27+ maiores violações de dados da história [atualizado em 2021]

Um ataque de hacker acontece a cada 39 segundos nos EUA.

Essa frequência pode ser preocupante no início.

No entanto, na realidade, a maioria dos ataques têm pouco impacto na sociedade, apesar de ataques de alto perfil acontecem. Eles não são perigosos para Voldemort, mas alguns deles chegam bem perto.

Existem cinco alvos principais que compartilham as maiores violações de dados na história moderna. Estes são o seu nome completo, endereço de e-mail, endereço físico, endereço IP e informações do cartão de crédito.

Aqui está uma amostra do que estamos falando:

• O declínio do Yahoo foi certamente acelerado pela maior violação de dados relatada até o momento: 3 bilhões de contas foram expostas.
• Hackers furtivos conseguiram coletar dados pessoais de mais de 505 milhões de hóspedes do Marriott International até 2020.
• 412 milhões de membros da rede adulta FriendFinder também foram invadidos por ávidos roubos de dados.
• Um único jovem hacker levou vários anos para acessar mais de 200 milhões de contas de usuário com informações confidenciais; eles pertenciam exclusivamente à Court Ventures.
• O LinkedIn ficou conhecido como LeakedIn depois que 117 milhões de contas foram roubadas.
• Os entusiastas do fitness também não foram poupados - quase 113 milhões de usuários do FitMetrix compartilharam involuntariamente seus dados pessoais com hackers desconhecidos.
• Voltando mais no tempo, em 2008, 134 milhões de números de cartão de crédito foram retirados da Heartland Payment Systems.
• Ainda no tópico, a Equifax relatou os dados de pagamento de mais de 145,5 milhões de usuários expostos até 2017.

Não vou revisar o Grande Ataque do Papiro no passado, mesmo que tenha sido uma violação maciça por si só. Em vez disso, vou dar uma olhada nas armadilhas da segurança moderna e como elas nos afetaram.

Mas, primeiro, vamos revisar as violações de segurança mais recentes em 2020 .

Violações de dados em 2020

2020 começou com vários ataques cibernéticos. Embora não sejam as maiores violações de dados de todos os tempos , os ataques expuseram os dados de milhões de usuários, incluindo informações pessoais, e-mails, senhas e números de cartão de crédito.

Isso mostra que mesmo os sistemas modernos de segurança de ponta não são tão eficazes quanto se esperava.

Portanto, sem mais delongas, surgirão as últimas violações de informações em 2020.

Elasticsearch Data Breach 2020

(Fonte: BankInfoSecurity)

Registros expostos: 250 milhões

Um dos vazamentos de informações mais recentes envolve a Microsoft. O gigante da tecnologia “acidentalmente” expôs 250 milhões de registros de suporte ao cliente por mais de três semanas. O que aconteceu foi que a Microsoft armazenou esses dados em cinco bancos de dados Elasticsearch mal configurados.

Embora a investigação da empresa não tenha revelado nenhum roubo de dados , suas ações caíram quase US $ 10 por ação .

Clearview AI Data Breach 2020

(Fonte: The Daily Beast)

Registros expostos: Desconhecido (toda a lista de clientes da empresa)

Em fevereiro, a polêmica empresa relatou que um hacker “obteve acesso não autorizado” à sua lista de clientes. Muitos de seus clientes são agências de aplicação da lei, que podem tirar fotos de um suspeito e compará-las ao banco de dados da empresa de mais de 3 bilhões de imagens.

A reação da empresa à violação cibernética foi simples: “Infelizmente, as violações de dados fazem parte da vida no século 21”. No entanto, a empresa afirma ter corrigido a vulnerabilidade e seus servidores estão seguros.

Nintendo Data Breach 2020

(Fonte: The Verge)

Registros expostos: 160.000

Em abril, a Nintendo anunciou que cerca de 160.000 contas, listas de e-mail e senha foram expostas. A lista de dados vazados também inclui nomes, datas de nascimento, sexo e país.

A empresa incentivou seus usuários a usar a autenticação de dois fatores para melhorar a segurança de suas contas.

Por outro lado, nenhuma informação de cartão de crédito vazou, então as moedas dos usuários estão seguras no bloco.

Pegue?

Enfim, vamos para o próximo.

Tetrad Data Breach 2020

(Fonte: UpGuard)

Registros expostos: 120 milhões

Em fevereiro, o Tetrad foi vítima de uma violação massiva de dados que expôs informações sobre milhões de famílias e empresas americanas.

