Εκούσια η ακούσια διαρροή δεδομένων σε ανασφαλές περιβάλλον From Wikipedia, the free encyclopedia
Παραβίαση δεδομένων είναι η σκόπιμη ή ακούσια διαρροή ασφαλών ή ιδιωτικών / εμπιστευτικών πληροφοριών σε μη αξιόπιστο περιβάλλον. Άλλοι όροι για αυτό το φαινόμενο περιλαμβάνουν ακούσια αποκάλυψη πληροφοριών, διαρροή δεδομένων και διαρροήπληροφοριών. Τα περιστατικά παραβίασης κυμαίνονται από εναρμονισμένες επιθέσεις από μαύρα καπέλα, ή άτομα που χακάρουν για προσωπικό κέρδος, που σχετίζονται με το οργανωμένο έγκλημα, τον πολιτικό ακτιβισμό ή τις εθνικές κυβερνήσεις έως την απρόσεκτη απόρριψη μεταχειρισμένου εξοπλισμού υπολογιστών ή μέσων αποθήκευσης δεδομένων.
Οι παραβιάσεις δεδομένων ενδέχεται να περιλαμβάνουν οικονομικές πληροφορίες όπως στοιχεία πιστωτικών και χρεωστικών καρτών, τραπεζικά στοιχεία, προσωπικές πληροφορίες υγείας (ιατρικούς φακέλους), πληροφορίες ταυτοποίησης (Personally Identifiable Information, PII), εμπορικά μυστικά εταιρειών ή πνευματική ιδιοκτησία. Οι περισσότερες παραβιάσεις δεδομένων περιλαμβάνουν υπερβολικά εκτεθειμένα και ευάλωτα αδόμητα δεδομένα - αρχεία, έγγραφα και ευαίσθητες πληροφορίες.[1]
Οι παραβιάσεις δεδομένων μπορεί να είναι αρκετά δαπανηρές για τους οργανισμούς τόσο σε άμεσο κόστος (αποκατάσταση, έρευνα, κ.ά.) όσο και σε έμμεσες δαπάνες (ζημιές φήμης, παροχή ασφάλειας στον κυβερνοχώρο σε θύματα παραβιασμένων δεδομένων, κ.ά.)
Σύμφωνα με τη μη κερδοσκοπική οργάνωση καταναλωτών Privacy Rights Clearinghouse, συνολικά 227.052.199 ατομικά αρχεία που περιέχουν ευαίσθητα προσωπικά δεδομένα παραβιάστηκαν στις ΗΠΑ μεταξύ Ιανουαρίου 2005 και Μαΐου 2008, εξαιρουμένων των περιστατικών όπου τα ευαίσθητα δεδομένα προφανώς δεν είχαν εκτεθεί στην πραγματικότητα.[2]
Σε πολλές χώρες έχουν εκδοθεί νόμοι για την κοινοποίηση παραβίασης δεδομένων, οι οποίοι απαιτούν από κάθε εταιρεία που υφίσταται παραβίαση δεδομένων να ενημερώσει τους πελάτες της και να λάβει μέτρα για την αποκατάσταση πιθανών συνεπειών.
