36 крупнейших утечек данных на 2020 год

Данные быстро становятся одним из самых ценных активов в современном мире. Цифровые гиганты, монополизирующие данные, являются, возможно, самыми влиятельными компаниями в мире, что вызывает постоянные разговоры о антимонопольном законодательстве и цифровой конфиденциальности.

Несмотря на огромные ресурсы, контролируемые этими организациями, как мы увидим, даже такие компании, как Facebook, уязвимы для побочного продукта быстрого перехода к цифровизации - эпидемии утечки данных.

Что такое утечка данных? Это инцидент информационной безопасности, при котором личная информация становится публичной или доступна без разрешения. Хотя такие компании, как Yahoo и Facebook, привлекли всеобщее внимание из-за воздействия на них этих инцидентов, связанных с подверженностью киберрискам, утечки данных могут затронуть предприятия любого размера различными способами.

Их сложно идентифицировать, их сложно устранить и они наносят репутационный ущерб, от которого некоторые предприятия никогда не оправятся. Однако, учитывая ценность данных и неизбежность киберрисков, лучшее, что компании могут сделать для смягчения последствий взлома, - это внедрить тщательную практику управления рисками для обнаружения, сдерживания и передачи сообщений после утечки данных. По данным IBM, компании, устраняющие нарушение менее чем за 30 дней, сэкономили более 1 миллиона долларов по сравнению с компаниями, на которые потребовалось более 30 дней.

Крупнейшие утечки данных аккаунтов

Каждая из этих утечек данных повлияла на миллионы людей и дает различные примеры того, как компания может быть скомпрометирована или оставить открытыми необычайное количество учетных записей.

1. Yahoo - 3 миллиарда
2. Аадхаар - 1,1 миллиарда
3. Первая американская финансовая корпорация.
4. Verification.io - 763 миллиона
5. Facebook - 540 миллионов
6. Yahoo - 500 миллионов
7. Marriott / Starwood - 500 миллионов
8. Поиск друзей для взрослых - 412,2 миллиона
9. MySpace - 360 миллионов
10. Exactis - 340 миллионов
11. Twitter - 330 миллионов
12. NetEase - 234 миллиона
13. LinkedIn - 165 миллионов
14. Дубсмаш - 162 миллиона
15. Adobe - 152 миллиона
16. MyFitnessPal - 150 миллионов
17. Equifax - 148 миллионов
18. eBay - 145 миллионов
19. Canva - 137 миллионов
20. Платежные системы Heartland
21. Аполлон - 126 миллионов
22. Badoo - 112 миллионов
23. Capital One - 106 миллионов
24. Evite - 101 миллион
25. Quora - 100 миллионов
26. ВК - 93 миллиона
27. MyHeritage - 92 миллиона
28. Ёку - 92 миллиона
29. Рамблер - 91 миллион
30. Facebook - 87 миллионов
31. Dailymotion - 85 миллионов
32. Anthem - 78,8 миллиона
33. Dropbox - 69 миллионов
34. tumblr - 66 миллионов
35. Убер - 57 миллионов
36. Home Depot - 56 миллионов
37. Инфографика о крупнейших нарушениях данных

1. Yahoo

Дата: октябрь 2017 г.

Воздействие: 3 миллиарда аккаунтов.

Yahoo сообщила, что в результате взлома в августе 2013 года группой хакеров был скомпрометирован 1 миллиард учетных записей. В этом случае контрольные и ответы также были скомпрометированы, что увеличило риск кражи личных данных. Впервые о взломе сообщила Yahoo во время переговоров о продаже себя Verizon 14 декабря 2016 года, и вынудила всех затронутых пользователей сменить пароли и повторно ввести любые не зашифрованные контрольные вопросы и ответы, чтобы сделать их зашифрованными в будущем.

Однако к октябрю 2017 года Yahoo изменила оценку до 3 миллиардов учетных записей пользователей. Расследование показало, что пароли пользователей в открытом виде, данные платежных карт и банковская информация не были украдены. Тем не менее, это остается одной из крупнейших утечек данных такого типа в истории.