A empresa configurou incorretamente um bucket do Amazon S3, tornando os dados acessíveis a qualquer pessoa com um navegador da web. As informações foram localizadas em três arquivos totalizando 747 GB. Felizmente, uma semana depois que o vazamento foi descoberto, a empresa corrigiu a vulnerabilidade.

Virgin Media Data Breach 2020

(Fonte: BBC)

Registros expostos: 900.000

As empresas certamente facilitam o trabalho dos cibercriminosos.

Em maio, a Virgin Media admitiu que havia dados pessoais de cerca de 900.000 usuários que ficaram acessíveis e sem segurança por 10 meses.

O motivo?

Um banco de dados mal configurado, é claro!

Alguém realmente deveria tentar ensinar a esses caras como configurar corretamente um banco de dados.

Foi acessado pelo menos uma vez por um usuário não autorizado. O lado bom é que as informações vazadas não incluíram nenhuma informação financeira.

Wawa Data Breach 2020

(Fonte: ZDNet)

Registros expostos: 30 milhões

Nossa lista de violações de dados para 2020 não estaria completa sem o Wawa. Em janeiro, mais de 30 milhões de detalhes de cartões de pagamento foram colocados à venda no Joker's Stash, um dos maiores bazares de fraude online.

A empresa anunciou a violação em dezembro de 2019, mas os dados apareceram no mercado negro alguns dias após a véspera de Ano Novo. Essa violação de cartão de pagamento está entre as maiores, junto com a Home Depot (50 milhões) e a Target (40 milhões).

GoDaddy Data Breach 2020

(Fonte: Security Magazine)

Registros expostos: 28.000

Em 23 de abril, GoDaddy identificou que nomes de usuário e senhas SSH foram comprometidos por meio de um arquivo SSH alterado. Não está claro se esta violação de dados recente foi devido a detalhes de login roubados anteriormente ou ataques de força bruta , mas o provedor de hospedagem afirmou que “o ator da ameaça não tinha acesso às contas GoDaddy principais dos clientes”.

Embora os 28.000 registros expostos não possam ser chamados de uma grande violação de dados , considerando que GoDaddy gerencia 77 milhões de domínios, esse vazamento levanta algumas questões de segurança.

Agora.

Os números mostram claramente como os dados do usuário podem ser vulneráveis. Eles podem sugerir que você tome um pouco mais de cuidado sempre que estiver online.

Dito isso, vamos prosseguir para as maiores violações de dados do mundo.

Violação de dados do Yahoo

(Fonte: CSO)

Ano - 2013-2014

Registros expostos: 3 bilhões

O Yahoo está longe de sua antiga glória. A queda maciça do império do Yahoo começou em 2013. Uma parte ainda desconhecida invadiu o banco de dados do Yahoo, obtendo acesso a 3 bilhões de contas . Este é o maior hack que o Yahoo já encontrou e a maior violação de dados da história . E eles só descobriram em 2016.

O ataque aconteceu bem no meio de suas negociações com a Verizon, que mais tarde adquiriu o Yahoo por US $ 4,48 bilhões. O preço revisado foi US $ 350 milhões menos do que o esperado anteriormente, mas isso foi apenas a ponta do iceberg para o Yahoo.

As informações roubadas incluíam nomes completos, datas de nascimento, endereços de e-mail e senhas e correspondência de questões de segurança (perguntas / respostas).

A empresa afirma que o ataque foi conduzido por hackers financiados pelo Estado. Um artigo da Vice mostra que o Departamento de Justiça está apontando os membros do Serviço de Segurança Federal da Rússia como os iniciadores da violação massiva de dados do Yahoo .

Os dados pessoais foram supostamente usados ​​para comprometer (possivelmente chantagear) autoridades americanas e russas, jornalistas e alguns indivíduos do setor privado. Alguns dos detalhes da conta também foram colocados à venda no “TheRealDeal”, um conhecido mercado virtual darknet.

Conhecimento é poder, certo?

Embora tenha acontecido anos atrás, essa violação ainda está no topo do ranking de violações de dados mais famosas .

Violação de dados de mídia de River City

(Fonte: TheRegister)

Ano: 2017

Registros expostos: 1,37 bilhão

Uma das mais recentes violações de dados preocupantes aconteceu na primavera de 2017, quando a River City Media encontrou uma exposição maciça de dados.

