Най-големите нарушения на данните в историята

С историята на почти 9 000 нарушения на данни в САЩ през последните 12 години, е сигурен залог, че всяка електронна информация, свързана с вас, е изложена на риск или вече е била компрометирана поне веднъж. Както казва Джеймс Коми, бившият директор на ФБР, „има два вида компании. Тези, които са били хакнати, и тези, които все още не знаят, че са били хакнати. “

Необходимостта от онлайн поверителност и анонимност нараства с всяко нарушение, което се случи, и изглежда няма край в полезрението. Всяка корпорация събира информация на своите клиенти, клиенти и дори случайни хора. Големите корпорации инвестират милиарди долари всяка година в системи за събиране на данни, технологии на бази данни, за да ги съхраняват, скъпи сървъри с огромни количества хранилище и анализатори на данни, за да имат смисъл от това.

Това не е просто игра за бизнеса. Разузнавателните агенции по целия свят се събират и се опитват да осмислят информацията като основна програма. Нещастната ирония е, че изглежда, че много компании изпитват липса на загриженост да запазят тази информация безопасна и извън ръцете на другите, след като я получат. Ако тя попадне в грешни ръце, има различни потенциални последствия за участващите, включително повишен риск да станат жертва на престъпления, като схеми за фишинг на копие, атаки за извличане на софтуер и кражба на самоличност.

Списъкът по-долу показва годишна разбивка на най-голямото от тези нарушения на данни, като минимум 10 милиона записи са изложени на риск от излагане на неоторизирани лица. Обърнете внимание, че общият брой на цитираните нарушения се отнася до нарушения, свързани с американски компании или които са засегнали американските клиенти.

Нарушения на данните по години

[year]

[year] г. се оказва голяма година за нарушенията на данните, като няколко нарушения вече излагат стотици милиони жертви по целия свят. Голяма част от вниманието тази година изглежда е насочено към големи сметища от събрани и събрани лични данни, продавани в масивни файлове в тъмната мрежа.

Dropbox, LinkedIn и други

Размер на нарушението: 2.2B

Хакерите са събрали, раздали и изхвърлили над 2,2 милиарда откраднати записи от по-голям брой уебсайтове, включително Dropbox и LinkedIn. Изглежда, че тези данни се събират и комбинират от няколко години и сега се пускат в тъмната мрежа за продажба. Първият от тези сметища на откраднати данни, наречен Колекция №1, включва потребителски имена и пароли.

Google Cloud сървър (неизвестен собственик)

Размер на нарушението: 1.2B

Изследователят по сигурността Вини Троя откри необезпечен сървър на Google Cloud, съдържащ 1,2 милиарда потребителски записи. Въпреки че не бяха разкрити интензивно чувствителни данни, като пароли и финансова информация, сървърът съдържаше имейл адреси, профили в социалните медии и дори потенциални нива на доходи. Такава информация може да се използва за спам, кибератаки или хакерски цели.

Evite, MindJolt, Wanelo и др

Размер на нарушението: 1B

Хакер с името “Gnosticplayers” е разтоварил близо 1 милиард потребителски записи през първите няколко месеца на [year] г. Информацията включва потребителски имена, имейл адреси, IP адреси и пароли от няколко уебсайта, включително Evite, MindJolt и Wanelo, сред няколко други.

Първи американец

Размер на нарушението: 900M

Застрахователната компания First American остави 900 милиона чувствителни клиентски досиета, изложени за повече от 2 години. Изложената информация включва номера на банкови сметки, извлечения от банкови сметки, номера на социалното осигуряване, изображения на шофьорски книжки и други, които възлизат на повече от достатъчно информация за успешна кражба на самоличност и пари от жертви. Не е ясно дали някоя от изложените данни е била незаконно достъпна.

Dubsmash, MyFitnessPal, MyHeritage и др

Размер на нарушението: 600M

Хакер успешно продаде над 600 милиона записи от множество сайтове в тъмната мрежа за $ 20 000 в Bitcoin. Записите идват от множество компании и уебсайтове, включително Dubsmash (162 милиона), MyFitnessPal (151 милиона), MyHeritage (92 милиона), ShareThis (41 милиона), HauteLook (28 милиона), EyeEm (22 милиона), 8fit (20 милиона) , Whitepages (18 милиона) и други.

Facebook

Размер на нарушението: 540M

Два неправилно конфигурирани Amazon AWS сървъра разкриха над 540 милиона информация за акаунта на Facebook. Единият беше собственост на мексиканската компания Cultura Colectiva и остави уязвими идентификатори и коментари във Facebook. Вторият сървър, собственост на играта „При басейна“ във Фейсбук, изложи още по-чувствителна информация, включително някои обикновени пароли, снимки, регистрации, харесвания и интереси, наред с други данни.

Zynga (Думи с приятели)

Размер на нарушението: 218M

В доклад за инвеститорите от 12 септември създателят на Words with Friends Zynga обяви, че сървърите му са били хакнати от външен източник. Според компанията достъпа до информация за потребителските акаунти, но Zynga предложи оскъдни подробности за естеството на нарушението. Въпреки това, хакерът (или хакерската група), известен като gnosticplayers, по-късно обяви отговорността за хака. Откраднатите данни, за които се твърди, включват имена на играчи, имейл адреси, идентификатори на Facebook, символи за нулиране на паролата и идентификационни номера на акаунта на Zynga.

