Databrud påvirker millioner af brugere og er mere almindelige end vi lige går og tror.
I dagens datadrevne verden kan databrud påvirke hundreder af millioner eller endda milliarder af mennesker ad gangen. Digital transformation har øget udbuddet af dataoverførsler og tyveri af data er skaleret da de kriminelle udnytter dagligdagens dataafhængigheder. Hvor store cyberangreb i fremtiden kan blive forbliver spekulationer, men som ses af de største dataovertrædelser i det 21. Århundrede, har de allerede nået enorme størrelser.
Hermed en opdateret liste over de 15 største dataovertrædelser i nyere historie, herunder detaljer om de berørte, hvem der var ansvarlige og hvordan virksomhederne reagerede.
1. Yahoo
Dato: August 2013
Impact: 3 milliarder konti
Yahoo annoncerede først offentligt hændelsen, som den sagde fandt sted i 2013, i december 2016. På det tidspunkt var Yahoo ved at blive opkøbt af Verizon og anslog, at kontooplysninger på mere end en milliard af sine kunder var blevet åbnet af en hackinggruppe. Mindre end et år senere meddelte Yahoo, at det faktiske tal for udsatte brugerkonti var 3 milliarder. Yahoo erklærede, at det reviderede skøn ikke repræsenterer et nyt “sikkerhedsproblem” og at de udsendte e-mails til alle de “yderligere berørte brugerkonti.”
På trods af angrebet blev aftalen med Verizon afsluttet, om end til en reduceret pris. Verizon’s CISO Chandra McMahon sagde dengang: “Verizon er forpligtet til at yde de højeste standarder for ansvarlighed og gennemsigtighed og vi arbejder proaktivt for at sikre sikkerheden for vores brugere og netværk i et landskab af online trusler. Vores investering i Yahoo gør det muligt for vores team at fortsætte med at tage betydelige skridt til at forbedre sikkerheden, samt drage fordel af Verizon’s erfaring og ressourcer.” Efter undersøgelsen blev det erfaret, at angriberne fik adgang til kontooplysninger såsom sikkerhedsspørgsmål og svar, men almindelig tekstadgangskoder, betalingskort og bankdata blev ikke stjålet.
2. Alibaba
Dato: November 2019
Effekt: 1,1 milliarder stykker brugerdata
Over en otte-måneders periode stjal en udvikler, der arbejdede for en affilieret marketingudbyder, kundedata, herunder brugernavne og mobilnumre, fra Alibaba kinesiske shoppingwebsted, Taobao, ved hjælp af crawler-software, som han havde skabt. Umiddelbart indsamlede han oplysningerne til eget og hans arbejdsgivers brug og ikke solgte dem på det sorte marked. De blev dog begge blev idømt tre års fængsel.
I en erklæring fra Taobao blev det sagt: “Taobao bruger betydelige ressourcer på at bekæmpe uautoriseret dataoverførsler på vores platform, da databeskyttelse og sikkerhed er af største betydning. Vi har proaktivt opdaget og handlet på denne uautoriserede brud på vores data. Vi vil fortsætte med at retsforfølge den slags aktiviteter for at forsvare og beskytte vores brugeres og partneres interesser.”
3. LinkedIn
Dato: Juni 2021
Impact: 700 millioner brugere
Netværksgiganten LinkedIn opdagede at data, der var forbundet med 700 millioner af dets brugere, var lagt ud på et mørkt webforum i juni 2021, hvilket påvirkede mere end 90% af dets brugerbase. En hacker går under tilnavnet “GOD User” stjal data ved at udnytte webstedets (og andres) API før de udlagde information om data på omkring 500 millioner kunder. Derefter fulgte de op med et praleri af, at de ville sælge den fulde 700 millioner kundedatabase. Samtidigt hævdede LinkedIn, at ingen følsomme personlige data var blevet stjålet, men at hændelsen var en overtrædelse af dens servicevilkår. Det viste sig dog at en samling af data indsendt af GOD User indeholdt oplysninger, herunder e-mail-adresser, telefonnumre, geografiske optegnelser, køn og andre detaljer fra sociale medier, hvilket ville give ondsindede aktører masser af data til eventuelle kriminelle handlinger.
4. Sina Weibo
Dato: Marts 2020
Effekt: 538 millioner konti
Med over 600 millioner brugere er Sina Weibo en af Kinas største sociale medieplatforme. I marts 2020 annoncerede virksomheden, at en hacker havde fået adgang til en del af deres database, hvilket påvirkede 538 millioner Weibo-brugere gennem deres deres personlige oplysninger, herunder rigtige navne, brugernavne, køn, placering og telefonnumre. Hackeren have derefter solgt databasen på det mørke web for $ 250.
