il n’ya Pas longtemps, une violation a compromis les données de quelques millions de personnes aurait été une grande nouvelle. Maintenant, les violations qui affectent des centaines de millions, voire des milliards de personnes sont beaucoup trop courantes. Environ 3,5 milliards de personnes ont vu leurs données personnelles volées dans les deux premières des 15 plus grandes violations de ce siècle seulement. Le plus petit incident de cette liste concernait les données de seulement 134 millions de personnes.
CSO a compilé cette liste des plus grandes violations du 21e siècle en utilisant des critères simples: le nombre de personnes dont les données ont été compromises., Nous avons également fait une distinction entre les incidents où des données ont été volées à des fins malveillantes et ceux où une organisation a laissé des données sans protection et exposées par inadvertance. Twitter, par exemple, a laissé les mots de passe de ses 330 millions d’utilisateurs démasqués dans un journal, mais il n’y avait aucune preuve d’une utilisation abusive. Donc, Twitter n’a pas fait cette liste.
sans plus tarder, voici, Classés par ordre alphabétique, les 15 plus grandes violations de données de l’histoire récente, y compris qui a été touché, qui était responsable et comment les entreprises ont réagi.,d Finder
Adobe
Date: Octobre 2013
impact: 153 millions D’enregistrements D’utilisateurs
détails: comme indiqué début octobre de 2013 par le blogueur de sécurité Brian Krebs, Adobe a initialement signalé que les pirates avaient volé près de 3 millions d’enregistrements de cartes de crédit clients cryptés, plus les données de connexion pour un nombre indéterminé,
plus tard dans le mois, Adobe a augmenté cette estimation pour inclure les ID et les mots de passe cryptés pour 38 millions « utilisateurs actifs. »Krebs a signalé qu’un fichier posté quelques jours plus tôt « semble inclure plus de 150 millions de paires de noms d’utilisateur et de mots de passe hachés provenant D’Adobe. »Des semaines de recherche ont montré que le piratage avait également exposé les noms des clients, les identifiants, les mots de passe et les informations de carte de débit et de crédit.
un accord en août 2015 a demandé à Adobe de payer 1$.,1 million en frais juridiques et un montant non divulgué aux utilisateurs pour régler les réclamations de violation de la Loi sur les dossiers des clients et des pratiques commerciales déloyales. En novembre 2016, le montant payé aux clients a été déclaré à 1 million de dollars.
Adult Friend Finder
Date: Octobre 2016
Impact: 412,2 millions de comptes
Détails: cette violation était particulièrement sensible pour les titulaires de compte en raison des services offerts par le site. Le réseau FriendFinder, qui comprenait des sites de connexion occasionnels et de contenu pour adultes comme Adult Friend Finder, Penthouse.com, Cams.com, iCams.com et Stripshow.,com, a été violé à la mi-octobre 2016. Les données volées se sont étalées sur 20 ans sur six bases de données et comprenaient des noms, des adresses e-mail et des mots de passe.
le faible algorithme de hachage SHA-1 protégeait la plupart de ces mots de passe. On estime que 99% d’entre eux avaient été fissurés à l’époque LeakedSource.com publié son analyse de l’ensemble de données le 14 novembre 2016.
comme CSO l’a signalé à L’époque, « un chercheur qui passe par 1×0123 sur Twitter et par Revolver dans d’autres cercles a publié des captures d’écran prises sur Adult Friend Finder (qui) montrent une vulnérabilité D’Inclusion de fichier Local (LFI) déclenchée., »Il a déclaré que la vulnérabilité, découverte dans un module sur les serveurs de production utilisés par Adult Friend Finder, « était exploitée. »
Canva
Date: Mai 2019
Impact: 137 millions de comptes d’utilisateurs
Détails: en mai 2019, le site Web de L’outil de conception graphique Australien Canva a subi une attaque qui a exposé les adresses e — mail, les noms d’utilisateur, les noms, les villes de résidence, et salé et haché avec des mots de Canva dit que les pirates ont réussi à afficher, mais pas à voler, des fichiers avec des données partielles de carte de crédit et de paiement.,
le ou les coupables présumés — connus sous le nom de Gnosticplayers — ont contacté ZDNet pour se vanter de l’incident, affirmant que Canva avait détecté leur attaque et fermé leur serveur de violation de données. L’attaquant a également affirmé avoir gagné des jetons de connexion OAuth pour les utilisateurs qui se sont connectés via Google.
