Con un historial de casi 9,000 violaciones de datos en los EE. UU. En los últimos 12 años, es una apuesta segura que cualquier información electrónica relacionada con usted está en riesgo o ya ha sido comprometida al menos una vez. Como dice James Comey, el ex director del FBI, “hay dos tipos de empresas. Los que han sido pirateados y los que aún no saben que han sido pirateados “.
La necesidad de privacidad y anonimato en línea crece con cada violación que ocurre, y no parece haber ningún final a la vista. Cada corporación está reuniendo información sobre sus clientes, clientes e incluso personas aleatorias. Las grandes corporaciones invierten miles de millones de dólares cada año en sistemas de recopilación de datos, tecnologías de bases de datos para almacenarlo todo, servidores caros con grandes cantidades de almacenamiento y analistas de datos para darle sentido..
No es solo un juego para empresas. Las agencias de inteligencia de todo el mundo se reúnen y tratan de dar sentido a la información como su agenda principal. La desafortunada ironía aquí es que muchas compañías parecen carecer de preocupación por mantener esa información segura y fuera del alcance de los demás una vez que la tienen. Si cae en las manos equivocadas, hay varias repercusiones potenciales para los involucrados, incluido un mayor riesgo de ser víctima de delitos como esquemas de phishing, ataques de ransomware y robo de identidad..
La siguiente lista muestra un desglose anual de la mayor de estas violaciones de datos, con un mínimo de 10 millones de registros en riesgo de estar expuestos a personas no autorizadas. Tenga en cuenta que el número total de infracciones denunciadas citadas se refiere a infracciones que involucran a empresas estadounidenses o que han afectado a clientes estadounidenses.
Violaciones de datos por año
2023
2023 está demostrando ser un gran año para las violaciones de datos, con varias violaciones que ya exponen a cientos de millones de víctimas en todo el mundo. Una gran cantidad de atención este año parece estar dirigida a grandes descargas de datos personales recopilados y ensamblados, vendidos en archivos masivos en la web oscura..
Dropbox, LinkedIn y otros
Tamaño de incumplimiento: 2.2B
Los hackers han recopilado, distribuido y descargado más de 2.200 millones de registros robados de un mayor número de sitios web, incluidos Dropbox y LinkedIn. Parece que estos datos se han recopilado y combinado durante varios años y ahora se están volcando en la web oscura para la venta. El primero de estos volcados de datos robados, llamado Colección # 1, incluye nombres de usuario y contraseñas.
Servidor Google Cloud (propietario desconocido)
Tamaño de incumplimiento: 1.2B
El investigador de seguridad Vinny Troia descubrió un servidor Google Cloud no seguro que contiene 1.200 millones de registros de consumidores. Si bien no se revelaron datos muy sensibles, como contraseñas e información financiera, el servidor contenía direcciones de correo electrónico, perfiles de redes sociales e incluso niveles potenciales de ingresos. Dicha información podría usarse para fines de spam, ciberataques o piratería de cuentas.
Evite, MindJolt, Wanelo y más
Tamaño de incumplimiento: 1B
Un hacker llamado “Gnosticplayers” ha descargado casi mil millones de registros de usuarios en los primeros meses de 2023. La información incluye nombres de usuario, direcciones de correo electrónico, direcciones IP y contraseñas de varios sitios web, incluidos Evite, MindJolt y Wanelo, entre varios otros.
Primer americano
Tamaño de incumplimiento: 900M
La compañía de seguros First American dejó 900 millones de archivos confidenciales de clientes expuestos durante más de 2 años. La información expuesta incluye números de cuentas bancarias, extractos de cuentas bancarias, números de Seguro Social, imágenes de licencias de conducir y más, lo que equivale a información más que suficiente para robar con éxito las identidades y el dinero de las víctimas. No está claro si alguno de los datos expuestos fue accedido ilegalmente.
Dubsmash, MyFitnessPal, MyHeritage y más
Tamaño de incumplimiento: 600M
Un pirata informático vendió con éxito más de 600 millones de registros de múltiples sitios en la web oscura por $ 20,000 en Bitcoin. Los registros provienen de múltiples compañías y sitios web, incluidos Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), EyeEm (22 millones), 8fit (20 millones) , Whitepages (18 millones) y otros.
Tamaño de incumplimiento: 540M
Dos servidores Amazon AWS mal configurados expusieron más de 540 millones de información de la cuenta de usuario de Facebook. Uno era propiedad de la empresa mexicana Cultura Colectiva y dejaba identificaciones y comentarios de Facebook vulnerables. El segundo servidor, propiedad del juego de Facebook “At the Pool”, expuso información aún más confidencial, incluidas algunas contraseñas de texto sin formato, fotos, registros, me gusta e intereses, entre otros datos..
Zynga (Palabras con amigos)
Tamaño de incumplimiento: 218M
En un informe de inversionistas del 12 de septiembre, el creador de Words with Friends, Zynga, anunció que sus servidores fueron pirateados por una fuente externa. Según la compañía, se accedió a la información de la cuenta del usuario, pero Zynga ofreció pocos detalles sobre la naturaleza de la violación. Sin embargo, el hacker (o grupo de hackers) conocido como gnosticplayers más tarde anunció la responsabilidad del hack. Los datos robados supuestamente incluían nombres de jugadores, direcciones de correo electrónico, ID de Facebook, tokens de restablecimiento de contraseña e ID de cuenta de Zynga.
Mountberg Limited
Tamaño de incumplimiento: 100M
En enero, un grupo de juego en línea expuso más de 100 millones de apuestas de usuarios y otros detalles de los usuarios. Una instancia de ElasticSearch no segura en el servidor de la compañía reveló detalles del usuario, como los montos de las apuestas y los retiros.
