nu cu mult timp în urmă, o încălcare care a compromis datele a câteva milioane de oameni ar fi fost o veste mare. Acum, încălcările care afectează sute de milioane sau chiar miliarde de oameni sunt mult prea frecvente. Aproximativ 3,5 miliarde de oameni și-au văzut datele personale furate doar în primele două dintre cele mai mari încălcări 15 ale acestui secol. Cel mai mic incident de pe această listă a implicat datele a doar 134 de milioane de oameni.CSO a compilat această listă cu cele mai mari încălcări ale secolului 21 folosind criterii simple: numărul de persoane ale căror date au fost compromise., De asemenea, am făcut o distincție între incidentele în care datele au fost furate pentru intenții rău intenționate și cele în care o organizație a lăsat din greșeală datele neprotejate și expuse. Twitter, de exemplu, a lăsat parolele celor 330 de milioane de utilizatori demascați într-un jurnal, dar nu a existat nicio dovadă de utilizare necorespunzătoare. Deci, Twitter nu a făcut această listă.fără alte detalii, aici, enumerate în ordine alfabetică, sunt cele mai mari 15 încălcări ale datelor din istoria recentă, inclusiv cine a fost afectat, cine a fost responsabil și cum au răspuns companiile.,d Finder
Adobe
Data: octombrie 2013
Impact: 153 de milioane de înregistrări de utilizator
Detalii: după Cum sa raportat la începutul lunii octombrie a anului 2013 de securitate blogger Brian Krebs, Adobe inițial raportat că hackerii au furat aproape 3 milioane de euro criptate card de credit client înregistrări, plus datele de autentificare pentru un număr nedeterminat de conturi de utilizator.,mai târziu în acea lună, Adobe a ridicat această estimare pentru a include ID-uri și parole criptate pentru 38 de milioane de „utilizatori activi.”Krebs a raportat că un fișier postat cu doar câteva zile mai devreme” pare să includă mai mult de 150 de milioane de perechi de nume de utilizator și parole criptate cu algoritmi hash luate de la Adobe.”Săptămâni de cercetare au arătat că hack-ul a expus, de asemenea, numele clienților, ID-urile, parolele și informațiile despre cardurile de debit și de credit.un acord din August 2015 a cerut ca Adobe să plătească 1$.,1 milion în taxe legale și o sumă nedivulgată utilizatorilor pentru a soluționa cererile de încălcare a Legii privind înregistrările clienților și a practicilor comerciale neloiale. În noiembrie 2016, suma plătită clienților a fost raportată la 1 milion de dolari.
Adult Friend Finder
Data: octombrie 2016
Impact: 412.2 milioane de conturi
detalii: această încălcare a fost deosebit de sensibilă pentru deținătorii de cont din cauza serviciilor oferite de site. La FriendFinder de Rețea, care a inclus casual montaj și conținut pentru adulți site-uri web, cum ar fi Adult friend Finder, Penthouse.com, Cams.com, iCams.com și Stripshow.,com, a fost încălcat la mijlocul lunii octombrie 2016. Datele furate au durat 20 de ani pe șase baze de date și au inclus nume, adrese de e-mail și parole.algoritmul slab de hashing SHA-1 a protejat majoritatea acestor parole. Aproximativ 99% dintre ei au fost crăpate de timp LeakedSource.com a publicat analiza setului de date pe 14 noiembrie 2016.
Ca OSC raportat la momentul în care, „Un cercetător care merge de 1×0123 pe Twitter și de Revolver în alte cercuri postat capturi de ecran luate în Adult friend Finder (ca) arată un Fișier Local de Incluziune vulnerabilitate (LFI), fiind declanșată.,”El a spus că vulnerabilitatea, descoperită într-un modul de pe serverele de producție utilizate de Adult Friend Finder, „a fost exploatată.”