2. Аадхаар

Дата: март 2018 г.

Воздействие: 1,1 миллиарда человек.

В марте 2018 года стало известно, что личную информацию более миллиарда граждан Индии, хранящуюся в крупнейшей в мире биометрической базе данных, можно купить в Интернете.

Эта массовая утечка данных была результатом утечки данных в системе, управляемой государственной коммунальной компанией. Нарушение позволило получить доступ к частной информации владельцев Aadhaar, раскрыть их имена, уникальные 12-значные идентификационные номера и банковские реквизиты.

Тип раскрываемой информации включал фотографии, отпечатки пальцев, сканированные изображения сетчатки глаза и другие идентифицирующие данные почти каждого гражданина Индии.

3. Первая американская финансовая корпорация.

Дата: май 2019 г.

Воздействие: 885 миллионов пользователей.

Сообщается, что в мае 2019 года First American Financial Corporation потеряла конфиденциальные записи 885 миллионов пользователей за более чем 16-летний период, включая записи о банковских счетах, номерах социального страхования, банковских транзакциях и других документов по ипотеке.

4. Verification.io

Дата: февраль 2019 г.

Воздействие: 763 миллиона пользователей.

В феврале 2019 года служба проверки адресов электронной почты verification.io обнаружила 763 миллиона уникальных адресов электронной почты в экземпляре MongoDB, которые оказались публично доступными, но без пароля. Многие записи также включали имена, номера телефонов, IP-адреса, даты рождения и пол. 

5. Facebook

Дата: апрель 2019 г.

Воздействие: 540 миллионов пользователей.

В апреле 2019 года команда UpGuard Cyber ​​Risk сообщила, что два набора данных сторонних приложений Facebook были опубликованы в открытом доступе. Один, созданный мексиканской медиа-компанией Cultura Colectiva, весил 146 гигабайт и содержал более 540 миллионов записей с подробными комментариями, лайками, реакциями, именами учетных записей, идентификаторами FB и т.д. Такой же тип сбора в аналогичной концентрированной форме вызывал озабоченность в недавнем прошлом, учитывая потенциальное использование таких данных.
 

6. Yahoo

Дата: 2014 г.

Воздействие: 500 миллионов аккаунтов.

Yahoo полагает, что за этой первоначальной кибератакой в ​​2014 году стоял «спонсируемый государством субъект». Украденные данные включали личную информацию, такую ​​как имена, адреса электронной почты, номера телефонов, хешированные пароли, даты рождения, а также контрольные вопросы и ответы, некоторые из которых были не зашифрованны. Yahoo узнала об этом проникновении еще в 2014 году, предприняв несколько первоначальных корректирующих действий, но не провела дальнейшего расследования. Лишь два года спустя Yahoo публично раскрыла уязвимость после того, как украденная база данных компании якобы была выставлена ​​на продажу на черном рынке.

7. Marriott/Starwood

Дата: ноябрь 2018 г.

Влияние: 500 миллионов гостей

В ноябре 2018 года Marriott International объявила, что хакеры украли данные примерно о 500 миллионах клиентов отелей Starwood. Злоумышленники получили несанкционированный доступ к системе Starwood еще в 2014 году и остались в системе после того, как Marriott приобрела Starwood в 2016 году. Однако открытие было сделано только в 2018 году.

Раскрытая информация включала имена, контактную информацию, номер паспорта, номера Starwood Preferred Guest, информацию о поездках и другую личную информацию. Marriott считает, что финансовая информация, такая как номера кредитных и дебетовых карт и даты истечения срока действия более 100 миллионов клиентов, была украдена, хотя компания не уверена, смогли ли злоумышленники расшифровать номера кредитных карт.

По данным New York Times, взлом в конечном итоге был приписан китайской разведывательной группе Министерства государственной безопасности, которая стремилась собрать данные о гражданах США. Если это правда, это будет самая крупная известная кража личных данных, совершенная национальным государством.

8. Поиск взрослых друзей

Дата: октябрь 2016 г.

Воздействие: 412,2 млн аккаунтов.

В октябре 2016 года хакеры собрали данные за 20 лет по шести базам данных, которые включали имена, адреса электронной почты и пароли для сети FriendFinder. Сеть FriendFinder включает такие сайты, как Adult Friend Finder, Penthouse.com, Cams.com, iCams.com и Stripshow.com.

Большинство паролей были защищены только слабым алгоритмом хеширования SHA-1, а это означало, что 99% из них были взломаны к тому времени, когда LeakedSource.com опубликовал свой анализ всего набора данных 14 ноября.

9. MySpace

Дата: июнь 2013 г.

Воздействие: 360 миллионов аккаунтов.

В июне 2013 года российский хакер взломал около 360 миллионов учетных записей, но в 2013 году об этом инциденте не сообщалось. Просочившаяся информация включала такие сведения об учетной записи, как указанное имя владельца, имя пользователя и дата рождения. В период с 2013 по 2016 год любой, кто получил доступ к этой взломанной информации, мог взломать любую учетную запись Myspace. Бывший гигант социальных сетей с тех пор аннулировал все пароли, принадлежащие учетным записям, которые были созданы до 2013 года.

10. Exactis

Дата: июнь 2018 г.

Воздействие: 340 млн человек.

В июне 2018 года компания Exactis, занимающаяся маркетингом и сбором данных из Флориды, опубликовала базу данных, содержащую около 340 миллионов записей, на общедоступном сервере. В результате взлома была раскрыта сугубо личная информация, такая как номера телефонов, домашний и электронный адреса людей, интересы, а также количество, возраст и пол их детей. Это раскрытие данных было обнаружено экспертом по безопасности Винни Троя, который указал, что утечка включала данные о сотнях миллионов взрослых людей в США и миллионах предприятий.

11. Twitter

Дата: май 2018 г.

Воздействие: 330 миллионов пользователей.

В мае 2018 года гигант социальных сетей Twitter уведомил пользователей о сбое, при котором пароли сохранялись во внутреннем журнале, что сделало все пароли пользователей доступными для внутренней сети. Twitter сказал своим 330 миллионам пользователей сменить пароли, но компания заявила, что исправила ошибку и что нет никаких признаков взлома или неправильного использования, но рекомендовала обновить пароль в качестве меры предосторожности. Twitter не сообщил, сколько пользователей было затронуто, но указал, что количество пользователей было значительным и что они были подвержены воздействию в течение нескольких месяцев.

12. NetEase

Дата: октябрь 2015 г.

Воздействие: 234 миллиона пользователей.

В октябре 2015 года сообщалось, что NetEase (расположенный по адресу 163.com) пострадала от утечки данных, которая затронула сотни миллионов подписчиков. Хотя есть свидетельства того, что данные защищены (многие пользователи подтвердили оставили свои пароли), это сложно подтвердить однозначно. 

Взлом содержал адреса электронной почты и пароли в виде простого текста.

13. LinkedIn

Дата: июнь 2012 г.

Воздействие: 165 миллионов пользователей.

В июне 2012 года Linkedin сообщила, что произошла утечка данных, но в то время уведомления о сбросе пароля указывали, что пострадали только 6,5 миллионов учетных записей пользователей. LinkedIn так и не подтвердил количество, и в 2016 году мы узнали, почему: колоссальные 165 миллионов учетных записей пользователей были скомпрометированы, включая 117 миллионов паролей, которые были хешированы, но не «засолены» случайными данными, чтобы их было труднее удалить.

Это открытие побудило другие службы прочесать свои данные LinkedIn и вынудить своих собственных пользователей изменить любые совпадающие пароли (слава Netflix за то, что он взял на себя инициативу в этом). Правда осталось без ответа, почему LinkedIn не проводил расследование первоначального нарушения и не информировал более 100 миллионов пострадавших пользователей за прошедшие четыре года.

14. Дубсмаш

Дата: декабрь 2018 г.

Воздействие:  162 миллиона пользователей.

В декабре 2018 года Дубмаш подвергся утечке данных, в результате которой было обнаружено 162 миллиона уникальных адресов электронной почты, имен пользователей и хэшей паролей DBKDF2. В 2019 году эти данные появились для продажи в даркнете и получили более широкое распространение.

15. Adobe

Дата: октябрь 2013 г.

Влияние:  152 миллиона

В октябре 2013 года было взломано 153 миллиона учетных записей Adobe.  Данные содержали внутренний идентификатор, имя пользователя, адрес электронной почты, зашифрованный пароль и подсказку пароля в виде простого текста. Шифрование было слабым и многие из них были быстро разгаданы обратно в обычный текст, вместе с фразой подсказкой, чтопомогло легко угадать пароли многих пользователей.

16. MyFitnessPal

Дата: февраль 2018 г.

Воздействие: 150 миллионов пользователей.

В феврале 2018 года приложение для диеты и упражнений MyFitnessPal (принадлежащее Under Armour) подверглось взлому данных, в результате чего было опубликованно 144 миллиона уникальных адресов электронной почты, IP-адресов и учетных данных, таких как имена пользователей и пароли, хранящиеся в виде хэшей SHA-1 и bcrypt (для более старых аккаунтов, последний - для новых). В 2019 году эти конфиденциальные данные появились в продаже на рынке в даркнете и начали распространяться более широко, поэтому они были идентифицированы и предоставлены на веб-сайте по безопасности данных Have I Been Pwned.

17. Equifax

Дата: сентябрь 2017 г.

Воздействие: 148 млн человек.

В сентябре 2017 года Equifax, одно из трех крупнейших агентств по предоставлению отчетов о потребительских кредитах в Соединенных Штатах, объявило о взломе своих систем и о взломе конфиденциальных личных данных 148 миллионов американцев. К скомпрометированным данным относятся имена, домашние адреса, номера телефонов, даты рождения, номера социального страхования и номера водительских прав. Информация о кредитных картах примерно 209 000 потребителей также была раскрыта в результате этой утечки данных. Конфиденциальность информации, обрабатываемой Equifax, делает это нарушение беспрецедентным и одним из крупнейших нарушений данных на сегодняшний день.

18. eBay

Дата: февраль/март 2014 г.

Воздействие: 145 миллионов пользователей.

В период с февраля по март 2014 года eBay стал жертвой взлома зашифрованных паролей, в результате чего всех 145 миллионов пользователей попросили сбросить свой пароль. Злоумышленники использовали небольшой набор учетных данных сотрудников для доступа к этой сокровищнице пользовательских данных. Украденная информация включала зашифрованные пароли и другую личную информацию, включая имена, адреса электронной почты, физические адреса, номера телефонов и даты рождения. Кража была обнаружена в мае 2014 года после месячного расследования, проведенного eBay.

19. Canva

Дата: май 2019 г.

Воздействие: 137 миллионов пользователей.

В мае 2019 года в онлайн-инструменте графического дизайна Canva произошла утечка данных, затронувшая 137 миллионов пользователей. Доступные данные включали адреса электронной почты, никнеймы, имена пользователей, города и пароли, хранящиеся в виде хэшей bcrypt.

Подозреваемые виновники - Gnosticplayers - связались с ZDNet, чтобы похвастаться инцидентом, заявив, что Canva обнаружила их атаку и устранила проблему, которая вызвала утечку данных. Злоумышленники также утверждали, что получили токены входа OAuth для пользователей, которые вошли в систему через Google.

Canva подтвердила инцидент, уведомила пользователей и предложила им изменить пароли и сбросить токены OAuth.

20. Платежные системы Heartland

Дата: март 2008 г.

Воздействие: открыто 134 миллиона кредитных карт.

На момент взлома Heartland обрабатывала более 100 миллионов транзакций по кредитным картам в месяц для 175 000 продавцов. Проникновение было обнаружено Visa и MasterCard в январе 2009 года, когда Visa и MasterCard уведомили Heartland о подозрительных транзакциях. Злоумышленники использовали известную уязвимость для выполнения атаки с использованием SQL-инъекции.