Propietario desconocido
Tamaño de incumplimiento: 80M
Los investigadores encontraron una base de datos no segura que contiene información personal sobre más de 80 millones de hogares y familias en los Estados Unidos. La información filtrada incluye direcciones, ubicación geográfica aproximada a través de la longitud y latitud, edades, fechas de nacimiento, ingresos, estado civil, estado del propietario, tipo de vivienda y más..
Tamaño de incumplimiento: 60M
Un investigador de seguridad descubrió que varias bases de datos parecían filtrar más de 60 millones de información de clientes de LinkedIn. Si bien LinkedIn informó que no es su base de datos, parece que la base de datos filtrada puede contener datos de perfil disponibles públicamente, eliminados del sitio por un tercero.
Tamaño de incumplimiento: 49M
La débil seguridad en un servidor de Amazon Web Services dejó expuestos millones de cuentas de Instagram. Propiedad de la empresa de marketing de redes sociales con sede en India Chtrbox, las ubicaciones y la información de contacto privada de más de 49 millones de “influencers” de Instagram estaban disponibles. Las cuentas también incluyen cuánto valía cada cuenta de influencer en función de varias métricas, incluida la cantidad de seguidores y el compromiso.
Tamaño de incumplimiento: 14M
Un investigador de ciberseguridad que utiliza el servicio Shodan encontró más de 14 millones de detalles de la cuenta de Instagram, incluidos nombres de perfil, enlaces a imágenes de perfil y otra información, en un servidor no seguro con sede en el Reino Unido. No estaba claro quién es el propietario del servidor o si está recopilando los datos..
Escaleras
Tamaño de incumplimiento: 13M
Una base de datos AWS ElasticSearch sin protección para el sitio de trabajo Ladders expuso 13 millones de cuentas de usuario y perfiles. Se expuso la información de las personas que buscan trabajo, como nombres, direcciones de correo electrónico, números de teléfono, geolocalización, salarios actuales y deseados, historial de empleo y el estado de la visa H1-B de EE. UU. La información personal de los empleadores y reclutadores en el sitio también fue expuesta.
Diagnósticos de búsqueda
Tamaño de incumplimiento: 11.9M
En junio, la American Medical Collection Agency, un proveedor de servicios de facturación y codificación médica, informó que su página de pago para Quest Diagnostics fue violada. Cerca de 12 millones de registros médicos y financieros de clientes quedaron expuestos. La violación duró entre el 22 de agosto y el 30 de marzo. El portal de pago fue retirado y migrado a un tercero en respuesta.
Patrulla Fronteriza de Aduanas de EE. UU.
Tamaño de incumplimiento: Desconocido (siguiente)
En junio, la Patrulla Fronteriza de Aduanas de EE. UU. Informó que un número no revelado de datos biométricos había sido robado a un subcontratista federal. Los datos incluyeron imágenes de matrículas y fotos de identificación de los viajeros que entran y salen de los Estados Unidos. CBP informó que el subcontratista no identificado transfirió estos datos de los servidores del gobierno a sus propios servidores sin permiso, donde los datos fueron robados luego de un ataque..
2023
En 2023, se produjeron 700 infracciones reportadas, 11 de ellas con más de 10 millones de registros.
Marriott International
Tamaño de incumplimiento: 500M
Hasta 500 millones de huéspedes de Marriott International pueden haber estado involucrados en esta violación masiva que comenzó en 2014. Se violaron más de 320 millones de datos de clientes, incluidos nombres, direcciones y números de pasaporte, lo que llevó a muchos huéspedes enojados a exigir que Marriott pague por el expedición de nuevos pasaportes.
Exactis
Tamaño de incumplimiento: 340M
En junio de 2023, la empresa de marketing y agregación de datos, Exactis, filtró casi 340 millones de registros en un servidor al que podía acceder el público. Se incluyó información sobre individuos y empresas, incluidos números de teléfono, domicilios y direcciones de correo electrónico..
Debajo de la armadura
Tamaño de incumplimiento: 150M
Se estima que 150 millones de usuarios de la aplicación de alimentación y nutrición de Under Armour, MyFitnessPal, pudieron haber expuesto su información. Se cree que los datos involucrados en la filtración incluyen direcciones de correo electrónico, nombres de usuario y contraseñas hash.
MindBody – FitMetrix
Tamaño de incumplimiento: 113M
El software de acondicionamiento físico FitMetrix, que fue adquirido por MindBody a principios de 2023, estuvo involucrado en una violación que afectó a más de 113 millones de registros, aunque se desconoce el número de usuarios con los que esto se correlaciona. La violación fue descubierta por un investigador de seguridad que descubrió que tres de los servidores de FitMetrix estaban desprotegidos y filtraban datos..
Capital One Bank
Tamaño de incumplimiento: 106M
El 29 de julio, Capital One Bank anunció que experimentó una violación masiva de datos que ocurrió en algún momento entre marzo y julio. La violación expuso a los 100 millones de clientes en los EE. UU. Y a 6 millones de clientes en Canadá. Aunque los datos vulnerados se encontraban principalmente en nombres, direcciones, números de teléfono y puntajes de crédito, unos 140,000 clientes en Canadá tenían números de seguro social expuestos, mientras que 80,000 clientes de EE. UU. Tenían números de cuentas bancarias vinculadas expuestos.
En el momento de su informe, la culpable, la ingeniera de software Paige Adele Thompson, de 33 años, había sido detenida por la Oficina Federal de Investigaciones. Según los informes, Thompson publicó sobre la violación en GitHub y se jactó de ello en Twitter y la aplicación de chat Slack. Thompson parece haber robado los datos de un servidor Capital One alojado por Amazon Web Services.
Tamaño de incumplimiento: 50M
En septiembre de 2023, se descubrió una violación de la seguridad de los datos en forma de error que permitía a los atacantes tomar el control de las cuentas de Facebook de las personas. Se sabía que 50 millones de cuentas habían sido afectadas, pero podrían haber estado involucradas hasta 40 millones más.
