Las mayores violaciones de datos en la historia

Con un historial de casi 9,000 violaciones de datos en los EE. UU. En los últimos 12 años, es una apuesta segura que cualquier información electrónica relacionada con usted está en riesgo o ya ha sido comprometida al menos una vez. Como dice James Comey, el ex director del FBI, “hay dos tipos de empresas. Los que han sido pirateados y los que aún no saben que han sido pirateados ".

La necesidad de privacidad y anonimato en línea crece con cada violación que ocurre, y no parece haber ningún final a la vista. Cada corporación está reuniendo información sobre sus clientes, clientes e incluso personas aleatorias. Las grandes corporaciones invierten miles de millones de dólares cada año en sistemas de recopilación de datos, tecnologías de bases de datos para almacenarlo todo, servidores caros con grandes cantidades de almacenamiento y analistas de datos para darle sentido..

No es solo un juego para empresas. Las agencias de inteligencia de todo el mundo se reúnen y tratan de dar sentido a la información como su agenda principal. La desafortunada ironía aquí es que muchas compañías parecen carecer de preocupación por mantener esa información segura y fuera del alcance de los demás una vez que la tienen. Si cae en las manos equivocadas, hay varias repercusiones potenciales para los involucrados, incluido un mayor riesgo de ser víctima de delitos como esquemas de phishing, ataques de ransomware y robo de identidad..

La siguiente lista muestra un desglose anual de la mayor de estas violaciones de datos, con un mínimo de 10 millones de registros en riesgo de estar expuestos a personas no autorizadas. Tenga en cuenta que el número total de infracciones denunciadas citadas se refiere a infracciones que involucran a empresas estadounidenses o que han afectado a clientes estadounidenses.

Violaciones de datos por año

2023

2023 está demostrando ser un gran año para las violaciones de datos, con varias violaciones que ya exponen a cientos de millones de víctimas en todo el mundo. Una gran cantidad de atención este año parece estar dirigida a grandes descargas de datos personales recopilados y ensamblados, vendidos en archivos masivos en la web oscura..

Dropbox, LinkedIn y otros

Tamaño de incumplimiento: 2.2B

Los hackers han recopilado, distribuido y descargado más de 2.200 millones de registros robados de un mayor número de sitios web, incluidos Dropbox y LinkedIn. Parece que estos datos se han recopilado y combinado durante varios años y ahora se están volcando en la web oscura para la venta. El primero de estos volcados de datos robados, llamado Colección # 1, incluye nombres de usuario y contraseñas.

Servidor Google Cloud (propietario desconocido)

Tamaño de incumplimiento: 1.2B

El investigador de seguridad Vinny Troia descubrió un servidor Google Cloud no seguro que contiene 1.200 millones de registros de consumidores. Si bien no se revelaron datos muy sensibles, como contraseñas e información financiera, el servidor contenía direcciones de correo electrónico, perfiles de redes sociales e incluso niveles potenciales de ingresos. Dicha información podría usarse para fines de spam, ciberataques o piratería de cuentas.

Evite, MindJolt, Wanelo y más

Tamaño de incumplimiento: 1B

Un hacker llamado "Gnosticplayers" ha descargado casi mil millones de registros de usuarios en los primeros meses de 2023. La información incluye nombres de usuario, direcciones de correo electrónico, direcciones IP y contraseñas de varios sitios web, incluidos Evite, MindJolt y Wanelo, entre varios otros.

Primer americano

Tamaño de incumplimiento: 900M

La compañía de seguros First American dejó 900 millones de archivos confidenciales de clientes expuestos durante más de 2 años. La información expuesta incluye números de cuentas bancarias, extractos de cuentas bancarias, números de Seguro Social, imágenes de licencias de conducir y más, lo que equivale a información más que suficiente para robar con éxito las identidades y el dinero de las víctimas. No está claro si alguno de los datos expuestos fue accedido ilegalmente.

Dubsmash, MyFitnessPal, MyHeritage y más

Tamaño de incumplimiento: 600M

Un pirata informático vendió con éxito más de 600 millones de registros de múltiples sitios en la web oscura por $ 20,000 en Bitcoin. Los registros provienen de múltiples compañías y sitios web, incluidos Dubsmash (162 millones), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), EyeEm (22 millones), 8fit (20 millones) , Whitepages (18 millones) y otros.

Facebook

Tamaño de incumplimiento: 540M

Dos servidores Amazon AWS mal configurados expusieron más de 540 millones de información de la cuenta de usuario de Facebook. Uno era propiedad de la empresa mexicana Cultura Colectiva y dejaba identificaciones y comentarios de Facebook vulnerables. El segundo servidor, propiedad del juego de Facebook "At the Pool", expuso información aún más confidencial, incluidas algunas contraseñas de texto sin formato, fotos, registros, me gusta e intereses, entre otros datos..

Zynga (Palabras con amigos)

Tamaño de incumplimiento: 218M

En un informe de inversionistas del 12 de septiembre, el creador de Words with Friends, Zynga, anunció que sus servidores fueron pirateados por una fuente externa. Según la compañía, se accedió a la información de la cuenta del usuario, pero Zynga ofreció pocos detalles sobre la naturaleza de la violación. Sin embargo, el hacker (o grupo de hackers) conocido como gnosticplayers más tarde anunció la responsabilidad del hack. Los datos robados supuestamente incluían nombres de jugadores, direcciones de correo electrónico, ID de Facebook, tokens de restablecimiento de contraseña e ID de cuenta de Zynga.

Mountberg Limited

Tamaño de incumplimiento: 100M

En enero, un grupo de juego en línea expuso más de 100 millones de apuestas de usuarios y otros detalles de los usuarios. Una instancia de ElasticSearch no segura en el servidor de la compañía reveló detalles del usuario, como los montos de las apuestas y los retiros.

