27+ крупнейших утечек данных в истории [обновлено в 2021 году]

Хакерская атака в США происходит каждые 39 секунд.

Эта частота поначалу может вызывать беспокойство.

Однако в действительности большинство атак мало влияют на общество, хотя и случаются громкие атаки . Они не опасны для Волдеморта, но некоторые из них довольно близки.

Есть пять основных целей, на которые распространяются самые большие утечки данных в современной истории. Это ваше полное имя, адрес электронной почты, физический адрес, IP-адрес и информация о кредитной карте.

Вот пример того, о чем мы говорим:

• Падение Yahoo, безусловно, было ускорено крупнейшей утечкой данных, о которой сообщалось до этого момента: было раскрыто 3 миллиарда аккаунтов.
• Подлым хакерам удалось собрать персональные данные более 505 миллионов гостей Marriott International до 2020 года.
• 412 миллионов членов сети для взрослых FriendFinder также были охвачены кражей данных.
• Одному молодому хакеру потребовалось несколько лет, чтобы получить доступ к более чем 200 миллионам учетных записей пользователей с конфиденциальной информацией; они принадлежали исключительно Court Ventures.
• LinkedIn стал известен как LeakedIn после кражи 117 миллионов аккаунтов .
• Не обошли стороной и любителей фитнеса - почти 113 миллионов пользователей FitMetrix неохотно поделились своими личными данными с неизвестными хакерами.
• Если вернуться в прошлое, то в 2008 году 134 миллиона номеров кредитных карт были изъяты из Heartland Payment Systems.
• По теме, Equifax сообщил о платежных данных более 145,5 миллионов пользователей , которые были опубликованы совсем недавно, в 2017 году.

Я не буду анализировать Великую атаку папируса в тот день, даже если она сама по себе была серьезным нарушением. Вместо этого я посмотрю на подводные камни современной безопасности и то, как они повлияли на нас.

Но сначала давайте рассмотрим самые последние нарушения безопасности в 2020 году .

Утечки данных в 2020 году

2020 год начался с многочисленных кибератак. Хотя они не являются крупнейшими утечками данных за все время , атаки раскрыли данные миллионов пользователей, включая личную информацию, электронную почту, пароли и номера кредитных карт.

Это показывает, что даже самые современные системы безопасности не так эффективны, как можно было бы надеяться.

Итак, без лишних слов, грядут последние утечки информации в 2020 году.

Нарушение данных Elasticsearch 2020

(Источник: BankInfoSecurity)

Показано записей: 250 миллионов

Одна из последних утечек информации связана с Microsoft. Технический гигант «случайно» раскрыл 250 миллионов записей службы поддержки за более чем три недели. Случилось так, что Microsoft хранила эти данные в пяти неправильно настроенных базах данных Elasticsearch.

Хотя расследование компании не выявило кражи данных , их акции упали почти на 10 долларов за акцию .

Clearview AI Data Breach 2020

(Источник: The Daily Beast)

Доступны записи: неизвестно (весь список клиентов компании)

В феврале скандальная компания сообщила, что хакер «получил несанкционированный доступ» к списку ее клиентов. Многие из их клиентов - правоохранительные органы, которые могут сфотографировать подозреваемого и сравнить их с базой данных компании, содержащей более 3 миллиардов изображений.

Реакция компании на кибербезопасность была простой: «К сожалению, утечки данных - часть жизни в 21 веке». Однако компания утверждает, что устранила уязвимость и ее серверы в безопасности.

Нарушение данных Nintendo 2020

(Источник: The Verge)

Показано записей: 160,000

В апреле Nintendo объявила, что было раскрыто около 160 000 учетных записей, адресов электронной почты и списков паролей . Список утекших данных также включает имена, даты рождения, пол и страну.

Компания призвала своих пользователей использовать двухфакторную аутентификацию для повышения безопасности своих учетных записей.

С другой стороны, информация о кредитной карте не просочилась, поэтому монеты пользователей находятся в безопасности в блоке.

Возьми?

В любом случае, к следующему.

Нарушение данных Tetrad 2020

(Источник: UpGuard)

Выставлено рекордов: 120 миллионов

В феврале Tetrad стал жертвой масштабной утечки данных, в результате которой была раскрыта информация о миллионах американских семей и предприятий.