la société a confirmé l’incident et a ensuite informé les utilisateurs, les a invités à changer de mot de passe et à réinitialiser les jetons OAuth., Cependant, selon un post ultérieur de Canva, une liste d’environ 4 millions de comptes Canva contenant des mots de passe d’utilisateur volés a ensuite été déchiffrée et partagée en ligne, conduisant la société à invalider les mots de passe inchangés et à informer les utilisateurs avec des mots de passe non cryptés dans la liste.
eBay
Date: Mai 2014
Impact: 145 millions d’utilisateurs
Détails: eBay a signalé qu’une attaque a exposé toute sa liste de comptes de 145 millions d’utilisateurs en mai 2014, y compris les noms, adresses, dates de naissance et mots de passe cryptés., Le géant des enchères en ligne a déclaré que les pirates informatiques utilisaient les informations d’identification de trois employés de l’entreprise pour accéder à son réseau et avaient un accès complet pendant 229 jours—plus que suffisamment de temps pour compromettre la base de données des utilisateurs.
la société a demandé aux clients de changer leurs mots de passe. Les informations financières, telles que les numéros de carte de crédit, ont été stockées séparément et n’ont pas été compromises. La société a été critiquée à l’époque pour un manque de communication avec ses utilisateurs et une mauvaise mise en œuvre du processus de renouvellement des mots de passe.
Equifax
Date: 29 juillet 2017
Impact: 147.,9 millions de consommateurs
Détails: Equifax, l’un des plus grands bureaux de crédit aux États-Unis, a déclaré le Septembre. 7, 2017 qu’une vulnérabilité d’application dans l’un de leurs sites Web a conduit à une violation de données qui a exposé environ 147.9 millions de consommateurs. La violation a été découverte en juillet 29, mais la société affirme qu’elle a probablement commencé à la mi-mai. La violation a compromis les informations personnelles (y compris les numéros de sécurité sociale, les dates de naissance, les adresses et, dans certains cas, les numéros de permis de conduire) de 143 millions de consommateurs; 209 000 consommateurs ont également vu leurs données de carte de crédit exposées. Ce nombre a été porté à 147.,9 millions en octobre 2017.
Equifax a été blâmé pour un certain nombre de manquements en matière de sécurité et de réponse. Le principal d’entre eux était que la vulnérabilité de l’application qui permettait aux attaquants d’accéder n’était pas corrigée. Une segmentation inadéquate du système a facilité les mouvements latéraux des attaquants. Equifax a également tardé à signaler la violation.,
Dubsmash
Date: Décembre 2018
Impact: 162 millions de comptes d’utilisateurs
Détails: en décembre 2018, le service de messagerie vidéo Dubsmash basé à New York avait 162 millions d’adresses e-mail, de noms d’utilisateur, de hachages de mots de passe PBKDF2 et d’autres données personnelles telles que les dates de naissance volées, L’information a été vendue dans le cadre d’une décharge collectée, y compris également les goûts de MyFitnessPal (plus à ce sujet ci-dessous), MyHeritage (92 millions), ShareThis, Armor Games, et sortir ensemble App CoffeeMeetsBagel.,
Dubsmash a reconnu que la violation et la vente d’informations avaient eu lieu — et a fourni des conseils sur le changement de mot de passe — mais n’a pas dit comment les attaquants sont entrés ou confirmé combien d’utilisateurs ont été touchés.
Heartland Payment Systems
Date: Mars 2008
Impact: 134 millions de cartes de crédit exposées
Détails: Au moment de la violation, Heartland traitait 100 millions de transactions par carte de paiement par mois pour 175 000 commerçants — principalement des détaillants de petite à moyenne taille., La violation a été découverte en janvier 2009 lorsque Visa et MasterCard ont informé Heartland de transactions suspectes provenant de comptes qu’elle avait traités. Les attaquants ont exploité une vulnérabilité connue pour effectuer une attaque par injection SQL. Les analystes de sécurité avaient averti les détaillants de la vulnérabilité pendant plusieurs années, et il a fait injection SQL la forme la plus courante d’attaque contre les sites web à l’époque.,
en raison de la violation, L’industrie des cartes de paiement (PCI) a jugé Heartland non conforme à sa norme de sécurité des données (DSS) et ne l’a pas autorisée à traiter les paiements des principaux fournisseurs de cartes de crédit avant mai 2009. La société a également versé une indemnité estimée à 145 millions de dollars pour des paiements frauduleux.