Mountberg Limited

Размер на нарушението: 100M

През януари група за хазартни игри изложи над 100 милиона потребителски залози и други подробности за потребителите. Необезпечен екземпляр ElasticSearch на сървъра на компанията разкри данни за потребителя, като суми на залог и тегления.

Неизвестен собственик

Размер на нарушението: 80M

Изследователите откриха необезпечена база данни, съдържаща лична информация за над 80 милиона домакинства и семейства в САЩ. Информацията за изтеклата включва адреси, приблизително географско местоположение по дължина и географска ширина, възрасти, рождени дати, доходи, семейно положение, състояние на собственика на жилището, тип жилище и други.

LinkedIn

Размер на нарушението: 60M

Изследовател по сигурността установи, че множество бази данни изглежда са изтекли над 60 милиона информация на клиентите на LinkedIn. Въпреки че LinkedIn съобщи, че това не е тяхната база данни, изглежда, че изтеклата база данни може да съдържа публично достъпни данни за профила, изтрити от сайта от трета страна.

Facebook

Размер на нарушението: 49M

Слабата сигурност в сървъра на Amazon Web Services остави изложени на милиони акаунти в Instagram. Собственост на базираната в Индия компания за маркетинг на социални медии Chtrbox, местоположенията и личната информация за контакт на над 49 милиона „влиятелни“ в Instagram бяха лесно достъпни. Сметките включват също колко струва всеки акаунт на влиянието въз основа на няколко показателя, включително броя на последователите и ангажираността.

Instagram

Размер на нарушението: 14M

Изследовател по киберсигурност, използващ услугата Shodan, откри над 14 милиона данни за акаунта в Instagram, включително имена на профили, връзки към снимки на профили и друга информация, на необезпечен сървър със седалище във Великобритания. Не беше ясно кой е собственик на сървъра или събира данните.

Стълби 

Размер на нарушението: 13M

Незащитена база данни на AWS ElasticSearch за работния сайт Стълби разкри 13 милиона потребителски акаунта и профили. Беше изложена информация за търсещите работа, като имена, имейл адреси, телефонни номера, геолокация, текущи и желани заплати, история на заетостта и американски статут на виза H1-B. Личната информация на работодателите и наемателите също беше изложена.

Квест диагностика

Размер на нарушението: 11.9M

През юни Американската агенция за медицинска колекция, доставчик на медицински услуги за фактуриране и кодиране, съобщи, че нейната страница за плащане за Quest Diagnostics е нарушена. Изложени бяха близо 12 милиона медицински и финансови записи на клиенти. Нарушението продължи между 22 август и 30 март. Порталът за разплащания беше свален и мигриран към трета страна в отговор.

Митнически граничен патрул на САЩ

Размер на нарушението: Неизвестен (следващ)

През юни митническият граничен патрул на САЩ съобщи, че неразкрит брой биометрични данни са били откраднати от федерален подизпълнител. Данните включват изображения на регистрационни табели и лични снимки на пътници, преминаващи в и извън САЩ. CBP съобщи, че неназованият подизпълнител прехвърля тези данни от правителствените сървъри на собствените си сървъри без разрешение, където данните след това са били откраднати след хак.

[year]

През [year] г. се случиха 700 докладвани нарушения, като в 11 от тях бяха включени повече от 10 милиона записа.

Marriott International

Размер на нарушението: 500M

До 500 милиона гости на Marriott International може да са участвали в това масово нарушение, което започна през 2014 г. Повече от 320 милиона данни на клиенти бяха нарушени, включително имена, адреси и номера на паспорти, което накара много гневни гости да поискат Marriott да плати за издаване на нови паспорти.

Exactis

Размер на нарушението: 340M

През юни [year] г. фирмата за маркетинг и събиране на данни Exactis изтече близо 340 милиона записа на сървър, до който обществеността може да бъде достъпна. Беше включена информация за физически лица и фирми, включително телефонни номера, домашни адреси и имейл адреси.

Под бронята

Размер на нарушението: 150M

Приблизително 150 милиона потребители на приложението за храна и хранене на Under Armour, MyFitnessPal, може да са изложили информацията си. Смята се, че данните, участващи в теча, включват имейл адреси, потребителски имена и хеширани пароли.

MindBody – FitMetrix

Размер на нарушението: 113M

Софтуерът за фитнес FitMetrix – който беше придобит от MindBody по-рано през [year] г. – беше замесен в нарушение, което засегна над 113 милиона записа, въпреки че броят на потребителите, с които се свързва, е неизвестен. Нарушението е открито от изследовател по сигурността, който установи, че три от сървърите на FitMetrix са незащитени и текат данни.

Capital One Bank

Размер на нарушението: 106M

На 29 юли Capital One Bank обяви, че е претърпяла огромно нарушение на данните, което се е случило някъде между март и юли. Нарушението разкри 100-те милиона клиенти в САЩ и 6 милиона клиенти в Канада. Въпреки че нарушените данни се съдържат най-вече за имена, адреси, телефонни номера и кредитни оценки, около 140 000 клиенти в Канада са изложени номера за социално осигуряване, докато 80 000 клиенти в САЩ са излагали номера на банкови сметки.

Към момента на докладването си виновникът, 33-годишният софтуерен инженер Пейдж Адел Томпсън, беше задържан от Федералното бюро за разследвания. Съобщава се, че Томпсън публикува за нарушението в GitHub и се похвали за това в Twitter и приложението за чат Slack. Изглежда, че Томпсън е откраднал данните от един Capital Capital, хостван от Amazon Web Services.

Facebook

Размер на нарушението: 50M

През септември [year] г. бе открито нарушение на сигурността на данните под формата на грешка, което позволи на нападателите да поемат контрола върху акаунта на хората във Facebook. Известно е, че са засегнати 50 милиона акаунти, но до 40 милиона повече може да са замесени.

Facebook (Cambridge Analytica)

Размер на нарушението: 50M

Преди горното нарушение излезе наяве скандалът с Cambridge Analytica. Фирмата за анализ на данни е имала достъп и съхранява личните данни на 50 милиона потребители във Facebook чрез трета страна изследовател. Придобиването на данните нарушаваше Общите условия на Facebook и като такова представляваше значително нарушение на потребителската информация.

Localblox

Размер на нарушението: 48M

Localblox е подобен на Cambridge Analytica по това, че изстъргва информация от обществено достъпни източници за създаване на профили. Той съхранява данни в необезпечен контейнер, факт, открит от UpGuard, фирма за изследване на киберсигурността. Около 48 милиона потребителски профила се съхраняват без парола и въпреки че Localblox предприе незабавни действия, не е ясно дали някой друг е получил междувременно 1,2 TB данни.

Chegg

Размер на нарушението: 40M

40 милиона потребители на компания за наемане на учебници и уроци, Chegg, и нейното семейство от марки бяха информирани през септември [year] г., че техните лични данни може да са изложени на неоторизирана страна, която получи достъп до база данни на компанията. Информацията за изтекла включва имена, пароли, имейл адреси и адреси за доставка.

Ticketfly

Размер на нарушението: 27M

Злоумиеща кибератака доведе до личната информация на около 27 милиона притежатели на акаунти в Ticketfly. Данните на клиентите, които бяха нарушени, включваха имена, адреси, имейл адреси и телефонни номера.

Пчелата Сакраменто

Размер на нарушението: 19M

След като компанията остави повече от 19 милиона записи на избиратели, изложени в интернет, като не успя да възстанови защитната защитна стена на своя сървър, атака срещу откуп стартира от злонамерени хакери. Вестникът отказа да плати откупа и уведоми избирателите за нарушението.

SaverSpy

Размер на нарушението: 11M

През септември [year] г. данните от почти 11 милиона потребители бяха изтекли от база данни на фирмите за е-маркетинг поради необезпечен сървър. Съобщава се, че има имена, имейл адреси, данни за пола и физически адреси. Смята се, че базата данни е принадлежала на компания на име SaverSpy.

DoorDash

Размер на нарушението: 4.9M

Близо 5 милиона клиенти, шофьори и търговци на DoorDash са имали изключително чувствителни данни, разкрити в нарушение, съобщи DoorDash. В нарушението, което се съобщава през май [year] г., бяха откраднати имена, имейл адреси, физически адреси, телефонни номера и история на поръчките. Откраднати са и хеширани и осолени пароли, както и последните четири цифри (но не и CVV) на някои кредитни карти..

[year]

Има съобщения за 853 нарушения през [year] г., като девет от тях са направили списъка.

Речни градски медии

Размер на нарушението: 1.37B

Огромна база данни с над 1,37 милиарда имейл адреси беше изложена поради неправилно конфигуриран архив. Някои от тези записи съдържаха допълнителни подробности като имена, физически адреси и IP адреси. Течът също така разкри цялата работа на River City Media, включително подробности като бизнес планове, дневници на Hipchat, акаунти и други. River City Media е един от най-големите доставчици на спам в света, според новинарския репортаж.

Анализ на дълбоки корени

Размер на нарушението: 198M

База данни, съдържаща политическа информация за над 198 милиона американски избиратели, беше открита в облачна система за съхранение в Amazon без никаква форма на защита на паролата. Републиканският национален комитет нае Deep Root Analytics за събиране и анализ на данните, състоящи се от имена, дати на раждане, домашни адреси, телефонни номера и регистрации на избиратели. Оттогава Deep Root Analytics пое пълната отговорност за нарушението и прилага подобрени мерки за сигурност на данните.

Equifax

Размер на нарушението: 145M

Повече от 145 милиона записа, включително номера за социално осигуряване, номера на кредитни карти, номера на шофьорски книжки и имена, бяха нарушени в една от трите основни агенции за кредитно отчитане в САЩ.

Тестове за име

Размер на нарушението: 120M

През [year] г. беше разкрито, че Nametests.com, уебсайтът, който отговаря за популярно приложение за тестове във Facebook, има недостатък, който публично изложи подробности за своите над 120 милиона потребители.

Моето наследство

Размер на нарушението: 92M

Това нарушение бе обявено през [year] г., но всъщност се случи през октомври [year] г. и включваше повече от 92 милиона данни на клиенти. Изследовател по сигурността откри информацията, включваща имейл адреси и хеширани пароли, на частен сървър, който не принадлежи на MyHeritage.

