Найбільші порушення даних в історії

найбільші порушення даних 2019 року

З історією майже 9000 порушень даних у США за останні 12 років, це безпечна ставка, що будь-яка електронна інформація, що стосується вас, наражається на небезпеку або вже хоча б один раз була порушена. Як зазначає колишній директор ФБР Джеймс Комі, «існують два види компаній. Ті, кого зламали, і ті, хто ще не знає, що їх зламали “.

Потреба в конфіденційності в Інтернеті та анонімності зростає із кожним порушенням, і, схоже, немає жодного кінця в поле зору. Кожна корпорація збирає інформацію про своїх клієнтів, клієнтів і навіть випадкових людей. Великі корпорації щороку інвестують мільярди доларів у системи збору даних, технології баз даних для їх зберігання, дорогі сервери з величезною кількістю пам’яті, а також аналітики даних, щоб це зрозуміти.

Це не просто гра для бізнесу. Розвідувальні органи у всьому світі збираються та намагаються зрозуміти інформацію як свою основну програму. Прикрою іронією є те, що багато компаній, схоже, не відчувають занепокоєння щодо збереження цієї інформації та зберігання поза руками інших, коли вони її отримують. Якщо вона потрапляє в чужі руки, для тих, хто причетний, є різні можливі наслідки, в тому числі підвищений ризик стати жертвою злочинів, таких як схеми фішингу підводного зброї, напади викупних програм та крадіжки особи.

У наведеному нижче списку показано щорічне розбиття найбільшого з цих порушень даних, при цьому як мінімум 10 мільйонів записів ризикують потрапити до сторонніх осіб. Зауважимо, що загальна кількість повідомлених порушень стосується порушень, пов’язаних із американськими компаніями або які вплинули на клієнтів США.

Contents

Порушення даних за роками

2019 рік

порушення даних 2019 facebook

2019 рік виявляється великим роком порушень даних, внаслідок кількох порушень вже є сотні мільйонів жертв у всьому світі. Велика кількість уваги цього року спрямована на великі смітники зібраних та зібраних особистих даних, що продаються в масивних файлах у темній мережі.

Dropbox, LinkedIn та інші

Розмір порушення: 2.2B

Хакери зібрали, пройшли навколо та скинули понад 2,2 мільярди викрадених записів із більшої кількості веб-сайтів, включаючи Dropbox та LinkedIn. Здається, ці дані збираються та поєднуються протягом декількох років і зараз їх вивозять у темну мережу для продажу. Перший із цих скидів викрадених даних під назвою Колекція №1 включає в себе імена користувачів та паролі.

Сервер Google Cloud (невідомий власник)

Розмір порушення: 1.2B

Дослідник безпеки Вінні Троя виявив незахищений сервер Google Cloud, що містить 1,2 мільярда записів споживачів. Хоча не було виявлено інтенсивно чутливих даних, таких як паролі та фінансова інформація, сервер містив адреси електронної пошти, профілі соціальних медіа та навіть потенційний рівень доходу. Така інформація може використовуватися для спаму, кібератаки чи злому облікових записів.

Evite, MindJolt, Wanelo та багато іншого

Розмір порушення: 1B

Хакер під назвою “Gnosticplayers” вивантажив майже 1 мільярд записів користувачів за перші кілька місяців 2019 року. Інформація включає в себе імена користувачів, електронні адреси, IP-адреси та паролі з декількох веб-сайтів, включаючи Evite, MindJolt та Wanelo, серед кількох інші.

Перший американець

Розмір порушення: 900М

Страхова компанія First American залишила 900 мільйонів чутливих файлів клієнтів, які були відкриті протягом 2 років. Викрита інформація включає номери банківських рахунків, виписки з банківських рахунків, номери соціального страхування, зображення посвідчень водія та багато іншого, що становить більше ніж достатньо інформації для успішного викрадення особистих даних та грошей жертв. Незрозуміло, чи був незаконно доступ до будь-якої з викритих даних.

Dubsmash, MyFitnessPal, MyHeritage та багато іншого

Розмір порушення: 600М

Хакер успішно продав понад 600 мільйонів записів з декількох сайтів у темній павутині за 20 000 доларів у біткойнах. Записи надходили від багатьох компаній та веб-сайтів, серед яких Dubsmash (162 мільйони), MyFitnessPal (151 мільйон), MyHeritage (92 мільйони), ShareThis (41 мільйон), HauteLook (28 мільйонів), EyeEm (22 мільйони), 8fit (20 мільйонів) , Whitepages (18 мільйонів) та інші.

Facebook

Розмір порушення: 540М

Два неправильно налаштовані сервери Amazon AWS викрили понад 540 мільйонів даних облікового запису користувача Facebook. Одна була власником мексиканської компанії Cultura Colectiva та залишила вразливі ідентифікатори та коментарі у Facebook. Другий сервер, що належить грі Facebook у басейні “, викрив ще більш чутливу інформацію, зокрема деякі текстові паролі, фотографії, реєстрації, лайки та інтереси, серед інших даних.

Зінга (Слова з друзями)

Розмір порушення: 218М

У звіті про інвесторів 12 вересня, автор Words with Friends, Zynga, оголосив, що його сервери були взломані стороннім джерелом. За даними компанії, доступ до інформації облікових записів користувачів був доступний, проте Zynga запропонувала мізерні деталі щодо характеру порушення. Однак хакер (або хакерська група), відомий як gnosticplayers, пізніше оголосив про відповідальність за злом. Викрадені дані нібито включали імена гравців, адреси електронної пошти, ідентифікатори Facebook, символи скидання пароля та ідентифікатори облікового запису Zynga.

Mountberg Limited

Розмір порушення: 100М

У січні інтернет-азартна група виявила понад 100 мільйонів ставок користувачів та інших даних користувачів. Незахищений екземпляр ElasticSearch на сервері компанії виявив реквізити користувачів, такі як суми ставок та зняття коштів.

Невідомий власник

Розмір порушення: 80М

Дослідники знайшли незахищену базу даних, що містить особисту інформацію про понад 80 мільйонів американських домогосподарств та сімей. Інформація, що протікає, включає адреси, приблизне географічне розташування за допомогою довготи та широти, віку, дати народження, доходу, сімейного стану, статусу власника дому, типу житла тощо.

LinkedIn

Розмір порушення: 60М

Дослідник безпеки виявив, що багато баз даних витікають понад 60 мільйонів інформації клієнтів LinkedIn. Хоча LinkedIn повідомив, що це не їх база даних, схоже, що просочена база може містити загальнодоступні дані профілю, зішкребті з сайту третьою стороною.

Facebook

Розмір порушення: 49М

Слабка безпека на сервері веб-служб Amazon залишила мільйони акаунтів Instagram. Що належить Індійській компанії з маркетингу соціальних медіа Chtrbox, місця розташування та приватні контактні дані про понад 49 мільйонів «впливових людей» в Instagram були легко доступні. Облікові записи також включають, скільки коштував кожен обліковий запис впливаючих на основі декількох показників, включаючи кількість підписників та залучення.

Instagram

Розмір порушення: 14М

Дослідник кібербезпеки за допомогою сервісу Shodan знайшов понад 14 мільйонів реквізитів Instagram, включаючи назви профілів, посилання на зображення профілю та іншу інформацію на незахищеному сервері, що знаходиться у Великобританії. Незрозуміло, хто є власником сервера чи збирає дані.

Сходи 

Розмір порушення: 13М

Незахищена база даних AWS ElasticSearch для місця роботи Сходи показала 13 мільйонів облікових записів та профілів користувачів. Інформація про шукачів роботи, такі як імена, адреси електронної пошти, номери телефонів, геолокація, поточна та бажана зарплата, історія зайнятості та візовий статус H1-B у США. Також було викрито особисту інформацію роботодавців та рекрутерів на сайті.

Квест-діагностика

Розмір порушення: 11,9М

У червні Американське агентство медичних колекцій, що надає послуги медичних платежів та кодування, повідомило, що його платіжна сторінка за Quest Diagnostics була порушена. Було викрито майже 12 мільйонів медичних та фінансових записів клієнтів. Порушення тривало між 22 серпня та 30 березня. Портал платежів було знято та передано у відповідь третій стороні.

Митний прикордонний патруль США

Розмір порушення: невідомо (наступне)

У червні митний прикордонний патруль США повідомив, що невідоме кількість біометричних даних було викрадено у федерального субпідрядника. Дані включали зображення номерних знаків та фотографії посвідчень мандрівників, які їхали до та виїжджають із США. CBP повідомив, що безіменний субпідрядник без дозволу передав ці дані з урядових серверів на власні сервери, де дані потім були викрадені після злому.

2018 рік

Домашня сторінка Marriott

У 2018 році сталося 700 повідомлених порушень, 11 з яких мали понад 10 мільйонів записів.

Marriott International

Розмір порушення: 500М

До 500 мільйонів гостей Marriott International, можливо, були причетні до цього масового порушення, яке розпочалося в 2014 році. Більше 320 мільйонів даних клієнтів було порушено, включаючи імена, адреси та номери паспортів, що спонукало багатьох розлючених гостей вимагати від Marriott заплатити за видача нових паспортів.

Exactis

Розмір порушення: 340М

У червні 2018 року фірма з маркетингу та збору даних Exactis випустила майже 340 мільйонів записів на сервер, до якого могли отримати доступ громадськість. Була залучена інформація про осіб та підприємств, включаючи телефонні номери, домашні адреси та електронні адреси.

Під бронею

Розмір порушення: 150М

Приблизно 150 мільйонів користувачів програми MyFitnessPal для продуктів харчування та харчування Under Armour, можливо, виявили свою інформацію. Дані, що беруть участь у витоку, включають адреси електронної пошти, імена користувачів та паролі хеш-пам’яті.

MindBody – FitMetrix

Розмір порушення: 113М

Фітнес-програмне забезпечення FitMetrix – яке було придбане MindBody раніше в 2018 році – було причетно до порушення, яке торкнулося понад 113 мільйонів записів, хоча кількість користувачів, з якими це стосується, невідомо. Порушення виявив дослідник безпеки, який виявив, що три сервери FitMetrix були незахищеними та протікали дані.

Банк перший капітал

Розмір порушення: 106М

29 липня Capital One Bank оголосив, що зазнав масштабного порушення даних, який стався десь між березнем і липнем. Порушення викрило 100 мільйонів клієнтів у США та 6 мільйонів клієнтів у Канаді. Незважаючи на те, що дані, що порушуються, в основному містяться на прізвищах, адресах, номерах телефонів та кредитних балах, у Канаді близько 140 000 клієнтів виставили номери соціального страхування, а 80 000 клієнтів США зазнали присвоєння номерів банківських рахунків.