Facebook (Cambridge Analytica)
Tamaño de incumplimiento: 50M
Antes de la violación anterior, el escándalo de Cambridge Analytica había salido a la luz. La firma de análisis de datos había accedido y almacenado los datos personales de 50 millones de usuarios de Facebook a través de un investigador externo. La adquisición de los datos violó los términos de servicio de Facebook y, como tal, representó una violación masiva de la información del usuario.
Localblox
Tamaño de incumplimiento: 48M
Localblox es similar a Cambridge Analytica en que recopila información de fuentes de acceso público para crear perfiles. Almacenaba datos en un contenedor no seguro, un hecho descubierto por UpGuard, una firma de investigación de seguridad cibernética. Se almacenaron hasta 48 millones de perfiles de usuario sin contraseña, y aunque Localblox tomó medidas inmediatas, no está claro si alguien más accedió a los 1,2 TB de datos mientras tanto.
Chegg
Tamaño de incumplimiento: 40M
En septiembre de 2023, 40 millones de usuarios de la compañía de alquiler de libros de texto y tutoriales, Chegg, y su familia de marcas fueron informados de que sus datos personales pueden haber estado expuestos a una parte no autorizada que obtuvo acceso a una base de datos de la compañía. La información filtrada incluía nombres, contraseñas, direcciones de correo electrónico y direcciones de envío..
Ticketfly
Tamaño de incumplimiento: 27M
Un ataque cibernético malicioso provocó el acceso a la información personal de alrededor de 27 millones de titulares de cuentas Ticketfly. Los datos de los clientes que se violaron incluyen nombres, direcciones, direcciones de correo electrónico y números de teléfono..
La abeja de Sacramento
Tamaño de incumplimiento: 19M
Después de que la compañía dejó más de 19 millones de registros de votantes expuestos en línea al no restaurar un cortafuegos protector en su servidor, los hackers maliciosos lanzaron un ataque de ransomware. El periódico se negó a pagar el rescate y notificó a los votantes sobre la violación..
SaverSpy
Tamaño de incumplimiento: 11M
En septiembre de 2023, los detalles de casi 11 millones de usuarios se filtraron de la base de datos de una empresa de marketing electrónico debido a un servidor no seguro. Los nombres, las direcciones de correo electrónico, los detalles de género y las direcciones físicas se informaron involucrados. Se pensaba que la base de datos pertenecía a una compañía llamada SaverSpy.
DoorDash
Tamaño de incumplimiento: 4.9M
Casi 5 millones de clientes, conductores y comerciantes de DoorDash tenían datos muy sensibles expuestos en una violación, informó DoorDash. La violación, que supuestamente ocurrió en mayo de 2023, vio nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono e historiales de pedidos robados. También se robaron las contraseñas hash y saladas, así como los últimos cuatro dígitos (pero no el CVV) de algunas tarjetas de crédito.
2023
Según los informes, hubo 853 infracciones en 2023, nueve de ellas en la lista.
River City Media
Tamaño de incumplimiento: 1.37B
Una base de datos masiva de más de 1.370 millones de direcciones de correo electrónico quedó expuesta debido a una copia de seguridad configurada incorrectamente. Algunos de esos registros contenían detalles adicionales como nombres, direcciones físicas y direcciones IP. La filtración también expuso toda la operación de River City Media, incluidos detalles como planes de negocios, registros de Hipchat, cuentas y más. River City Media es uno de los mayores proveedores de spam en el mundo, según el informe de noticias..
Análisis de raíz profunda
Tamaño de incumplimiento: 198M
Se descubrió una base de datos que contiene información política sobre más de 198 millones de votantes estadounidenses en un sistema de almacenamiento en la nube de Amazon sin ningún tipo de protección con contraseña. El Comité Nacional Republicano contrató a Deep Root Analytics para compilar y analizar los datos que consisten en nombres, fechas de nacimiento, domicilios, números de teléfono y registros de votantes. Desde entonces, Deep Root Analytics asumió toda la responsabilidad por la violación e implementó medidas de seguridad de datos mejoradas.
Equifax
Tamaño de incumplimiento: 145M
Más de 145 millones de registros, incluidos números de seguro social, números de tarjetas de crédito, números de licencias de conducir y nombres, fueron violados en una de las tres principales agencias de informes de crédito de EE. UU..
Pruebas de nombre
Tamaño de incumplimiento: 120M
En 2023 se reveló que Nametests.com, el sitio web responsable de una popular aplicación de cuestionarios de Facebook, tenía una falla que expuso públicamente detalles sobre sus más de 120 millones de usuarios..
Mi herencia
Tamaño de incumplimiento: 92M
Esta violación se anunció en 2023, pero en realidad ocurrió en octubre de 2023 e involucró a más de 92 millones de datos de clientes. Un investigador de seguridad descubrió la información, que incluía direcciones de correo electrónico y contraseñas hash, en un servidor privado que no pertenecía a MyHeritage.
T-Mobile
Tamaño de incumplimiento: 76M
Un agujero de seguridad en el sitio web de T-Mobile permitió a los atacantes usar un número de teléfono para acceder a los detalles de la cuenta, incluidas las direcciones de correo electrónico y el código de red IMSI de un teléfono. Hasta 76 millones de usuarios pueden haber sido afectados.
Panera Bread
Tamaño de incumplimiento: 37M
El incumplimiento de Panera Bread comenzó en 2023, pero aparentemente no se tomaron medidas hasta 2023. Los nombres, direcciones de correo electrónico, domicilios y números de teléfono de hasta 37 millones de clientes se filtraron del sitio en texto sin formato. Los últimos cuatro dígitos de los números de tarjeta de crédito de los clientes también estuvieron involucrados.