Canva
Data: Mai 2019
Impact: 137 de milioane de conturi de utilizator
Detalii: În Mai 2019 Australian design grafic tool-ul Canva suferit un atac care a expus adrese de e-mail, nume de utilizator, nume, orașele de reședință, și sărat și distribuit cu bcrypt parole (pentru utilizatorii care nu folosesc datele de conectare sociale — circa 61 milioane de euro) de 137 de milioane de utilizatori. Canva spune că hackerii au reușit să vizualizeze, dar nu să fure, fișiere cu date parțiale de card de credit și de plată.,
suspecții vinovați-cunoscuți sub numele de Gnosticplayers-au contactat ZDNet pentru a se lăuda cu incidentul, spunând că Canva și-a detectat atacul și a închis serverul de încălcare a datelor. Atacatorul a susținut, de asemenea, că a câștigat jetoane de conectare OAuth pentru utilizatorii care s-au conectat prin Google.compania a confirmat incidentul și a notificat ulterior utilizatorii, i-a determinat să schimbe parolele și să reseteze jetoanele OAuth., Cu toate acestea, potrivit unei postări ulterioare a Canva, o listă de aproximativ 4 milioane de conturi Canva care conțin parole de utilizator furate a fost ulterior decriptată și partajată online, ceea ce a determinat compania să invalideze parolele neschimbate și să notifice utilizatorii cu parole necriptate din listă.
eBay
Data: Mai 2014
Impact: 145 de milioane de utilizatori
Detalii: eBay a raportat că un atac expus întreaga sa listă de conturi de 145 de milioane de utilizatori în Mai 2014, inclusiv nume, adrese, date de naștere și parole criptate., Gigantul de licitații online a spus că hackerii au folosit acreditările a trei angajați corporativi pentru a accesa rețeaua sa și au avut acces complet timp de 229 de zile—mai mult decât suficient timp pentru a compromite baza de date a utilizatorilor.
compania a cerut clienților să își schimbe parolele. Informațiile financiare, cum ar fi numerele cărților de credit, au fost stocate separat și nu au fost compromise. Compania a fost criticată la acea vreme pentru lipsa de comunicare cu utilizatorii săi și implementarea slabă a procesului de reînnoire a parolei.
Equifax
data: 29 iulie 2017
Impact: 147.,9 milioane de consumatori
detalii: Equifax, una dintre cele mai mari birouri de credit din SUA, a declarat în septembrie. 7, 2017 că o vulnerabilitate a aplicației pe unul dintre site-urile lor web a dus la o încălcare a datelor care a expus aproximativ 147, 9 milioane de consumatori. Încălcarea a fost descoperită în iulie 29, dar compania spune că a început probabil la jumătatea lunii mai. Încălcarea a compromis informațiile personale (inclusiv numerele de securitate socială, datele de naștere, adresele și, în unele cazuri, numerele de permis de conducere) ale 143 de milioane de consumatori; 209,000 de consumatori au avut, de asemenea, datele cardului de credit expuse. Acest număr a fost ridicat la 147.,9 milioane în octombrie 2017.Equifax a fost acuzat de mai multe erori de securitate și de răspuns. Șef printre ei a fost că vulnerabilitatea aplicație care a permis accesul atacatorilor a fost unpatched. Segmentarea inadecvată a sistemului a făcut mișcarea laterală ușoară pentru atacatori. Equifax a fost, de asemenea, lent pentru a raporta încălcarea.,
Dubsmash
Data: decembrie 2018
Impact: 162 de milioane de conturi de utilizator
Detalii: În decembrie 2018, New York-video bazate pe serviciul de mesagerie Dubsmash avut 162 de milioane de adrese de e-mail, nume de utilizator, PBKDF2 hash-uri de parole, și alte informații personale, cum ar fi datele de naștere furate, toate din care a fost apoi pus în vânzare pe Visul de Piață dark web piață următoarele decembrie. Informațiile au fost vândute ca parte a unui depozit colectat, de asemenea, inclusiv place de MyFitnessPal (mai multe despre faptul că de mai jos), MyHeritage (92 milioane), ShareThis, Jocuri Armor, și datare app CoffeeMeetsBagel.,Dubsmash a recunoscut încălcarea și vânzarea de informații a avut loc — și a oferit sfaturi despre schimbarea parolei — dar nu a reușit să spună cum au intrat atacatorii sau să confirme câți utilizatori au fost afectați.
