27+ การละเมิดข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ [อัปเดตในปี 2021]

การโจมตีของแฮ็กเกอร์เกิดขึ้นทุกๆ 39 วินาทีในสหรัฐอเมริกา

ความถี่นี้อาจน่าเป็นห่วงในตอนแรก

อย่างไรก็ตาม ในความเป็นจริง การโจมตีส่วนใหญ่มีผลกระทบต่อสังคมเพียงเล็กน้อย แม้ว่าการโจมตีที่มีรายละเอียดสูง จะ เกิดขึ้นก็ตาม พวกเขาไม่ใช่โวลเดอมอร์ที่อันตราย แต่บางคนก็ใกล้เข้ามาแล้ว

มีห้าเป้าหมายหลักที่การ ละเมิดข้อมูลที่ใหญ่ที่สุด ในการแบ่งปันประวัติศาสตร์สมัยใหม่ นี่คือชื่อนามสกุล ที่อยู่อีเมล ที่อยู่จริง ที่อยู่ IP และข้อมูลบัตรเครดิตของคุณ

นี่คือรสชาติของสิ่งที่เรากำลังพูดถึง:

• การลดลงของ Yahoo เกิดขึ้นอย่างรวดเร็วโดยรายงานการละเมิดข้อมูลที่ใหญ่ที่สุดจนถึงขณะนี้: บัญชี 3 พันล้านบัญชีถูกเปิดเผย
• แฮ็กเกอร์ที่ส่อเสียดสามารถรวบรวมข้อมูลส่วนบุคคลของ แขก กว่า 505 ล้านคน ของ Marriott International ได้จนถึงปี 2020
• FriendFinder เครือข่ายสำหรับผู้ใหญ่ 412 ล้านคน ถูกขโมยข้อมูลอย่างกระตือรือร้น
• แฮ็กเกอร์หนุ่มคนเดียวต้องใช้เวลาหลายปีในการเข้าถึง บัญชีผู้ใช้ กว่า 200 ล้านบัญชี พร้อมข้อมูลที่ละเอียดอ่อน พวกเขาเป็นของ Court Ventures เท่านั้น
• LinkedIn กลายเป็นที่รู้จักในชื่อ LeakedIn หลังจาก 117 ล้านบัญชี ถูกขโมย
• ผู้ที่ชื่นชอบการออกกำลังกายก็ไม่อยากหน้าแดงเช่นกัน – ผู้ใช้ FitMetrix เกือบ 113 ล้านคน แบ่งปันข้อมูลส่วนบุคคลโดยไม่เต็มใจกับแฮกเกอร์ที่ไม่รู้จัก
• ย้อนเวลากลับไปในปี 2551 มีการยกเลิก หมายเลขบัตรเครดิต 134 ล้านหมายเลข จาก Heartland Payment Systems
• ในหัวข้อ Equifax ได้รายงาน ข้อมูลการชำระเงินของผู้ใช้กว่า 145.5 ล้านคนที่เปิดเผย เมื่อเร็ว ๆ นี้ในปี 2560

ฉันจะไม่ทบทวน Great Papyrus Attack ในวันนั้น แม้ว่าจะเป็นการละเมิดครั้งใหญ่ในสิทธิของตนเองก็ตาม ฉันจะดูหลุมพรางของการรักษาความปลอดภัยสมัยใหม่แทนและผลกระทบที่มีต่อเรา

แต่ก่อนอื่น เรามาทบทวนการ ละเมิดความปลอดภัย ล่าสุด ในปี 2020 กันก่อน

การละเมิดข้อมูล ในปี 2020

ปี 2020 เริ่มต้นด้วยการโจมตีทางไซเบอร์จำนวนมาก แม้ว่าจะไม่ใช่การ ละเมิดข้อมูลที่ใหญ่ที่สุดตลอดกาล แต่การโจมตีดังกล่าวได้เปิดเผยข้อมูลของผู้ใช้นับล้าน ซึ่งรวมถึงข้อมูลส่วนบุคคล อีเมล รหัสผ่าน และหมายเลขบัตรเครดิต

นั่นแสดงให้เห็นว่าแม้แต่ ระบบรักษาความปลอดภัยขั้นสูงที่ ทันสมัย ก็ไม่ได้ผลอย่างที่หวัง

ดังนั้น โดยไม่ต้องกังวลใจอีกต่อไป ต่อไปคือการ ละเมิดข้อมูล ล่าสุด ในปี 2020

การละเมิดข้อมูล Elasticsearch 2020

(ที่มา: BankInfoSecurity)

เปิดเผยสถิติ: 250 ล้าน

หนึ่งในการรั่วไหลของข้อมูลล่าสุด เกี่ยวข้องกับ Microsoft ยักษ์ใหญ่ด้านเทคโนโลยี “บังเอิญ” เปิดเผยบันทึกการสนับสนุนลูกค้า 250 ล้านรายการเป็นเวลากว่าสามสัปดาห์ สิ่งที่เกิดขึ้นคือ Microsoft เก็บข้อมูลนี้ไว้ในฐานข้อมูล Elasticsearch ที่กำหนดค่าผิดพลาดห้าฐานข้อมูล

แม้ว่าการตรวจสอบของ บริษัท ฯ ไม่ได้เปิดเผยการโจรกรรมข้อมูลใด ๆ หุ้นของพวกเขาจมดิ่งเกือบ $ 10 ต่อหุ้น

Clearview AI Data Breach 2020

(ที่มา: The Daily Beast)

ข้อมูลที่ถูกเปิดเผย: ไม่ทราบ (รายชื่อลูกค้าทั้งหมดของบริษัท)

ในเดือนกุมภาพันธ์ บริษัทที่มีการโต้เถียงรายงานว่าแฮ็กเกอร์ “เข้าถึงรายชื่อลูกค้าโดยไม่ได้รับอนุญาต” ลูกค้าจำนวนมากของพวกเขาเป็นหน่วยงานบังคับใช้กฎหมาย ที่สามารถถ่ายภาพผู้ต้องสงสัยและเปรียบเทียบกับฐานข้อมูลของบริษัทที่มีภาพมากกว่า 3 พันล้านภาพ

ปฏิกิริยาของบริษัทต่อการ ละเมิดทางไซเบอร์ นั้นเรียบง่าย: “น่าเสียดายที่การละเมิดข้อมูลเป็นส่วนหนึ่งของชีวิตในศตวรรษที่ 21” อย่างไรก็ตาม บริษัทอ้างว่าได้แก้ไขช่องโหว่และเซิร์ฟเวอร์ของ บริษัท นั้นปลอดภัย

Nintendo Data Breach 2020

(ที่มา: The Verge)

บันทึกที่เปิดเผย: 160,000

ในเดือนเมษายน Nintendo ประกาศว่าบัญชี อีเมล และรายการรหัสผ่าน ประมาณ 160,000 บัญชี ถูกเปิดเผย รายการข้อมูลรั่วไหลยังรวมถึงชื่อ วันเดือนปีเกิด เพศ และประเทศ

บริษัทขอให้ผู้ใช้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อปรับปรุงความปลอดภัยของบัญชีของตน

ในแง่ดีคือไม่มีข้อมูลบัตรเครดิตรั่วไหล ดังนั้นเหรียญของผู้ใช้จึงปลอดภัยในบล็อก

รับไหม

อย่างไรก็ตาม ในครั้งต่อไป

Tetrad Data Breach 2020

(ที่มา: UpGuard)