Propietario desconocido

Tamaño de incumplimiento: 80M

Los investigadores encontraron una base de datos no segura que contiene información personal sobre más de 80 millones de hogares y familias en los Estados Unidos. La información filtrada incluye direcciones, ubicación geográfica aproximada a través de la longitud y latitud, edades, fechas de nacimiento, ingresos, estado civil, estado del propietario, tipo de vivienda y más..

LinkedIn

Tamaño de incumplimiento: 60M

Un investigador de seguridad descubrió que varias bases de datos parecían filtrar más de 60 millones de información de clientes de LinkedIn. Si bien LinkedIn informó que no es su base de datos, parece que la base de datos filtrada puede contener datos de perfil disponibles públicamente, eliminados del sitio por un tercero.

Facebook

Tamaño de incumplimiento: 49M

La débil seguridad en un servidor de Amazon Web Services dejó expuestos millones de cuentas de Instagram. Propiedad de la empresa de marketing de redes sociales con sede en India Chtrbox, las ubicaciones y la información de contacto privada de más de 49 millones de "influencers" de Instagram estaban disponibles. Las cuentas también incluyen cuánto valía cada cuenta de influencer en función de varias métricas, incluida la cantidad de seguidores y el compromiso.

Instagram

Tamaño de incumplimiento: 14M

Un investigador de ciberseguridad que utiliza el servicio Shodan encontró más de 14 millones de detalles de la cuenta de Instagram, incluidos nombres de perfil, enlaces a imágenes de perfil y otra información, en un servidor no seguro con sede en el Reino Unido. No estaba claro quién es el propietario del servidor o si está recopilando los datos..

Escaleras 

Tamaño de incumplimiento: 13M

Una base de datos AWS ElasticSearch sin protección para el sitio de trabajo Ladders expuso 13 millones de cuentas de usuario y perfiles. Se expuso la información de las personas que buscan trabajo, como nombres, direcciones de correo electrónico, números de teléfono, geolocalización, salarios actuales y deseados, historial de empleo y el estado de la visa H1-B de EE. UU. La información personal de los empleadores y reclutadores en el sitio también fue expuesta.

Diagnósticos de búsqueda

Tamaño de incumplimiento: 11.9M

En junio, la American Medical Collection Agency, un proveedor de servicios de facturación y codificación médica, informó que su página de pago para Quest Diagnostics fue violada. Cerca de 12 millones de registros médicos y financieros de clientes quedaron expuestos. La violación duró entre el 22 de agosto y el 30 de marzo. El portal de pago fue retirado y migrado a un tercero en respuesta.

Patrulla Fronteriza de Aduanas de EE. UU.

Tamaño de incumplimiento: Desconocido (siguiente)

En junio, la Patrulla Fronteriza de Aduanas de EE. UU. Informó que un número no revelado de datos biométricos había sido robado a un subcontratista federal. Los datos incluyeron imágenes de matrículas y fotos de identificación de los viajeros que entran y salen de los Estados Unidos. CBP informó que el subcontratista no identificado transfirió estos datos de los servidores del gobierno a sus propios servidores sin permiso, donde los datos fueron robados luego de un ataque..

2023

En 2023, se produjeron 700 infracciones reportadas, 11 de ellas con más de 10 millones de registros.

Marriott International

Tamaño de incumplimiento: 500M

Hasta 500 millones de huéspedes de Marriott International pueden haber estado involucrados en esta violación masiva que comenzó en 2014. Se violaron más de 320 millones de datos de clientes, incluidos nombres, direcciones y números de pasaporte, lo que llevó a muchos huéspedes enojados a exigir que Marriott pague por el expedición de nuevos pasaportes.

Exactis

Tamaño de incumplimiento: 340M

En junio de 2023, la empresa de marketing y agregación de datos, Exactis, filtró casi 340 millones de registros en un servidor al que podía acceder el público. Se incluyó información sobre individuos y empresas, incluidos números de teléfono, domicilios y direcciones de correo electrónico..

Debajo de la armadura

Tamaño de incumplimiento: 150M

Se estima que 150 millones de usuarios de la aplicación de alimentación y nutrición de Under Armour, MyFitnessPal, pudieron haber expuesto su información. Se cree que los datos involucrados en la filtración incluyen direcciones de correo electrónico, nombres de usuario y contraseñas hash.

MindBody - FitMetrix

Tamaño de incumplimiento: 113M

El software de acondicionamiento físico FitMetrix, que fue adquirido por MindBody a principios de 2023, estuvo involucrado en una violación que afectó a más de 113 millones de registros, aunque se desconoce el número de usuarios con los que esto se correlaciona. La violación fue descubierta por un investigador de seguridad que descubrió que tres de los servidores de FitMetrix estaban desprotegidos y filtraban datos..

Capital One Bank

Tamaño de incumplimiento: 106M

El 29 de julio, Capital One Bank anunció que experimentó una violación masiva de datos que ocurrió en algún momento entre marzo y julio. La violación expuso a los 100 millones de clientes en los EE. UU. Y a 6 millones de clientes en Canadá. Aunque los datos vulnerados se encontraban principalmente en nombres, direcciones, números de teléfono y puntajes de crédito, unos 140,000 clientes en Canadá tenían números de seguro social expuestos, mientras que 80,000 clientes de EE. UU. Tenían números de cuentas bancarias vinculadas expuestos.

En el momento de su informe, la culpable, la ingeniera de software Paige Adele Thompson, de 33 años, había sido detenida por la Oficina Federal de Investigaciones. Según los informes, Thompson publicó sobre la violación en GitHub y se jactó de ello en Twitter y la aplicación de chat Slack. Thompson parece haber robado los datos de un servidor Capital One alojado por Amazon Web Services.

