27+ Tarihteki En Büyük Veri İhlalleri [2021'de Güncellendi]

ABD'de her 39 saniyede bir hacker saldırısı gerçekleşiyor.

Bu sıklık ilk başta endişe verici olabilir.

Ancak, gerçekte, çoğu saldırılar yüksek profilli saldırılar gerçekleşmesi bile olsa, toplum üzerindeki küçük bir etkisi vardır. Voldemort için tehlikeli değiller ama bazıları oldukça yakına geliyor.

Modern tarihteki en büyük veri ihlallerinin paylaşıldığı beş temel hedef var . Bunlar tam adınız, e-posta adresiniz, fiziksel adresiniz, IP adresiniz ve kredi kartı bilgilerinizdir.

İşte bahsettiğimiz şeyin bir tadı:

• Yahoo'nun düşüşü, şimdiye kadar bildirilen en büyük veri ihlaliyle kesinlikle hızlandı: 3 milyar hesap açığa çıktı.
• Sinsi bilgisayar korsanları, 2020 yılına kadar Marriott International'ın 505 milyondan fazla misafirinin kişisel verilerini toplamayı başardı .
• 412 milyon yetişkin ağı FriendFinder üyesi de istekli veri hırsızlığına maruz kaldı.
• Tek bir genç hacker'ın hassas bilgilere sahip 200 milyondan fazla kullanıcı hesabına erişmesi birkaç yıl aldı ; bunlar münhasıran Court Ventures'a aitti.
• LinkedIn, 117 milyon hesap çalındıktan sonra LeakedIn olarak tanındı .
• Fitness tutkunları da kızarmaktan kurtulamadı - yaklaşık 113 milyon FitMetrix kullanıcısı kişisel verilerini istemeden bilinmeyen bilgisayar korsanlarıyla paylaştı.
• Zamanda daha da geriye gidilerek, 2008 yılında Heartland Ödeme Sistemlerinden 134 milyon kredi kartı numarası kaldırılmıştır.
• Konuyla ilgili olarak Equifax , 2017'ye kadar 145,5 milyonu aşkın kullanıcının ödeme verilerini bildirdi .

Kendi başına büyük bir ihlal olmasına rağmen, Büyük Papirüs Saldırısını gün içinde gözden geçirmeyeceğim. Bunun yerine modern güvenliğin tuzaklarına ve bizi nasıl etkilediklerine bir göz atacağım.

Ama önce, 2020 yılında en son güvenlik ihlallerini gözden geçirelim.

2020 yılında Veri Kayıpları

2020 sayısız siber saldırıyla başladı. Saldırılar , tüm zamanların en büyük veri ihlalleri olmasa da, kişisel bilgiler, e-postalar, şifreler ve kredi kartı numaraları dahil olmak üzere milyonlarca kullanıcının verilerini ifşa etti.

Bu, modern üst düzey güvenlik sistemlerinin bile umulduğu kadar etkili olmadığını gösteriyor.

Sözü daha fazla uzatmadan 2020'deki en son bilgi ihlallerini sıralıyoruz.

Elasticsearch Veri İhlali 2020

(Kaynak: BankInfoSecurity)

Açıklanan kayıtlar: 250 milyon

En son bilgi sızıntılarından biri Microsoft'u içeriyor. Teknoloji devi, "yanlışlıkla" üç hafta boyunca 250 milyon müşteri destek kaydını ifşa etti. Olan, Microsoft'un bu verileri yanlış yapılandırılmış beş Elasticsearch veritabanında depolamasıydı.

Şirketin soruşturması herhangi bir veri hırsızlığı ortaya çıkarmasa da , hisseleri hisse başına neredeyse 10 dolar düştü .

Clearview AI Veri İhlali 2020

(Kaynak: The Daily Beast)

Açıklanan kayıtlar: Bilinmiyor (şirketin tüm müşteri listesi)

Şubat ayında tartışmalı şirket, bir bilgisayar korsanının müşteri listesine "yetkisiz erişim elde ettiğini" bildirdi. Müşterilerinin çoğu, bir şüphelinin fotoğraflarını çekebilen ve bunları şirketin 3 milyardan fazla görüntüden oluşan veri tabanıyla karşılaştırabilen kolluk kuvvetleridir.

Şirketin siber ihlale tepkisi basitti: "Ne yazık ki, veri ihlalleri 21. yüzyılda hayatın bir parçası." Ancak firma, güvenlik açığını giderdiğini ve sunucularının güvende olduğunu iddia ediyor.

Nintendo Veri İhlali 2020

(Kaynak: Verge)

Açıklanan kayıtlar: 160.000

Nisan ayında Nintendo, yaklaşık 160.000 hesap, e-posta ve şifre listesinin açığa çıktığını duyurdu . Sızan verilerin listesi ayrıca isimleri, doğum tarihlerini, cinsiyeti ve ülkeyi de içerir.

Şirket, kullanıcılarını hesaplarının güvenliğini artırmak için iki faktörlü kimlik doğrulama kullanmaya çağırdı.

İyi tarafı, hiçbir kredi kartı bilgisi sızdırılmadı, bu nedenle kullanıcıların paraları blokta güvende.

Anla?

Her neyse, bir sonrakine.

Tetrad Veri İhlali 2020

(Kaynak: UpGuard)

Açıklanan kayıtlar: 120 milyon

Şubat ayında Tetrad, milyonlarca Amerikan hanesi ve işletmesi hakkındaki bilgileri açığa çıkaran büyük bir veri ihlalinin kurbanı oldu .

Şirket, bir Amazon S3 kovasını yanlış yapılandırdı ve verileri web tarayıcısı olan herkes için erişilebilir hale getirdi. Bilgiler toplam 747 GB'lık üç dosyada bulunuyordu. Neyse ki, sızıntının keşfedilmesinden bir hafta sonra şirket güvenlik açığını giderdi.

Virgin Media Veri İhlali 2020

(Kaynak: BBC)

Açıklanan kayıtlar: 900.000

Şirketler kesinlikle siber suçluların işlerini kolaylaştırıyor.

Mayıs ayında Virgin Media, 10 ay boyunca erişilebilir ve güvenli olmayan yaklaşık 900.000 kullanıcıya ait kişisel veri olduğunu kabul etti.

Sebep?

Elbette yanlış yapılandırılmış bir veritabanı!

Birisi gerçekten bu adamlara bir veritabanını nasıl düzgün bir şekilde yapılandıracağını öğretmeye çalışmalı.

Yetkisiz bir kullanıcı tarafından en az bir kez erişildi. İşin iyi tarafı, sızdırılan bilgiler herhangi bir finansal bilgi içermiyordu.

Wawa Veri İhlali 2020

(Kaynak: ZDNet)

Açıklanan kayıtlar: 30 milyon

2020 için Bizim veri ihlalleri listesi Wawa olmadan tam olmaz. Ocak ayında, çevrimiçi en büyük dolandırıcılık pazarlarından biri olan Joker's Stash'ta 30 milyondan fazla ödeme kartı bilgisi satışa sunuldu.

Şirket, ihlali Aralık 2019'da açıklamıştı ancak veriler yılbaşından birkaç gün sonra karaborsada ortaya çıktı. Bu ödeme kartı ihlali, Home Depot (50 milyon) ve Target (40 milyon) ile birlikte en büyük ihlaller arasında yer alıyor.

GoDaddy Veri İhlali 2020

(Kaynak: Güvenlik Dergisi)

Açıklanan kayıtlar: 28.000

23 Nisan'da GoDaddy, değiştirilmiş bir SSH dosyası aracılığıyla SSH kullanıcı adlarının ve parolalarının güvenliğinin ihlal edildiğini tespit etti. Bu son veri ihlalinin daha önce çalınan oturum açma ayrıntılarından mı yoksa kaba kuvvet saldırılarından mı kaynaklandığı belli değil , ancak barındırma sağlayıcısı "tehdit aktörünün müşterilerin ana GoDaddy hesaplarına erişimi olmadığını" belirtti.

Bu 28.000 açık kaydın büyük bir veri ihlali olarak adlandırılamamasına rağmen, GoDaddy'nin 77 milyon alanı yönettiği göz önüne alındığında, bu sızıntı bazı güvenlik sorularını gündeme getiriyor.

Şimdi.

Rakamlar, kullanıcı verilerinin ne kadar savunmasız olabileceğini açıkça gösteriyor. Çevrimiçi olduğunuzda biraz daha dikkatli olmanız için sizi dürtebilirler.

Bununla birlikte, dünyanın en büyük veri ihlallerine geçelim .

Yahoo Veri İhlali

(Kaynak: STK)

Yıl – 2013-2014

Açıklanan kayıtlar: 3 milyar

Yahoo, eski ihtişamından çok uzak. Yahoo imparatorluğunun büyük düşüşü 2013'te başladı. Henüz bilinmeyen bir taraf Yahoo'nun veritabanına girerek 3 milyar hesaba erişim sağladı . Bu, Yahoo'nun şimdiye kadar karşılaştığı en büyük hack ve tarihteki en büyük veri ihlalidir . Ve onu ancak 2016'da keşfettiler.

Saldırı, daha sonra Yahoo'yu 4.48 milyar dolara satın alan Verizon ile müzakerelerinin tam ortasında gerçekleşti. Revize edilen fiyat, daha önce beklenenden 350 milyon dolar daha azdı, ancak bu, Yahoo için buzdağının sadece görünen kısmıydı.

Çalınan bilgiler arasında tam adlar, doğum tarihleri, e-posta adresleri ve şifreler ve güvenlik sorunları yazışmaları (sorular/cevaplar) bulunuyordu.

Şirket, saldırının devlet tarafından finanse edilen bilgisayar korsanları tarafından gerçekleştirildiğini iddia ediyor. Bir Vice makalesi ayrıca, Adalet Bakanlığı'nın, devasa Yahoo veri ihlalinin başlatıcıları olarak Rusya Federal Güvenlik Servisi üyelerine işaret ettiğini gösteriyor .

Kişisel bilgilerin hem ABD'li hem de Rus yetkilileri, gazetecileri ve bazı özel sektör bireylerini tehlikeye atmak (muhtemelen şantaj yapmak) için kullanıldığı iddia edildi. Hesap ayrıntılarının bir kısmı, bilinen bir darknet sanal pazarı olan “TheRealDeal” da satışa sunuldu.

Bilgi güçtür, değil mi?

Yıllar önce gerçekleşmesine rağmen, bu ihlal hala En Ünlü Veri İhlalleri Lider Tablosunun başında yer alıyor .

River City Medya Verileri İhlali

(Kaynak: TheRegister)

yıl: 2017

Açıklanan kayıtlar: 1,37 milyar

En son veri ihlallerinden biri, River City Media'nın büyük veri maruziyetiyle karşılaştığı 2017 baharında gerçekleşti.

Bir kişinin spam e-posta görünce sevinçten zıpladığını hiç görmedim. Asıl sürprizim, birçok kişinin bunları açtığı ve böylece spam odaklı işletmelere bazı veri ölçümleri sağladığı ortaya çıktı.

