10 крупнейших утечек данных с начала XXI века

Москва, 10 октября - "Вести.Экономика". Утечки данных происходят ежедневно по всему миру, так что довольно сложно бывает отследить их. Однако случается так, что утечка данных бывает настолько крупной, что на это невозможно не обратить внимание, так как такие утечки затрагивают огромное количество людей. А последствия подобных утечек могут быть поистине катастрофичными. Ниже мы расскажем о 10 крупнейших утечках данных современности. 1. Yahoo Когда: 2013-2014 гг. Влияние: 3 млрд пользовательских аккаунтов В 2013 году хакеры получили доступ ко всем 3 млрд аккаунтов Yahoo. Хакеры получили имя, даты рождения, телефоны, адреса электронной почты, хешированные пароли, а также вопросы и ответы для восстановления пароля. При этом им не удалось получить информацию о кредитных картах. Комиссия по ценным бумагам и биржам США (SEC) оштрафовала Yahoo на $35 млн за массовую утечку данных пользователей. Штраф придётся выплатить компании Altaba, владеющей частью Yahoo, оставшейся после продажи основного бизнеса корпорации телеком-оператору Verizon. По мнению регулятора, Yahoo не смогла должным образом расследовать этот инцидент. 2. Adult Friend Finder Когда: октябрь 2016 года Влияние: свыше 412.2 млн аккаунтов Осенью 2016 года к специалистам по информационной безопасности ресурса LeakedSource попала база данных аккаунтов пользователей сервисов компании Friend Finder Network Inc, о чем свидетельствует соответствующая запись в их блоге. Основным бизнесом FFN являются сайты для секс-знакомств, например, Adultfriendfinder.com, Cams.com и Penthouse.com. В общей сложности база состоит из почти 400 млн учетных записей. По словам экспертов, это крупнейшая утечка аккаунтов в 2016 году. По утверждению аналитиков LeakedSource, большинство информации об учетных записях хранилось в открытом виде, либо было защищено при помощи алгоритма хэширования SHA-1. Как итог, около 99% данных было расшифровано. В пятёрку наиболее популярных паролей вошли комбинации «123456» (использовалась более 900 тысяч раз), «12345» (более 635 тысяч раз) и «123456789» (более 585 тысяч раз), «12345678» (более 145 тысяч раз) и «1234567890» (почти 133 тысяч раз). 3. eBay Когда: май 2014 года Влияние: 145 млн пользователей В мае 2014 года в результате хакерской атаки произошла утечка данных 145 млн пользовательских аккаунтов EBay. Компания рекомендовала клиентам немедленно поменять пароли, отметив, что эти данные также оказались в числе похищенных. Тем не менее, EBay отмечает, что фактов посягательств на аккаунты пользователей замечено не было: все похищенные пароли были зашифрованы и для того, чтобы ими воспользоваться, необходимо их расшифровать. По сообщению eBay Inc., инцидент случился где-то «в конце февраля — начале марта», но сам взлом обнаружился лишь в мае. Для расследования были призваны эксперты-криминалисты, и после того как худшие подозрения подтвердились, компания сделала официальное заявление. Среди похищенной информации оказались такие данные, как «имена, зашифрованные пароли, адреса электронной почты, физические адреса, номера телефонов и даты рождения клиентов eBay». 4. Equifax Когда: 29 июля 2017 года Влияние: 143 млн клиентов В ночь с 7 на 8 сентября 2017 года стало известно о взломе компании Equifax и одной из самых масштабных утечек данных за последние годы. Так, представители североамериканского подразделения Equifax сообщили, что неизвестные злоумышленники завладели личной информацией 143 млн человек (всего в США проживает 324 млн человек), включая номера социального страхования и водительских удостоверений, полные имена, адреса и так далее. Кроме того, в 209 000 случаях в документах также фигурировала информация о банковских картах пострадавших. Официальные представители Equifax сообщили, что неизвестные проникли на серверы компании еще в мае 2017 года, но их присутствие оставалось незамеченным вплоть до конца июля 2017 года. 5. Heartland Payment Systems Когда: март 2008 года Влияние: 134 млн кредитных карт С 2006 года и по начало 2008 года хакеры проявили пристальный интерес к одной из крупнейших в мире компаний по обработке платежей Heartland Payment Systems. "Пристальный интерес" привел к самому крупному взлому платежной системы в мире, и утечке данных 130 миллионов кредитных карт. В 2008 году группе хакеров, организованной Альбертом Гонзалесом, удалось проникнуть в компьютерные системы Heartland Payment Systems и похитить огромное количество личных данных клиентов компании. В то время этот инцидент безопасности назвали крупнейшей утечкой данных в истории США. В 2008 году Гонзалес был арестован по обвинению в краже 130 млн. номеров банковских карточек. 