Nunca vi uma pessoa pular de alegria ao ver um e-mail de spam. Para minha surpresa genuína, descobri que muitas pessoas os abrem, fornecendo, assim, algumas métricas de dados para empresas voltadas para spam.

River City Media conseguiu, de alguma forma, permitir o acesso não autorizado a um grande banco de dados de e-mails e endereços postais. Isso resultou em 1,37 bilhão de registros de assinantes repentinamente liberados .

No entanto ... isso não foi exatamente uma violação.

A empresa de marketing sediada em Jackson, Wyoming, concedeu acesso gratuito a um repositório de 200 GB. De acordo com Chris Vickery, o primeiro a descobrir o problema, os dados aguardavam em silêncio em um sistema sem proteção por senha.

Acontece que algumas das maiores violações de dados de todos os tempos nem sempre são causadas por hackers, hein?

OK, vamos ver o que os caras desleixados vazaram - nomes reais e completos e endereços IP / e-mail / físicos. Dezenas de milhões de pessoas tiveram suas informações vazadas para qualquer pessoa que desejasse acessá-las.

Além disso, a violação esclareceu os planos de desenvolvimento da RCM, juntamente com uma lista de afiliadas não divulgadas da empresa.

A River City Media não respondeu imediatamente ao vazamento, pois manteve suas intenções em segredo. Mas as violações de dados de alto perfil geralmente não apreciam o silêncio.

A marca tentou explicar sua falta de ação declarando posteriormente que todos os dados foram obtidos legalmente de acordo com os requisitos da FTC e do Can-Spam Act de 2003. No entanto, isso não os salvou de receber uma marca de lista negra do Spamhaus.

Violação de dados da Marriott International [atualizado em 2020]

(Fonte: Vox)

Ano: 2014-2018, 2020

Registros expostos: 505+ milhões

Estamos mudando para o ramo de hotelaria por um tempo. Marriott International anunciou em 30 de novembro que seus registros de dados foram violados. Os hackers tiveram acesso a seus registros de 2014 até o final de 2018. E mais uma vez em janeiro de 2020.

Quando falamos sobre violações de dados em 2020 , não podemos perder Marriott International. Uma das mais recentes violações de segurança permitiu o acesso aos dados pessoais de mais de 5,2 milhões de visitantes . Os dados incluem detalhes de contato, informações pessoais, preferências e muito mais.

No entanto, em termos de grandes violações de dados, 5,2 milhões de registros não é tão impressionante. Então, vamos ver o que aconteceu alguns anos atrás - de 2014 a 2018.

No que diz respeito às violações de segurança cibernética , esta foi uma das mais antigas. Alvo.

Os espólios da violação foram estimados em informações pessoais de 500 milhões de pessoas .

O banco de dados continha nomes (combinações completas e parciais), endereços de correspondência / e-mail, números de telefone, informações da conta, data de nascimento, gênero, datas de reserva, horários de chegada / partida, números de cartão de pagamento / datas de validade e informações de passaporte.

Felizmente, todas as informações do cartão de crédito (8,6 milhões de números de cartão de crédito / débito) estavam sob criptografia AES-128 . OK, pelo menos as informações de pagamento estão seguras ... senão mais.

Esta é uma das maiores violações de dados e uma grande parte dos dados pode ser lida por qualquer pessoa .

Por exemplo, 5,25 milhões de números de passaportes de clientes não foram criptografados. Isso era apenas um pouco ao norte de 20% de todos os números registrados, já que outros 20,3 milhões deles estavam realmente criptografados. A Marriott International fez uma avaliação adicional dos danos e estimou o número de clientes afetados em 383 milhões.

Certo, quem usa tantos registros de convidados? Uma pergunta ingênua, sim, mas os especialistas acreditam que as equipes chinesas de coleta de inteligência estão por trás do ataque.

O fato é que a Marriott International ainda não revelou quem acredita estar por trás de uma das violações de dados mais famosas de todos os tempos.

Eles reagiram às notícias sobre a violação dizendo que seus objetivos principais eram “descobrir o que ocorreu” e “como eles podem ajudar melhor seus hóspedes”.

Violação de dados da rede FriendFinder

(Fonte: ComputerWorld)

Ano: 2016

Registros expostos : 412 milhões

Algumas pessoas preferem ceder o acesso à sua conta bancária em vez de ter seu histórico sexual tornado público. É por isso que não é de admirar que este tenha sido nomeado “a maior violação de 2016”. Os registros expostos totalizaram mais de 412 milhões de informações, incluindo nomes de usuário e senhas e endereços de e-mail.