Facebook

Tamaño de incumplimiento: 50M

En septiembre de 2023, se descubrió una violación de la seguridad de los datos en forma de error que permitía a los atacantes tomar el control de las cuentas de Facebook de las personas. Se sabía que 50 millones de cuentas habían sido afectadas, pero podrían haber estado involucradas hasta 40 millones más.

Facebook (Cambridge Analytica)

Tamaño de incumplimiento: 50M

Antes de la violación anterior, el escándalo de Cambridge Analytica había salido a la luz. La firma de análisis de datos había accedido y almacenado los datos personales de 50 millones de usuarios de Facebook a través de un investigador externo. La adquisición de los datos violó los términos de servicio de Facebook y, como tal, representó una violación masiva de la información del usuario.

Localblox

Tamaño de incumplimiento: 48M

Localblox es similar a Cambridge Analytica en que recopila información de fuentes de acceso público para crear perfiles. Almacenaba datos en un contenedor no seguro, un hecho descubierto por UpGuard, una firma de investigación de seguridad cibernética. Se almacenaron hasta 48 millones de perfiles de usuario sin contraseña, y aunque Localblox tomó medidas inmediatas, no está claro si alguien más accedió a los 1,2 TB de datos mientras tanto.

Chegg

Tamaño de incumplimiento: 40M

En septiembre de 2023, 40 millones de usuarios de la compañía de alquiler de libros de texto y tutoriales, Chegg, y su familia de marcas fueron informados de que sus datos personales pueden haber estado expuestos a una parte no autorizada que obtuvo acceso a una base de datos de la compañía. La información filtrada incluía nombres, contraseñas, direcciones de correo electrónico y direcciones de envío..

Ticketfly

Tamaño de incumplimiento: 27M

Un ataque cibernético malicioso provocó el acceso a la información personal de alrededor de 27 millones de titulares de cuentas Ticketfly. Los datos de los clientes que se violaron incluyen nombres, direcciones, direcciones de correo electrónico y números de teléfono..

La abeja de Sacramento

Tamaño de incumplimiento: 19M

Después de que la compañía dejó más de 19 millones de registros de votantes expuestos en línea al no restaurar un cortafuegos protector en su servidor, los hackers maliciosos lanzaron un ataque de ransomware. El periódico se negó a pagar el rescate y notificó a los votantes sobre la violación..

SaverSpy

Tamaño de incumplimiento: 11M

En septiembre de 2023, los detalles de casi 11 millones de usuarios se filtraron de la base de datos de una empresa de marketing electrónico debido a un servidor no seguro. Los nombres, las direcciones de correo electrónico, los detalles de género y las direcciones físicas se informaron involucrados. Se pensaba que la base de datos pertenecía a una compañía llamada SaverSpy.

DoorDash

Tamaño de incumplimiento: 4.9M

Casi 5 millones de clientes, conductores y comerciantes de DoorDash tenían datos muy sensibles expuestos en una violación, informó DoorDash. La violación, que supuestamente ocurrió en mayo de 2023, vio nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono e historiales de pedidos robados. También se robaron las contraseñas hash y saladas, así como los últimos cuatro dígitos (pero no el CVV) de algunas tarjetas de crédito.

2023

Según los informes, hubo 853 infracciones en 2023, nueve de ellas en la lista.

River City Media

Tamaño de incumplimiento: 1.37B

Una base de datos masiva de más de 1.370 millones de direcciones de correo electrónico quedó expuesta debido a una copia de seguridad configurada incorrectamente. Algunos de esos registros contenían detalles adicionales como nombres, direcciones físicas y direcciones IP. La filtración también expuso toda la operación de River City Media, incluidos detalles como planes de negocios, registros de Hipchat, cuentas y más. River City Media es uno de los mayores proveedores de spam en el mundo, según el informe de noticias..

Análisis de raíz profunda

Tamaño de incumplimiento: 198M

Se descubrió una base de datos que contiene información política sobre más de 198 millones de votantes estadounidenses en un sistema de almacenamiento en la nube de Amazon sin ningún tipo de protección con contraseña. El Comité Nacional Republicano contrató a Deep Root Analytics para compilar y analizar los datos que consisten en nombres, fechas de nacimiento, domicilios, números de teléfono y registros de votantes. Desde entonces, Deep Root Analytics asumió toda la responsabilidad por la violación e implementó medidas de seguridad de datos mejoradas.

Equifax

Tamaño de incumplimiento: 145M

Más de 145 millones de registros, incluidos números de seguro social, números de tarjetas de crédito, números de licencias de conducir y nombres, fueron violados en una de las tres principales agencias de informes de crédito de EE. UU..

Pruebas de nombre

Tamaño de incumplimiento: 120M

En 2023 se reveló que Nametests.com, el sitio web responsable de una popular aplicación de cuestionarios de Facebook, tenía una falla que expuso públicamente detalles sobre sus más de 120 millones de usuarios..

Mi herencia

Tamaño de incumplimiento: 92M

Esta violación se anunció en 2023, pero en realidad ocurrió en octubre de 2023 e involucró a más de 92 millones de datos de clientes. Un investigador de seguridad descubrió la información, que incluía direcciones de correo electrónico y contraseñas hash, en un servidor privado que no pertenecía a MyHeritage.

T-Mobile

Tamaño de incumplimiento: 76M

Un agujero de seguridad en el sitio web de T-Mobile permitió a los atacantes usar un número de teléfono para acceder a los detalles de la cuenta, incluidas las direcciones de correo electrónico y el código de red IMSI de un teléfono. Hasta 76 millones de usuarios pueden haber sido afectados.

Panera Bread

Tamaño de incumplimiento: 37M

El incumplimiento de Panera Bread comenzó en 2023, pero aparentemente no se tomaron medidas hasta 2023. Los nombres, direcciones de correo electrónico, domicilios y números de teléfono de hasta 37 millones de clientes se filtraron del sitio en texto sin formato. Los últimos cuatro dígitos de los números de tarjeta de crédito de los clientes también estuvieron involucrados.

Pardo & Bradstreet

Tamaño de incumplimiento: 33M

Se reveló que Dun filtró registros de una base de datos corporativa comercial con respecto a más de 33 millones de personas. & Bradstreet De las personas involucradas, más de 100,000 trabajaron para el Ministerio de Defensa y más de 70,000 para las principales instituciones financieras. Si bien la información no se consideraría información confidencial (incluía cosas como direcciones de correo electrónico, título del trabajo y dirección de la empresa), en las manos equivocadas, sería mucho más sencillo ejecutar estafas como el phishing y la caza de ballenas.

Zomato

Tamaño de incumplimiento: 17M

Un hacker en DarkNet está vendiendo una base de datos que incluye correos electrónicos y hashes de contraseñas de 17 millones de usuarios registrados de Zomato.

2016

Se informó que ocurrieron 823 violaciones de datos en 2016, con ocho de ellas superando la marca de los 10 millones.

Red FriendFinder

Tamaño de incumplimiento: 412M

Más de 412 millones de cuentas que representan 20 años de datos personales del usuario, incluidas direcciones de correo electrónico, contraseñas, nombres de usuario, el esquema de la base de datos, sitios en la red visitados por los usuarios, datos de registro del sitio y mucho más..

Mi espacio

Tamaño de incumplimiento: 360M

Más de 360 ​​millones de nombres de usuario y contraseñas fueron robados de MySpace. Las contraseñas se almacenaron como "hash SHA-1 sin sal" y se rompieron utilizando un servidor de craqueo capaz de ejecutar millones de cálculos SHA-1 por segundo.

LinkedIn

Tamaño de incumplimiento: 167M

Se cree que entre 117 millones y 167 millones de registros han sido robados de la popular red social de negocios, incluida la dirección de correo electrónico del usuario, las contraseñas con hash y los números de identificación de LinkedIn. Se dice que la violación comenzó en 2012, pero en 2016, los datos se pusieron a la venta en línea.

Dailymotion

Tamaño de incumplimiento: 85.2M

En 2016 se accedió a las direcciones de correo electrónico y los nombres de usuario de aproximadamente 85.2 millones de usuarios de uno de los sitios más populares para compartir videos en Internet. Alrededor de una quinta parte de esas cuentas también tenían sus contraseñas cifradas, pero las contraseñas se cifraron con bastante seguridad. cifrado que los hace difíciles de descifrar o adivinar.

Uber

Tamaño de incumplimiento: 57M

57 millones de nombres de clientes y conductores, direcciones de correo electrónico y números de teléfono fueron pirateados en 2016. Uber luego trató de ocultar la violación pagando a los atacantes que "prometieron" eliminar los datos. La noticia de la violación estalló en noviembre de 2023.

Weebly

Tamaño de incumplimiento: 43.4M

Se robaron 43,4 millones de registros, pero aún no se conocen los medios por los cuales se cometió este robo. Se sabe que los datos comprometidos contenían direcciones de correo electrónico, nombres de usuario, contraseñas y direcciones IP registradas de las computadoras de los usuarios.

Gorjeo

Tamaño de incumplimiento: 32M

32 millones de credenciales de inicio de sesión, incluidas las contraseñas de texto sin formato, terminaron a la venta en línea. Los datos parecían haber sido robados directamente de los usuarios y no de un hack de los servidores de Twitter.

Firme

Tamaño de incumplimiento: 22.5M

Aparentemente, se tomaron más de 22.5 millones de registros de fuentes disponibles públicamente. Los registros contenían nombres de usuario, direcciones de correo electrónico e identificaciones de Twitter y Facebook de FourSquare.

2015

Se informó que ocurrieron 547 violaciones de datos en 2015, pero siete de ellas fueron pérdidas bastante grandes.

Base de datos de votantes

Tamaño de incumplimiento: 191M

Se encontró en Internet una base de datos disponible públicamente llena de información sobre 191 millones de votantes estadounidenses. La base de datos contenía nombres, domicilios, identificaciones de votantes, números de teléfono, fechas de nacimiento, afiliaciones políticas e historiales detallados de votación desde 2000.

Himno

Tamaño de incumplimiento: 80M

Se robaron más de 80 millones de registros, que consisten en nombres, cumpleaños, identificaciones médicas, números de seguro social, direcciones postales, direcciones de correo electrónico e información sobre empleo e ingresos, y la violación comenzó a principios de 2014. El 27 de junio de 2023, Anthem acordó un acuerdo de $ 115 millones por daños causados ​​por esta violación.

Ashley Madison

Tamaño de incumplimiento: 37M

Las bases de datos de usuarios, los registros financieros y otra información confidencial de la compañía se filtraron al público. 37 millones de registros de usuarios fueron robados y arrojados a DarkNet. Los hackers intentaron chantajear a Ashley Madison para que cerrara el sitio web o la base de datos robada sería lanzada al público, exponiendo a todos sus usuarios. Ashley Madison se negó a cumplir y se divulgaron los datos, junto con varias bases de datos de imitación que contienen información falsa.

Oficina de Gestión de Personal en Washington, DC

Tamaño de incumplimiento: 21.5M

Esto involucró 21.5 millones de entradas en una base de datos de trabajadores del gobierno y más específicamente, cualquiera que haya solicitado una autorización de seguridad desde el año 2000. Se filtraron SSN e información relacionada con lo que los funcionarios solicitan durante las entrevistas para la autorización de seguridad..

Clientes de T-Mobile de Experian

Tamaño de incumplimiento: 15M

Se violaron 15 millones de registros de clientes potenciales de T-Mobile que tenían verificaciones de crédito realizadas por Experian. Los registros constaban de nombres, direcciones, números de seguro social, fechas de nacimiento y varios números de identificación, incluidos pasaportes, licencias de conducir y números de identificación militar..

Premera Blue Cross

Tamaño de incumplimiento: 11M

Esto incluyó 11 millones de registros de archivos médicos e información personal y financiera, incluidos números de cuentas bancarias, números de seguro social, fechas de nacimiento, nombres, direcciones y "otra información personal".

Excellus BlueCross Blue Shield

Tamaño de incumplimiento: 10M

Parece que este fue el año de las infracciones de la industria de la salud, ya que otro gran ataque golpeó a la aseguradora de salud, Excellus BlueCross Blue Shield. Se filtró la información de más de 10 millones de personas..

2014

Se reportaron 869 infracciones con cinco por encima del umbral récord de 10 millones.

Yahoo

Tamaño de incumplimiento: 500M

Esta violación en realidad ocurrió en 2014, pero Yahoo no la anunció ni reconoció hasta dos años después del hecho. La base de datos a la que se accedió contenía registros de más de 500 millones de usuarios de Yahoo, incluidos nombres, números de teléfono, direcciones de correo electrónico, contraseñas cifradas, fechas de nacimiento y "preguntas y respuestas de seguridad cifradas o no cifradas".

Piratería rusa descubierta por Hold Security

Tamaño de incumplimiento: 500M

Una firma de seguridad descubrió en DarkNet una impresionante base de datos de más de mil millones de nombres de usuario y contraseñas junto con más de 500 millones de direcciones de correo electrónico. Aparentemente fue el trabajo de una banda rusa de piratas informáticos que recopilan información de cientos de miles de sitios web..

eBay

Tamaño de incumplimiento: 145M

Esta violación implicó una pérdida de datos de más de 145 millones de registros. Los hackers obtuvieron acceso a la base de datos de usuarios de eBay utilizando las credenciales de inicio de sesión de los empleados. Los datos copiados consistieron en direcciones de correo electrónico, contraseñas cifradas, fechas de nacimiento y direcciones postales..

JPMorgan Chase

Tamaño de incumplimiento: 76M

Los piratas informáticos rusos accedieron a 76 millones de cuentas bancarias, algunas de las cuales solo se modificaron, mientras que otras se eliminaron por completo.

El almacén de la Casa

Tamaño de incumplimiento: 56M

The Home Depot fue golpeado dos veces en 2014. En febrero, tres empleados eran sospechosos de robar 30,000 registros. Luego, en septiembre, se vio afectado nuevamente por los detalles de 56 millones de tarjetas de crédito y débito debido a un pirateo de los sistemas de punto de venta en más de 2,200 tiendas en los EE. UU..

2013

Se reportaron 890 violaciones de datos en 2013, cinco de las cuales alcanzaron la marca de 10 millones.

Yahoo

Tamaño de incumplimiento: 1B

Más de mil millones de cuentas se vieron comprometidas en 2013, pero esta violación no se hizo pública hasta 2016, y probablemente no estuvo relacionada con los 500 millones de registros robados en 2014. Yahoo culpó de la mayor violación en la historia a los piratas informáticos que trabajan en nombre de un gobierno. Los intrusos usaron cookies falsificadas para acceder a las cuentas de usuario sin sus contraseñas.

Target Corp.

Tamaño de incumplimiento: 110M

Se robaron hasta 110 millones de registros de tarjetas de pago durante las vacaciones de Acción de Gracias y Navidad de 2013. Este incidente se utilizó como precedente para aprobar legislación en los Estados Unidos que implementa la tecnología de tarjetas con chip.

Tumblr

Tamaño de incumplimiento: 65M

En 2013, los piratas informáticos accedieron a más de 65 millones de contraseñas de usuarios de Tumblr, aunque la violación no se informó hasta 2016.

Evernote

Tamaño de incumplimiento: 50M

La mayor pérdida de datos en 2014 con 50 millones de registros expuestos. Se les dijo a los usuarios que restablecieran sus contraseñas después de detectar el ataque.

LivingSocial

Tamaño de incumplimiento: 50M

Hasta 50 millones de cuentas de miembros corrían el riesgo de ser copiadas, que consisten en nombres, direcciones de correo electrónico, fechas de nacimiento y contraseñas cifradas. En ese momento, se estima que 29 millones de personas usaban LivingSocial, muchas con múltiples cuentas.

Adobe

Tamaño de incumplimiento: 38M

Se robaron cuentas de usuario de hasta 38 millones de usuarios de Adobe. Adobe envió un aviso a todos los usuarios afectados advirtiéndoles que cambien sus contraseñas y estén atentos a actividades sospechosas en sus cuentas..

2012

Se reportaron 886 violaciones de datos para el año, con dos de ellos en la lista.

Dropbox

Tamaño de incumplimiento: 68M

68 millones de usuarios de Dropbox tenían sus direcciones de correo electrónico y sus contraseñas copiadas. Luego recibieron mensajes de spam en los que el remitente se hizo pasar por Dropbox.

Zappos.com

Tamaño de incumplimiento: 24M

Se detectaron 24 millones de cuentas de usuario a las que se accedió, incluidos nombres, direcciones de correo electrónico, direcciones de facturación y envío, números de teléfono, cuatro dígitos finales de números de tarjetas de crédito y posiblemente contraseñas cifradas.

