As violações de dados que afetam milhões de usuários são muito comuns. Aqui estão algumas das maiores e piores violações do século 21.
No mundo baseado em dados de hoje, as violações de dados podem afetar centenas de milhões ou até bilhões de pessoas ao mesmo tempo. Afinal, a transformação digital aumentou a oferta de movimentação de dados e as violações de dados aumentaram com ela. Especialmente, à medida que os invasores exploram as dependências de dados da vida cotidiana. Como grandes ciberataques do futuro podem se tornar continua sendo especulação. Contudo, como indica esta lista das maiores violações de dados do século 21, eles já atingiram enormes magnitudes.
Para fins de transparência, essa lista foi calculada pelo número de usuários afetados, registros expostos ou contas afetadas. Também foi realizada uma distinção entre os incidentes em que os dados foram ativamente roubados ou repostados de forma maliciosa. Isso, além daqueles em que uma organização inadvertidamente deixou os dados desprotegidos e expostos, mas não houve evidência significativa de uso indevido. Estes últimos propositadamente não foram incluídos na lista.
Então, aqui está uma lista atualizada das maiores violações de dados do século 21, incluindo detalhes dos afetados, quem foi o responsável e como as empresas responderam (em julho de 2021).
Data: junho de 2012
Impacto: 165 milhões de usuários
A rede social de cunho profissional sofreu sua primeira violação em 2012. Na ocasião, anunciou que 6,5 milhões de senhas não associadas (hashes SHA-1) foram roubadas por invasores e postadas em um fórum de hackers russo.
No entanto, não foi até 2016 que toda a extensão do incidente foi revelada. Afinal, descobriu-se que o mesmo hacker que vendia os dados do MySpace oferecia os endereços de e-mail e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins (cerca de US$ 2.000 na época). Então, o LinkedIn reconheceu que foi informado da violação e disse que redefiniu as senhas das contas afetadas.
Empreendimentos Judiciais (Experian)
Data: outubro de 2013
Impacto: 200 milhões de registros pessoais
A subsidiária da Experian, Court Ventures, foi vítima em 2013. O caso aconteceu quando um vietnamita a enganou para lhe dar acesso a um banco de dados contendo 200 milhões de registros pessoais, fingindo ser um investigador particular de Cingapura.
No entanto, os detalhes das façanhas de Hieu Minh Ngo só vieram à tona após sua prisão por vender informações pessoais de residentes nos EUA (incluindo números de cartão de crédito e CPF) para cibercriminosos em todo o mundo. Ele fazia isso desde 2007. Em março de 2014, ele se declarou culpado de várias acusações, incluindo fraude de identidade no Tribunal Distrital dos EUA para o Distrito de New Hampshire. O DoJ afirmou na época que Ngo havia faturado um total de US$ 2 milhões com a venda de dados pessoais.
Adobe
Data: outubro de 2013
Impacto: 153 milhões de registros de usuários
No início de outubro de 2013, a Adobe informou que hackers haviam roubado quase três milhões de registros criptografados de cartões de crédito de clientes e dados de login para um número indeterminado de contas de usuários. Entretanto, dias depois, a Adobe aumentou essa estimativa para incluir IDs e senhas criptografadas para 38 milhões de “usuários ativos”.
O blogueiro de segurança Brian Krebs então relatou que um arquivo postado apenas alguns dias antes “parece incluir mais de 150 milhões de pares de nomes de usuário e senhas com hash retirados da Adobe”. Contudo, semanas de pesquisa mostraram que o hack também expôs nomes de clientes, senha e informações de cartão de débito e crédito.
Um acordo em agosto de 2015 exigia que a Adobe pagasse US$ 1,1 milhão em honorários advocatícios e um valor não revelado aos usuários para liquidar reivindicações de violação da Lei de Registros de Clientes e práticas comerciais desleais. Em novembro de 2016, o valor pago aos clientes foi de US$ 1 milhão nessa que foi uma das grandes violações do século 21.
MySpace
Data: 2013
Impacto: 360 milhões de contas de usuários
Embora tenha deixado de ser a potência que já foi, o site de mídia social MySpace chegou às manchetes em 2016. Contudo, o motivo foram as 360 milhões de contas de usuários vazadas no LeakedSource.com e colocadas à venda no mercado da dark web The Real Deal com um preço de 6 bitcoins (cerca de US$ 3.000 na época).