Hackear a base de usuários da “Maior Comunidade de Sexo e Swinger do Mundo” poderia facilmente ser classificado como uma das maiores violações de dados do mundo , considerando a natureza sensível das informações. A Rede FriendFinder sofreu uma violação de segurança contendo dados de clientes, acumulados ao longo de mais de duas décadas. Os dados foram espalhados por seis bancos de dados diferentes - FriendFinder, Adultfinder, Cams, Penthouse, iCams e Stripshow.

A avaliação do LeakedSource é que todas as informações confidenciais foram mantidas em texto simples ou hashing SHA1 . O que é uma péssima maneira de armazenar dados de clientes. Novamente, Leaked Source aponta outubro como o período mais provável do hack.

Sim, desta vez são os hackers.

FriendFinder afirma que se preocupa com a segurança de seus clientes. Bem, eles poderiam ter compartilhado as informações sobre as violações de segurança mais cedo. É apenas uma cortesia comum acertar as coisas com seus clientes e avisá-los. "Ei, pessoal, meio que fomos hackeados ... só para vocês saberem."

Além disso, o LeakedSource ainda conseguiu quebrar 99% das senhas criptografadas. Naturalmente, a senha mais usada acabou sendo 123456. Não estou dizendo que “vanillaicecream1902” é mais fácil de lembrar, mas pode tornar sua conta um pouco mais segura. (E ainda é muito mais seguro, de acordo com especialistas.). Dito isso, para aqueles que ainda usam esse tipo de senha, preparamos um guia prático sobre como criar uma senha forte .

Violação de dados do MySpace

(Fonte: TechCrunch)

Ano: 2016

Registros expostos: 360 milhões

Fevereiro de 2016 não foi nada calmo para o MySpace.

Embora muitos tenham se esquecido da plataforma, ela ainda existe. Foi responsável por uma das maiores violações de dados até hoje, marcando mais de 360 ​​milhões de pontos no aplicativo Stolen Account Records.

(Esse aplicativo não existe, não procure por ele.)

Embora a Time Inc., a atual proprietária do MySpace, tenha confirmado que os dados roubados eram antigos, ainda assim é um grande sucesso. Segundo eles, os hackers só conseguiram adquirir dados antes de 11 de junho de 2013. E o que eles conseguiram? Listas de e-mail e senha . Até uma segunda senha de vez em quando.

O CFO do MySpace, Jeff Bairstow, foi rápido em assegurar aos usuários que eles levam a segurança de dados “extremamente a sério”.

Mesmo que não pareça tão grave quanto as violações de segurança cibernética anteriores , essas contas contêm todos os tipos de informações pessoais. Nome, ocupação, atividade de rede e algumas métricas pré-históricas de quando o MySpace era popular.

Além disso, considere isso - muitos usuários estão acostumados a digitar a mesma senha para todas as suas contas online. Se alguém obtiver conhecimento de sua senha do MySpace, é provável que consiga fazer login em pelo menos um de seus outros perfis da Internet.

Portanto, a variedade é a chave.

Violação de dados exata

(Fonte: InfoArmor)

Ano: 2018

Registros expostos: 230 milhões

Ao analisar todos os casos recentes de violação de dados em 2018 , não demorou muito para que o nome Exactis aparecesse. Uma empresa de agregação / marketing de dados situada em Palm Coast, Flórida, que ... você adivinhou, também foi hackeada.

Parece que eles apóiam a abordagem de mostrar menos, sabendo muito mais.

É preocupante que a Exactis tenha conseguido expor informações pessoais de 230 milhões de cidadãos americanos em 2018. A violação veio à tona em junho pelas mãos de Vinny Troia, um pesquisador de segurança que estava verificando as defesas da empresa ElasticSearch.

Troia usou o Shodan, um mecanismo de busca que visa dispositivos conectados à Internet, para descobrir uma das maiores violações de dados em 2018 - cerca de 7.000 bancos de dados diferentes em servidores públicos. Um deles pertencia ao Exactis e estava apenas relaxando, totalmente desprotegido.

Exatamente como seu almoço de colégio deixado na mesa comum do refeitório.

