Les majors infraccions de dades de la història

bases de dades més grans 2019


Amb un historial de gairebé 9.000 incompliments de dades dels Estats Units durant els darrers dotze anys, és una aposta segura que qualsevol informació electrònica relacionada amb vosaltres sigui en risc o hagi estat compromesa almenys una vegada. Tal com afirma James Comey, exdirector de l’FBI, “hi ha dos tipus d’empreses. Els que han estat piratejats i els que encara no saben que han estat piratejats. “

La necessitat de privadesa i anonimat en línia creix amb cada incompliment que es produeix i no sembla que hi hagi cap final a la vista. Tota empresa corpora informació intel·lectual sobre els seus clients, clients i fins i tot persones aleatòries. Les grans corporacions inverteixen milers de milions de dòlars cada any en sistemes de recollida de dades, tecnologies de bases de dades per emmagatzemar-ho tot, servidors costosos amb grans quantitats d’emmagatzematge i analistes de dades per tenir-ne sentit..

No es tracta només d’un joc per a empreses. Les agències d’intel·ligència del món es reuneixen i tracten de donar sentit a la informació com a agenda principal. La lamentable ironia és que moltes empreses semblen tenir una preocupació per mantenir aquesta informació segura i fora de les mans dels altres un cop la tinguin. Si cau en les mans equivocades, hi ha diverses possibles repercussions per als implicats, com ara un risc més gran de caure víctima de delictes com ara esquemes de pesca de llança, atacs de ransomware i robatori d’identitat..

La llista següent mostra un desglossament anual del major dels incompliments de dades, amb un mínim de 10 milions de registres en risc de ser exposats a persones no autoritzades. Tingueu en compte que el nombre total d’incompliments esmentats es refereixen a incompliments que afecten empreses nord-americanes o que han afectat clients nord-americans.

Contents

Incompliments de dades per any

2019

dades incompliments facebook facebook

El 2019 està sent un gran any per a incompliments de dades, ja que diversos incompliments ja exposen centenars de milions de víctimes a tot el món. Enguany, una gran quantitat d’atenció sembla dirigir-se a principals dipòsits de dades personals recollides i reunides, que es venen en fitxers massius a la web fosca..

Dropbox, LinkedIn i altres

Mida d’incompliment: 2,2B

Els pirates informàtics han recopilat, publicat i enviat més de 2.200 milions de registres robats en un nombre més gran de llocs web, inclosos Dropbox i LinkedIn. Sembla que aquestes dades han estat recopilades i combinades des de fa uns quants anys i ara es troben a la venda a la web fosca. El primer d’aquests abocaments de dades robades, anomenat Col·lecció # 1, inclou noms d’usuari i contrasenyes.

Servidor de Google Cloud (propietari desconegut)

Mida d’incompliment: 1,2B

L’investigador en seguretat Vinny Troia va descobrir un servidor de Google Cloud no segur que contenia 1.200 milions de registres de consumidors. Tot i que no es va revelar cap informació intensament sensible, com ara contrasenyes i informació financera, el servidor va contenir adreces de correu electrònic, perfils de xarxes socials i fins i tot nivells d’ingressos potencials. Aquesta informació es pot utilitzar amb finalitats de correu brossa, ciberatacs o pirateria de comptes.

Evite, MindJolt, Wanelo i més

Mida d’incompliment: 1B

Un pirata informàtic “Gnosticplayers” ha descarregat prop de mil milions de registres d’usuaris en els primers mesos del 2019. La informació inclou noms d’usuaris, adreces de correu electrònic, adreces IP i contrasenyes de diversos llocs web, inclosos Evite, MindJolt i Wanelo, entre diversos. d’altres.

Primer americà

Mida del trencament: 900M

La companyia d’assegurances First American va deixar exposats 900 milions de fitxers de clients delicats durant més de 2 anys. La informació exposada inclou números de compte bancari, estats de compte bancari, números de Seguretat Social, imatges de llicència de conduir i molt més, que suposen informació més que suficient per robar identitats i diners de les víctimes amb èxit. No està clar si es va accedir de manera il·lícita a alguna de les dades exposades.

Dubsmash, MyFitnessPal, MyHeritage i molt més

Mida del trencament: 600M

Un pirata informàtic va vendre amb èxit més de 600 milions de registres de diversos llocs de la web fosca per 20.000 dòlars en Bitcoin. Els registres provenien de diverses empreses i llocs web, entre els quals es trobaven Dubsmash (162 milions), MyFitnessPal (151 milions), MyHeritage (92 milions), ShareThis (41 milions), HauteLook (28 milions), EyeEm (22 milions), 8fit (20 milions) , Whitepages (18 milions) i altres.

Facebook

Mida del trencament: 540M

Dos servidors Amazon AWS no configurats van exposar més de 540 milions d’informació del compte de l’usuari de Facebook. Una era propietat de l’empresa mexicana Cultura Colectiva i deixava vulnerables les ID i comentaris de Facebook. El segon servidor, propietat del joc de Facebook “At the Pool”, va exposar informació encara més sensible, incloses contrasenyes de text sencer, fotos, check-ins, likes, i interessos, entre d’altres dades..

Zynga (Paraules amb els amics)

Mida del trencament: 218M

En un informe sobre inversors del 12 de setembre, el creador de Words with Friends, Zynga, va anunciar que els seus servidors estaven piratats per una font externa. Segons l’empresa, es va accedir a la informació del compte de l’usuari, però Zynga va oferir pocs detalls sobre la naturalesa de la violació. Tot i això, el pirata informàtic (o grup de pirates informàtics) conegut com a gnosticplayers va anunciar posteriorment la responsabilitat del pirat. Les dades robades suposadament inclouen noms de jugadors, adreces de correu electrònic, identificadors de Facebook, fitxes de restabliment de contrasenya i identificadors de compte de Zynga.