Pardo & Bradstreet
Tamaño de incumplimiento: 33M
Se reveló que Dun filtró registros de una base de datos corporativa comercial con respecto a más de 33 millones de personas. & Bradstreet De las personas involucradas, más de 100,000 trabajaron para el Ministerio de Defensa y más de 70,000 para las principales instituciones financieras. Si bien la información no se consideraría información confidencial (incluía cosas como direcciones de correo electrónico, título del trabajo y dirección de la empresa), en las manos equivocadas, sería mucho más sencillo ejecutar estafas como el phishing y la caza de ballenas.
Zomato
Tamaño de incumplimiento: 17M
Un hacker en DarkNet está vendiendo una base de datos que incluye correos electrónicos y hashes de contraseñas de 17 millones de usuarios registrados de Zomato.
2016
Se informó que ocurrieron 823 violaciones de datos en 2016, con ocho de ellas superando la marca de los 10 millones.
Red FriendFinder
Tamaño de incumplimiento: 412M
Más de 412 millones de cuentas que representan 20 años de datos personales del usuario, incluidas direcciones de correo electrónico, contraseñas, nombres de usuario, el esquema de la base de datos, sitios en la red visitados por los usuarios, datos de registro del sitio y mucho más..
Mi espacio
Tamaño de incumplimiento: 360M
Más de 360 millones de nombres de usuario y contraseñas fueron robados de MySpace. Las contraseñas se almacenaron como “hash SHA-1 sin sal” y se rompieron utilizando un servidor de craqueo capaz de ejecutar millones de cálculos SHA-1 por segundo.
Tamaño de incumplimiento: 167M
Se cree que entre 117 millones y 167 millones de registros han sido robados de la popular red social de negocios, incluida la dirección de correo electrónico del usuario, las contraseñas con hash y los números de identificación de LinkedIn. Se dice que la violación comenzó en 2012, pero en 2016, los datos se pusieron a la venta en línea.
Dailymotion
Tamaño de incumplimiento: 85.2M
En 2016 se accedió a las direcciones de correo electrónico y los nombres de usuario de aproximadamente 85.2 millones de usuarios de uno de los sitios más populares para compartir videos en Internet. Alrededor de una quinta parte de esas cuentas también tenían sus contraseñas cifradas, pero las contraseñas se cifraron con bastante seguridad. cifrado que los hace difíciles de descifrar o adivinar.
Uber
Tamaño de incumplimiento: 57M
57 millones de nombres de clientes y conductores, direcciones de correo electrónico y números de teléfono fueron pirateados en 2016. Uber luego trató de ocultar la violación pagando a los atacantes que “prometieron” eliminar los datos. La noticia de la violación estalló en noviembre de 2023.
Weebly
Tamaño de incumplimiento: 43.4M
Se robaron 43,4 millones de registros, pero aún no se conocen los medios por los cuales se cometió este robo. Se sabe que los datos comprometidos contenían direcciones de correo electrónico, nombres de usuario, contraseñas y direcciones IP registradas de las computadoras de los usuarios.
Gorjeo
Tamaño de incumplimiento: 32M
32 millones de credenciales de inicio de sesión, incluidas las contraseñas de texto sin formato, terminaron a la venta en línea. Los datos parecían haber sido robados directamente de los usuarios y no de un hack de los servidores de Twitter.
Firme
Tamaño de incumplimiento: 22.5M
Aparentemente, se tomaron más de 22.5 millones de registros de fuentes disponibles públicamente. Los registros contenían nombres de usuario, direcciones de correo electrónico e identificaciones de Twitter y Facebook de FourSquare.
2015
Se informó que ocurrieron 547 violaciones de datos en 2015, pero siete de ellas fueron pérdidas bastante grandes.
Base de datos de votantes
Tamaño de incumplimiento: 191M
Se encontró en Internet una base de datos disponible públicamente llena de información sobre 191 millones de votantes estadounidenses. La base de datos contenía nombres, domicilios, identificaciones de votantes, números de teléfono, fechas de nacimiento, afiliaciones políticas e historiales detallados de votación desde 2000.
Himno
Tamaño de incumplimiento: 80M
Se robaron más de 80 millones de registros, que consisten en nombres, cumpleaños, identificaciones médicas, números de seguro social, direcciones postales, direcciones de correo electrónico e información sobre empleo e ingresos, y la violación comenzó a principios de 2014. El 27 de junio de 2023, Anthem acordó un acuerdo de $ 115 millones por daños causados por esta violación.
Ashley Madison
Tamaño de incumplimiento: 37M
Las bases de datos de usuarios, los registros financieros y otra información confidencial de la compañía se filtraron al público. 37 millones de registros de usuarios fueron robados y arrojados a DarkNet. Los hackers intentaron chantajear a Ashley Madison para que cerrara el sitio web o la base de datos robada sería lanzada al público, exponiendo a todos sus usuarios. Ashley Madison se negó a cumplir y se divulgaron los datos, junto con varias bases de datos de imitación que contienen información falsa.
Oficina de Gestión de Personal en Washington, DC
Tamaño de incumplimiento: 21.5M
Esto involucró 21.5 millones de entradas en una base de datos de trabajadores del gobierno y más específicamente, cualquiera que haya solicitado una autorización de seguridad desde el año 2000. Se filtraron SSN e información relacionada con lo que los funcionarios solicitan durante las entrevistas para la autorización de seguridad..
Clientes de T-Mobile de Experian
Tamaño de incumplimiento: 15M
Se violaron 15 millones de registros de clientes potenciales de T-Mobile que tenían verificaciones de crédito realizadas por Experian. Los registros constaban de nombres, direcciones, números de seguro social, fechas de nacimiento y varios números de identificación, incluidos pasaportes, licencias de conducir y números de identificación militar..