Ao contrário da preciosa mordida de comida, no entanto, o banco de dados Exactis consistia em cerca de 340 milhões de registros. Pouco mais de 66% deles são vinculados a pessoas físicas, enquanto o restante pertence a empresas com atuação nacional.

Felizmente, nenhum número de previdência social ou número de cartão de crédito foi divulgado.

No entanto, muitas outras informações vazaram: endereços físicos, endereços de e-mail, números de telefone, idade, sexo, até mesmo o sexo dos filhos dos clientes, religião e hábitos de fumar.

Mais uma vez, não está claro se foi uma violação coordenada de um hacker ou apenas um vazamento malfeito.

Violação de dados da Court Ventures

(Fonte: KrebsOnSecurity)

Ano 2013

Registros expostos: 200 milhões

Voltando aos principais eventos de hackers para uma mudança, outubro de 2013 trouxe à Court Ventures, uma empresa pertencente à Experian, uma violação em que 200 milhões de registros de consumidores foram expostos. A forma como a violação ocorreu é fascinante.

Hieu Minh Ngo, de 25 anos, conseguiu executar uma operação de roubo de identidade completamente invisível por algum tempo. O hacker se passou por um PI com endereço nos Estados Unidos para obter acesso às informações do cliente por até dez meses.

Isso foi o suficiente para reunir 200 milhões de registros de informações pessoais confidenciais.

Ele então o vendeu para mais de 1.300 pessoas em seus dois sites de roubo de identidade - Superget.info e Findget.me. As violações da segurança da informação podem ser bastante lucrativas às vezes.

Ele fez tudo isso enquanto estava no Vietnã. No entanto, ele foi posteriormente condenado a 13 anos em uma prisão federal dos Estados Unidos em julho de 2015.

De acordo com o The San Diego Union-Tribune, é possível que mais de 30 milhões de consumidores tenham sido vítimas de dados roubados. Além disso, 13.000 formulários de declaração de impostos fabricados foram preenchidos por Ngo e seus possíveis afiliados.

Isso resultou na arrecadação de $ 65 milhões em restituições de impostos não existentes.

A Experian declarou em dezembro de 2013 que nenhum cliente foi prejudicado pela violação. Pelo menos não ao conhecimento deles.

Violação de dados do Deep Root Analytics

(Fonte: UpGuard)

Ano: 2015

Registros expostos: 198 milhões

Em dezembro de 2015, ocorreu uma das maiores violações da segurança cibernética por volta do Natal, com Donald Trump ainda sendo apenas um candidato à presidência.

Acontece que mais de 198 milhões de registros eleitorais foram mantidos em um banco de dados mal protegido - nomes completos, estado de residência, endereços, data de nascimento, números de telefone e detalhes de votação foram divulgados ao público. Detalhes de etnia e religião também estavam no pacote.

Chris Vickery foi novamente o único a detectar a vulnerabilidade. Ele compartilhou que todas as informações eram mantidas em um servidor em nuvem sem quaisquer defesas. 1.1 TB de dados estavam à disposição de qualquer pessoa com uma mente rápida.

A TargetPoint Consulting e a Data Trust também estiveram envolvidas na violação da eleição, mas a principal responsabilidade é do Deep Root Analytics.

Seguindo as notícias anteriores de violação de dados no México e nas Filipinas, que afetaram um pouco mais de 100 milhões de indivíduos, a violação do DRA levantou preocupações sobre como as informações de voto são protegidas em todo o mundo.

Massive American Breach

(Fonte: Revisão de Tecnologia)

Ano: 2005-2012

Registros expostos: 160 milhões

Este foi um ataque massivo e coordenado.

Um grupo de hackers russos conseguiu acessar e coletar números de cartão de crédito / débito de várias empresas por sete anos completos, entre 2005 e 2012.

Havia um total de 15 empresas hackeadas - 7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard e Diners Singapore.

Naquela época, a operação era chamada de “o maior esquema de hacking e violação de dados já produzido nos Estados Unidos” por um promotor de Nova Jersey, Paul Fishman. Embora agora saibamos de violações maiores, esta foi chocante na época.

A violação causou centenas de milhões em perdas para as empresas que foram hackeadas e seus consumidores. Além disso, três vítimas corporativas relataram mais de US $ 300 milhões em perdas devido ao ataque.

Sem mencionar as possibilidades de roubo de identidade.

