Non molto tempo fa, una violazione che ha compromesso i dati di pochi milioni di persone sarebbe stata una grande novità. Ora, le violazioni che colpiscono centinaia di milioni o addirittura miliardi di persone sono troppo comuni. Circa 3,5 miliardi di persone hanno visto i loro dati personali rubati nelle prime due delle 15 più grandi violazioni di questo secolo da solo. Il più piccolo incidente in questa lista ha coinvolto i dati di soli 134 milioni di persone.
CSO ha compilato questa lista delle più grandi violazioni del 21 ° secolo utilizzando semplici criteri: il numero di persone i cui dati sono stati compromessi., Abbiamo anche fatto una distinzione tra gli incidenti in cui i dati sono stati rubati per intenti dannosi e quelli in cui un’organizzazione ha inavvertitamente lasciato i dati non protetti ed esposti. Twitter, per esempio, ha lasciato le password dei suoi 330 milioni di utenti smascherati in un registro, ma non c’era alcuna prova di qualsiasi uso improprio. Quindi, Twitter non ha fatto questa lista.
Senza ulteriori indugi, qui, elencati in ordine alfabetico, sono i 15 più grandi violazioni dei dati nella storia recente, tra cui chi è stato colpito, chi era responsabile, e come le aziende hanno risposto.,d Finder
Adobe
Data: ottobre 2013
Impatto: 153 milioni di record utente
i Dettagli: Come riportato nei primi di ottobre del 2013 dalla sicurezza di blogger Brian Krebs, Adobe originariamente riferito che gli hacker avevano rubato circa 3 milioni di crittografato carta di credito del cliente registra, oltre i dati di login per un numero indeterminato di account utente.,
Più tardi quel mese, Adobe ha aumentato tale stima per includere ID e password crittografate per 38 milioni di “utenti attivi.”Krebs ha riferito che un file pubblicato pochi giorni prima “sembra includere più di 150 milioni di coppie di nome utente e password hash prese da Adobe.”Settimane di ricerca hanno dimostrato che l’hack aveva anche esposto i nomi dei clienti, ID, password e informazioni sulle carte di debito e di credito.
Un accordo nell’agosto 2015 ha richiesto ad Adobe di pagare un $1.,1 milione in spese legali e un importo non divulgato agli utenti per risolvere i reclami di violazione del Customer Records Act e pratiche commerciali sleali. A novembre 2016, l’importo pagato ai clienti è stato segnalato a $1 milione.
Adult Friend Finder
Data: ottobre 2016
Impatto: 412,2 milioni di account
Dettagli: Questa violazione è stata particolarmente sensibile per i titolari di account a causa dei servizi offerti dal sito. La rete FriendFinder, che comprendeva collegamento casuale e siti web di contenuti per adulti come Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.,com, è stato violato a metà ottobre 2016. I dati rubati si estendevano per 20 anni su sei database e includevano nomi, indirizzi e-mail e password.
Il debole algoritmo di hashing SHA-1 ha protetto la maggior parte di quelle password. Si stima che il 99% di loro fosse stato incrinato all’epoca LeakedSource.com pubblicato la sua analisi del set di dati il 14 novembre 2016.
Come CSO ha riferito al momento che, “Un ricercatore che va da 1×0123 su Twitter e da Revolver in altri ambienti ha pubblicato screenshot presi su Adult Friend Finder (che) mostrano una vulnerabilità di inclusione di file locale (LFI) che viene attivata.,”Ha detto che la vulnerabilità, scoperta in un modulo sui server di produzione utilizzati da Adult Friend Finder, “veniva sfruttata.”
Canva
Data: Maggio 2019
Impatto: 137 milioni di account utente
dettaglio: Maggio 2019 Australiano strumento di progettazione grafica sito web Canva subito un attacco che ha esposto gli indirizzi email, nomi utente, nomi, città di residenza, e salata e hash con bcrypt password (per gli utenti non utilizza i social login — circa 61 milioni di euro) di 137 milioni di utenti. Canva dice che gli hacker sono riusciti a visualizzare, ma non rubare, i file con carta di credito parziale e dati di pagamento.,
I sospetti colpevoli — noti come Gnosticplayers — contattarono ZDNet per vantarsi dell’incidente, dicendo che Canva aveva rilevato il loro attacco e chiuso il loro server di violazione dei dati. L’attaccante ha anche affermato di aver ottenuto token di accesso OAuth per gli utenti che hanno effettuato l’accesso tramite Google.