На момент звітування винуватця, 33-річного інженера-програміста Пейдж Адель Томпсон, було затримано Федеральним бюро розслідувань. Томпсон, як повідомляється, розмістив інформацію про порушення на GitHub і похвалився про це у Twitter та додатку Slack chat. Схоже, Томпсон викрав дані з сервера Capital One, розміщеного на веб-службах Amazon.

Facebook

Розмір порушення: 50М

У вересні 2018 року було виявлено порушення безпеки даних у вигляді помилки, яка дозволила зловмисникам взяти під контроль людські акаунти у Facebook. Як відомо, було постраждало 50 мільйонів рахунків, але до 40 мільйонів могли бути залучені більше.

Facebook (Cambridge Analytica)

Розмір порушення: 50М

До вищезгаданого порушення стався скандал Cambridge Analytica. Фірма з аналізу даних отримала доступ та зберігала особисті дані 50 мільйонів користувачів Facebook через стороннього дослідника. Придбання даних порушило умови надання послуг Facebook і, таким чином, стало масовим порушенням інформації користувачів.

Localblox

Розмір порушення: 48М

Localblox схожий на Cambridge Analytica тим, що він викреслює інформацію з загальнодоступних джерел для створення профілів. Він зберігав дані на незахищеному контейнері, факт, виявлений компанією UpGuard, дослідницькою компанією з кібербезпеки. Цілих 48 мільйонів профілів користувачів зберігалися без пароля, і хоча Localblox вжив негайних дій, незрозуміло, чи хтось тим часом отримав доступ до 1,2 ТБ даних.

Чегг

Розмір порушення: 40М

40 мільйонів користувачів компанії з прокату підручників та навчальних посібників, Chegg, та її родини брендів були поінформовані у вересні 2018 року, що їхні особисті дані, можливо, були піддані сторонній стороні, яка отримала доступ до бази даних компанії. Інформація про витік включала імена, паролі, електронні адреси та адреси доставки.

Квітка

Розмір порушення: 27М

Зловмисна кібератака призвела до отримання особистої інформації близько 27 мільйонів власників облікових записів Ticketfly. Дані клієнтів, які були порушені, включали імена, адреси, електронні адреси та номери телефонів.

Бджола Сакраменто

Розмір порушення: 19М

Після того, як компанія залишила понад 19 мільйонів записів виборців, які були викриті в Інтернеті, не вдалося відновити захисний брандмауер на своєму сервері, зловмисні хакери розпочали атаку викупних програм. Газета відмовилася сплачувати викуп і повідомила виборців про порушення.

SaverSpy

Розмір порушення: 11М

У вересні 2018 року дані про майже 11 мільйонів користувачів просочилися з бази даних електронного маркетингу через незахищений сервер. Повідомлялося, що імена, електронні адреси, реквізити статі та фізичні адреси включалися Як вважалося, база даних належить компанії на ім’я SaverSpy.

DoorDash

Розмір порушення: 4,9М

Майже 5 мільйонів клієнтів, водіїв та продавців DoorDash мали дуже чутливі дані, виявлені у порушенні, повідомляє DoorDash. Порушення, яке, як повідомляється, сталося у травні 2019 року, викрало імена, електронні адреси, фізичні адреси, номери телефонів та історії замовлень. Також були викрадені штриховані та солоні паролі, а також останні чотири цифри (але не CVV) деяких кредитних карток.

2017 рік

Глибока коренева аналітика

За повідомленнями було зафіксовано 853 порушення у 2017 році, дев’ять із них внесли список.

Річкові міста ЗМІ

Розмір порушення: 1,37B

Масова база даних із понад 1,37 мільярда електронних адрес була викрита через неправильно налаштовану резервну копію. Деякі з цих записів містили додаткові деталі, такі як імена, фізичні адреси та IP-адреси. Витік також виявив всю операцію River City Media, включаючи деталі, такі як бізнес-плани, журнали Hipchat, акаунти тощо. Рівер-Сіті Медіа – один з найбільших постачальників спаму в світі, йдеться в повідомленні новин.

Глибока коренева аналітика

Розмір порушення: 198М

База даних, що містить політичну інформацію про понад 198 мільйонів американських виборців, була виявлена ​​в хмарній системі зберігання Amazon без будь-якої форми захисту паролів. Республіканський національний комітет найняв Deep Root Analytics для збирання та аналізу даних, що складаються з імен, дат народження, домашніх адрес, номерів телефонів та реєстрації виборців. Deep Root Analytics з тих пір несе повну відповідальність за порушення та впроваджує вдосконалені заходи щодо захисту даних.

Еквіфакс

Розмір порушення: 145М

Більше 145 мільйонів записів, включаючи номери соціального страхування, номери кредитних карток, номери посвідчень водіїв та імена, були порушені в одному з трьох основних агентств звітності з кредитами США.

Тести назви

Розмір порушення: 120М

У 2018 році було виявлено, що Nametests.com, веб-сайт, відповідальний за популярну програму вікторини Facebook, мав недолік, який публічно викрив деталі про його понад 120 мільйонів користувачів.

MyHeritage

Розмір порушення: 92М

Це порушення було оголошено у 2018 році, але насправді сталося у жовтні 2017 року та охоплювало понад 92 мільйони даних клієнтів. Дослідник безпеки виявив інформацію, яка включала адреси електронної пошти та хешовані паролі, на приватному сервері, який не належав до MyHeritage.

T-Mobile

Розмір порушення: 76М

Дірка безпеки на веб-сайті T-Mobile дозволила зловмисникам використовувати номер телефону для доступу до даних облікового запису, включаючи адреси електронної пошти та код мережі IMSI телефону. Можливо, це постраждало до 76 мільйонів користувачів.