River City Media bir şekilde büyük bir e-posta ve posta adresi veritabanına yetkisiz erişime izin vermeyi başardı. Bu, 1,37 milyar abone kaydının aniden vahşi doğada yayınlanmasına neden oldu .

Ancak… bu tam olarak bir ihlal değildi.

Wyoming merkezli pazarlama şirketi Jackson, 200 GB'lık bir depoya ücretsiz erişim sağladı. Sorunu ilk keşfeden Chris Vickery'ye göre, veriler şifre koruması olmayan bir sistemde sessizce bekliyordu.

Tüm zamanların en büyük veri ihlalleri bazılarını Dönüşler hep eh hacker neden değildir?

Tamam, hadi özensiz adamların neler sızdırdığını görelim – gerçek, tam adlar ve IP/e-posta/fiziksel adresler. On milyonlarca insanın bilgileri , erişmek isteyen herkese sızdırıldı .

Ek olarak, ihlal, şirketin açıklanmayan bağlı kuruluşlarının bir listesiyle birlikte RCM'nin geliştirme planlarına ışık tuttu.

River City Media, niyetlerini gizli tuttuğu için sızıntıya hemen yanıt vermedi. Ancak yüksek profilli veri ihlalleri genellikle sessizliği takdir etmez.

Marka, daha sonra tüm verilerin FTC ve 2003 tarihli Can-Spam Yasası gerekliliklerine göre yasal olarak elde edildiğini belirterek eylem eksikliğini açıklamaya çalıştı. Ancak bu, onları bir Spamhaus kara liste işareti almaktan kurtarmadı.

Marriott International Veri İhlali [2020'de Güncellendi]

(Kaynak: Vox)

Yıl: 2014-2018, 2020

Açıklanan kayıtlar: 505+ milyon

Bir süreliğine otel işine geçiyoruz. Marriott International onların veri kayıtları ihlal edilmiş inci olduğunu 30 Kasım tarihinde açıklandı. Bilgisayar korsanları, 2014'ten 2018'in sonlarına kadar kayıtlarına erişebildi. Ve bir kez daha Ocak 2020'de.

Biz 2020 yılında veri ihlalleri bahsederken biz bayan Marriott Uluslararası olamaz. En son güvenlik ihlallerinden biri, 5,2 milyondan fazla misafirin kişisel verilerine erişime izin verdi . Veriler, iletişim bilgilerini, kişisel bilgileri, tercihleri ​​ve daha fazlasını içerir.

Ancak, büyük veri ihlalleri açısından 5,2 milyon kayıt o kadar etkileyici değil . Şimdi birkaç yıl önce neler olduğuna bir bakalım - 2014'ten 2018'e.

Siber güvenlik ihlallerine gelince , bu en uzun süredir devam edenlerden biriydi. Bullseye.

İhlalin ganimetlerinin 500 milyon kişinin kişisel bilgileri olduğu tahmin ediliyordu .

Veritabanı, isimler (tam ve kısmi kombinasyonlar), posta/e-posta adresleri, telefon numaraları, hesap bilgileri, doğum tarihi, cinsiyet, rezervasyon tarihleri, varış/ayrılış saatleri, ödeme kartı numaraları/son kullanma tarihleri ​​ve pasaport bilgilerini içeriyordu.

Neyse ki tüm kredi kartı bilgileri (8,6 milyon kredi/banka kartı numarası) AES-128 şifrelemesi altındaydı . Tamam, en azından ödeme bilgileri güvende… başka bir şey değilse.

Bu, en büyük veri ihlallerinden biridir ve verilerin büyük bir kısmı herkes tarafından okunabilir durumdaydı .

Örneğin, 5,25 milyon müşteri pasaport numarası şifresizdi. Bu, kayıtlı tüm sayıların %20'sinin biraz kuzeyindeydi, çünkü 20,3 milyonu daha gerçekten şifreliydi. Marriott International, zararları daha ayrıntılı bir şekilde değerlendirdi ve etkilenen müşteri sayısını 383 milyon olarak tahmin etti.

Pekala, bu kadar çok misafir kaydını kim kullanıyor? Saf bir soru, evet, ancak uzmanlar saldırının arkasında Çin istihbarat toplama ekiplerinin olduğuna inanıyor.

İşin aslı şu ki, Marriott International, şimdiye kadarki en ünlü veri ihlallerinden birinin arkasında kimin olduğunu düşündüğünü hâlâ açıklamadı .

İhlalle ilgili haberlere, birincil hedeflerinin “ne olduğunu anlamak” ve “misafirlerine en iyi şekilde nasıl yardımcı olabileceklerini” söyleyerek tepki gösterdiler.

FriendFinder Ağ Veri İhlali

(Kaynak: ComputerWorld)

Yıl: 2016

Açıklanan kayıtlar : 412 milyon

Bazı insanlar, cinsel geçmişlerini kamuya açıklamak yerine banka hesaplarına erişim vermeyi tercih eder. Bu nedenle, bunun “2016'nın en büyük ihlali” olarak adlandırılması şaşırtıcı değil. Açığa çıkan kayıtlar, kullanıcı adları, şifreler ve e-posta adresleri dahil olmak üzere 412 milyondan fazla bilgi parçasına ulaştı.

