Από το 2010, οι παραβιάσεις δεδομένων έχουν εκθέσει πάνω από 38 δισεκατομμύρια records, σύμφωνα με την εταιρία ασφάλειας Risk Based Security. Ακούγονται σαν πολλά – και είναι. Σκεφτείτε το εξής: Υπάρχουν περίπου 327 εκατομμύρια Αμερικανοί, σύμφωνα με την τελευταία απογραφή. Αυτό σημαίνει ότι ο μέσος άνθρωπος είχε 116 “συμβιβασμούς” κατά τη διάρκεια της τελευταίας δεκαετίας. Συνολικά, η Risk Based Security λέει στο CNBC ότι υπήρξαν τουλάχιστον 40.650 data hacks από τις αρχές του 2010. Και ενώ πολλές ήταν μικρότερες παραβιάσεις δεδομένων, υπήρχαν μερικά μεγάλα hacks που πιθανόν να παραμείνουν τα μεγαλύτερα hacks των επόμενων χρόνων.
Η Identity Theft Resource Center δημοσίευσε μια κατάταξη με τις μεγαλύτερες παραβιάσεις δεδομένων που ανακοινώθηκαν από το 2010, με βάση τον αριθμό των λογαριασμών που έγιναν compromise. Η ITRC ταξινόμησε μόνο τις παραβιάσεις που μπορούσε να επιβεβαιώσει τον αριθμό των αρχείων που επηρεάστηκαν.
Ορισμένες εταιρείες, όπως η 7-Eleven, η WhatsApp και η Fortnite, ανέφεραν προβλήματα ασφαλείας κατά το παρελθόν έτος που θα μπορούσαν να έχουν επιδείξει εκατομμύρια δεδομένα πελατών, αλλά δεν αναφέρθηκε η έκταση των δεδομένων που είχαν χακαριστεί.
Ας ρίξουμε μια ματιά στα data hacks που θα μείνουν στην ιστορία ως τα μεγαλύτερα της τελευταίας δεκαετίας.
- UnderArmour (MyFitnessPal)
- Σύνολο καταγραφών που χακαρίστηκαν: 143,6 εκατομμύρια
- Ανακοινώθηκε: Μάρτιος 2018
Η εταιρία ενδυμάτων Fitness UnderAmour ανακοίνωσε τον Μάρτιο του 2018 ότι οι hacker είχαν πρόσβαση στη βάση δεδομένων backend για τη δημοφιλή διατροφή και την εφαρμογή fitness MyFitnessPal. Οι hackers ήταν σε θέση να ανακτήσουν τα ονόματα χρήστη, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους hashed κωδικούς πρόσβασης. Οι hashed κωδικοί πρόσβασης είναι κρυπτογραφημένοι, επομένως πρέπει να σπάσουν πριν μπορέσουν να χρησιμοποιηθούν.
- Equifax
- Σύνολο καταγραφών που χακαρίστηκαν: 147 εκατομμύρια
- Ανακοινώθηκε: Σεπτέμβριος 2017
Η παραβίαση δεδομένων Equifax ήταν μία από τις μεγαλύτερες στην ιστορία. Η εταιρεία ανακοίνωσε την παραβίαση δεδομένων τον Σεπτέμβριο του 2017, αναφέροντας τελικά ότι επηρεάστηκαν 147 εκατομμύρια καταναλωτές, περίπου το 56% των Αμερικανών. Οι hackers μπόρεσαν να αποκτήσουν πρόσβαση στα ονόματα των ανθρώπων, τους αριθμούς κοινωνικής ασφάλισης, τις ημερομηνίες γέννησης, τους αριθμούς πιστωτικών καρτών και ακόμη και τους αριθμούς αδειών οδήγησης.
Κατά τη διάρκεια της έρευνας για την παραβίαση, η Equifax αναγνώρισε ότι η εταιρεία ενημερώθηκε τον Μάρτιο ότι οι hackers θα μπορούσαν να εκμεταλλευτούν μια ευπάθεια στο σύστημά της, αλλά απέτυχαν να εγκαταστήσουν τα απαραίτητα patches.
Τον Ιούλιο, η Equifax συμφώνησε να πληρώσει 700 εκατομμύρια δολάρια για να διευθετήσει τις ομοσπονδιακές και κρατικές έρευνες για τον χειρισμό της μαζικής παραβίασης των δεδομένων. Ένας εκπρόσωπος από την Equifax είπε κατά τη στιγμή της διευθέτησης ότι τα στοιχεία από την παραβίαση του 2017 δεν είχαν ακόμη ανακαλυφθεί προς πώληση στο dark web.
