5 vi phạm an ninh mạng hàng đầu năm 2022

Xu hướng gia tăng trong vi phạm dữ liệu tiếp tục diễn ra trở lên, và kết quả là, chưa bao giờ có thời gian bấp bênh hơn trong lịch sử để khởi động và duy trì một doanh nghiệp thành công.

Để ngăn chặn sự lặp lại của các lỗi dẫn đến trộm cắp dữ liệu, chúng tôi đã biên soạn một danh sách các vi phạm dữ liệu lớn nhất trong lịch sử, bao gồm các vi phạm dữ liệu gần đây nhất vào tháng 2 năm 2022.

Như bạn thấy, ngay cả các công ty có uy tín như Facebook, LinkedIn và Twitter cũng dễ bị tổn thương trước xu hướng vi phạm dữ liệu đang gia tăng.

Bạn cũng có thể quan tâm đến danh sách các vi phạm dữ liệu lớn nhất của chúng tôi trong các ngành công nghiệp tài chính và chăm sóc sức khỏe.

67 vi phạm dữ liệu lớn nhất được xếp hạng bởi tác động

Mỗi vi phạm dữ liệu cho thấy những sai lầm dẫn đến việc tiếp xúc với hàng triệu hồ sơ dữ liệu cá nhân.

1. Vi phạm dữ liệu Cam4

Ngày: Tháng 3 năm 2020 March 2020

Tác động: 10,88 tỷ hồ sơ. 10.88 billion records.

Trang web phát trực tuyến video người lớn Cam4 đã có máy chủ Elaticsearch vi phạm lộ hơn 10 tỷ hồ sơ.

Các hồ sơ bị vi phạm bao gồm các thông tin nhạy cảm sau:

• Tên đầy đủ
• Địa chỉ email
• Xu hướng tình dục & nbsp;
• Bảng điểm trò chuyện
• Bảng điểm tương ứng email
• Băm mật khẩu
• Các địa chỉ IP
• Nhật ký thanh toán

Nhiều địa chỉ email được hiển thị được liên kết với các dịch vụ lưu trữ đám mây. Nếu tin tặc sẽ phát động các cuộc tấn công lừa đảo thành công vào những người dùng này, họ có thể truy cập sâu hơn vào hình ảnh cá nhân và thông tin kinh doanh.

Do sự kết nối của cơ sở dữ liệu bị vi phạm, người dùng bị xâm phạm có thể trở thành nạn nhân của việc tống tiền và những nỗ lực phỉ báng trong nhiều năm tới.

2. Vi phạm dữ liệu Yahoo [2017]

Ngày: Tháng 10 năm 2017 October 2017

Tác động: 3 tỷ tài khoản 3 billion accounts

Yahoo tiết lộ rằng vi phạm vào tháng 8 năm 2013 bởi một nhóm tin tặc đã xâm phạm 1 tỷ tài khoản. Trong trường hợp này, các câu hỏi và câu trả lời bảo mật cũng bị xâm phạm, làm tăng nguy cơ trộm cắp danh tính. Vi phạm được Yahoo báo cáo lần đầu tiên trong khi đàm phán để bán cho Verizon, vào ngày 14 tháng 12 năm 2016. Yahoo đã buộc tất cả người dùng bị ảnh hưởng phải thay đổi mật khẩu và để nhập lại bất kỳ câu hỏi và câu trả lời bảo mật nào không được mã hóa để mã hóa lại chúng.

Tuy nhiên, đến tháng 10 năm 2017, Yahoo đã thay đổi ước tính thành 3 tỷ tài khoản người dùng. Một cuộc điều tra cho thấy rằng mật khẩu của người dùng trong văn bản rõ ràng, dữ liệu thẻ thanh toán và thông tin ngân hàng không bị đánh cắp. Tuy nhiên, đây vẫn là một trong những vi phạm dữ liệu lớn nhất của loại này trong lịch sử.

3. Vi phạm dữ liệu Aadhaar

Ngày: Tháng 3 năm 2018 March 2018

Tác động: 1,1 tỷ người 1.1 billion people

Vào tháng 3 năm 2018, người ta đã công khai rằng thông tin cá nhân của hơn một tỷ công dân Ấn Độ được lưu trữ trong cơ sở dữ liệu sinh trắc học lớn nhất thế giới có thể được mua trực tuyến.

Vi phạm dữ liệu lớn này là kết quả của việc rò rỉ dữ liệu trên một hệ thống do một công ty tiện ích nhà nước điều hành. Vi phạm cho phép truy cập vào thông tin cá nhân của chủ sở hữu Aadhaar, phơi bày tên của họ, số nhận dạng 12 chữ số độc đáo của họ và chi tiết ngân hàng của họ.

Loại thông tin được phơi bày bao gồm các bức ảnh, dấu vân tay, quét võng mạc và các chi tiết nhận dạng khác của gần như mọi công dân Ấn Độ.

4. Vi phạm dữ liệu của Tập đoàn Tài chính Mỹ đầu tiên

Ngày: & nbsp; tháng 5 năm 2019May 2019

Tác động: & NBSP; 885 triệu người dùng885 million users

Vào tháng 5 năm 2019, Tập đoàn tài chính Mỹ đầu tiên đã rò rỉ 885 triệu hồ sơ nhạy cảm của người dùng có từ hơn 16 năm, bao gồm hồ sơ tài khoản ngân hàng, số an sinh xã hội, giao dịch dây và giấy tờ thế chấp khác.

5. Xác minh.IO Vi phạm dữ liệu

Ngày: Tháng 2 năm 2019 February 2019

Tác động: & NBSP; 763 triệu người dùng763 million users

Vào tháng 2 năm 2019, xác minh dịch vụ xác thực địa chỉ email. Xác minh đã phơi bày 763 triệu địa chỉ email duy nhất trong một ví dụ MongoDB mà không phải đối mặt công khai mà không có mật khẩu. Nhiều hồ sơ cũng bao gồm tên, số điện thoại, địa chỉ IP, ngày sinh và giới tính. & NBSP;

‍

6. Vi phạm dữ liệu LinkedIn [2021]

Ngày: tháng 6 năm 2021 June 2021

Tác động: & NBSP; 700 triệu người dùng700 million users

Dữ liệu liên quan đến 700 triệu người dùng LinkedIn đã được đăng để bán trong một diễn đàn web tối vào tháng 6 năm 2021. Phiên bản này đã ảnh hưởng đến 92% tổng số người dùng LinkedIn của 756 triệu người dùng.

Dữ liệu được đổ trong hai sóng, ban đầu phơi bày 500 triệu người dùng và sau đó là một bãi rác thứ hai trong đó hacker "người dùng God" tự hào rằng họ đang bán một cơ sở dữ liệu là 700 triệu LinkedIn.

Các tin tặc đã công bố một mẫu chứa 1 triệu hồ sơ để xác nhận tính hợp pháp của vi phạm. Dữ liệu bao gồm những điều sau:

• Địa chỉ email
• Tên đầy đủ
• Địa chỉ email
• Xu hướng tình dục & nbsp;
• Bảng điểm trò chuyện
• Bảng điểm tương ứng email
• Băm mật khẩu
• Các địa chỉ IP

Nhật ký thanh toán

LinkedIn tuyên bố rằng, vì thông tin cá nhân không bị xâm phạm, sự kiện này không phải là 'vi phạm dữ liệu mà là vi phạm các điều khoản dịch vụ của họ thông qua việc xóa dữ liệu bị cấm.

Tìm hiểu về sự khác biệt giữa vi phạm dữ liệu và rò rỉ dữ liệu.

Nhưng dữ liệu bị rò rỉ là đủ để khởi động một loạt các cuộc tấn công mạng nhắm vào người dùng bị phơi nhiễm, điều này làm cho sự cố có trọng số đối với phân loại vi phạm dữ liệu.

7. Vi phạm dữ liệu Facebook [2019]

Ngày: Tháng 4 năm 2019 April 2019

Tác động: 533 triệu người dùng 533 million users

Vào tháng 4 năm 2019, nhóm Rủi ro Cyber ​​Upguard đã tiết lộ hai bộ dữ liệu ứng dụng Facebook của bên thứ ba đã được tiếp xúc với Internet công cộng. Một, có nguồn gốc từ công ty truyền thông có trụ sở tại Mexico & NBSP; Cultura Colectiva, nặng 146 gigabyte và chứa hơn 533 triệu hồ sơ chi tiết nhận xét, lượt thích, phản ứng, tên tài khoản, ID FB và nhiều hơn nữa. Cùng một loại bộ sưu tập này, ở dạng tập trung tương tự, & nbsp; đã là nguyên nhân gây lo ngại trong quá khứ gần đây, do sử dụng tiềm năng của dữ liệu đó. Tìm hiểu thêm về vi phạm dữ liệu Facebook này ở đây.