Mountberg Limited

Mida del trencament: 100M

Al gener, un grup d’apostes en línia va exposar més de 100 milions d’apostes d’usuaris i altres dades d’usuari. Una instància ElasticSearch no garantida al servidor de l’empresa va revelar detalls de l’usuari, com ara quantitats d’aposta i retirades.

Propietari desconegut

Mida del trencament: 80M

Els investigadors van trobar una base de dades no segura que conté informació personal sobre més de 80 milions de llars i famílies dels Estats Units. La informació filtrada inclou adreces, ubicació geogràfica aproximada per longitud i latitud, edats, dates de naixement, ingressos, estat civil, estat de propietari, tipus d’habitatge i més.

LinkedIn

Mida del trencament: 60M

Un investigador de seguretat va trobar que diverses bases de dades semblen filtrar més de 60 milions d’informació dels clients de LinkedIn. Tot i que LinkedIn va informar que no és la seva base de dades, sembla que la base de dades filtrada pot contenir dades de perfil disponibles per al públic, raspades del lloc per un tercer.

Facebook

Mida del trencament: 49M

La feble seguretat en un servidor d’Amazon Web Services va deixar exposats milions de comptes d’Instagram. Propietat de la companyia de màrqueting de mitjans socials basada a l’Índia, Chtrbox, es van trobar fàcilment ubicats i informació de contacte privada de més de 49 milions d’inflamadors d’Instagram. Els comptes també inclouen la quantitat que valia cada compte d’influencer en funció de diverses mètriques, inclòs el nombre de seguidors i la participació.

Instagram

Mida del trencament: 14M

Un investigador en ciberseguretat que utilitza el servei Shodan ha trobat més de 14 milions de detalls del compte d’Instagram, inclosos noms de perfil, enllaços a imatges de perfil i altra informació, en un servidor no segur del Regne Unit. No estava clar qui és el propietari del servidor o està recopilant les dades.

Escales 

Mida del trencament: 13M

Una base de dades AWS ElasticSearch no protegida del lloc de treball Les escales van exposar 13 milions de perfils i comptes d’usuari. Es va exposar informació sobre el sol·licitant d’ocupació, com ara noms, adreces de correu electrònic, números de telèfon, geolocalització, sous actuals i desitjats, historial d’ocupació i estat de visat H1-B dels EUA. La informació personal dels empresaris i els reclutadors del lloc també es va exposar.

Quest Diagnostics

Mida del trencament: 11,9M

Al juny, l’American Medical Collection Agency, un proveïdor de serveis de facturació i codificació mèdica, va informar que es va incomplir la seva pàgina de pagament per a la cerca de diagnòstic. Es van exposar prop de 12 milions de registres mèdics i financers de clients. L’incompliment va durar entre el 22 d’agost i el 30 de març. El portal de pagaments va ser retirat i va passar a tercers com a resposta.

Patrulla de fronteres duanes dels Estats Units

Mida de l’incompliment: Desconegut (següent)

Al juny, la patrulla de fronteres duanes dels Estats Units va informar que un número no revelat de dades biomètriques havien estat robades a un subcontractista federal. Les dades inclouen imatges de les matrícules i fotografies d’identificació de viatgers que entraven i sortien dels Estats Units. CBP va informar que el subcontractista sense nom va transferir aquestes dades dels servidors governamentals als seus propis servidors sense permís, on les dades van ser robades després d’un pirateig.

2018

Pàgina inicial del Marriott.

El 2018, es van produir 700 incompliments, on 11 d’ells van implicar més de 10 milions de registres.

Marriott Internacional

Mida del trencament: 500M

És possible que fins a 500 milions de convidats de Marriott International hagin estat involucrats en aquesta infracció massiva iniciada el 2014. Es van incomplir més de 320 milions de dades de clients, inclosos noms, adreces i números de passaport, fet que va provocar a molts convidats enfadats que exigissin a Marriott que pagués per emissió de nous passaports.

Exactis

Mida del trencament: 340M

Al juny de 2018, la firma de màrqueting i agregació de dades, Exactis, va filtrar gairebé 340 milions de registres en un servidor al qual va poder accedir el públic. Es va participar informació sobre particulars i empreses, com ara números de telèfon, adreces domèstiques i adreces de correu electrònic.

Sota de l’armadura

Mida del trencament: 150M

Es pot estimar que 150 milions d’usuaris de l’aplicació de menjar i nutrició de Under Armour, MyFitnessPal, podrien haver exposat la seva informació. Es creu que les dades involucrades en la filtració inclouen adreces de correu electrònic, noms d’usuari i contrasenyes de separació.

MindBody – FitMetrix

Mida del trencament: 113M

El programari de fitness FitMetrix (que va ser adquirit per MindBody el 2018) va implicar-se en un incompliment que va afectar més de 113 milions de registres, tot i que el nombre d’usuaris als quals es correlaciona. Un investigador de seguretat va descobrir la violació que va descobrir que tres dels servidors de FitMetrix no estaven protegits i van filtrar dades..

Capital One Bank

Mida del trencament: 106M

El 29 de juliol, Capital One Bank va anunciar que va experimentar un incompliment massiu de dades ocorregut en algun moment entre març i juliol. L’incompliment va exposar els 100 milions de clients als Estats Units i els 6 milions de clients al Canadà. Tot i que les dades incomplides es van contenir principalment en noms, adreces, números de telèfon i puntuacions de crèdit, uns 140.000 clients al Canadà tenien exposats números d’assegurança social, mentre que 80.000 clients nord-americans havien relacionat números de compte bancari exposats..

