18 крупнейших утечек данных в 21 веке

Man

Professional
Messages
2,963
Reaction score
486
Points
83
Утечки данных, затрагивающие миллионы пользователей, слишком распространены. Вот некоторые из самых крупных и ужасных утечек за последнее время.

В современном мире, где все основано на данных, утечки данных могут затронуть сотни миллионов или даже миллиарды людей одновременно. Цифровая трансформация увеличила предложение перемещения данных, и утечки данных масштабировались вместе с этим, поскольку злоумышленники эксплуатируют зависимость данных от повседневной жизни. Насколько масштабными могут стать кибератаки будущего, остается только догадываться, но, как показывает этот список крупнейших утечек данных 21- го века, они уже достигли огромных масштабов.

Для прозрачности этот список был рассчитан по количеству затронутых пользователей, раскрытых записей или затронутых учетных записей. Мы также провели различие между инцидентами, когда данные были активно украдены или повторно опубликованы злонамеренно, и теми, когда организация непреднамеренно оставила данные незащищенными и раскрытыми, но не было никаких существенных доказательств неправомерного использования. Последние намеренно не были включены в список.

Итак, вот он — актуальный список 15 крупнейших утечек данных за последнее время, включая сведения о пострадавших, ответственных лицах и о том, как отреагировали компании (по состоянию на июль 2021 года).

1. Яху​

Дата: август 2013 г.
Последствия: 3 млрд аккаунтов

Первое место — почти через семь лет после первоначального взлома и четыре года с момента раскрытия истинного числа раскрытых записей — занимает атака на Yahoo. Компания впервые публично объявила об инциденте, который, по ее словам, произошел в 2013 году, в декабре 2016 года. В то время она находилась в процессе приобретения Verizon и подсчитала, что информация об учетных записях более миллиарда ее клиентов была получена хакерской группой. Менее чем через год Yahoo объявила, что фактическое число раскрытых учетных записей пользователей составило 3 миллиарда. Yahoo заявила, что пересмотренная оценка не представляет собой новую «проблему безопасности» и что она отправляет электронные письма всем «дополнительным затронутым учетным записям пользователей».

Несмотря на атаку, сделка с Verizon была завершена, хотя и по сниженной цене. Директор по информационной безопасности Verizon Чандра Макмахон заявила в то время: «Verizon привержена высочайшим стандартам подотчетности и прозрачности, и мы активно работаем над обеспечением безопасности наших пользователей и сетей в условиях меняющегося ландшафта онлайн-угроз. Наши инвестиции в Yahoo позволяют этой команде продолжать предпринимать значительные шаги для повышения своей безопасности, а также извлекать выгоду из опыта и ресурсов Verizon». После расследования было обнаружено, что, хотя злоумышленники получили доступ к информации об учетной записи, такой как контрольные вопросы и ответы, пароли в виде открытого текста, данные платежных карт и банковские данные не были украдены.

2. Aadhaar [ничья с Alibaba​

Дата: январь 2018 г.
Последствия: раскрыта идентификационная/биометрическая информация 1,1 млрд граждан Индии

В начале 2018 года появились новости о том, что злоумышленники проникли в крупнейшую в мире базу данных удостоверений личности Aadhaar , раскрыв информацию о более чем 1,1 миллиарда граждан Индии, включая имена, адреса, фотографии, номера телефонов и адреса электронной почты, а также биометрические данные, такие как отпечатки пальцев и сканирование радужной оболочки глаза. Более того, поскольку база данных, созданная Управлением по уникальной идентификации Индии (UIDAI) в 2009 году, также содержала информацию о банковских счетах, связанных с уникальными 12-значными номерами, она также стала нарушением кредитной безопасности. И это несмотря на то, что изначально UIDAI отрицал, что база данных содержала такие данные

Злоумышленники проникли в базу данных Aadhaar через веб-сайт Indane, государственной коммунальной компании, подключенной к правительственной базе данных через интерфейс прикладного программирования, который позволял приложениям извлекать данные, хранящиеся в других приложениях или программном обеспечении. К сожалению, API Indane не имел контроля доступа, что делало ее данные уязвимыми. Хакеры продавали доступ к данным всего за 7 долларов через группу WhatsApp. Несмотря на предупреждения исследователей безопасности и технических групп, индийским властям потребовалось до 23 марта 2018 года, чтобы отключить уязвимую точку доступа.

3. Alibaba [ничья с Aadhaar]​

Дата: ноябрь 2019 г.
Последствия: 1,1 млрд единиц пользовательских данных

В течение восьми месяцев разработчик, работающий на аффилированного маркетолога, выкрадывал данные клиентов, включая имена пользователей и номера мобильных телефонов, с китайского торгового сайта Alibaba Taobao, используя созданное им программное обеспечение для поиска. Похоже, что разработчик и его работодатель собирали информацию для собственного использования и не продавали ее на черном рынке, хотя оба были приговорены к трем годам тюрьмы.

Представитель Taobao заявил в своем заявлении: «Taobao выделяет значительные ресурсы на борьбу с несанкционированным парсингом на нашей платформе, поскольку конфиденциальность и безопасность данных имеют первостепенное значение. Мы заблаговременно обнаружили и предотвратили этот несанкционированный парсинг. Мы продолжим работать с правоохранительными органами, чтобы защищать и оберегать интересы наших пользователей и партнеров».

4. ЛинкедИн​

Дата: июнь 2021 г.
Последствия: 700 миллионов пользователей

Гигант профессиональных сетей LinkedIn увидел данные, связанные с 700 миллионами своих пользователей, размещенные на форуме даркнета в июне 2021 года, что затронуло более 90% его пользовательской базы. Хакер, известный под псевдонимом «God User», использовал методы сбора данных, эксплуатируя API сайта (и других), прежде чем сбросить первый набор данных о 500 миллионах клиентов. Затем они хвастались тем, что продают всю базу данных из 700 миллионов клиентов. В то время как LinkedIn утверждал, что, поскольку никакие конфиденциальные, частные личные данные не были раскрыты, инцидент был нарушением его условий обслуживания, а не утечкой данных, образец собранных данных, опубликованный God User, содержал информацию, включая адреса электронной почты, номера телефонов, записи геолокации, пол и другие данные социальных сетей, что дало бы злоумышленникам достаточно данных для создания убедительных последующих атак социальной инженерии после утечки, как предупредил NCSC Великобритании.

5. SinaWeibo​

Дата: март 2020 г.
Последствия: 538 миллионов аккаунтов

Sina Weibo — одна из крупнейших социальных сетей Китая с более чем 600 миллионами пользователей. В марте 2020 года компания объявила, что злоумышленник получил часть ее базы данных, затронув 538 миллионов пользователей Weibo и их личные данные, включая настоящие имена, имена пользователей сайтов, пол, местоположение и номера телефонов. Сообщается, что злоумышленник затем продал базу данных в даркнете за 250 долларов.

Министерство промышленности и информационных технологий Китая (MIIT) приказало Weibo усилить меры безопасности данных, чтобы лучше защищать личную информацию и уведомлять пользователей и органы власти в случае возникновения инцидентов, связанных с безопасностью данных. В своем заявлении Sina Weibo утверждает, что злоумышленник собрал публично опубликованную информацию с помощью сервиса, призванного помочь пользователям находить учетные записи друзей Weibo, вводя их номера телефонов, и что никакие пароли не были затронуты. Однако оно признало, что раскрытые данные могут быть использованы для привязки учетных записей к паролям, если пароли повторно используются в других учетных записях. Компания заявила, что усилила свою стратегию безопасности и сообщила подробности в соответствующий орган.

6. Фейсбук​

Дата: апрель 2019 г.
Последствия: 533 миллиона пользователей

В апреле 2019 года выяснилось, что два набора данных из приложений Facebook были раскрыты в открытом доступе в Интернете. Информация касалась более 530 миллионов пользователей Facebook и включала номера телефонов, имена учетных записей и идентификаторы Facebook. Однако два года спустя (апрель 2021 года) данные были опубликованы бесплатно, что указывает на новые и реальные преступные намерения, связанные с данными. Фактически, учитывая огромное количество затронутых телефонных номеров, которые были легко доступны в даркнете в результате инцидента, исследователь безопасности Трой Хант добавил функционал на свой сайт проверки учетных данных HaveIBeenPwned (HIBP), который позволял пользователям проверять, были ли их номера телефонов включены в раскрытый набор данных.

«Я никогда не планировал делать телефонные номера доступными для поиска», — написал Хант в своем блоге. «Моя позиция по этому поводу заключалась в том, что это не имело смысла по ряду причин. Данные Facebook все изменили. Существует более 500 миллионов телефонных номеров, но всего несколько миллионов адресов электронной почты, так что >99% людей получали промах, когда должны были получить попадание».

7. Marriott International (Старвуд)​

Дата: сентябрь 2018 г.
Последствия: 500 миллионов клиентов

Hotel Marriot International объявил о раскрытии конфиденциальных данных, принадлежащих полумиллиону гостей Starwood, после атаки на его системы в сентябре 2018 года. В заявлении, опубликованном в ноябре того же года, гостиничный гигант сказал: «8 сентября 2018 года Marriott получил предупреждение от внутреннего инструмента безопасности о попытке доступа к базе данных бронирования гостей Starwood. Marriott быстро привлек ведущих экспертов по безопасности, чтобы помочь выяснить, что произошло».

В ходе расследования Marriott узнала, что с 2014 года имел место несанкционированный доступ к сети Starwood. «Marriott недавно обнаружила, что несанкционированная сторона скопировала и зашифровала информацию, и предприняла шаги по ее удалению. 19 ноября 2018 года Marriott смогла расшифровать информацию и определила, что ее содержимое было из базы данных бронирования гостей Starwood», — говорится в заявлении.

Скопированные данные включали имена гостей, почтовые адреса, номера телефонов, адреса электронной почты, номера паспортов, информацию об учетной записи Starwood Preferred Guest, даты рождения, пол, информацию о прибытии и отъезде, даты бронирования и предпочтения в общении. Для некоторых информация также включала номера платежных карт и даты истечения срока действия, хотя они, по-видимому, были зашифрованы.

Marriot провела расследование с помощью экспертов по безопасности после взлома и объявила о планах по поэтапному отказу от систем Starwood и ускорению мер по повышению безопасности своей сети. В конечном итоге компания была оштрафована на 18,4 млн фунтов стерлингов (сокращенно с 99 млн фунтов стерлингов) британским органом по управлению данными Управлением комиссара по информации (ICO) в 2020 году за неспособность обеспечить безопасность персональных данных клиентов. В статье New York Times атака приписывалась китайской разведывательной группе, которая пыталась собрать данные о гражданах США.

8. Яху​

Дата: 2014 г.
Последствия: 500 миллионов аккаунтов

Вторым в этом списке появляется Yahoo, которая подверглась атаке в 2014 году, отдельной от атаки 2013 года, упомянутой выше. В этом случае спонсируемые государством субъекты украли данные из 500 миллионов учетных записей, включая имена, адреса электронной почты, номера телефонов, хешированные пароли и даты рождения. Компания предприняла первые шаги по исправлению ситуации еще в 2014 году, но только в 2016 году Yahoo опубликовала подробности после того, как украденная база данных поступила в продажу на черном рынке.

9. Поиск друзей для взрослых​

Дата: октябрь 2016 г.
Последствия: 412,2 млн аккаунтов

Социальная сеть для взрослых The FriendFinder Network имела пользовательские данные за 20 лет из шести баз данных, украденных киберворами в октябре 2016 года. Учитывая деликатный характер услуг, предлагаемых компанией, — которые включают случайные знакомства и сайты с контентом для взрослых, такие как Adult Friend Finder, Penthouse.com и Stripshow.com — утечка данных из более чем 414 миллионов учетных записей, включая имена, адреса электронной почты и пароли, могла быть особенно губительной для жертв. Более того, подавляющее большинство раскрытых паролей были хэшированы с помощью печально известного слабого алгоритма SHA-1, и, по оценкам, 99% из них были взломаны к тому времени, когда LeakedSource.com опубликовал свой анализ набора данных 14 ноября 2016 года.

10. MySpace​

Дата: 2013 г.
Последствия: 360 миллионов учетных записей пользователей

Хотя сайт социальной сети MySpace уже давно перестал быть тем центром влияния, которым он был когда-то, в 2016 году он попал в заголовки газет после того, как 360 миллионов учетных записей пользователей попали в сеть LeakedSource.com и были выставлены на продажу на рынке даркнета The Real Deal по запрашиваемой цене в 6 биткоинов (около 3000 долларов на тот момент).
По данным компании, потерянные данные включали адреса электронной почты, пароли и имена пользователей для «части учетных записей, которые были созданы до 11 июня 2013 года на старой платформе Myspace. Чтобы защитить наших пользователей, мы аннулировали все пароли пользователей для затронутых учетных записей, созданных до 11 июня 2013 года на старой платформе Myspace. Этим пользователям, вернувшимся на Myspace, будет предложено аутентифицировать свою учетную запись и сбросить пароль, следуя инструкциям».

Предполагается, что пароли хранились в виде хешей SHA-1 первых 10 символов пароля, преобразованных в нижний регистр.

11. NetEase​

Дата: октябрь 2015 г.
Последствия: 235 миллионов учетных записей пользователей

NetEase, поставщик услуг почтовых ящиков через такие сайты, как 163.com и 126.com, как сообщается, пострадал от утечки в октябре 2015 года, когда адреса электронной почты и пароли в открытом виде, относящиеся к 235 миллионам учетных записей, продавались продавцом рынка даркнета DoubleFlag. NetEase утверждает, что утечки данных не произошло, и по сей день HIBP заявляет: «Хотя есть доказательства того, что сами данные являются законными (несколько подписчиков HIBP подтвердили, что используемый ими пароль присутствует в данных), из-за сложности решительной проверки утечки в Китае она была помечена как «непроверенная».

12. Судебные предприятия (Experian)​

Дата: октябрь 2013 г.
Последствия: 200 миллионов персональных записей

Дочерняя компания Experian Court Ventures стала жертвой в 2013 году, когда вьетнамец обманом предоставил ей доступ к базе данных, содержащей 200 миллионов персональных записей, выдавая себя за частного детектива из Сингапура. Подробности подвигов Хиеу Минь Нго стали известны только после его ареста за продажу личной информации жителей США (включая номера кредитных карт и номера социального страхования) киберпреступникам по всему миру, чем он занимался с 2007 года. В марте 2014 года он признал себя виновным по нескольким обвинениям, включая мошенничество с персональными данными, в Окружном суде США по округу Нью-Гемпшир. В то время Министерство юстиции заявило, что Нго заработал в общей сложности 2 миллиона долларов на продаже персональных данных.

13. ЛинкедИн[​

Дата: июнь 2012 г.
Последствия: 165 миллионов пользователей

LinkedIn во второй раз появляется в этом списке, на этот раз в связи с нарушением, которому он подвергся в 2012 году, когда он объявил, что 6,5 миллионов неассоциированных паролей (несоленые хеши SHA-1) были украдены злоумышленниками и размещены на российском хакерском форуме. Однако только в 2016 году был раскрыт полный масштаб инцидента. Было обнаружено, что тот же хакер, который продавал данные MySpace, предлагал адреса электронной почты и пароли около 165 миллионов пользователей LinkedIn всего за 5 биткойнов (около 2000 долларов на тот момент). LinkedIn признал, что был осведомлен о нарушении, и заявил, что сбросил пароли затронутых учетных записей.

14. Дубсмаш​

Дата: декабрь 2018 г.
Последствия: 162 миллиона учетных записей пользователей

В декабре 2018 года нью-йоркский сервис видеосообщений Dubsmash украл 162 миллиона адресов электронной почты, имен пользователей, хэшей паролей PBKDF2 и других персональных данных, таких как даты рождения, и все это было выставлено на продажу на рынке даркнета Dream Market в декабре следующего года. Информация продавалась как часть собранного дампа, в который также входили такие сервисы, как MyFitnessPal (подробнее об этом ниже), MyHeritage (92 миллиона), ShareThis, Armor Games и приложение для знакомств CoffeeMeetsBagel.

Dubsmash признал, что утечка и продажа информации имели место, и предоставил советы по смене пароля. Однако компания не сообщила, как злоумышленники проникли в систему, и не подтвердила, сколько пользователей пострадало.

15. Adobe​

Дата: октябрь 2013 г.
Последствия: 153 миллиона записей пользователей

В начале октября 2013 года Adobe сообщила, что хакеры украли почти три миллиона зашифрованных записей кредитных карт клиентов и данные для входа в систему для неопределенного числа учетных записей пользователей. Несколько дней спустя Adobe увеличила эту оценку, включив идентификаторы и зашифрованные пароли для 38 миллионов «активных пользователей». Затем блогер по безопасности Брайан Кребс сообщил, что файл, опубликованный всего за несколько дней до этого, «похоже, включает более 150 миллионов пар имен пользователей и хэшированных паролей, взятых из Adobe». Недели исследований показали, что взлом также раскрыл имена клиентов, пароли, а также информацию о дебетовых и кредитных картах. Соглашение в августе 2015 года предусматривало выплату Adobe 1,1 миллиона долларов в качестве судебных издержек и нераскрытую сумму пользователям для урегулирования претензий о нарушении Закона о записях клиентов и недобросовестной деловой практике. В ноябре 2016 года сумма, выплаченная клиентам, как сообщалось, составила 1 миллион долларов.

