Top 5 największych ataków hakerskich

Liczba naruszeń danych stale rośnie w ciągu ostatnich kilku lat. Wiadomości o nowych naruszeniach danych i włamaniach pojawiają się codziennie. Dziś spoglądamy wstecz i przyglądamy się 5 największym i najgorszym naruszeniom danych w historii.

1. RockYou2024

RockYou2024 to szczyt naruszeń danych i ostrzeżenie dla tych, którzy uważają, że hakerzy się tym nie przejmują. W lipcu 2024 r. atakujący opublikowali dużą liczbę haseł na forum hakerów. Zbiór ten opiera się na starym wycieku danych RockYou2021, ale RockYou2024 jest nadal dość istotny. 83% haseł można złamać w ciągu godziny za pomocą specjalnego algorytmu dopasowywania, a tylko 4% (328 milionów) można sklasyfikować jako bezpieczne. Innymi słowy, złamanie ich przy użyciu zaawansowanych algorytmów zajmie ponad rok. 

2. Yahoo

Ponad dziesięć lat temu Yahoo zostało zhakowane przez phishingową wiadomość e-mail, co doprowadziło do serii raportów o rzekomych naruszeniach danych. Początkowe raporty sugerowały setki milionów kont, ale liczba ta została później skorygowana w górę do około 500 milionów. W 2017 r., wkrótce po zawarciu przez firmę umowy z Verizon, ujawniono, że dotyczyło to wszystkich trzech miliardów kont. Hakerzy byli w stanie uzyskać dostęp do nazwisk, adresów e-mail, dat urodzenia i numerów telefonów. Co gorsza, byli w stanie uzyskać dostęp do kont użytkowników, którzy nie zmieniali swoich haseł od lat. Dlatego tak ważna jest regularna zmiana haseł i usuwanie starych profili.

Incydent ten jest kolejnym dowodem na to, że nawet duże firmy technologiczne mogą nie przechowywać prawidłowo danych użytkowników. W przypadku Yahoo atakujący odkryli niezaszyfrowaną bazę danych pytań i odpowiedzi, a niektóre konta w ogóle nie miały uwierzytelniania dwuskładnikowego. Wniosek z tego incydentu jest taki, że nie należy polegać na mediach społecznościowych lub platformach internetowych w celu ochrony swoich kont osobistych. Należy tworzyć lub generować silne hasła.

3. UIDAI (Aadhar)

Unique Identification Authority of India (UIDAI) zarządza największym na świecie biometrycznym systemem identyfikacji, który przechowuje dane osobowe ponad miliarda osób w Indiach, a także informacje biometryczne, takie jak odciski palców i obrazy tęczówki. Podczas gdy wiele krajów na całym świecie planuje obecnie wprowadzenie identyfikacji biometrycznej, Indie posiadają taki system od ponad dekady. UIDAI została stworzona w celu zapewnienia unikalnego oficjalnego numeru identyfikacyjnego „Aadhar” wszystkim mieszkańcom Indii.

W 2018 r., po serii naruszeń danych, cyberprzestępcy nie tylko uzyskali dostęp do bazy danych, ale także sprzedali ją za zaledwie 500 crore Rs (około $6 przy obecnym kursie wymiany). W 2023 r. doszło do kolejnego poważnego naruszenia danych, które dotknęło 815 milionów osób w Indiach. Banki i organy ścigania nadal doradzają ofiarom wycieku danych, aby wyłączyły biometrię w usługach finansowych. Nie gwarantuje to jednak bezpieczeństwa, ponieważ nazwiska, numery paszportów, zdjęcia, odciski palców i inne informacje mogą wpaść w ręce cyberprzestępców.

4. Facebook

Połączenie słów „Facebook” i „wyciek danych” nikogo nie zaskoczy. Platforma jest regularnie poddawana atakom hakerów i wewnętrznym naruszeniom danych. Tym razem, w największym wycieku w historii firmy, atakujący weszli w posiadanie nazwisk, numerów telefonów i danych lokalizacyjnych 533 milionów użytkowników. Następnie opublikowali te dane na forach hakerskich, skąd każdy mógł je pobrać za darmo. Dane obejmowały nie tylko konta zwykłych użytkowników, ale także znanych osobistości, takich jak komisarz UE ds. sprawiedliwości Didier Rendels i ówczesny premier Luksemburga (obecnie minister spraw zagranicznych) Xavier Bettel.

Wyciek danych miał miejsce w latach 2018-2019, ale po raz pierwszy został zgłoszony w 2021 roku. Dlaczego tak się stało. W rzeczywistości hakerzy wykorzystali lukę w zabezpieczeniach w 2019 r., którą Facebook szybko załatał, ale potem zapomniał (lub celowo nie powiadomił użytkowników o incydencie). W rezultacie Meta została ostro skrytykowana i ukarana grzywną w wysokości $265 milionów.

5. CAM4

Incydent ten jest interesujący z dwóch powodów. Informacje, do których uzyskano dostęp i sposób, w jaki to zrobiono. Oprócz „standardowych” danych, takich jak imię i nazwisko, adres e-mail, historia płatności, udostępniono bardziej prywatne informacje. Obejmowały one preferencje płciowe i orientację seksualną. Użytkownicy byli zobowiązani do podania tych informacji podczas rejestracji przed uzyskaniem dostępu do treści na platformie dla dorosłych. Źródłem wycieku danych była niezabezpieczona baza danych Elasticsearch. Najgorszy scenariusz nie został jednak zrealizowany i obyło się bez nieprzyjemnych konsekwencji. Gdyby wszystkie raporty dotyczące tych 5 wycieków danych zostały zebrane w książce, byłaby ona dość gruba, ale historia CAM4 zajęłaby mały, ale ważny rozdział „Największy wyciek danych w historii, który się nie wydarzył”. Na szczęście baza danych została zamknięta i przeniesiona do sieci lokalnej firmy w ciągu 30 minut od wykrycia błędu.

Czego możemy się nauczyć z tych przypadków naruszenia danych?

Wspólnym tematem tych przypadków jest to, że duże firmy nie są odpowiedzialne za nas. Innymi słowy, to przede wszystkim my jesteśmy odpowiedzialni za bezpieczeństwo naszych danych, a nie Facebook, Yahoo czy rząd. Przejmij kontrolę nad swoimi kontami, twórz lub generuj silne hasła, przechowuj je w bezpiecznym menedżerze haseł i zachowaj szczególną ostrożność, zwłaszcza jeśli chodzi o dane biometryczne.