- Dubsmash
- Σύνολο καταγραφών που χακαρίστηκαν: 161,5 εκατομμύρια
- Ανακοινώθηκε: Φεβρουάριος 2019
Τον Φεβρουάριο, η εφαρμογή ανταλλαγής μηνυμάτων βίντεο Dubsmash ανακοίνωσε ότι οι hacker έφεραν ονόματα κατόχων λογαριασμού, διευθύνσεις ηλεκτρονικού ταχυδρομείου και hasked κωδικούς πρόσβασης 162 εκατομμυρίων χρηστών.
Η παραβίαση συνέβη στην πραγματικότητα τον Δεκέμβριο του 2018, αλλά οι hackers ανακοίνωσαν ότι τα στοιχεία ήταν προς πώληση στο dark web τον Φεβρουάριο. Ήταν μέρος ενός data dump που περιλάμβανε πάνω από 600 εκατομμύρια λογαριασμούς από 16 ιστότοπους που είχαν χακαριστεί.
- Republican National Committee (Deep Root Analytics)
- Σύνολο καταγραφών που χακαρίστηκαν: 198 εκατομμύρια
- Ανακοινώθηκε: Ιούνιος 2017
Ανεξάρτητοι εμπειρογνώμονες του κυβερνοχώρου βρήκαν πληροφορίες ψηφοφόρων 198 εκατομμυρίων Αμερικανών σε έναν προσβάσιμο από το κοινό server τον Ιούνιο του 2017. Αποδείχθηκε ότι η Ρεπουμπλικανική Εθνική Επιτροπή είχε προσλάβει την εταιρία marketing Deep Root Analytics, η οποία απέτυχε να κρατήσει τις πληροφορίες των ψηφοφόρων ασφαλείς.
Ο cloud server Deep Root ήταν προσβάσιμος δημοσίως για περίπου 12 ημέρες και περιείχε προσωπικές πληροφορίες για τους ψηφοφόρους, συμπεριλαμβανομένων διευθύνσεων σπιτιών, γενεθλίων, αριθμών τηλεφώνου και απόψεων σε πολιτικά θέματα.
- Zynga
- Σύνολο καταγραφών που χακαρίστηκαν: 218 εκατομμύρια
- Ανακοινώθηκε: Σεπτέμβριος 2019
Ο κατασκευαστής κινητών παιχνιδιών Zynga ανακοίνωσε τον Οκτώβριο ότι ένας hacker είχε πρόσβαση στις πληροφορίες σύνδεσης στις 12 Σεπτεμβρίου των πελατών που παίζουν τα δημοφιλή παιχνίδια “Draw Something” και “Words with Friends”.
Εκτός από τα log-in credentials, ο hacker είχε πρόσβαση σε ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αναγνωριστικά σύνδεσης, ορισμένα Facebook IDs, μερικούς αριθμούς τηλεφώνου και αναγνωριστικά λογαριασμού Zynga περίπου 218 εκατομμυρίων πελατών, οι οποίοι εγκατέστησαν εκδόσεις iOS και Android πριν από τις 2 Σεπτεμβρίου 2019.
- Exactis
- Σύνολο καταγραφών που χακαρίστηκαν: 340 εκατομμύρια
- Ανακοινώθηκε: Ιούνιος 2018
Οι περισσότεροι Αμερικανοί δεν είχαν ακούσει για την εταιρεία Exactis πριν από τον Ιούνιο του 2018, αλλά η εταιρεία είχε δημιουργήσει ήσυχα μια βάση δεδομένων που αποτελείται από προσωπικές πληροφορίες εκατοντάδων εκατομμυρίων Αμερικανών και επιχειρήσεων.
Αλλά αυτή η βάση δεδομένων χτίστηκε σε ένα μη ασφαλές server, όπως ανακάλυψε ο ερευνητής ασφαλείας Vinny Troia στις αρχές Ιουνίου του 2018. Η Exactis εξέθεσε περίπου 2 terabytes αξίας δεδομένων που περιελάμβαναν διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις κατοικίας, αριθμούς τηλεφώνου και άλλες προσωπικές πληροφορίες.
- Marriott (Starwood)
- Σύνολο καταγραφών που χακαρίστηκαν: 383 εκατομμύρια
- Ανακοινώθηκε: Νοέμβριος 2018
Τα ονόματα, οι διευθύνσεις, οι πληροφορίες επικοινωνίας και οι αριθμοί διαβατηρίων περισσότερων από 300 εκατομμυρίων ανθρώπων που παρέμειναν σε ιδιοκτησία ξενοδοχείου του Starwood είχαν γίνει μέρος ενός μεγάλου hack ανέφεραν τα ξενοδοχεία Marriott το Νοέμβριο του 2018. Η Marriott απέκτησε την αλυσίδα ξενοδοχείων Starwood το 2016.