“Dünyanın En Büyük Seks ve Swinger Topluluğu”nun kullanıcı tabanını hacklemek, bilgilerin hassas doğası göz önüne alındığında kolaylıkla dünyanın en büyük veri ihlallerinden biri olarak sınıflandırılabilir . FriendFinder Ağı , yirmi yılı aşkın süredir biriken müşteri verilerini içeren bir güvenlik ihlaline maruz kaldı. Veriler altı farklı veri tabanına yayıldı – FriendFinder, Adultfinder, Cams, Penthouse, iCams ve Stripshow.

LeakedSource'un değerlendirmesi, tüm hassas bilgilerin düz metin veya SHA1 karma biçiminde tutulduğu yönündedir . Bu, müşteri verilerini depolamanın berbat bir yoludur. Yine, Sızan Kaynak, saldırının en olası dönemi olarak Ekim ayına işaret ediyor.

Evet, bu sefer hackerlar.

FriendFinder müşterilerinin güvenliğini önemsediklerini iddia ediyor. Eh, onlar er güvenlik ihlalleri hakkında bilgi paylaştı olabilirdi. Müşterileriyle aramızı düzeltmek ve onları uyarmak genel nezaket gereğidir. "Hey millet, bir nevi saldırıya uğradık... bilginiz olsun diye."

Ek olarak, LeakedSource şifrelenmiş parolaların %99'unu kırmayı bile başardı. Doğal olarak en çok kullanılan şifre 123456 oldu. “vanillaicecream1902”nin hatırlanması daha kolay demiyorum ama hesabınızı biraz daha güvenli hale getirebilir. (Uzmanlara göre hala çok daha güvenli.). Bununla birlikte, hala bu tür bir parola kullananlarınız için güçlü bir parolanın nasıl oluşturulacağına ilişkin eyleme geçirilebilir bir kılavuz hazırladık .

MySpace Veri İhlali

(Kaynak: TechCrunch)

Yıl: 2016

Açıklanan kayıtlar: 360 milyon

Şubat 2016, MySpace için hiç de sakin geçmedi.

Birçoğu platformu unutmuş olsa da, hala var. Çalınan Hesap Kayıtları uygulamasında 360 milyondan fazla puan alarak bugüne kadarki en büyük veri ihlallerinden birinin sorumlusuydu .

(Böyle bir uygulama yok, aramayın.)

MySpace'in şu anki sahibi Time Inc., çalınan verilerin eski olduğunu doğrulamasına rağmen, hala büyük bir hit. Onlara göre, bilgisayar korsanları yalnızca 11 Haziran 2013 tarihinden önce veri elde etmeyi başardılar. Peki ne elde ettiler? E-posta ve şifre listeleri . Arada bir ikinci bir şifre bile.

MySpace CFO'su Jeff Bairstow, kullanıcılara veri güvenliğini "son derece ciddiye aldıkları" konusunda hemen güvence verdi.

Daha önceki siber güvenlik ihlalleri kadar ciddi görünmese de bu hesaplar her türlü kişisel bilgiyi barındırıyor. Ad, meslek, ağ etkinliği ve MySpace'in popüler olduğu zamana ait bazı tarih öncesi ölçümler.

Ayrıca şunu da göz önünde bulundurun – birçok kullanıcı tüm çevrimiçi hesapları için aynı parolayı yazmaya alışkındır. Herhangi biri MySpace şifrenizi öğrenirse, diğer internet profillerinizden en az birinde oturum açabilecektir.

Yani çeşitlilik esastır.

Exactis Veri İhlali

(Kaynak: InfoArmor)

Yıl: 2018

Açıklanan kayıtlar: 230 milyon

2018 yılında tüm yeni veri ihlali durumlarda bakarken, o Exactis yüzeyli adından önce uzun değildi. Florida, Palm Coast'ta bulunan bir veri toplama/pazarlama şirketi de tahmin ettiğiniz gibi hacklendi.

Görünen o ki, çok daha fazlasını bilerek daha az gösterme yaklaşımını destekliyorlar.

Exactis'in 2018'de 230 milyon ABD vatandaşıyla ilgili kişisel bilgileri bir şekilde ifşa etmeyi başarması endişe verici. İhlal, Haziran ayında ElasticSearch şirketinin savunmasını kontrol eden bir güvenlik araştırmacısı olan Vinny Troia'nın eliyle ortaya çıktı.

Kamu sunucularında 7.000 konusunda farklı veritabanları - Truva 2018 yılında büyük veri ihlalleri biri keşfetmek için Shodan, internet bağlantılı cihazları hedefleyen bir arama motoru, kullandı. Bunlardan biri Exactis'e aitti ve tamamen korumasızdı.

Tıpkı lise yemeğinizin kafeteryadaki ortak masaya bıraktığı gibi.

Ancak, değerli yiyecek ısırığının aksine, Exactis veri tabanı yaklaşık 340 milyon kayıttan oluşuyordu. Bunların %66'sından biraz fazlası bireylere bağlıyken, geri kalanı ülke çapında faaliyet gösteren şirketlere aittir.

Neyse ki, hiçbir sosyal güvenlik numarası veya kredi kartı numarası açıklanmadı.

Ancak, birçok başka bilgi sızdırıldı: fiziksel adresler, e-posta adresleri, telefon numaraları, yaş, cinsiyet, hatta müşterilerin çocuklarının cinsiyeti, dini inançları ve sigara içme alışkanlıkları.

Yine, bunun koordineli bir bilgisayar korsanı ihlali mi yoksa sadece özensiz bir sızıntı mı olduğu belli değil.

Court Ventures Veri İhlali

(Kaynak: KrebsOnSecurity)

2013 yılı

Açıklanan kayıtlar: 200 milyon

Bir değişiklik için büyük hack olaylarına geri dönersek , Ekim 2013, Experian'a ait bir şirket olan Court Ventures'ı 200 milyon tüketici kaydının açığa çıktığı bir ihlal haline getirdi. İhlalin gerçekleşme şekli büyüleyici.