T-Mobile

Размер на нарушението: 76M

Дупка за сигурност в уебсайта на T-Mobile даде възможност на нападателите да използват телефонен номер за достъп до подробности за акаунта, включително имейл адреси и IMSI код на телефона на телефона. Възможно е до 76 милиона потребители да бъдат засегнати.

Панера хляб

Размер на нарушението: 37M

Нарушаването на Panera Bread започна през [year] г., но очевидно не се предприемат действия до [year] г. Имената, имейл адресите, домашните адреси и телефонните номера на до 37 милиона клиенти са изтекли от сайта с обикновен текст. Последните четири цифри от номерата на кредитните карти на клиентите също бяха включени.

сивокафяв & Bradstreet

Размер на нарушението: 33M

Открито бе, че от Дън са изтекли записи от търговска корпоративна база данни за повече от 33 милиона души & Bradstreet. От участващите хора над 100 000 са работили за Министерството на отбраната и над 70 000 са за големи финансови институции. Макар че информацията не би се считала за чувствителна информация (тя включва неща като имейл адреси, заглавие на работа и адрес на компанията), в неправилни ръце, би направила извършването на измами като фишинг на китове и китолов далеч по-просто.

Zomato

Размер на нарушението: 17M

Хакер на DarkNet продава база данни, която включва имейли и хеши за пароли на 17 милиона регистрирани потребители на Zomato.

2016

Съобщава се за 823 нарушения на данни през 2016 г., като осем от тях достигат над 10 милиона.

FriendFinder мрежа

Размер на нарушението: 412M

Над 412 милиона акаунта, представляващи 20 години лични данни на потребителите, включително имейл адреси, пароли, потребителски имена, контура на базата данни, сайтове в мрежата, посещавани от потребители, данни за регистрация на сайта и много други.

Моето пространство

Размер на нарушението: 360M

Над 360 милиона потребителски имена и пароли бяха откраднати от MySpace. Паролите бяха запазени като „несолени хешове SHA-1“ и бяха разбити с помощта на крекинг сървър, способен да изпълнява милиони изчисления на SHA-1 в секунда.

LinkedIn

Размер на нарушението: 167M

Смята се, че между 117 милиона и 167 милиона записа са откраднати от популярната бизнес социална мрежа, включително имейл адрес на потребителя, хеширани пароли и идентификационни номера на LinkedIn. Твърди се, че нарушението е започнало през 2012 г., но през 2016 г. данните са били продадени онлайн.

Dailymotion

Размер на нарушението: 85.2M

Имейл адресите и потребителските имена на приблизително 85,2 милиона потребители на един от най-популярните сайтове за видео споделяне в интернет бяха достъпни през 2016 г. Около една пета от тези акаунти също бяха копирани своите хеширани пароли, но паролите бяха шифровани с доста силен криптиране, което ги затруднява да се напукат или отгатнат.

Uber

Размер на нарушението: 57M

57 милиона имена на клиенти и шофьори, имейл адреси и телефонни номера бяха хакнати през 2016 г. Тогава Uber се опита да прикрие нарушението, като изплати нападателите, които „обещаха“ да изтрият данните. Новините за нарушението се счупиха през ноември [year] г..

Weebly

Размер на нарушението: 43.4M

Откраднати са 43,4 милиона записа, но средствата, с които е извършена тази кражба, все още не са известни. Известно е, че компрометираните данни съдържат имейл адреси, потребителски имена, пароли и регистрирани IP адреси на компютри на потребители.

кикотене

Размер на нарушението: 32M

32 милиона идентификационни данни за вход, включително обикновени текстови пароли, приключиха за продажба онлайн. Изглежда, че данните са били откраднати директно от потребителите, а не от хак на сървърите на Twitter.

FourSquare

Размер на нарушението: 22.5M

Повече от 22,5 милиона записа очевидно са взети от публично достъпни източници. Записите съдържаха FourSquare потребителски имена, имейл адреси и Twitter и Facebook ID.

2015

За 2015 г. се съобщава за 547 нарушения на данните, но седем от тях са доста големи загуби.

База данни за избиратели

Размер на нарушението: 191M

В интернет беше намерена публично достъпна база данни, пълна с информация за 191 милиона американски избиратели. Базата данни съдържа имена, домашни адреси, идентификационни номера на избирателите, телефонни номера, дати на раждане, политическа принадлежност и подробна история на гласуването от 2000 г..

химн

Размер на нарушението: 80M

Бяха откраднати над 80 милиона записи, състоящи се от имена, рождени дни, медицински документи за самоличност, социалноосигурителни номера, улични адреси, имейл адреси и информация за заетостта и доходите, като нарушението започва още през 2014 г. На 27 юни [year] г. Anthem се съгласи да споразумение за 115 милиона долара за вреди, причинени от това нарушение.

Ашли Медисън

Размер на нарушението: 37M

Потребителските бази данни, финансовите записи и друга поверителна информация на компанията бяха изтеглени до обществото. 37 милиона потребителски записи бяха откраднати и изхвърлени в DarkNet. Хакерите се опитаха да изнудват Ашли Мадисън да затворят уебсайта или открадната база данни ще бъде пусната на обществеността, излагайки всички нейни потребители. Ашли Мадисън отказа да се съобрази и данните бяха освободени, заедно с няколко бази данни copycat, съдържащи невярна информация.

