니다.

그런 다음 그는 자신의 ID 도용 웹사이트인 Superget.info와 Findget.me에서 1,300명이 넘는 사람들에게 판매했습니다. 정보 보안 침해 는 때때로 상당한 이익이 될 수 있습니다.

그는 베트남에 있는 동안 이 모든 일을 했습니다. 그럼에도 불구하고 그는 나중에 2015년 7월 미국 연방 교도소에서 13년형을 선고 받았습니다.

San Diego Union-Tribune에 따르면 3천만 명 이상의 소비자가 도난당한 데이터의 피해자일 수 있습니다. 또한 Ngo와 그의 가능한 계열사가 13,000개의 조작된 세금 신고서 양식을 작성했습니다.

그 결과 존재하지 않는 세금 환급금으로 6,500만 달러를 모았습니다.

Experian은 2013년 12월에 침해로 인해 피해를 입은 고객이 없다고 밝혔습니다. 적어도 그들의 지식은 아닙니다.

딥 루트 분석 데이터 침해

(출처: 업가드)

연도: 2015

노출된 기록: 1억 9,800만

2015년 12월에는 도널드 트럼프가 여전히 대선 후보에 불과한 크리스마스를 전후 하여 가장 큰 사이버 보안 침해 중 하나가 발생했습니다 .

1억 9,800만 명이 넘는 유권자 기록이 제대로 보호되지 않은 데이터베이스에 보관된 것으로 나타났습니다. 이름, 거주 국가, 주소, 생년월일, 전화번호 및 투표 세부 정보가 모두 대중에게 공개되었습니다. 민족 및 종교 세부 사항도 팩에 포함되었습니다.

Chris Vickery는 다시 취약점을 발견했습니다. 그는 모든 정보가 아무런 방어책도 없이 클라우드 서버에 보관된다고 전했다. 1.1TB의 데이터는 빠른 마음을 가진 사람이라면 누구나 잡을 수 있습니다.

TargetPoint Consulting 및 Data Trust도 선거 위반에 관여 했지만 주요 책임은 Deep Root Analytics에 있습니다.

1억 명이 넘는 개인에게 영향을 준 멕시코 와 필리핀 의 이전 데이터 유출 뉴스 에 이어 DRA 유출로 인해 전 세계적으로 투표 정보가 보호되는 방식에 대한 우려가 제기되었습니다.

대규모 미국 위반

(출처: 기술검토)

연도: 2005-2012

노출된 기록: 1억 6천만

이것은 대규모의 조직적인 공격이었습니다.

러시아 해커 그룹이 2005년에서 2012년 사이 7년 동안 여러 회사의 신용/직불 카드 번호에 액세스하여 수집했습니다.

세븐일레븐, JC페니, 하트랜드 페이먼트 시스템즈, 까르푸, 웻씰, 덱시아, 코미디아, 한나포드, 젯블루, 유로넷, 다우존스, 글로벌페이먼트, 비자조던, 인제니카드, 다이너스 싱가포르 등 총 15개 기업이 해킹을 당했다 .

당시 뉴저지 검사인 Paul Fishman 은 이 작전을 "미국 역사상 가장 큰 해킹 및 데이터 유출 계획" 이라고 불렀습니다 . 우리는 지금 더 큰 침해에 대해 알고 있지만 당시에는 충격적이었습니다.

이 침해로 인해 해킹당한 회사 와 그 소비자에게 수억 달러 의 손실이 발생했습니다 . 이 외에도 3명의 기업 피해자가 공격으로 인해 3억 달러 이상의 손실을 입었다고 보고했습니다.

신분 도용 가능성은 말할 것도 없습니다.

뉴어크 연방 법원에 따르면 가해자는 블라디미르 드링크맨, 알렉산드르 칼리닌, 로만 코토프, 미하일 리티코프, 드미트리 스밀리아네츠로 모두 러시아나 우크라이나에 거주하고 있습니다.

보고서에 따르면 Smilianets는 유출된 신용 카드 번호 를 판매하고 유죄 판결을 받기 전에 팀원들과 이익을 공유했습니다.

Under Armour 데이터 침해 [MyFitnessPal]

(출처: 포브스)

연도: 2018

노출된 기록: 1억 5천만

2018년 3월, 건강 앱 MyFitnessPal은 의료 틈새 시장에서 가장 큰 데이터 유출 중 하나를 공개했습니다 .

개인 정보 보호의 위반 150 만명의 사용자에 영향을 미쳤다. 기록에는 사용자 이름, 이메일 주소 및 해시된 암호가 포함되었습니다. 자, 이미 눈치채셨겠지만, 이 상황에 대한 은색 라이닝이 있습니다. 암호가 해시되었습니다. 이는 해커가 이미 데이터를 소유한 후에도 데이터를 해독하는 데 어려움을 겪었음을 의미합니다.