25 yaşındaki Hieu Minh Ngo, oldukça uzun bir süre tamamen görünmeyen bir kimlik hırsızlığı operasyonu yürütmeyi başardı . Bilgisayar korsanı, on ay boyunca müşteri bilgilerine erişmek için Amerika Birleşik Devletleri'nde bir adrese sahip bir PI olarak poz verdi.

Bu, 200 milyon hassas kişisel bilgi kaydı toplamak için yeterliydi.

Daha sonra hem kimlik hırsızlığı web sitelerinde, hem de Superget.info ve Findget.me'de 1300'den fazla kişiye sattı. Bilgi güvenliği ihlalleri bazen oldukça karlı olabilir.

Bunların hepsini Vietnam'dayken yaptı. Bununla birlikte, daha sonra Temmuz 2015'te ABD federal hapishanesinde 13 yıl hapis cezasına çarptırıldı.

The San Diego Union-Tribune'e göre, 30 milyondan fazla tüketici çalınan verilerin kurbanı olabilir. Ayrıca, Ngo ve olası iştirakleri tarafından 13.000 fabrikasyon vergi beyannamesi dolduruldu.

Bu, var olmayan vergi iadelerinde 65 milyon dolar toplanmasıyla sonuçlandı.

Experian, Aralık 2013'te hiçbir müşterinin ihlalden zarar görmediğini belirtti. En azından onların bilgisi dahilinde değil.

Derin Kök Analitik Veri İhlali

(Kaynak: UpGuard)

yıl: 2015

Açıklanan kayıtlar: 198 milyon

Aralık 2015 , Donald Trump'ın henüz sadece bir başkan adayı olduğu Noel döneminde en büyük siber güvenlik ihlallerinden birini gördü .

198 milyondan fazla seçmen kaydının kötü korunan bir veri tabanında tutulduğu ortaya çıktı - tam adlar, ikametgah durumları, adresler, doğum tarihleri, telefon numaraları ve oylama ayrıntılarının tümü kamuya ifşa edildi. Etnik köken ve din detayları da paketteydi.

Güvenlik açığını fark eden yine Chris Vickery oldu. Tüm bilgilerin herhangi bir savunma olmaksızın bir bulut sunucusunda tutulduğunu paylaştı. 1,1 TB veri, hızlı bir zihinle herkesin eline geçti.

TargetPoint Consulting ve Data Trust da seçim ihlaline karıştı, ancak asıl sorumluluk Deep Root Analytics'e aittir.

Meksika'da 100 milyon kişi üzerinde bir tad etkilenen Filipinler, önceki veri ihlali haber sonrasında DRA ihlali oylama bilgilerin dünyanın nasıl korunduğu konusunda endişelerini artırdı.

Büyük Amerikan İhlali

(Kaynak: Teknoloji İncelemesi)

Yıl: 2005-2012

Açıklanan kayıtlar: 160 milyon

Bu büyük, koordineli bir saldırıydı.

Bir grup Rus bilgisayar korsanı, 2005 ile 2012 yılları arasında yedi tam yıl boyunca çeşitli şirketlerin kredi/banka kartı numaralarına erişmeyi ve bu numaraları toplamayı başardı.

7-Eleven, JC Penney, Heartland Payment Systems, Carrefour, Wet Seal, Dexia, Commidea, Hannaford, JetBlue, Euronet, Dow Jones, Global Payment, Visa Jordan, Ingenicard ve Diners Singapore olmak üzere toplam 15 saldırıya uğramış şirket vardı .

O günlerde, operasyon New Jersey savcısı Paul Fishman tarafından “Amerika Birleşik Devletleri'nde şimdiye kadar üretilmiş en büyük bilgisayar korsanlığı ve veri ihlali planı” olarak adlandırıldı . Artık daha büyük ihlalleri bilmemize rağmen, bu o zamanlar şok ediciydi.

İhlal , saldırıya uğrayan şirketler ve tüketicileri için yüz milyonlarca kayba neden oldu . Bunlara ek olarak, üç kurumsal kurban, saldırı nedeniyle 300 milyon doların üzerinde kayıp bildirdi.

Kimlik hırsızlığı olasılıklarından bahsetmiyorum bile.

Newark Federal Mahkemesi'ne göre, failler Vladimir Drinkman, Alexandr Kalinin, Roman Kotov, Mikhail Rytikov ve Dmitriy Smilianets - hepsi Rusya veya Ukrayna'da yaşıyor.

Raporlar, Smilianets'in sızdırılan kredi kartı numaralarını satmayı başardığını ve mahkum edilmeden önce karı ekip üyeleriyle paylaştığını gösteriyor.

Zırh Verileri İhlali Altında [MyFitnessPal]

(Kaynak: Forbes)

Yıl: 2018

Açıklanan kayıtlar: 150 milyon

Mart 2018'de sağlık uygulaması MyFitnessPal, sağlık alanındaki en büyük veri ihlallerinden birini kamuoyuna açıkladı .

Gizlilik ihlali 150 milyon kullanıcıları etkilemiş. Kayıtlar, kullanıcı adlarını, e-posta adreslerini ve karma şifreleri içeriyordu. Şimdi, fark etmiş olabileceğiniz gibi, bu durumda gümüş bir astar var - şifreler karma hale getirildi. Bu, bilgisayar korsanlarının, zaten ellerinde olduktan sonra bile verilerin şifresini çözmekte zorlandıkları anlamına gelir.