Cơ sở dữ liệu này đã bị rò rỉ trên Dark Web miễn phí vào tháng 4 năm 2021, thêm một làn sóng tiếp xúc hình sự mới với dữ liệu ban đầu được chuyển vào năm 2019. Điều này làm cho Facebook trở thành một trong những công ty bị hack gần đây năm 2021, và do đó, một trong những công ty lớn nhất là Hacked năm 2021.

Tất cả 533.000.000 hồ sơ Facebook chỉ bị rò rỉ miễn phí.

Điều này có nghĩa là nếu bạn có tài khoản Facebook, rất có khả năng số điện thoại được sử dụng cho tài khoản đã bị rò rỉ.

Tôi vẫn chưa thấy Facebook thừa nhận sự sơ suất tuyệt đối của dữ liệu của bạn. //t.co/ysgcpzm5u3 pic.twitter.com/nm0fu4gdy8

- Alon Gal [dưới sự vi phạm] [@underthebreach] ngày 3 tháng 4 năm 2021

8. Vi phạm dữ liệu Yahoo [2014]

Ngày: 2014 2014

Tác động: 500 triệu tài khoản 500 million accounts

Yahoo tin rằng một "diễn viên do nhà nước tài trợ" đứng sau cuộc tấn công mạng ban đầu này vào năm 2014. Dữ liệu bị đánh cắp bao gồm thông tin cá nhân như tên, địa chỉ email, số điện thoại, mật khẩu băm, ngày sinh, và câu hỏi và câu trả lời, một số trong số đó không được mã hóa. Yahoo đã nhận thức được vi phạm này vào năm 2014, thực hiện một vài hành động khắc phục ban đầu nhưng không điều tra thêm. Chỉ khoảng hai năm sau, Yahoo công khai tiết lộ vi phạm sau khi một cơ sở dữ liệu bị đánh cắp từ công ty được cho là đã được bán trên thị trường chợ đen.

9. Vi phạm dữ liệu Starwood [Marriott]

Ngày: Tháng 11 năm 2018 November 2018

Tác động: 500 triệu khách 500 million guests

Vào tháng 11 năm 2018, Marriott International tuyên bố rằng tin tặc đã đánh cắp dữ liệu khoảng 500 triệu khách hàng của khách sạn Starwood. Những kẻ tấn công đã có được quyền truy cập trái phép vào hệ thống Starwood vào năm 2014 và vẫn ở trong hệ thống sau khi Marriott mua lại Starwood vào năm 2016. Tuy nhiên, phát hiện này đã không được thực hiện cho đến năm 2018.

Thông tin được phơi bày bao gồm tên, thông tin liên lạc, số hộ chiếu, số khách ưa thích của Starwood, thông tin du lịch và thông tin cá nhân khác. Marriott tin rằng thông tin tài chính như số lượng thẻ tín dụng và thẻ ghi nợ và ngày hết hạn của hơn 100 triệu khách hàng đã bị đánh cắp, mặc dù công ty không chắc chắn liệu những kẻ tấn công có thể giải mã số lượng thẻ tín dụng hay không.

Theo tờ New York Times, vi phạm cuối cùng được quy cho một nhóm tình báo Trung Quốc, Bộ An ninh Nhà nước, tìm cách thu thập dữ liệu về công dân Hoa Kỳ. Nếu đúng, đây sẽ là vi phạm dữ liệu cá nhân lớn nhất được biết đến được thực hiện bởi một quốc gia.

10. Vi phạm dữ liệu tìm kiếm người lớn

Ngày: Tháng 10 năm 2016 October 2016

Tác động: 412,2 triệu tài khoản 412.2 million accounts

Vào tháng 10 năm 2016, tin tặc đã thu thập 20 năm dữ liệu trên sáu cơ sở dữ liệu bao gồm tên, địa chỉ email và mật khẩu cho mạng dành cho người lớn. Mạng FriendFinder bao gồm các trang web như Friend Friend Finder, Penthouse.com, Cams.com, ICAMS.com và Stripshow.com.

Hầu hết các mật khẩu chỉ được bảo vệ bởi thuật toán băm SHA-1 yếu, điều đó có nghĩa là 99% trong số chúng đã bị phá vỡ vào thời điểm rò rỉ rò rỉ.com đã công bố phân tích toàn bộ dữ liệu vào ngày 14 tháng 11.

11. Vi phạm dữ liệu MySpace

Ngày: Tháng 6 năm 2013 June 2013

Tác động: 360 triệu tài khoản 360 million accounts

Vào tháng 6 năm 2013, khoảng 360 triệu tài khoản MySpace đã bị xâm phạm bởi một tin tặc Nga, nhưng vụ việc không được tiết lộ công khai cho đến năm 2016. Thông tin bị rò rỉ bao gồm thông tin tài khoản như tên của chủ sở hữu, tên người dùng và ngày sinh. Từ năm 2013 đến 2016, bất kỳ ai có quyền truy cập vào thông tin bị vi phạm này đều có thể tiếp quản bất kỳ tài khoản MySpace nào. Gã khổng lồ mạng truyền thông xã hội trước đây đã vô hiệu hóa tất cả các mật khẩu thuộc các tài khoản được thiết lập trước năm 2013.

12. Vi phạm dữ liệu chính xác

Ngày: Tháng 6 năm 2018 June 2018

Tác động: 340 triệu người 340 million people

Vào tháng 6 năm 2018, công ty tổng hợp dữ liệu và tiếp thị có trụ sở tại Florida đã phơi bày một cơ sở dữ liệu chứa gần 340 triệu hồ sơ trên một máy chủ có thể truy cập công khai. Vi phạm đã phơi bày thông tin cá nhân cao như số điện thoại của mọi người, nhà và địa chỉ email, sở thích và số lượng, tuổi và giới tính của con cái họ. Phơi nhiễm dữ liệu này được phát hiện bởi chuyên gia bảo mật Vinny Troia, người chỉ ra rằng vi phạm bao gồm dữ liệu về hàng trăm triệu người trưởng thành và hàng triệu doanh nghiệp Hoa Kỳ.

13. Vi phạm dữ liệu Twitter [2018]

Ngày: Tháng 5 năm 2018 May 2018

Tác động: 330 triệu người dùng 330 million users

Vào tháng 5 năm 2018, người dùng khổng lồ truyền thông xã hội đã thông báo cho người dùng về một trục trặc đã lưu trữ mật khẩu được mở ra trong nhật ký nội bộ, giúp tất cả các mật khẩu người dùng có thể truy cập được vào mạng nội bộ. Twitter đã nói với 330 triệu người dùng thay đổi mật khẩu của họ nhưng công ty cho biết họ đã sửa lỗi và không có dấu hiệu vi phạm hoặc lạm dụng, nhưng đã khuyến khích cập nhật mật khẩu để đề phòng. Twitter đã không tiết lộ số lượng người dùng đã bị ảnh hưởng nhưng chỉ ra rằng số lượng người dùng là đáng kể và họ đã bị phơi bày trong vài tháng.

14. Vi phạm dữ liệu Netease

Ngày: Tháng 10 năm 2015 October 2015

Tác động: 234 triệu người dùng234 million users

Vào tháng 10 năm 2015, Netease [tọa lạc tại 163.com] đã được báo cáo là bị vi phạm dữ liệu ảnh hưởng đến hàng trăm triệu người đăng ký. Mặc dù có bằng chứng để nói rằng dữ liệu là hợp pháp [nhiều người dùng đã xác nhận mật khẩu của họ trong đó trong dữ liệu], nhưng rất khó để xác minh một cách dứt khoát. & NBSP;

Vi phạm chứa địa chỉ email và mật khẩu văn bản thuần túy.

15. Vi phạm dữ liệu của SocialLarks

Ngày: Tháng 1 năm 2021 January 2021

Tác động: 200 triệu hồ sơ 200 million records

SocialLarks, một cơ quan truyền thông xã hội Trung Quốc đang phát triển nhanh chóng đã bị rò rỉ dữ liệu hoành tráng vào năm 2021 thông qua cơ sở dữ liệu Elaticsearch không có bảo đảm.

Máy chủ của SocialLarks, được bảo vệ bằng mật khẩu, được mã hóa và đó là một tài sản được phơi bày công khai. Sự kết hợp gây chết người này có nghĩa là bất kỳ ai có kiến ​​thức về địa chỉ IP của máy chủ đều có thể truy cập vào dữ liệu nhạy cảm bị rò rỉ và đó chính xác là những gì đã xảy ra.

Cơ sở dữ liệu bị vi phạm lưu trữ dữ liệu bị xóa của hơn 200 triệu người dùng Facebook, Instagram và LinkedIn.