2011

Se reportaron 793 violaciones de datos para 2011, cuatro de ellas perdieron o pusieron en riesgo más de 10 millones de registros.

Epsilon

Tamaño de incumplimiento: 50-250 m

Esta violación de datos de entre 50 y 250 millones de registros tuvo lugar. Epsilon informó que solo se robaron direcciones de correo electrónico y nombres. Se advirtió a los clientes que esperaran correos electrónicos de phishing.

Sony, PlayStation Network

Tamaño de incumplimiento: 77M

77 millones de usuarios de PlayStation Network (PSN) y más de 24 millones de clientes de Sony Online Entertainment se vieron afectados durante este hack de 2011. Los detalles filtrados incluían nombres, direcciones, direcciones de correo electrónico, fechas de nacimiento, credenciales de inicio de sesión para PSN y Qriocity, e identificadores y identificadores de PSN. Se sospecha que los piratas informáticos también pueden haber accedido a historiales de compras, direcciones de facturación y preguntas de seguridad.

Vapor

Tamaño de incumplimiento: 35M

Los piratas informáticos desfiguraron un foro en Steam que provocó una investigación que reveló el acceso no autorizado a una base de datos que contenía nombres de usuario, contraseñas hash y saladas, compras de juegos, direcciones de correo electrónico, direcciones de facturación e información de tarjetas de crédito cifradas en más de 35 millones de usuarios.

WordPress

Tamaño de incumplimiento: 18M

Los piratas informáticos accedieron a datos en varios servidores de WP que exponen el código fuente, las claves de seguridad API y las contraseñas de las redes sociales de 18 millones de usuarios de WordPress.

2010

Se informaron 801 violaciones de datos para 2010, pero solo una de ellas apareció en la lista.

DeviantART, Silverpop Systems Inc.

Tamaño de incumplimiento: 13M

La mayor violación de datos en 2010 también fue la única por encima de 10 millones con 13 millones de registros robados. Los piratas informáticos pudieron penetrar en deviantART a través de la empresa de marketing Silverpop Systems Inc. La base de datos expuesta constaba de nombres de usuario, direcciones de correo electrónico y fechas de nacimiento de todos los usuarios de deviantART.

2009

Se informaron 270 violaciones de datos para 2009, tres de ellas en nuestra lista.

Sistemas de pago Heartland

Tamaño de incumplimiento: 130M

Se robaron 130 millones de tarjetas de crédito a través de un truco de este procesador de tarjetas de crédito. El problema se vio exacerbado por los retrasos del procesador y las revelaciones inexactas sobre la violación. Uno de los perpetradores era un informante del Servicio Secreto y sospechoso en el hack de TJ Stores del año anterior..

Veteranos militares de EE. UU.

Tamaño de incumplimiento: 76M

Se reportaron 76 millones de registros detallados en riesgo de ser expuestos cuando un disco duro defectuoso fue enviado a reparación sin que primero se destruyeran sus datos. La unidad era parte de una matriz RAID de seis unidades que contenía una base de datos Oracle llena de información de veteranos. El disco se consideró irreparable y luego se envió a otra entidad para su reciclaje, nuevamente, sin ser borrado.

Rockearte

Tamaño de incumplimiento: 32M

Una falla de inyección SQL en la base de datos de RockYou expuso su lista completa de nombres de usuario, direcciones de correo electrónico y contraseñas, alrededor de 32 millones de registros. Las contraseñas se almacenaron en texto plano y la base de datos incluía credenciales de inicio de sesión para varias redes sociales como Facebook y MySpace.

2008

Se reportaron 355 violaciones de datos para 2008, dos de ellas superaron los 10 millones.

Countrywide Financial Corp.

Tamaño de incumplimiento: 17M

Según los informes, un ex empleado robó y vendió datos confidenciales en los perfiles de 17 millones de titulares de cuentas. Cabe señalar que Countrywide fue el "chico del cartel" de la crisis de préstamos de alto riesgo.

Banco de Nueva York Mellon

Tamaño de incumplimiento: 12.5M

12.5 millones de registros que contenían nombres, números de seguridad social y posiblemente números de cuentas bancarias se "perdieron" cuando una caja de cintas de respaldo llegó a una instalación de almacenamiento con una cinta faltante.

2007

Se informó que 456 violaciones de datos ocurrieron en 2007, una de ellas con más de 10 millones de registros.

Tiendas TJ

Tamaño de incumplimiento: 100M

Más de 100 millones de registros perdidos que consisten en números de tarjeta de crédito y débito; registros de devolución de mercancías que contienen nombres y números de licencia de conducir, así como números de cuenta de tarjeta de crédito. Nota especial: el hacker principal, Albert González, apeló su condena en 2011 alegando que estaba actuando con autorización del Servicio Secreto. El gobierno de los Estados Unidos reconoció que González era un informante encubierto clave para el Servicio Secreto en ese momento. El Sr. González culpó a sus abogados por no usar esta información como parte de su defensa.

2006

482 violaciones de datos fueron reportadas este año. Dos de esas infracciones superaron los 10 millones de registros.

Departamento de Asuntos de Veteranos de EE. UU.

Tamaño de incumplimiento: 26.5M

Una computadora portátil y un dispositivo de almacenamiento de computadora que contenía datos confidenciales de 26.5 millones de veteranos fueron robados de la casa de un empleado no identificado del Departamento de Asuntos de Veteranos. La información consistía en nombres, números de seguridad social, fechas de nacimiento, números de teléfono y direcciones de todos los veteranos estadounidenses dados de alta desde 1975. La computadora portátil y el dispositivo de almacenamiento se recuperaron casi dos meses después. Según una investigación del FBI, los datos no habían sido copiados. A pesar de esto, el VA todavía se hizo responsable de las políticas de seguridad de datos ineficaces y no tomó las precauciones de seguridad adecuadas con respecto a dichos datos confidenciales..

iBill

Tamaño de incumplimiento: 17M

Se publicaron en línea más de 17 millones de registros que contenían nombres, números de teléfono, direcciones, direcciones de correo electrónico, direcciones IP, credenciales de inicio de sesión, tipos de tarjetas de crédito y montos de compra. No está claro si la violación fue obra de una persona deshonesta o software malicioso inyectado en los sistemas de iBill.