Компания неправильно сконфигурировала корзину Amazon S3, сделав данные доступными для всех, у кого есть веб-браузер. Информация размещалась в трех файлах общим объемом 747 ГБ. К счастью, через неделю после обнаружения утечки компания устранила уязвимость.

Нарушение данных Virgin Media 2020

(Источник: BBC)

Выставлено рекордов: 900000

Компании, безусловно, облегчают работу киберпреступникам.

В мае Virgin Media признала, что личные данные около 900 000 пользователей оставались доступными и незащищенными в течение 10 месяцев.

Причина?

Конечно же, неправильно настроенная база данных!

Кто-то действительно должен попытаться научить этих ребят, как правильно настраивать базу данных.

К нему обращался неавторизованный пользователь хотя бы один раз. С другой стороны, просочившаяся информация не содержала никакой финансовой информации.

Нарушение данных Wawa 2020

(Источник: ZDNet)

Показано записей: 30 миллионов

Наш список утечек данных на 2020 год не был бы полным без Wawa. В январе более 30 миллионов деталей платежных карт были выставлены на продажу на Joker's Stash, одном из крупнейших онлайн-базаров по мошенничеству.

Компания объявила о взломе в декабре 2019 года, но данные появились на черном рынке через несколько дней после новогодней ночи. Это нарушение платежных карт является одним из самых крупных, наряду с Home Depot (50 миллионов) и Target (40 миллионов).

Нарушение данных GoDaddy 2020

(Источник: журнал Security)

Выставлено рекордов: 28000

23 апреля GoDaddy обнаружил, что имена пользователей и пароли SSH были скомпрометированы с помощью измененного файла SSH. Неясно, произошла ли эта недавняя утечка данных из-за ранее украденных данных для входа в систему или из-за атак методом грубой силы , но хостинг-провайдер заявил, что «злоумышленник не имел доступа к основным учетным записям клиентов GoDaddy».

Хотя эти 28 000 открытых записей нельзя назвать серьезной утечкой данных , учитывая, что GoDaddy управляет 77 миллионами доменов, эта утечка вызывает некоторые вопросы безопасности.

Теперь.

Цифры ясно показывают, насколько уязвимыми могут быть пользовательские данные. Они могут подтолкнуть вас проявлять дополнительную осторожность, когда вы находитесь в сети.

Тем не менее, давайте перейдем к крупнейшим утечкам данных в мире.

Нарушение данных Yahoo

(Источник: CSO)

Год - 2013-2014

Выставлено рекордов: 3 миллиарда

Yahoo далек от былой славы. Массовое падение империи Yahoo началось в 2013 году. Пока неизвестная сторона взломала базу данных Yahoo, получив доступ к 3 миллиардам аккаунтов . Это самый масштабный взлом, с которым когда-либо сталкивался Yahoo, и самая большая утечка данных в истории . И обнаружили это только в 2016 году.

Атака произошла прямо в середине их переговоров с Verizon, которая позже приобрела Yahoo за 4,48 миллиарда долларов. Пересмотренная цена оказалась на 350 миллионов долларов меньше, чем ожидалось ранее, но это была лишь верхушка айсберга для Yahoo.

Похищенная информация включала полные имена, даты рождения, адреса электронной почты и пароли, а также переписку по вопросам безопасности (вопросы / ответы).

Компания утверждает, что атака была проведена хакерами, финансируемыми государством. Статья Vice также показывает, что Министерство юстиции указывает на сотрудников Федеральной службы безопасности России как на инициаторов массового взлома данных Yahoo .

Личные данные якобы использовались для компрометации (возможно, шантажа) как американских, так и российских официальных лиц, журналистов и некоторых частных лиц. Некоторые реквизиты учетной записи также были выставлены на продажу на известном виртуальном рынке даркнета TheRealDeal.

Знание - сила, правда?

Хотя это произошло много лет назад, это нарушение по-прежнему возглавляет список лидеров по самым известным нарушениям данных .

Нарушение данных River City Media

(Источник: TheRegister)

Год: 2017

Разоблаченные рекорды: 1,37 миллиарда

Одна из самых серьезных утечек данных произошла весной 2017 года, когда компания River City Media столкнулась с массовым раскрытием данных.

Я никогда не видел, чтобы человек радовался, увидев спам. К моему искреннему удивлению, оказалось, что многие люди открывают их, тем самым предоставляя некоторые показатели данных предприятиям, ориентированным на спам.

River City Media каким-то образом удалось разрешить несанкционированный доступ к большой базе данных электронной почты и почтовых адресов. Это привело к тому, что 1,37 миллиарда записей о подписчиках внезапно были выпущены в открытый доступ.

Однако… это было не совсем нарушение.

Маркетинговая компания из Джексона, штат Вайоминг, предоставила бесплатный доступ к хранилищу объемом 200 ГБ. По словам Криса Викери, который первым обнаружил проблему, данные незаметно ожидали в системе без защиты паролем.

Оказывается, некоторые из самых серьезных утечек данных за всю историю не всегда были вызваны хакерами, а?

Хорошо, давайте посмотрим, что слили эти неряшливые парни - настоящие, полные имена и IP / адрес электронной почты / физические адреса. Информация о десятках миллионов людей просочилась к любому желающему получить к ней доступ.

Кроме того, нарушение пролило свет на планы развития RCM, а также на список нераскрытых аффилированных лиц компании.

River City Media не сразу отреагировали на утечку, так как держали свои намерения в секрете. Но громкие утечки данных обычно не ценят молчания.

Бренд попытался объяснить свое бездействие тем, что позже заявил, что все данные были получены законным путем в соответствии с требованиями Закона о борьбе со спамом и FTC от 2003 года. Однако это не спасло их от попадания в черный список Spamhaus.

Marriott International Data Breach [Обновлено в 2020 году]

(Источник: Vox)

Год: 2014-2018, 2020

Выставлено рекордов: 505+ миллионов

Мы немного переходим в гостиничный бизнес. Marriott International объявила 30 ноября - го , что их записи данных были нарушены. Хакеры имели доступ к своим записям с 2014 года до конца 2018 года. И снова в январе 2020 года.

Когда мы говорим об утечках данных в 2020 году, мы не можем пропустить Marriott International. Одно из последних нарушений безопасности позволило получить доступ к личным данным более 5,2 миллиона гостей . Данные включают в себя контактные данные, личную информацию, предпочтения и многое другое.

Однако, с точки зрения больших данных нарушений, 5,2 миллиона записей не так впечатляет. Итак, давайте посмотрим, что произошло несколько лет назад - с 2014 по 2018 год.

Что касается нарушений кибербезопасности , то это было одним из самых давних. Яблочко.

По оценкам, добычей взлома стала личная информация 500 миллионов человек .

База данных содержала имена (полные и частичные комбинации), почтовые адреса / адреса электронной почты, номера телефонов, информацию об учетной записи, дату рождения, пол, даты бронирования, время прибытия / отъезда, номера / даты истечения срока действия платежных карт и паспортные данные.

К счастью, вся информация о кредитных картах (8,6 миллиона номеров кредитных / дебетовых карт) была зашифрована AES-128 . Хорошо, по крайней мере, платежная информация в безопасности ... если ничего другого.

Это одна из крупнейших утечек данных, и огромная часть данных была доступна для чтения кем угодно .

Например, 5,25 миллиона номеров паспортов клиентов не были зашифрованы. Это было чуть больше 20% от всех зарегистрированных чисел, поскольку еще 20,3 миллиона из них были фактически зашифрованы. Marriott International провела дополнительную оценку ущерба и оценила количество пострадавших клиентов в 383 миллиона.

Хорошо, так кому пригодится столько гостевых записей? Наивный вопрос, да, но эксперты считают, что за атакой стоят китайские разведывательные группы.

Дело в том, что Marriott International до сих пор не раскрывает, кто, по ее мнению, стоит за одной из самых известных утечек данных за всю историю.

Они отреагировали на новость о взломе, заявив, что их основной целью было «выяснить, что произошло» и «как они могут лучше всего помочь своим гостям».

Нарушение сетевых данных FriendFinder

(Источник: ComputerWorld)

Год: 2016

Выставлено рекордов : 412 миллионов

Некоторые люди предпочли бы предоставить доступ к своему банковскому счету, а не обнародовать свою сексуальную историю. Поэтому неудивительно, что это нарушение было названо «крупнейшим нарушением 2016 года». Обнаруженные записи содержат более 412 миллионов единиц информации, включая имена пользователей и пароли, а также адреса электронной почты.

Взлом базы пользователей «крупнейшего в мире сообщества секс-свингеров» можно легко классифицировать как одну из крупнейших утечек данных в мире , учитывая конфиденциальный характер информации. Сеть FriendFinder пострадала от взлома, содержащего данные клиентов, накопленные за более чем два десятилетия. Данные были распределены по шести различным базам данных - FriendFinder, Adultfinder, Cams, Penthouse, iCams и Stripshow.

По оценке LeakedSource , вся конфиденциальная информация хранилась в виде открытого текста или хеширования SHA1 . Это ужасный способ хранить данные о клиентах. Опять же, Leaked Source указывает на октябрь как на наиболее вероятный период взлома.

Да, на этот раз хакеры.

FriendFinder утверждает, что заботится о безопасности своих клиентов. Что ж, они могли бы раньше поделиться информацией о нарушениях безопасности . Уточнять отношения со своими клиентами и предупреждать их - это обычная вежливость. «Привет, люди, нас вроде как взломали… просто чтобы вы знали».

Кроме того, LeakedSource даже удалось взломать 99% зашифрованных паролей. Естественно, наиболее часто используемым паролем оказался 123456. Я не говорю, что «vanillaicecream1902» легче запомнить, но он может сделать вашу учетную запись немного безопаснее. (И все же, по мнению экспертов, намного безопаснее.) Тем не менее, для тех из вас, кто все еще использует такой пароль, мы подготовили действенное руководство по созданию надежного пароля .

Нарушение данных MySpace

(Источник: TechCrunch)

Год: 2016

Выставлено рекордов: 360 миллионов

Февраль 2016 года не был для MySpace совсем спокойным.

Несмотря на то, что многие забыли о платформе, она все еще существует. Он был ответственен за одну из крупнейших утечек данных на сегодняшний день, набрав более 360 миллионов баллов в приложении Stolen Account Records.

(Такого приложения нет, не ищите его.)

Хотя Time Inc., нынешний владелец MySpace, подтвердила, что украденные данные были старыми, они по-прежнему пользуются большим успехом. По их словам, хакерам удалось получить данные только до 11 июня 2013 года. А что они получили? Списки адресов электронной почты и паролей . Даже второй пароль время от времени.

Финансовый директор MySpace Джефф Бэрстоу быстро заверил пользователей, что они относятся к безопасности данных «чрезвычайно серьезно».

Несмотря на то, что это не кажется таким серьезным, как предыдущие нарушения кибербезопасности , в этих учетных записях хранятся все виды личной информации. Имя, род занятий, сетевая активность и некоторые доисторические показатели времен популярности MySpace.

Кроме того, учтите это - многие пользователи привыкли вводить один и тот же пароль для всех своих учетных записей в Интернете. Если кто-то узнает ваш пароль MySpace, скорее всего, он сможет войти по крайней мере в один из других ваших интернет-профилей.

Итак, главное - разнообразие.

Exactis Data Breach

(Источник: InfoArmor)

Год: 2018

Выставлено рекордов: 230 миллионов

При рассмотрении всех недавних случаев утечки данных в 2018 году имя Exactis всплыло незадолго до того. Компания по агрегации / маркетингу данных, расположенная в Палм-Кост, Флорида, которая… как вы уже догадались, тоже была взломана.

Кажется, что они поддерживают подход: показывать меньше, зная гораздо больше.

Вызывает беспокойство то, что Exactis каким-то образом удалось раскрыть личную информацию о 230 миллионах граждан США в 2018 году. Взлом обнаружился в июне благодаря Винни Троиа, исследователю безопасности, который проверял защиту компании ElasticSearch.

Троя использовала Shodan, поисковую систему, нацеленную на устройства, подключенные к Интернету, чтобы обнаружить одну из крупнейших утечек данных в 2018 году - около 7000 различных баз данных на общедоступных серверах. Один из них принадлежал Exactis и был совершенно незащищенным.

Точно так же, как ваш школьный обед остался на общем столе в кафетерии.

Однако, в отличие от драгоценной еды, база данных Exactis насчитывала около 340 миллионов записей. Немногим более 66% из них связаны с физическими лицами, а остальные принадлежат общенациональным операционным компаниям.

К счастью, никаких номеров социального страхования или кредитных карт не разглашается.

Однако просочилось много другой информации: физические адреса, адреса электронной почты, номера телефонов, возраст, пол, даже пол детей клиентов, религиозная принадлежность и курение.

И снова неясно, было ли это скоординированным взломом хакеров или просто небрежной утечкой.

Нарушение данных компании Court Ventures

(Источник: KrebsOnSecurity)

2013 год

Выставлено рекордов: 200 миллионов

Возвращаясь к крупным хакерским мероприятиям для разнообразия, октябрь 2013 года принес компании Court Ventures, принадлежащей Experian, нарушение, в результате которого было обнаружено 200 миллионов записей о потребителях. То, как произошло нарушение, поражает.

Хиеу Минь Нго, 25 лет, довольно долгое время сумел провести совершенно незаметную операцию по краже личных данных . Хакер выдавал себя за ИП с адресом в США, чтобы получить доступ к информации о клиентах на срок до десяти месяцев.

Этого было достаточно, чтобы собрать 200 миллионов записей конфиденциальной личной информации.

Затем он продал его более чем 1300 людям на обоих своих сайтах по кражи личных данных - Superget.info и Findget.me. Иногда нарушения информационной безопасности могут быть весьма прибыльными.

Все это он сделал во Вьетнаме. Тем не менее, в июле 2015 года он был приговорен к 13 годам заключения в федеральной тюрьме США.

По данным The San Diego Union-Tribune, возможно, более 30 миллионов потребителей стали жертвами украденных данных. Кроме того, Нго и его возможные аффилированные лица заполнили 13 000 сфабрикованных налоговых деклараций.

Это привело к возврату несуществующих налогов в размере 65 миллионов долларов.

Еще в декабре 2013 года Experian заявила, что взлом не пострадал ни от одного клиента. По крайней мере, насколько им известно.

Нарушение данных Deep Root Analytics

(Источник: UpGuard)

Год: 2015

Показано записей: 198 миллионов

В декабре 2015 года накануне Рождества произошло одно из крупнейших нарушений кибербезопасности , когда Дональд Трамп все еще оставался кандидатом в президенты.

Оказывается, более 198 миллионов записей избирателей хранились в плохо защищенной базе данных - полные имена, статус проживания, адреса, дата рождения, номера телефонов и детали голосования были раскрыты общественности. Подробности этнической и религиозной принадлежности также были в пакете.

Крис Викери снова обнаружил уязвимость. Он поделился, что вся информация хранилась на облачном сервере без какой-либо защиты. 1,1 ТБ данных был доступен для всех, кто сообразителен.

TargetPoint Consulting и Data Trust также были вовлечены в нарушение выборов, но основная ответственность лежит на Deep Root Analytics.

После предыдущих новостей об утечке данных в Мексике и на Филиппинах, затронувшей чуть более 100 миллионов человек, нарушение DRA вызвало обеспокоенность по поводу того, как защищается информация о голосовании во всем мире.

Массивный американский прорыв

(Источник: Technology Review)

Год: 2005-2012

Выставлено рекордов: 160 миллионов

Это была массовая скоординированная атака.

Группе российских хакеров удалось получить доступ и собрать номера кредитных / дебетовых карт нескольких компаний в течение семи полных лет, с 2005 по 2012 год.

Всего было взломано 15 компаний: 7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard и Diners Singapore.

В свое время прокурор Нью-Джерси Пол Фишман назвал эту операцию «крупнейшей схемой взлома и взлома данных, когда-либо созданной в Соединенных Штатах» . Хотя теперь мы знаем о более серьезных нарушениях, в то время это шокировало.

Взлом нанес сотни миллионов убытков взломанным компаниям и их потребителям. В дополнение к этому, три корпоративных жертвы сообщили о потерях на сумму более 300 миллионов долларов из-за атаки.

Не говоря уже о возможностях кражи личных данных.