La società ha confermato l’incidente e successivamente ha notificato agli utenti, ha chiesto loro di modificare le password e reimpostare i token OAuth., Tuttavia, secondo un post successivo di Canva, un elenco di circa 4 milioni di account Canva contenenti password utente rubate è stato successivamente decifrato e condiviso online, portando l’azienda a invalidare password invariate e notificare agli utenti password non crittografate nell’elenco.
eBay
Data: maggio 2014
Impatto: 145 milioni di utenti
Dettagli: eBay ha riferito che un attacco ha esposto la sua intera lista di account di 145 milioni di utenti nel maggio 2014, inclusi nomi, indirizzi, date di nascita e password crittografate., Il gigante delle aste online ha detto che gli hacker hanno utilizzato le credenziali di tre dipendenti aziendali per accedere alla propria rete e hanno avuto accesso completo per 229 giorni – più che sufficiente tempo per compromettere il database degli utenti.
La società ha chiesto ai clienti di cambiare le loro password. Le informazioni finanziarie, come i numeri delle carte di credito, sono state archiviate separatamente e non sono state compromesse. La società è stata criticata all’epoca per la mancanza di comunicazione con i suoi utenti e la scarsa implementazione del processo di rinnovo della password.
Equifax
Data: 29 luglio 2017
Impatto: 147.,9 milioni di consumatori
Dettagli: Equifax, una delle più grandi agenzie di credito negli Stati Uniti, ha detto il settembre. 7, 2017 che una vulnerabilità dell’applicazione in uno dei loro siti web ha portato a una violazione dei dati che ha esposto circa 147,9 milioni di consumatori. La violazione è stata scoperta il 29 luglio, ma la società dice che probabilmente è iniziata a metà maggio. La violazione ha compromesso le informazioni personali (compresi i numeri di previdenza sociale, le date di nascita, gli indirizzi e in alcuni casi i numeri di patente di guida) di 143 milioni di consumatori; 209.000 consumatori hanno anche esposto i loro dati della carta di credito. Quel numero è stato portato a 147.,9 milioni nel mese di ottobre 2017.
Equifax è stato criticato per una serie di errori di sicurezza e risposta. Primo fra tutti era che la vulnerabilità dell’applicazione che ha permesso l’accesso attaccanti era senza patch. La segmentazione inadeguata del sistema ha reso facile il movimento laterale per gli attaccanti. Equifax è stato anche lento a segnalare la violazione.,
Dubsmash
Data: dicembre 2018
Impatto: 162 milioni di account utente
dettaglio: dicembre 2018, con base a New York il video servizio di messaggistica Dubsmash era di 162 milioni di indirizzi e-mail, username, PBKDF2 hash di password e altri dati personali, come date di nascita rubato, che è stato poi messo in vendita il Sogno di Mercato scuro mercato web il dicembre successivo. Le informazioni venivano vendute come parte di una discarica raccolta che includeva anche artisti del calibro di MyFitnessPal (più su quello qui sotto), MyHeritage (92 milioni), ShareThis, Armor Games e dating app CoffeeMeetsBagel.,
Dubsmash ha riconosciuto la violazione e la vendita di informazioni si era verificato — e ha fornito consigli circa la modifica della password — ma non è riuscito a dire come gli aggressori ottenuto in o confermare quanti utenti sono stati colpiti.
Heartland Payment Systems
Data: marzo 2008
Impatto: 134 milioni di carte di credito esposte
Dettagli: Al momento della violazione, Heartland stava elaborando 100 milioni di transazioni con carte di pagamento al mese per 175.000 commercianti, per lo più piccoli e medi rivenditori., La violazione è stata scoperta nel gennaio 2009, quando Visa e MasterCard notificato Heartland di transazioni sospette da conti che aveva elaborato. Gli aggressori hanno sfruttato una vulnerabilità nota per eseguire un attacco SQL injection. Gli analisti di sicurezza avevano messo in guardia i rivenditori circa la vulnerabilità per diversi anni, e ha fatto SQL injection la forma più comune di attacco contro i siti web al momento.,
A causa della violazione, il Payment Card Industry (PCI) ha ritenuto Heartland non conforme al proprio standard di sicurezza dei dati (DSS) e non le ha consentito di elaborare i pagamenti dei principali fornitori di carte di credito fino a maggio 2009. La società ha anche pagato un risarcimento stimato di million 145 milioni per pagamenti fraudolenti.