เปิดเผยสถิติ: 120 ล้าน

ในเดือนกุมภาพันธ์ Tetrad ตกเป็นเหยื่อของการ ละเมิดข้อมูลจำนวนมหาศาล ที่เปิดเผยข้อมูลเกี่ยวกับครัวเรือนและธุรกิจหลายล้านคนในอเมริกา

บริษัทได้กำหนดค่าบัคเก็ต Amazon S3 ผิดพลาด ทำให้ทุกคนที่มีเว็บเบราว์เซอร์สามารถเข้าถึงข้อมูลได้ ข้อมูลอยู่ในสามไฟล์รวม 747 GB โชคดีที่หนึ่งสัปดาห์หลังจากพบการรั่วไหล บริษัทได้แก้ไขช่องโหว่ดังกล่าว

Virgin Media Data Breach 2020

(ที่มา: บีบีซี)

บันทึกที่ถูกเปิดเผย: 900,000

บริษัทต่างๆ ทำให้งานของอาชญากรไซเบอร์ง่ายขึ้นอย่างแน่นอน

ในเดือนพฤษภาคม Virgin Media ยอมรับว่ามีข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้ 900,000 รายที่เข้าถึงได้และไม่ปลอดภัยเป็นเวลา 10 เดือน

เหตุผล?

ฐานข้อมูลผิดพลาดแน่นอน!

มีคนควรพยายามสอนคนเหล่านี้ถึงวิธีกำหนดค่าฐานข้อมูลอย่างถูกต้อง

มีการเข้าถึงโดยผู้ใช้ที่ไม่ได้รับอนุญาตอย่างน้อยหนึ่งครั้ง ในแง่ดี ข้อมูลที่รั่วไหลไม่มีข้อมูล ทางการเงินใดๆ

Wawa Data Breach 2020

(ที่มา: ZDNet)

เปิดเผยสถิติ: 30 ล้าน

รายการการละเมิดข้อมูล ของเรา ในปี 2020 จะไม่สมบูรณ์หากไม่มี Wawa ในเดือนมกราคม รายละเอียดบัตรชำระเงินมากกว่า 30 ล้านรายการถูกวางขายบน Joker's Stash ซึ่งเป็นหนึ่งในตลาดออนไลน์ที่มีการฉ้อโกงที่ใหญ่ที่สุด

บริษัท ประกาศการละเมิดในเดือนธันวาคม 2019 แต่ข้อมูลปรากฏในตลาดมืดหลังวันส่งท้ายปีเก่าสองสามวันหลังจากวันส่งท้ายปีเก่า การละเมิดบัตรชำระเงินนี้จัดอยู่ในกลุ่มที่ใหญ่ที่สุดพร้อมกับ Home Depot (50 ล้าน) และ Target (40 ล้าน)

การละเมิดข้อมูล GoDaddy ปี 2020

(ที่มา: นิตยสารการรักษาความปลอดภัย)

บันทึกที่เปิดเผย: 28,000

เมื่อวันที่ 23 เมษายน GoDaddy ระบุว่าชื่อผู้ใช้และรหัสผ่าน SSH ถูกบุกรุกผ่านไฟล์ SSH ที่แก้ไข ไม่ชัดเจนว่าการละเมิดข้อมูลเมื่อเร็ว ๆ นี้เกิดจากรายละเอียดการเข้าสู่ระบบที่ถูกขโมยมาก่อนหน้านี้หรือการ โจมตีแบบเดรัจฉาน แต่ผู้ให้บริการโฮสต์ระบุว่า “ผู้คุกคามไม่สามารถเข้าถึงบัญชี GoDaddy หลักของลูกค้าได้”

แม้ว่าบันทึกที่เปิดเผย 28,000 รายการนั้นไม่สามารถเรียกได้ว่า เป็นการละเมิดข้อมูลครั้งใหญ่ เมื่อพิจารณาว่า GoDaddy จัดการ โดเมน 77 ล้านโดเมน การรั่วไหลนี้ทำให้เกิดคำถามด้านความปลอดภัยบางประการ

ตอนนี้.

ตัวเลขแสดงให้เห็นชัดเจนว่าข้อมูลผู้ใช้มีช่องโหว่เพียงใด พวกเขาอาจดุคุณให้ดูแลเป็นพิเศษเมื่อคุณออนไลน์

ที่กล่าวว่า เรามาดูการ ละเมิดข้อมูลที่ใหญ่ที่สุด ใน โลกกัน

Yahoo Data Breach

(ที่มา: CSO)

ปี – 2013-2014

เปิดเผยสถิติ: 3 พันล้าน

Yahoo อยู่ไกลจากความรุ่งโรจน์ในอดีต ฤดูใบไม้ร่วงขนาดใหญ่ของจักรวรรดิ Yahoo เริ่มต้นในปี 2013 ยังไม่รู้จักบุคคลที่บุกเข้าไปในฐานข้อมูลของ Yahoo, เข้าถึง 3 พันล้านบัญชี นี่คือการสับที่ใหญ่ที่สุดของ Yahoo ได้เคยพบและการละเมิดข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ และพวกเขาค้นพบมันในปี 2559 เท่านั้น

การโจมตีเกิดขึ้นระหว่างการเจรจากับ Verizon ซึ่งต่อมาได้ซื้อ Yahoo ในราคา 4.48 พันล้านดอลลาร์ ราคาที่แก้ไขแล้วน้อยกว่าที่คาดไว้ 350 ล้านดอลลาร์ก่อนหน้านี้ แต่นั่นเป็นเพียงส่วนเล็กสุดของภูเขาน้ำแข็งสำหรับ Yahoo

ข้อมูลที่ถูกขโมยนั้นรวมถึงชื่อนามสกุล วันเกิด ที่อยู่อีเมลและรหัสผ่าน และการโต้ตอบปัญหาด้านความปลอดภัย (คำถาม/คำตอบ)

บริษัทอ้างว่าการโจมตีดำเนินการโดยแฮ็กเกอร์ที่ได้รับทุนจากรัฐ รองบทความแสดงให้เห็นว่าต่อไปกระทรวงยุติธรรมจะชี้ไปที่สมาชิกของบริการรักษาความปลอดภัยของรัฐบาลกลางรัสเซียริเริ่มของขนาดใหญ่ Yahoo ละเมิดข้อมูล

รายละเอียดส่วนบุคคลถูกใช้เพื่อประนีประนอม (อาจแบล็กเมล์) ทั้งเจ้าหน้าที่สหรัฐและรัสเซีย นักข่าว และบุคคลภาคเอกชนบางคน รายละเอียดบัญชีบางส่วนยังวางขายใน “TheRealDeal” ซึ่งเป็นตลาดเสมือนจริงของ darknet ที่เป็นที่รู้จัก

ความรู้คือพลัง จริงไหม?