La Brèche de Heartland était un exemple rare où les autorités ont attrapé l’attaquant. Un grand jury fédéral a inculpé Albert Gonzalez et deux complices russes anonymes en 2009., Gonzalez, un Américain D’origine cubaine, aurait orchestré l’opération internationale qui a volé les cartes de crédit et de débit. Il a été condamné en mars 2010 à 20 ans de prison fédérale.
Date: 2012 (et 2016)
Impact: 165 millions de comptes utilisateurs
Détails: en tant que réseau social majeur pour les professionnels, LinkedIn est devenu une proposition attrayante pour les attaquants qui cherchent à mener des attaques d’ingénierie sociale. Cependant, il a également été victime de fuites de données utilisateur dans le passé.
En 2012, la société a annoncé que 6.,5 millions de mots de passe non associés (hachages SHA-1 non saltés) ont été volés par des attaquants et publiés sur un forum de pirates russes. Cependant, ce n’est qu’en 2016 que l’étendue complète de l’incident a été révélée. Le même pirate vendant les données de MySpace s’est avéré offrir les adresses e-mail et les mots de passe d’environ 165 millions D’utilisateurs LinkedIn pour seulement 5 bitcoins (environ 2 000 $à l’époque). LinkedIn a reconnu avoir été mis au courant de la violation et a déclaré avoir réinitialisé les mots de passe des comptes concernés.,
Marriott International
Date: 2014-18
Impact: 500 millions de clients
Détails: Marriott International a annoncé en novembre 2018 que les attaquants avaient volé des données sur environ 500 millions de clients. La violation s’est initialement produite sur les systèmes prenant en charge les marques hôtelières Starwood à partir de 2014. Les attaquants sont restés dans le système après L’acquisition de Starwood par Marriott en 2016 et n’ont été découverts qu’en septembre 2018.,
les attaquants ont pu prendre une combinaison d’informations de contact, de numéro de passeport, de numéros D’invité préférés de Starwood, d’informations de voyage et d’autres informations personnelles. Les numéros de carte de crédit et les dates d’expiration de plus de 100 millions de clients auraient été volés, mais Marriott ne sait pas si les attaquants ont pu déchiffrer les numéros de carte de crédit. La violation a finalement été attribuée à un groupe de renseignement Chinois cherchant à recueillir des données sur les citoyens américains, selon un article du New York Times.,
My Fitness Pal
Date: Février 2018
Impact: 150 millions de comptes d’utilisateurs
Détails: en plus de Dubsmash, L’application de fitness appartenant à UnderArmor MyFitnessPal faisait partie de la décharge massive d’informations de 16 sites compromis qui ont vu quelque 617 millions de comptes de clients divulgués et proposés à la vente sur Dream Market.
en février 2018, les noms d’utilisateur, les adresses e-mail, les adresses IP, les mots de passe SHA-1 et bcrypt-hashed d’environ 150 millions de clients ont été volés puis mis en vente un an plus tard en même temps que Dubsmash et al., MyFitnessPal a reconnu la violation et a demandé aux clients de changer leurs mots de passe, mais n’a pas communiqué le nombre de comptes touchés ni la manière dont les attaquants ont eu accès aux données.,
MySpace
Date: 2013
Impact: 360 millions de comptes d’utilisateurs
Détails: bien qu’il ait longtemps cessé d’être la puissance qu’il était, le site de médias sociaux MySpace a fait les gros titres en 2016 après 360 millions de comptes d’utilisateurs ont été divulgués sur les deux LeakedSource (une base de données consultable de comptes volés) et mis en,
selon la société, les données perdues comprenaient des adresses e-mail, des mots de passe et des noms d’utilisateur pour « une partie des comptes créés avant le 11 juin 2013 sur l’ancienne plate-forme Myspace. »Selon Troy Hunt de HaveIBeenPwned, les mots de passe ont été stockés sous forme de hachages SHA-1 des 10 premiers caractères du mot de passe convertis en minuscules.