Согласно Федеральному суду Ньюарка, преступниками были Владимир Дринкман, Александр Калинин, Роман Котов, Михаил Рытиков и Дмитрий Смилянец - все из России или Украины.

Согласно сообщениям, Смилянцу удалось продать просочившиеся номера кредитных карт и разделить прибыль с членами своей команды до того, как они были осуждены.

Нарушение данных Under Armour [MyFitnessPal]

(Источник: Forbes)

Год: 2018

Выставлено рекордов: 150 миллионов

В марте 2018 года приложение для здоровья MyFitnessPal обнародовало одну из крупнейших утечек данных в нише здравоохранения.

Нарушение неприкосновенности частной жизни пострадавших 150 миллионов пользователей. Записи включали имена пользователей, адреса электронной почты и хешированные пароли. Теперь, как вы, возможно, уже заметили, в этой ситуации есть серебряная подкладка - пароли были хешированы. Это означает, что хакерам было трудно расшифровать данные даже после того, как они уже были в их распоряжении.

Если вы не знакомы с подобными вещами, вы можете задаться вопросом, почему.

Что ж, в зависимости от сложности алгоритма хеширования пароли могут оставаться в безопасности в течение десятилетий, даже после серьезных утечек данных . Или расшифровать за считанные минуты. Так что да, наличие шифрования не означает, что пароли безопасны.

Хотя уважаемые компании используют самые популярные инструменты шифрования, пользователям все же рекомендуется менять свои пароли после такого взлома.

Являясь одним из наиболее приемлемых примеров утечки данных , Under Armour гарантировал клиентам отсутствие утечки финансовых данных. Хорошо, что финансовую и общую информацию они хранят в разных местах.

В рамках нарушения не было утечки ни водительских прав, ни номеров социального страхования.

В общем, у этой атаки не было таких разрушительных последствий, но тем не менее она вызывает беспокойство.

Нарушение данных Equifax

(Источник: LifeLock)

Год: 2017

Выставлено рекордов: 145,5 миллиона

В 2017 году был выявлен пугающий пример самых последних утечек данных . Хакерская атака затронула 145,5 миллионов потребителей в США, получив доступ к подробной личной информации.

Equifax, известная компания в области кредитной отчетности, обнаружила нарушение 29 июля. Нарушение было серьезным, поскольку компания опубликовала полные имена, номера социального страхования, даты рождения, адреса и номера водительских прав.

Рекомендации Equifax клиентам были просто общими заверениями, а не содержательными. Это путь, по которому многие компании идут в подобных ситуациях.

После утечки данных Equifax они пролили свет на хакерскую атаку в подробном пресс-релизе. По их словам, злоумышленники использовали уязвимость в приложении веб-сайта США, чтобы взломать свою защиту.

Тем не менее, похоже, что никаких несанкционированных действий в скомпрометированных учетных записях не произошло.

Предотвращение таких нарушений должно быть высшим интересом для любого предприятия. Это требует времени, преданности делу и понимания окружающей среды. Опять же, это относится и к взлому.

Нарушение данных eBay

(Источник: BankInfoSecurity)

Год: 2014

Выставлено рекордов: 145 миллионов

В 2014 году eBay объявил, что стал жертвой кибератаки.

Учетная запись eBay каждого из 145 миллионов клиентов была взломана . Злоумышленники получили личную информацию и зашифрованные пароли.

Это была одна из крупнейших утечек данных за все время, и она проводилась с использованием учетных данных сотрудников. Неизвестно, был ли сотрудник «вовлечен» в план или действительно ли компания была взломана.

Личная информация, на которую я ссылался, включала даты рождения, почтовые адреса, номера телефонов и полные имена. Согласно платформе, никакая финансовая информация не была скомпрометирована.

Через две недели после взлома компания заверила пользователей, что ни в одной из учетных записей пользователей не было подозрительной активности.

Никаких финансовых подробностей не разглашается, но утечка данных на eBay по- прежнему составляет около 150 миллионов записей. Более чем достаточно информации, чтобы нанести некоторый ущерб.

По словам Аль Паскуаля, опытного аналитика по безопасности в Javelin Strategy and Research, к взлому, скорее всего, прибегли с помощью целевой фишинговой кампании. Целевой фишинг - это тактика подмены электронной почты, предназначенная для нацеливания на определенных членов компании с целью получения несанкционированного доступа.