En el moment de la seva publicació, l’enginyer de programari Paige Adele Thompson, de 33 anys, havia estat capturat per l’Oficina Federal d’Investigacions. Thompson va publicar sobre la violació a GitHub i va presumir a Twitter i a l’aplicació Slack Chat. Sembla que Thompson ha robat les dades d’un servidor Capital One allotjat per Amazon Web Services.

Facebook

Mida del trencament: 50M

Al setembre de 2018, es va descobrir una bretxa de seguretat de dades en forma d’error que permetia als atacants fer-se càrrec dels comptes de Facebook de les persones. Es coneixia que 50 milions de comptes havien estat afectats, però fins a 40 milions més hi podrien haver participat.

Facebook (Cambridge Analytica)

Mida del trencament: 50M

Abans de la violació anterior, l’escàndol de Cambridge Analytica havia sortit a la llum. La signatura d’anàlisi de dades va accedir i emmagatzemar les dades personals de 50 milions d’usuaris de Facebook a través d’un tercer investigador. L’adquisició de les dades va violar els termes del servei de Facebook i, per tant, va suposar un incompliment massiu de la informació dels usuaris.

Localblox

Mida del trencament: 48M

Localblox és similar a Cambridge Analytica, ja que rascala informació de fonts accessibles al públic per crear perfils. Emmagatzemava dades en un contenidor no segur, fet descobert per UpGuard, una empresa de recerca en ciberseguretat. Es van emmagatzemar sense contrasenya fins a 48 milions de perfils d’usuaris i, tot i que Localblox va actuar immediatament, no està clar si algú accedeix al mateix temps a 1,2 TB de dades..

Chegg

Mida del trencament: 40M

40 milions d’usuaris de l’empresa de lloguer de llibres de text i tutorial, Chegg i la seva família de marques van ser informats el setembre del 2018 que les seves dades personals podrien haver estat exposades a una part no autoritzada que va accedir a la base de dades de l’empresa. La informació filtrada incloïa noms, contrasenyes, adreces de correu electrònic i adreces d’enviament.

Ticketfly

Mida del trencament: 27M

Un atac cibernètic maliciós va provocar que es pogués accedir a la informació personal d’uns 27 milions de titulars del compte Ticketfly. Les dades dels clients incomplits incloïen noms, adreces, adreces de correu electrònic i números de telèfon.

L’abella Sacramento

Mida del trencament: 19M

Després que la companyia deixés més de 19 milions de registres d’electors exposats en línia per no haver pogut restaurar un tallafoc protector al seu servidor, un atac de ransomware va ser llançat per pirates informàtics maliciosos. El diari es va negar a pagar el rescat i va comunicar als votants l’incompliment.

SaverSpy

Mida del trencament: 11M

Al setembre de 2018, es van filtrar els detalls de gairebé 11 milions d’usuaris d’una base de dades d’empreses de màrqueting electrònic a causa d’un servidor no garantit. S’informava de noms, adreces de correu electrònic, detalls de gènere i adreces físiques. La base de dades es va pensar que pertanyia a una empresa anomenada SaverSpy.

Portada

Mida del trencament: 4,9M

Prop de 5 milions de clients, conductors i comerciants de DoorDash tenien dades altament sensibles exposades a un incompliment, va informar DoorDash. L’incompliment, que es va produir al maig del 2019, va robar noms, adreces de correu electrònic, adreces físiques, números de telèfon i històries de comandes robades. Les contrasenyes esmicolades i salades, així com els quatre últims dígits (però no el CVV) d’algunes targetes de crèdit també es van robar.

2017

Anàlisis d’arrel profunda

Es va informar que es van produir 853 incompliments el 2017, amb nou de la llista.

Els mitjans de comunicació de River City

Mida d’incompliment: 1,37B

Es va exposar una base de dades massiva de més de 1.37 mil milions d’adreces de correu electrònic a causa d’una còpia de seguretat mal configurada. Alguns d’aquests registres contenien detalls addicionals com ara noms, adreces físiques i adreces IP. La filtració també va exposar tota l’operació de River City Media, inclosos detalls com ara els plans de negoci, els registres d’Hipchat, els comptes i molt més. Segons la notícia, River City Media és un dels majors proveïdors de correu brossa del món.

Anàlisis d’arrel profunda

Mida del trencament: 198M

Es va descobrir una base de dades que contenia informació política sobre més de 198 milions d’electors nord-americans en un sistema d’emmagatzematge en núvol d’Amazon sense cap tipus de protecció de contrasenya. El Comitè Nacional Republicà va contractar Deep Root Analytics per recopilar i analitzar les dades que consten de noms, dates de naixement, adreces de casa, números de telèfon i registres d’electors. Deep Root Analytics ha assumit la responsabilitat total de la violació i ha implementat mesures de seguretat de dades millorades.

Equifax

Mida del trencament: 145M

Més de 145 milions de registres que inclouen números de seguretat social, números de targeta de crèdit, números de llicències de conduir i noms a una de les tres principals agències informatives de crèdit dels Estats Units.

Proves de nom

Mida del trencament: 120M

Es va revelar el 2018 que Nametests.com, el lloc web responsable d’una popular aplicació de test de Facebook, tenia un defecte que exposava públicament detalls sobre els seus més de 120 milions d’usuaris..

MyHeritage

Mida del trencament: 92M

Aquest incompliment es va anunciar el 2018, però es va produir realment a l’octubre del 2017 i va implicar les més de 92 milions de dades de clients. Un investigador de seguretat ha descobert la informació, que incloïa adreces de correu electrònic i contrasenyes hashed, en un servidor privat que no pertanyia a MyHeritage.