Служба за управление на персонала във Вашингтон, окръг Колумбия

Размер на нарушението: 21.5M

Това включва 21,5 милиона записа в база данни с държавни служители и по-конкретно, всеки, който е кандидатствал за разрешение за сигурност от 2000 г. SSNs и информация, свързана с това, което служителите искат по време на интервюта за разрешаване на сигурността, са изтекли..

T-Mobile клиенти на Experian

Размер на нарушението: 15M

15 милиона записа на потенциални клиенти на T-Mobile, които са извършили проверки за кредит от Experian, са нарушени. Записите се състоеха от имена, адреси, социалноосигурителни номера, дати на раждане и различни идентификационни номера, включително паспорти, шофьорски книжки и военни идентификационни номера.

Син кръст на Премера

Размер на нарушението: 11M

Това включва 11 милиона записа на медицински досиета и лична и финансова информация, включително номера на банкови сметки, номера на социално осигуряване, дати на раждане, имена, адреси и „друга лична информация.“

Син щит на Excellus BlueCross

Размер на нарушението: 10M

Изглежда, че това беше годината за нарушения в здравната индустрия, тъй като още една огромна атака удари здравния застраховател, Excellus BlueCross Blue Shield. Информацията на повече от 10 милиона индивида беше изтекла.

2014

Съобщени са 869 нарушения с пет над 10-милионния рекорден праг.

Yahoo

Размер на нарушението: 500M

Това нарушение действително се случи през 2014 г., но не беше обявено или признато от Yahoo едва две години след факта. Достъпът до базата данни съдържа записи на над 500 милиона потребители на Yahoo, включително имена, телефонни номера, имейл адреси, хеширани пароли, дати на раждане и „криптирани или нешифровани въпроси и отговори за сигурност“.

Руски хакерство открит от Hold Security

Размер на нарушението: 500M

Впечатляваща база данни от над милиард потребителски имена и пароли, заедно с над 500 милиона имейл адреси беше открита в DarkNet от охранителна фирма. Явно това беше работа на руска банда от хакери, която събира информация от стотици хиляди уебсайтове.

иБей

Размер на нарушението: 145M

Това нарушение включва загуба на данни от над 145 милиона записа. Хакерите получиха достъп до потребителската база данни на eBay, използвайки идентификационни данни за вход на служители. Копираните данни се състоят от имейл адреси, криптирани пароли, дати на раждане и пощенски адреси.

JP Morgan Chase

Размер на нарушението: 76M

76 милиона банкови сметки бяха достъпни от руски хакери, някои от които бяха само модифицирани, а други – напълно заличени.

Домашното депо

Размер на нарушението: 56M

Домашното депо се удари два пъти през 2014 г. През февруари трима служители бяха заподозрени в кражба на 30 000 записа. След това през септември той отново беше засегнат за подробности за 56 милиона кредитни и дебитни карти поради хак на системите за продажба в над 2200 магазина в САЩ.

2013

През 2013 г. бяха отчетени 890 нарушения на данните, пет от които достигнаха над 10 милиона.

Yahoo

Размер на нарушението: 1B

Повече от 1 милиард акаунти бяха компрометирани през 2013 г., но това нарушение беше оповестено публично до 2016 г. и най-вероятно няма връзка с 500 милиона записа, откраднати през 2014 г. Yahoo обвини най-голямото нарушение в историята на хакери, работещи от името на правителството. Натрапниците използвали подправени бисквитки за достъп до потребителски акаунти без паролите си.

Target Corp.

Размер на нарушението: 110M

До 110 милиона записи на разплащателни карти бяха откраднати по време на Деня на благодарността и коледните празници на 2013 г. Този инцидент беше използван като прецедент за приемане на законодателство в САЩ, прилагащо технологията за чип карти.

Tumblr

Размер на нарушението: 65M

През 2013 г. хакерите получиха достъп до повече от 65 милиона пароли на потребители на Tumblr, въпреки че нарушението не беше съобщено до 2016 г..

Evernote

Размер на нарушението: 50M

Най-голямата загуба на данни през 2014 г. с изложени 50 милиона записа. На потребителите беше казано да възстановят паролите си след атаката.

LivingSocial

Размер на нарушението: 50M

До 50 милиона членски акаунта са изложени на риск от копиране, състоящи се от имена, имейл адреси, дати на раждане и шифровани пароли. По онова време приблизително 29 милиона души са използвали LivingSocial, мнозина с множество акаунти.

кирпич

Размер на нарушението: 38M

Откраднати са потребителски акаунти до 38 милиона потребители на Adobe. Adobe изпрати известие до всички засегнати потребители, предупреждавайки ги да променят паролите си и да следят за подозрителна активност в техните акаунти.

2012

За годината са отчетени 886 нарушения на данните, като две от тях са съставили списъка.

Dropbox

Размер на нарушението: 68M

68 милиона потребители на Dropbox са копирали своите имейл адреси и хеширани пароли. След това те получават спам съобщения, в които подателят се представя като Dropbox.

Zappos.com

Размер на нарушението: 24M

24 милиона потребителски акаунта бяха открити като достъп, включително имена, имейл адреси, адреси за фактуриране и доставка, телефонни номера, последните четири цифри от номера на кредитни карти и евентуално криптирани пароли.

2011

За 2011 г. са регистрирани 793 нарушения на данните, като четири от тях са загубени или изложени на риск от над 10 милиона записа.