แม้ว่าจะเกิดขึ้นเมื่อหลายปีก่อน การละเมิดนี้ยังคงอยู่ในอันดับ ต้น ๆ ของกระดานผู้นำ การละเมิดข้อมูลที่มีชื่อเสียง ที่สุด

การละเมิดข้อมูลสื่อริเวอร์ซิตี้

(ที่มา: TheRegister)

ปี: 2017

เปิดเผยสถิติ: 1.37 พันล้าน

หนึ่งในการ ละเมิดข้อมูลล่าสุดที่ เกิดขึ้นในฤดูใบไม้ผลิปี 2017 เมื่อ River City Media เผชิญกับการเปิดเผยข้อมูลจำนวนมาก

ฉันไม่เคยเห็นใครกระโดดดีใจเมื่อเห็นอีเมลขยะ ที่ทำให้ฉันประหลาดใจจริงๆ มีคนจำนวนมากที่เปิดข้อมูลเหล่านั้น ดังนั้นจึงให้ข้อมูลตัวชี้วัดบางอย่างแก่องค์กรที่เน้นสแปม

River City Media จัดการเพื่ออนุญาตให้เข้าถึงฐานข้อมูลขนาดใหญ่ของอีเมลและที่อยู่ทางไปรษณีย์โดยไม่ได้รับอนุญาต ส่งผลให้มี สมาชิก 1.37 พันล้านบันทึกถูกปล่อย ออกมาในป่า

อย่างไรก็ตาม… นี่ไม่ใช่การละเมิดอย่างแน่นอน

บริษัทการตลาดใน Jackson ในรัฐไวโอมิงได้รับสิทธิ์เข้าถึงพื้นที่เก็บข้อมูลขนาด 200GB ฟรี ตามคำกล่าวของ Chris Vickery ที่ค้นพบปัญหานี้เป็นครั้งแรก ข้อมูลดังกล่าวกำลังรออยู่ในระบบที่ไม่มีการป้องกันด้วยรหัสผ่านอย่างเงียบๆ

ปรากฎว่าการ ละเมิดข้อมูลที่ใหญ่ที่สุด บาง รายการ ไม่ได้เกิดจากแฮกเกอร์เสมอไปใช่ไหม

โอเค มาดูกันว่าไอ้พวกเลอะเทอะรั่วไหลอะไร – จริง ชื่อเต็ม และ IP/อีเมล/ที่อยู่จริง ผู้คนหลายสิบล้านคนมี ข้อมูลรั่วไหล ให้ใครก็ตามที่เต็มใจจะเข้าถึงข้อมูลนั้น

นอกจากนี้ การละเมิดดังกล่าวยังเผยให้เห็นถึงแผนการพัฒนาของ RCM พร้อมด้วยรายชื่อบริษัทในเครือที่ไม่เปิดเผยของบริษัท

River City Media ไม่ตอบสนองต่อการรั่วไหลในทันที เนื่องจากพวกเขาเก็บเจตนาไว้เป็นความลับ แต่การ ละเมิดข้อมูลระดับสูง มักไม่ค่อยชอบความเงียบ

แบรนด์พยายามอธิบายการขาดการดำเนินการโดยระบุในภายหลังว่าข้อมูลทั้งหมดได้รับมาอย่างถูกกฎหมายตามข้อกำหนดของ FTC และ Can-Spam Act ปี 2546 อย่างไรก็ตาม การดำเนินการนี้ไม่ได้ช่วยให้พวกเขาไม่ได้รับเครื่องหมายบัญชีดำของ Spamhaus

การละเมิดข้อมูลระหว่างประเทศของ Marriott [อัปเดตในปี 2020]

(ที่มา: Vox)

ปี: 2014-2018, 2020

บันทึกที่ถูกเปิดเผย: 505+ ล้าน

เรากำลังย้ายไปธุรกิจโรงแรมสักหน่อย แมริออทอินเตอร์เนชั่นแนลประกาศเมื่อวันที่ 30 พฤศจิกายนว่าระเบียนข้อมูลของพวกเขาได้รับการละเมิด แฮกเกอร์สามารถเข้าถึงบันทึกของพวกเขาตั้งแต่ปี 2014 จนถึงปลายปี 2018 และอีกครั้งในเดือนมกราคม 2020

เมื่อเราพูดถึงการ ละเมิดข้อมูล ในปี 2020 เราไม่ควรพลาด Marriott International หนึ่งในที่สุดการละเมิดความปลอดภัยที่ผ่านมาได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลมากกว่า 5,200,000 ผู้เข้าพัก ข้อมูลดังกล่าวรวมถึงรายละเอียดการติดต่อ ข้อมูลส่วนบุคคล การตั้งค่า และอื่นๆ

อย่างไรก็ตามในแง่ของการละเมิดข้อมูลขนาดใหญ่ 5.2 ล้านระเบียนไม่ได้เป็นที่น่าประทับใจ มาดูกันว่าเกิดอะไรขึ้นเมื่อสองสามปีก่อน - จากปี 2014 ถึงปี 2018

เท่าที่ ละเมิดความปลอดภัยในโลกไซเบอร์ นี่เป็นหนึ่งในสิ่งที่ยาวนานที่สุด เป้า

โจรของการละเมิดที่ถูกคาดว่าจะมีข้อมูลส่วนบุคคลของ 500 ล้านคน

ฐานข้อมูลประกอบด้วยชื่อ (แบบเต็มและบางส่วน), ที่อยู่ทางไปรษณีย์/อีเมล, หมายเลขโทรศัพท์, ข้อมูลบัญชี, วันเดือนปีเกิด, เพศ, วันที่จอง, เวลามาถึง/ออกเดินทาง, หมายเลขบัตรชำระเงิน/วันหมดอายุ และข้อมูลหนังสือเดินทาง

ขอบคุณทุกข้อมูลบัตรเครดิต (8600000 หมายเลขบัตรเครดิต / เดบิต) อยู่ภายใต้การ AES-128 โอเค อย่างน้อยข้อมูลการชำระเงินก็ปลอดภัย… ถ้าไม่มีอย่างอื่น

นี้เป็นหนึ่งในที่ใหญ่ที่สุดในการละเมิดข้อมูลและส่วนใหญ่ของข้อมูลก็สามารถอ่านได้โดยทุกคน

ตัวอย่างเช่น หมายเลขหนังสือเดินทางของลูกค้า 5.25 ล้านหมายเลขไม่มีการเข้ารหัส นี่เป็นเพียงทางเหนือเล็กน้อยจาก 20% ของตัวเลขทั้งหมดที่มีบันทึกไว้ เนื่องจากอีก 20.3 ล้านหมายเลขถูกเข้ารหัสจริงๆ แมริออท อินเตอร์เนชั่นแนลได้ทำการประเมินความเสียหายเพิ่มเติมและประเมินจำนวนลูกค้าที่ได้รับผลกระทบ 383 ล้านคน

เอาล่ะ ใครบ้างที่มีการใช้บันทึกแขกจำนวนมาก? คำถามที่ไร้เดียงสา ใช่ แต่ผู้เชี่ยวชาญเชื่อว่าทีมรวบรวมข่าวกรองของจีนอยู่เบื้องหลังการโจมตี

ข้อเท็จจริงของเรื่องนี้คือ Marriott International ยังไม่ได้เปิดเผยว่าใครที่คิดว่าอยู่เบื้องหลังการ ละเมิดข้อมูลที่มีชื่อเสียง ที่สุด ครั้งหนึ่ง

พวกเขาตอบสนองต่อข่าวเกี่ยวกับการละเมิดโดยกล่าวว่าวัตถุประสงค์หลักของพวกเขาคือ "เพื่อค้นหาว่าเกิดอะไรขึ้น" และ "พวกเขาจะช่วยแขกของพวกเขาได้ดีที่สุดได้อย่างไร"

การละเมิดข้อมูลเครือข่าย FriendFinder

(ที่มา: ComputerWorld)

ปี: 2016

เปิดเผย สถิติ : 412 ล้าน

บางคนชอบที่จะให้การเข้าถึงบัญชีธนาคารของพวกเขามากกว่าที่จะเปิดเผยประวัติทางเพศของพวกเขาต่อสาธารณะ จึงไม่น่าแปลกใจเลยว่าทำไมคนๆ นี้จึงถูกขนานนามว่าเป็น “การละเมิดครั้งใหญ่ที่สุดในปี 2016” บันทึกที่เปิดเผยมีจำนวนข้อมูลมากกว่า 412 ล้านชิ้น รวมถึงชื่อผู้ใช้และรหัสผ่าน และที่อยู่อีเมล

