no hace mucho, una filtración que comprometiera los datos de unos pocos millones de personas habría sido una gran noticia. Ahora, las brechas que afectan a cientos de millones o incluso miles de millones de personas son demasiado comunes. Cerca de 3.5 mil millones de personas vieron sus datos personales robados en las dos primeras de las 15 mayores brechas de este siglo. El incidente más pequeño de esta lista involucró los datos de apenas 134 millones de personas.
CSO compiló esta lista de las mayores brechas del siglo 21 utilizando criterios simples: el número de personas cuyos datos se vieron comprometidos., También hicimos una distinción entre los incidentes en los que se robaron datos con fines malintencionados y aquellos en los que una organización inadvertidamente dejó datos desprotegidos y expuestos. Twitter, por ejemplo, dejó las contraseñas de sus 330 millones de usuarios desenmascarados en un registro, pero no hubo evidencia de ningún uso indebido. Por lo tanto, Twitter no hizo esta lista.
sin más preámbulos, aquí, en orden alfabético, están las 15 mayores violaciones de datos en la historia reciente, incluyendo quién fue afectado, quién fue responsable y cómo respondieron las empresas.,D Finder
Adobe
Fecha: Octubre de 2013
impacto: 153 millones de registros de usuarios
detalles: según lo informado a principios de octubre de 2013 por el blogger de seguridad Brian Krebs, Adobe informó originalmente que los hackers habían robado casi 3 millones de Registros cifrados de tarjetas de crédito de clientes, más datos de inicio de sesión para un número indeterminado de cuentas de usuario.,
Más tarde ese mes, Adobe aumentó esa estimación para incluir ID y contraseñas cifradas para 38 millones de «usuarios activos».»Krebs informó que un archivo publicado pocos días antes» parece incluir más de 150 millones de pares de nombres de usuario y contraseñas Hash tomadas de Adobe.»Semanas de investigación mostraron que el hackeo también había expuesto los nombres de los clientes, identificaciones, contraseñas e información de tarjetas de débito y crédito.
un acuerdo en agosto de 2015 requería que Adobe pagara a a 1.,1 millón en honorarios legales y una cantidad no revelada a los usuarios para resolver reclamos de violación de la Ley de registros de clientes y prácticas comerciales injustas. En noviembre de 2016, el monto pagado a los clientes se reportó en $1 millón.
Adult Friend Finder
Fecha: Octubre de 2016
impacto: 412,2 millones de cuentas
detalles: esta violación fue particularmente sensible para los titulares de cuentas debido a los servicios que ofrecía el sitio. La red FriendFinder, que incluía conexiones casuales y sitios web de contenido para adultos como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com y Stripshow.,com, fue violada a mediados de octubre de 2016. Los datos robados abarcaron 20 años en seis bases de datos e incluyeron nombres, direcciones de correo electrónico y contraseñas.
el débil algoritmo hash SHA-1 protegió la mayoría de esas contraseñas. Se estima que el 99% de ellos habían sido agrietados en el momento LeakedSource.com publicó su análisis del conjunto de datos el 14 de noviembre de 2016.
como CSO informó en ese momento, » Un investigador que pasa por 1×0123 en Twitter y por Revolver en otros círculos publicó capturas de pantalla tomadas en Adult Friend Finder (que) muestran una vulnerabilidad de inclusión de archivos Local (LFI) que se activa.,»Dijo que la vulnerabilidad, descubierta en un módulo en los servidores de producción utilizados por Adult Friend Finder, «estaba siendo explotada.»
Canva
Fecha: Mayo de 2019
impacto: 137 millones de cuentas de usuario
detalles: en mayo de 2019 el sitio web Australiano de herramientas de diseño gráfico Canva sufrió un ataque que expuso direcciones de correo electrónico, nombres de usuario, nombres, ciudades de residencia, y salado y cifrado con contraseñas bcrypt (para usuarios que no usan inicios de sesión sociales — alrededor de 61 Millones) de 137 millones de usuarios. Canva dice que los hackers lograron ver, pero no robar, archivos con datos parciales de tarjetas de crédito y pagos.,
el(los) sospechoso (s) — conocido (s) como Gnosticplayers — contactó a ZDNet para presumir del incidente, diciendo que Canva había detectado su ataque y cerrado su servidor de violación de datos. El atacante también afirmó haber ganado tokens de inicio de sesión de OAuth para los usuarios que iniciaron sesión a través de Google.