Bu tür şeylere aşina değilseniz, nedenini merak edebilirsiniz.

Karma algoritma karmaşıklığına bağlı olarak, parolalar büyük veri ihlallerinden sonra bile onlarca yıl güvende kalabilir . Veya birkaç dakika içinde şifresi çözülebilir. Yani evet, sadece şifreleme olduğu için şifrelerin güvenli olduğu anlamına gelmez.

Saygın şirketler en üst sıradaki şifreleme araçlarını kullansa da, kullanıcılara böyle bir ihlalden sonra şifrelerini değiştirmeleri önerilir.

Daha iyi huylu veri ihlali örneklerinden biri olan Under Armor, müşterilere hiçbir finansal verinin sızdırılmamasını sağladı. İyi ki finansal ve genel bilgileri ayrı yerlerde saklıyorlar.

İhlalin bir parçası olarak hiçbir ehliyet veya sosyal güvenlik numarası da sızdırılmadı.

Sonuç olarak, bu saldırının böyle yıkıcı sonuçları olmadı, ancak yine de endişe verici.

Equifax Veri İhlali

(Kaynak: LifeLock)

yıl: 2017

Açıklanan kayıtlar: 145,5 milyon

En son veri ihlallerinin tüyler ürpertici bir örneği 2017'de ortaya çıktı. Hacker saldırısı 145,5 milyon ABD tüketicisini etkileyerek ayrıntılı kişisel bilgilere erişim sağladı.

Kredi raporlama alanında ünlü bir şirket olan Equifax, 29 Temmuz'da ihlali keşfetti. Tam isimleri, sosyal güvenlik numaralarını, doğum tarihlerini, adresleri ve ehliyet numaralarını kamuya açıkladığı için ihlal büyüktü.

Equifax'ın müşterilere tavsiyesi sadece genel güvencelerdi ve önemli değildi. Birçok şirketin bu gibi durumlarda izlediği yol budur.

Equifax veri ihlalinden sonra, ayrıntılı bir basın açıklamasıyla hacker saldırısına biraz ışık tuttular. Onlara göre, failler savunmalarını kırmak için ABD web sitesi uygulamasındaki bir güvenlik açığını kullandılar.

Ancak, güvenliği ihlal edilmiş hesaplarda herhangi bir yetkisiz etkinlik gerçekleşmemiş gibi görünüyor.

Bu tür ihlallerin önlenmesi, herhangi bir kuruluş için en büyük ilgi alanı olmalıdır. Çevreyi anlamak, zaman, özveri ve anlayış gerektirir. Sonra tekrar, bu hackleme için de geçerlidir.

eBay Veri İhlali

(Kaynak: BankInfoSecurity)

Yıl 2014

Açıklanan kayıtlar: 145 milyon

2014 yılında eBay bir siber saldırının kurbanı olduğunu duyurdu.

145 milyon müşterinin eBay hesabının her biri saldırıya uğradı . Siber suçlular kişisel bilgiler ve şifrelenmiş parolalar elde etti.

Bu, tüm zamanların en büyük veri ihlallerinden biriydi ve her şeyden önce çalışan giriş bilgileri kullanılarak gerçekleştirildi. Çalışanın plana dahil olup olmadığı veya şirketin gerçekten saldırıya uğramış olup olmadığı kamuya açık bir bilgi değil.

Bahsettiğim kişisel bilgiler arasında doğum tarihleri, posta adresleri, telefon numaraları ve tam adlar vardı. Platforma göre hiçbir finansal bilgiden ödün verilmedi.

İhlalin gerçekleşmesinden iki hafta sonra şirket, kullanıcılara herhangi bir kullanıcı hesabında şüpheli bir etkinlik olmadığına dair güvence verdi.

Hiçbir finansal ayrıntı açıklanmadı, ancak eBay veri ihlali hala yaklaşık 150 milyon kayıttan oluşuyordu. Biraz zarar vermek için fazlasıyla yeterli bilgi.

Javelin Strategy and Research'te deneyimli bir güvenlik analisti olan Al Pascual'a göre, ihlale büyük olasılıkla bir mızraklı kimlik avı kampanyasıyla yaklaşıldı. Hedefli kimlik avı, bir şirketin belirli üyelerini yetkisiz erişim elde etmek üzere hedef almak için tasarlanmış bir e-posta sahtekarlığı taktiğidir.

Uzman, "Sistem en zayıf halkası kadar güvenlidir ve bu genellikle onun çalışanlarıdır" diye ekledi.

Marka, ilk ihlal raporundan sonra, “Konuyu agresif bir şekilde araştırmak için kolluk kuvvetleri ve önde gelen güvenlik uzmanlarıyla birlikte çalışıyoruz” dedi.

Heartland Ödeme Sistemleri Veri İhlali

(Kaynak: Comodo)

Yıl: 2009-2017

Açıklanan kayıtlar: 134 milyon

On yıl önce, Heartland Ödeme Sistemleri ihlali, şimdiye kadarki en büyük operasyon olarak kabul edildi.

En zararlı yüksek profilli veri ihlallerinden biri sırasında , davetsiz misafirler, manyetik kart şeritlerindeki kodlanmış veriler de dahil olmak üzere 134 milyon benzersiz kredi kartı çaldı.

Bu büyük bir şeydi.