Панера Хліб

Розмір порушення: 37М

Порушення Panera Bread розпочалося в 2017 році, але, мабуть, жодних заходів не було вжито до 2018 року. Імена, електронні адреси, домашні адреси та номери телефонів до 37 мільйонів клієнтів просочилися із сайту простим текстом. Останні чотири цифри номерів кредитних карток клієнтів також були залучені.

Дун & Бредстріт

Розмір порушення: 33М

Було виявлено, що Дан витік записів з комерційної корпоративної бази даних про понад 33 мільйони людей & Бредстріт. Із залучених людей понад 100 000 працювали в Міністерстві оборони, а понад 70 000 – у великих фінансових установах. Хоча ця інформація не вважатиметься конфіденційними даними (вона включає в себе речі, такі як адреси електронної пошти, назва роботи та адреса компанії), в інших руках це дозволить зробити афери на зразок фішингу та китобійного промислу набагато простішими..

Зомато

Розмір порушення: 17М

Хакер на DarkNet продає базу даних, що включає електронні листи та хеші паролів 17 мільйонів зареєстрованих користувачів Zomato.

2016 рік

Домашня сторінка Dailymotion

Повідомлялося про 823 порушення даних у 2016 році, вісім з них перевищили позначку 10 мільйонів.

Мережа FriendFinder

Розмір порушення: 412М

Більше 412 мільйонів облікових записів, що представляють 20-річну особисту інформацію користувачів, включаючи адреси електронної пошти, паролі, імена користувачів, контур бази даних, сайти в мережі, які відвідують користувачі, дані реєстрації сайту та багато іншого.

Мій простір

Розмір порушення: 360М

Понад 360 мільйонів імен користувачів та паролів було викрадено з MySpace. Паролі зберігалися як “несолоні хеші SHA-1” і були зламані за допомогою сервера злому, здатного виконувати мільйони обчислень SHA-1 в секунду.

LinkedIn

Розмір порушення: 167М

Вважається, що від 117 до 167 мільйонів записів було викрадено з популярної соціальної мережі бізнесу, включаючи електронну адресу користувача, хешовані паролі та номери ідентифікаторів LinkedIn. Порушення, як кажуть, почалося в 2012 році, але в 2016 році дані були продані в Інтернеті.

Dailymotion

Розмір порушення: 85,2М

Адреси електронної пошти та імена користувачів приблизно 85,2 мільйонів користувачів одного з найпопулярніших веб-сайтів для обміну відео в Інтернеті отримали доступ у 2016 році. Приблизно у однієї п’ятої з цих облікових записів також були скопійовані хешовані паролі, але паролі були зашифровані досить сильно шифрування, що ускладнює їх зламування або здогадки.

Uber

Розмір порушення: 57М

57 мільйонів імен клієнтів та водіїв, адреси електронної пошти та номери телефонів були зламані в 2016 році. Потім Uber намагався приховати порушення, сплативши зловмисників, які “пообіцяли” видалити дані. Новини про порушення обірвалися в листопаді 2017 року.

Weebly

Розмір порушення: 43,4М

Вкрадено 43,4 мільйона записів, але способи, якими було скоєно цю крадіжку, поки невідомі. Відомо, що компрометовані дані містили адреси електронної пошти, імена користувачів, паролі та зареєстровані IP-адреси комп’ютерів користувачів.

Twitter

Розмір порушення: 32М

32 мільйони даних для входу, включаючи звичайні текстові паролі, закінчилися для продажу в Інтернеті. Ці дані, схоже, були викрадені безпосередньо у користувачів, а не з-за зламу серверів Twitter.

FourSquare

Розмір порушення: 22,5М

Більше 22,5 мільйонів записів, очевидно, взяли з загальнодоступних джерел. Записи містили імена користувачів FourSquare, адреси електронної пошти та ідентифікатори Twitter та Facebook.

2015 рік

Домашня сторінка гімну

Повідомлялося про 547 порушення даних у 2015 році, проте сім із них були досить великими втратами.

База даних виборців

Розмір порушення: 191М

В Інтернеті була знайдена загальнодоступна база даних, повна інформації про 191 мільйон виборців США. База даних містила імена, домашні адреси, посвідчення особи виборців, номери телефонів, дати народження, політичну приналежність та детальну історію голосування з 2000 року.

Гімн

Розмір порушення: 80М

Було викрадено понад 80 мільйонів записів, що складаються з імен, днів народження, медичних посвідчень, номерів соціального страхування, вулиць, адрес електронної пошти та інформації про зайнятість та доходи, порушення яких розпочалося ще в 2014 році. 27 червня 2017 року Гімн погодився компенсація в розмірі 115 мільйонів доларів за збитки, заподіяні цим порушенням.

Ешлі Медісон

Розмір порушення: 37М

Бази даних користувачів, фінансові записи та інша конфіденційна інформація компанії просочилися до населення. 37 мільйонів записів користувачів було викрадено та вивантажено в DarkNet. Хакери намагалися шантажувати Ешлі Медісон, щоб закрити веб-сайт, або викрадена база даних буде видана громадськості, викривши всіх її користувачів. Ешлі Медісон відмовилася виконувати вимоги, і дані були оприлюднені разом з декількома базами копій, що містять неправдиву інформацію.