De acordo com o Tribunal Federal de Newark, os perpetradores foram Vladimir Drinkman, Alexandr Kalinin, Roman Kotov, Mikhail Rytikov e Dmitriy Smilianets - todos baseados na Rússia ou na Ucrânia.

Os relatórios sugerem que Smilianets conseguiu vender os números de cartão de crédito que vazaram e dividiu o lucro com os membros de sua equipe antes de serem condenados.

Under Armor Data Breach [MyFitnessPal]

(Fonte: Forbes)

Ano: 2018

Registros expostos: 150 milhões

Em março de 2018, o aplicativo de saúde MyFitnessPal tornou pública uma das maiores violações de dados no nicho de saúde.

A violação de privacidade afetou 150 milhões de usuários. Os registros incluíam nomes de usuário, endereços de e-mail e senhas com hash. Agora, como você já deve ter notado, há uma fresta de esperança nessa situação - as senhas foram hash. Isso significa que os hackers tiveram dificuldade em descriptografar os dados, mesmo depois de já estarem em sua posse.

Se você não está familiarizado com esse tipo de coisa, pode se perguntar por quê.

Bem, dependendo da complexidade do algoritmo de hashing, as senhas podem permanecer seguras por décadas, mesmo após grandes violações de dados . Ou ser descriptografado em questão de minutos. Então, sim, só porque há criptografia não significa que as senhas estão seguras.

Embora empresas respeitadas usem as ferramentas de criptografia de melhor classificação, os usuários ainda são aconselhados a alterar suas senhas após tal violação.

Sendo um dos exemplos mais benignos de violação de dados , a Under Armour garantiu aos clientes que nenhum dado financeiro vazasse. Ainda bem que eles armazenam informações financeiras e gerais em locais separados.

Nenhuma carteira de motorista ou número de segurança social vazou como parte da violação.

Em suma, este ataque não teve consequências tão destrutivas, mas é preocupante, no entanto.

Violação de dados Equifax

(Fonte: LifeLock)

Ano: 2017

Registros expostos: 145,5 milhões

Um exemplo assustador das violações de dados mais recentes foi exposto em 2017. O ataque de hackers afetou 145,5 milhões de consumidores nos Estados Unidos, obtendo acesso a informações pessoais detalhadas.

A Equifax, uma empresa renomada no campo de relatórios de crédito, descobriu a violação em 29 de julho. A violação foi grande, pois divulgou nomes completos, números de previdência social, datas de nascimento, endereços e números de carteira de habilitação para uso público.

O conselho da Equifax aos clientes era apenas garantias gerais e sem substância. Esse é o caminho que muitas empresas seguem em situações como essa.

Após a violação de dados do Equifax, eles lançaram alguma luz sobre o ataque do hacker em um comunicado de imprensa detalhado. Segundo eles, os perpetradores usaram uma vulnerabilidade no aplicativo do site dos EUA para quebrar suas defesas.

No entanto, nenhuma atividade não autorizada parece ter acontecido nas contas comprometidas.

A prevenção de tais violações deve ser um dos principais interesses de qualquer empresa. É preciso tempo, dedicação e compreensão do meio ambiente. Então, novamente, isso se aplica a hackers também.

Violação de dados do eBay

(Fonte: BankInfoSecurity)

Ano: 2014

Registros expostos: 145 milhões

Em 2014, o eBay anunciou que foi vítima de um ataque cibernético.

Cada uma das contas do eBay de 145 milhões de clientes foi hackeada . Os cibercriminosos obtiveram informações pessoais e senhas criptografadas.

Essa foi uma das maiores violações de dados de todos os tempos e foi conduzida com o uso de credenciais de login de funcionários, entre todas as coisas. Não é de conhecimento público se o funcionário estava “dentro” do plano ou se a empresa foi realmente hackeada.

As informações pessoais a que me referi incluem datas de nascimento, endereços para correspondência, números de telefone e nomes completos. Nenhuma informação financeira foi comprometida de acordo com a plataforma.

Duas semanas após a ocorrência da violação, a empresa garantiu aos usuários que nenhuma atividade suspeita ocorreu em nenhuma das contas de usuário.

Nenhum detalhe financeiro foi divulgado, mas a violação de dados do eBay ainda consistia em quase 150 milhões de registros. Informações mais do que suficientes para causar algum dano.

De acordo com Al Pascual, um experiente analista de segurança da Javelin Strategy and Research, a violação provavelmente foi abordada com uma campanha de spear phishing. Spear phishing é uma tática de falsificação de e-mail, projetada para atingir membros específicos de uma empresa para obter acesso não autorizado.