Premera Blue Cross
Tamaño de incumplimiento: 11M
Esto incluyó 11 millones de registros de archivos médicos e información personal y financiera, incluidos números de cuentas bancarias, números de seguro social, fechas de nacimiento, nombres, direcciones y “otra información personal”.
Excellus BlueCross Blue Shield
Tamaño de incumplimiento: 10M
Parece que este fue el año de las infracciones de la industria de la salud, ya que otro gran ataque golpeó a la aseguradora de salud, Excellus BlueCross Blue Shield. Se filtró la información de más de 10 millones de personas..
2014
Se reportaron 869 infracciones con cinco por encima del umbral récord de 10 millones.
Yahoo
Tamaño de incumplimiento: 500M
Esta violación en realidad ocurrió en 2014, pero Yahoo no la anunció ni reconoció hasta dos años después del hecho. La base de datos a la que se accedió contenía registros de más de 500 millones de usuarios de Yahoo, incluidos nombres, números de teléfono, direcciones de correo electrónico, contraseñas cifradas, fechas de nacimiento y “preguntas y respuestas de seguridad cifradas o no cifradas”.
Piratería rusa descubierta por Hold Security
Tamaño de incumplimiento: 500M
Una firma de seguridad descubrió en DarkNet una impresionante base de datos de más de mil millones de nombres de usuario y contraseñas junto con más de 500 millones de direcciones de correo electrónico. Aparentemente fue el trabajo de una banda rusa de piratas informáticos que recopilan información de cientos de miles de sitios web..
eBay
Tamaño de incumplimiento: 145M
Esta violación implicó una pérdida de datos de más de 145 millones de registros. Los hackers obtuvieron acceso a la base de datos de usuarios de eBay utilizando las credenciales de inicio de sesión de los empleados. Los datos copiados consistieron en direcciones de correo electrónico, contraseñas cifradas, fechas de nacimiento y direcciones postales..
JPMorgan Chase
Tamaño de incumplimiento: 76M
Los piratas informáticos rusos accedieron a 76 millones de cuentas bancarias, algunas de las cuales solo se modificaron, mientras que otras se eliminaron por completo.
El almacén de la Casa
Tamaño de incumplimiento: 56M
The Home Depot fue golpeado dos veces en 2014. En febrero, tres empleados eran sospechosos de robar 30,000 registros. Luego, en septiembre, se vio afectado nuevamente por los detalles de 56 millones de tarjetas de crédito y débito debido a un pirateo de los sistemas de punto de venta en más de 2,200 tiendas en los EE. UU..
2013
Se reportaron 890 violaciones de datos en 2013, cinco de las cuales alcanzaron la marca de 10 millones.
Yahoo
Tamaño de incumplimiento: 1B
Más de mil millones de cuentas se vieron comprometidas en 2013, pero esta violación no se hizo pública hasta 2016, y probablemente no estuvo relacionada con los 500 millones de registros robados en 2014. Yahoo culpó de la mayor violación en la historia a los piratas informáticos que trabajan en nombre de un gobierno. Los intrusos usaron cookies falsificadas para acceder a las cuentas de usuario sin sus contraseñas.
Target Corp.
Tamaño de incumplimiento: 110M
Se robaron hasta 110 millones de registros de tarjetas de pago durante las vacaciones de Acción de Gracias y Navidad de 2013. Este incidente se utilizó como precedente para aprobar legislación en los Estados Unidos que implementa la tecnología de tarjetas con chip.
Tumblr
Tamaño de incumplimiento: 65M
En 2013, los piratas informáticos accedieron a más de 65 millones de contraseñas de usuarios de Tumblr, aunque la violación no se informó hasta 2016.
Evernote
Tamaño de incumplimiento: 50M
La mayor pérdida de datos en 2014 con 50 millones de registros expuestos. Se les dijo a los usuarios que restablecieran sus contraseñas después de detectar el ataque.
LivingSocial
Tamaño de incumplimiento: 50M
Hasta 50 millones de cuentas de miembros corrían el riesgo de ser copiadas, que consisten en nombres, direcciones de correo electrónico, fechas de nacimiento y contraseñas cifradas. En ese momento, se estima que 29 millones de personas usaban LivingSocial, muchas con múltiples cuentas.
Adobe
Tamaño de incumplimiento: 38M
Se robaron cuentas de usuario de hasta 38 millones de usuarios de Adobe. Adobe envió un aviso a todos los usuarios afectados advirtiéndoles que cambien sus contraseñas y estén atentos a actividades sospechosas en sus cuentas..
2012
Se reportaron 886 violaciones de datos para el año, con dos de ellos en la lista.
Dropbox
Tamaño de incumplimiento: 68M
68 millones de usuarios de Dropbox tenían sus direcciones de correo electrónico y sus contraseñas copiadas. Luego recibieron mensajes de spam en los que el remitente se hizo pasar por Dropbox.
Zappos.com
Tamaño de incumplimiento: 24M
Se detectaron 24 millones de cuentas de usuario a las que se accedió, incluidos nombres, direcciones de correo electrónico, direcciones de facturación y envío, números de teléfono, cuatro dígitos finales de números de tarjetas de crédito y posiblemente contraseñas cifradas.
2011
Se reportaron 793 violaciones de datos para 2011, cuatro de ellas perdieron o pusieron en riesgo más de 10 millones de registros.
Epsilon
Tamaño de incumplimiento: 50-250 m
Esta violación de datos de entre 50 y 250 millones de registros tuvo lugar. Epsilon informó que solo se robaron direcciones de correo electrónico y nombres. Se advirtió a los clientes que esperaran correos electrónicos de phishing.