Управління управління персоналом у Вашингтоні, округ Колумбія

Розмір порушення: 21,5М

Це стосувалося 21,5 мільйонів записів у базі даних державних службовців, а конкретніше – тих, хто звернувся з проханням про затвердження безпеки, починаючи з 2000 року..

Клієнти T-Mobile Experian

Розмір порушення: 15М

Було порушено 15 мільйонів записів потенційних клієнтів T-Mobile, які мали кредитні чеки, зроблені Experian. До записів входили імена, адреси, номери соціального страхування, дати народження та різні ідентифікаційні номери, включаючи паспорти, посвідчення водія та військові ідентифікаційні номери.

Синій хрест Премера

Розмір порушення: 11М

Це стосувалося 11 мільйонів записів медичних файлів та особистої та фінансової інформації, включаючи номери банківських рахунків, номери соціального страхування, дати народження, імена, адреси та “іншу особисту інформацію”.

Синій щит Excellus BlueCross Blue

Розмір порушення: 10М

Здається, це був рік для порушень галузі охорони здоров’я, оскільки ще одна величезна атака потрапила до медичного страхувальника, Excellus BlueCross Blue Shield. Інформація про понад 10 мільйонів осіб просочилася.

2014 рік

Домашня сторінка Yahoo

Зафіксовано 869 порушень із п’ятьма перевищеннями 10 мільйонів меж.

Yahoo

Розмір порушення: 500М

Це порушення фактично сталося в 2014 році, але Yahoo не було оголошено і не визнано лише через два роки після цього факту. Доступ до бази даних містив записи понад 500 мільйонів користувачів Yahoo, включаючи імена, номери телефонів, адреси електронної пошти, хешовані паролі, дати народження та “зашифровані або незашифровані питання безпеки та відповіді”.

Російський хакер виявив Hold Security

Розмір порушення: 500М

В DarkNet охоронна фірма виявила вражаючу базу даних із понад мільярд імен користувачів та паролів, а також понад 500 мільйонів електронних адрес. Мабуть, це робота російської банди хакерів, що збирають інформацію з сотень тисяч веб-сайтів.

eBay

Розмір порушення: 145М

Це порушення призвело до втрати даних понад 145 мільйонів записів. Хакери отримали доступ до бази даних користувачів eBay за допомогою даних для входу працівників. Копійовані дані складалися з електронних адрес, зашифрованих паролів, дати народження та поштових адрес.

JP Morgan Chase

Розмір порушення: 76М

Російські хакери отримали доступ до 76 мільйонів банківських рахунків, деякі з них були лише модифіковані, а інші повністю знищені.

Домашнє депо

Розмір порушення: 56М

Домашнє депо потрапило двічі в 2014 році. У лютому трьох працівників підозрювали у викраданні 30000 записів. Потім у вересні він знову потрапив під деталі 56 мільйонів кредитних та дебетових карток через злом систем торгових точок у понад 2200 магазинах в США..

2013 рік

Домашня сторінка Evernote

У 2013 році було зареєстровано 890 порушень даних, п’ять з яких перевищили позначку 10 мільйонів.

Yahoo

Розмір порушення: 1B

У 2013 році було скомпрометовано понад 1 мільярд облікових записів, але це порушення було оприлюднене до 2016 року, і, швидше за все, воно не пов’язане з 500 мільйонами записів, викрадених у 2014 році. Зловмисники використовували підроблені файли cookie для доступу до облікових записів користувачів без своїх паролів.

Target Corp.

Розмір порушення: 110М

До 110 мільйонів записів платіжних карток було вкрадено під час Подяки та Різдвяних свят 2013 року. Цей випадок був використаний як прецедент для прийняття законодавства в США, що впроваджує технологію чипових карток.

Tumblr

Розмір порушення: 65М

У 2013 році хакери отримали доступ до понад 65 мільйонів паролів користувачів Tumblr, хоча про порушення не повідомлялося до 2016 року.

Evernote

Розмір порушення: 50М

Найбільший збиток даних у 2014 році з експонуванням 50 мільйонів записів. Користувачам було сказано скинути паролі після виявлення нападу.

LivingSocial

Розмір порушення: 50М

До 50 мільйонів облікових записів учасників ризикували скопіювати, що складаються з імен, електронних адрес, дат народження та зашифрованих паролів. У той час, як оцінюється, 29 мільйонів людей користувалися LivingSocial, багато хто з кількома обліковими записами.

Adobe

Розмір порушення: 38М

Викрадені облікові записи користувачів до 38 мільйонів користувачів Adobe. Adobe розіслала повідомлення всім зачепленим користувачам, попереджаючи їх змінити свої паролі та стежити за підозрілою діяльністю у своїх облікових записах.

2012 рік

Домашня сторінка Dropbox.

За рік було зареєстровано 886 порушень даних, два з них внесли список.

Dropbox

Розмір порушення: 68М

У 68 мільйонів користувачів Dropbox були скопійовані електронні адреси та скопійовані паролі. Потім вони отримали спам-повідомлення, у яких відправник позував як Dropbox.

Zappos.com

Розмір порушення: 24М

Доступ до 24 мільйонів облікових записів користувачів, включаючи імена, електронні адреси, рахунки та адреси доставки, телефонні номери, останні чотири цифри номерів кредитних карт та, можливо, зашифровані паролі.

2011 рік

Домашня сторінка Epsilon

Зафіксовано 793 порушення даних за 2011 рік, із чотирьох з них понад 10 мільйонів записів втрачено або піддано ризику.