Компания выплатила примерно 145 миллионов долларов в качестве компенсации за мошеннические платежи.

21. Аполло

Дата: июль 2018 г.

Воздействие: 126 миллионов пользователей.

В июле 2018 года Apollo потерял базу данных, содержащую миллиарды открытых данных. Часть данных была отправлена ​​в Have I Been Pwned, в котрой было 126 миллионов уникальных адресов электронной почты. Полный набор данных включал личную информацию (PII), такую ​​как имена, адреса электронной почты, место работы, занимаемые должности и местонахождение.

22. Badoo

Дата: июль 2013 г.

Воздействие: 112 миллионов пользователей.

В июне 2013 года была обнаружена утечка данных, предположительно исходящая от социального сайта Badoo. Взлом содержал 112 миллионов уникальных адресов электронной почты и PII, таких как имена, даты рождения и пароли, хранящиеся в виде хэшей MD5.

23. Capital One

Дата: июль 2013 г.

Воздействие: 106 миллионов номеров кредитных карт.

В июле 2013 года Capital One выявила нарушение безопасности в аккаунтах своих клиентов, в результате которого была раскрыта личная информация клиентов, включая данные кредитных карт, номера социального страхования и номера банковских счетов.

24. Эвит

Дата: август 2013 г.

Воздействие: 101 миллион пользователей.

В апреле 2019 года Evite, сайт социального планирования и приглашения, выявил утечку данных с 2013 года. Раскрытые данные включали 101 миллион уникальных адресов электронной почты, а также номера телефонов, имена, физические адреса, даты рождения, пол и пароли, хранящиеся в открытом виде в виде текста.

25. Quora

Дата: декабрь 2018 г.

Воздействие: 100 миллионов пользователей.

Quora, популярный сайт вопросов и ответов, в 2018 году подвергся атаке, в результате чего были обнародованы личные данные около 100 миллионов пользователей.

Типы утечки данных включают личную информацию, такую ​​как имена, адреса электронной почты, зашифрованные пароли, учетные записи пользователей, связанные с Quora, а также публичные вопросы и ответы, размещенные пользователями. Доказательств того, что утечка затронула анонимно размещенные вопросы и ответы, обнаружено не было.

26. ВК

Дата: январь 2012 г.

Воздействие: 93 миллиона пользователей.

Российская социальная сеть VK была взломана, в результате чего было раскрыто 93 миллиона имен, номеров телефонов, адресов электронной почты и простых текстовых паролей.

27. MyHeritage

Дата: июнь 2018 г.

Воздействие: 92 миллиона пользователей.

Веб-сайт генеалогической службы MyHeritage был взломан, что затронуло более 92 миллионов учетных записей пользователей. Взлом произошел в октябре 2017 года, но не был раскрыт до июня 2018 года. Исследователь безопасности обнаружил на частном сервере файл, содержащий адреса электронной почты и зашифрованные пароли. Команда безопасности MyHeritage подтвердила, что содержимое файла затронуло 92 миллиона пользователей, но не нашла доказательств того, что данные когда-либо использовались злоумышленниками. MyHeritage заслужила похвалу за быстрое расследование и раскрытие подробностей взлома общественности.

28. Ёку

Дата: декабрь 2016 г.

Воздействие: 92 миллиона пользователей.

Китайский видеосервис Youku утратил 92 миллиона уникальных учетных записей пользователей и хэши паролей MD5. 

29. Рамблер

Дата: март 2014 г.

Воздействие: 91 миллион пользователей.

В сети была продаа дамп 91 миллиона учетных записей Rambler («Русский Yahoo»), содержащий имена пользователей (которые являются частью электронного адреса Rambler) и пароли в виде простого текста.

30. Facebook

Дата: начало 2018 г. (когда информатор Cambridge Analytica раскрыл эту историю)

Воздействие: 87 миллионов пользователей.