NetEase
Date: Octobre 2015
Impact: 235 millions de comptes utilisateurs
Détails: NetEase est un fournisseur de services de boîte aux lettres à travers les goûts de 163.com et 126.com., Il a été rapporté que les adresses e-mail et les mots de passe en texte brut de quelque 235 millions de comptes de clients NetEase étaient vendus par un fournisseur de marché dark web connu sous le nom de DoubleFlag. Le même fournisseur vendait également des informations provenant d’autres géants chinois tels que Tencent QQ.com, Sina Corporation et Sohu, Inc. NetEase aurait nié toute violation. Hasibeenpwned répertorie cette violation comme » non vérifiée. »
Sina Weibo
Date: Mars 2020
Impact: 538 millions de comptes
Détails: avec plus de 500 millions d’utilisateurs, Sina Weibo est la réponse de la Chine à Twitter., Cependant, en mars 2020, il a été signalé que les vrais noms, les noms d’utilisateur du site, le sexe, l’emplacement et-pour 172 millions d’utilisateurs-les numéros de téléphone avaient été mis en vente sur les marchés du dark web. Les mots de passe n’étaient pas inclus, ce qui peut indiquer pourquoi les données étaient disponibles pour seulement ¥1,799 ($250).
Weibo a reconnu que les données à vendre provenaient de la société, mais a affirmé que les données avaient été obtenues en faisant correspondre les contacts avec son API de carnet d’adresses. Il a également dit que puisque ne stocke pas les mots de passe en texte brut, les utilisateurs ne devraient avoir rien à craindre., Cependant, cela ne correspond pas car certaines des informations proposées, telles que les données de localisation, ne sont pas disponibles via L’API. Le géant des médias sociaux a déclaré avoir informé les autorités de l’incident et L’Administration chinoise de la cybersécurité du Ministère de l’industrie et des technologies de l’Information a déclaré qu’elle enquêtait.
Yahoo
Date: 2013-14
Impact: 3 milliards de comptes utilisateurs
Détails: Yahoo a annoncé en septembre 2016 qu’en 2014, il avait été victime de ce qui serait la plus grande violation de données de l’histoire., Les attaquants, que la société croyait nous” acteurs parrainés par l’état, » compromis les vrais noms, adresses e-mail, dates de naissance et numéros de téléphone de 500 millions d’utilisateurs. Yahoo a affirmé que la plupart des mots de passe compromis ont été hachés.
puis en décembre 2016, Yahoo a révélé une autre violation de 2013 par un autre attaquant qui a compromis les noms, les dates de naissance, les adresses e-mail et les mots de passe, ainsi que les questions de sécurité et les réponses de 1 milliard de comptes d’utilisateurs. Yahoo a révisé cette estimation en octobre 2017 pour inclure tous ses 3 milliards de comptes d’utilisateurs.,
le moment de l’annonce de la violation initiale était mauvais, car Yahoo était en train d’être acquis par Verizon, qui a finalement payé 4,48 milliards de dollars pour les activités internet de base de Yahoo. Les violations ont fait perdre environ 350 millions de dollars à la valeur de l’entreprise.
Zynga
Date: Septembre 2019
Impact: 218 millions de comptes utilisateurs
Détails: autrefois géant de la scène du jeu Facebook, le créateur de Farmville Zynga est toujours l’un des plus grands acteurs de l’espace du jeu mobile avec des millions de joueurs dans le monde entier.,
en septembre 2019, un hacker pakistanais qui se fait appeler Gnosticplayers a affirmé avoir piraté la base de données de Zynga de Draw Something and Words with Friends players et avoir eu accès aux 218 millions de comptes qui y sont enregistrés. Zynga a confirmé plus tard que les adresses e-mail, les mots de passe hachés SHA-1 salés, les numéros de téléphone et les identifiants d’utilisateur pour les comptes Facebook et Zynga ont été volés.
note de la rédaction: Cet article, initialement publié en mars 2014, est fréquemment mis à jour pour tenir compte des nouvelles violations.