Епсілон

Розмір порушення: 50-250М

Ці дані мали місце між 50-250 мільйонами записів. Компанія Epsilon повідомила, що вкрадено лише електронні адреси та імена. Клієнтів попередили очікувати фішингових листів.

Sony, PlayStation Network

Розмір порушення: 77М

77 мільйонів користувачів PlayStation Network (PSN) та понад 24 мільйони клієнтів Sony Online Entertainment постраждали під час цього злому 2011 року. Просочені деталі включали імена, адреси, адреси електронної пошти, дати народження, облікові дані для входу для PSN та Qriocity, а також ідентифікатори та ручки PSN. Підозрюється, що хакери можуть також отримати доступ до історії покупок, адрес для виставлення рахунків та питань безпеки.

Пара

Розмір порушення: 35М

Хакери відібрали форум на Steam, який спонукав до розслідування, яке виявило несанкціонований доступ до бази даних, що містить імена користувачів, хешовані та солоні паролі, покупки гри, електронні адреси, адреси рахунків та зашифровані дані кредитної картки для понад 35 мільйонів користувачів.

WordPress

Розмір порушення: 18М

Хакери отримали доступ до даних на кількох серверах WP, відкривши вихідний код, ключі безпеки API та паролі соціальних медіа 18 мільйонів користувачів WordPress.

2010 рік

домашня сторінка deviantart

Зафіксовано 801 порушення даних за 2010 рік, але лише одне з них внесло список.

DeviantART, Silverpop Systems Inc.

Розмір порушення: 13М

Найбільше порушення даних у 2010 році було також єдиним вище 10 мільйонів при 13 мільйонах вкрадених записів. Хакерам вдалося проникнути у девіантАРТ через маркетингову компанію Silverpop Systems Inc. Викрита база даних містила імена користувачів, адреси електронної пошти та дати народження всіх користувачів девіантАРТ.

2009 рік

Heartland Платіжні системи.

Повідомлено 270 порушень даних за 2009 рік, три з них внесли наш список.

Heartland Платіжні системи

Розмір порушення: 130М

130 мільйонів кредитних карток було викрадено через злом цього процесора кредитних карт. Проблему посилили затримки процесора та неточні розкриття інформації про порушення. Один із злочинців був інформатором Секретної служби та підозрюваним у злому TJ-магазинів минулого року.

Ветерани військових США

Розмір порушення: 76М

Повідомлялося про 76 мільйонів детальних записів, які загрожують виявленню, коли несправний жорсткий диск був відправлений на ремонт без попереднього знищення його даних. Цей диск був частиною масиву RAID з шести дисків, який містив базу даних Oracle, наповнену інформацією про ветеранів. Привід було визнано непоправним і потім було відправлено в іншу організацію для повторної переробки, не стираючись.

RockYou

Розмір порушення: 32М

Недолік ін’єкції SQL у базі даних RockYou виявив весь їхній список імен користувачів, електронних адрес та паролів – близько 32 мільйонів записів. Паролі зберігалися у простому тексті, а база даних включала облікові дані для входу в різні соціальні мережі, такі як Facebook та MySpace.

2008 рік

БНІ Меллон.

Зафіксовано 355 порушень даних за 2008 рік, два з них перевищили позначку в 10 мільйонів.

Загальнодержавна фінансова корпорація.

Розмір порушення: 17М

Як повідомляється, колишній працівник викрав та продав конфіденційні дані на 17 мільйонах профілів власників облікових записів. Слід зазначити, що по всій країні був «хлопчиком-плакатом» кризису кредитування з найвищою ставкою.

Банк Нью-Йорка Меллона

Розмір порушення: 12,5М

12,5 мільйонів записів, що містять імена, номери соціального страхування та, можливо, номери банківських рахунків, були “втрачені”, коли коробка резервних стрічок прибула до сховища, на якій відсутня одна стрічка.

2007 рік

Магазини TJX.

Повідомлялося, що в 2007 році сталося 456 порушень даних, в одному з них було зареєстровано понад 10 мільйонів записів.

Магазини TJ

Розмір порушення: 100М

Понад 100 мільйонів втрачених записів, що складаються з номерів кредитних та дебетових карток; записи повернення товарів, що містять імена та номер посвідчення водія, а також номери рахунків кредитних карток. Особлива примітка: Первинний хакер Альберт Гонсалес оскаржив своє засудження в 2011 році на тій підставі, що він діяв з дозволу Секретної служби. Уряд США визнав, що Гонсалес був на той час ключовим інформатором таємної служби секретної служби. Пан Гонсалес звинуватив своїх адвокатів у тому, що він не використовував цю інформацію як частину своєї оборони.

2006 рік

У справах ветеранів.

У цьому році було зареєстровано 482 порушення даних. Два з цих порушень перевищили 10 мільйонів рекордів.

Департамент у справах ветеранів США

Розмір порушення: 26,5 млн

З дому невідомого співробітника Департаменту у справах ветеранів було викрадено ноутбук та комп’ютерний накопичувальний пристрій, що містить конфіденційні дані про 26,5 мільйона ветеранів. Інформація складалася з імен, номерів соціального страхування, дати народження, номерів телефонів та адрес усіх американських ветеранів, звільнених з 1975 року. Ноутбук та пристрій зберігання було відновлено майже два місяці пізніше. За даними слідства ФБР, дані не були скопійовані. Незважаючи на це, VA все ще несе відповідальність за неефективні політики безпеки даних та нехтує вживати належних заходів безпеки щодо таких конфіденційних даних.

iBill

Розмір порушення: 17М

В Інтернеті було розміщено понад 17 мільйонів записів, що містять імена, номери телефонів, адреси, адреси електронної пошти, IP-адреси, облікові дані для входу, типи кредитних карток та суми закупівлі. Незрозуміло, чи було порушенням роботи нечесного інсайдера чи зловмисного програмного забезпечення, введеного в системи iBill.