T-Mobile

Mida del trencament: 76M

Un forat de seguretat al lloc web de T-Mobile va permetre als atacants utilitzar un número de telèfon per accedir als detalls del compte, incloses les adreces de correu electrònic i el codi de xarxa IMSI del telèfon. Es poden veure afectats fins a 76 milions d’usuaris.

Panera Panera

Mida del trencament: 37M

L’incompliment de Panera Pan va començar el 2017, però aparentment no es va fer cap acció fins al 2018. Noms, adreces de correu electrònic, adreces de casa i números de telèfon de fins a 37 milions de clients es van filtrar del lloc en un text senzill. Els darrers quatre dígits del número de targeta de crèdit dels clients també van participar.

Dun & Bradstreet

Mida del trencament: 33M

Es va revelar que Dun va filtrar els registres d’una base de dades corporativa comercial de més de 33 milions de persones & Bradstreet. De les persones implicades, més de 100.000 van treballar al Ministeri de Defensa i més de 70.000 a les principals institucions financeres. Si bé la informació no es consideraria dades sensibles (incloïa coses com ara adreces de correu electrònic, títol del treball i adreça de l’empresa), en mans equivocades, simplificaria l’execució de les estafes com la pesca contra la llança i la caça de balenes..

Zomato

Mida del trencament: 17M

Un pirata informàtic de DarkNet ven una base de dades que inclou correus electrònics i hashes de contrasenya de 17 milions d’usuaris registrats de Zomato.

2016

Pàgina d'inici Dailymotion.

Es van informar que es van produir 823 infraccions de dades el 2016, vuit d’elles van superar els 10 milions.

Xarxa FriendFinder

Mida del trencament: 412M

Més de 412 milions de comptes que representen vint-i-cinc anys de dades personals de l’usuari, com ara adreces de correu electrònic, contrasenyes, noms d’usuari, esquema de la base de dades, llocs de la xarxa visitats pels usuaris, dades de registre de llocs i molt més..

El meu espai

Mida del trencament: 360M

Més de 360 ​​milions de noms d’usuari i contrasenyes van ser robats a MySpace. Les contrasenyes es van emmagatzemar com a “hashes SHA-1 sense qualificar” i es van trencar amb un servidor de cracking capaç de fer milions de càlculs SHA-1 per segon..

LinkedIn

Mida del trencament: 167M

Es creu que es van robar entre 117 milions i 167 milions de registres de la popular xarxa social empresarial, incloses l’adreça de correu electrònic de l’usuari, les contrasenyes hashed i els números d’identificació de LinkedIn. Es diu que l’incompliment ha començat el 2012, però el 2016, les dades estaven a la venda en línia.

Dailymotion

Mida del trencament: 85,2 M

Les adreces de correu electrònic i els noms d’usuari d’aproximadament 85,2 milions d’usuaris d’un dels llocs de compartició de vídeo més populars a Internet es van accedir el 2016. A prop d’una cinquena part d’aquests comptes també es van copiar les seves contrasenyes hash, però les contrasenyes es van xifrar de manera força forta. xifrat, fent-los difícils de trencar o endevinar.

Uber

Mida del trencament: 57M

Els 57 milions de noms de clients i conductors, adreces de correu electrònic i números de telèfon van ser piratejats el 2016. A continuació, Uber va intentar cobrir l’incompliment pagant els atacants que “prometien” eliminar les dades. La notícia de l’incompliment es va produir el novembre del 2017.

Weebly

Mida del trencament: 43,4M

Es van robar 43,4 milions de registres, però encara no se sap el mitjà amb què es va cometre aquest robatori. Se sap que les dades compromeses contenien adreces de correu electrònic, noms d’usuari, contrasenyes i adreces IP registrades dels ordinadors d’usuaris.

Twitter

Mida del trencament: 32M

32 milions de credencials d’inici de sessió, incloses les contrasenyes de text senzill, es van acabar per vendre en línia. Sembla que les dades han estat robades directament als usuaris i no a un servidor de Twitter.

FourSquare

Mida del trencament: 22,5M

Aparentment, es van extreure més de 22,5 milions de registres de fonts disponibles públicament. Els registres contenien nom d’usuari de FourSquare, adreces de correu electrònic i identificadors de Twitter i Facebook.

2015

Pàgina inicial de l’himne.

Es va informar que es van produir 547 infraccions de dades el 2015, però set d’elles van causar pèrdues força importants.

Base de dades d’electors

Mida del trencament: 191M

Es va trobar a Internet una base de dades disponible al públic amb informació sobre 191 milions de votants nord-americans. La base de dades contenia noms, adreces domèstiques, identificadors de votants, números de telèfon, dates de naixement, afiliacions polítiques i històries de vot detallades des del 2000..

Himne

Mida del trencament: 80M

Es van robar més de 80 milions de registres, que consistien en noms, aniversaris, identificacions mèdiques, números de seguretat social, adreces de carrer, adreces de correu electrònic i informació d’ocupació i ingressos, amb l’incompliment des del 2014 fins al 27 de juny de 2017, l’himne va acceptar una liquidació de 115 milions de dòlars per danys causats per aquesta violació.

Ashley Madison

Mida del trencament: 37M

Les bases de dades d’usuaris de la companyia, els registres financers i altra informació confidencial es van publicar al públic. Es van robar 37 milions de registres d’usuaris i van ser enviats al DarkNet. Els pirates informàtics van intentar fer xantatge a Ashley Madison per tancar el lloc web o la base de dades robada seria alliberada al públic, exposant a tots els seus usuaris. Ashley Madison es va negar a complir-se i les dades es van publicar, juntament amb diverses bases de dades copycat que contenien informació falsa.