이런 종류의 일에 익숙하지 않은 경우 그 이유가 궁금할 수 있습니다.

음, 해싱 알고리즘의 복잡성에 따라 암호는 주요 데이터 침해 후에도 수십 년 동안 안전하게 유지될 수 있습니다 . 또는 몇 분 안에 해독됩니다. 예, 암호화가 있다고 해서 비밀번호가 안전한 것은 아닙니다.

존경받는 회사가 가장 높은 순위의 암호화 도구를 사용하지만 사용자는 이러한 위반 후에도 암호를 변경하는 것이 좋습니다.

Under Armour는 데이터 유출 사례 가 훨씬 더 많기 때문에 고객에게 재무 데이터가 유출되지 않도록 했습니다. 재무 및 일반 정보를 별도의 위치에 저장하는 것이 좋습니다.

위반의 일환으로 운전 면허증이나 주민등록번호도 유출되지 않았습니다.

대체로 이 공격은 파괴적인 여파가 없었지만 그럼에도 불구하고 우려스럽습니다.

Equifax 데이터 침해

(출처: 라이프락)

연도: 2017

노출된 기록: 1억 4,550만

가장 최근의 데이터 침해 사례 가 2017년에 폭로되었습니다. 해커 공격은 1억 4,550만 미국 소비자에게 영향을 미치고 자세한 개인 정보에 액세스할 수 있게 되었습니다.

신용 보고 분야의 유명 기업인 Equifax는 7월 29일 이 침해 사실을 발견했습니다. 성명, 주민등록번호, 생년월일, 주소, 운전면허증 번호를 공개할 정도로 침해 규모가 컸습니다.

고객에 대한 Equifax의 조언은 단지 일반적인 확신일 뿐 실체가 없었습니다. 많은 기업들이 이와 같은 상황에서 취하는 방식입니다.

Equifax 데이터 유출 이후 자세한 보도 자료에서 해커 공격에 대해 설명했습니다. 그들에 따르면 가해자들은 미국 웹사이트 앱의 취약점을 이용해 방어선을 무너뜨렸다.

그러나 손상된 계정에서 승인되지 않은 활동은 발생하지 않은 것으로 보입니다.

그러한 침해를 방지하는 것은 모든 기업의 최우선 관심사가 되어야 합니다. 시간, 헌신, 환경에 대한 이해가 필요합니다. 다시 말하지만 이것은 해킹에도 적용됩니다.

이베이 데이터 유출

(출처: BankInfoSecurity)

연도: 2014

노출된 기록: 1억 4,500만

2014년 eBay는 사이버 공격의 피해자가 되었다고 발표했습니다.

1억 4,500만 고객의 eBay 계정 이 각각 해킹당했습니다 . 사이버 범죄자들은 ​​개인 정보와 암호화된 암호를 획득했습니다.

이것은 모든 시간의 가장 큰 데이터 침해의 하나 만물의 직원 로그인 자격 증명을 사용하여 실시 하였다. 직원이 계획에 "참여"했는지 또는 회사가 실제로 해킹을 당했는지는 대중에게 알려지지 않았습니다.

제가 언급한 개인 정보에는 생년월일, 우편 주소, 전화번호, 이름이 포함되었습니다. 플랫폼에 따라 금융 정보가 손상되지 않았습니다.

침해가 발생한 지 2주 후에 회사는 사용자 계정에서 의심스러운 활동이 발생하지 않았음을 사용자에게 확인했습니다.

재무 세부 정보는 공개되지 않았지만 eBay 데이터 유출은 여전히 거의 1억 5천만 개의 기록으로 구성되어 있습니다. 약간의 피해를 입히기에 충분한 정보 이상입니다.

Javelin Strategy and Research의 숙련된 보안 분석가인 Al Pascual에 따르면 이 침해는 스피어 피싱 캠페인을 통해 접근했을 가능성이 높습니다. 스피어 피싱은 회사의 특정 구성원을 대상으로 무단 액세스 권한을 얻도록 설계된 이메일 스푸핑 전술입니다.

전문가는 "시스템은 가장 취약한 링크만큼 안전하며, 그 사람이 바로 사람입니다."라고 덧붙였습니다.

"우리는 이 문제를 적극적으로 조사하기 위해 법 집행 기관 및 주요 보안 전문가들과 협력하고 있습니다."라고 브랜드는 초기 침해 보고 후 공유했습니다.

Heartland 결제 시스템 데이터 유출

(출처: 코모도)

연도: 2009-2017

노출된 기록: 1억 3,400만

10년 전 하트랜드 결제 시스템(Heartland Payment Systems) 침해는 사상 최대 규모의 작전으로 간주되었습니다.