La violazione Heartland è stato un raro esempio in cui le autorità catturato l’attaccante. Un gran giurì federale ha incriminato Albert Gonzalez e due complici russi senza nome nel 2009., Gonzalez, un cubano americano, è stato accusato di aver architettato l’operazione internazionale che ha rubato le carte di credito e di debito. È stato condannato a marzo 2010 a 20 anni di carcere federale.
Data: 2012 (e 2016)
Impatto: 165 milioni di account utente
Dettagli: Come il principale social network per i professionisti del settore, LinkedIn è diventato una proposta interessante per gli aggressori che cercano di condurre attacchi di ingegneria sociale. Tuttavia, è anche caduto vittima di perdite di dati degli utenti in passato.
Nel 2012 la società ha annunciato che 6.,5 milioni di password non associate (hash SHA-1 non salati) sono state rubate dagli aggressori e pubblicate su un forum hacker russo. Tuttavia, non è stato fino al 2016 che è stata rivelata l’intera portata dell’incidente. Lo stesso hacker che vendeva i dati di MySpace offriva gli indirizzi e-mail e le password di circa 165 milioni di utenti LinkedIn per soli 5 bitcoin (circa $2,000 al momento). LinkedIn ha riconosciuto di essere stato informato della violazione e ha dichiarato di aver reimpostato le password degli account interessati.,
Marriott International
Data: 2014-18
Impatto: 500 milioni di clienti
Dettagli: Marriott International ha annunciato a novembre 2018 che gli aggressori avevano rubato dati su circa 500 milioni di clienti. La violazione si è verificato inizialmente sui sistemi di supporto Starwood hotel brands a partire dal 2014. Gli aggressori sono rimasti nel sistema dopo che Marriott ha acquisito Starwood in 2016 e non sono stati scoperti fino a settembre 2018.,
Gli aggressori sono stati in grado di prendere una combinazione di informazioni di contatto, numero di passaporto, Starwood Preferred Guest numbers, informazioni di viaggio, e altre informazioni personali. I numeri di carta di credito e le date di scadenza di oltre 100 milioni di clienti sono stati ritenuti rubati, ma Marriott è incerto se gli aggressori sono stati in grado di decifrare i numeri di carta di credito. La violazione è stata infine attribuita a un gruppo di intelligence cinese che cerca di raccogliere dati sui cittadini statunitensi, secondo un articolo del New York Times.,
My Fitness Pal
Data: febbraio 2018
Impatto: 150 milioni di account utente
Dettagli: Oltre a Dubsmash, l’app di fitness di proprietà di UnderArmor MyFitnessPal è stata tra le massicce informazioni di 16 siti compromessi che hanno visto trapelare alcuni account di 617 milioni di clienti e offerti in vendita su Dream Market.
A febbraio 2018 i nomi utente, gli indirizzi e-mail, gli indirizzi IP, le password SHA-1 e bcrypt-hash di circa 150 milioni di clienti sono stati rubati e poi messi in vendita un anno dopo contemporaneamente a Dubsmash et al., MyFitnessPal ha riconosciuto la violazione e ha richiesto ai clienti di modificare le loro password, ma non ha condiviso il numero di account interessati o il modo in cui gli aggressori hanno ottenuto l’accesso ai dati.,
MySpace
Data: 2013
Impatto: 360 milioni di account utente
Dettagli: anche Se è da molto tempo ha smesso di essere la potenza che era una volta, sito di social network MySpace colpito i titoli dei giornali nel 2016, dopo più di 360 milioni di account utente sono stati trapelata su entrambi LeakedSource (ricercabile databased di account rubati) e messo in vendita nel buio mercato web Il Vero Affare con un prezzo di 6 bitcoin (circa 3.000 dollari, al momento).,
Secondo la società, i dati persi includevano indirizzi email, password e nomi utente per “una parte di account creati prima dell’ 11 giugno 2013, sulla vecchia piattaforma Myspace.”Secondo Troy Hunt di HaveIBeenPwned, le password sono state memorizzate come hash SHA-1 dei primi 10 caratteri della password convertiti in minuscolo.