การแฮ็กฐานผู้ใช้ของ “ชุมชนเซ็กส์และคนแลกเงินที่ใหญ่ที่สุดในโลก” สามารถจัดประเภทได้อย่างง่ายดายว่าเป็นหนึ่งในการ ละเมิดข้อมูลที่ใหญ่ที่สุด ใน โลก โดยพิจารณาจากลักษณะที่ละเอียดอ่อนของข้อมูล เครือข่าย FriendFinder ประสบกับ การละเมิดความปลอดภัย ที่มีข้อมูลลูกค้า ซึ่งสะสมมานานกว่าสองทศวรรษ ข้อมูลถูกกระจายไปตามฐานข้อมูลต่างๆ หกฐานข้อมูล – FriendFinder, Adultfinder, Cams, Penthouse, iCams และ Stripshow

การประเมิน LeakedSource คือว่าข้อมูลที่สำคัญทั้งหมดที่จัดขึ้นใน plaintext หรือ SHA1 คร่ำเครียด ซึ่งเป็นวิธีการเก็บข้อมูลลูกค้าแบบหมัดๆ อีกครั้ง Leaked Source ชี้ไปที่เดือนตุลาคมว่าเป็นช่วงที่มีโอกาสถูกแฮ็กมากที่สุด

ใช่ คราวนี้เป็นแฮกเกอร์

FriendFinder อ้างว่าพวกเขาใส่ใจในความปลอดภัยของลูกค้า พวกเขาสามารถแบ่งปัน ข้อมูล เกี่ยวกับการ ละเมิดความปลอดภัยได้ เร็วกว่านี้ เป็นเรื่องปกติธรรมดาที่จะตั้งสิ่งที่ตรงไปตรงมากับลูกค้าและเตือนพวกเขา “เฮ้ คนเราถูกแฮ็ก… คุณก็รู้”

นอกจากนี้ LeakedSource ยังสามารถถอดรหัสรหัสผ่านที่เข้ารหัสได้ 99% ปกติแล้วรหัสผ่านที่ใช้มากที่สุดคือ 123456 ฉันไม่ได้บอกว่า "vanillaicecream1902" จำง่ายกว่า แต่อาจทำให้บัญชีของคุณปลอดภัยขึ้นเล็กน้อย (และยังปลอดภัยกว่ามากตามผู้เชี่ยวชาญ) ที่กล่าวว่าสำหรับบรรดาของคุณที่ยังคงใช้ชนิดของรหัสผ่านที่เราได้จัดทำคู่มือดำเนินการเกี่ยวกับวิธีการสร้างรหัสผ่านที่แข็งแกร่ง

การละเมิดข้อมูล MySpace

(ที่มา: TechCrunch)

ปี: 2016

เปิดเผยสถิติ: 360 ล้าน

กุมภาพันธ์ 2016 ไม่สงบเลยสำหรับ MySpace

แม้ว่าหลายคนจะลืมเกี่ยวกับแพลตฟอร์ม แต่ก็ยังมีอยู่ มีหน้าที่รับผิดชอบต่อการ ละเมิดข้อมูลที่ใหญ่ที่สุด ครั้งหนึ่ง โดยได้คะแนนมากกว่า 360 ล้านคะแนนในแอป Stolen Account Records

(ไม่มีแอปดังกล่าว ไม่ต้องค้นหา)

แม้ว่า Time Inc. ซึ่งเป็นเจ้าของ MySpace คนปัจจุบันจะยืนยันว่าข้อมูลที่ขโมยมานั้นเป็นข้อมูลเก่า แต่ก็ยังได้รับความนิยมอย่างมาก แฮกเกอร์สามารถหาข้อมูลได้ก่อนวันที่ 11 มิถุนายน 2556 เท่านั้น และพวกเขาได้อะไรมาบ้าง อีเมลและรหัสผ่านรายการ แม้แต่รหัสผ่านที่สองในบางครั้ง

เจฟฟ์ แบร์สโตว์ CFO ของ MySpace สร้างความมั่นใจอย่างรวดเร็วให้กับผู้ใช้ว่าพวกเขาให้ความสำคัญกับความปลอดภัยของข้อมูล “อย่างจริงจังที่สุด”

แม้ว่าจะดูไม่รุนแรงเท่าการ ละเมิดความปลอดภัยทางไซเบอร์ ครั้งก่อน แต่บัญชีเหล่านี้มีข้อมูลส่วนบุคคลทุกประเภท ชื่อ อาชีพ กิจกรรมเครือข่าย และตัววัดก่อนประวัติศาสตร์บางส่วนตั้งแต่สมัยที่ MySpace เป็นที่นิยม

พิจารณาสิ่งนี้ด้วย – ผู้ใช้จำนวนมากคุ้นเคยกับการพิมพ์รหัสผ่านเดียวกันสำหรับบัญชีออนไลน์ทั้งหมดของตน หากมีใครทราบรหัสผ่าน MySpace ของคุณ เป็นไปได้ว่าพวกเขาจะสามารถเข้าสู่ระบบโปรไฟล์อินเทอร์เน็ตอื่นๆ ของคุณได้อย่างน้อยหนึ่งโปรไฟล์

ดังนั้นความหลากหลายจึงเป็นกุญแจสำคัญ

การละเมิดข้อมูล Exactis

(ที่มา: InfoArmor)

ปี: 2018

เปิดเผยสถิติ: 230 ล้าน

ในขณะที่ดู กรณี การละเมิดข้อมูลล่าสุด ทั้งหมด ใน ปี 2018 ไม่นานก่อนที่ชื่อ Exactis จะปรากฏขึ้น บริษัทรวบรวมข้อมูล/การตลาดที่ตั้งอยู่ในเมืองปาล์มโคสต์ รัฐฟลอริดา ซึ่ง... คุณเดาถูกก็ถูกแฮ็กเช่นกัน

ดูเหมือนว่าพวกเขาจะสนับสนุนวิธีการแสดงน้อยลงในขณะที่รู้มากขึ้นทั้งหมด

เป็นเรื่องน่ากังวลที่ Exactis สามารถเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองสหรัฐฯ 230 ล้านคนในปี 2018 ได้ การละเมิดดังกล่าวเริ่มมีขึ้นในเดือนมิถุนายนโดย Vinny Troia นักวิจัยด้านความปลอดภัยที่กำลังตรวจสอบการป้องกันของบริษัท ElasticSearch

Troia ใช้ Shodan ซึ่งเป็นเสิร์ชเอ็นจิ้นที่กำหนดเป้าหมายไปยังอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต เพื่อค้นหาหนึ่งในการ ละเมิดข้อมูลที่ใหญ่ที่สุด ใน ปี 2018 – ฐานข้อมูลต่างๆ ประมาณ 7,000 ฐานข้อมูลบนเซิร์ฟเวอร์สาธารณะ หนึ่งในนั้นเป็นของ Exactis และมันก็แค่ทำใจให้สบาย ไม่มีการป้องกันโดยสิ้นเชิง

เช่นเดียวกับอาหารกลางวันในโรงเรียนมัธยมที่คุณเหลือไว้บนโต๊ะทั่วไปในโรงอาหาร

อย่างไรก็ตาม ฐานข้อมูล Exactis นั้นแตกต่างจากการกัดอาหารอันล้ำค่าซึ่งมีข้อมูลประมาณ 340 ล้านรายการ กว่า 66% นั้นผูกติดอยู่กับตัวบุคคล ในขณะที่ส่วนที่เหลือเป็นของบริษัทที่ดำเนินงานทั่วประเทศ