“O sistema é tão seguro quanto seu elo mais fraco, e muitas vezes é seu pessoal”, acrescentou o especialista.

“Estamos trabalhando com a aplicação da lei e especialistas em segurança líderes para investigar agressivamente o assunto”, disse a marca após o relatório inicial de violação.

Violação de dados dos sistemas de pagamento da Heartland

(Fonte: Comodo)

Ano: 2009-2017

Registros expostos: 134 milhões

Uma década atrás, a violação do Heartland Payment Systems foi considerada a maior operação desse tipo.

Durante uma das violações de dados de alto perfil mais prejudiciais , os invasores roubaram 134 milhões de cartões de crédito exclusivos, incluindo os dados codificados nas tiras de cartão magnético.

Este foi um grande problema.

A Heartland Payment Systems conduziu cerca de 100 milhões de transações em 2008, atendendo a 175.000 comerciantes. Todos eles contavam com essa empresa para manter seguras as informações de seus clientes. Como você pode imaginar, qualquer informação vazada afetou não apenas a empresa, mas todos os negócios com os quais trabalhavam. A maioria deles eram varejistas de pequeno e médio porte.

Considerando que essa foi uma das maiores violações de dados de todos os tempos, aconteceu de uma forma bastante prosaica. A operação foi iniciada por uma injeção de SQL. Simplificando, os hackers incluíram comandos de banco de dados adicionais em scripts da web para fazer o servidor obedecer a seus comandos.

Os hackers estavam se aproveitando da vulnerabilidade por oito anos, já que a violação inicial aconteceu em 2009.

De acordo com o relatório Heartland, os hackers demoraram oito meses para entrar no sistema de processamento de pagamentos sem serem detectados. Todos os provedores de antivírus usados ​​pela Heartland não conseguiram identificá-los.

Como principais eventos de hackers ir, as pessoas por trás este estava indo para o longo con. A determinação dos invasores finalmente valeu a pena quando um spyware “farejador” entrou em cena.

Normalmente, esse spyware pode ser usado para coletar e monitorar o tráfego de rede - as empresas então o analisam e resolvem quaisquer problemas presentes.

Por outro lado, os “farejadores” também podem apontar os hackers para suas informações de destino. Os relatórios sugerem que o grupo tinha todas as informações de que precisava para usar os cartões de crédito roubados após a violação.

O resultado sombrio para Heartland Payment Services foi o término de sua conexão com PCI DSS, uma diminuição de receita, $ 145 milhões em compensações e um total de mais de $ 200 milhões em perdas.

Violação de dados de nametests

(Fonte: Fossbytes)

Ano: 2017-2018

Registros expostos: 120 milhões

A lista de violações de dados recentes não pode ser completa sem aquela em que o Facebook estava envolvido.

Acho que todos nós temos pelo menos algum conhecimento passageiro do que aconteceu durante o escândalo Facebook-Cambridge Analytica algum tempo atrás. Pânico em massa, afirma “vou deletar meu Facebook”, Zuckerberg é um robô.

Não vou me aprofundar no escândalo em si, mas sim focar nos Nametests.

Testes de nomes?

Reagi da mesma maneira quando ouvi pela primeira vez. Acontece que Nametests é um aplicativo de questionário do Facebook usado para determinar qual personagem fictício combina mais com você.

Os Nametests chegaram às maiores violações de dados de 2018 , expondo os dados pessoais de 120 milhões de usuários. Se Inti De Ceukelaire não o tivesse detectado, o aplicativo teria continuado a abusar das informações do usuário.

O pesquisador de segurança detectou o deslize dos Nametests durante o programa Data Abuse Bounty do Facebook.

Ceukelaire criou um site recém-criado e estabeleceu uma conexão com Nametests. Ele não perdeu a paciência acessando todos os detalhes armazenados do perfil do Facebook - nomes, fotos, postagens, ocupação e assim por diante.

Além disso, o Nametests estava distribuindo tokens que garantiam acesso em tempo real aos feeds dos usuários. Mesmo se você tiver excluído o aplicativo, ele ainda compartilhará suas informações pessoais com terceiros em seu site.

Violação de dados do LinkedIn

(Fonte: Fortune)

Ano: 2012

Registros expostos: 117 milhões

Voltando a 2012, o LinkedIn sofreu um roubo de 6,5 milhões de contas de usuário. Naturalmente, a comunidade da Internet concedeu-lhes o apelido de “LeakedIn”.