Oficina de Gestió de Personal a Washington, DC

Mida del trencament: 21,5M

Es tractava de 21,5 milions d’entrades a una base de dades de treballadors del govern i, més concretament, a qualsevol persona que hagués sol·licitat una autorització de seguretat fins al 2000. Es van filtrar les SSN i ​​la informació relacionada amb el que els funcionaris demanen durant les entrevistes per a la autorització de seguretat..

Clients de T-Mobile d’Experian

Mida del trencament: 15M

Es van trencar 15 milions de registres de clients potencials de T-Mobile que tenien xecs de crèdit realitzats per Experian. Els registres consistien en noms, adreces, números de seguretat social, dates de naixement i diversos números d’identificació, inclosos passaports, permisos de conduir i números d’identificació militar..

Creu Blava Premera

Mida del trencament: 11M

Es tractava d’11 milions de registres d’expedients mèdics i informació personal i financera, inclosos números de compte bancari, números de seguretat social, dates de naixement, noms, adreces i “altra informació personal”.

Escut excel·lent BlueCross Blue Shield

Mida del trencament: 10M

Sembla que aquest va ser l’any per incompliments de la indústria sanitària, encara que un altre atac enorme va assolir l’asseguradora mèdica Excellus BlueCross Blue Shield. Es va filtrar la informació de més de 10 milions d’individus.

2014

Pàgina inicial de Yahoo

Es van reportar 869 incompliments, cinc sobre el llindar rècord dels deu milions.

Yahoo

Mida del trencament: 500M

Aquest incompliment es va produir el 2014, però Yahoo no va ser anunciat ni reconegut fins dos anys després del fet. La base de dades a la qual es va accedir contenia registres de més de 500 milions d’usuaris de Yahoo, incloent-hi noms, números de telèfon, adreces de correu electrònic, contrasenyes hash, dates de naixement i “preguntes i respostes de seguretat xifrades o no xifrades”.

La pirateria russa descoberta per Hold Security

Mida del trencament: 500M

Una empresa de seguretat ha descobert al DarkNet una impressionant base de dades de més de mil milions de noms d’usuari i contrasenyes juntament amb més de 500 milions d’adreces de correu electrònic. Aparentment va ser obra d’una banda russa de pirates informàtics que recopilaven informació de centenars de milers de llocs web.

eBay

Mida del trencament: 145M

Aquest incompliment va suposar una pèrdua de dades de més de 145 milions de registres. Els pirates informàtics van obtenir accés a la base de dades d’usuaris d’EBay mitjançant les credencials d’inici de sessió dels empleats. Les dades copiades consistien en adreces de correu electrònic, contrasenyes xifrades, dates de naixement i adreces de correu.

JP Morgan Chase

Mida del trencament: 76M

Van accedir a 76 milions de comptes bancaris pels pirates informàtics russos, alguns dels quals només es van modificar mentre que d’altres es van esborrar completament.

El Home Depot

Mida del trencament: 56M

El Home Depot va aconseguir dos cops el 2014. Al febrer, tres empleats eren sospitosos de robar 30.000 registres. Al setembre, es va tornar a colpejar amb els detalls de 56 milions de targetes de crèdit i dèbit a causa d’un atac dels sistemes puntuals de venda a més de 2.200 botigues dels EUA..

2013

Pàgina d'inici d'Evernote.

El 2013 es van reportar 890 infraccions de dades, cinc de les quals van superar la marca dels 10 milions.

Yahoo

Mida d’incompliment: 1B

El 2013 es van comprometre més d’1 mil milions de comptes, però aquest incompliment no es va fer públic fins al 2016 i probablement no tenia relació amb els 500 milions de registres robats el 2014. Yahoo va culpar de l’incompliment més gran de la història en els hackers que treballaven en nom d’un govern. Els intrusos utilitzaven cookies falsificades per accedir a comptes d’usuari sense la seva contrasenya.

Corp destinatari.

Mida del trencament: 110M

Es van robar fins a 110 milions de registres de targetes de pagament durant les festes de gràcies i de Nadal del 2013. Aquest incident es va utilitzar com a precedent per aprovar la legislació als Estats Units que implementava la tecnologia de targetes xip.

Tumblr

Mida del trencament: 65M

El 2013, els hackers van accedir a més de 65 milions de contrasenyes d’usuaris de Tumblr, tot i que l’incompliment no es va notificar fins al 2016.

Evernote

Mida del trencament: 50M

La major pèrdua de dades del 2014 amb 50 milions de registres exposats. Es va dir als usuaris que restablissin les seves contrasenyes un cop detectat l’atac.

LivingSocial

Mida del trencament: 50M

Fins a 50 milions de comptes de membres corrien el risc de ser copiats, que consistien en noms, adreces de correu electrònic, dates de naixement i contrasenyes xifrades. Aleshores, s’estima que 29 milions de persones utilitzaven LivingSocial, molts amb diversos comptes.

Adobe

Mida del trencament: 38M

Els comptes d’usuaris de fins a 38 milions d’usuaris d’Adobe van ser robats. Adobe va enviar un avís a tots els usuaris afectats i els va advertir que canviessin la seva contrasenya i vetllessin per la seva activitat sospitosa als seus comptes.

2012

Pàgina inicial del Dropbox

Es van notificar 886 incompliments de dades durant l’any, dos de ells fent la llista.

Dropbox

Mida del trencament: 68M

68 milions d’usuaris de Dropbox tenien les seves adreces de correu electrònic i les seves contrasenyes hashed copiats. A continuació, van rebre missatges de correu brossa en els quals el remitent es plantejava com a Dropbox.

Zappos.com

Mida del trencament: 24M

Es van detectar 24 milions de comptes d’usuaris com a accessos inclosos noms, adreces de correu electrònic, adreces de facturació i enviament, números de telèfon, quatre dígits finals de números de targeta de crèdit i contrasenyes possiblement xifrades..