Segundo a empresa, os dados perdidos incluíam endereços de e-mail, senhas e nomes de usuário para “uma parte das contas que foram criadas antes de 11 de junho de 2013, na antiga plataforma Myspace. Portanto, para proteger nossos usuários, invalidamos todas as senhas de usuário das contas afetadas criadas antes de 11 de junho de 2013, na antiga plataforma Myspace. Esses usuários que retornarem ao Myspace serão solicitados a autenticar sua conta e redefinir sua senha seguindo as instruções.”
Contudo, acredita-se que as senhas foram armazenadas como hashes SHA-1 dos primeiros 10 caracteres da senha convertidos para minúsculas.
Yahoo
Data: agosto de 2013
Impacto: 3 bilhões de contas
Garantindo o primeiro lugar – quase sete anos após a violação inicial e quatro desde que o verdadeiro número de registros expostos foi revelado – está o ataque ao Yahoo. A empresa anunciou publicamente o incidente pela primeira vez em dezembro de 2016. Contudo, segundo a própria, o ataque ocorreu em 2013.
Na época, o Yahoo estava em processo de aquisição pela Verizon e estimava que as informações da conta de mais de um bilhão de seus clientes haviam sido acessadas por um grupo de hackers. Menos de um ano depois, o Yahoo anunciou que o número real de contas de usuários expostas era de 3 bilhões. Entretanto, o Yahoo afirmou que a estimativa revisada não representava um novo “problema de segurança” e que estava enviando e-mails para todas as “contas de usuários afetadas adicionais”.
Apesar do ataque, o negócio com a Verizon foi concluído, embora a um preço reduzido. A CISO da Verizon, Chandra McMahon, disse na época: “A Verizon está comprometida com os mais altos padrões de responsabilidade e transparência. Portanto, trabalhamos proativamente para garantir a segurança de nossos usuários e redes em um cenário em evolução de ameaças online. Nosso investimento no Yahoo está permitindo que essa equipe continue a tomar medidas significativas para aprimorar sua segurança, além de se beneficiar da experiência e dos recursos da Verizon.”
Após investigação, descobriu-se que, embora os invasores acessassem informações da conta, como perguntas e respostas de segurança, senhas em texto simples, não roubaram cartão de pagamento e dados bancários.
NetEase
Data: outubro de 2015
Impacto: 235 milhões de contas de usuários
A NetEase, fornecedora de serviços de caixa de correio por meio de 163.com e 126.com, supostamente sofreu uma violação em outubro de 2015. Nessa, que foi uma das violações consideráveis do século 21, endereços de e-mail e senhas de texto simples relacionadas a 235 milhões de contas estavam sendo vendidas pelo fornecedor de mercado da dark web DoubleFlag.
Contudo, a NetEase sustentou que não ocorreu nenhuma violação de dados e até hoje o HIBP afirma: “Embora haja evidências de que os dados em si são legítimos (vários assinantes do HIBP confirmaram que uma senha que eles usam está nos dados), devido à dificuldade de verificar enfaticamente os dados chineses violação foi sinalizada como “não verificada”.
Yahoo
Data: 2014
Impacto: 500 milhões de contas
Fazendo sua segunda aparição nesta lista de maiores violações do século 21, está o Yahoo. Afinal, a empresa sofreu um ataque em 2014 separado do de 2013 citado acima. Nesta ocasião, atores patrocinados pelo estado roubaram dados de 500 milhões de contas, incluindo:
- Nomes;
- Endereços de e-mail;
- Números de telefone;
- Senhas com hash;
- Datas de nascimento.
Então, a empresa tomou medidas corretivas iniciais em 2014. No entanto, apenas em 2016 o Yahoo tornou público os detalhes depois que um banco de dados roubado foi colocado à venda no mercado negro.
The FriendFinder
Data: outubro de 2016
Impacto: 412,2 milhões de contas
O serviço de rede social voltado para adultos The FriendFinder Network tinha 20 anos de dados de usuários. Esses dados estavam em seis bancos de dados que ladrões cibernéticos roubaram em outubro de 2016. Entretanto, dada a natureza sensível dos serviços oferecidos pela empresa – que incluem conexões casuais e sites de conteúdo adulto como Adult Friend Finder, Penthouse.com e Stripshow.com – a violação de dados de mais de 414 milhões de contas, incluindo nomes, endereços de e-mail e senhas, tinha o potencial de ser particularmente prejudicial para as vítimas.
Além disso, a grande maioria das senhas expostas foi hash por meio do algoritmo notoriamente fraco SHA-1. Portanto, cerca de 99% delas foram quebradas quando o LeakedSource.com publicou sua análise do conjunto de dados em 14 de novembro de 2016.