Sony, PlayStation Network
Tamaño de incumplimiento: 77M
77 millones de usuarios de PlayStation Network (PSN) y más de 24 millones de clientes de Sony Online Entertainment se vieron afectados durante este hack de 2011. Los detalles filtrados incluían nombres, direcciones, direcciones de correo electrónico, fechas de nacimiento, credenciales de inicio de sesión para PSN y Qriocity, e identificadores y identificadores de PSN. Se sospecha que los piratas informáticos también pueden haber accedido a historiales de compras, direcciones de facturación y preguntas de seguridad.
Vapor
Tamaño de incumplimiento: 35M
Los piratas informáticos desfiguraron un foro en Steam que provocó una investigación que reveló el acceso no autorizado a una base de datos que contenía nombres de usuario, contraseñas hash y saladas, compras de juegos, direcciones de correo electrónico, direcciones de facturación e información de tarjetas de crédito cifradas en más de 35 millones de usuarios.
WordPress
Tamaño de incumplimiento: 18M
Los piratas informáticos accedieron a datos en varios servidores de WP que exponen el código fuente, las claves de seguridad API y las contraseñas de las redes sociales de 18 millones de usuarios de WordPress.
2010
Se informaron 801 violaciones de datos para 2010, pero solo una de ellas apareció en la lista.
DeviantART, Silverpop Systems Inc.
Tamaño de incumplimiento: 13M
La mayor violación de datos en 2010 también fue la única por encima de 10 millones con 13 millones de registros robados. Los piratas informáticos pudieron penetrar en deviantART a través de la empresa de marketing Silverpop Systems Inc. La base de datos expuesta constaba de nombres de usuario, direcciones de correo electrónico y fechas de nacimiento de todos los usuarios de deviantART.
2009
Se informaron 270 violaciones de datos para 2009, tres de ellas en nuestra lista.
Sistemas de pago Heartland
Tamaño de incumplimiento: 130M
Se robaron 130 millones de tarjetas de crédito a través de un truco de este procesador de tarjetas de crédito. El problema se vio exacerbado por los retrasos del procesador y las revelaciones inexactas sobre la violación. Uno de los perpetradores era un informante del Servicio Secreto y sospechoso en el hack de TJ Stores del año anterior..
Veteranos militares de EE. UU.
Tamaño de incumplimiento: 76M
Se reportaron 76 millones de registros detallados en riesgo de ser expuestos cuando un disco duro defectuoso fue enviado a reparación sin que primero se destruyeran sus datos. La unidad era parte de una matriz RAID de seis unidades que contenía una base de datos Oracle llena de información de veteranos. El disco se consideró irreparable y luego se envió a otra entidad para su reciclaje, nuevamente, sin ser borrado.
Rockearte
Tamaño de incumplimiento: 32M
Una falla de inyección SQL en la base de datos de RockYou expuso su lista completa de nombres de usuario, direcciones de correo electrónico y contraseñas, alrededor de 32 millones de registros. Las contraseñas se almacenaron en texto plano y la base de datos incluía credenciales de inicio de sesión para varias redes sociales como Facebook y MySpace.
2008
Se reportaron 355 violaciones de datos para 2008, dos de ellas superaron los 10 millones.
Countrywide Financial Corp.
Tamaño de incumplimiento: 17M
Según los informes, un ex empleado robó y vendió datos confidenciales en los perfiles de 17 millones de titulares de cuentas. Cabe señalar que Countrywide fue el “chico del cartel” de la crisis de préstamos de alto riesgo.
Banco de Nueva York Mellon
Tamaño de incumplimiento: 12.5M
12.5 millones de registros que contenían nombres, números de seguridad social y posiblemente números de cuentas bancarias se “perdieron” cuando una caja de cintas de respaldo llegó a una instalación de almacenamiento con una cinta faltante.
2007
Se informó que 456 violaciones de datos ocurrieron en 2007, una de ellas con más de 10 millones de registros.
Tiendas TJ
Tamaño de incumplimiento: 100M
Más de 100 millones de registros perdidos que consisten en números de tarjeta de crédito y débito; registros de devolución de mercancías que contienen nombres y números de licencia de conducir, así como números de cuenta de tarjeta de crédito. Nota especial: el hacker principal, Albert González, apeló su condena en 2011 alegando que estaba actuando con autorización del Servicio Secreto. El gobierno de los Estados Unidos reconoció que González era un informante encubierto clave para el Servicio Secreto en ese momento. El Sr. González culpó a sus abogados por no usar esta información como parte de su defensa.
2006
482 violaciones de datos fueron reportadas este año. Dos de esas infracciones superaron los 10 millones de registros.
Departamento de Asuntos de Veteranos de EE. UU.
Tamaño de incumplimiento: 26.5M
Una computadora portátil y un dispositivo de almacenamiento de computadora que contenía datos confidenciales de 26.5 millones de veteranos fueron robados de la casa de un empleado no identificado del Departamento de Asuntos de Veteranos. La información consistía en nombres, números de seguridad social, fechas de nacimiento, números de teléfono y direcciones de todos los veteranos estadounidenses dados de alta desde 1975. La computadora portátil y el dispositivo de almacenamiento se recuperaron casi dos meses después. Según una investigación del FBI, los datos no habían sido copiados. A pesar de esto, el VA todavía se hizo responsable de las políticas de seguridad de datos ineficaces y no tomó las precauciones de seguridad adecuadas con respecto a dichos datos confidenciales..
iBill
Tamaño de incumplimiento: 17M
Se publicaron en línea más de 17 millones de registros que contenían nombres, números de teléfono, direcciones, direcciones de correo electrónico, direcciones IP, credenciales de inicio de sesión, tipos de tarjetas de crédito y montos de compra. No está claro si la violación fue obra de una persona deshonesta o software malicioso inyectado en los sistemas de iBill.
2005
Se reportaron 136 violaciones de datos durante el año con solo una de ellas por encima de nuestro mínimo de 10 millones.