Μια παραβίαση δεδομένων μπορεί να περιλαμβάνει περιστατικά όπως η κλοπή ή η απώλεια ψηφιακών μέσων όπως μαγνητικές ταινίες, σκληρούς δίσκους ή φορητούς υπολογιστές που περιέχουν μη κρυπτογραφημένες πληροφορίες, και η δημοσιεύση των πληροφοριών στον παγκόσμιο ιστό ή σε έναν υπολογιστή με άλλο τρόπο προσβάσιμο από το διαδίκτυο χωρίς κατάλληλες προφυλάξεις ασφαλείας πληροφοριών, η μεταφορά τέτοιων πληροφοριών σε ένα σύστημα που δεν είναι εντελώς ανοιχτό αλλά δεν είναι κατάλληλα ή επίσημα διαπιστευμένο για ασφάλεια στο εγκεκριμένο επίπεδο, όπως μη κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο ή η μεταφορά αυτών των πληροφοριών σε πληροφοριακά συστήματα ενός πιθανώς εχθρικού οργανισμού, όπως μια ανταγωνιστική εταιρεία ή ένα ξένο έθνος, όπου μπορεί να υποστούν αποκρυπτογράφηση.[3]
θα ηθελα να ειμαι ο μεσσι Ευρωπαικής Ένωσης ορίζει την παραβίαση δεδομένων ως: παραβίαση ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προστατευμένα δεδομένα που μεταδίδονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με alternative way.[4][5]
Η έννοια ενός αξιόπιστου περιβάλλοντος είναι σχετικά ρευστή. Η αποχώρηση ενός αξιόπιστου υπαλλήλου με πρόσβαση σε ευαίσθητες πληροφορίες μπορεί να οδηγήσει σε παραβίαση δεδομένων εάν ο υπάλληλος διατηρήσει την πρόσβαση στα δεδομένα μετά τον τερματισμό της σχέσης εμπιστοσύνης. Σε κατανεμημένα συστήματα, αυτό μπορεί επίσης να συμβεί με την παραβίαση ενός ιστού εμπιστοσύνης. Η ποιότητα δεδομένων είναι ένας τρόπος μείωσης του κινδύνου παραβίασης δεδομένων,[6] εν μέρει επειδή επιτρέπει στον κάτοχο των δεδομένων να αξιολογεί τα δεδομένα ανάλογα με τη σημαντικότητα και να παρέχει καλύτερη προστασία στα πιο σημαντικά δεδομένα.
Τα περισσότερα περιστατικά παραβίασης που δημοσιοποιούνται στα μέσα ενημέρωσης περιλαμβάνουν προσωπικά δεδομένα, π.χ. αριθμούς κοινωνικής ασφάλισης ή πιστωτικών καρτών. Η απώλεια εταιρικών πληροφοριών, όπως εμπορικά μυστικά, ευαίσθητες εταιρικές πληροφορίες και λεπτομέρειες συμβολαίων ή κυβερνητικών πληροφοριών, συχνά δεν δημοσιοποιείται, καθώς η δημοσιότητα γύρω από ένα τέτοιο συμβάν μπορεί να είναι πιο επιζήμια από την απώλεια των ίδιων των δεδομένων.[7]
Οι εργαζόμενοι σε έναν οργανισμό είναι μια σημαντική πηγή παραβιάσεων δεδομένων. Οι εκτιμήσεις των παραβιάσεων που προκαλούνται από τυχαία ανθρώπινα σφάλματα κυμαίνονται από 14%[8] έως 37%.[9] Οι εξωτερικές απειλές περιλαμβάνουν χάκερ, εγκληματίες του κυβερνοχώρου και φορείς που χρηματοδοτούνται από κράτη. Αν και η πρόληψη της ασφάλειας μπορεί να αποτρέψει ένα μεγάλο ποσοστό παραβιάσεων, ένας εισβολέας πιθανότατα θα βρει τρόπο να εισβάλλει σε οποιοδήποτε δίκτυο. Όπως έχει πει ο Τζον Τσέιμπερς, διευθύνων σύμβουλος της Cisco: "Υπάρχουν δύο τύποι εταιρειών. Αυτές που έχουν παραβιαστεί και αυτές που δεν γνωρίζουν ότι έχουν παραβιαστεί".[10] Ο Λέον Τάντεο, ειδικός πράκτορας του FBI για ειδικές επιχειρήσεις στον κυβερνοχώρο, προειδοποίησε ότι "η ιδέα ότι μπορείτε να προστατεύσετε την περίμετρο σας δεν ισχύει και αυτό που είναι κρίσιμο είναι η ανίχνευση των εισβολών."[11]