2005

Se reportaron 136 violaciones de datos durante el año con solo una de ellas por encima de nuestro mínimo de 10 millones.

CardSystems

Tamaño de incumplimiento: 40M

Se expusieron 40 millones de cuentas de tarjetas de crédito debido a una violación de seguridad que ocurrió en un proveedor externo. La información expuesta incluía nombres, números de tarjeta y códigos de seguridad de la tarjeta. CardSystems se declaró en bancarrota en mayo de 2006. En 2009 se reveló que CardSystems almacenaba información de tarjetas de crédito sin cifrar en sus servidores.

2004

Curiosamente, la única violación de datos sobre la que tenemos información en 2004 también fue bastante importante..

AOL

Tamaño de incumplimiento: 92M

Un ex ingeniero de software de AOL robó 92 millones de direcciones de correo electrónico que pertenecen a unos 30 millones de usuarios. Luego vendió la lista de direcciones a un hombre en Las Vegas que comenzó a enviar spam a la lista con un anuncio de un sitio web de juegos de azar en el extranjero. Incluso el juez involucrado en el caso admitió haber cancelado su cuenta de correo electrónico de AOL debido a todo el spam.

Las infracciones más grandes no estadounidenses

También ha habido algunas brechas bastante masivas en otras partes del mundo a lo largo de los años. Estos son algunos de los más destacados:

Verifications.io, India (2023)

Tamaño de incumplimiento: 800M

Una base de datos de correo electrónico de marketing no segura expuso más de 800 millones de registros de usuarios. Los datos violados contenían inicios de sesión en redes sociales, género, fechas de nacimiento, montos de hipotecas y tasas de interés..

Aadhaar, India (2023)

Tamaño de incumplimiento: 1.1B

Una violación de datos podría haber arriesgado los datos de los 1.100 millones de ciudadanos de la India. A principios de enero, vendedores anónimos en WhatsApp ofrecían acceso a cualquier número de Aadhaar y sus detalles asociados, incluidos el nombre, la dirección, el número de teléfono, la foto y la dirección de correo electrónico. La información se vendía con la opción de software para imprimir tarjetas de identificación, presumiblemente para su uso en el robo de identidad y otros delitos relacionados.

Interpark, Corea del Sur (2023)

Tamaño de incumplimiento: 10M

En 2023, Corea del Sur acusó a Corea del Norte de robar los datos de 10 millones de clientes del centro comercial en línea, Interpark, en un intento de obtener divisas..

Telegram, Irán (2023)

Tamaño de incumplimiento: 15M

En 2023, los piratas informáticos iraníes están acusados ​​de entrar en un servicio de mensajería instantánea ultraseguro al comprometer una docena de cuentas. El hackeo expuso los números de teléfono de 15 millones de usuarios a los hackers. Esto permitirá a los piratas informáticos agregar nuevos dispositivos a la cuenta del usuario y darles acceso a los historiales de chat y a los nuevos mensajes..

Mossack Fonseca, Panamá (2016)

Tamaño de incumplimiento: 11.5M

Este bufete de abogados panameño se especializa en la creación de empresas anónimas offshore. La fuga es de 11.5 millones de documentos encriptados como correos electrónicos, archivos PDF, fotos y extractos de una base de datos interna. El objetivo principal de esta colección parece estar ocultando a los verdaderos propietarios de varias de las compañías offshore vendidas por Mossack Fonseca. Dado que gran parte de la información almacenada en estos archivos incluye evidencia de actividades ilegales, el deseo de anonimato es bastante obvio.

Base de datos de ciudadanía turca, Turquía (2016)

Tamaño de incumplimiento: 49.6M

Se descubrió una base de datos en línea que contenía 49.6 millones de entradas, la ciudadanía turca completa, con nombres, identificaciones nacionales, nombres de padres, género, ciudad de nacimiento, fecha de nacimiento, ciudad y distrito de registro de identificación, y su dirección completa.

Comisión Electoral de Filipinas, Filipinas (2016)

Tamaño de incumplimiento: 55M

Una base de datos que contiene cada votante registrado en Filipinas, unos 55 millones de personas, se filtró en línea. La filtración se produjo inmediatamente después de la desfiguración del sitio web de la Comisión Electoral de Filipinas..

Oficina de crédito de Corea, Corea del Sur (2014)

Tamaño de incumplimiento: 20M

Un consultor temporal fue arrestado y acusado de robar datos bancarios y de tarjetas de crédito de 20 millones de usuarios de la agencia de crédito..

Yahoo Japón, Japón (2013)

Tamaño de incumplimiento: 22M

Se pusieron en riesgo 22 millones de cuentas de usuario cuando se detectó un intento de acceder a porciones administrativas de los servidores de Yahoo Japón. Ninguna información de identificación personal fue robada, según Yahoo.

Court Ventures, Vietnam (2012)

Tamaño de incumplimiento: 200M

Court Ventures estaba en el negocio de vender información de crédito a un servicio de robo de identidad vietnamita, lo que resultó en más de 200 millones de registros vendidos durante varios años. Estos registros incluyen datos financieros, estado de crédito, números de seguro social e información bancaria..