CardSystems
Tamaño de incumplimiento: 40M
Se expusieron 40 millones de cuentas de tarjetas de crédito debido a una violación de seguridad que ocurrió en un proveedor externo. La información expuesta incluía nombres, números de tarjeta y códigos de seguridad de la tarjeta. CardSystems se declaró en bancarrota en mayo de 2006. En 2009 se reveló que CardSystems almacenaba información de tarjetas de crédito sin cifrar en sus servidores.
2004
Curiosamente, la única violación de datos sobre la que tenemos información en 2004 también fue bastante importante..
AOL
Tamaño de incumplimiento: 92M
Un ex ingeniero de software de AOL robó 92 millones de direcciones de correo electrónico que pertenecen a unos 30 millones de usuarios. Luego vendió la lista de direcciones a un hombre en Las Vegas que comenzó a enviar spam a la lista con un anuncio de un sitio web de juegos de azar en el extranjero. Incluso el juez involucrado en el caso admitió haber cancelado su cuenta de correo electrónico de AOL debido a todo el spam.
Las infracciones más grandes no estadounidenses
También ha habido algunas brechas bastante masivas en otras partes del mundo a lo largo de los años. Estos son algunos de los más destacados:
Verifications.io, India (2023)
Tamaño de incumplimiento: 800M
Una base de datos de correo electrónico de marketing no segura expuso más de 800 millones de registros de usuarios. Los datos violados contenían inicios de sesión en redes sociales, género, fechas de nacimiento, montos de hipotecas y tasas de interés..
Aadhaar, India (2023)
Tamaño de incumplimiento: 1.1B
Una violación de datos podría haber arriesgado los datos de los 1.100 millones de ciudadanos de la India. A principios de enero, vendedores anónimos en WhatsApp ofrecían acceso a cualquier número de Aadhaar y sus detalles asociados, incluidos el nombre, la dirección, el número de teléfono, la foto y la dirección de correo electrónico. La información se vendía con la opción de software para imprimir tarjetas de identificación, presumiblemente para su uso en el robo de identidad y otros delitos relacionados.
Interpark, Corea del Sur (2023)
Tamaño de incumplimiento: 10M
En 2023, Corea del Sur acusó a Corea del Norte de robar los datos de 10 millones de clientes del centro comercial en línea, Interpark, en un intento de obtener divisas..
Telegram, Irán (2023)
Tamaño de incumplimiento: 15M
En 2023, los piratas informáticos iraníes están acusados de entrar en un servicio de mensajería instantánea ultraseguro al comprometer una docena de cuentas. El hackeo expuso los números de teléfono de 15 millones de usuarios a los hackers. Esto permitirá a los piratas informáticos agregar nuevos dispositivos a la cuenta del usuario y darles acceso a los historiales de chat y a los nuevos mensajes..
Mossack Fonseca, Panamá (2016)
Tamaño de incumplimiento: 11.5M
Este bufete de abogados panameño se especializa en la creación de empresas anónimas offshore. La fuga es de 11.5 millones de documentos encriptados como correos electrónicos, archivos PDF, fotos y extractos de una base de datos interna. El objetivo principal de esta colección parece estar ocultando a los verdaderos propietarios de varias de las compañías offshore vendidas por Mossack Fonseca. Dado que gran parte de la información almacenada en estos archivos incluye evidencia de actividades ilegales, el deseo de anonimato es bastante obvio.
Base de datos de ciudadanía turca, Turquía (2016)
Tamaño de incumplimiento: 49.6M
Se descubrió una base de datos en línea que contenía 49.6 millones de entradas, la ciudadanía turca completa, con nombres, identificaciones nacionales, nombres de padres, género, ciudad de nacimiento, fecha de nacimiento, ciudad y distrito de registro de identificación, y su dirección completa.
Comisión Electoral de Filipinas, Filipinas (2016)
Tamaño de incumplimiento: 55M
Una base de datos que contiene cada votante registrado en Filipinas, unos 55 millones de personas, se filtró en línea. La filtración se produjo inmediatamente después de la desfiguración del sitio web de la Comisión Electoral de Filipinas..
Oficina de crédito de Corea, Corea del Sur (2014)
Tamaño de incumplimiento: 20M
Un consultor temporal fue arrestado y acusado de robar datos bancarios y de tarjetas de crédito de 20 millones de usuarios de la agencia de crédito..
Yahoo Japón, Japón (2013)
Tamaño de incumplimiento: 22M
Se pusieron en riesgo 22 millones de cuentas de usuario cuando se detectó un intento de acceder a porciones administrativas de los servidores de Yahoo Japón. Ninguna información de identificación personal fue robada, según Yahoo.
Court Ventures, Vietnam (2012)
Tamaño de incumplimiento: 200M
Court Ventures estaba en el negocio de vender información de crédito a un servicio de robo de identidad vietnamita, lo que resultó en más de 200 millones de registros vendidos durante varios años. Estos registros incluyen datos financieros, estado de crédito, números de seguro social e información bancaria..
Ventisca, China (2012)
Tamaño de incumplimiento: 14M
Los jugadores de Diablo III, Starcraft II y World of Warcraft, unos 14 millones de jugadores, fueron informados de una violación de datos que puso en riesgo sus cuentas de usuario en Blizzard.net. Las contraseñas cifradas, las respuestas a las preguntas de seguridad y las direcciones de correo electrónico de usuarios fuera de China fueron robadas en la violación.
178.com, China (2011)
Tamaño de incumplimiento: 10M
Los hackers robaron 10 millones de cuentas de usuario del sitio de juegos chino, junto con varios otros sitios de juegos en China.
Nexon Korea Corp, Corea del Sur (2011)
Tamaño de incumplimiento: 13.2M
13,2 millones de suscriptores de un juego en línea en Corea fueron robados a través de un hack de los servidores del sitio.