la compañía confirmó el incidente y posteriormente notificó a los usuarios, les pidió que cambiaran las contraseñas y restablecieran los tokens de OAuth., Sin embargo, según un post posterior de Canva, una lista de aproximadamente 4 millones de cuentas Canva que contenían contraseñas de usuario robadas fue descifrada y compartida en línea, lo que llevó a la compañía a invalidar las contraseñas sin cambios y notificar a los usuarios con contraseñas no cifradas en la lista.
eBay
Fecha: Mayo de 2014
impacto: 145 millones de usuarios
detalles: eBay informó que un ataque expuso toda su lista de cuentas de 145 millones de usuarios en mayo de 2014, incluidos nombres, direcciones, fechas de nacimiento y contraseñas cifradas., El gigante de las subastas en línea dijo que los hackers utilizaron las credenciales de tres empleados corporativos para acceder a su red y tuvieron acceso completo durante 229 días, tiempo más que suficiente para comprometer la base de datos de usuarios.
la compañía pidió a los clientes que cambiaran sus contraseñas. La información financiera, como los números de tarjetas de crédito, se almacenaba por separado y no se ponía en peligro. La compañía fue criticada en ese momento por la falta de comunicación con sus usuarios y la mala implementación del proceso de renovación de contraseñas.
Equifax
Fecha: 29 de julio de 2017
impacto: 147.,9 millones de consumidores
detalles: Equifax, una de las agencias de crédito más grandes de los EE.UU., dijo en septiembre. 7, 2017 que una vulnerabilidad de la aplicación en uno de sus sitios web llevó a una violación de datos que expuso a cerca de 147.9 millones de consumidores. La brecha se descubrió el 29 de julio, pero la compañía dice que probablemente comenzó a mediados de Mayo. La violación comprometió la información personal (incluidos los números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir) de 143 millones de consumidores; 209,000 consumidores también tuvieron sus datos de tarjetas de crédito expuestos. Ese número se elevó a 147.,9 millones en octubre de 2017.
Equifax fue culpado por una serie de fallos de seguridad y respuesta. El principal de ellos era que la vulnerabilidad de la aplicación que permitía el acceso de los atacantes no estaba parcheada. La segmentación inadecuada del sistema facilitó el movimiento lateral para los atacantes. Equifax también fue lento para reportar la brecha.,
Dubsmash
Fecha: Diciembre de 2018
impacto: 162 millones de cuentas de usuario
detalles: en diciembre de 2018, el servicio de mensajería de video Dubsmash con sede en Nueva York tenía 162 millones de direcciones de correo electrónico, nombres de usuario, hashes de contraseñas PBKDF2 y otros datos personales, como fechas de nacimiento robadas, todos los cuales se pusieron a la venta en el mercado Dream market dark web el siguiente diciembre. La información se vendía como parte de un volcado recopilado que también incluía MyFitnessPal (más sobre eso a continuación), MyHeritage (92 millones), ShareThis, Armor Games y la aplicación de citas CoffeeMeetsBagel.,
Dubsmash reconoció que se había producido la violación y la venta de información, y proporcionó consejos sobre el cambio de contraseña, pero no dijo Cómo entraron los atacantes ni confirmó cuántos usuarios se vieron afectados.
Heartland Payment Systems
Date: March 2008
Impact: 134 million credit cards exposed
Details: At the time of the breach, Heartland was processing 100 million payment card transactions per month for 175,000 merchants — mostly small – to mid-sized retailers., La violación se descubrió en enero de 2009 cuando Visa y MasterCard notificaron a Heartland de transacciones sospechosas de cuentas que había procesado. Los atacantes explotaron una vulnerabilidad conocida para realizar un ataque de inyección SQL. Los analistas de seguridad habían advertido a los minoristas sobre la vulnerabilidad durante varios años, e hizo que la inyección SQL fuera la forma más común de ataque contra sitios web en ese momento.,
debido a la violación, la industria de tarjetas de pago (PCI) consideró que Heartland no cumplía con su estándar de seguridad de datos (DSS) y no le permitió procesar los pagos de los principales proveedores de tarjetas de crédito hasta mayo de 2009. La compañía también pagó un estimado de 1 145 millones en compensación por pagos fraudulentos.