Heartland sisteme de plată
Data: martie 2008
Impact: 134 milioane de carduri de credit expuse
detalii: la momentul încălcării, Heartland a fost de prelucrare 100 milioane de tranzacții cu carduri de plată pe lună pentru 175.000 de comercianți-cea mai mare parte mici – la comercianții cu amănuntul mijlocii., Încălcarea a fost descoperită în ianuarie 2009, când Visa și MasterCard au notificat Heartland despre tranzacții suspecte din conturile pe care le-a procesat. Atacatorii au exploatat o vulnerabilitate cunoscută pentru a efectua un atac de injecție SQL. Analiștii de securitate au avertizat comercianții cu amănuntul despre vulnerabilitate de câțiva ani și au făcut injecția SQL cea mai comună formă de atac împotriva site-urilor web la acea vreme.,din cauza încălcării, industria cardurilor de plată (PCI) a considerat Heartland în afara conformității cu standardul său de securitate a datelor (DSS) și nu i-a permis să proceseze plățile furnizorilor majori de carduri de credit până în mai 2009. Compania a plătit, de asemenea, o sumă estimată de 145 de milioane de dolari în compensație pentru plăți frauduloase.încălcarea Heartland a fost un exemplu rar în care autoritățile au prins atacatorul. Un mare juriu federal l-a inculpat pe Albert Gonzalez și doi complici ruși fără nume în 2009., Gonzalez, un cubanez American, se presupune că a pus la cale Operațiunea internațională care a furat cardurile de credit și de debit. El a fost condamnat în martie 2010 la 20 de ani de închisoare federală.
Data: 2012 (și 2016)
Impact: 165 de milioane de conturi de utilizator
Detalii: Ca rețea socială majoră pentru profesioniștii din domeniul afacerilor, LinkedIn a devenit o propunere atractivă pentru căutarea atacatorilor pentru a efectua atacuri de inginerie socială. Cu toate acestea, a căzut victimă și scurgerii datelor utilizatorilor în trecut.în 2012 compania a anunțat că 6.,5 milioane de parole neasociate (hashes SHA-1 nesărat) au fost furate de atacatori și postate pe un forum de hackeri ruși. Cu toate acestea, abia în 2016 a fost dezvăluită întreaga amploare a incidentului. Același hacker care vinde datele MySpace s-a dovedit a oferi adresele de e-mail și parolele a aproximativ 165 de milioane de utilizatori LinkedIn pentru doar bitcoins 5 (în jur de $2,000 la acea vreme). LinkedIn a recunoscut că a fost conștient de încălcare și a spus că a resetat parolele conturilor afectate.,
Marriott International
Data: 2014-18
Impact: 500 de milioane de clienți
Detalii: Marriott International, a anunțat în noiembrie 2018 că atacatorii au furat datele de pe aproximativ 500 de milioane de clienți. Încălcarea a avut loc inițial pe sistemele care susțin Mărcile hoteliere Starwood începând din 2014. Atacatorii au rămas în sistem după ce Marriott a achiziționat Starwood în 2016 și nu au fost descoperiți până în septembrie 2018.,atacatorii au putut lua o combinație de informații de contact, număr de pașaport, numere de oaspeți preferate de Starwood, informații de călătorie și alte informații personale. Numerele cărților de credit și datele de expirare ale mai mult de 100 de milioane de clienți au fost considerate a fi furate, dar Marriott nu este sigur dacă atacatorii au reușit să decripteze numerele cărților de credit. Încălcarea a fost atribuită în cele din urmă unui grup de informații chinez care încearcă să adune date despre cetățenii americani, potrivit unui articol din New York Times.,
My Fitness Pal
Data: februarie 2018
Impact: 150 milioane de conturi de utilizator
detalii: precum și Dubsmash, UnderArmor-owned fitness app MyFitnessPal a fost printre groapa de informații masive de 16 site-uri compromise care au văzut unele 617 milioane de conturi de clienți scurgeri și oferite spre vânzare pe piața de vis.în februarie 2018, numele de utilizator, adresele de e-mail, Adresele IP, parolele SHA-1 și bcrypt-hashed de aproximativ 150 de milioane de clienți au fost furate și apoi puse în vânzare un an mai târziu, în același timp cu Dubsmash et al., MyFitnessPal a recunoscut încălcarea și a cerut clienților să își schimbe parolele, dar nu a împărtășit câte conturi au fost afectate sau modul în care atacatorii au obținut acces la date.,
MySpace
Data: 2013
Impact: 360 de milioane de conturi de utilizator
Detalii: Deși a avut mult timp a încetat să mai fie centru de putere, care a fost odata, social media, site-ul MySpace lovit prima pagină a ziarelor în 2016, după 360 de milioane de conturi de utilizator au fost scurgeri de pe ambele LeakedSource (o bază de databased de conturi furate) și puse în vânzare pe site-piața Adevarata Afacere cu un pret cerut de 6 bitcoin (în jur de 3.000 de dolari la acea dată).,potrivit companiei, datele pierdute au inclus adrese de e-mail, parole și nume de utilizator pentru „o porțiune de conturi create înainte de 11 iunie 2013, pe vechea platformă Myspace.”Potrivit lui Troy Hunt de la HaveIBeenPwned, parolele au fost stocate ca hash SHA-1 ale primelor 10 caractere ale parolei convertite în litere mici.
