На Хэллоуин люди любят придумывать и рассказывать жуткие истории, связанные с этим днем. В кибермире тоже есть много страшных случаев, которые в отличие от рассказов о Хэллоуине, вполне реальны. Именно поэтому специалисты ESET подготовили подборку 5 масштабных утечек данных, которые вошли в историю благодаря раскрытию информации миллионов пользователей.
1. Equifax
В 2017 году Equifax, одно из крупнейших агентств кредитной информации в США, стало жертвой утечки данных. Инцидент был вызван уязвимостью в структуре веб-приложений Apache Struts, для которой Equifax не удалось применить выпущенное исправление вовремя. Злоумышленники смогли перехватить личные данные почти 148 миллионов американцев, 15,2 миллиона британцев и почти 19 000 канадцев. Среди данных было много персональной информации, включая номера социального страхования, даты рождения и адреса, которые могли использоваться для мошенничества. По оценкам компании, убытки, связанные с этим инцидентом, достигли около 1,7 миллиардов долларов США.
2. Marriot
В 2018 году в Marriott International, одной из крупнейших гостиничных сетей в мире, произошла серьезная утечка данных, связанная с базой данных бронирования Starwood. По оценкам Marriot, под угрозой оказалось до 383 миллионов клиентов.
Среди скомпрометированной информации были имена, почтовые адреса, номера телефонов, адреса электронной почты, паспортные данные, информация об учетной записи Starwood Preferred Guest (SPG), даты рождения, а в некоторых случаях даже номера платежных карт и данные относительно их срока действия.
Скомпрометированные данные могли быть использованы для фишинговых атак, атак с помощью методов социальной инженерии, мошенничества с кредитными картами и идентификационными данными. Компания понесла убытки в размере около 72 миллионов долларов США за инцидент, однако 71 миллион было возмещено страховкой. Однако, Marriott все еще может получить немалый штраф в размере 99 миллионов фунтов стерлингов (123 миллионов долларов США) от британского органа по защите данных.
3. eBay
eBay — это один из крупнейших сайтов электронной коммерции в мире, известный своими продажами в формате аукционов. В 2014 году компания eBay стала жертвой кибератаки, в результате которой пострадало 145 миллионов активных пользователей. Согласно данным компании, атака началась с компрометации небольшого количества учетных данных сотрудников. Среди скомпрометированной информации были персональные данные клиентов, такие как имена, адреса электронных ящиков и физические адреса, номера телефонов, даты рождения, а также зашифрованные пароли, которые могли использоваться в различных формах кибератак и попытках обмана потенциальных жертв.
4. Target
В 2013 году Target, одна из крупнейших розничных сетей в США, подверглась серьезной утечки данных о 41 миллиона счетов платежных карточек, а также контактную информацию более 60 миллионов клиентов. Киберпреступники получили доступ к именам клиентов, их номерам телефонов, адресам электронной почты, номерам кредитных и дебетовых карт, а также зашифрованным PIN-кодам и кодам подтверждения кредитной карты.
По словам Target, PIN-коды были зашифрованы с помощью стандарта тройного шифрования данных, что усложнило работу киберпреступников. Однако, собранная информация могла быть использована киберпреступниками с целью мошенничества с кредитными картами и личными данными.
После утечки данных компания Target предложила услуги кредитного мониторинга (отслеживания кредитной деятельности от вашего имени) и урегулировала коллективный иск в размере 10 миллионов долларов США, пообещав выплатить до 10 000 долларов США любому клиенту, который докажет причастность утечки данных к своим убыткам. Кроме того, компании пришлось выплатить 18,5 миллионов долларов США.
5. Adult friend finder
В 2016 году Friend Finder Network — компания в области онлайн-знакомств и развлечений — потерпела утечку данных более 412 миллионов учетных записей пользователей. Огромная утечка данных включала 339 миллионов аккаунтов с сайта AdultFriendFinder.com, а также 150 миллионов удаленных аккаунтов, которые еще оставались в базе данных.
Среди данных были записи из крупнейших сайтов компании за 20 лет, включая имена пользователей, адреса электронной почты, пароли, данные о членстве на сайте, информацию о браузере, IP-адрес, который последний раз использовался для входа в систему. Стоит отметить, что пароли хранились или в виде открытого текста или зашифрованные с помощью SHA-1, чего оказалось недостаточно, поскольку пароли можно было легко сломать.
Большинство пользователей не разглашает на публику информацию о посещении или деятельности на таких веб-сайтах. К сожалению, утечка данных позволила киберпреступникам легко атаковать таких пользователей, шантажируя их раскрытием конфиденциальной информации, которую они хотели бы скрыть.
Это лишь некоторые из страшных историй кибермира, на самом деле их гораздо больше. Такие инциденты должны предостерегать домашних и корпоративных пользователей от легкомысленных действий во время работы в Интернете и заставлять ответственно относиться к персональным данным.