Dữ liệu được phơi bày bao gồm:

• Tên
• Số điện thoại
• Địa chỉ email
• Mô tả hồ sơ
• Người theo dõi và dữ liệu tham gia
• Địa điểm
• Liên kết hồ sơ LinkedIn
• Tên đăng nhập tài khoản truyền thông xã hội được kết nối

16. Vi phạm dữ liệu phân tích gốc sâu

Ngày: tháng 6 năm 2017 Jun 2017

Tác động: 200 triệu cử tri Hoa Kỳ 200 million U.S voters

Hồ sơ của 200 triệu cử tri đã được truy cập từ Deep Root Analytics, một công ty làm việc thay mặt cho Ủy ban Quốc gia Cộng hòa [RNC].

Dữ liệu bao gồm 1,1 terabyte thông tin nhận dạng cá nhân [PII] bao gồm tên, địa chỉ và ngày sinh.

Dữ liệu được truy cập cũng chứa phân tích cử tri toàn diện dựa trên hoạt động của Reddit Post có thể được sử dụng để dự đoán cách nào đó ai đó sẽ bỏ phiếu về một vấn đề cụ thể.

Cơ sở dữ liệu bị vi phạm được phát hiện bởi nhóm nghiên cứu mạng Upguard.

17. Vi phạm dữ liệu của tòa án

‍Date: Tháng 10 năm 2013 & NBSP;Date: Oct 2013 

Tác động: 200 triệu hồ sơ cá nhân 200 million personal records

Tòa án Ventures, một công ty con của công ty giám sát thẻ tín dụng Experian, đã bị vi phạm phơi bày 200 triệu hồ sơ cá nhân.

Hacker đang điều hành một doanh nghiệp bán thông tin nhận dạng cá nhân và đang bán số thẻ tín dụng và số an sinh xã hội mà anh ta đã truy cập trong vi phạm.

Sự thâm nhập đã đạt được bởi tin tặc đóng giả làm điều tra viên tư nhân từ Singapore và thuyết phục nhân viên từ bỏ quyền truy cập vào cơ sở dữ liệu nội bộ.

Experian đã chịu một vi phạm khác vào năm 2020, khi một diễn viên đe dọa tự xưng là khách hàng của Experian đã thuyết phục nhân viên từ bỏ thông tin khách hàng cho mục đích tiếp thị.

Những sự kiện này đã mang lại cho Experian danh tiếng của việc phải chịu một sự vi phạm dữ liệu lớn nhất trong lĩnh vực dịch vụ tài chính.

18. Vi phạm dữ liệu LinkedIn

Ngày: tháng 6 năm 2012 June 2012

Tác động: 165 triệu người dùng 165 million users

Vào tháng 6 năm 2012, LinkedIn đã tiết lộ một vi phạm dữ liệu đã xảy ra, nhưng các thông báo dự án mật khẩu tại thời điểm đó chỉ ra rằng chỉ có 6,5 triệu tài khoản người dùng bị ảnh hưởng. LinkedIn chưa bao giờ xác nhận số thực tế và năm 2016, chúng tôi đã biết lý do tại sao: một con số khổng lồ 165 triệu tài khoản người dùng đã bị xâm phạm, bao gồm 117 triệu mật khẩu đã bị băm nhưng không "muối" với dữ liệu ngẫu nhiên để khiến chúng khó đảo ngược hơn.

Sự mặc khải đó đã thúc đẩy các dịch vụ khác kết hợp dữ liệu LinkedIn của họ và buộc người dùng của họ thay đổi bất kỳ mật khẩu nào phù hợp [Kudos sang Netflix vì đã dẫn đầu về điều này.] hơn 100 triệu người dùng bị ảnh hưởng, trong bốn năm qua.

19. Vi phạm dữ liệu Dubsmash

Ngày: Tháng 12 năm 2018 December 2018

Tác động: & NBSP; 162 triệu người dùng162 million users

Vào tháng 12 năm 2018, Dubmash đã bị vi phạm dữ liệu cho thấy 162 triệu địa chỉ email, tên người dùng và băm mật khẩu DBKDF2 duy nhất. Vào năm 2019, dữ liệu này đã xuất hiện để bán hàng trên Dark Web và được lưu hành rộng hơn.

20. Vi phạm dữ liệu Adobe

Ngày: Tháng 10 năm 2013 October 2013

Tác động: & nbsp; 152 triệu152 million

Vào tháng 10 năm 2013, 153 triệu tài khoản Adobe đã bị vi phạm. Vi phạm dữ liệu chứa ID nội bộ, tên người dùng, email, mật khẩu được mã hóa và gợi ý mật khẩu bằng văn bản đơn giản. Mã hóa yếu và nhiều người nhanh chóng được giải quyết trở lại văn bản đơn giản, mật khẩu gợi ý thêm vào thiệt hại giúp dễ dàng đoán mật khẩu của nhiều người dùng.

21. Vi phạm dữ liệu MyFitnessPal

Ngày: Tháng 2 năm 2018 February 2018

Tác động: 150 triệu người dùng 150 million users

Vào tháng 2 năm 2018, ứng dụng ăn kiêng và tập thể dục MyFitnessPal [thuộc sở hữu của Under Armor] đã bị vi phạm dữ liệu, phơi bày 144 triệu địa chỉ email, địa chỉ IP và thông tin đăng nhập như tên người dùng và mật khẩu được lưu trữ dưới dạng băm SHA-1 và bcrypt [trước đây cho Các tài khoản trước đó, sau này cho các tài khoản mới hơn]. Vào năm 2019, dữ liệu nhạy cảm này đã xuất hiện được liệt kê để bán trên một thị trường web tối và bắt đầu lưu hành rộng hơn, vì vậy nó đã được xác định và cung cấp cho trang web bảo mật dữ liệu tôi đã được đưa ra.

22. Vi phạm dữ liệu Equachus

Ngày: Tháng 9 năm 2017 September 2017

Tác động: 148 triệu người 148 million people

Vào tháng 9 năm 2017, Equachus, một trong ba cơ quan báo cáo tín dụng tiêu dùng lớn nhất ở Hoa Kỳ, tuyên bố rằng các hệ thống của họ đã bị vi phạm và dữ liệu cá nhân nhạy cảm của 148 triệu người Mỹ đã bị xâm phạm. Dữ liệu bị xâm phạm bao gồm tên, địa chỉ nhà, số điện thoại, ngày sinh, số an sinh xã hội và số giấy phép lái xe. Thông tin thẻ tín dụng của khoảng 209.000 người tiêu dùng cũng đã được phơi bày thông qua vi phạm dữ liệu này. Độ nhạy của thông tin được xử lý bởi Equachus làm cho vi phạm này chưa từng có và một trong những vi phạm dữ liệu lớn nhất cho đến nay.

23. Vi phạm dữ liệu eBay

Ngày: Tháng 2/Tháng 3 năm 2014 February/March 2014

Tác động: 145 triệu người dùng 145 million users

Từ tháng 2 đến tháng 3 năm 2014, eBay là nạn nhân của việc vi phạm mật khẩu được mã hóa, dẫn đến việc yêu cầu tất cả 145 triệu người dùng đặt lại mật khẩu của họ. Những kẻ tấn công đã sử dụng một bộ thông tin nhỏ của nhân viên để truy cập vào kho dữ liệu người dùng này. Thông tin bị đánh cắp bao gồm mật khẩu được mã hóa và thông tin cá nhân khác, bao gồm tên, địa chỉ e-mail, địa chỉ vật lý, số điện thoại và ngày sinh. Vi phạm đã được tiết lộ vào tháng 5 năm 2014, sau một cuộc điều tra kéo dài một tháng của Ebay.

24. Vi phạm dữ liệu Canva

Ngày: Tháng 5 năm 2019 May 2019

Tác động: 137 triệu người dùng 137 million users

Vào tháng 5 năm 2019, doanh nghiệp Úc, Canva - một công cụ thiết kế đồ họa trực tuyến - đã bị vi phạm dữ liệu ảnh hưởng đến 137 triệu người dùng. Dữ liệu được hiển thị bao gồm địa chỉ email, tên, tên người dùng, thành phố và mật khẩu được lưu trữ dưới dạng bsh bshp.

Các thủ phạm bị nghi ngờ - những người chơi gnosticers - đã liên lạc với ZDNet để tự hào về vụ việc, nói rằng Canva đã phát hiện và khắc phục mối đe dọa mạng gây ra vi phạm dữ liệu. Kẻ tấn công cũng tuyên bố đã đạt được & NBSP; OAUTH & NBSP; Mã thông báo đăng nhập cho người dùng đã đăng ký thông qua Google.