2005 рік

За рік було зареєстровано 136 порушень даних, лише один із них перевищив наш мінімум 10 мільйонів.

CardSystems

Розмір порушення: 40М

40 мільйонів рахунків на кредитних картках були викриті через порушення безпеки, яке сталося у сторонніх постачальників. Інформація, що виставляється, включала імена, номери карток та коди безпеки картки. CardSystems подав заяву про банкрутство у травні 2006 року. У 2009 році було виявлено, що CardSystems зберігає незашифровану інформацію про кредитні картки на своїх серверах.

2004 рік

Як не дивно, єдине порушення даних, про яке ми маємо інформацію у 2004 році, було також досить серйозним.

AOL

Розмір порушення: 92М

Колишній інженер програмного забезпечення AOL вкрав 92 мільйони адрес електронної пошти, які належали приблизно 30 мільйонам користувачів. Потім він продав список адрес чоловікові в Лас-Вегасі, який почав розсипати список рекламою веб-сайту офшорних азартних ігор. Навіть суддя, який бере участь у справі, визнав скасування свого акаунта електронної пошти AOL через усі спами.

Найбільші порушення з боку США

Також протягом багатьох років траплялися досить масштабні порушення в різних інших частинах земної кулі. Ось деякі з найвизначніших:

Verifications.io, Індія (2019)

Розмір порушення: 800М

Незахищена база даних маркетингової електронної пошти виявила понад 800 мільйонів записів користувачів. Дані, що порушуються, містили входи в соціальні мережі, стать, дата народження, розмір іпотеки та процентні ставки.

Аадхаар, Індія (2018)

Розмір порушення: 1.1B

Порушення даних могло б потенційно ризикувати даними всіх 1,1 мільярда громадян Індії. На початку січня анонімні продавці WhatsApp пропонували доступ до будь-якого номера Aadhaar та пов’язаних із ним реквізитів, включаючи ім’я, адресу, номер телефону, фотографію та адресу електронної пошти. Інформація продавалася з можливістю програмного забезпечення для друку посвідчень особи, імовірно, для використання в крадіжках особистих даних та інших суміжних злочинах.

Інтерпарк, Південна Корея (2017)

Розмір порушення: 10М

У 2017 році Південна Корея звинуватила Північну Корею в крадіжці даних 10 мільйонів клієнтів інтернет-центру Інтерпарк у спробі отримати іноземну валюту.

Telegram, Іран (2017)

Розмір порушення: 15М

У 2017 році іранських хакерів звинувачують у вторгненні у надто безпечну службу миттєвих повідомлень шляхом компрометації з десяток облікових записів. Зловмисники викрили хакерам 15 мільйонів користувачів користувачів. Це дозволить хакерам додати нові пристрої до акаунта користувача та надати цим новим пристроям доступ до історії чату, а також нових повідомлень.

Mossack Fonseca, Панама (2016)

Розмір порушення: 11,5М

Ця панамська юридична фірма спеціалізується на створенні анонімних офшорних компаній. Витік 11,5 мільйонів зашифрованих документів, таких як електронні листи, файли PDF, фотографії та витяги з внутрішньої бази даних. Основна мета цієї колекції, схоже, приховує справжніх власників кількох офшорних компаній, проданих Mossack Fonseca. Зважаючи на те, що багато інформації, що зберігається в цих файлах, включає докази незаконної діяльності, бажання анонімності є досить очевидним.

База даних про громадянство Туреччини, Туреччина (2016)

Розмір порушення: 49,6М

В Інтернеті була відкрита база даних, яка містить 49,6 мільйона записів – ціле турецьке громадянство – з іменами, національними посвідченнями особи, іменами батьків, статтю, містом народження, датою народження, реєстрацією посвідчення міста та району та їх повною адресою.

Філіппінська комісія з виборів, Філіппіни (2016)

Розмір порушення: 55М

В Інтернет просочилася база даних, що містить кожного зареєстрованого виборця на Філіппінах, близько 55 мільйонів людей. Витік наголосився на веб-сайті комісії Філіппін на виборах.

Кредитне бюро Кореї, Південна Корея (2014)

Розмір порушення: 20М

Тимчасовий консультант був заарештований і звинувачений у розкраданні даних банківських та кредитних карток у 20 мільйонів користувачів кредитного бюро.

Yahoo Японія, Японія (2013)

Розмір порушення: 22М

22 мільйони облікових записів користувачів були піддані ризику, коли була виявлена ​​спроба отримати доступ до адміністративних частин серверів Yahoo Japan. За інформацією Yahoo, особиста інформація не була вкрадена.

Court Ventures, В’єтнам (2012)

Розмір порушення: 200М

Корпорація Court Ventures займалася продажем кредитної інформації в’єтнамській службі крадіжок посвідчення особи, в результаті чого протягом кількох років було продано понад 200 мільйонів записів. Ці записи включали фінансові дані, статус кредиту, номери соціального страхування та банківську інформацію.

Blizzard, Китай (2012)

Розмір порушення: 14М

Гравці Diablo III, Starcraft II та World of Warcraft, близько 14 мільйонів геймерів, були поінформовані про порушення даних, що ставлять під загрозу їх облікові записи користувачів на Blizzard.net. Зашифровані паролі, відповіді на питання безпеки та електронні адреси користувачів за межами Китаю були викрадені з порушенням.