Heartland Payment Systems, 2008 yılında yaklaşık 100 milyon işlem gerçekleştirerek 175.000 tüccara hizmet verdi. Hepsi, müşterilerinin bilgilerini güvende tutmak için bu şirkete güveniyordu. Tahmin edebileceğiniz gibi, sızdırılan herhangi bir bilgi sadece şirketi değil, birlikte çalıştıkları tüm işletmeleri etkiledi. Bunların çoğu küçük ve orta ölçekli perakendecilerdi.

Bunun şimdiye kadarki en büyük veri ihlallerinden biri olduğu düşünüldüğünde , oldukça yaya bir şekilde gerçekleşti. İşlem bir SQL enjeksiyonu ile başlatıldı. Basitçe söylemek gerekirse, bilgisayar korsanları, sunucunun komutlarına uymasını sağlamak için web komut dosyalarına ek veritabanı komutları ekledi.

Bilgisayar korsanları, ilk ihlal 2009'da gerçekleştiği için sekiz yıldır bu güvenlik açığından yararlanıyordu.

Heartland raporuna göre, bilgisayar korsanlarının tespit edilmeden ödeme işleme sistemine girmeleri sekiz ay sürdü. Heartland'in kullandığı tüm antivirüs sağlayıcıları onları tespit edemedi.

Büyük hack olayları giderken, bu bir arkasındaki insanlar uzun con için gidiyorduk. Saldırganların kararlılığı sonunda bir "sniffer" casus yazılım olay yerine girdiğinde işe yaradı.

Genellikle, bu tür casus yazılımlar ağ trafiğini toplamak ve izlemek için kullanılabilir - şirketler daha sonra bunu analiz eder ve mevcut sorunları çözer.

Öte yandan, "koklayıcılar" da bilgisayar korsanlarını hedef bilgilerine yönlendirebilir. Raporlar, grubun ihlalden sonra çalınan kredi kartlarını kullanmak için ihtiyaç duydukları tüm bilgilere sahip olduğunu gösteriyor.

Heartland Payment Services için korkunç sonuç, PCI DSS ile bağlantılarının kesilmesi, gelir azalması, 145 milyon dolarlık tazminat ve toplamda 200 milyon doların üzerinde kayıp oldu.

Ad Testleri Veri İhlali

(Kaynak: Fossbytes)

Yıl: 2017-2018

Açıklanan kayıtlar: 120 milyon

Son veri ihlalleri listesi Facebook karıştığını biri olmadan tam olamaz.

Sanırım hepimizin bir süre önce Facebook-Cambridge Analytica skandalı sırasında neler olduğu hakkında en azından biraz bilgimiz var. Kitlesel panik, “Facebook'umu sileceğim” iddiaları, Zuckerberg bir robottur.

Skandalın derinliklerine inmeyeceğim, bunun yerine Nametests'e odaklanacağım.

İsim testleri?

Ben de ilk duyduğumda aynı tepkiyi vermiştim. Görünüşe göre Nametests, hangi kurgusal karakterin size en uygun olduğunu belirlemek için kullanılan bir Facebook Quiz uygulaması.

Nametests 120 milyon kullanıcılarının kişisel verilerini açarak 2018 büyük veri ihlalleri içine yolunda yaptı. Inti De Ceukelaire bunu tespit etmemiş olsaydı, uygulama kullanıcı bilgilerini kötüye kullanmaya devam edecekti.

Güvenlik araştırmacısı, Facebook'un Veri Suistimali Ödül programı sırasında Nametests fişini tespit etti.

Ceukelaire yeni oluşturulan bir web sitesi kurdu ve Nametests ile bağlantı kurdu. İsimler, resimler, gönderiler, meslek vb. gibi saklanan tüm Facebook profil ayrıntılarına erişmek için ter dökmedi.

Ayrıca Nametests, kullanıcıların yayınlarına gerçek zamanlı erişim sağlayan jetonlar dağıtıyordu. Uygulamayı silseniz bile, kişisel bilgilerinizi web sitesinde herhangi bir üçüncü tarafla paylaşacaktır.

LinkedIn Veri İhlali

(Kaynak: Servet)

Yıl2012

Açıklanan kayıtlar: 117 milyon

2012 yılına dönersek, LinkedIn 6,5 milyon kullanıcı hesabı hırsızlığına maruz kaldı. Doğal olarak, internet topluluğu onları “LeakedIn” takma adıyla ödüllendirdi.

Bu, kolayca dünyanın en büyük veri ihlallerinden biridir .

6,5 milyon hala çok fazla iken, LinkedIn hızlı davrandı ve ele geçirilen hesapları devre dışı bıraktı.

Elde edilen veriler Rusya merkezli bir forumda satışa sunuldu. LinkedIn tepki gösterdi ve sorun kısa sürede ortadan kalktı. Bu, ona toparlanması için zaman verdi, ancak Mayıs 2018'de yeni korkunç ayrıntılar ortaya çıktı.

Sızdırılan 6,5 milyon hesabın iddia edilen sayısı birdenbire bunun yerine 117 milyona çıktı. Üstelik DarkWeb pazarından satın alınabiliyorlardı. Rusya merkezli bir bilgisayar korsanı olan "Peace" veya "Peace_of_Mind", bunları beş BTC'de ( Bitcoin ) satışa çıkardı ve LinkedIn'i bugüne kadarki en ünlü veri ihlallerinden biri haline getirdi .

LeakedSource, bir günlük 4 dolarlık deneme seçeneğiyle sunulan bu veritabanının aranabilir bir listesine de sahip olduğunu iddia ediyor.

LinkedIn CISO'su Carry Scott, sızdırılan hesapların şifrelerini sıfırladıklarını belirtti.