2011

Pàgina inicial d’Epsilon.

El 2011 es van reportar 793 incompliments de dades, amb quatre d’ells més de 10 milions de registres perduts o en risc.

Epsilon

Mida del trencament: 50-250M

Aquest incompliment de dades entre 50 i 250 milions de registres es va produir. Epsilon va informar que només es van robar adreces de correu electrònic i noms. Es va advertir als clients que esperaven correus electrònics de phishing.

Sony, PlayStation Network

Mida del trencament: 77M

77 milions d’usuaris de PlayStation Network (PSN) i més de 24 milions de clients de Sony Online Entertainment es van veure afectats durant aquest piratge del 2011. Els detalls filtrats incloïen noms, adreces, adreces de correu electrònic, dates de naixement, credencials d’inici de sessió per a PSN i Qriocity, i identificadors i nanses PSN. Se sospita que els pirates informàtics també poden haver accedit a històries de compra, adreces de facturació i preguntes de seguretat.

Vapor

Mida del trencament: 35M

Els pirates informàtics van defugir un fòrum sobre Steam que va provocar una investigació que revelava l’accés no autoritzat a una base de dades que contingués noms d’usuaris, contrasenyes saltades i salades, compres de jocs, adreces de correu electrònic, adreces de facturació i informació de la targeta de crèdit xifrada per a més de 35 milions d’usuaris..

WordPress

Mida del trencament: 18M

Els pirates informàtics van accedir a dades de diversos servidors del WP exposant codi font, claus de seguretat de l’API i contrasenyes de xarxes socials de 18 milions d’usuaris de WordPress.

2010

pàgina principal de deviantart.

Es van reportar 801 incompliments de dades el 2010, però només un va fer la llista.

DeviantART, Silverpop Systems Inc.

Mida del trencament: 13M

L’incompliment de dades més important del 2010 també va ser l’únic per sobre dels 10 milions en 13 milions de registres robats. Els pirates informàtics van poder penetrar deviantART a través de l’empresa comercialitzadora Silverpop Systems Inc. La base de dades exposada consistia en noms d’usuari, adreces de correu electrònic i dates de naixement de tots els usuaris de DeviantART..

2009

Sistemes de pagament Heartland

Es van notificar 270 infraccions de dades per al 2009, tres de les quals van formar la nostra llista.

Sistemes de pagament Heartland

Mida del trencament: 130M

Es van robar 130 milions de targetes de crèdit mitjançant un procés de processament de targeta de crèdit. El problema es va agreujar pels retards i les divulgacions inexactes del processador en relació amb la violació. Un dels autors va ser un informador del servei secret i sospitós al pirateig TJ Stores de l’any anterior.

Veterans Militars dels Estats Units

Mida del trencament: 76M

Es van reportar 76 milions de registres detallats amb risc de ser exposats quan es va enviar un disc dur defectuós per reparar-lo sense haver-se destruït les dades. La unitat formava part d’una matriu RAID de sis unitats que contenien una base de dades Oracle plena d’informació de veterans. La unitat es va considerar irreparable i es va enviar a una altra entitat per a que el reciclés, de nou, sense que se suprimeixi.

RockYou

Mida del trencament: 32M

Un defecte d’injecció SQL a la base de dades de RockYou va exposar tota la llista de noms d’usuari, adreces de correu electrònic i contrasenyes, al voltant de 32 milions de registres. Les contrasenyes es van emmagatzemar en text normal i la base de dades incloïa les credencials d’inici de sessió per a diverses xarxes socials com Facebook i MySpace.

2008

BNY Mellon.

Es van reportar 355 incompliments de dades el 2008, dos dels quals van superar els 10 milions.

Corp a nivell mundial.

Mida del trencament: 17M

Un antic empleat segons va informar que va robar i vendre dades sensibles als perfils dels titulars del compte de 17 milions. Cal destacar que Countrywide va ser el “noi de cartell” de la crisi de préstecs subprime.

Banc de Nova York Mellon

Mida del trencament: 12,5M

12,5 milions de registres que contenien noms, números de seguretat social i possiblement números de compte bancari es van “perdre” quan una caixa de cintes de seguretat va arribar a una instal·lació d’emmagatzematge amb una cinta que falta.

2007

Botigues TJX.

Es va informar que es van produir 456 incompliments de dades el 2007, amb una de més de 10 milions de registres.

Botigues TJ

Mida del trencament: 100M

Es van perdre més de 100 milions de registres formats per números de targetes de crèdit i dèbit; registres de devolució de mercaderies que continguin noms i números de llicència de conduir, així com números de compte de targeta de crèdit. Nota especial: el pirata pirata principal, Albert Gonzalez, va recórrer la seva condemna el 2011, ja que actuava amb autorització del Servei Secret. El govern dels Estats Units va reconèixer que en aquell moment Gonzalez era un informador encobert del Servei Secret. El senyor González va culpar als seus advocats de no utilitzar aquesta informació com a part de la seva defensa.

2006

Afers de Veterans.

Aquest any s’han registrat 482 incompliments de dades. Dos d’aquests incompliments van superar els 10 milions de rècords.

Departament de Veterans als Estats Units

Mida del trencament: 26,5M

Un ordinador portàtil i un dispositiu d’emmagatzematge d’ordinadors que contenia dades sensibles sobre 26,5 milions de veterans van ser robats a casa d’un empleat no identificat del Departament d’Afers Veterans. La informació constava de noms, números de seguretat social, dates de naixement, números de telèfon i adreces de tots els veterans nord-americans donats de baixa des del 1975. El portàtil i el dispositiu d’emmagatzematge es van recuperar gairebé dos mesos després. Segons una investigació del FBI, les dades no s’havien copiat. Malgrat això, la VA encara es va fer responsable de les polítiques de seguretat de dades inefectives i es va deixar de prendre les precaucions de seguretat adequades sobre aquestes dades sensibles.

iBill

Mida del trencament: 17M

Es van publicar més de 17 milions de registres en línia que contenen noms, números de telèfon, adreces, adreces de correu electrònic, adreces IP, credencials d’inici de sessió, tipus de targeta de crèdit i quantitats de compra. No està clar si la violació va ser obra d’un inident desconegut o d’un programari maliciós injectat als sistemes d’iBill..