โชคดีที่ไม่มีการเปิดเผยหมายเลขประกันสังคมหรือหมายเลขบัตรเครดิต

อย่างไรก็ตาม มีข้อมูลอื่นๆ รั่วไหลออกมาอีกมาก เช่น ที่อยู่จริง ที่อยู่อีเมล หมายเลขโทรศัพท์ อายุ เพศ แม้แต่เพศลูกของลูกค้า ความเกี่ยวพันทางศาสนา และนิสัยการสูบบุหรี่

อีกครั้ง ไม่ชัดเจนว่านี่เป็นการละเมิดของแฮ็กเกอร์ที่ประสานงานกันหรือเป็นเพียงการรั่วไหลที่เลอะเทอะ

การละเมิดข้อมูลของ Court Ventures

(ที่มา: KrebsOnSecurity)

ปี: 2013

เปิดเผยสถิติ: 200 ล้าน

ย้อนกลับไป ที่เหตุการณ์การแฮ็กครั้งใหญ่ เพื่อการเปลี่ยนแปลง ตุลาคม 2013 ได้นำ Court Ventures ซึ่งเป็นบริษัทในเครือ Experian ซึ่งเป็นการละเมิดที่มีการเปิดเผยข้อมูลผู้บริโภค 200 ล้านรายการ วิธีเกิดการละเมิดนั้นน่าทึ่งมาก

Hieu Minh Ngo อายุ 25 ปี สามารถดำเนินการ ขโมยข้อมูลประจำตัวที่ มองไม่เห็นโดยสมบูรณ์มา ระยะหนึ่งแล้ว แฮ็กเกอร์ปลอมแปลงเป็น PI พร้อมที่อยู่ในสหรัฐอเมริกาเพื่อเข้าถึงข้อมูลลูกค้าได้นานถึงสิบเดือน

ซึ่งเพียงพอที่จะรวบรวมบันทึกข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้ 200 ล้านรายการ

จากนั้นเขาก็ขายมันให้กับผู้คนกว่า 1,300 คนทั้งในเว็บไซต์ขโมยบัตรประจำตัวของเขา – Superget.info และ Findget.me การละเมิดความปลอดภัยของข้อมูล บางครั้งอาจสร้างผลกำไรได้ค่อนข้างมาก

เขาทำทั้งหมดนี้ในขณะที่อยู่ในเวียดนาม อย่างไรก็ตาม ภายหลังเขาถูกตัดสินจำคุก 13 ปีในเรือนจำกลางสหรัฐในเดือนกรกฎาคม 2558

ตามรายงานของ The San Diego Union-Tribune เป็นไปได้ว่าผู้บริโภคมากกว่า 30 ล้านคนตกเป็นเหยื่อของข้อมูลที่ถูกขโมย นอกจากนี้ Ngo และบริษัทในเครือยังกรอกแบบฟอร์มการคืนภาษีที่ประดิษฐ์ขึ้น 13,000 รายการ

ส่งผลให้มีการรวบรวมเงินคืนภาษีที่ไม่มีอยู่ 65 ล้านดอลลาร์

Experian ระบุในเดือนธันวาคม 2013 ว่าไม่มีลูกค้ารายใดได้รับอันตรายจากการละเมิด อย่างน้อยก็ไม่ได้ความรู้ของพวกเขา

การละเมิดข้อมูลการวิเคราะห์รากลึก

(ที่มา: UpGuard)

ปี: 2015

เปิดเผยสถิติ: 198 ล้าน

ธันวาคม 2015 มีการ ละเมิดความปลอดภัยทางไซเบอร์ที่ ใหญ่ที่สุดครั้งหนึ่งในช่วง คริสต์มาส โดยที่ Donald Trump ยังคงเป็นเพียงแค่ผู้สมัครชิงตำแหน่งประธานาธิบดี

ปรากฎว่าบันทึกของผู้มีสิทธิเลือกตั้งกว่า 198 ล้านคนถูกเก็บไว้ในฐานข้อมูลที่มีการป้องกันไม่ดี – ชื่อนามสกุล, สถานะการพำนัก, ที่อยู่, วันเดือนปีเกิด, หมายเลขโทรศัพท์ และรายละเอียดการลงคะแนนเสียงทั้งหมดถูกเปิดเผยต่อสาธารณะชน รายละเอียดเชื้อชาติและศาสนาอยู่ในชุดด้วย

Chris Vickery เป็นคนที่มองเห็นช่องโหว่อีกครั้ง เขาแบ่งปันว่าข้อมูลทั้งหมดถูกเก็บไว้ในเซิร์ฟเวอร์คลาวด์โดยไม่มีการป้องกันใด ๆ ข้อมูล 1.1TB มีไว้สำหรับใครก็ตามที่มีความคิดฉับไว

TargetPoint Consulting และ Data Trust มีส่วนเกี่ยวข้องกับ การละเมิดการเลือกตั้งด้วย แต่ความรับผิดชอบหลักอยู่ที่ Deep Root Analytics

หลังจาก ข่าวการละเมิดข้อมูล ก่อนหน้านี้ ใน เม็กซิโก และฟิลิปปินส์ ซึ่งส่งผลกระทบต่อบุคคลมากกว่า 100 ล้านคน การละเมิด DRA ทำให้เกิดความกังวลว่าข้อมูลการลงคะแนนได้รับการคุ้มครองทั่วโลกอย่างไร

การละเมิดครั้งใหญ่ของอเมริกา

(ที่มา: การ ทบทวนเทคโนโลยี)

ปี: 2548-2555

เปิดเผยสถิติ: 160 ล้าน

ครั้งนี้เป็นการจู่โจมที่ประสานกันขนาดใหญ่

กลุ่มแฮกเกอร์ชาวรัสเซียสามารถเข้าถึงและรวบรวมหมายเลขบัตรเครดิต/เดบิตจากหลายบริษัทมาเป็นเวลาเจ็ดปีเต็ม ระหว่างปี 2548 ถึง 2555

มี บริษัทที่ถูกแฮ็ก ทั้งหมด 15 แห่ง ได้แก่ 7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard และ Diners Singapore

ย้อนกลับไปในสมัยนั้น การดำเนินการนี้ถูกเรียกว่า “แผนการแฮ็กและการละเมิดข้อมูลที่ใหญ่ที่สุดเท่าที่เคยมีมาในสหรัฐอเมริกา” โดย Paul Fishman อัยการรัฐนิวเจอร์ซีย์ แม้ว่าตอนนี้เราจะรู้แล้วว่ามีการฝ่าฝืนที่ใหญ่กว่า แต่เหตุการณ์นี้ก็ตกตะลึงในขณะนั้น

การละเมิดดังกล่าวทำให้เกิดความ สูญ เสียหลาย ร้อยล้าน สำหรับ บริษัทที่ถูกแฮ็ก และผู้บริโภคของพวกเขา นอกจากนี้ เหยื่อบริษัท 3 รายรายงานว่าขาดทุนกว่า 300 ล้านดอลลาร์จากการโจมตี

ไม่ต้องพูดถึงความเป็นไปได้ในการขโมยข้อมูลประจำตัว

ตามรายงานของศาลรัฐบาลกลางเมืองนวร์ก ผู้กระทำความผิด ได้แก่ วลาดิมีร์ ดริงก์แมน, อเล็กซานเดอร์ คาลินิน, โรมัน โคตอฟ, มิคาอิล ริติคอฟ และดมิทรี สมิลิอาเนต ซึ่งทั้งหมดอาศัยอยู่ในรัสเซียหรือยูเครน