Canva đã xác nhận vụ việc, người dùng được thông báo và nhắc họ thay đổi mật khẩu và đặt lại mã thông báo OAuth. Sự kiện này là một trong những vi phạm dữ liệu lớn nhất ở Úc.

25. Vi phạm hệ thống thanh toán trung tâm

Ngày: Tháng 3 năm 2008 March 2008

Tác động: 134 triệu thẻ tín dụng bị lộ 134 million credit cards exposed

Vào thời điểm vi phạm, Heartland đã xử lý phía bắc 100 triệu giao dịch thẻ tín dụng mỗi tháng cho 175.000 thương nhân. Vi phạm được phát hiện bởi Visa và Mastercard vào tháng 1 năm 2009 khi Visa và Mastercard thông báo cho Heartland về các giao dịch đáng ngờ. Những kẻ tấn công đã khai thác một lỗ hổng đã biết để thực hiện một cuộc tấn công tiêm SQL.

Công ty đã trả khoảng 145 triệu đô la tiền bồi thường cho các khoản thanh toán gian lận.

26. Vi phạm dữ liệu Apollo

Ngày: Tháng 7 năm 2018 July 2018

Tác động: 126 triệu người dùng 126 million users

Vào tháng 7 năm 2018, Apollo đã để lại một cơ sở dữ liệu chứa hàng tỷ điểm dữ liệu được tiết lộ công khai. Một tập hợp con của dữ liệu đã được gửi đến, tôi đã được PWNED có 126 triệu địa chỉ email duy nhất. Bộ dữ liệu đầy đủ bao gồm thông tin nhận dạng cá nhân [PII] như tên, địa chỉ email, nơi làm việc, vai trò và vị trí.

27. Vi phạm dữ liệu Badoo

Ngày: Tháng 7 năm 2013 July 2013

Tác động: 112 triệu người dùng 112 million users

Vào tháng 6 năm 2013, một vi phạm dữ liệu được cho là có nguồn gốc từ trang web xã hội Badoo đã được tìm thấy được lưu hành. Vi phạm chứa 112 triệu địa chỉ email duy nhất và PII như tên, ngày sinh và mật khẩu được lưu trữ dưới dạng băm MD5.

28. Vi phạm dữ liệu Capital One

Ngày: & NBSP; tháng 7 năm 2013July 2013

Tác động: & NBSP; 106 triệu số thẻ tín dụng106 million credit card numbers

Vào tháng 7 năm 2013, Capital One đã xác định vi phạm bảo mật của hồ sơ khách hàng đã tiết lộ thông tin cá nhân của khách hàng, bao gồm dữ liệu thẻ tín dụng, số an sinh xã hội và số tài khoản ngân hàng.

29. Vi phạm dữ liệu Evite

Ngày: tháng 8 năm 2013 August 2013

Tác động: & NBSP; 101 triệu người dùng101 million users

Vào tháng 4 năm 2019, Evite, một trang web lập kế hoạch xã hội đã xác định vi phạm dữ liệu từ năm 2013. Dữ liệu được hiển thị bao gồm 101 triệu địa chỉ email duy nhất, cũng như số điện thoại, tên, địa chỉ vật lý, ngày sinh, giới tính và mật khẩu được lưu trữ theo đơn giản chữ.

30. Vi phạm dữ liệu Quora

Ngày: Tháng 12 năm 2018 December 2018

Tác động: 100 triệu người dùng 100 million users

Quora, một trang web phổ biến cho Q & A đã bị vi phạm dữ liệu vào năm 2018 đã phơi bày dữ liệu cá nhân của lên tới 100 triệu người dùng.

Các loại dữ liệu bị rò rỉ bao gồm thông tin cá nhân như tên, địa chỉ email, mật khẩu được mã hóa, tài khoản người dùng được liên kết với Quora và các câu hỏi và câu trả lời công khai được đăng bởi người dùng. Không có bằng chứng nào được phát hiện ra rằng các câu hỏi và câu trả lời được đăng ẩn danh bị ảnh hưởng bởi vi phạm.

31. Vi phạm dữ liệu VK

Ngày: Tháng 1 năm 2012 January 2012

Tác động: 93 triệu người dùng 93 million users

Trang web truyền thông xã hội Nga VK đã bị hack và phơi bày 93 triệu tên, số điện thoại, địa chỉ email và mật khẩu văn bản đơn giản.

32. Vi phạm dữ liệu MyHeritage

Ngày: Tháng 6 năm 2018 June 2018

Tác động: 92 triệu người dùng 92 million users

MyHeritage, một trang web dịch vụ phả hệ đã bị xâm phạm, ảnh hưởng đến hơn 92 triệu tài khoản người dùng. Vi phạm xảy ra vào tháng 10 năm 2017, nhưng không được tiết lộ cho đến tháng 6 năm 2018. Một nhà nghiên cứu bảo mật đã phát hiện ra một tệp trên máy chủ riêng có chứa địa chỉ email và mật khẩu được mã hóa. Nhóm bảo mật tại MyHeritage đã xác nhận rằng nội dung của tệp đã ảnh hưởng đến 92 triệu người dùng, nhưng không tìm thấy bằng chứng nào cho thấy dữ liệu được sử dụng bởi những kẻ tấn công. MyHeritage nhận được lời khen ngợi vì đã điều tra kịp thời và tiết lộ chi tiết về vi phạm cho công chúng.

33. Vi phạm dữ liệu YOUKU

Ngày: Tháng 12 năm 2016

Tác động: 92 triệu người dùng

MyHeritage, một trang web dịch vụ phả hệ đã bị xâm phạm, ảnh hưởng đến hơn 92 triệu tài khoản người dùng. Vi phạm xảy ra vào tháng 10 năm 2017, nhưng không được tiết lộ cho đến tháng 6 năm 2018. Một nhà nghiên cứu bảo mật đã phát hiện ra một tệp trên máy chủ riêng có chứa địa chỉ email và mật khẩu được mã hóa. Nhóm bảo mật tại MyHeritage đã xác nhận rằng nội dung của tệp đã ảnh hưởng đến 92 triệu người dùng, nhưng không tìm thấy bằng chứng nào cho thấy dữ liệu được sử dụng bởi những kẻ tấn công. MyHeritage nhận được lời khen ngợi vì đã điều tra kịp thời và tiết lộ chi tiết về vi phạm cho công chúng.

33. Vi phạm dữ liệu YOUKU

Ngày: Tháng 12 năm 2016 March 2014

Youku Một dịch vụ video Trung Quốc đã phơi bày 92 triệu tài khoản người dùng duy nhất và băm mật khẩu MD5. & NBSP; 91 million users

34. Vi phạm dữ liệu Rambler

Ngày: Tháng 3 năm 2014

Tác động: 91 triệu người dùngearly 2018 [this is when a Cambridge Analytica whistleblower disclosed the story]

Một bãi chứa 91 triệu tài khoản từ Rambler ["Yahoo Nga"] đã được giao dịch trực tuyến có chứa tên người dùng [là một phần của email Rambler] và mật khẩu văn bản thuần túy. 87 million users

35. Vi phạm dữ liệu Facebook [2018]

Ngày: Đầu năm 2018 [đây là khi một người thổi còi Cambridge Analytica tiết lộ câu chuyện]

Tác động: 87 triệu người dùng

Mặc dù một loại vi phạm dữ liệu hơi khác vì thông tin không bị đánh cắp từ Facebook, nhưng sự cố ảnh hưởng đến 87 triệu tài khoản Facebook đại diện cho việc sử dụng thông tin cá nhân cho các mục đích mà người dùng bị ảnh hưởng không đánh giá cao. Cambridge Analytica là một công ty phân tích dữ liệu được ủy quyền bởi các bên liên quan chính trị bao gồm các quan chức trong cuộc bầu cử Trump và các chiến dịch ủng hộ Brexit. Cambridge Analytica đã mua dữ liệu từ Aleksandr Kogan, một nhà khoa học dữ liệu tại Đại học Cambridge, người đã thu hoạch nó bằng một ứng dụng có tên "Đây là cuộc sống kỹ thuật số của bạn". Một trong những yếu tố gây tranh cãi nhất của vi phạm này là người dùng không đánh giá cao hoặc đồng ý với việc sử dụng chính trị dữ liệu từ một ứng dụng lối sống dường như không liên tục. October 2016

Các nhà nghiên cứu của UPGuard cũng đã phát hiện ra và tiết lộ một vi phạm liên quan của Tổng hợp, một công ty Canada có mối quan hệ chặt chẽ với Cambridge Analytica. Thông tin chi tiết về những khám phá này có thể được tìm thấy trong loạt IQ vi phạm tổng hợp của chúng tôi [Phần 1, Phần 2, Phần 3 & NBSP; và Phần 4].85 million users