NetEase
Data: octombrie 2015
Impact: 235 milioane de conturi de utilizator
detalii: NetEase este un furnizor de servicii de căsuță poștală prin place de 163.com și 126.com., S-a raportat că adresele de e-mail și parolele de text clar ale unor milioane de conturi 235 de la clienții NetEase au fost vândute de un furnizor de piață dark web cunoscut sub numele de DoubleFlag. Același furnizor vindea și informații preluate de la alți giganți chinezi, cum ar fi Tencent QQ.com, Sina Corporation și Sohu, Inc. NetEase a negat orice încălcare. HaveIBeenPwned listează această încălcare ca fiind ” neverificată.”
Sina Weibo
Data: martie 2020
Impact :538 milioane de conturi
detalii: cu peste 500 de milioane de utilizatori, Sina Weibo este răspunsul Chinei la Twitter., Cu toate acestea, în martie 2020 s-a raportat că numele reale, numele de utilizator al site-urilor, sexul, locația și-pentru 172 de milioane de utilizatori-numerele de telefon au fost postate spre vânzare pe piețele dark web. Parolele nu au fost incluse, ceea ce poate indica de ce datele au fost disponibile doar ¥1,799 ($250).Weibo a recunoscut că datele de vânzare provin de la companie, dar a susținut că datele au fost obținute prin potrivirea contactelor cu API-ul său din agenda de adrese. De asemenea, a spus că, deoarece nu stochează parolele în text simplu, utilizatorii nu ar trebui să aibă de ce să-și facă griji., Cu toate acestea, acest lucru nu corespunde, deoarece unele dintre informațiile oferite, cum ar fi datele despre locație, nu sunt disponibile prin API. Gigantul social media a declarat că a notificat autoritățile despre incident, iar Administrația de securitate cibernetică din China a Ministerului Industriei și Tehnologiei Informației a declarat că investighează.
Yahoo
Data: 2013-14
Impact: 3 miliarde de conturi de utilizator
detalii: Yahoo a anunțat în septembrie 2016 că în 2014 a fost victima a ceea ce ar fi cea mai mare încălcare a datelor din istorie., Atacatorii, despre care compania credea că suntem” actori sponsorizați de stat”, au compromis numele reale, adresele de e-mail, datele de naștere și numerele de telefon ale 500 de milioane de utilizatori. Yahoo a susținut că majoritatea parolelor compromise au fost criptate cu algoritmi hash.apoi, în decembrie 2016, Yahoo a dezvăluit o altă încălcare din 2013 de către un alt atacator care a compromis numele, datele nașterii, adresele de e-mail și parolele și întrebările de securitate și răspunsurile a 1 miliard de conturi de utilizator. Yahoo a revizuit această estimare în octombrie 2017 pentru a include toate cele 3 miliarde de conturi de utilizator.,momentul anunțului inițial de încălcare a fost rău, deoarece Yahoo era în proces de achiziție de către Verizon, care în cele din urmă a plătit 4.48 miliarde de dolari pentru activitatea principală de Internet a Yahoo. Încălcările au scos o valoare estimată de 350 de milioane de dolari din valoarea companiei.
Zynga
data: septembrie 2019
Impact: 218 milioane de conturi de utilizator
detalii: odată ce un gigant al scenei de jocuri Facebook, Farmville creatorul Zynga este încă unul dintre cei mai mari jucători din spațiul de joc mobil cu milioane de jucători din întreaga lume.,
În septembrie 2019, un Pakistanez hacker care merge de numele Gnosticplayers a susținut că a intrat în Zynga baza de date a Desena Ceva și Cuvinte cu Prietenii jucători și a câștigat acces la 218 milioane de conturi înregistrate acolo. Zynga a confirmat ulterior că adresele de e-mail, parolele SHA-1 sărate, numerele de telefon și ID-urile de utilizator pentru conturile Facebook și Zynga au fost furate.
Nota Editorului: Acest articol, publicat inițial în martie 2014, este actualizat frecvent pentru a ține cont de noi încălcări.