Епсилон

Размер на нарушението: 50-250M

Това нарушение на данни се случи на места между 50-250 милиона записа. Epsilon съобщи, че са откраднати само имейл адреси и имена. Клиентите бяха предупредени да очакват фишинг имейли.

Sony, PlayStation Network

Размер на нарушението: 77M

77 милиона потребители на PlayStation Network (PSN) и повече от 24 милиона клиенти на Sony Online Entertainment бяха засегнати през този хак за 2011 г. Пропуснатите данни включват имена, адреси, имейл адреси, дати на раждане, идентификационни данни за вход за PSN и Qriocity и PSN идентификатори и дръжки. Предполага се, че хакерите също могат да имат достъп до историята на покупките, адресите за фактуриране и въпросите на сигурността.

пара

Размер на нарушението: 35M

Хакерите се спряха на форум на Steam, който предизвика разследване, което разкри неоторизиран достъп до база данни, съдържаща имена на потребители, хеширани и осолени пароли, покупки на игри, имейл адреси, адреси за фактуриране и криптирана информация за кредитна карта на над 35 милиона потребители.

WordPress

Размер на нарушението: 18M

Хакерите са получили достъп до данни на няколко сървъра на WP, излагайки изходния код, ключовете за сигурност на API и паролите за социални медии на 18 милиона потребители на WordPress.

2010

За 2010 г. са отчетени 801 нарушения на данните, но само едно от тях направи списъка.

DeviantART, Silverpop Systems Inc.

Размер на нарушението: 13M

Най-голямото нарушение на данните през 2010 г. беше и единственото над 10 милиона при 13 милиона откраднати записи. Хакерите успяха да проникнат в deviantART чрез маркетинговата компания Silverpop Systems Inc. Изложената база данни се състоеше от потребителски имена, имейл адреси и дати на раждане на всички потребители на deviantART.

2009

270 нарушения на данните са докладвани за 2009 г., като три от тях са в нашия списък.

Heartland разплащателни системи

Размер на нарушението: 130M

130 милиона кредитни карти бяха откраднати чрез хак на този процесор на кредитни карти. Проблемът се засилва от закъсненията на процесора и неточните оповестявания относно нарушението. Един от извършителите е бил информатор на Тайните служби и заподозрян в хака на TJ Stores от предходната година.

САЩ военни ветерани

Размер на нарушението: 76M

76 милиона подробни записи са били изложени на риск да бъдат изложени, когато дефектният твърд диск е изпратен за ремонт, без първо да бъдат унищожени неговите данни. Дискът беше част от RAID масив от шест диска, който съдържаше база данни на Oracle, пълна с информация за ветерани. Задвижването беше счетено за непоправимо и след това отново беше изпратено до друго предприятие за рециклиране, без да бъде изтрито.

RockYou

Размер на нарушението: 32M

Един недостатък на инжектиране на SQL в базата данни на RockYou разкри целия им списък с потребителски имена, имейл адреси и пароли – около 32 милиона записа. Паролите бяха съхранени в обикновен текст, а базата данни включваше идентификационни данни за вход за различни социални мрежи като Facebook и MySpace.

2008

За 2008 г. са докладвани 355 нарушения на данните, като две от тях надхвърлят марката от 10 милиона.

Държавна финансова корпорация.

Размер на нарушението: 17M

Съобщава се, че бивш служител е откраднал и продавал чувствителни данни в 17 милиона профила на притежателите на акаунти. Трябва да се отбележи, че в цялата страна е било „момчето за плакати“ на кризата с кредитиране с предизборен достъп.

Bank of New York Mellon

Размер на нарушението: 12.5M

12,5 милиона записа, съдържащи имена, номера на социалното осигуряване и евентуално номера на банковите сметки, са били „изгубени“, когато кутия резервни ленти пристига в склад, като липсва една лента.

2007

Съобщава се за 456 нарушения на данни през 2007 г., като едно от тях включва повече от 10 милиона записа.

TJ Магазини

Размер на нарушението: 100M

Над 100 милиона загубени записи, състоящи се от номера на кредитни и дебитни карти; записи за връщане на стоки, съдържащи имена и номера на шофьорски книжки, както и номера на сметки на кредитни карти. Специална забележка: първичният хакер Алберт Гонзалес обжалва присъдата си през 2011 г. с мотива, че действа с разрешение от Тайната служба. Правителството на САЩ призна, че по онова време Гонсалес е бил ключов информатор под прикритие на Тайната служба. Г-н Гонзалес обвини адвокатите си, че не използват тази информация като част от защитата си.

2006

За тази година са регистрирани 482 нарушения на данните. Две от тези нарушения надминаха 10-милионната рекордна марка.

Департамент по въпросите на ветераните в САЩ

Размер на нарушението: 26.5M

Устройство за съхранение на лаптоп и компютър, съдържащо чувствителни данни за 26,5 милиона ветерани, бяха откраднати от дома на неидентифициран служител на Департамента по ветераните. Информацията се състоеше от имена, социалноосигурителни номера, дати на раждане, телефонни номера и адреси на всички американски ветерани, освободени от 1975 г. Лаптопът и устройството за съхранение бяха възстановени почти два месеца по-късно. Според разследване на ФБР данните не са били копирани. Въпреки това, VA все още носи отговорност за неефективни политики за сигурност на данните и пренебрегва да предприема подходящи мерки за сигурност по отношение на такива чувствителни данни.

iBill

Размер на нарушението: 17M

Над 17 милиона записа бяха публикувани онлайн, съдържащи имена, телефонни номера, адреси, имейл адреси, IP адреси, идентификационни данни за вход, видове кредитни карти и суми за покупка. Не е ясно дали нарушението е дело на нечестен вътрешен или злонамерен софтуер, инжектиран в системите на iBill.