รายงานแนะนำว่า Smilianets สามารถขาย หมายเลขบัตรเครดิตที่รั่วไหลออกมา และแบ่งปันผลกำไรกับสมาชิกในทีมของเขาก่อนที่พวกเขาจะถูกตัดสินว่ามีความผิด

ภายใต้การละเมิดข้อมูลเกราะ [MyFitnessPal]

(ที่มา: ฟอร์บส์)

ปี: 2018

บันทึกที่ถูกเปิดเผย: 150 ล้าน

ในเดือนมีนาคม พ.ศ. 2561 แอปสุขภาพ MyFitnessPal ได้เปิดเผยถึงการ ละเมิดข้อมูลที่ใหญ่ที่สุด แห่งหนึ่ง ในช่องด้านการดูแลสุขภาพ

การ ละเมิดความเป็นส่วนตัว ส่งผลกระทบต่อผู้ใช้ 150 ล้านคน บันทึกดังกล่าวรวมถึงชื่อผู้ใช้ ที่อยู่อีเมล และรหัสผ่านที่แฮช อย่างที่คุณอาจสังเกตเห็นแล้ว มีซับในสีเงินสำหรับสถานการณ์นี้ – รหัสผ่านถูกแฮช ซึ่งหมายความว่าแฮกเกอร์ประสบปัญหาในการถอดรหัสข้อมูล แม้ว่าจะอยู่ในความครอบครองแล้วก็ตาม

หากคุณไม่คุ้นเคยกับสิ่งนี้ คุณอาจสงสัยว่าทำไม

ดีขึ้นอยู่กับความซับซ้อนของขั้นตอนวิธีการคร่ำเครียดที่รหัสผ่านสามารถอยู่ปลอดภัยสำหรับทศวรรษที่ผ่านมาแม้หลังจากการละเมิดข้อมูลที่สำคัญ หรือถอดรหัสได้ในเวลาไม่กี่นาที ใช่ เพียงเพราะมีการเข้ารหัสไม่ได้หมายความว่ารหัสผ่านจะปลอดภัย

แม้ว่าบริษัทที่น่าเชื่อถือจะใช้เครื่องมือเข้ารหัสที่มีอันดับสูงสุด แต่ผู้ใช้ยังคงควรเปลี่ยนรหัสผ่านของตนหลังจากการละเมิดดังกล่าว

ในฐานะที่เป็นหนึ่งใน ตัวอย่างการละเมิดข้อมูลที่ ไม่เป็นพิษเป็นภัย Under Armour ทำให้ลูกค้ามั่นใจได้ว่าไม่มีข้อมูลทางการเงินรั่วไหล สิ่งที่ดีที่พวกเขาเก็บข้อมูลทางการเงินและข้อมูลทั่วไปไว้ในที่แยกจากกัน

ไม่มีการรั่วไหลของใบขับขี่หรือหมายเลขประกันสังคมซึ่งเป็นส่วนหนึ่งของการละเมิดเช่นกัน

โดยรวมแล้ว การโจมตีครั้งนี้ไม่มีผลที่ตามมาที่เป็นอันตราย แต่ก็น่าเป็นห่วง

การละเมิดข้อมูล Equifax

(ที่มา: LifeLock)

ปี: 2017

บันทึกที่เปิดเผย: 145.5 ล้าน

ตัวอย่างที่น่าตกใจของการ ละเมิดข้อมูลล่าสุด ถูกเปิดเผยในปี 2560 การโจมตีของแฮ็กเกอร์ส่งผลกระทบต่อผู้บริโภค 145.5 ล้านคนในสหรัฐอเมริกา เข้าถึงข้อมูลส่วนบุคคลโดยละเอียด

Equifax ซึ่งเป็นบริษัทที่มีชื่อเสียงในด้านการรายงานเครดิต ค้นพบการละเมิดเมื่อวันที่ 29 กรกฎาคม การละเมิดดังกล่าวมีขนาดใหญ่ เนื่องจากได้เปิดเผยชื่อเต็ม หมายเลขประกันสังคม วันเกิด ที่อยู่ และหมายเลขใบอนุญาตขับขี่สู่สาธารณะ

คำแนะนำของ Equifax แก่ลูกค้าเป็นเพียงการรับรองทั่วไปและไม่มีสาระ นั่นคือเส้นทางที่หลายบริษัทใช้ในสถานการณ์เช่นนี้

หลังจากการ ละเมิดข้อมูล Equifax พวกเขาให้ความกระจ่างเกี่ยวกับการโจมตีของแฮ็กเกอร์ในการแถลงข่าวโดยละเอียด ตามที่พวกเขากล่าว ผู้กระทำความผิดใช้ช่องโหว่ในแอปเว็บไซต์ของสหรัฐฯ เพื่อทำลายการป้องกันของพวกเขา

อย่างไรก็ตาม ดูเหมือนว่าจะไม่มีกิจกรรมที่ไม่ได้รับอนุญาตเกิดขึ้นในบัญชีที่ถูกบุกรุก

การป้องกันการละเมิดดังกล่าวควรเป็นประโยชน์สูงสุดสำหรับองค์กรใดๆ ต้องใช้เวลา ทุ่มเท และเข้าใจสิ่งแวดล้อม จากนั้นอีกครั้ง สิ่งนี้ใช้ได้กับการแฮ็กเช่นกัน

การละเมิดข้อมูล eBay

(ที่มา: BankInfoSecurity)

ปี: 2014

เปิดเผยสถิติ: 145 ล้าน

ในปี 2014 eBay ประกาศว่าได้ตกเป็นเหยื่อของการโจมตีทางไซเบอร์

แต่ละบัญชีอีเบย์ 145 ล้านลูกค้าถูกแฮ็ก อาชญากรไซเบอร์ได้รับข้อมูลส่วนบุคคลและรหัสผ่านที่เข้ารหัส

นี่เป็นหนึ่งในการ ละเมิดข้อมูลที่ใหญ่ที่สุดตลอดกาล และ ดำเนินการโดยใช้ข้อมูลรับรองการเข้าสู่ระบบของพนักงานในทุกสิ่ง ไม่ใช่ความรู้สาธารณะไม่ว่าพนักงานจะ "อยู่ใน" แผนหรือว่าบริษัทถูกแฮ็กจริงหรือไม่

ข้อมูลส่วนบุคคลที่ฉันอ้างถึงนั้นรวมถึงวันเดือนปีเกิด ที่อยู่ทางไปรษณีย์ หมายเลขโทรศัพท์ และชื่อเต็ม ไม่มีข้อมูลทางการเงินที่ถูกบุกรุกตามแพลตฟอร์ม

สองสัปดาห์หลังจากการละเมิดเกิดขึ้น บริษัทรับรองผู้ใช้ว่าไม่มีกิจกรรมที่น่าสงสัยเกิดขึ้นในบัญชีผู้ใช้ใดๆ

ไม่มีการเปิดเผยรายละเอียดทางการเงิน แต่การ ละเมิดข้อมูลของ eBay ยังคงมีอยู่เกือบ 150 ล้านระเบียน ข้อมูลมากเกินพอที่จะสร้างความเสียหายได้