«Система настолько же безопасна, насколько и ее самое слабое звено, и зачастую это ее люди», - добавил эксперт.

«Мы работаем с правоохранительными органами и ведущими экспертами по безопасности, чтобы активно расследовать этот вопрос», - заявил бренд после первоначального отчета о взломе.

Нарушение данных платежных систем Heartland

(Источник: Comodo)

Год: 2009-2017

Выставлено рекордов: 134 миллиона

Десять лет назад взлом Heartland Payment Systems считался крупнейшей подобной операцией.

Во время одной из самых разрушительных и громких утечек данных злоумышленники украли 134 миллиона уникальных кредитных карт, включая закодированные данные на магнитных полосах.

Это было большое.

Платежные системы Heartland в 2008 году провели около 100 миллионов транзакций, обслуживая 175 000 торговцев. Все они полагались на эту компанию, чтобы обеспечить безопасность информации своих клиентов. Как вы понимаете, любая утечка информации затрагивала не только компанию, но и все предприятия, с которыми они работали. Большинство из них были мелкими и средними предприятиями розничной торговли.

Учитывая, что это была одна из самых серьезных утечек данных за всю историю, это произошло довольно незначительным образом. Операция была инициирована SQL-инъекцией. Проще говоря, хакеры включили дополнительные команды базы данных в веб-скрипты, чтобы заставить сервер подчиняться их командам.

Хакеры пользовались уязвимостью в течение восьми лет, поскольку первое нарушение произошло еще в 2009 году.

Согласно отчету Heartland, хакерам потребовалось восемь месяцев, чтобы незаметно проникнуть в систему обработки платежей. Все поставщики антивирусов, которыми пользовался Heartland, не смогли их обнаружить.

По мере того, как идут крупные хакерские события , люди, стоящие за этим, шли на долгую аферу. Решимость злоумышленников наконец оправдалась, когда на сцену вышла шпионская программа-сниффер.

Обычно такое шпионское ПО может использоваться для сбора и мониторинга сетевого трафика - компании затем анализируют его и решают любые имеющиеся проблемы.

С другой стороны, «снифферы» также могут указывать хакерам на их целевую информацию. Согласно сообщениям, у группы была вся необходимая информация для использования украденных кредитных карт после взлома.

Мрачным результатом для Heartland Payment Services стало прекращение их связи с PCI DSS, снижение доходов, 145 миллионов долларов компенсации и в общей сложности более 200 миллионов долларов убытков.

Нарушение данных Nametests

(Источник: Fossbytes)

Год: 2017-2018

Выставлено рекордов: 120 миллионов

Список последних данных нарушений не может быть полным без того, где Facebook был вовлечен.

Я думаю, что все мы хоть немного знаем о том, что произошло во время скандала между Facebook и Cambridge Analytica некоторое время назад. Массовая паника: «Я удалю свой Facebook» - утверждает, что Цукерберг - робот.

Я не собираюсь углубляться в сам скандал, а сосредоточусь на Nametests.

Nametests?

Я так же отреагировал, когда впервые услышал об этом. Оказывается, Nametests - это приложение Facebook Quiz, используемое для определения того, какой вымышленный персонаж вам больше всего подходит.

Nametests сделал свой путь в самых больших нарушений данных 2018 года, подвергнув личные данные 120 миллионов пользователей. Если бы Inti De Ceukelaire его не обнаружил, приложение продолжало бы злоупотреблять пользовательской информацией.

Исследователь безопасности обнаружил опечатку Nametests во время программы Facebook Data Abuse Bounty.

Ceukelaire создал новый веб-сайт и подключился к Nametests. Он не беспокоился о доступе ко всем сохраненным данным профиля Facebook - именам, фотографиям, сообщениям, профессии и так далее.

Кроме того, Nametests распространяла токены, предоставляющие доступ в реальном времени к фидам пользователей. Даже если вы удалили приложение, оно все равно поделится вашей личной информацией с любой третьей стороной на своем веб-сайте.

LinkedIn Data Breach

(Источник: Fortune)

Год: 2012

Выставлено рекордов: 117 миллионов

Возвращаясь к 2012 году, LinkedIn потерпела кражу 6,5 миллионов учетных записей пользователей. Естественно, интернет-сообщество присвоило им прозвище «LeakedIn».