Ορισμένες διασημότητες έπεσαν θύματα παραβιάσεων πρόσβασης σε ιατρικά δεδομένα, αν και σε ατομική βάση, όχι ως μέρος μιας ευρύτερης παραβίασης.[12] Για να αντιμετωπίσουν μια σειρά παραβιάσεων σε ιατρικά δεδομένα και την έλλειψη εμπιστοσύνης του κοινού, ορισμένες χώρες έχουν ψηφίσει νόμους που απαιτούν τη διασφάλιση της προστασίας της ασφάλειας και της εμπιστευτικότητας των ψηφιακών ιατρικών δεδομένων και δίνουν στους ασθενείς ορισμένα σημαντικά δικαιώματα παρακολούθησης των προσωπικών δεδομένων τους και ενημέρωσης εάν συμβεί απώλεια ή μη εξουσιοδοτημένη χρήση πληροφοριών υγείας. Οι Ηνωμένες Πολιτείες και η ΕΕ έχουν επιβάλει υποχρεωτικές ειδοποιήσεις παραβίασης ιατρικών δεδομένων.[13] Οι παραβιάσεις ιατρικών πληροφοριών που αναφέρονται είναι όλο και πιο συχνές στις Ηνωμένες Πολιτείες.[14]
Αν και τέτοια περιστατικά ενέχουν τον κίνδυνο κλοπής ταυτότητας ή άλλες σοβαρές συνέπειες, στις περισσότερες περιπτώσεις δεν υπάρχει μόνιμη ζημιά. Είτε η παραβίαση της ασφάλειας διορθώνεται πριν από την πρόσβαση στις πληροφορίες από μη εξουσιοδοτημένους ανθρώπους, είτε ο κλέφτης ενδιαφέρεται μόνο για τις κλεμμένες συσκευές και όχι για τα δεδομένα που περιέχει. Ωστόσο, όταν τέτοια περιστατικά γίνονται γνωστά στο κοινό, είναι συνηθισμένο αυτός που δέχθηκε την επίθεση να προσπαθεί να μετριάσει τις ζημιές παρέχοντας αποζημιώσεις. Στην περίπτωση της Target, το κόστος της παραβίασης του 2013 προκάλεσε μια σημαντική πτώση στα κέρδη, η οποία εκτιμάται στο 40% για το 4ο τρίμηνο του έτους.[16] Στο τέλος του 2015, η Target δημοσίευσε μια έκθεση που ανέφερε ότι η συνολική ζημία από τις αποζημιώσεις για την παραβίαση δεδομένων ήταν 290 εκατομμύρια δολάρια.[17]
Η παραβίαση του Yahoo που αποκαλύφθηκε το 2016 μάλλον είναι μια από τις πιο ακριβές μέχρι σήμερα. Η τιμή εξαγοράς της εταιρίας από τη Verizon μειώθηκε κάτα 1 δισεκατομμύριο δολάρια λόγω της παραβίασης[18] και τελικά συμφωνήθηκε να μειωθεί από 4,8 σε 4,48 δισεκατομύρια δολάρια.[19] Το έγκλημα στον κυβερνοχώρο κοστίζει στις εταιρείες ενέργειας και κοινής ωφέλειας κατά μέσο όρο 12,8 εκατομμύρια δολάρια ετησίως σε απώλειες εργασιών και κατεστραμμένου εξοπλισμού σύμφωνα με την DNV GL, έναν διεθνή οργανισμό πιστοποίησης με έδρα τη Νορβηγία.[20] Οι παραβιάσεις δεδομένων κοστίζουν στους οργανισμούς υγειονομικής περίθαλψης 6,2 δισεκατομμύρια δολάρια (το 2014 και το 2015), σύμφωνα με μελέτη του Ponemon.[21]