Kinas ministerium for industri og informationsteknologi (MIIT) beordrede Weibo til at forbedre sine datasikkerhedsforanstaltninger for bedre at beskytte personlige oplysninger og underrette brugere og myndigheder, når der opstår datasikkerhedshændelser. I en erklæring hævdede Sina Weibo, at en hacker havde indsamlet offentligt indsendte oplysninger ved hjælp af en tjeneste, der skulle hjælpe brugerne med at finde Weibo-kontiene for venner ved at indtaste deres telefonnumre og at ingen adgangskoder blev påvirket. De indrømmede dog, at de eksponerede data kunne bruges til at knytte konti til adgangskoder, hvis adgangskoderne genbruges på andre konti. Virksomheden sagde, at den styrkede sin sikkerhedsstrategi og rapporterede detaljerne til de relevante myndigheder.
5. Facebook
Dato: April 2019
Effekt: 533 millioner brugere
I april 2019 blev det afsløret, at datasæt fra Facebook-app’s var blevet hacket og åbnet for internettet. Oplysningerne vedrørte mere end 530 millioner Facebook-brugere og omfattede telefonnumre, kontonavne og Facebook-id’er. To år senere (april 2021) var der tydelige indikationer af reelle kriminelle hensigter omkring dataene.
6. Marriott International (Starwood)
Dato: September 2018
Impact: 500 millioner kunder
Hotel Marriot International annoncerede en eksponering af følsomme data, der tilhørte en halv million Starwood-gæster efter et angreb på dets systemer i september 2018. I en erklæring, der blev offentliggjort i november samme år, sagde hotelgiganten: “Den 8. september 2018 modtog Marriott en advarsel fra et internt sikkerhedsværktøj om et forsøg på at få adgang til Starwoods gæstereservationsdatabase. Marriott engagerede hurtigt førende sikkerhedseksperter til at undersøge hændelsen.”
Marriott erfarede under undersøgelsen, at der havde været uautoriseret adgang til Starwood-netværket siden 2014. “Marriott opdagede for nylig, at en uautoriseret part havde kopieret og krypteret oplysninger og taget skridt til at fjerne dem. Den 19. november 2018 var Marriott i stand til at dekryptere oplysningerne og fastslog, at indholdet var fra Starwoods gæstereservationsdatabase,” tilføjede erklæringen.
De kopierede data omfattede gæsternes navne, postadresser, telefonnumre, e-mail-adresser, pasnumre, Starwood Preferred Guest-kontooplysninger, fødselsdato, køn, ankomst- og afgangsoplysninger, reservationsdatoer og kommunikationspræferencer. For nogle omfattede oplysningerne også betalingskortnumre og udløbsdatoer, selvom disse tilsyneladende var krypteret.
Marriot gennemførte en undersøgelse bistået af sikkerhedseksperter efter bruddet og annoncerede de planer om at udfase Starwood-systemer og fremskynde sikkerhedsforbedringer til sit netværk. Virksomheden blev til sidst idømt en bøde på £ 18,4 millioner (reduceret fra £ 99 millioner) af det britiske Information Commissioner’s Office (ICO) i 2020 for ikke at holde kundernes personlige data sikre. Angrebet er blevet tilskrevet en kinesisk efterretningsgruppe, der søger at indsamle data om amerikanske borgere.
7. Yahoo
Dato: 2014
Impact: 500 millioner konti
Yahoo optræder igen på listen, da de også var udsat for et angreb i 2014. Ved den lejlighed stjal statsstøttede skuespillere data fra 500 millioner konti, herunder navne, e-mailadresser, telefonnumre, adgangskoder og fødselsdatoer. Virksomheden tog de første skridt til handling tilbage i 2014, men det var først i 2016, at Yahoo gik offentligt med detaljerne, efter at en stjålet database blev udbudt til salg på det sorte marked.
8. The FriendFinder Network
Dato: Oktober 2016
Effekt: 412,2 millioner konti
Den sociale netværkstjeneste The FriendFinder Network fik stjålet 20 års brugerdata på tværs af seks databaser af cybertyve i oktober 2016. Den følsomme karakter af de tjenester virksomheden tilbyder omfatter afslappede tilslutnings- og websteder med voksent indhold som Adult Friend Finder, Penthouse.com og Stripshow.com. Netværkstjenesten havde brud på data fra mere end 414 millioner konti, herunder navne, e-mail-adresser og adgangskoder, potentialet til at være særligt skadende for ofrene.