2005

136 нарушения на данните, отчетени за годината, само с едно от тях над минимум 10 милиона.

CardSystems

Размер на нарушението: 40M

40 милиона сметки за кредитни карти бяха изложени поради нарушение на сигурността, което се случи при трети доставчик. Изложената информация включва имена, номера на карти и кодове за сигурност на картата. CardSystems подаде заявление за несъстоятелност през май 2006 г. През 2009 г. беше разкрито, че CardSystems съхранява нешифрована информация за кредитната карта на своите сървъри.

2004

Доста смешно, единственото нарушение на данните, за което имаме информация през 2004 г., беше също доста съществено.

AOL

Размер на нарушението: 92M

Бивш софтуерен инженер на AOL открадна 92 милиона имейл адреси, принадлежащи на приблизително 30 милиона потребители. След това той продаде списъка с адреси на мъж в Лас Вегас, който започна да спами списъка с реклама за уебсайт за офшорни хазартни игри. Дори съдията, участващ в делото, призна за анулиране на своя имейл акаунт AOL заради всички спам.

Най-големи нарушения извън САЩ

През годините е имало и доста масови нарушения в различни други части на земното кълбо. Ето някои от най-известните:

Verifications.io, Индия ([year])

Размер на нарушението: 800M

Неосигурена маркетингова база данни за имейл разкрива над 800 милиона потребителски записи. Нарушените данни съдържаха входни данни в социалните медии, пол, дата на раждане, ипотечни суми и лихви.

Aadhaar, Индия ([year])

Размер на нарушението: 1.1B

Нарушаването на данните би могло потенциално да рискува данните на всички 1,1 милиарда граждани на Индия. В началото на януари анонимните продавачи на WhatsApp предлагаха достъп до всеки номер на Aadhaar и свързаните с него подробности, включително име, адрес, телефонен номер, снимка и имейл адрес. Информацията се продаваше с опция софтуер за отпечатване на лични карти, вероятно за използване при кражба на самоличност и други престъпления.

Интерпарк, Южна Корея ([year])

Размер на нарушението: 10M

През [year] г. Южна Корея обвини Северна Корея в кражба на данните на 10 милиона клиенти на онлайн мола Interpark в опит да се сдобие с чуждестранна валута.

Telegram, Иран ([year])

Размер на нарушението: 15M

През [year] г. иранските хакери са обвинени, че са проникнали в ултра сигурна услуга за незабавни съобщения, като компрометират дузина акаунти. Хакът изложи на хакерите 15 милиона потребители на телефони. Това ще позволи на хакерите да добавят нови устройства в акаунта на потребителя и да им дадат достъп до историята на чата, както и до новите съобщения.

Mossack Fonseca, Панама (2016)

Размер на нарушението: 11.5M

Тази панамска адвокатска кантора е специализирана в създаването на анонимни офшорни компании. Течът е на 11,5 милиона криптирани документи като имейли, PDF файлове, снимки и откъси от вътрешна база данни. Основната цел на тази колекция изглежда да скрие истинските собственици на няколко от офшорните компании, продадени от Mossack Fonseca. Като се има предвид, че голяма част от информацията, съхранявана в тези файлове, включва доказателства за незаконни дейности, желанието за анонимност е доста очевидно.

База данни за турското гражданство, Турция (2016)

Размер на нарушението: 49.6M

В интернет беше открита база данни, съдържаща 49,6 милиона записи – цялото турско гражданство – с имена, национални документи за самоличност, имена на родители, пол, град на раждане, дата на раждане, регистрация на лична карта и област и техния пълен адрес.

Филипинската комисия по избори, Филипини (2016)

Размер на нарушението: 55M

База данни, съдържаща всеки регистриран избирател във Филипините, около 55 милиона души, изтече онлайн. Изтичането дойде по петите на делегацията на Филипинската комисия на уебсайта за избори.

Корейско бюро в Корея, Южна Корея (2014 г.)

Размер на нарушението: 20M

Временният консултант беше арестуван и обвинен в кражба на данни от банкови и кредитни карти на 20 милиона потребители на кредитното бюро.

Yahoo Япония, Япония (2013)

Размер на нарушението: 22M

22 милиона потребителски акаунта бяха изложени на риск при опит за достъп до административни части на сървърите на Yahoo Japan. Според Yahoo не е открадната никаква лична информация.

Съдебни предприятия, Виетнам (2012)

Размер на нарушението: 200M

Court Ventures се занимаваше с продажба на кредитна информация на услуга за кражба на самоличност във Виетнам, което доведе до над 200 милиона записа, продадени за няколко години. Тези записи включват финансови данни, кредитно състояние, социалноосигурителни номера и банкова информация.