Στην υγειονομική περίθαλψη, έχουν κλαπεί τα δεδομένα περισσότερων από 25 εκατομμύρια ατόμων, με αποτέλεσμα την κλοπή ταυτότητας περισσότερων από 6 εκατομμυρίων ανθρώπων και το κόστος των θυμάτων πλησιάζει τα 56 δισεκατομμύρια δολάρια.[22] Το Privacy Rights Clearinghouse (PRC) ανέφερε ότι από τον Ιανουάριο του 2005 έως τον Δεκέμβριο του 2018 υπήρξαν περισσότερα από 9000 περιπτώσεις παραβίασης. Επίσης, οι κύριες αιτίες που οδηγούν σε παραβίαση ήταν η επίθεση από εσωτερικό χρήστη, η απάτη με κάρτες πληρωμής, χαμένες ή κλεμμένες φορητές συσκευές, μολυσμένο κακόβουλο λογισμικό και αποστολή email σε λάθος άτομο. Αυτό δείχνει ότι πολλές φορές είναι τα ανθρώπινα λάθη που επιτρέπουν σε χάκερ να τα εκμεταλλευτούν και να εκτελέσουν μια επίθεση.[23]
Είναι εξαιρετικά δύσκολο να συγκεντρωθούν πληροφορίες σχετικά με την άμεση και έμμεση απώλεια αξίας που προκύπτει από μια παραβίαση δεδομένων. Μια κοινή προσέγγιση για την εκτίμηση του αντίκτυπου των παραβιάσεων δεδομένων είναι η μελέτη της αντίδρασης της αγοράς σε ένα τέτοιο περιστατικό ως δείκτης για τις οικονομικές συνέπειες. Αυτό γίνεται συνήθως μέσω της χρήσης μελετών γεγονότων, όπου ένα μέτρο του οικονομικού αντίκτυπου του περιστατικού μπορεί να προσδιοριστεί χρησιμοποιώντας τις τιμές ασφαλείας που παρατηρούνται σε σχετικά σύντομο χρονικό διάστημα. Αρκετές μελέτες τέτοιου είδους μελέτες έχουν δημοσιευτεί με ποικίλα ευρήματα.[24][25][26][27]
Δεδομένου ότι ο όγκος των δεδομένων αυξάνεται εκθετικά στην ψηφιακή εποχή και οι διαρροές δεδομένων συμβαίνουν συχνότερα από ποτέ, η αποφυγή διαρροής ευαίσθητων πληροφοριών σε μη εξουσιοδοτημένα μέρη γίνεται ένα από τα πιο πιεστικά προβλήματα ασφάλειας για τις επιχειρήσεις.[28] Για τη διασφάλιση των δεδομένων, οι εταιρείες συχνά πρέπει να αναλάβουν πρόσθετο κόστος για να λάβουν προληπτικά μέτρα για να αποτρέψουν παραβιάσεις δεδομένων.[29] Το 2019, οι δαπάνες για ασφάλεια στον κυβερνοχώρο ανήλθαν σε περίπου 40,8 δισεκατομμύρια δολάρια ΗΠΑ, με προβλέψεις ότι η αγορά θα ξεπεράσει τα 54 δισεκατομμύρια δολάρια ΗΠΑ το 2021, λαμβάνοντας υπόψη τον αντίκτυπο της πανδημίας COVID-19.[30]
2005
Τον Ιούνιο ανακοινώθηκε από τη MasterCard παραβίαση προσωπικών δεδομένων από χάκερς που εισέβαλαν στη βάση δεδομένων της εταιρείας CardSystems Solutions στην πόλη Τούσον των ΗΠΑ. Οι λογαριασμοί (στοιχεία καρτών Visa και MasterCard και προσωπικά δεδομένα) που εκτέθηκαν σε κίνδυνο ανέρχονται συνολικά σε 40 εκατομμύρια.[31][32] Η παραβίαση επηρέασε περίπου 20.000 κάρτες που κυκλοφορούσαν στην Ελλάδα.[33]