Tianya, China (2011)
Tamaño de incumplimiento: 28M
28 millones de contraseñas de texto claro y 40 millones de cuentas de usuario aparecieron en DarkNet desde el 12º sitio web más popular de China en ese momento.
Auction.co.kr, Corea del Sur (2008)
Tamaño de incumplimiento: 18M
Los registros de 18 millones de miembros de este sitio de subastas de Corea del Sur fueron robados por un pirata informático chino. Los registros incluían información del usuario y una gran cantidad de datos financieros..
GS Caltex, Corea del Sur (2008)
Tamaño de incumplimiento: 11.9M
Dos discos compactos que contienen la lista de clientes de esta compañía de 11.9 millones de clientes fueron encontrados en una calle en Seúl.
HM Revenue and Customs, Reino Unido (2007)
Tamaño de incumplimiento: 25M
En el Reino Unido se perdieron discos de computadora que contenían información confidencial sobre 25 millones de beneficiarios de beneficios infantiles. Los discos se perdieron en tránsito desde su sede en Newcastle hasta la sede de una aseguradora en Edimburgo.
T-Mobile, Deutsche Telecom, Alemania (2006)
Tamaño de incumplimiento: 17M
Los ladrones se llevaron un dispositivo de almacenamiento que contenía nombres, direcciones, números de teléfono celular, algunas fechas de nacimiento y algunas direcciones de correo electrónico para algunos ciudadanos alemanes de alto perfil. Afortunadamente, el dispositivo robado no contenía detalles financieros como tarjetas de crédito o cuentas bancarias..
El gran desconocido
Cabe señalar que algunas infracciones reportadas afectan a un número desconocido de clientes, por lo que puede haber otras infracciones que hayan superado los 10 millones de registros. Además, las infracciones pueden quedar sin descubrir, por completo o por un período de tiempo.
El nuevo Reglamento General de Protección de Datos (RGPD) en la UE incluye el requisito de que las empresas reporten violaciones de datos (que cumplan con ciertos criterios) dentro de las 72 horas. Si bien existe una ley estatal de California que se refiere a los informes de violación de datos, no existe una legislación federal que exija la notificación obligatoria de los detalles de la violación de datos. Sin embargo, no informar una violación puede generar demandas de los usuarios afectados, por lo que la mayoría de las empresas informan cuando descubren que han sido pirateadas o pierden información..
Sin embargo, la cantidad de información reportada se deja totalmente en manos de la empresa informante, incluso hasta el punto de admitir que hubo una violación sin detalles sobre qué datos o incluso cuántos datos corrían el riesgo de que personas no autorizadas pudieran acceder a ellos. De acuerdo con Privacy Rights Clearinghouse, miles de empresas han optado por no informar la cantidad de datos que se les ha confiado o incluso cuántos de sus clientes pueden estar en riesgo..
Ahora tenga en cuenta que algunas de estas empresas están recopilando información sin informar primero a los sujetos de su extracción de datos de que su información se está cargando en una base de datos. Cualquier punto de venta minorista en el que una persona ingresa recopila información sobre lo que mira, recoge, compra y sale de su tienda. Haga coincidir esos datos con el reconocimiento facial de las cámaras de seguridad, así como la información recibida del sistema de punto de venta, y tienen una identidad para adjuntar a esa entrada de datos.
Casi todos los puntos de venta ahora tienen algún tipo de membresía en la que se alienta a los clientes a registrarse voluntariamente con ofertas de descuentos en combustible, puntos hacia ahorros en la tienda, cupones digitales personalizados y otros incentivos similares. Todos estos no son, de hecho, gratuitos. Está vendiendo su información de identificación personal a estas empresas a cambio de los beneficios asociados al sistema de membresía de la tienda..
Qué puedes hacer?
Hay algunas cosas que puede hacer para minimizar el daño o incluso evitar que su información llegue a las manos equivocadas. Pueden ser útiles cosas como usar una herramienta de anonimato en línea (como una VPN), instalar un software antivirus, usar contraseñas seguras y habilitar la autenticación de dos factores. En el caso de este último, si la plataforma que está tratando de proteger no ofrece autenticación de dos factores, puede usar una aplicación de autenticación de dos factores de terceros, como DUO Mobile y Google Authenticator.
En el extremo más extremo, siempre existe la opción de contactar a cualquier compañía a la que le haya confiado su información. Puede preguntarles qué tienen implementado para evitar no solo la violación de datos, sino también qué acciones toman cuando se dan cuenta de una fuga..
Si desea verificar para ver si su información ha estado involucrada en una violación de datos, una herramienta útil es: ¿he sido pwned? sitio web
¿Ha experimentado algún efecto secundario, o incluso efectos directos de una violación de datos? ¿Cómo te recuperaste? Deje sus comentarios a continuación junto con cualquier consejo que pueda tener para otros lectores.
“Filtración de datos“Por Blogtrepreneur – CC BY 2.0
Con casi 9,000 violaciones de datos en los EE. UU. en los últimos 12 años, es evidente que cualquier información electrónica relacionada con nosotros está en riesgo o ya ha sido comprometida al menos una vez. La necesidad de privacidad y anonimato en línea es cada vez más importante, y parece que no hay fin a la vista. Las grandes corporaciones invierten miles de millones de dólares cada año en sistemas de recopilación de datos, tecnologías de bases de datos y servidores caros con grandes cantidades de almacenamiento. Sin embargo, muchas compañías parecen carecer de preocupación por mantener esa información segura y fuera del alcance de los demás una vez que la tienen. Si cae en las manos equivocadas, hay varias repercusiones potenciales para los involucrados, incluido un mayor riesgo de ser víctima de delitos como esquemas de phishing, ataques de ransomware y robo de identidad. Es importante estar al tanto de las violaciones de datos y tomar medidas para proteger nuestra información personal en línea.