MyFitnessPal
Data: fevereiro de 2018
Impacto: 150 milhões de contas de usuários
Em fevereiro de 2018, o aplicativo de dieta e exercícios MyFitnessPal (de propriedade da Under Armour) expôs cerca de 150 milhões de endereços de e-mail únicos, endereços IP e credenciais de login, como nomes de usuário e senhas armazenados como hashes SHA-1 e bcrypt. Contudo, no ano seguinte, os dados apareceram à venda na dark web e de forma mais ampla.
Então, a empresa reconheceu a violação e disse que tomou medidas para notificar os usuários sobre o incidente. “Uma vez que tomamos conhecimento, rapidamente tomamos medidas para determinar a natureza e o escopo do problema. Estamos trabalhando com as principais empresas de segurança de dados para auxiliar em nossa investigação. Também notificamos e estamos coordenando com as autoridades policiais”, afirmou.
Marriott International (Starwood)
Data: setembro de 2018
Impacto: 500 milhões de clientes
O Hotel Marriot International anunciou a exposição de detalhes confidenciais pertencentes a meio milhão de hóspedes da Starwood após um ataque a seus sistemas em setembro de 2018. Em um comunicado publicado em novembro do mesmo ano, a gigante hoteleira disse: “Em 8 de setembro de 2018, a Marriott recebeu um alerta de uma ferramenta de segurança interna sobre uma tentativa de acessar o banco de dados de reservas de hóspedes da Starwood. Contudo, a Marriott rapidamente contratou os principais especialistas em segurança para ajudar a determinar o que ocorreu.”
No entanto, a Marriott descobriu durante a investigação que havia acesso não autorizado à rede Starwood desde 2014. “O Marriott descobriu recentemente que uma parte não autorizada havia copiado e criptografado informações e tomou medidas para removê-las. Contudo, em 19 de novembro de 2018, a Marriott conseguiu descriptografar as informações e determinou que o conteúdo era do banco de dados de reservas de hóspedes da Starwood”, acrescentou o comunicado.
Os dados copiados incluíam:
- Nomes dos hóspedes;
- Endereços de correspondência;
- Números de telefone;
- Endereços de e-mail;
- Números de passaporte;
- Informações da conta Starwood Preferred Guest;
- Datas de nascimento;
- Sexo;
- Dados de chegada e partida;
- Datas de reserva e preferências de comunicação.
Para alguns, as informações também incluíam números de cartões de pagamento e datas de validade, embora aparentemente criptografados. Ainda assim essa foi uma das grandes violações do século 21.
O Marriot realizou uma investigação auxiliada por especialistas em segurança após a violação. Então, anunciou planos para eliminar gradualmente os sistemas Starwood e acelerar os aprimoramentos de segurança em sua rede. A empresa acabou sendo multada em £ 18,4 milhões (reduzida de £ 99 milhões) pelo órgão regulador de dados do Reino Unido, o Information Commissioner’s Office (ICO) em 2020. O motivo foi não manter os dados pessoais dos clientes seguros. Um artigo do New York Times atribuiu o ataque a um grupo de inteligência chinês que buscava coletar dados sobre cidadãos dos EUA.
Dubmash
Data: dezembro de 2018
Impacto: 162 milhões de contas de usuários
Em dezembro de 2018, o serviço de mensagens de vídeo Dubsmash, com sede em Nova York, roubaram 162 milhões de endereços de e-mail, nomes de usuário, hashes de senha PBKDF2 e outros dados pessoais, como datas de nascimento. Todas essas informações foram colocadas à venda na dark web do Dream Market. As informações estavam sendo vendidas como parte de um despejo coletado, incluindo nomes como MyFitnessPal, MyHeritage (92 milhões), ShareThis, Armor Games e o aplicativo de namoro CoffeeMeetsBagel.
A Dubsmash reconheceu que a violação e a venda de informações ocorreram. Portanto, forneceu conselhos sobre a alteração de senha. No entanto, não informou como os invasores entraram ou confirmou quantos usuários foram afetados.
Data: abril de 2019
Impacto: 533 milhões de usuários
Em abril de 2019, uma das maiores violações de dados do século 21 aconteceu. Foi revelado que dois conjuntos de dados de aplicativos do Facebook foram expostos à internet pública. As informações estavam relacionadas a mais de 530 milhões de usuários do Facebook e incluíam números de telefone, nomes de contas e IDs do Facebook.
No entanto, dois anos depois (abril de 2021) os dados foram postados gratuitamente, indicando novas e reais intenções criminosas em torno dos dados. De fato, dado à grande quantidade de números de telefone impactados e prontamente disponíveis na dark web como resultado do incidente, o pesquisador de segurança Troy Hunt adicionou funcionalidade ao seu site de verificação de credenciais violadas HaveIBeenPwned (HIBP) que permitiria aos usuários verificar se seu telefone números foram incluídos no conjunto de dados exposto.