2005

S’han reportat 136 incompliments de dades de l’exercici, només amb un màxim de 10 milions mínims.

CardSystems

Mida del trencament: 40M

Es van exposar 40 milions de comptes de targeta de crèdit a causa d’un incompliment de seguretat ocorregut en un venedor de tercers. La informació exposada incloïa noms, números de targeta i codis de seguretat de la targeta. CardSystems va presentar la seva fallida el maig del 2006. El 2009 es va revelar que CardSystems emmagatzemava informació de la targeta de crèdit no xifrada als seus servidors.

2004

Molt divertit, l’únic incompliment de dades del qual tenim informació el 2004 també va ser força important.

AOL

Mida del trencament: 92M

Un antic enginyer de programari d’AOL va robar 92 milions d’adreces de correu electrònic pertanyents a uns 30 milions d’usuaris. Després va vendre la llista d’adreces a un home de Las Vegas que va començar a fer spam a la llista amb un anunci per a un lloc web d’apostes fora de línia. Fins i tot el jutge implicat en el cas va admetre la cancel·lació del seu compte de correu electrònic AOL a causa de tot el correu brossa.

Majors incompliments fora dels Estats Units

Al llarg dels anys també hi ha hagut incompliments força massius en diverses altres parts del planeta. Aquí hi ha alguns dels més destacats:

Verifications.io, Índia (2019)

Mida del trencament: 800M

Una base de dades de correu electrònic de màrqueting no segura exposava més de 800 milions de registres d’usuaris. Les dades incomplides contenien enllaços de xarxes socials, sexe, dates de naixement, quantitats d’hipoteca i tipus d’interès.

Aadhaar, Índia (2018)

Mida d’incompliment: 1.1B

Un incompliment de dades podria haver arriscat potencialment les dades de tots els 1.100 milions de ciutadans de l’Índia. A principis de gener, venedors anònims de WhatsApp oferien accés a qualsevol número d’Aadhaar i als seus detalls associats, com ara nom, adreça, número de telèfon, foto i adreça de correu electrònic. La informació es venia amb l’opció de programari per a la impressió de targetes d’identificació, presumptament per al seu ús en robatoris d’identitat i altres delictes relacionats.

Interpark, Corea del Sud (2017)

Mida del trencament: 10M

El 2017, Corea del Sud va acusar Corea del Nord de robar les dades de 10 milions de clients del centre comercial online, Interpark, per intentar obtenir moneda estrangera.

Telegram, Iran (2017)

Mida del trencament: 15M

El 2017, els pirates informàtics iranians estan acusats d’haver entrat en un servei de missatgeria instantània ultra segura en comprometre una dotzena de comptes. El pirateig va exposar 15 milions de números de telèfon d’usuaris als pirates informàtics. D’aquesta manera, els pirates informàtics poden afegir nous dispositius al compte de l’usuari i donar a aquests dispositius nous accés a la història de xat i a nous missatges.

Mossack Fonseca, Panamà (2016)

Mida del trencament: 11,5M

Aquest despatx d’advocats de Panamà està especialitzat en la creació d’empreses anònimes offshore. La filtració és d’11,5 milions de documents xifrats com ara correus electrònics, fitxers PDF, fotos i fragments d’una base de dades interna. L’objectiu principal d’aquesta col·lecció sembla ser ocultar els veritables propietaris de diverses de les empreses externes venudes per Mossack Fonseca. Atès que molta informació emmagatzemada en aquests fitxers inclou proves d’activitats il·legals, el desig d’anonimat és més aviat evident.

Base de dades de ciutadania turca, Turquia (2016)

Mida del trencament: 49,6 M

Es va descobrir una base de dades en línia que conté 49,6 milions d’entrades –tota la ciutadania turca– amb noms, identificadors nacionals, noms de pares, gènere, ciutat de naixement, data de naixement, registre d’identitat de ciutat i districte i la seva adreça completa.

Comissió de Eleccions de Filipines, Filipines (2016)

Mida del trencament: 55M

Es va filtrar en línia una base de dades que conté tots els electors registrats a Filipines, uns 55 milions de persones. La filtració es va produir a la detacció del lloc web de la Comissió de Filipines al lloc del web d’Elections.

Bureau de crèdit de Corea, Corea del Sud (2014)

Mida del trencament: 20M

Un consultor temporal va ser arrestat i acusat de robar dades de la targeta bancària i de crèdit a 20 milions d’usuaris de l’oficina de crèdit.

Yahoo Japó, Japó (2013)

Mida d’incompliment: 22M

22 milions de comptes d’usuaris es van posar en risc quan es va detectar un intent d’accés a porcions administratives dels servidors de Yahoo Japan. Segons Yahoo, no es va robar cap informació identificable personalment.

Court Ventures, Vietnam (2012)

Mida del trencament: 200M

Court Ventures es dedicava a vendre informació de crèdit a un servei de robatori d’identitat vietnamita, amb la qual cosa es van vendre més de 200 milions de registres durant diversos anys. Aquests registres incloïen dades financeres, estat de crèdit, números de seguretat social i informació bancària.