la brecha Heartland fue un raro ejemplo donde las autoridades atraparon al atacante. Un gran jurado federal acusó a Albert González y a dos cómplices rusos sin nombre en 2009., González, un cubano-americano, fue presunto autor intelectual de la operación internacional que robó las tarjetas de crédito y débito. Fue condenado en marzo de 2010 a 20 años de prisión federal.
Fecha: 2012 (y 2016)
impacto: 165 millones de cuentas de usuario
detalles: como la principal red social para profesionales de negocios, LinkedIn se ha convertido en una propuesta atractiva para los atacantes que buscan realizar ataques de ingeniería social. Sin embargo, también ha sido víctima de la filtración de datos de usuarios en el pasado.
en 2012 la compañía anunció que 6.,5 millones de contraseñas no asociadas (hashes SHA-1 sin sal) fueron robadas por atacantes y publicadas en un foro de hackers rusos. Sin embargo, no fue hasta 2016 que se reveló el alcance completo del incidente. Se encontró que el mismo hacker que vendía los datos de MySpace ofrecía las direcciones de correo electrónico y las contraseñas de alrededor de 165 millones de usuarios de LinkedIn por solo 5 bitcoins (alrededor de $2,000 en ese momento). LinkedIn reconoció que se le había informado de la violación, y dijo que había restablecido las contraseñas de las cuentas afectadas.,
Marriott International
fecha: 2014-18
impacto: 500 millones de clientes
detalles: Marriott International anunció en noviembre de 2018 que los atacantes habían robado datos de aproximadamente 500 millones de clientes. La brecha se produjo inicialmente en los sistemas compatibles con Starwood hotel brands a partir de 2014. Los atacantes permanecieron en el sistema después de que Marriott adquiriera Starwood en 2016 y no fueron descubiertos hasta septiembre de 2018.,
los atacantes pudieron tomar una combinación de información de contacto, número de pasaporte, números de huéspedes preferidos de Starwood, información de viaje y otra información personal. Se cree que los números de tarjetas de crédito y las fechas de vencimiento de más de 100 millones de clientes fueron robados, pero Marriott no está seguro de si los atacantes fueron capaces de descifrar los números de tarjetas de crédito. La violación fue finalmente atribuida a un grupo de inteligencia chino que buscaba recopilar datos sobre ciudadanos estadounidenses, según un artículo del New York Times.,
My Fitness Pal
Fecha: Febrero de 2018
impacto: 150 millones de cuentas de usuario
detalles: además de Dubsmash, MyFitnessPal, la aplicación de fitness propiedad de UnderArmor, estuvo entre el volcado masivo de información de 16 sitios comprometidos que vieron filtrarse 617 millones de cuentas de clientes y ofrecerse a la venta en Dream Market.
en febrero de 2018, los nombres de usuario, direcciones de correo electrónico, direcciones IP, contraseñas SHA-1 y bcrypt-hash de alrededor de 150 millones de clientes fueron robados y luego puestos a la venta un año más tarde al mismo tiempo que Dubsmash et al., MyFitnessPal reconoció la violación y exigió a los clientes que cambiaran sus contraseñas, pero no compartió cuántas cuentas se vieron afectadas o cómo los atacantes obtuvieron acceso a los datos.,
MySpace
Fecha: 2013
impacto: 360 millones de cuentas de usuario
detalles: aunque durante mucho tiempo había dejado de ser la potencia que una vez fue, el sitio de redes sociales MySpace llegó a los titulares en 2016 después de que 360 millones de cuentas de usuario se filtraran en LeakedSource (una base de datos con capacidad de búsqueda de cuentas robadas) y se pusieran a la venta en el mercado de la web oscura con un precio de venta de 6 bitcoin (alrededor de $3,000 en el momento).,
según la compañía, los datos perdidos incluyen direcciones de correo electrónico, contraseñas y nombres de usuario para «una parte de las cuentas que se crearon antes del 11 de junio de 2013, en la antigua plataforma Myspace.»Según Troy Hunt de HaveIBeenPwned, las contraseñas se almacenaban como SHA-1 hashes de los primeros 10 caracteres de la contraseña convertidos a minúsculas.