가장 피해가 큰 세간의 이목 을 끄는 데이터 침해 중 하나가 발생했을 때 침입자는 자기 카드 스트립의 코드 데이터를 포함하여 1억 3,400만 개의 고유한 신용 카드를 훔쳤습니다.

이것은 큰 것이었습니다.

Heartland Payment Systems는 2008년에 약 1억 건의 거래를 수행하여 175,000명의 판매자에게 서비스를 제공했습니다. 그들 모두는 고객의 정보를 안전하게 유지하기 위해 이 회사에 의존했습니다. 상상할 수 있듯이 유출된 정보는 회사뿐만 아니라 함께 일하는 모든 비즈니스에 영향을 미쳤습니다. 이들 대부분은 중소기업이었다.

이것이 사상 최대의 데이터 유출 중 하나라는 점을 고려하면 상당히 보행자적인 방식으로 발생했습니다. 작업이 SQL 주입에 의해 시작되었습니다. 간단히 말해서 해커는 웹 스크립트에 추가 데이터베이스 명령을 포함하여 서버가 명령을 따르도록 했습니다.

해커는 2009년에 처음 침해가 발생했을 때부터 8년 동안 이 취약점을 악용해 왔습니다.

Heartland 보고서에 따르면 해커는 탐지되지 않고 결제 처리 시스템에 들어가는 데 8개월이 걸렸습니다. Heartland가 사용한 모든 안티바이러스 제공업체는 이를 발견할 수 없었습니다.

주요 해킹 사건 이 진행됨에 따라 이 사건의 배후에 있는 사람들은 오랫동안 사기를 치고 있었습니다. 공격자들의 결단은 마침내 "스니퍼" 스파이웨어가 현장에 들어왔을 때 빛을 발했습니다.

일반적으로 이러한 스파이웨어는 네트워크 트래픽을 수집하고 모니터링하는 데 사용할 수 있습니다. 그런 다음 회사는 이를 분석하고 존재하는 문제를 해결합니다.

반면에 "스니퍼"는 해커가 대상 정보를 가리키도록 할 수도 있습니다. 보고서에 따르면 이 그룹은 침해 후 도난당한 신용 카드를 사용하는 데 필요한 모든 정보를 가지고 있었습니다.

Heartland Payment Services의 암울한 결과는 PCI DSS와의 연결 종료, 수익 감소, 보상금 1억 4,500만 달러, 총 2억 달러 이상의 손실이었습니다.

네임테스트 데이터 침해

(출처: 포스바이트)

연도: 2017-2018

노출된 기록: 1억 2천만

최근 데이터 침해의 목록은 페이스 북이 포함 된 하나없이 완전하지 않을 수 있습니다.

나는 우리 모두가 얼마 전 Facebook-Cambridge Analytica 스캔들 동안 무슨 일이 있었는지에 대해 적어도 어느 정도는 알고 있다고 생각합니다. "내 페이스북을 삭제하겠다"는 대규모 패닉, 저커버그는 로봇이다.

나는 스캔들 자체에 대해 더 깊이 들어가지 않고 오히려 Nametests에 집중할 것입니다.

이름 테스트?

처음 들었을 때와 똑같은 반응을 보였다. Nametests는 자신에게 가장 적합한 가상의 캐릭터를 결정하는 데 사용되는 Facebook 퀴즈 앱입니다.

Nametests 120 만명의 사용자의 개인 정보를 노출하여 2018의 가장 큰 데이터 유출에 영향을했다. Inti De Ceukelaire가 이를 감지하지 못했다면 앱은 계속해서 사용자 정보를 남용했을 것입니다.

보안 연구원은 Facebook의 데이터 남용 현상금 프로그램 중에 Nametests 슬립을 발견했습니다.

Ceukelaire는 새로 생성된 웹사이트를 설정하고 Nametests에 대한 연결을 설정했습니다. 그는 저장된 모든 Facebook 프로필 세부 정보(이름, 사진, 게시물, 직업 등)에 액세스하는 데 땀을 쏟지 않았습니다.

또한 Nametests는 사용자의 피드에 실시간으로 액세스할 수 있는 토큰을 배포하고 있었습니다. 앱을 삭제한 경우에도 웹사이트의 제3자와 개인 정보를 계속 공유합니다.

LinkedIn 데이터 침해

(출처: 포춘)

연도: 2012

노출된 기록: 1억 1,700만

2012년으로 돌아가서 LinkedIn은 650만 명의 사용자 계정을 도용했습니다. 당연히 인터넷 커뮤니티에서는 "LeakedIn"이라는 별명을 얻었습니다.

이것은 현재까지 세계에서 가장 큰 데이터 유출 중 하나입니다 .