NetEase
Data: ottobre 2015
Impatto: 235 milioni di account utente
Dettagli: NetEase è un fornitore di servizi di mailbox attraverso artisti del calibro di 163.com e 126.com., È stato riportato che gli indirizzi e-mail e le password in chiaro di circa 235 milioni di account dei clienti NetEase venivano venduti da un fornitore di marketplace dark web noto come DoubleFlag. Lo stesso venditore vendeva anche informazioni prese da altri giganti cinesi come Tencent QQ.com, Sina Corporation e Sohu, Inc. NetEase ha riferito negato qualsiasi violazione. HaveIBeenPwned elenca questa violazione come “non verificata.”
Sina Weibo
Data: marzo 2020
Impatto: 538 milioni di account
Dettagli: Con oltre 500 milioni di utenti, Sina Weibo è la risposta della Cina a Twitter., Tuttavia, a marzo 2020 è stato riferito che i nomi reali, i nomi utente del sito, il genere, la posizione e-per 172 milioni di utenti-i numeri di telefono erano stati messi in vendita sui mercati web oscuri. Le password non sono state incluse, il che potrebbe indicare il motivo per cui i dati erano disponibili per soli ¥1,799 ($250).
Weibo ha riconosciuto che i dati in vendita provenivano dalla società, ma ha affermato che i dati sono stati ottenuti abbinando i contatti alla sua API della rubrica. Ha anche detto che dal momento che non memorizza le password in chiaro, gli utenti non dovrebbero avere nulla di cui preoccuparsi., Ciò, tuttavia, non corrisponde al fatto che alcune delle informazioni offerte, come i dati sulla posizione, non sono disponibili tramite l’API. Il gigante dei social media ha detto di aver notificato le autorità sull’incidente e la Cyber Security Administration cinese del Ministero dell’Industria e dell’Information Technology ha detto che sta indagando.
Yahoo
Data: 2013-14
Impatto: 3 miliardi di account utente
Dettagli: Yahoo ha annunciato nel settembre 2016 che nel 2014 era stato vittima di quella che sarebbe stata la più grande violazione dei dati nella storia., Gli aggressori, che la società riteneva “attori sponsorizzati dallo Stato”, hanno compromesso i nomi reali, gli indirizzi email, le date di nascita e i numeri di telefono di 500 milioni di utenti. Yahoo ha affermato che la maggior parte delle password compromesse sono stati hash.
Poi nel dicembre 2016, Yahoo divulgato un’altra violazione dal 2013 da un utente malintenzionato diverso che ha compromesso i nomi, date di nascita, indirizzi e-mail e password, e le domande di sicurezza e le risposte di 1 miliardo di account utente. Yahoo ha rivisto tale stima in ottobre 2017 per includere tutti i suoi 3 miliardi di account utente.,
I tempi dell’annuncio della violazione originale erano pessimi, poiché Yahoo era in procinto di essere acquisita da Verizon, che alla fine ha pagato billion 4.48 miliardi per il core business di Internet di Yahoo. Le violazioni bussato una stima di million 350 milioni fuori il valore della società.
Zynga
Data: settembre 2019
Impatto: 218 milioni di account utente
Dettagli: Una volta un gigante della scena di gioco di Facebook, Farmville creatore Zynga è ancora uno dei più grandi giocatori nello spazio di gioco mobile con milioni di giocatori in tutto il mondo.,
Nel settembre 2019, un hacker pakistano che si fa chiamare Gnosticplayers ha affermato di aver hackerato il database di Zynga di Draw Something and Words with Friends players e ha ottenuto l’accesso ai 218 milioni di account registrati lì. Zynga in seguito ha confermato che gli indirizzi e-mail, le password hash SHA-1 salate, i numeri di telefono e gli ID utente per gli account Facebook e Zynga sono stati rubati.
Nota del redattore: Questo articolo, originariamente pubblicato nel marzo 2014, viene aggiornato frequentemente per tenere conto di nuove violazioni.