9. MySpace
Dato: 2013
Impact: 360 millioner brugerkonti
Selvom det længe var holdt op med at være det kraftcenter, det engang var, ramte det sociale medie MySpace overskrifterne i 2016, efter at 360 millioner brugerkonti blev lækket på både LeakedSource.com og sat til salg på det mørke webmarked, The Real Deal, med en salgspris på 6 bitcoin (omkring $ 3,000 på daværende tidspunkt).
Ifølge virksomheden iinkluderede mistede data e-mailadresser adgangskoder og brugernavne til en del af de konti, der blev oprettet før 11. juni 2013, på den gamle Myspace-platform.
10. NetEase
Dato: Oktober 2015
Effekt: 235 millioner brugerkonti
NetEase, en udbyder af postkassetjenester gennem folk som 163.com og 126.com, led angiveligt et databrud i oktober 2015, da e-mailadresser og adgangskoder i forbindelse med 235 millioner konti blev solgt af den mørke webmarkedsleverandør, DoubleFlag. NetEase har hævdet, at der ikke opstod databrud.
11. Court Ventures (Experian)
Dato: Oktober 2013
Impact: 200 millioner personlige optegnelser
Experian datterselskab Court Ventures blev offer i 2013, da en vietnamesisk mand narrede dem til at give ham adgang til en database, der indeholdt 200 millioner personlige optegnelser, ved at udgive sig for at være en privatdetektiv fra Singapore. Detaljerne i Hieu Minh Ngo’s bedrifter kom først for dagens lys efter hans anholdelse for at sælge personlige oplysninger om amerikanske beboere (herunder kreditkortnumre og CPR-numre) til cyberkriminelle over hele verden, noget han havde gjort siden 2007. I marts 2014 erklærede han sig skyldig i flere anklager, herunder identitetssvindel i US District Court for District of New Hampshire. Justitsministeriet udtalte på det tidspunkt, at Ngo havde tjent i alt 2 millioner dollars på at sælge personoplysninger.
12. LinkedIn
Dato: Juni 2012
Impact: 165 millioner brugere
LinkedIn led i 2012 et databrud, da det meddelte, at 6,5 millioner ikke-tilknyttede adgangskoder (SHA-1-hashes) var blevet stjålet af hackere og lagt ud på et russisk hackerforum. Det var dog først i 2016, at det fulde omfang af hændelsen blev afsløret. Den samme hacker, der solgte MySpaces data, viste sig at tilbyde e-mailadresser og adgangskoder til omkring 165 millioner LinkedIn-brugere til kun 5 bitcoins (omkring $ 2,000 på daværende tidspunkt). LinkedIn erkendte, at de var blevet gjort opmærksomme på overtrædelsen og sagde, at de havde nulstillet adgangskoderne til berørte konti.
13. Dubsmash
Dato: December 2018
Effekt: 162 millioner brugerkonti
I december 2018 den New York-baserede videomeddelelsestjeneste Dubsmash 162 millioner e-mailadresser, brugernavne, PBKDF2-adgangskode-hashes og andre personlige data såsom fødselsdato stjålet, som alle derefter blev sat til salg på Dream Market dark web-markedet den følgende december.
Dubsmash erkendte at der var sket databrud og salg af oplysninger og gav råd om ændring af adgangskode. De kunne dog ikke fortælle, hvordan angriberne kom ind eller bekræfte, hvor mange brugere der blev påvirket.
14. Adobe
Dato: Oktober 2013
Impact: 153 millioner brugerposter
I begyndelsen af oktober 2013 rapporterede Adobe, at hackere havde stjålet næsten tre millioner krypterede kundekreditkortposter og logindata til et ubestemt antal brugerkonti. Få dage senere øgede Adobe dette skøn til at omfatte ID’er og krypterede adgangskoder til 38 millioner “aktive brugere”. Ugers efterforskning viste, at hacket også havde udsat kundenavne, adgangskode og debet- og kreditkortoplysninger. En aftale i august 2015 opfordrede Adobe til at betale $ 1.1 millioner i advokatomkostninger og et ukendt beløb til brugere for at afvikle krav om overtrædelse af Customer Records Act og urimelig forretningspraksis. I november 2016 blev det beløb, der blev betalt til kunderne, rapporteret til at være $ 1 million.
15. MyFitnessPal
Dato: Februar 2018
Effekt: 150 millioner brugerkonti
I februar 2018 udsatte diæt- og træningsappen MyFitnessPal (ejet af Under Armour) omkring 150 millioner unikke e-mailadresser, IP-adresser og loginoplysninger såsom brugernavne og adgangskoder gemt som SHA-1 og bkrypterede hashes. Det følgende år dukkede dataene op til salg på de mørke web. Herefter erkendte MyFitnessPal hændelsen og tog skridt til at underrette brugerne om sagen.
Du kan altid indtaste din email på:
