Топ 5 крупнейших хакерских атак

За последние несколько лет количество утечек данных неуклонно растет. Новости о новых утечках данных и взломах появляются ежедневно. Сегодня мы оглядываемся назад и рассмотрим 5 самых крупных и самых страшных утечках данных в истории.

1. RockYou2024

RockYou2024 - вершина утечки данных и предупреждение для тех, кто думает, что хакерам все равно. В июле 2024 года злоумышленники опубликовали на хакерском форуме большое количество паролей. Эта коллекция основана на старой утечке данных RockYou2021, но RockYou2024 по-прежнему достаточно актуальна. 83% паролей могут быть взломаны в течение часа с помощью специального алгоритма подбора, и только 4% (328 миллионов) можно отнести к безопасным. Другими словами, на их взлом с помощью продвинутых алгоритмов уйдет больше года. 

2. Yahoo

Более десяти лет назад компания Yahoo была взломана фишинговым письмом, что привело к серии сообщений о предполагаемой утечке данных. В первых сообщениях говорилось о сотнях миллионов аккаунтов, но позже эта цифра была пересмотрена в сторону увеличения и составила около 500 миллионов. В 2017 году, вскоре после предстоящей сделки компании с Verizon, было обнаружено, что пострадали все три миллиарда аккаунтов. Хакеры получили доступ к именам, адресам электронной почты, датам рождения и номерам телефонов. Что еще хуже, они смогли получить доступ к учетным записям пользователей, которые годами не меняли свои пароли. Вот почему так важно регулярно менять пароли и удалять старые профили.

Этот инцидент — еще одно доказательство того, что даже крупные технологические компании могут не обеспечивать должного хранения пользовательских данных. В случае с Yahoo злоумышленники обнаружили незашифрованную базу данных вопросов и ответов, а в некоторых аккаунтах вообще отсутствовала двухфакторная аутентификация. Урок из этого инцидента заключается в том, что не стоит полагаться на социальные сети или онлайн-платформы для защиты своих личных аккаунтов. Необходимо создавать или генерировать надежные пароли.

3. UIDAI (Aadhar)

Управление уникальной идентификации Индии (UIDAI) управляет крупнейшей в мире системой биометрической идентификации, в которой хранятся персональные данные более миллиарда жителей Индии, а также биометрическая информация, например отпечатки пальцев и изображения радужной оболочки глаза. В то время как многие страны мира в настоящее время планируют ввести биометрическую идентификацию, в Индии такая система существует уже более десяти лет. UIDAI была создана для предоставления уникального официального идентификационного номера «Aadhar» всем жителям Индии.

В 2018 году после серии утечек данных киберпреступники не только получили доступ к базе данных, но и продали ее всего за 500 рупий (около $6 по текущему курсу). В 2023 году произошла еще одна крупная утечка данных, затронувшая 815 миллионов жителей Индии. Банки и правоохранительные органы по-прежнему советуют жертвам утечки данных отключать биометрию в финансовых сервисах. Однако это не гарантирует безопасности, поскольку имена, номера паспортов, фотографии, отпечатки пальцев и другая информация могут попасть в руки киберпреступников.

4. Facebook

Сочетание слов «Facebook» и «утечка данных» никого не удивит. Платформа регулярно подвергается атакам хакеров и внутренним утечкам данных. На этот раз, в результате крупнейшей в истории компании утечки, злоумышленники завладели именами, номерами телефонов и данными о местонахождении 533 миллионов пользователей. Затем они опубликовали эти данные на хакерских форумах, откуда их мог бесплатно скачать любой желающий. Среди данных были не только учетные записи обычных пользователей, но и известных личностей, таких как комиссар ЕС по вопросам юстиции Дидье Рендельс и тогдашний премьер-министр Люксембурга (ныне министр иностранных дел) Ксавье Беттель.

Утечка данных произошла в 2018-2019 годах, но впервые о ней сообщили в 2021 году. Почему это произошло. Фактически, хакеры использовали уязвимость в системе безопасности в 2019 году, которую Facebook быстро залатала, но затем забыла (или намеренно не уведомила пользователей об инциденте). В результате Мета подверглась жесткой критике и была оштрафована на $265 миллионов.

5. CAM4

Этот инцидент интересен по двум причинам. Информация, к которой был получен доступ, и способ, которым он был получен. Помимо «стандартных» данных, например, имя, адрес электронной почты, история платежей, была предоставлена и более приватная информация. К ним относятся гендерные предпочтения и сексуальная ориентация. Пользователи должны были предоставить эту информацию при регистрации, прежде чем получить доступ к контенту на платформе для взрослых. Источником утечки данных стала незащищенная база данных Elasticsearch. Однако худший сценарий не был реализован, и никаких неприятных последствий не было. Если бы все отчеты об этих 5 утечке данных были собраны в книгу, она получилась бы довольно толстой, но история CAM4 заняла бы небольшую, но важную главу: «Самая крупная утечка данных в истории, которая не произошла». К счастью, база данных была закрыта и перенесена в локальную сеть компании в течение 30 минут после обнаружения ошибки.

Что мы можем извлечь из этих случаев утечки данных?

Общая тема этих случаев заключается в том, что большие компании не несут ответственность за нас. Другими словами, за безопасность наших данных отвечаем в первую очередь мы сами, а не Facebook, Yahoo или правительство. Возьмите под контроль свои учетные записи, создайте или сгенерируйте надежные пароли, храните их в надежном менеджере паролей и будьте особенно осторожны, особенно когда речь идет о биометрических данных.