Σκάνδαλο δεδομένων αναζήτησης AOL (μερικές φορές αναφέρεται ως "Data Valdez",[36][37] λόγω του μεγέθους του).[38] Η AOL δημοσίευσε μεγάλο αριθμό αιτημάτων αναζήτησης χρηστών στο διαδίκτυο για ερευνητικούς σκοπούς. Αν και στα στοιχεία δεν περιλαμβάνονταν στοιχεία χρηστών, υπήρχαν πληροφορίες ταυτοποίησης σε πολλά από τα ερωτήματα. Αυτό επέτρεψε την ταυτοποίηση ορισμένων χρηστών από τα ερωτήματα αναζήτησής τους.[39]
Αμερικανικό Υπουργείο Υποθέσεων Βετεράνων, Μάιος, επηρεάστηκαν 28.600.000 βετεράνοι, έφεδροι, και ενεργό στρατιωτικό προσωπικό. Το περιστατικό συνέβη στα πλαίσια ληστείας στο σπίτι ενός υπαλλήλου του Υπουργείου, που είχε άδεια να εργάζεται από το σπίτι.[2][40][41]
Ernst & Young, Μάιος, 234.000 πελάτες του hotels.com (μετά από παρόμοια απώλεια δεδομένων για 38.000 υπαλλήλους πελατών Ernst & Young τον Φεβρουάριο). Ένας φορητός υπολογιστής με προσωπικά στοιχεία πελατών της Hotels.com εκλάπη από αυτοκίνητο και οι κλέφτες απέκτησαν πρόσβαση στα ονόματα και τους αριθμούς πιστωτικών καρτών.[42]
Boeing, Δεκέμβριος, 382.000 εργαζόμενοι (μετά από παρόμοιες απώλειες δεδομένων για 3.600 υπαλλήλους τον Απρίλιο και 161.000 υπαλλήλους το Νοέμβριο του 2005) [43][44]
2007
Εταιρία επενδύσεων D.A. Davidson & Co. 192.000 ονόματα πελατών, λογαριασμοί πελατών και αριθμοί κοινωνικής ασφάλισης, διευθύνσεις και ημερομηνίες γέννησης.[45] Η επίθεση προήλθε από μια ευπάθεια έγχυσης SQL που επέτρεψε σε άγνωστους χάκερ να εισέλθουν στη βάση δεδομένων της Davidson με τα δεδομένα.[46]
Η απώλεια δεδομένων των πολιτειών Οχάιο και Κονέκτικατ το 2007. Μια ταινία εκλάπη από το αυτοκίνητο ενός ασκούμενου της Accenture που εργάζοταν σε έργο για την πολιτεία του Οχάιο. Εκτός από τα δεδομένα της πολιτείας του Κοννέκτικατ, η ταινία περιείχε τα ονόματα και τους αριθμούς κοινωνικής ασφάλισης 57 κατοίκων του Κοννέκτικατ. Η ταινία είχε στοιχεία για περίπου 1,3 εκατομμύρια κατοίκους του Οχάιο.[47][48]
TJ Maxx, δεδομένα για 45 εκατομμύρια πιστωτικές και χρεωστικές κάρτες. Το 2007, η εταιρεία αποκάλυψε παραβίαση ασφάλειας που είχε ξεκινήσει το 2005: οι χάκερ είχαν αποκτήσει πρόσβαση σε πληροφορίες σχετικά με λογαριασμούς πιστωτικών και χρεωστικών καρτών για συναλλαγές από τον Ιανουάριο του 2003 και ύστερα.[49] Σύμφωνα με την εταιρεία, αυτό επηρέασε τους πελάτες που χρησιμοποίησαν την κάρτα τους μεταξύ Ιανουαρίου 2003 και Ιουνίου 2004 σε οποιοδήποτε κατάστημα της TJ Maxx. Οι χάκερ εγκατέστησαν λογισμικό μέσω wi-fi τον Ιούνιο του 2005, που τους επέτρεψε να έχουν πρόσβαση σε προσωπικές πληροφορίες για τους πελάτες. Η παραβίαση συνεχίστηκε μέχρι τον Ιανουάριο του 2007.[50][51]