Η ομάδα δεδομένων της Marriott επιβεβαίωσε ότι η βάση δεδομένων κρατήσεων Guest Starwood – η οποία περιέχει έως και 500 εκατομμύρια λογαριασμούς – έχει υποστεί βλάβη και το hacking ενδέχεται να έχει συνεχιστεί από το 2014.
- Veeam
- Σύνολο καταγραφών που χακαρίστηκαν: 445 εκατομμύρια
- Ανακοινώθηκε: Σεπτέμβριος 2018
Δεν είναι καλό όταν μια εταιρεία διαχείρισης δεδομένων να κυκλοφορήσει η φήμη ότι κάνει κακή διαχείριση των δεδομένων των πελατών. Αλλά αυτό ακριβώς συνέβη με την Veeam που εδρεύει στην Ελβετία. Η εταιρεία δήλωσε ότι μία από τις “βάσεις δεδομένων μάρκετινγκ της ήταν εσφαλμένα ορατή σε μη εξουσιοδοτημένους τρίτους”.
Λόγω του “ανθρώπινου σφάλματος”, περίπου 445 εκατομμύρια εγγραφές που περιέχουν ονόματα, μηνύματα ηλεκτρονικού ταχυδρομείου και διευθύνσεις IP στη βάση δεδομένων ήταν ορατά για περίπου 10 ημέρες. Όμως η Veeam είπε ότι πολλά από αυτά τα αρχεία ήταν διπλότυπα και μόλις 4.5 εκατομμύρια μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου κατέληξαν να εκτίθενται.
- River City Media
- Σύνολο καταγραφών που χακαρίστηκαν: 1,3 δισεκατομμύρια
- Ανακοινώθηκε: Μάρτιος 2017
Μια εταιρεία email μάρκετινγκ, η River City Media, έγινε πρωτοσέλιδο το 2017 για διαρροή 1,4 δισεκατομμυρίων αρχείων. Η εταιρεία ρύθμισε εσφαλμένα ένα αντίγραφο ασφαλείας που τοποθετούσε κατά λάθος ολόκληρη τη βάση δεδομένων online, η οποία περιείχε λεπτομέρειες όπως διευθύνσεις IP, ονόματα και ακόμη και φυσικές διευθύνσεις.
Ο Chris Vickery, ερευνητής της MacKeeper, δήλωσε ότι κατά τη στιγμή της ανακάλυψης των παραβιάσεων δεδομένων η River City Media ήταν σε θέση να συγκεντρώσει τις πληροφορίες μέσω μιας διαδικασίας spam που περιελάμβανε την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου υπόσχεσης “πιστωτικών επιταγών, ευκαιριών εκπαίδευσης και κληρώσεων”.
- Yahoo!
- Σύνολο καταγραφών που χακαρίστηκαν: πάνω από 3 δισεκατομμύρια
- Ανακοινώθηκε: Σεπτέμβριος και Δεκέμβριος 2016
Επί του παρόντος, ο τίτλος για τη μεγαλύτερη παραβίαση δεδομένων στην ιστορία πηγαίνει στην Yahoo. Η εταιρεία – την οποία η Verizon αποκάλυψε ότι ήταν θύμα πολλαπλών μεγάλων αχρήστων τα τελευταία χρόνια που εξέθεσαν τα ονόματα, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τους αριθμούς τηλεφώνου και τις ημερομηνίες γέννησης πάνω από ένα δισεκατομμύριο άνθρωποι που χρησιμοποίησαν το Yahoo.
Το Yahoo δήλωσε στο κοινό το Σεπτέμβριο του 2016 ότι είχε σημειωθεί παραβίαση το 2014 που επηρέασε τουλάχιστον 500 εκατομμύρια λογαριασμούς. Ακολούθησε αυτή την ανακοίνωση με άλλη μια τον Δεκέμβριο του ίδιου έτους, που αναφέρει λεπτομερώς μια επίθεση το 2013 στο δίκτυό της, η οποία εξέθεσε τουλάχιστον ένα δισεκατομμύριο λογαριασμούς χρηστών.
Μετά την πώληση του Yahoo που έκλεισε το 2017, η Verizon σημείωσε ότι η επίθεση του 2013 επηρέασε και τα τρία δισεκατομμύρια των χρηστών της Yahoo. Η Yahoo τελικά συμφώνησε να καταβάλει 117,5 εκατομμύρια δολάρια για να διευθετήσει μια αγωγή κατηγορίας για το πώς χειρίστηκε τις επικοινωνίες γύρω από τα hacks.