“Eu nunca planejei tornar os números de telefone pesquisáveis”, escreveu Hunt na postagem do blog. “Minha posição sobre isso era que não fazia sentido por várias razões. Contudo, os dados do Facebook mudaram tudo isso. Existem mais de 500 milhões de números de telefone, mas apenas alguns milhões de endereços de e-mail, então >99% das pessoas estavam perdendo quando deveriam ter acertado.”
Alibaba
Data: novembro de 2019
Impacto: 1,1 bilhão de dados de usuários
Durante um período de oito meses, um desenvolvedor que trabalha para um comerciante afiliado raspou dados de clientes do site de compras chinês Alibaba. Isso incluiu nomes de usuário e números de celular. Parece que o desenvolvedor e seu empregador estavam coletando as informações para uso próprio e não as venderam no mercado negro, embora ambos tenham sido condenados a três anos de prisão.
Um porta-voz do Taobao disse em um comunicado: “O Taobao dedica recursos substanciais para combater a raspagem não autorizada em nossa plataforma, pois a privacidade e a segurança dos dados são de extrema importância. Descobrimos e abordamos proativamente essa raspagem não autorizada. Continuaremos a trabalhar com a aplicação da lei para defender e proteger os interesses de nossos usuários e parceiros.”
Sina Weibo
Data: março de 2020
Impacto: 538 milhões de contas
Com mais de 600 milhões de usuários, o Sina Weibo é uma das maiores plataformas de mídia social da China. No entanto, em março de 2020, a empresa anunciou que um invasor obteve parte de seu banco de dados. Isso afetou 538 milhões de usuários do Weibo e seus dados pessoais, incluindo nomes reais, nomes de usuários de sites, gênero, localização e números de telefone. O invasor teria vendido o banco de dados na dark web por US$ 250.
O Ministério da Indústria e Tecnologia da Informação da China (MIIT) ordenou que o Weibo aprimore suas medidas de segurança de dados para proteger melhor as informações pessoais. Não obstante, determinou que notificasse usuários e autoridades quando ocorrerem incidentes de segurança de dados.
Em um comunicado, o Sina Weibo argumentou que um invasor coletou informações postadas publicamente usando um serviço destinado a ajudar os usuários a localizar as contas Weibo de amigos inserindo seus números de telefone e que nenhuma senha foi afetada. No entanto, admitiu que os dados expostos podem ser usados para associar contas a senhas se as senhas forem reutilizadas em outras contas. Então, a empresa disse que fortaleceu sua estratégia de segurança e relatou os detalhes à autoridade competente.
Data: junho de 2021
Impacto: 700 milhões de usuários
Essa foi umas das maiores violações do século 21 por conta da amplitude da plataforma. Afinal, a gigante das redes profissionais LinkedIn viu dados associados a 700 milhões de seus usuários postados em um fórum da dark web em junho de 2021. O caso impactou mais de 90% de sua base de usuários.
Um hacker conhecido como “God User” usou técnicas de raspagem de dados explorando a API do site (e de outros) antes de despejar um primeiro conjunto de dados de informações de cerca de 500 milhões de clientes. Então, em seguida, eles se gabavam de que estavam vendendo o banco de dados completo de 700 milhões de clientes.
Embora o LinkedIn tenha argumentado que, como nenhum dado pessoal confidencial e privado foi exposto, o incidente foi uma violação de seus termos de serviço e não uma violação de dados. Contudo, uma amostra de dados raspada postada pelo God User continha informações, incluindo endereços de e-mail, números de telefone, registros de geolocalização, gêneros e outros detalhes de mídia social. Ou seja, informações que dariam aos atores mal-intencionados muitos dados para criar ataques de engenharia social convincentes e subsequentes após o vazamento, conforme alertado pelo NCSC do Reino Unido.
Essas foram apenas as maiores violações de dados do século 21 até agora. Portanto, é fundamental investir em segurança cibernética para garantir a segurança da sua empresa e clientes. Para isso, você pode contratar uma empresa de TI especializada em segurança dedicada, que pode ajudar a monitorar suas redes de perto e cortar o mal pela raiz.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
A Infonova tem soluções voltadas para PMEs, Governo e Corporate. Contudo, todas essas soluções compreendem modelos flexíveis com início rápido e transição sem dor.
Então, para saber mais sobre os serviços da Infonova e sinais de alerta sobre seu treinamento de TI, entre em contato pelo (11) 2246-2875 ou clique aqui.
Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.