Хотя это несколько иной тип утечки данных, поскольку информация не была украдена из Facebook, инцидент, затронувший 87 миллионов учетных записей Facebook, представлял собой использование личной информации в целях, которые не понравились затронутым пользователям. Cambridge Analytica была компанией по анализу данных, заказанной политическими заинтересованными сторонами, в том числе официальными лицами, участвовавшими в выборах Трампа и кампаниями за Брексит. Cambridge Analytica получила данные от Александра Когана, специалиста по обработке данных из Кембриджского университета, который собрал их с помощью приложения под названием «This Is Your Digital Life». Одним из наиболее спорных элементов этого инциндента было то, что пользователи не оценили или не согласились с политическим использованием данных из, казалось бы, безобидного приложения для жизни.

Исследователи UpGuard также обнаружили и раскрыли связанное с этим нарушение, совершенное канадской компанией AggregateIQ, имеющей тесные связи с Cambridge Analytica. Подробности об этих открытиях можно найти в нашей серии статей о взломе Aggregate IQ (part 1, part 2, part 3 and part 4).

31. Dailymotion

Дата: октябрь 2016 г.

Воздействие: 85 миллионов пользователей.

В октябре 2016 года платформа для обмена видео Dailymotion предоставила более 85 миллионов учетных записей пользователей, включая электронные письма, имена пользователей и хэши паролей bcrypt.

32. Anthem

Дата: февраль 2015 г.

Воздействие: кража до 78,8 млн текущих и бывших клиентов.

В феврале 2015 года один пользователь дочерней компании Anthem нажал на фишинговое электронное письмо, которое дало злоумышленникам доступ к именам, адресам, датам рождения и историям работы нынешних и бывших клиентов.  

33. Dropbox

Дата: середина 2012 г.

Воздействие: 69 миллионов пользователей.

В середине 2012 года в Dropbox произошла утечка данных, в результате которой было обнародовано 68 миллионов записей, содержащих адреса электронной почты и соленые хэши паролей (половина SHA1, половина bcrypt).

34. Tumblr

Дата: февраль 2013 г.

Воздействие: 66 миллионов пользователей.

В феврале 2013 года на tumblr произошла утечка данных, в результате которой было обнародовано 65 миллионов аккаунтов. Нарушение касалось адресов электронной почты и хэшей паролей SHA1.

35. Убер

Дата: конец 2016 г.

Воздействие: раскрыта личная информация 57 миллионов пользователей Uber и 600 000 водителей.

В конце 2016 года Uber узнал, что два хакера смогли получить доступ к именам, адресам электронной почты и номерам мобильных телефонов 57 миллионов пользователей приложения Uber. Они также получили водительские права 600 000 водителей Uber. Кроме того, хакеры смогли получить доступ к учетной записи Uber GitHub, где они нашли учетные данные Uber Amazon Web Services.

36. Хоум Депо

Дата: сентябрь 2014 г.

Воздействие: раскрытие информации о кредитных картах 56 миллионов клиентов.

Home Depot объявила, что ее POS-системы были заражены специально созданным вредоносным ПО , которое выдавало себя за антивирусное ПО. 

Инфографика о крупнейших нарушениях данных

Информация ниже не реклама. Точнее реклама, но мы ее публикуем бесплатно и по своей воле в соответствии с политикой корпорации Государство и заповедями NEWWR. Статья написана людьми из UpGuard. Они проделали полезную и не легкую работу. Мы их можем поблагодарить ссылкой на источник, но еще и тем, что оставим их рекламу с сайта и у нас.

Таким образом получается взаимовыгодное сотрудничество. Мы взяли полезный и нужный нам текст, но оставили ссылки на Творцов текста и опубликовали их рекламу. Все в плюсе. Это и есть кооперация и уважение к людям. И даже не смотря на это, мы готовы удалить статью по первому требованию правообладателя. Мы признаем вашу интеллектуальную собственность и право ей распоряжаться. Нас никто не просил оставлять какие то ссылки или делать кому рекламу, поэтому данная инициатива NEWWR не является контрактом, а единоличным желанием NEWWR, соответственно отвечать за последствия этих действий должен только сайт NEWWR.












Источник

Яха что то совсем дырявый