Al Pascual นักวิเคราะห์ด้านความปลอดภัยที่มีประสบการณ์จาก Javelin Strategy and Research ระบุว่าช่องโหว่นี้น่าจะเข้าใกล้ด้วยแคมเปญฟิชชิ่งหอก Spear phishing เป็นกลวิธีในการปลอมแปลงอีเมล ออกแบบมาเพื่อกำหนดเป้าหมายเฉพาะสมาชิกของบริษัทเพื่อรับการเข้าถึงโดยไม่ได้รับอนุญาต

“ระบบมีความปลอดภัยพอๆ กับจุดอ่อนที่สุด และนั่นก็มักจะเป็นคนของระบบ” ผู้เชี่ยวชาญกล่าวเสริม

“เรากำลังทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายและผู้เชี่ยวชาญด้านความปลอดภัยชั้นนำเพื่อตรวจสอบเรื่องนี้อย่างจริงจัง” แบรนด์ดังกล่าวแชร์หลังจากรายงานการละเมิดครั้งแรก

การละเมิดข้อมูลระบบการชำระเงิน Heartland

(ที่มา: โคโมโด )

ปี: 2552-2560

เปิดเผยสถิติ: 134 ล้าน

ทศวรรษที่ผ่านมา การละเมิดระบบการชำระเงินของ Heartland ถือเป็นการดำเนินการที่ใหญ่ที่สุดเท่าที่เคยมีมา

ในช่วงหนึ่งของการ ละเมิดข้อมูลระดับสูงที่ สร้าง ความ เสียหายมากที่สุด ผู้บุกรุกขโมยบัตรเครดิตที่ไม่ซ้ำกัน 134 ล้านใบ รวมถึงข้อมูลที่เข้ารหัสบนแถบบัตรแม่เหล็ก

นี่เป็นเรื่องใหญ่

Heartland Payment Systems ทำธุรกรรมประมาณ 100 ล้านรายการในปี 2551 ให้บริการผู้ค้า 175,000 ราย พวกเขาทั้งหมดพึ่งพาบริษัทนี้ในการเก็บรักษาข้อมูลของลูกค้าให้ปลอดภัย อย่างที่คุณจินตนาการได้ ข้อมูลรั่วไหลใดๆ ไม่เพียงแค่ส่งผลกระทบต่อบริษัทเท่านั้น แต่ยังส่งผลกระทบต่อธุรกิจทั้งหมดที่พวกเขาร่วมงานด้วย ส่วนใหญ่เป็นร้านค้าปลีกขนาดเล็กถึงขนาดกลาง

เมื่อพิจารณาว่านี่เป็นหนึ่งในการ ละเมิดข้อมูลที่ใหญ่ที่สุด เท่าที่เคยมีมา มันเกิดขึ้นในทางที่เป็นธรรม การดำเนินการเริ่มต้นโดยการฉีด SQL พูดง่ายๆ ก็คือ แฮกเกอร์ได้รวมคำสั่งฐานข้อมูลเพิ่มเติมในสคริปต์เว็บเพื่อให้เซิร์ฟเวอร์ปฏิบัติตามคำสั่งของพวกเขา

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่นี้มาเป็นเวลาแปดปีแล้ว เนื่องจากการละเมิดครั้งแรกเกิดขึ้นในปี 2552

ตามรายงานของ Heartland แฮกเกอร์ใช้เวลาแปดเดือนในการเข้าสู่ระบบการประมวลผลการชำระเงินโดยไม่ถูกตรวจพบ ผู้ให้บริการแอนตี้ไวรัสทั้งหมด Heartland ที่ใช้ไม่สามารถตรวจพบได้

ในขณะ ที่เหตุการณ์การแฮ็กครั้งใหญ่ ดำเนินไป ผู้คนที่อยู่เบื้องหลังเหตุการณ์นี้ต่างก็ต่อสู้กันอย่างยาวนาน ในที่สุด ความมุ่งมั่นของผู้โจมตีก็ได้ผลเมื่อสปายแวร์ “ดมกลิ่น” เข้ามาในที่เกิดเหตุ

โดยปกติ สปายแวร์ดังกล่าวสามารถใช้เพื่อรวบรวมและตรวจสอบการรับส่งข้อมูลในเครือข่าย จากนั้นบริษัทต่างๆ จะวิเคราะห์และแก้ไขปัญหาที่มีอยู่

ในทางกลับกัน “นักดมกลิ่น” ยังสามารถชี้แฮกเกอร์ไปยังข้อมูลเป้าหมายได้ รายงานแนะนำว่ากลุ่มมีข้อมูลทั้งหมดที่จำเป็นสำหรับการใช้บัตรเครดิตที่ถูกขโมยหลังจากการละเมิด

ผลลัพธ์ที่น่าสยดสยองสำหรับ Heartland Payment Services คือการยุติการเชื่อมต่อกับ PCI DSS รายได้ลดลง ค่าชดเชย 145 ล้านดอลลาร์ และขาดทุนรวมกว่า 200 ล้านดอลลาร์

Nametests การละเมิดข้อมูล

(ที่มา: Fossbytes)

ปี: 2017-2018

เปิดเผยสถิติ: 120 ล้าน

รายชื่อของการละเมิดข้อมูลที่ผ่านมาไม่สามารถสมบูรณ์โดยไม่ต้องหนึ่งที่มีส่วนเกี่ยวข้องกับ Facebook

ฉันคิดว่าอย่างน้อยเราทุกคนต่างก็มีความรู้ที่ผ่านพ้นมาบ้างเกี่ยวกับสิ่งที่เกิดขึ้นระหว่างเรื่องอื้อฉาว Facebook-Cambridge Analytica เมื่อไม่นานมานี้ ความตื่นตระหนก "ฉันจะลบ Facebook ของฉัน" อ้างว่า Zuckerberg เป็นหุ่นยนต์

ฉันจะไม่ลงลึกถึงเรื่องอื้อฉาวเอง แต่เน้นที่ Nametests

Nametests?

ฉันตอบสนองแบบเดียวกันเมื่อได้ยินครั้งแรก ปรากฎว่า Nametests เป็นแอพ Facebook Quiz ที่ใช้ในการพิจารณาว่าตัวละครใดเหมาะกับคุณมากที่สุด

Nametests เข้าสู่การ ละเมิดข้อมูลที่ใหญ่ที่สุด ใน ปี 2018 โดยการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 120 ล้านคน หากตรวจไม่พบ Inti De Ceukelaire แอปจะยังคงใช้ข้อมูลผู้ใช้ในทางที่ผิดต่อไป

นักวิจัยด้านความปลอดภัยพบว่า Nametests หลุดระหว่างโปรแกรม Data Abuse Bounty ของ Facebook

Ceukelaire ตั้งค่าเว็บไซต์ที่สร้างขึ้นใหม่และสร้างการเชื่อมต่อกับ Nametests เขาไม่เหนื่อยเลยที่จะเข้าถึงรายละเอียดโปรไฟล์ Facebook ที่เก็บไว้ทั้งหมด เช่น ชื่อ รูปภาพ โพสต์ อาชีพ และอื่นๆ

นอกจากนี้ Nametests ยังแจกจ่ายโทเค็นเพื่อให้เข้าถึงฟีดของผู้ใช้แบบเรียลไทม์ แม้ว่าคุณจะลบแอปไปแล้ว แอปจะยังคงแชร์ข้อมูลส่วนบุคคลของคุณกับบุคคลที่สามบนเว็บไซต์

การละเมิดข้อมูล LinkedIn

(ที่มา: ฟอร์จูน)