MindBody Veri İhlali

(Kaynak: Pymnts)

Yıl: 2018

Açıklanan kayıtlar: 113,5 milyon

2018 yılında FitMetrix, MindBody ailesinin bir parçası oldu. Ve aynı zamanda eline geçti şirketlerin kulübe katıldı.

Bir spor salonu ve sağlıklı yaşam hizmeti devi olan MindBody, satın alma için 15.3 milyon dolar ödedi. Çok az şey biliyorlardı, bu onlara bundan çok daha pahalıya mal olacaktı.

FitMetrix'te 113,5 milyon kullanıcı hesabında büyük bir veri ihlali gerçekleşti. Her kayıt, kullanıcı adları, e-posta adresleri, cinsiyet, telefon numarası, resimler, boy, kilo, ayakkabı boyutları ve istenen spor salonu konumlarından oluşuyordu.

Acil durumda irtibat kurulacak kişilerin yanı sıra “daha ​​fazla bilgi” olarak etiketlenmiş bilgi parçaları da listelendi.

Bob Diachenko 2018 yılında bu oldukça yeni veriler ihlali keşfetti. Diachenko, Hacken'de siber risk araştırması direktörüdür ve bu konuda uzman olarak kabul edilmektedir. Raporu, birkaç MindBody sunucusunun parola korumalı olmadığını gösterdi.

Veritabanlarından birinin kendisine eklenmiş bir fidye notu bile vardı.

Ona göre, davetsiz misafirler bir veri tabanına erişiyor, onu dışa aktarıyor, siliyor ve ardından fidye notunu ekliyordu. MindBody, bulguları üzerinde fazla düşünmedi.

İhlal konusunda ancak bir TechCrunch makalesi ortaya çıktıktan sonra harekete geçtiler .

Şirket, “Bu güvenlik açığını kapatmak için acil adımlar attık” dedi. Bilirsiniz, aylar sonra bir nevi hemen.

TJ Stores Veri İhlali

(Kaynak: ComputerWorld)

Yıl: 2007

Açıklanan kayıtlar: 100 milyon

TJX Firmalar 100 milyon müşteri kayıtlarının hedefleyen bir korsan saldırı hakkında bilgi ifşa zaman 2007 yılının en büyük veri ihlalleri biri kamu bilgisini oldu.

Bilgisayar korsanları, kredi kartı numaraları, satın alma iade kayıtları, tam adlar ve ehliyet numaraları gibi olağan bilgi türlerini hedef alıyordu.

Bunların 45,6 milyonu çeşitli ülkelerdeki kullanıcılara ait kart numaralarıydı. Ancak, TJX'e karşı açılan dava , gerçek sayıyı 94 milyon olarak gösteriyor.

Benzer şekilde 2018 veri ihlallerine, oniki yıl önce bu bir şirketin piyasa değerleme etkileyecek başardı. 2007-8 borsa istatistiklerine göre, şirketin hisseleri 30 dolardan 29 dolara çıkarak şirket değerinde %3,4'lük bir düşüş yaşadı.

TJX ihlal giderleri yaklaşık 250 milyon dolara ulaştı. Buna güvenlik kusurları araştırması, iddialar, davalar ve para cezaları dahildir.

İhlalden ilk olarak sorumlu tutulan hacker Albert Gonzales'in ABD Gizli Servisi'nin tam yetkisiyle hareket ettiği belirlendi.

2011'de cezasına itiraz etmeyi başardı, ancak TJX ihlali, zamanının en şok edici olayı olarak tarihte kalacak.

VK.com Veri İhlali

(Kaynak: TheHackerNews)

Yıl: 2016

Açıklanan kayıtlar: 100 milyon

Son veri ihlallerinden bir diğeri bizi Rusya'daki en gelişmiş sosyal ağ platformu olan VK.com'a gönderiyor.

The site suffered a breach that resulted in over 100 million records being leaked in 2016.

It is believed that the accessed records included full names, email addresses, locations, phone numbers, and plain-text passwords.

The last item on this list is enough to question not only the security level of VK, but their whole attitude towards cyber-security. Being a social network giant (therefore having this massive bullseye on their back), it's criminal incompetence to store user credentials without any form of encryption.

Therefore, this is one of those major data breaches that could have been easily avoided.

The illegally obtained information was later put up for sale by no other but Peace. He seems to be involved in a lot of these operations – Tumblr, MySpace, LinkedIn, and VK. And those are just the ones we are aware of.

In 2016, all VK records were available for purchase for 1 Bitcoin. This used to translate to $600 back then.

This sale opportunity revealed that most of the credible data stolen was from the 2012-2013 period. This is a positive sign, as at least some of it was likely outdated.

On the other hand, that's a lot of time for a company to remain unaware that one of the biggest data breaches ever occurred under its roof .

Firebase Data Breach

Çözüm

Each of the recent data breaches listed here caused the leak of more than 100 million records.

A hundred years ago, a lost mail cargo with a thousand letters would have seemed like a big deal. Nowadays, the numbers are in another league altogether and so is the wealth of information they hold.

Thankfully, Internet users (companies and individuals alike) slowly, but surely are recognizing online security as important. Having a unique, strong password for each virtual account is the first logical step to protect yourself. That way, even the biggest data breaches will have limited (if any) impact.

Browsing the Web also requires sensible thinking – make sure you're on the right website, avoid suspicious links, and change your login credentials frequently. If you don't want to bother – choose a password manager , which can take care of all these tasks. Also, don't forget about using antivirus software that can save you a ton of trouble.

The internet is such an inextricable part of our daily lives that it only makes sense to learn to take care of ourselves online. For all its benefits, there's a responsibility we must take in order to use it.