Esta é facilmente uma das maiores violações de dados do mundo até hoje.

Embora 6,5 ​​milhões ainda sejam muito, o LinkedIn agiu rapidamente e desativou as contas comprometidas.

Os dados adquiridos foram colocados à venda em um fórum russo. O LinkedIn reagiu e logo o problema não existia mais. Isso deu tempo para se recuperar, mas em maio de 2018 novos detalhes horríveis vieram à tona.

A suposta contagem de 6,5 milhões de contas vazadas repentinamente revelou ser de 117 milhões. Além disso, eles estavam disponíveis para compra no mercado DarkWeb. “Peace” ou “Peace_of_Mind”, um hacker da Rússia, colocou-os à venda por cinco BTC ( Bitcoin ) e transformou o LinkedIn em uma das violações de dados mais famosas até hoje.

O LeakedSource afirma também possuir uma lista pesquisável desse banco de dados, disponível com uma opção de avaliação de US $ 4 por um dia.

Carry Scott, CISO do LinkedIn, afirmou que redefiniu as senhas das contas vazadas.

Violação de dados MindBody

(Fonte: Pymnts)

Ano: 2018

Registros expostos: 113,5 milhões

Em 2018, FitMetrix tornou-se parte da família MindBody. E também se juntou ao clube das empresas que foram hackeadas .

MindBody, uma gigante de serviços de ginástica e bem-estar, pagou US $ 15,3 milhões pela aquisição. Mal sabiam eles, iria custar-lhes muito mais do que isso.

Uma violação massiva de dados de 113,5 milhões de contas de usuário ocorreu na FitMetrix. Cada registro consistia em nomes de usuário, endereços de e-mail, gênero, número de telefone, fotos, altura, peso, tamanhos de calçados e locais de academia desejados.

Contatos de emergência também foram listados, bem como bits de informação rotulados como “mais informações”.

Bob Diachenko descobriu essa violação de dados bastante recente em 2018 . Diachenko é diretor de pesquisa de risco cibernético da Hacken e é considerado um especialista no assunto. Seu relatório mostrou que vários servidores MindBody não eram protegidos por senha.

Um de seus bancos de dados tinha até uma nota de resgate anexada a ele.

Em sua opinião, os invasores estavam acessando um banco de dados, exportando-o, excluindo-o e depois anexando a nota de resgate. MindBody não pensou muito em suas descobertas.

Eles agiram na violação somente depois que um artigo do TechCrunch veio à tona.

“Tomamos medidas imediatas para eliminar essa vulnerabilidade”, afirmou a empresa. Você sabe, meses depois meio que imediatamente.

TJ armazena violação de dados

(Fonte: ComputerWorld)

Ano: 2007

Registros expostos: 100 milhões

Uma das maiores violações de dados de 2007 tornou-se de conhecimento público quando as Empresas TJX divulgaram informações sobre um ataque de hacker visando mais de 100 milhões de registros de clientes.

Os hackers tinham como alvo os tipos usuais de informação, como números de cartão de crédito, registros de devolução de compras, nomes completos e números de carteira de motorista.

45,6 milhões deles eram números de cartões pertencentes a usuários em vários países. No entanto, a ação judicial contra a TJX coloca o número real em 94 milhões.

À semelhança das violações de dados de 2018 , esta de doze anos atrás conseguiu afetar a avaliação de mercado da empresa. De acordo com estatísticas do mercado de ações de 2007-8, as ações da empresa sofreram uma queda, passando de US $ 30 para US $ 29 - uma queda de 3,4% no valor da empresa.

As despesas com violações da TJX somaram cerca de US $ 250 milhões. Isso incluiu pesquisa de falhas de segurança, reclamações, ações judiciais e multas.

O hacker considerado o primeiro responsável pela violação, Albert Gonzales , foi determinado por ter agido com total autorização do Serviço Secreto dos Estados Unidos.

Ele conseguiu apelar da sentença em 2011, mas a violação da TJX permanecerá na história como a mais chocante de seu tempo.

VK.com Data Breach

(Fonte: TheHackerNews)

Ano: 2016

Registros expostos: 100 milhões

Outra das recentes violações de dados nos leva ao VK.com, a plataforma de rede social mais desenvolvida da Rússia.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

Conclusão

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.