Blizzard, Китай (2012)

Размер на нарушението: 14M

Играчите на Diablo III, Starcraft II и World of Warcraft, около 14 милиона геймъри, бяха информирани за нарушаване на данните, които излагат своите потребителски акаунти на Blizzard.net в риск. Шифрованите пароли, отговорите на въпросите за сигурност и имейл адресите на потребители извън Китай бяха откраднати в нарушение.

178.com, Китай (2011)

Размер на нарушението: 10M

Хакерите откраднаха 10 милиона потребителски акаунта от китайския сайт за игри, заедно с няколко други сайтове за игри в Китай.

Nexon Korea Corp, Южна Корея (2011)

Размер на нарушението: 13.2M

13,2 милиона абонати на онлайн игра в Корея бяха откраднати чрез хакване на сървърите на сайта.

Тианя, Китай (2011)

Размер на нарушението: 28M

28 милиона ясни текстови пароли и 40 милиона потребителски акаунта се появиха в DarkNet от 12-ия най-популярен уебсайт в Китай по това време.

Auction.co.kr, Южна Корея (2008)

Размер на нарушението: 18M

Записите на 18 милиона членове на този южнокорейски търг са били откраднати от китайски хакер. Записите включваха информация за потребителите и голямо количество финансови данни.

GS Caltex, Южна Корея (2008)

Размер на нарушението: 11.9M

Два компактдиска, съдържащи списъка с клиенти на тази компания от 11,9 милиона клиенти, бяха намерени на улица в Сеул.

HM приходи и мита, Обединеното кралство (2007)

Размер на нарушението: 25M

Компютърни дискове, съдържащи поверителна информация за 25 милиона получатели на детски помощи, бяха изгубени във Великобритания. Дисковете бяха изгубени на транзит от централата им в Нюкасъл до седалището на застрахователя в Единбург.

T-Mobile, Deutsche Telecom, Германия (2006)

Размер на нарушението: 17M

Крадците се спряха с устройство за съхранение, съдържащо имена, адреси, номера на мобилни телефони, някои дати на раждане и някои имейл адреси за някои високопрофилни германски граждани. За щастие откраднатото устройство не съдържаше никакви финансови данни като кредитни карти или банкови сметки.

Голямото неизвестно

Трябва да се отбележи, че някои докладвани нарушения засягат неизвестен брой клиенти, така че може да има и други нарушения, които са надминали 10-милионната маркировка. Плюс това, нарушенията могат да останат неоткрити, изцяло или за определен период от време.

Новият Общ регламент за защита на данните (GDPR) в ЕС включва изискване компаниите да докладват за нарушения на данните (които отговарят на определени критерии) в рамките на 72 часа. Въпреки че има закон на щата Калифорния, който се отнася до отчитането на нарушения на данните, няма действащо федерално законодателство, което да изисква задължително докладване на данните за нарушаване на данните. Но подаването на сигнал за нарушение може да доведе до съдебни дела от засегнати потребители, така че повечето компании подават сигнал, когато открият, че са били хакнати или загубят някаква информация.

Въпреки че количеството информация, което се отчита, е изцяло оставено на отчитащата се компания, дори дотолкова, че само да признае, че е имало нарушение, без подробности за това, какви данни или дори колко данни са изложени на риск от достъп от неоторизирани лица. Според Клиринговата къща за права на поверителност хиляди компании са избрали да не съобщават каква част от поверените им данни са изтекли или дори колко от клиентите им могат да бъдат изложени на риск.

Сега е фактор в знанието, че някои от тези компании събират информация, без първо да информират субектите от тяхното извличане на данни, че тяхната информация се зарежда в база данни. Всеки търговски обект, в който човек влиза, събира информация за това, което гледа, взема, купува и напуска магазина си. Съпоставете тези данни с разпознаването на лица от охранителните камери, както и информацията, получена от системата за продажба, и те имат идентичност, която да прикачат към това въвеждане на данни.

Почти във всеки търговски обект вече има някаква форма на членство, за което клиентите се насърчават да се регистрират доброволно с оферти за намаления на гориво, насочени към спестявания в магазина, персонализирани цифрови талони и други подобни стимули. Всичко това всъщност не е безплатно. Вие продавате своята лична информация на тези компании в замяна на бонусите, прикрепени към системата за членство в магазина.

Какво можеш да направиш?

Има някои неща, които можете да направите, за да сведете до минимум щетите или дори да предотвратите попадането на вашата информация в грешни ръце. Неща като използване на онлайн инструмент за анонимност (като VPN), инсталиране на антивирусен софтуер, използване на силни пароли и активиране на двуфакторна автентификация могат да помогнат. В случай на последното, ако платформата, която се опитвате да защитите, не предлага двуфакторна автентификация, може да можете да използвате приложение за удостоверяване на две фактори на трети страни, като DUO Mobile и Google Authenticator.

В по-крайния край, винаги има възможност да се свържете с всяка компания, на която сте поверили вашата информация. Можете да ги попитате какво имат за не само предотвратяване на нарушения на данните, но и какви действия предприемат, когато узнаят за теч.

Ако искате да проверите дали вашата информация е участвала в нарушение на данните, удобен инструмент ли съм бил pwned? уебсайт

Имали ли сте някакви странични ефекти или дори директни ефекти от нарушаване на данните? Как се възстановихте? Оставете коментарите си по-долу, заедно с всички съвети, които бихте могли да имате за други читатели.

“Нарушаване на данни”От Blogtrepreneur – CC BY 2.0