Σκάνδαλο δεδομένων επιδομάτων τέκνου στο Ηνωμένο Βασίλειο. Η απώλεια δεδομένων επιδόματος παιδιών στο Ηνωμένο Βασίλειο ήταν ένα περιστατικό παραβίασης δεδομένων τον Οκτώβριο του 2007, όταν εξαφανίστηκαν δύο δίσκοι υπολογιστών που περιείχαν δεδομένα σχετικά με τα επιδόματα τέκνου. Το περιστατικό ανακοινώθηκε στις 20 Νοεμβρίου 2007. Οι δύο δίσκοι περιείχαν τα προσωπικά στοιχεία όλων των οικογενειών του Ηνωμένου Βασιλείου που αιτούνταν επίδομα τέκνου.[52][53]
CGI Group, Αύγουστος, δεδομένα για 283.000 συνταξιούχους από τη Νέα Υόρκη.[2]
The Gap, Σεπτέμβριος, 800.000 αιτήσεις εργασίας. Ένας φορητός υπολογιστής που περιείχε τα προσωπικά στοιχεία περίπου 800.000 αιτούντων εργασία εκλάπη από τα γραφεία ενός από τους προμηθευτές της Gap που διαχειρίζεται δεδομένα για την εταιρεία.[54][55]
Κέντρο αιμοδοσίας Memorial, 268.000 αιμοδότες. Τον Δεκέμβριο του 2007, εκλάπη ένας φορητός υπολογιστής που περιείχε προσωπικά δεδομένα αιμοδοτών, με αποτέλεσμα παραβίαση δεδομένων που επηρέασε 268.000 αιμοδότες. Ο φορητός υπολογιστής περιλάμβανε αριθμούς κοινωνικής ασφάλισης, τους οποίους το Κέντρο χρησιμοποιούσε για να επαληθεύσει ότι οι δότες ήταν επιλέξιμοι για αιμοδοσία. Μετά την κλοπή, το Κέντρο σταμάτησε να χρησιμοποιεί αριθμούς κοινωνικής ασφάλισης για την ταυτοποίηση αιμοδοτών.[56][57]
Τον Ιανουάριο του 2008, η GE Money, τμήμα της General Electric, γνωστοποίησε ότι μια μαγνητική ταινία με 150.000 αριθμούς κοινωνικής ασφάλισης και πληροφορίες πιστωτικών καρτών από 650.000 πελάτες χάθηκαν από μια εγκατάσταση αποθήκευσης της Iron Mountain Incorporated.[59][60]
Ασφαλιστικός οργανισμός Horizon Blue Cross Blue Shield of New Jersey, Ιανουάριος, 300.000 μέλη.[2] Ο οργανισμός έπεσε θύμα παραβίασης δεδομένων ξανά το 2013.[61]
Διαρροή λίστας μελών του Βρετανικού Εθνικιστικού Κόμματος [62]
Στις αρχές του 2008, η Countrywide Financial (που αργότερα αποκτήθηκε από την Bank of America ) φέρεται να πέφτει θύμα παραβίασης δεδομένων όταν, σύμφωνα με ειδήσεις και δικαστικά έγγραφα, ο υπάλληλος Rene L. Rebollo Jr. έκλεψε και πούλησε έως και 2,5 εκατομμύρια προσωπικά στοιχεία πελατών, συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης.[63][64] Σύμφωνα με τη νομική καταγγελία: "Ξεκινώντας το 2008 - κατά σύμπτωση μόλις πούλησαν τα χαρτοφυλάκια ενυπόθηκων δανείων τους με λανθασμένες και δόλιες ομάδες τιτλοποίησης και συμπτωματικά αφότου το χαρτοφυλάκιο ενυπόθηκων δανείων τους είχε τεθεί ως αποτέλεσμα σε τεράστια αθέτηση - η Countrywide έμαθε ότι οι οικονομικές πληροφορίες εκατομμυρίων πελατών είχαν κλαπεί από συγκεκριμένους συνεργάτες, υπαλλήλους ή άλλα άτομα της εταιρίας."[65] Τον Ιούλιο του 2010, η Bank of America διευθέτησε περισσότερες από 30 σχετικές αγωγές προσφέροντας δωρεάν παρακολούθηση πίστωσης, ασφάλιση κλοπής ταυτότητας και αποζημίωση για απώλειες σε 17 εκατομμύρια καταναλωτές που επηρεάστηκαν από τη φερόμενη παραβίαση δεδομένων. Ο διακανονισμός εκτιμήθηκε σε 56,5 εκατομμύρια δολάρια χωρίς να συμπεριληφθούν δικαστικά έξοδα.[66]
2009
Τον Ιανουάριο του 2009, η εταιρία πληρωμών Heartland Payment Systems ανακοίνωσε ότι έπεσε «θύμα παραβίασης ασφάλειας του συστήματος επεξεργασίας», πιθανώς μέρος μιας «παγκόσμιας επιχείρησης απάτης στον κυβερνοχώρο».[67] Η εισβολή έχει χαρακτηριστεί η μεγαλύτερη εγκληματική παραβίαση δεδομένων καρτών ποτέ, με εκτιμήσεις έως και 100 εκατομμυρίων καρτών από περισσότερες από 650 εταιρείες χρηματοοικονομικών υπηρεσιών.[68]
Τον Μάιο του 2009, το σκάνδαλο κοινοβουλευτικών δαπανών του Ηνωμένου Βασιλείου αποκαλύφθηκε από την Daily Telegraph . Ένας σκληρός δίσκος που περιείχε αποδείξεις βουλευτών του Ηνωμένου Βασιλείου και μελών της Βουλής των Λόρδων προσφέρθηκε σε διάφορες εφημερίδες του Ηνωμένου Βασιλείου στα τέλη Απριλίου.[69] Δημοσίευσαν λεπτομέρειες σταδιακά από τις 8 Μαΐου και μετά. Μολονότι το Κοινοβούλιο είχε σκοπό να δημοσιεύσει τα δεδομένα, αυτό θα ήταν σε αναδιατυπωμένη μορφή, με λογοκριμένες όσες λεπτομέρειες θεωρούνταν «ευαίσθητες». Η εφημερίδα δημοσίευσε αποδείξεις που έδειχναν καταχρήσεις.[70] Η κατακραυγή που ακολούθησε στα μέσα ενημέρωσης οδήγησε στην παραίτηση τον Προέδρο της Βουλής των Κοινοτήτων[71] και στη δίωξη και φυλάκιση αρκετών βουλευτών και Λόρδων για απάτη.[72] Αν και επηρέασε λιγότερα από 1.500 άτομα, η υπόθεση είχε τη μεγαλύτερη παγκόσμια κάλυψη από κάθε άλλη παραβίαση δεδομένων μέχρι τότε.
Τον Δεκέμβριο του 2009, η εταιρεία RockYou! γνωστοποίησε παραβίαση δεδομένων με αποτέλεσμα την έκθεση περισσότερων από 32 εκατομμύρια λογαριασμών χρηστών. Η εταιρεία χρησιμοποιούσε μια μη κρυπτογραφημένη βάση δεδομένων για την αποθήκευση δεδομένων λογαριασμού χρήστη, συμπεριλαμβανομένων κωδικών πρόσβασης με απλό κείμενο, καθώς και κωδικών πρόσβασης σε συνδεδεμένους λογαριασμούς σε ιστότοπους συνεργατών (συμπεριλαμβανομένων των υπηρεσιών Facebook, Myspace και webmail). Η RockYou! έστελνε επίσης μέσω e-mail τον κωδικό πρόσβασης χωρίς κρυπτογράφηση κατά την ανάκτηση λογαριασμού. Επίσης, δεν επέτρεπε τη χρήση ειδικών χαρακτήρων στους κωδικούς πρόσβασης. Οι χάκερ χρησιμοποίησαν μια γνωστή ευπάθεια SQL για να αποκτήσουν πρόσβαση στη βάση δεδομένων. Η εταιρεία χρειάστηκε μέρες για να ειδοποιήσει τους χρήστες μετά το συμβάν και αρχικά ανέφερε εσφαλμένα ότι η παραβίαση επηρέασε μόνο παλαιότερες εφαρμογές.[73] Ο πλήρης κατάλογος των κωδικών πρόσβασης που εκτέθηκε ως αποτέλεσμα της παραβίασης είναι διαθέσιμος στο Kali Linux από το 2013. Λόγω της εύκολης απόκτησής του και του μεγάλου μεγέθους του, χρησιμοποιείται συνήθως σε επιθέσεις.[74]
2010
Καθ' όλη τη διάρκεια του έτους, η Τσέλσι Μάνινγκ δημοσίευσε μεγάλο όγκο απόρρητων στρατιωτικών δεδομένων.