Blizzard, Xina (2012)

Mida del trencament: 14M

Els jugadors de Diablo III, Starcraft II i World of Warcraft, uns 14 milions de jugadors, van ser informats d’un incompliment de dades que posava en risc els seus comptes d’usuari a Blizzard.net. Les contrasenyes xifrades, les respostes a preguntes de seguretat i adreces de correu electrònic d’usuaris de fora de la Xina van ser robades a l’incompliment.

178.com, Xina (2011)

Mida del trencament: 10M

Els pirates informàtics van robar 10 milions de comptes d’usuaris del lloc de jocs xinès, juntament amb altres llocs de jocs a la Xina.

Nexon Korea Corp, Corea del Sud (2011)

Mida del trencament: 13,2 M

13,2 milions de subscriptors d’un joc en línia a Corea van ser robats a través d’una pirateria dels servidors del lloc.

Tianya, Xina (2011)

Mida del trencament: 28M

28 milions de contrasenyes de text clares i 40 milions de comptes d’usuari es van presentar a DarkNet del 12è lloc web més popular de la Xina en aquell moment.

Auction.co.kr, Corea del Sud (2008)

Mida del trencament: 18M

Un hacker xinès va robar els registres de 18 milions de membres d’aquest lloc de subhastes de Corea del Sud. Els registres incloïen informació d’usuari i una gran quantitat de dades financeres.

GS Caltex, Corea del Sud (2008)

Mida del trencament: 11,9M

En un carrer de Seül es van trobar dos discos compactes que contenien la llista de clients d’aquesta empresa d’11,9 milions de clients.

HM Revenue and Customs, Regne Unit (2007)

Mida del trencament: 25M

Al Regne Unit, es van perdre discs informàtics que contenien informació confidencial sobre 25 milions de beneficiaris dels beneficis infantils. Els discos es van perdre en trànsit des de la seva seu central a Newcastle fins a la seu de l’asseguradora a Edimburg.

T-Mobile, Deutsche Telecom, Alemanya (2006)

Mida del trencament: 17M

Els lladres van fer servir un dispositiu d’emmagatzematge que contenia noms, adreces, números de telèfon mòbil, algunes de dates de naixement i algunes adreces de correu electrònic per a alguns ciutadans alemanys d’alt perfil. Per sort, el dispositiu robat no conté dades financeres, com ara targetes de crèdit o comptes bancaris.

La gran incògnita

Cal destacar que alguns incompliments reportats afecten un nombre desconegut de clients, de manera que pot haver-hi altres incompliments que hagin superat la marca de 10 milions de registres. A més, les infraccions es poden descobrir completament o durant un període de temps.

El nou Reglament general de protecció de dades (GDPR) de la UE inclou un requisit que les empreses informin de incompliments de dades (que compleixen determinats criteris) en un termini de 72 hores. Si bé hi ha una llei estatal de Califòrnia que es refereix als informes d’incompliment de dades, no hi ha cap legislació federal que exigeixi informes obligatoris de detalls d’incompliment de dades. Tanmateix, no denunciar un incompliment pot comportar demandes d’usuaris afectats, de manera que la majoria de les empreses denuncien quan descobreixen que han estat piratejats o perden alguna informació..

Tot i que, la quantitat d’informació reportada es correspon en la seva totalitat a l’empresa informant, fins i tot fins al punt d’admetre que hi va haver una incomplicació sense detalls sobre quines dades ni fins a quantes dades corrien el risc de ser accedides per persones no autoritzades. D’acord amb la privacitat de drets de privacitat, milers d’empreses han optat per no informar sobre la quantitat de les dades que li han estat confiades o fins i tot quants dels seus clients poden estar en risc..

Ara teniu en compte que algunes d’aquestes empreses estan recopilant informació sense informar prèviament als subjectes de la seva mineria de dades que la seva informació s’està carregant a una base de dades. Qualsevol punt de venda al qual una persona recorre recopila informació sobre què mira, rep, compra i surt de la seva botiga. Relaciona aquestes dades amb el reconeixement facial de les càmeres de seguretat, així com amb la informació rebuda del sistema de punt de venda, i tenen una identitat per connectar a aquesta entrada de dades.

Gairebé tots els punts de venda minoristes tenen ara alguna forma d’adhesió que es recomana als clients que s’inscriguin voluntàriament amb ofertes de descomptes en el combustible, punts d’estalvi a la botiga, cupons digitals personalitzats i altres incentius similars. Tot això no és, de fet, gratuït. Vens la informació d’identificació personal a aquestes empreses a canvi de les avantatges adjuntes al sistema d’adhesió de la botiga.

Què pots fer?

Hi ha algunes coses que podeu fer per minimitzar els danys o fins i tot evitar que la informació entri a les mans equivocades. Hi pot ser útil fer servir una eina d’anonimat en línia (com ara una VPN), instal·lar programari antivirus, utilitzar contrasenyes fortes i activar l’autenticació de dos factors. En aquest cas, si la plataforma que intenteu assegurar no ofereix autenticació de dos factors, potser podeu utilitzar una aplicació d’autenticació de dos factors de tercers, com ara DUO Mobile i Google Authenticator.

A l’extrem més extrem, sempre hi ha l’opció de contactar amb qualsevol empresa amb la qual hagi confiat la vostra informació. Podeu preguntar-los què tenen al vostre lloc, no només per evitar violacions de dades, sinó quines accions duen a terme quan prenen consciència d’una fuga.

Si voleu comprovar si la vostra informació ha estat involucrada en un incompliment de dades, hi ha una eina útil? lloc web

Heu experimentat efectes secundaris o fins i tot efectes directes d’una infracció de dades? Com es va recuperar? Deixeu els vostres comentaris a continuació juntament amb qualsevol consell que pugueu tenir per a altres lectors.

Incompliment de dades”De Blogtrepreneur CC BY 2.0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map