6. Target Stores Когда: декабрь 2013 года Влияние: кредитные и дебетовые карты 110 млн клиентов Хакеры безнаказанно посещали взломанную информационную сеть розничного Гиганта Target в течение нескольких недель, и никто этого не замечал. Изначально компания призналась в том, что были скомпрометированы 40 миллионов кредитных карт, но позже эта цифра выросла до 70 миллионов. В 2017 году Target, наконец, решила вопрос со всеми жертвами утечки. В рамках соглашения компания согласилась выплатить компенсацию властям штатов, а не самим клиентам компании. Средства поступят в бюджеты штатов, и местные власти сами решат, как с ними поступить. Совокупный размер компенсации составил $18 млн. Target также выделила $10 млн на возмещение убытков своим клиентам и отчислила $40 млн компенсации банкам и кредитным организациям. 7. TJX Companies, Inc. Когда: декабрь 2006 года Влияние: 94 млн кредитных карт Предположительно хищение данных началось в 2006 и продолжалось целый год. Эта утечка стала одной из самых крупных в истории киберпреступлений: за 18 месяцев было похищено около 45,6 миллионов данных о кредитных картах. Однако эксперты предполагают, что группа компаний TJX сознательно занижает цифру, а реальный ущерб нанесен более чем 90 миллионам клиентам. 8. Uber Когда: конец 2016 года Влияние: личная информация 57 млн клиентов Uber и 600 000 водителей Компании Uber Technologies Inc. пришлось уволить своего директора по безопасности и одного и его заместителей за помощь в сокрытии информации об утечке данных, в результате которой хакерам удалось получить доступ к личным данным 57 миллионов пользователей сервиса и работающих с ним водителей. Двум злоумышленникам удалось получить доступ к закрытой странице Uber на GitHub и воспользоваться полученными в результате этого учетными данными для аутентификации в аккаунте Amazon Web Services (AWS), который использовался компанией для обработки платежей. Именно благодаря этому атаковавшим удалось получить имена, адреса электронной почты и телефоны 50 миллионов пользователей Uber по всему миру. Кроме того, им удалось получить доступ к персональным данным 7 миллионов водителей Uber, в том числе к 600 тысячам государственных номерных знаков. Вскоре после этого злоумышленники обратились в Uber и потребовали от компании деньги. Руководство организовало выплату затребованной суммы и постаралось скрыть это происшествие. Когда данные о случившемся были обнародованы, компания Uber Technologies согласилась выплатить штраф в размере $148 млн по коллективному иску 50 штатов США и округа Колумбия, поданному в связи с утечкой данных пользователей в 2016 году . 9. JP Morgan Chase Когда: июль 2014 года Влияние: 76 млн домохозяйств и 7 млн мелких компаний Крупнейший банк США летом 2014 года стал жертвой нескольких кибератак, которые привели к тому, что были скомпрометированы персональные данные 76 миллионов физических лиц и 7 миллионов юридических лиц. Преступники получили доступ к 90 серверам банка. Руководство поспешило успокоить: злоумышленники узнали только адреса клиентов, а не личные данные или деньги. 10. US Office of Personnel Management (OPM) Когда: 2012-2014 гг. Влияние: личная информация 22 млн текущих и бывших госслужащих US Office of Personnel Management – ведущее управление кадровой службы в США. В информации могли содержаться сведения о банковских счетах, физические и юридические адреса сотрудников, их биографические сведения и т.п. Почти четыре миллиона государственных служащих США могли подвергнуться такой хакерской атаке. Службе пришлось рассылать уведомления всем сотрудникам. Не только нынешним, но и бывшим. У некоторых отсутствовала электронная почта, тогда доставка уведомления производилась обычной почтой. В уведомлении не уточняется информация, которая была украдена, но источники в ФБР сообщили о том, что это личные и персональные данные. Данные ведомства хранились в дата-центре министерства внутренних дел наряду с данными многих других федеральных структур. Злоумышленникам удалось получить доступ к дата-центру и, соответственно, именам, адресам, номерам соцстрахования и прочим ПДн настоящих и бывших госслужащих, а также (благодаря доступу к форме SF86) к данным супругов, детей, прочей родни.