ปี: 2012

เปิดเผยสถิติ: 117 ล้าน

ย้อนกลับไปในปี 2012 LinkedIn ถูกขโมยบัญชีผู้ใช้ 6.5 ล้านบัญชี ชุมชนอินเทอร์เน็ตมักให้ชื่อเล่นว่า "LeakedIn"

นี้เป็นอย่างหนึ่งของข้อมูลที่ใหญ่ที่สุดของโลกละเมิดถึงวันที่

ในขณะที่ 6.5 ล้านยังคงมีจำนวนมาก LinkedIn ดำเนินการอย่างรวดเร็วและปิดการใช้งานบัญชีที่ถูกบุกรุก

ข้อมูลที่ได้มานั้นถูกโพสต์เพื่อขายในฟอรั่มที่ใช้ภาษารัสเซีย LinkedIn ตอบสนอง และในไม่ช้าปัญหาก็ไม่มีอีกต่อไป สิ่งนี้ทำให้มีเวลาฟื้นตัว แต่ในเดือนพฤษภาคม 2018 รายละเอียดที่น่าสยดสยอง ใหม่ ปรากฏขึ้น

จำนวนบัญชีที่ถูกกล่าวหา 6.5 ล้านบัญชีที่รั่วไหลออกมาเป็น 117 ล้านบัญชีแทน ยิ่งไปกว่านั้น พวกเขายังมีจำหน่ายในตลาด DarkWeb “Peace” หรือ “Peace_of_Mind” แฮ็กเกอร์จากรัสเซีย เสนอขายพวกเขาในราคา 5 BTC ( Bitcoin ) และเปลี่ยน LinkedIn ให้เป็นหนึ่งในการ ละเมิดข้อมูลที่มีชื่อเสียง ที่สุด ในปัจจุบัน

LeakedSource อ้างว่าเป็นเจ้าของรายการที่ค้นหาได้ของฐานข้อมูลนี้ โดยมีตัวเลือกให้ทดลองใช้ในราคา $4 ต่อวัน

Carry Scott, CISO ของ LinkedIn กล่าวว่าพวกเขาได้รีเซ็ตรหัสผ่านของบัญชีที่รั่วไหล

การละเมิดข้อมูล MindBody

(ที่มา: Pymnts)

ปี: 2018

เปิดเผยสถิติ: 113.5 ล้าน

ในปี 2018 FitMetrix ได้กลายเป็นส่วนหนึ่งของครอบครัว MindBody และยังเข้าร่วมชมรมของ บริษัท ที่ถูก แฮ็ก อีกด้วย

MindBody ยักษ์ใหญ่ด้านฟิตเนสและบริการด้านสุขภาพ จ่ายเงิน 15.3 ล้านดอลลาร์สำหรับการซื้อกิจการ พวกเขาไม่รู้เลยว่ามันจะต้องเสียค่าใช้จ่ายมากกว่านั้นมาก

FitMetrix เกิดการละเมิดข้อมูลจำนวนมหาศาลของบัญชีผู้ใช้ 113.5 ล้านบัญชี แต่ละระเบียนประกอบด้วยชื่อผู้ใช้ ที่อยู่อีเมล เพศ หมายเลขโทรศัพท์ รูปภาพ ส่วนสูง น้ำหนัก ขนาดรองเท้า และสถานที่ออกกำลังกายที่ต้องการ

รายชื่อผู้ติดต่อในกรณีฉุกเฉินก็ถูกระบุไว้เช่นกัน เช่นเดียวกับข้อมูลบางส่วนที่มีป้ายกำกับว่า “ข้อมูลเพิ่มเติม”

บ๊อบ Diachenko ค้นพบนี้ละเมิดข้อมูลล่าสุดอย่างเป็นธรรมในปี 2018 Diachenko เป็นผู้อำนวยการฝ่ายวิจัยความเสี่ยงทางไซเบอร์ที่ Hacken และถือเป็นผู้เชี่ยวชาญในหัวข้อนี้ รายงานของเขาแสดงให้เห็นว่าเซิร์ฟเวอร์ MindBody จำนวนหนึ่งไม่ได้รับการป้องกันด้วยรหัสผ่าน

หนึ่งในฐานข้อมูลของพวกเขายังมีบันทึกค่าไถ่ติดอยู่ด้วย

ในความเห็นของเขา ผู้บุกรุกกำลังเข้าถึงฐานข้อมูล ส่งออก ลบ และแนบบันทึกค่าไถ่ในภายหลัง MindBody ไม่ได้คิดมากในการค้นพบของเขา

พวกเขาดำเนินการกับการละเมิดหลังจาก บทความของ TechCrunch ถูกเปิดเผยเท่านั้น

“เราดำเนินการทันทีเพื่อปิดช่องโหว่นี้” บริษัทกล่าว คุณรู้ไหม เดือนต่อมาในทันที

TJ Stores การละเมิดข้อมูล

(ที่มา: ComputerWorld)

ปี: 2007

เปิดเผยสถิติ: 100 ล้าน

หนึ่งในการ ละเมิดข้อมูลที่ใหญ่ที่สุด ในปี 2550 กลายเป็นความรู้สาธารณะเมื่อบริษัท TJX เปิดเผยข้อมูลเกี่ยวกับการโจมตีของแฮ็กเกอร์ที่มีเป้าหมายมากกว่า 100 ล้านบันทึกของลูกค้า

แฮกเกอร์มุ่งเป้าไปที่ข้อมูลประเภทปกติ เช่น หมายเลขบัตรเครดิต บันทึกการซื้อคืน ชื่อนามสกุล และหมายเลขใบขับขี่

45.6 ล้านคนเป็นหมายเลขบัตรของผู้ใช้ในประเทศต่างๆ อย่างไรก็ตาม การ ฟ้องคดี ต่อ TJX ทำให้จำนวนจริงอยู่ที่ 94 ล้าน

เช่นเดียวกับการ ละเมิดข้อมูล ใน ปี 2018 เหตุการณ์นี้เมื่อ 12 ปีที่แล้วสามารถส่งผลกระทบต่อการประเมินมูลค่าตลาดของบริษัทได้ ตามสถิติตลาดหุ้นปี 2550-2551 หุ้นของบริษัทตกต่ำ จาก 30 ดอลลาร์เป็น 29 ดอลลาร์ มูลค่าบริษัทลดลง 3.4%

ค่าใช้จ่ายในการละเมิด TJX เพิ่มขึ้นประมาณ 250 ล้านดอลลาร์ ซึ่งรวมถึงการวิจัยข้อบกพร่องด้านความปลอดภัย การเรียกร้อง การฟ้องร้อง และค่าปรับ

แฮ็กเกอร์คนแรกที่รับผิดชอบต่อการละเมิดนั้น อัลเบิร์ต กอนซาเลส ตั้งใจแน่วแน่ที่จะกระทำการโดยได้รับอนุญาตอย่างเต็มที่จากหน่วยสืบราชการลับของสหรัฐฯ

เขาพยายามอุทธรณ์คำตัดสินของเขาในปี 2011 แต่การละเมิด TJX จะยังคงอยู่ในประวัติศาสตร์ว่าเป็นเรื่องที่น่าตกใจที่สุดในยุคนั้น

การละเมิดข้อมูล VK.com

(ที่มา: TheHackerNews)

ปี: 2016

เปิดเผยสถิติ: 100 ล้าน

การ ละเมิดข้อมูลล่าสุด อีกประการหนึ่ง ส่งเราไปยัง VK.com ซึ่งเป็นแพลตฟอร์มเครือข่ายโซเชียลที่พัฒนามากที่สุดในรัสเซีย

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

บทสรุป

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.