Ventisca, China (2012)

Tamaño de incumplimiento: 14M

Los jugadores de Diablo III, Starcraft II y World of Warcraft, unos 14 millones de jugadores, fueron informados de una violación de datos que puso en riesgo sus cuentas de usuario en Blizzard.net. Las contraseñas cifradas, las respuestas a las preguntas de seguridad y las direcciones de correo electrónico de usuarios fuera de China fueron robadas en la violación.

178.com, China (2011)

Tamaño de incumplimiento: 10M

Los hackers robaron 10 millones de cuentas de usuario del sitio de juegos chino, junto con varios otros sitios de juegos en China.

Nexon Korea Corp, Corea del Sur (2011)

Tamaño de incumplimiento: 13.2M

13,2 millones de suscriptores de un juego en línea en Corea fueron robados a través de un hack de los servidores del sitio.

Tianya, China (2011)

Tamaño de incumplimiento: 28M

28 millones de contraseñas de texto claro y 40 millones de cuentas de usuario aparecieron en DarkNet desde el 12º sitio web más popular de China en ese momento.

Auction.co.kr, Corea del Sur (2008)

Tamaño de incumplimiento: 18M

Los registros de 18 millones de miembros de este sitio de subastas de Corea del Sur fueron robados por un pirata informático chino. Los registros incluían información del usuario y una gran cantidad de datos financieros..

GS Caltex, Corea del Sur (2008)

Tamaño de incumplimiento: 11.9M

Dos discos compactos que contienen la lista de clientes de esta compañía de 11.9 millones de clientes fueron encontrados en una calle en Seúl.

HM Revenue and Customs, Reino Unido (2007)

Tamaño de incumplimiento: 25M

En el Reino Unido se perdieron discos de computadora que contenían información confidencial sobre 25 millones de beneficiarios de beneficios infantiles. Los discos se perdieron en tránsito desde su sede en Newcastle hasta la sede de una aseguradora en Edimburgo.

T-Mobile, Deutsche Telecom, Alemania (2006)

Tamaño de incumplimiento: 17M

Los ladrones se llevaron un dispositivo de almacenamiento que contenía nombres, direcciones, números de teléfono celular, algunas fechas de nacimiento y algunas direcciones de correo electrónico para algunos ciudadanos alemanes de alto perfil. Afortunadamente, el dispositivo robado no contenía detalles financieros como tarjetas de crédito o cuentas bancarias..

El gran desconocido

Cabe señalar que algunas infracciones reportadas afectan a un número desconocido de clientes, por lo que puede haber otras infracciones que hayan superado los 10 millones de registros. Además, las infracciones pueden quedar sin descubrir, por completo o por un período de tiempo.

El nuevo Reglamento General de Protección de Datos (RGPD) en la UE incluye el requisito de que las empresas reporten violaciones de datos (que cumplan con ciertos criterios) dentro de las 72 horas. Si bien existe una ley estatal de California que se refiere a los informes de violación de datos, no existe una legislación federal que exija la notificación obligatoria de los detalles de la violación de datos. Sin embargo, no informar una violación puede generar demandas de los usuarios afectados, por lo que la mayoría de las empresas informan cuando descubren que han sido pirateadas o pierden información..

Sin embargo, la cantidad de información reportada se deja totalmente en manos de la empresa informante, incluso hasta el punto de admitir que hubo una violación sin detalles sobre qué datos o incluso cuántos datos corrían el riesgo de que personas no autorizadas pudieran acceder a ellos. De acuerdo con Privacy Rights Clearinghouse, miles de empresas han optado por no informar la cantidad de datos que se les ha confiado o incluso cuántos de sus clientes pueden estar en riesgo..

Ahora tenga en cuenta que algunas de estas empresas están recopilando información sin informar primero a los sujetos de su extracción de datos de que su información se está cargando en una base de datos. Cualquier punto de venta minorista en el que una persona ingresa recopila información sobre lo que mira, recoge, compra y sale de su tienda. Haga coincidir esos datos con el reconocimiento facial de las cámaras de seguridad, así como la información recibida del sistema de punto de venta, y tienen una identidad para adjuntar a esa entrada de datos.

Casi todos los puntos de venta ahora tienen algún tipo de membresía en la que se alienta a los clientes a registrarse voluntariamente con ofertas de descuentos en combustible, puntos hacia ahorros en la tienda, cupones digitales personalizados y otros incentivos similares. Todos estos no son, de hecho, gratuitos. Está vendiendo su información de identificación personal a estas empresas a cambio de los beneficios asociados al sistema de membresía de la tienda..

Qué puedes hacer?

Hay algunas cosas que puede hacer para minimizar el daño o incluso evitar que su información llegue a las manos equivocadas. Pueden ser útiles cosas como usar una herramienta de anonimato en línea (como una VPN), instalar un software antivirus, usar contraseñas seguras y habilitar la autenticación de dos factores. En el caso de este último, si la plataforma que está tratando de proteger no ofrece autenticación de dos factores, puede usar una aplicación de autenticación de dos factores de terceros, como DUO Mobile y Google Authenticator.

En el extremo más extremo, siempre existe la opción de contactar a cualquier compañía a la que le haya confiado su información. Puede preguntarles qué tienen implementado para evitar no solo la violación de datos, sino también qué acciones toman cuando se dan cuenta de una fuga..

Si desea verificar para ver si su información ha estado involucrada en una violación de datos, una herramienta útil es: ¿he sido pwned? sitio web

¿Ha experimentado algún efecto secundario, o incluso efectos directos de una violación de datos? ¿Cómo te recuperaste? Deje sus comentarios a continuación junto con cualquier consejo que pueda tener para otros lectores.

"Filtración de datos"Por Blogtrepreneur - CC BY 2.0