36. Vi phạm dữ liệu Dailymotion

Ngày: Tháng 10 năm 2016

Tác động: & NBSP; 85 triệu người dùng February 2015

Vào tháng 10 năm 2016, DailyMotion, một nền tảng chia sẻ video đã hiển thị hơn 85 triệu tài khoản người dùng bao gồm email, tên người dùng và bcrypt băm mật khẩu.Theft of up to 78.8 million current and former customers

37. Vi phạm dữ liệu quốc ca

Ngày: & nbsp; tháng 2 năm 2015

Tác động: & nbsp; trộm cắp tới 78,8 triệu khách hàng hiện tại và trước đây mid-2012

Vào tháng 2 năm 2015, một người dùng duy nhất tại một công ty con của Anthem đã nhấp vào A & NBSP; EMAILED & NBSP; cho phép kẻ tấn công truy cập vào tên, địa chỉ, ngày sinh và lịch sử việc làm của khách hàng hiện tại và cũ. 69 million users

38. Vi phạm dữ liệu Dropbox

Ngày: giữa năm 2012

Tác động: 69 triệu người dùng February 2013

Vào giữa năm 2012, Dropbox đã chịu một vi phạm dữ liệu đã hiển thị 68 triệu hồ sơ có chứa địa chỉ email và băm mật khẩu [một nửa SHA1, một nửa bcrypt].66 million users

39. Vi phạm dữ liệu Tumblr

Ngày: Tháng 2 năm 2013

Tác động: & NBSP; 66 triệu người dùng Late 2016

Tác động: & NBSP; Thông tin cá nhân của 57 triệu người dùng Uber và 600.000 tài xế tiếp xúc.Personal information of 57 million Uber users and 600,000 drivers exposed.

Vào cuối năm 2016, Uber đã biết rằng hai tin tặc có thể truy cập tên, địa chỉ email và số điện thoại di động của 57 triệu người dùng của ứng dụng Uber. Họ cũng có số lượng giấy phép lái xe là 600.000 tài xế Uber. Ngoài ra, các tin tặc đã có thể truy cập vào tài khoản GitHub của Uber, nơi họ tìm thấy thông tin đăng nhập Dịch vụ web Amazon của Uber.

41. Vi phạm dữ liệu Home Depot

Ngày: & NBSP; tháng 9 năm 2014 September 2014

Tác động: & NBSP; Tiếp xúc với thông tin thẻ tín dụng của 56 triệu khách hàngExposure of the credit card information of 56 million customers

Home Depot thông báo rằng các hệ thống POS của nó đã bị nhiễm một phần mềm độc hại được xây dựng tùy chỉnh & NBSP, đóng vai trò là phần mềm chống vi-rút.

42. & NBSP; TJX Company Inc. Vi phạm dữ liệu

‍Date: tháng 7 năm 2005 & nbsp;Date: Jul 2005 

Tác động: 45,6 triệu số thẻ 45.6 million card numbers

TJX, chủ sở hữu của một số thương hiệu bán lẻ, đã có một trong những hệ thống thanh toán của mình vi phạm lộ hơn 45 triệu số thẻ tín dụng và thẻ ghi nợ. Dữ liệu được trang trí trên nhiều làn sóng vi phạm

Các vi phạm xảy ra trong nhiều lần từ tháng 7 năm 2005 đến tháng 1 năm 2007.

TJX tuyên bố rằng các tên và địa chỉ được liên kết với mỗi số thẻ bị đánh cắp không bị phơi bày trong vi phạm.

43. Vi phạm dữ liệu Ashley Madison

Ngày: Tháng 7 năm 2015 & NBSP; July 2015 

Tác động: 32 triệu người dùng. 32 million users.

Hacking Group được xác định là nhóm tác động đã xâm phạm 35 triệu hồ sơ người dùng từ trang web gian lận Ashley Madison.

Các tin tặc yêu cầu công ty mẹ Avid Life Media đã đóng cửa Ashley Madison và trang web chị em đã thành lập những người đàn ông trong vòng 30 ngày để tránh xuất bản các hồ sơ bị xâm phạm.

Avid Life Media thất bại trong việc tuân thủ dẫn đến sóng sau làn sóng các kết xuất dữ liệu được phân loại trong pastebin. Danh sách người dùng tiếp xúc bao gồm các thành viên của quân đội và chính phủ.

Các hồ sơ sau đây được bao gồm trong dữ liệu được truy cập:

• Lịch sử thanh toán thẻ tín dụng trị giá bảy năm
• Tên đầy đủ
• Địa chỉ dân cư
• Địa chỉ email
• Mô tả về những gì các thành viên đang tìm kiếm & nbsp;

Nhóm tác động tuyên bố vi phạm rất dễ đạt được với rất ít hoặc không có bảo mật để bỏ qua. & NBSP;

Đọc bài viết tin tức của Wired về sự kiện này.

44. Vi phạm dữ liệu Plex

Ngày: tháng 8 năm 2022August 2022

Tác động: 20 triệu người dùng20 million users

Nền tảng phát trực tuyến Plex bị vi phạm dữ liệu ảnh hưởng đến hầu hết người dùng, khoảng 20 triệu. Các loại thông tin nhạy cảm sau đây đã bị xâm phạm trong cuộc tấn công mạng:

• Tên người dùng
• Địa chỉ email
• Mật khẩu

Trong một email gửi cho người dùng của mình, Plex đảm bảo với người dùng của mình rằng tất cả các mật khẩu bị xâm phạm đã được băm và bảo mật theo các thông lệ an ninh mạng tốt nhất.

Đọc bài viết tin tức của TechCrunch về sự kiện này.

45. Vi phạm dữ liệu Bonobos

Ngày: Tháng 1 năm 2021 January 2021

Tác động: 12,3 triệu hồ sơ12.3 million records

Cửa hàng quần áo nam Bonobos đã bị vi phạm dữ liệu vào năm 2021 sau khi một tội phạm mạng đã xâm phạm máy chủ dự phòng của mình có chứa dữ liệu khách hàng.

Các loại dữ liệu sau đây đã được truy cập, lên tới tổng số 12,3 triệu:

• 7 triệu hồ sơ địa chỉ vận chuyển
• 1,8 triệu hồ sơ thông tin tài khoản
• 3,5 triệu hồ sơ thẻ tín dụng một phần.

Cơ sở dữ liệu này không được kết nối với dữ liệu riêng tư của Bonobo, được bảo vệ. Nhưng các diễn viên đe dọa vẫn có thể khai thác thông tin bị đánh cắp.

Sau khi dữ liệu bị đánh cắp được đổ trên một diễn đàn tin tặc, một diễn viên đe dọa tuyên bố đã phát hiện ra 158.000 mật khẩu Hashed Sha-256. Nhưng các mật khẩu còn lại được băm với SHA-512 không thể bị nứt.

46. ​​Vi phạm dữ liệu lớn của MGM

Ngày: Tháng 2 năm 2020 & NBSP; Feb 2020 

Tác động: 10,6 triệu khách hàng. 10.6 million customers.

Tin tặc đã có quyền truy cập vào hơn 10 triệu hồ sơ khách từ MGM Grand. Các hồ sơ đã tiết lộ thông tin liên lạc của các cựu khách sạn của khách sạn bao gồm Justin Bieber, Giám đốc điều hành Twitter Jack Dorsey và các quan chức chính phủ.

MGM Grand đảm bảo rằng không có dữ liệu tài chính hoặc mật khẩu nào được phơi bày trong vi phạm.

47. Vi phạm dữ liệu Optus

Ngày: Tháng 9 năm 2022 & NBSP; Sep 2022 

Tác động: 9,8 triệu khách hàng. 9.8 million customers.

Tương mạng đã đạt được mạng lưới nội bộ của Optus, có quyền truy cập vào cơ sở dữ liệu của khách hàng liên quan đến tới 9,8 triệu khách hàng. Dữ liệu bị xâm phạm, ngày trở lại năm 2017, bao gồm các loại thông tin sau:

• Tên
• Ngày sinh
• Số điện thoại
• Địa chỉ email

Mô tả về những gì các thành viên đang tìm kiếm & nbsp;

Nhóm tác động tuyên bố vi phạm rất dễ đạt được với rất ít hoặc không có bảo mật để bỏ qua. & NBSP;

44. Vi phạm dữ liệu Plex

Ngày: tháng 8 năm 2022

Tác động: 20 triệu người dùng May 2020 

Nền tảng phát trực tuyến Plex bị vi phạm dữ liệu ảnh hưởng đến hầu hết người dùng, khoảng 20 triệu. Các loại thông tin nhạy cảm sau đây đã bị xâm phạm trong cuộc tấn công mạng: 9 million customers.

Một cuộc tấn công mạng rất tinh vi đã vi phạm dữ liệu của 9 triệu khách hàng EasyJet.

Dữ liệu được truy cập trong vi phạm bao gồm chi tiết chi tiết địa chỉ email cũng như chi tiết thẻ tín dụng hoàn chỉnh của 2.208 khách hàng.

Bởi vì thông tin thẻ tín dụng khách hàng đã bị rò rỉ, cuộc tấn công mạng này cho thấy sự vi phạm EasyJet, vi phạm quy định bảo vệ dữ liệu chung, có thể bị phạt tới 4% doanh thu hàng năm toàn cầu.

49. Vi phạm dữ liệu 123RF

Ngày: Tháng 11 năm 2020Nov 2020

Tác động: 8,3 triệu hồ sơ8.3 million records

8,3 triệu hồ sơ cơ sở dữ liệu từ người bán ảnh phổ biến và hình ảnh vector 123RF đã được sao chép và đăng để bán hàng trên một diễn đàn tin tặc.

Dữ liệu bị xâm phạm bao gồm:

• Số điện thoại
• Địa chỉ
• Email PayPal
• Các địa chỉ IP
• Mật khẩu băm MD5.

Imaginegroup [chủ sở hữu của 123RF] đảm bảo rằng không có thông tin tài chính nào được truy cập trong vi phạm và tất cả các mật khẩu người dùng đã được mã hóa.

Tuy nhiên, các nhà điều tra vi phạm dữ liệu BleepingComputer đã quản lý để chuyển đổi thành công mật khẩu băm của nhiều tài khoản thành văn bản đơn giản bằng cách sử dụng các công cụ bẻ khóa MD5 trực tuyến.

Mặc dù vi phạm này không trực tiếp phơi bày thông tin tài chính, nhưng người dùng bị xâm phạm đã tái chế mật khẩu paypal của họ khi đăng ký tới 123RF, họ có nguy cơ mắc hành vi trộm cắp tài chính cao.

50. Vi phạm dữ liệu Twitch

Ngày: Tháng 10 năm 2021 October 2021

Tác động: 7 triệu người dùng [có khả năng] 7 million users [potentially]

Twitch, một công ty thuộc sở hữu của Amazon, bị vi phạm gần như toàn bộ cơ sở mã của nó. Tác động chính xác của các sự cố đã được xác nhận, nhưng với chiều sâu thỏa hiệp của nó, nó có khả năng tác động đến tất cả người dùng Twitch.

125GB dữ liệu nhạy cảm đã được đăng thông qua một liên kết torrent trên diễn đàn ẩn danh 4chan.

Chúng tôi có thể xác nhận một vi phạm đã diễn ra. Các nhóm của chúng tôi đang làm việc với sự khẩn cấp để hiểu mức độ của điều này. Chúng tôi sẽ cập nhật cộng đồng ngay khi có thêm thông tin. Cảm ơn bạn đã mang theo chúng tôi.

- Twitch [@twitch] ngày 6 tháng 10 năm 2021

Rò rỉ dữ liệu nhạy cảm bao gồm:

• Toàn bộ mã nguồn Twitch.
• Ba năm báo cáo xuất chi cho người sáng tạo [bao gồm cả những người tạo ra cao cấp.
• Tất cả các thuộc tính của Twitch, [bao gồm IGDB và CurseForge].
• Mã liên quan đến SDK độc quyền và các dịch vụ AWS nội bộ được sử dụng bởi Twitch.
• Danh tính của một đối thủ cạnh tranh hơi nước chưa được phát hành từ Amazon Game Studios -
• Các công cụ hợp tác màu đỏ của Twitch, được sử dụng bởi các nhóm an ninh nội bộ cho các bài tập huấn luyện tấn công mạng.

Mặc dù Twitch thừa nhận trong tuyên bố của mình rằng một tập hợp con của dữ liệu thanh toán của người tạo cũng được truy cập, công ty đảm bảo rằng số thẻ tín dụng và thông tin ngân hàng không bị xâm phạm.

Lỗ hổng bảo mật làm cho vi phạm có thể là một thay đổi cấu hình máy chủ cho phép truy cập trái phép của các bên thứ ba. Điều này đã được khắc phục.

Hầu hết các tội phạm mạng đều đăng dữ liệu bị đánh cắp để bán sau khi vi phạm, nhưng tội phạm mạng không xác định - người có khả năng sử dụng máy chủ proxy - không quan tâm đến lợi ích tiền tệ. Thay vào đó, mục tiêu của họ là gọi một sự gián đoạn hàng loạt để đấm Twitch để thúc đẩy một cộng đồng người dùng độc hại.

51. Vi phạm dữ liệu Marriott

Ngày: Tháng 3 năm 2020 March 2020

Tác động: 5,2 triệu khách 5.2 million guests

Marriott đã một lần nữa trở thành nạn nhân của một vi phạm kỷ lục khách khác. Vào ngày 31 tháng 3, công ty đã thông báo rằng có tới 5,2 triệu hồ sơ đã bị xâm phạm. Một số hồ sơ được truy cập bao gồm & nbsp;

Mặc dù danh sách chính xác các hồ sơ bị vi phạm vẫn chưa được tuân thủ, nhưng nó tin rằng các hồ sơ khách sau đây đã bị xâm phạm:

• Địa chỉ email & nbsp;
• Địa chỉ thư
• Số điện thoại
• Địa chỉ
• Email PayPal
• Các địa chỉ IP
• Mật khẩu băm MD5.
• Imaginegroup [chủ sở hữu của 123RF] đảm bảo rằng không có thông tin tài chính nào được truy cập trong vi phạm và tất cả các mật khẩu người dùng đã được mã hóa.
• Tuy nhiên, các nhà điều tra vi phạm dữ liệu BleepingComputer đã quản lý để chuyển đổi thành công mật khẩu băm của nhiều tài khoản thành văn bản đơn giản bằng cách sử dụng các công cụ bẻ khóa MD5 trực tuyến.

Mặc dù vi phạm này không trực tiếp phơi bày thông tin tài chính, nhưng người dùng bị xâm phạm đã tái chế mật khẩu paypal của họ khi đăng ký tới 123RF, họ có nguy cơ mắc hành vi trộm cắp tài chính cao.

50. Vi phạm dữ liệu Twitch

Ngày: Tháng 10 năm 2021

Tác động: 7 triệu người dùng [có khả năng]September2021

Twitch, một công ty thuộc sở hữu của Amazon, bị vi phạm gần như toàn bộ cơ sở mã của nó. Tác động chính xác của các sự cố đã được xác nhận, nhưng với chiều sâu thỏa hiệp của nó, nó có khả năng tác động đến tất cả người dùng Twitch.: 4.8 million customers

125GB dữ liệu nhạy cảm đã được đăng thông qua một liên kết torrent trên diễn đàn ẩn danh 4chan.

• Usernames.
• Passwords.
• Chúng tôi có thể xác nhận một vi phạm đã diễn ra. Các nhóm của chúng tôi đang làm việc với sự khẩn cấp để hiểu mức độ của điều này. Chúng tôi sẽ cập nhật cộng đồng ngay khi có thêm thông tin. Cảm ơn bạn đã mang theo chúng tôi.
• - Twitch [@twitch] ngày 6 tháng 10 năm 2021
  

Rò rỉ dữ liệu nhạy cảm bao gồm:

Toàn bộ mã nguồn Twitch.

Ba năm báo cáo xuất chi cho người sáng tạo [bao gồm cả những người tạo ra cao cấp.

53. Vi phạm dữ liệu gặp gỡ

Ngày: Tháng 1 năm 2021January 2021

Tác động: 2,28 triệu người dùng.: 2.28 million users.

Meetimindful, một ứng dụng hẹn hò tập trung vào cộng đồng chánh niệm, đã bị vi phạm bởi một hacker nổi tiếng với cái tên Shinyhunters.

Vi phạm dữ liệu gặp gỡ được đổ trên Dark Web Hacker Diễn đàn - Nguồn: ZDNet

Được nhắn tin cá nhân giữa người dùng không bị xâm phạm, nhưng thông tin cá nhân sau đây đã được phơi bày:

• Các địa chỉ IP
• Tên thật
• Địa chỉ email
• Chi tiết thành phố, tiểu bang và zip
• ID người dùng Facebook
• Mã thông báo xác thực Facebook
• Sở thích hẹn hò
• Tình trạng hôn nhân
• Ngày sinh
• Mật khẩu tài khoản bcrypt-bị hỏng

54. Vi phạm dữ liệu PIXLR

Ngày: Tháng 1 năm 2021 January 2021

Tác động: 1,9 triệu người dùng1.9 million users

Một cơ sở dữ liệu gồm 1,9 triệu hồ sơ người dùng thuộc về PIXLR ảnh trực tuyến đã được đưa ra trên một diễn đàn hacker Web tối bởi những người chơi shinyhunters tội phạm mạng khét tiếng.

Dữ liệu được phơi bày bao gồm:

• Tên người dùng
• Địa chỉ email
• Chi tiết thành phố, tiểu bang và zip
• ID người dùng Facebook

Mã thông báo xác thực Facebook

Sở thích hẹn hò

Tình trạng hôn nhân October 2021 [disclosed December 2021]

Ngày sinh 1.8 million people

Mật khẩu tài khoản bcrypt-bị hỏng

54. Vi phạm dữ liệu PIXLR

Tác động: 1,9 triệu người dùng

• Một cơ sở dữ liệu gồm 1,9 triệu hồ sơ người dùng thuộc về PIXLR ảnh trực tuyến đã được đưa ra trên một diễn đàn hacker Web tối bởi những người chơi shinyhunters tội phạm mạng khét tiếng.
• Cơ sở dữ liệu vi phạm Pixlr được đưa vào diễn đàn hacker bởi Shinyhunters - Nguồn: BleepingComputer.com
• Dữ liệu được phơi bày bao gồm:
• Tên người dùng

Quốc gia

Mật khẩu băm

• Dữ liệu đã bị đánh cắp khi vi phạm dữ liệu 123RF xảy ra.
• 55. Giải quyết Warehouse LLC, Running Warehouse LLC, Tennis Warehouse LLC và Skatewarehouse LLC Vi phạm dữ liệu
• Ngày: Tháng 10 năm 2021 [tiết lộ tháng 12 năm 2021]
• Tác động: 1,8 triệu người

Bốn cửa hàng thể thao trực tuyến đã trở thành nạn nhân của một cuộc tấn công mạng dẫn đến hành vi trộm cắp thông tin khách hàng rất nhạy cảm bao gồm dữ liệu thẻ tín dụng.

Vi phạm dữ liệu đã được tiết lộ vào tháng 12 năm 2021 bởi một công ty luật đại diện cho mỗi cửa hàng thể thao. Vi phạm dữ liệu được phát hiện bởi các trang web bị ảnh hưởng vào ngày 15 tháng 10.

Các trang web sau đây đã bị ảnh hưởng:

Giải quyết Warehouse LLC [Tacklewarehouse.com] February 2022

Running Warehouse LLC [Runningwarehouse.com] 1.2 million records

Kho tennis LCC [tennis-warehouse.com]

Skate Warehouse LLC [Skatewarehouse.com]

Các lỗ hổng bảo mật cụ thể và các phương pháp tấn công tạo điều kiện cho vi phạm chưa được tiết lộ, nhưng nó đã suy đoán rằng việc truy cập đã đạt được thông qua vi phạm cơ sở dữ liệu.

Các dữ liệu sau đây đã bị xâm phạm trong cuộc tấn công mạng: November 2021

Tên khách hàng 1.1 million records

Số thẻ tín dụng [với CVV]

Số thẻ ghi nợ [với CVV]

Mật khẩu tài khoản trang web

Tại thời điểm viết bài này, không biết liệu số thẻ tín dụng bị xâm phạm đã hoàn thành hay băm. Ngay cả khi băm, họ vẫn có thể không được mã hóa với các phương pháp vũ phu tinh vi.

Bất cứ ai có lỗi vì vi phạm này có thể sẽ phải chịu hậu quả điều tiết tài chính khó khăn cho sơ suất an ninh của họ.

• 56. Vi phạm dữ liệu quản lý khách sạn Harbor Plaza
• Ngày: tháng 2 năm 2022
• Tác động: 1,2 triệu hồ sơ
• Harbor Plaza Hotel Management, một công ty quản lý khách sạn ở Hồng Kông, bị vi phạm cơ sở dữ liệu đặt chỗ ở, ảnh hưởng đến khoảng 1,2 triệu khách hàng.
• Theo các Câu hỏi thường gặp liên quan đến vụ việc, Harbor Plaza vẫn chưa xác nhận liệu tội phạm mạng có quản lý để giải quyết dữ liệu thẻ tín dụng được mã hóa có trong vi phạm hay không.
• 57. Vi phạm dữ liệu Graff
• Ngày: tháng 11 năm 2021
• Tác động: 1,1 triệu hồ sơ

Độc quyền của Vương quốc Anh, Gaff, đã bị vi phạm dữ liệu làm tổn hại đến nhiều khách hàng nổi tiếng của mình. Nhóm tội phạm mạng Nga, Conti, chịu trách nhiệm về vụ tấn công liên quan đến việc triển khai ransomware [phần mềm ransom].

Sau khi đánh cắp dữ liệu nhạy cảm của GAFF và mã hóa các hệ thống nội bộ của họ, Conti bắt đầu xuất bản một số hồ sơ bị đánh cắp trên Dark Web, hứa hẹn sẽ chỉ dừng tiền chuộc lên tới mười triệu bảng.

Để chứng minh rằng họ không bị xáo trộn, Conti đã xuất bản 11.000 hồ sơ trên Dark Web, theo các tội phạm mạng của Nga, chỉ đại diện cho 1%& nbsp; của tổng số hồ sơ đã bị đánh cắp. April 2020 

Các hồ sơ bị đánh cắp bao gồm tên khách hàng, địa chỉ, hóa đơn, biên lai và ghi chú tín dụng. 500,000 users.

Một số khách hàng cao cấp bị ảnh hưởng bởi vi phạm này bao gồm:

Donald Trump

David Beckham

Oprah Winfrey

59. Vi phạm dữ liệu SlickWraps

‍Date: tháng 2 năm 2020 & nbsp;Date: Feb 2020 

Tác động: 370.000 khách hàng 370,000 customers

Slickwraps, một nhà sản xuất skin vinyl cho điện thoại và máy tính bảng, bị vi phạm ảnh hưởng đến 370.000 khách hàng của mình. & NBSP;

Vi phạm này có thể tránh được nếu Slickwraps lắng nghe những cảnh báo về một hacker mũ trắng làm nổi bật công ty an ninh mạng khủng khiếp. Sau khi bị bỏ qua, tin tặc đã lặp lại các buổi hòa nhạc của mình trong một bài đăng trung bình.

Slickwraps vẫn bỏ qua các cảnh báo.

Trước khi bài đăng trung bình bị xóa, một hacker thứ hai đã đọc nó và quyết định cũng cố gắng thuyết phục Slickwraps nhưng với một cách tiếp cận có tác động hơn một chút.

Hacker thứ hai thực sự vi phạm phòng thủ Abysmal của Slickwraps và tuyên bố sự tự mãn về an ninh mạng của họ trong một email tới hơn 370.000 khách hàng của mình.

Chúng ta hãy hy vọng Slickwraps cuối cùng đã củng cố khuôn khổ an ninh mạng của họ sau một lịch sử hỗn loạn như vậy.

60. Vi phạm dữ liệu sức khỏe của Magellan

Ngày: Tháng Tư năm 2020 & NBSP; Apr 2020 

Tác động: 365.000 bệnh nhân 365,000 patients

Magellan Health, một công ty Fortune 500 là nạn nhân của một cuộc tấn công ransomware tinh vi, nơi có hơn 365.000 hồ sơ bệnh nhân bị vi phạm.

Thông tin đăng nhập của nhân viên lần đầu tiên được truy cập từ phần mềm độc hại được cài đặt nội bộ. Sau đó, bằng cách đóng giả là một khách hàng Magellan trong một cuộc tấn công lừa đảo, các tin tặc đã có quyền truy cập vào một máy chủ của công ty và triển khai ransomware của họ.

Bao gồm trong dữ liệu bị vi phạm là số an sinh xã hội của bệnh nhân, thông tin W-2 và số ID nhân viên.

61. Vi phạm dữ liệu Nintendo

Ngày: Tháng 4 năm 2020 April 2020

Tác động: 300.000 tài khoản. 300,000 accounts.

300.000 tài khoản Nintendo đã bị xâm phạm và được sử dụng để mua hàng kỹ thuật số không được yêu cầu. Số lượng tài khoản bị ảnh hưởng gần như tăng gấp đôi so với 140.000 được nêu ban đầu sau khi điều tra thêm.

Thông tin sau đã được phơi bày:

• Mật khẩu tài khoản
• Tên chủ sở hữu tài khoản
• Dob
• Địa chỉ email
• Quốc gia cư trú

Mặc dù không rõ ràng làm thế nào tin tặc có được quyền truy cập vào tài khoản, nhưng nó đã suy đoán rằng mật khẩu yếu là đáng trách. Để ngăn chặn các vi phạm thêm, Nintendo đã đăng một tweet yêu cầu các thành viên cho phép xác thực 2 bước.

62. Vi phạm dữ liệu Mailfire

Ngày: Tháng 9 năm 2020 September 2020

Tác động: 100.000 người dùng. 100,000 users.

MailFire, một phần mềm tiếp thị qua email được sử dụng bởi các trang web hẹn hò dành cho người lớn và các trang web thương mại điện tử, đã vi phạm cơ sở dữ liệu của nó đã hiển thị hồ sơ người dùng cá nhân từ hơn 70 trang web.

Vi phạm xảy ra thông qua máy chủ Elaticsearch không có bảo đảm của MailFire. Onced vi phạm, tin tặc có quyền truy cập vào hơn 320 triệu hồ sơ từ các thông báo được đẩy ra cho các khách hàng của Mailfire.

Các hồ sơ được phơi bày bao gồm các cuộc trò chuyện riêng tư giữa các thành viên trang web hẹn hò dành cho người lớn cũng như thông tin nhận dạng cá nhân sau đây:

• Name 
• Tuổi tác
• Dob
• Địa chỉ email
• Quốc gia cư trú
• Mặc dù không rõ ràng làm thế nào tin tặc có được quyền truy cập vào tài khoản, nhưng nó đã suy đoán rằng mật khẩu yếu là đáng trách. Để ngăn chặn các vi phạm thêm, Nintendo đã đăng một tweet yêu cầu các thành viên cho phép xác thực 2 bước.
• 62. Vi phạm dữ liệu Mailfire
• Ngày: Tháng 9 năm 2020

Tác động: 100.000 người dùng.

MailFire, một phần mềm tiếp thị qua email được sử dụng bởi các trang web hẹn hò dành cho người lớn và các trang web thương mại điện tử, đã vi phạm cơ sở dữ liệu của nó đã hiển thị hồ sơ người dùng cá nhân từ hơn 70 trang web.

Vi phạm xảy ra thông qua máy chủ Elaticsearch không có bảo đảm của MailFire. Onced vi phạm, tin tặc có quyền truy cập vào hơn 320 triệu hồ sơ từ các thông báo được đẩy ra cho các khách hàng của Mailfire. March 2020

Các hồ sơ được phơi bày bao gồm các cuộc trò chuyện riêng tư giữa các thành viên trang web hẹn hò dành cho người lớn cũng như thông tin nhận dạng cá nhân sau đây: 76,000 fingerprints

Tuổi tác

Giới tính

Vị trí của người gửi tin nhắn

Các địa chỉ IP

Vi phạm xảy ra thông qua máy chủ Elaticsearch không có bảo đảm của MailFire. Onced vi phạm, tin tặc có quyền truy cập vào hơn 320 triệu hồ sơ từ các thông báo được đẩy ra cho các khách hàng của Mailfire. March 2020

Các hồ sơ được phơi bày bao gồm các cuộc trò chuyện riêng tư giữa các thành viên trang web hẹn hò dành cho người lớn cũng như thông tin nhận dạng cá nhân sau đây: 18,000 businesses

Tuổi tác

Giới tính

Vị trí của người gửi tin nhắn

Các địa chỉ IP

Danh sách các nạn nhân tiếp tục phát triển. Để kiểm tra xem bạn có bị ảnh hưởng không, bạn nên thực hiện đánh giá rủi ro kỹ lưỡng cho từng nhà cung cấp.

65. Vi phạm dữ liệu hàng không của Pegasus

Ngày: Tháng 3 năm 2022 March 2022

Tác động: 6,5 terabyte dữ liệu 6.5 Terabytes of data

Một nhóm AWS được cấu hình sai đã dẫn đến sự thỏa hiệp của 23 triệu tập tin thuộc về công ty hàng không Thổ Nhĩ Kỳ Pegasus Airlines. Việc tiếp xúc an ninh được phát hiện bởi các thám tử an toàn của công ty an ninh.

Dữ liệu được liên kết với phần mềm EFB của hãng hàng không, một giải pháp yêu cầu truy cập để cất cánh, hạ cánh và tiếp nhiên liệu dữ liệu và thông tin phi hành đoàn máy bay nhạy cảm.

Cấu hình sai AWS Buck có nghĩa là bất kỳ ai có quyền truy cập miễn phí vào cơ sở dữ liệu này, bao gồm gần 400 tệp với mật khẩu văn bản đơn giản và khóa bí mật.

Khi tiếp xúc được báo cáo, Pegasus Airlines đã không tìm thấy bằng chứng về sự thỏa hiệp dữ liệu. Tuy nhiên, trong khi xô AWS vẫn bị cấu hình sai, tội phạm mạng có thể đã làm giảm dữ liệu tiếp xúc.

66. Vi phạm dữ liệu Comelec của Philippines

Ngày: tháng 1 năm 2022 January 2022

Tác động: 60 GB dữ liệu 60 GB of data

Một nhóm tin tặc đã vi phạm các hệ thống an ninh của Ủy ban bầu cử [COMELEC] cho Cộng hòa Philippines, thỏa hiệp với 60 gigabyte thông tin cử tri nhạy cảm.

Độ sâu của thông tin này có thể cho phép các tội phạm mạng có khả năng ánh xạ các hoạt động nội bộ hoàn chỉnh của hệ thống bầu cử ở Philippines, mở đường cho các cuộc tấn công tiếp theo tàn khốc hơn ở cấp an ninh quốc gia.

Dữ liệu bị xâm phạm bao gồm tên người dùng và chân cho máy tính phiếu [VCM].

67. Vi phạm dữ liệu MailChimp

Ngày: Tháng Tư năm 2022 Apr 2022

Tác động: 100 khách hàng 100 clients

MailChimp đã trở thành nạn nhân của vi phạm dữ liệu sau khi tội phạm mạng có quyền truy cập vào một công cụ được sử dụng bởi các nhóm hỗ trợ khách hàng nội bộ và các nhóm quản trị tài khoản sau một cuộc tấn công kỹ thuật xã hội thành công. Tuy nhiên, vi phạm ban đầu này chỉ là giai đoạn sơ bộ của toàn bộ kế hoạch tấn công mạng.

Mặc dù tuyệt vọng lùng sục các danh sách email của khách hàng được lưu trữ trong các công cụ nội bộ của MailChimp, nhưng cuối cùng các tội phạm mạng đã tìm thấy những gì họ đang tìm kiếm - một danh sách email của khách hàng của ví tiền điện tử phần cứng, Trezor.

Sau đó, các tội phạm mạng đã gửi một email lừa đảo rất thuyết phục đến toàn bộ danh sách khách hàng này tuyên bố rằng một sự cố bảo mật quan trọng đã xảy ra, yêu cầu tải xuống khẩn cấp phiên bản được vá của ứng dụng Trezor.

Khi được nhấp, liên kết này đã hướng người dùng đến một trang web độc hại gần như không thể phân biệt được với trang web của Trezor. Để truy cập ứng dụng gian lận, người dùng cần gửi hạt giống phục hồi của họ -& nbsp; Một danh sách các từ được đặt hàng được sử dụng để khôi phục quyền truy cập vào ví tiền điện tử.

Các cuộc điều tra vẫn đang được tiến hành, vì vậy tác động hoàn toàn của cuộc tấn công lừa đảo này chưa được biết đến. Trong email lừa đảo, tội phạm mạng tuyên bố rằng 106.852 tài khoản đã bị xâm phạm. Con số này có thể đại diện cho tổng số tài khoản email được nhắm mục tiêu trong các chiến dịch lừa đảo, nhưng điều đó vẫn chưa được xác nhận.

Điều được xác nhận, tại thời điểm này, là khoảng 100 tài khoản khách hàng MailChimp đã bị xâm phạm trong giai đoạn ban đầu của cuộc tấn công mạng.

Theo dõi blog của Trezor, để theo dõi tiến trình của các nỗ lực điều tra.

Sự cố trên mạng này làm nổi bật sự tinh tế đáng sợ mà một số kẻ tấn công lừa đảo có khả năng.

Không phải tất cả các email lừa đảo đều được viết với ngữ pháp khủng khiếp và sự chú ý kém đến từng chi tiết. Một số rất tiên tiến, chúng hầu như không thể được xác định bởi công ty, được đại diện sai trong email. Ngay cả Trevor cũng ngạc nhiên trước sự tinh tế của cuộc tấn công lừa đảo này.

Cách ngăn chặn vi phạm dữ liệu vào năm 2022

UPGuard ngăn chặn các vi phạm dữ liệu bằng cách quét cả bề mặt tấn công bên trong và bên thứ ba cho các lỗ hổng bảo mật, rò rỉ dữ liệu và phơi nhiễm bị bỏ qua.

Bạn có nguy cơ vi phạm dữ liệu? Nhấn vào đây & NBSP; để yêu cầu điểm bảo mật miễn phí của bạn và tìm hiểu ngay!Click here to request your free security score and find out now!