178.com, Китай (2011)

Розмір порушення: 10М

Хакери вкрали 10 мільйонів облікових записів користувачів з китайського ігрового сайту, а також кількох інших ігрових сайтів у Китаї.

Nexon Korea Corp, Південна Корея (2011)

Розмір порушення: 13.2М

13,2 мільйонів підписників онлайн-ігри в Кореї були викрадені через злом серверів сайту.

Тянья, Китай (2011)

Розмір порушення: 28М

28 мільйонів чітких текстових паролів та 40 мільйонів облікових записів користувачів з’явилися на DarkNet з 12-го найпопулярнішого веб-сайту Китаю на той час.

Auction.co.kr, Південна Корея (2008)

Розмір порушення: 18М

Записи 18 мільйонів членів цього південнокорейського аукціонного сайту були викрадені китайським хакером. Записи включали інформацію про користувачів та велику кількість фінансових даних.

GS Caltex, Південна Корея (2008)

Розмір порушення: 11,9М

Два компакт-диски зі списком клієнтів цієї компанії в 11,9 мільйонів клієнтів були знайдені на вулиці в Сеулі.

Дохід та митниця HM, Великобританія (2007)

Розмір порушення: 25М

Комп’ютерні диски, що містять конфіденційну інформацію про 25 мільйонів одержувачів дитячих виплат, були втрачені у Великобританії. Диски втратили в дорозі зі свого штабу в Ньюкаслі до штаб-квартири страховика в Единбурзі.

T-Mobile, Deutsche Telecom, Німеччина (2006)

Розмір порушення: 17М

Злодії заповнили накопичувальний пристрій, який містить імена, адреси, номери мобільних телефонів, деякі дати народження та деякі адреси електронної пошти для деяких високоповажних громадян Німеччини. На щастя, вкрадений пристрій не містив фінансових реквізитів, як-от кредитні картки чи банківські рахунки.

Велика невідома

Слід зазначити, що деякі зареєстровані порушення стосуються невідомої кількості клієнтів, тому можуть бути й інші порушення, які перевищили 10 мільйонів рекордів. Крім того, порушення можуть бути не виявлені повністю або протягом певного періоду часу.

Новий Загальний регламент захисту даних (GDPR) в ЄС включає вимогу, щоб компанії повідомляли про порушення даних (які відповідають певним критеріям) протягом 72 годин. Хоча існує закон штату Каліфорнія, який стосується подання звітів про порушення даних, не існує федерального законодавства, яке вимагало б обов’язкової звітності щодо даних про порушення даних. Однак повідомлення про порушення може призвести до судових позовів з боку постраждалих користувачів, тому більшість компаній звітують, коли виявляють, що їх зламали або втратили певну інформацію.

Незважаючи на те, що кількість інформації, яка повідомляється, повністю залишається за звітністю компанії, навіть до того, що якраз визнає, що було порушення, не маючи деталей щодо того, які дані або навіть скільки даних загрожує доступ до них сторонніми особами. Відповідно до Клірингової компанії щодо захисту конфіденційності, тисячі компаній вирішили не повідомляти про те, яка частина довірених їм даних просочилася, або навіть, скільки їх клієнтів можуть загрожувати.

Тепер враховуйте, що деякі з цих компаній збирають інформацію, не попередньо інформуючи суб’єктів їх видобутку даних, що їх інформація завантажується в базу даних. Будь-яка торгова точка, в яку людина заходить, збирає інформацію про те, на що вона дивиться, забирає, купує та залишає свій магазин. Ці дані узгоджуються з розпізнаванням обличчя від камер безпеки, а також інформацією, отриманою від системи продажу, і вони мають особисті дані для внесення до цього запису даних.

Практично в кожній торговій точці зараз є певна форма членства, яку клієнтам рекомендується добровільно підписатись із пропозиціями знижок на пальне, вказуючи на заощадження в магазині, персоналізовані цифрові купони та інші подібні стимули. Все це насправді не є безкоштовним. Ви продаєте свої особисті дані цим компаніям в обмін на привілеї, додані до системи членства магазину.

Що ти можеш зробити?

Є кілька речей, які ви можете зробити, щоб мінімізувати шкоду або навіть запобігти потраплянню вашої інформації в інші руки. Такі речі, як використання онлайн-інструменту анонімності (наприклад, VPN), встановлення антивірусного програмного забезпечення, використання надійних паролів та включення двофакторної автентифікації може допомогти. У разі останнього, якщо платформа, яку ви намагаєтеся захистити, не пропонує двофакторну автентифікацію, ви можете скористатися сторонніми двофакторними програмами аутентифікації, такими як DUO Mobile та Google Authenticator.

З іншого боку, завжди є можливість зв’язатися з будь-якою компанією, якій ви довірили свою інформацію. Ви можете запитати їх про те, що вони мають, щоб не лише запобігти порушенням даних, але і що вони вживають, коли їм стане відомо про витік.

Якщо ви хочете перевірити, чи була ваша інформація задіяна в порушенні даних, чи зручним інструментом є те, що я був виконаний? веб-сайт

Ви відчували якісь побічні ефекти чи навіть прямі наслідки порушення даних? Як ви одужали? Залиште свої коментарі нижче, а також будь-які поради, які ви можете отримати для інших читачів.

Порушення даних“Від Блогтрепренер CC BY 2.0

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me