650만은 여전히 ​​많은 숫자이지만 LinkedIn은 신속하게 조치를 취하여 손상된 계정을 비활성화했습니다.

획득한 데이터는 러시아 기반 포럼에 판매용으로 게시되었습니다. LinkedIn은 이에 대응했고 문제는 더 이상 없었습니다. 이로 인해 회복할 시간이 있었지만 2018년 5월에 새로운 소름 끼치는 세부 사항 이 나타났습니다.

650만개의 유출 계정이 갑자기 1억1700만개로 밝혀졌다. 또한 DarkWeb 시장에서 구매할 수 있었습니다. 러시아에 기반을 둔 해커인 "Peace" 또는 "Peace_of_Mind"는 5 BTC( Bitcoin ) 에 판매하고 LinkedIn 을 현재까지 가장 유명한 데이터 유출 중 하나로 만들었습니다 .

LeakedSource는 이 데이터베이스의 검색 가능한 목록을 소유하고 있다고 주장하며 1일 평가판 옵션은 4달러입니다.

LinkedIn의 CISO인 Carry Scott은 유출된 계정의 비밀번호를 재설정했다고 밝혔습니다.

MindBody 데이터 침해

(출처: Pymnts)

연도: 2018

노출된 기록: 1억 1,350만

2018년에 FitMetrix는 MindBody 제품군의 일부가 되었습니다. 그리고 그것은 또한 해킹 된 회사의 클럽에 가입했다.

체육관 및 웰빙 서비스 대기업인 MindBody는 인수에 1,530만 달러를 지불했습니다. 그들은 그보다 훨씬 더 많은 비용이 들 것이라는 사실을 거의 알지 못했습니다.

FitMetrix에서 1억 1,350만 사용자 계정의 대규모 데이터 유출이 발생했습니다. 각 기록은 사용자 이름, 이메일 주소, 성별, 전화번호, 사진, 키, 체중, 신발 사이즈 및 원하는 체육관 위치로 구성되었습니다.

비상 연락처와 "추가 정보"라고 표시된 정보도 나열되었습니다.

Bob Diachenko 는 2018년에 이 상당히 최근의 데이터 유출 을 발견했습니다 . Diachenko는 Hacken의 사이버 위험 연구 책임자이며 해당 주제에 대한 전문가로 간주됩니다. 그의 보고서에 따르면 많은 MindBody 서버가 암호로 보호되지 않았습니다.

그들의 데이터베이스 중 하나에는 몸값 메모가 첨부되어 있었습니다.

그의 생각에 침입자들은 데이터베이스에 접근하여 이를 내보내고 삭제하고 나중에 몸값 메모를 첨부하는 것이었습니다. MindBody는 그의 발견에 대해 많은 생각을 하지 않았습니다.

그들은 TechCrunch 기사가 밝혀진 후에야 침해에 대처했습니다 .

"우리는 이 취약점을 닫기 위한 즉각적인 조치를 취했습니다."라고 회사는 말했습니다. 알다시피, 몇 달 후의 종류의 즉시.

TJ Stores 데이터 유출

(출처: 컴퓨터월드)

연도: 2007

노출된 기록: 1억

2007년 의 가장 큰 데이터 유출 중 하나는 TJX Companies가 1억 개 이상의 고객 기록을 표적으로 한 해커 공격에 대한 정보를 공개하면서 대중에게 알려졌습니다.

해커는 신용 카드 번호, 구매 반품 기록, 이름, 운전 면허증 번호와 같은 일반적인 유형의 정보를 표적으로 삼았습니다.

그 중 4,560만 건은 다양한 국가의 사용자들의 카드번호였다. 그러나 TJX를 상대로 한 소송 에 따르면 실제 숫자는 9400만입니다.

2018년 의 데이터 유출 과 유사하게 12년 전의 데이터 유출 은 회사의 시장 가치에 영향을 미쳤습니다. 2007-8년 주식 시장 통계에 따르면 회사 주가는 $30에서 $29로 하락하여 회사 가치가 3.4% 감소했습니다.

TJX 위반 비용은 약 2억 5천만 달러에 달했습니다. 여기에는 보안 결함 연구, 청구, 소송 및 벌금이 포함됩니다.

침해 사고에 대한 책임이 처음으로 제기된 해커인 Albert Gonzales 는 US Secret Service의 완전한 승인을 받아 행동한 것으로 결정되었습니다.

그는 2011년 형에 대해 항소했지만 TJX 위반은 역사상 가장 충격적인 사건으로 남을 것입니다.

VK.com 데이터 침해

(출처: TheHackerNews)

연도: 2016

노출된 기록: 1억

최근의 또 다른 데이터 유출 로 인해 러시아에서 가장 발전된 소셜 네트워킹 플랫폼인 VK.com이 발생 했습니다.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

결론

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.