Это одна из самых серьезных утечек данных в мире на сегодняшний день.

Хотя 6,5 миллионов - это все еще много, LinkedIn быстро отреагировал и деактивировал взломанные учетные записи.

Полученные данные были выставлены на продажу на одном из российских форумов. LinkedIn отреагировал, и вскоре проблема исчезла. Это дало ему время прийти в себя, но в мае 2018 года всплыли новые ужасающие подробности .

Предполагаемое количество 6,5 миллионов просочившихся аккаунтов внезапно оказалось 117 миллионами. Кроме того, они были доступны для покупки на торговой площадке DarkWeb. «Peace» или «Peace_of_Mind», хакер из России, выставил их на продажу за пять BTC ( биткойн ) и превратил LinkedIn в одну из самых известных утечек данных на сегодняшний день.

LeakedSource утверждает, что также владеет списком этой базы данных с возможностью поиска, доступным с пробной версией за 4 доллара.

Керри Скотт, директор по информационной безопасности в LinkedIn, заявил, что они сбросили пароли просочившихся учетных записей.

Нарушение данных MindBody

(Источник: Pymnts)

Год: 2018

Выставлено рекордов: 113,5 миллиона

В 2018 году FitMetrix стал частью семьи MindBody. И он также присоединился к клубу компаний , которые были взломаны .

MindBody, гигант тренажерного зала и велнес-услуг, заплатил за это приобретение 15,3 миллиона долларов. Они не знали, что это будет стоить им намного дороже.

В FitMetrix произошла массовая утечка данных 113,5 миллионов учетных записей пользователей. Каждая запись состояла из имен пользователей, адресов электронной почты, пола, номера телефона, изображений, роста, веса, размеров обуви и желаемого местоположения спортзала.

Также были перечислены контакты для экстренных случаев, а также фрагменты информации с пометкой «дополнительная информация».

Боб Дьяченко обнаружил эту относительно недавнюю утечку данных в 2018 году . Дьяченко - директор по исследованиям киберрисков в Hacken и считается экспертом в этой области. Его отчет показал, что ряд серверов MindBody не был защищен паролем.

К одной из их баз данных даже была приложена записка о выкупе.

По его мнению, злоумышленники получали доступ к базе данных, экспортировали ее, удаляли и затем прикрепляли записку с требованием выкупа. MindBody не особо задумывался над его выводами.

Они отреагировали на нарушение только после того, как появилась статья TechCrunch .

«Мы немедленно предприняли шаги, чтобы закрыть эту уязвимость», - заявили в компании. Знаешь, через несколько месяцев сразу.

TJ хранит утечку данных

(Источник: ComputerWorld)

Год: 2007

Выставлено рекордов: 100 миллионов

Одна из крупнейших утечек данных 2007 года стала достоянием общественности, когда TJX Companies раскрыла информацию о хакерской атаке, нацеленной на более 100 миллионов записей клиентов.

Хакеры использовали обычные типы информации, такие как номера кредитных карт, записи о возврате покупок, полные имена и номера водительских прав.

45,6 миллиона из них - номера карт, принадлежащих пользователям из разных стран. Однако иск против TJX оценивает фактическое число в 94 миллиона.

Подобно утечке данных в 2018 году , эта утечка данных двенадцатилетней давности повлияла на рыночную оценку компании. Согласно статистике фондового рынка за 2007-8 гг., Акции компании упали с 30 до 29 долларов, что на 3,4% меньше стоимости компании.

Расходы на взлом TJX составили около 250 миллионов долларов. Это включало исследование недостатков безопасности, претензии, судебные иски и штрафы.

Хакер, впервые признанный виновным в взломе, Альберт Гонсалес , был убежден , что действовал с полного разрешения Секретной службы США.

Ему удалось обжаловать приговор в 2011 году, но нарушение TJX останется в истории как самое шокирующее в свое время.

Нарушение данных VK.com

(Источник: TheHackerNews)

Год: 2016

Выставлено рекордов: 100 миллионов

Еще одна недавняя утечка данных отправляет нас на VK.com, самую развитую платформу социальных сетей в России.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

Заключение

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.