NetEase
Fecha: Octubre de 2015
impacto: 235 millones de cuentas de usuario
detalles: NetEase es un proveedor de servicios de buzón a través de 163.com y 126.com., Se informó que las direcciones de correo electrónico y las contraseñas de texto plano de unos 235 millones de cuentas de clientes de NetEase estaban siendo vendidas por un proveedor del mercado de la web oscura conocido como DoubleFlag. El mismo vendedor también estaba vendiendo información tomada de otros gigantes chinos como Tencent QQ.com, Sina Corporation and Sohu, Inc. NetEase habría negado cualquier violación. HaveIBeenPwned enumera esta violación como » NO VERIFICADA.»
Sina Weibo
Fecha: Marzo de 2020
impacto: 538 millones de cuentas
detalles: con más de 500 millones de usuarios, Sina Weibo es la respuesta de China a Twitter., Sin embargo, en marzo de 2020 se informó que los nombres reales, los nombres de usuario del sitio, el género, la ubicación y, para 172 millones de usuarios, los números de teléfono se habían publicado para la venta en los mercados de la web oscura. No se incluyeron contraseñas, lo que puede indicar por qué los datos estaban disponibles por solo ¥1,799 ($250).
Weibo reconoció que los datos para la venta eran de la compañía, pero afirmó que los datos se obtuvieron comparando los contactos con su API de libreta de direcciones. También dijo que dado que no almacena contraseñas en texto plano, los usuarios no deben tener nada de qué preocuparse., Esto, sin embargo, no coincide, ya que parte de la información que se ofrece, como los datos de ubicación, no está disponible a través de la API. El gigante de las redes sociales dijo que había notificado a las autoridades sobre el incidente y la administración de Seguridad Cibernética del Ministerio de Industria y Tecnología de la información de China dijo que está investigando.
Yahoo
fecha:2013-14
impacto: 3 mil millones de cuentas de usuario
detalles: Yahoo anunció en septiembre de 2016 que en 2014 había sido víctima de lo que sería la mayor violación de datos en la historia., Los atacantes, que la compañía creía que éramos «actores patrocinados por el estado», comprometieron los nombres reales, las direcciones de correo electrónico, las fechas de nacimiento y los números de teléfono de 500 millones de usuarios. Yahoo afirmó que la mayoría de las contraseñas comprometidas fueron hash.
luego, en diciembre de 2016, Yahoo reveló otra violación de 2013 por un atacante diferente que comprometió los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas, y preguntas y respuestas de seguridad de 1 mil millones de cuentas de usuario. Yahoo revisó esa estimación en octubre de 2017 para incluir todos sus 3 mil millones de cuentas de usuario.,
el momento del anuncio de la violación original fue malo, ya que Yahoo estaba en el proceso de ser adquirido por Verizon, que finalmente pagó 4 4.48 mil millones para el negocio principal de Internet de Yahoo. Las brechas eliminaron un estimado de 3 350 millones del valor de la compañía.
Zynga
Fecha: Septiembre de 2019
impacto: 218 millones de cuentas de usuario
DETALLES: Una vez un gigante de la escena de juegos de Facebook, el creador de Farmville Zynga sigue siendo uno de los jugadores más grandes en el espacio de juegos móviles con millones de jugadores en todo el mundo.,
en septiembre de 2019, un hacker Paquistaní que se hace llamar Gnosticplayers afirmó haber hackeado la base de datos de Zynga de dibujar algo y palabras con jugadores amigos y obtuvo acceso a los 218 millones de cuentas registradas allí. Zynga confirmó más tarde que las direcciones de correo electrónico, las contraseñas con hash SHA-1 saladas, los números de teléfono y las identificaciones de usuario de las cuentas de Facebook y Zynga fueron robadas.
Nota del Editor: este artículo, publicado originalmente en marzo de 2014, se actualiza con frecuencia para tener en cuenta las nuevas infracciones.