16. Национальные публичные данные​

Дата: декабрь 2023 г.
Последствия: 270 миллионов человек

Нарушение проверки биографических данных компании National Public Data раскрыло данные сотен миллионов людей путем раскрытия примерно 2,9 миллиарда записей. В результате взлома в декабре 2023 года украденные данные были выставлены на продажу в даркнете хакерской группой USDoD в апреле 2024 года. Большая часть украденных данных была слита и размещена в свободном доступе в виде дампа объемом 4 ТБ на форуме киберпреступности в июле 2024 года.

Инцидент, который стал достоянием общественности только после подачи коллективного иска в августе 2024 года, раскрыл номера социального страхования, имена, почтовые адреса, адреса электронной почты и номера телефонов 270 миллионов человек, в основном граждан США. Большая часть данных, включая информацию, касающуюся резидентов Канады и Великобритании, по-видимому, устарела или неточна, но последствия раскрытия такого большого количества личной информации тем не менее серьезны. По оценкам, 70 миллионов строк записей охватывают судимости США.

Механизм первоначального взлома остается неподтвержденным, но журналист-расследователь Брайан Кребс сообщает, что вплоть до начала августа 2024 года на сайте NPD recordscheck.net хранились имена пользователей и пароли администратора сайта в виде текстового архива.

В своем заявлении Jericho Pictures (которая торгуется как National Public Data) посоветовала людям внимательно следить за своими финансовыми счетами на предмет несанкционированной активности. National Public Data заявила, что работает с правоохранительными органами и правительственными следователями, добавив, что она просматривает потенциально затронутые записи, чтобы понять масштаб нарушения. Она «попытается уведомить» затронутые стороны, если будут «дальнейшие существенные изменения».

Эксперты советуют потребителям рассмотреть возможность заморозки кредита в трех основных бюро (Equifax, Experian и TransUnion) и использования услуг по защите от кражи персональных данных в качестве потенциальных мер предосторожности.

17. Эквифакс​

Дата: 2017 г.
Последствия: 159 миллионов записей

В 2017 году кредитное бюро Equifax пострадало от утечки данных, которая затронула 147 миллионов граждан США и 15 миллионов британцев. Имена, номера социального страхования, даты рождения, адреса, а также водительские права более 10 миллионов были раскрыты после того, как злоумышленники воспользовались уязвимостью веб-безопасности, чтобы взломать системы Equifax. В результате утечки также были раскрыты данные кредитных карт небольшой группы из 209 000 человек.

Злоумышленники взломали системы Equifax в период с мая по июль 2017 года, воспользовавшись незакрытой уязвимостью Apache Struts, чтобы взломать портал разрешения споров кредитного бюро. Исправления для эксплуатируемой уязвимости были доступны с марта 2017 года, за несколько месяцев до атаки. Struts — популярный фреймворк для создания веб-приложений на базе Java.
Киберпреступники продвигались горизонтально через свои точки входа, прежде чем украсть учетные данные, которые позволяли им запрашивать его базы данных, систематически перекачивая украденные данные. Власти США обвинили четырех поименованных членов китайских военных в организации взлома. Китайские власти отрицают какую-либо причастность к атаке.

Equifax столкнулась с многочисленными судебными исками и государственными расследованиями после взлома. Кредитное бюро потеряло около 1,7 млрд долларов из-за взлома, не принимая во внимание влияние на стоимость его акций. Equifax потратила около 337 млн долларов только на улучшение своих технологий и безопасности данных, юридические и компьютерные судебные издержки и другие прямые расходы.

18. eBay​

Дата: 2014 г.
Последствия: 145 миллионов записей

Взлом онлайн-площадки eBay в период с конца февраля по начало марта 2014 года раскрыл конфиденциальную личную информацию примерно 145 миллионов учетных записей пользователей. Киберпреступники получили доступ к системам eBay после компрометации небольшого количества учетных данных сотрудников.

Взлом позволил злоумышленникам получить доступ к конфиденциальной информации, включая зашифрованные пароли, адреса электронной почты, почтовые адреса, номера телефонов и даты рождения. Финансовая информация, включая данные об учетных записях PayPal, хранилась в отдельной системе и, следовательно, не была затронута взломом. В ответ на инцидент eBay применил принудительный сброс паролей пользователей.

Источник
 
Top