2011
Το Μάρτιο 2011 το τμήμα RSA Security της EMC Corporation γνωστοποίησε ότι είχε υποστεί μια περίπλοκη παραβίαση δεδομένων, που μπορούσε να θέσει σε κίνδυνο τα προϊόντα ασφάλειας υπολογιστών που χρησιμοποιούνται ευρέως από πολλές εταιρείες και κυβερνήσεις.[75] Εικάζεται ότι ένα κράτος ήθελε να εισέλθει στα συστήματα των εταιριών Lockheed-Martin και Northrop-Grumman για να κλέψει στρατιωτικά μυστικά.[76] Δεν μπορούσαν να το κάνουν, καθώς αυτές οι εταιρείες χρησιμοποιούσαν κώδικούς RSA SecurID για έλεγχο ταυτότητας δικτύου. Έτσι, οι χάκερ μπήκαν στη RSA με μια στοχευμένη επίθεση μέσω email. Απέκτησαν μια πίσω πόρτα και τελικά κατάφεραν να αποκτήσουν πρόσβαση σε πληροφορίες SecurID που τους επέτρεψαν να επιστρέψουν στους αρχικούς τους στόχους και να εισέλθουν με επιτυχία εκεί. Μετά την επίθεση, η RSA αναγκάστηκε να αντικαταστήσει τους κωδικούς SecurID στους πελάτες της.[77]
Η διακοπή λειτουργίας του PlayStation Network τον Απρίλιο 2011 ήταν το αποτέλεσμα μιας εξωτερικής εισβολής στις υπηρεσίες PlayStation Network και Qriocity της Sony, με την οποία παραβιάστηκαν τα προσωπικά στοιχεία από περίπου 77 εκατομμύρια λογαριασμούς και εμπόδισαν τους χρήστες από την πρόσβαση στην υπηρεσία.[78][79] Η επίθεση πραγματοποιήθηκε μεταξύ 17 Απριλίου και 19 Απριλίου 2011, αναγκάζοντας τη Sony να απενεργοποιήσει το PlayStation Network στις 20 Απριλίου. Στις 4 Μαΐου, η Sony επιβεβαίωσε ότι είχαν εκτεθεί προσωπικά δεδομένα από καθένα από τους 77 εκατομμύρια λογαριασμούς. Η διακοπή λειτουργίας διήρκεσε 23 ημέρες.[80][81]
Τον Ιούνιο του 2011, η Citigroup αποκάλυψε παραβίαση δεδομένων κατά τη λειτουργία της πιστωτικής κάρτας τους, επηρεάζοντας περίπου 210.000 ή το 1% των λογαριασμών των πελατών της.[82]
2012
Το καλοκαίρι του 2012, ο Mat Honan του Wired.com ισχυρίστηκε ότι «χάκερ κατέστρεψαν ολόκληρη την ψηφιακή μου ζωή σε μια ώρα» παραβιάζοντας τους κωδικούς πρόσβασης Apple, Twitter και Gmail για να αποκτήσουν πρόσβαση στο Twitter και στη συνέχεια εξαφάνισαν όλες τις συσκευές του, διαγράφοντας όλα τα μηνύματα και τα έγγραφά του, συμπεριλαμβανομένης κάθε εικόνας που είχε τραβήξει ποτέ για την 18χρονη κόρη του.[83] Η παραβίαση επιτεύχθηκε με ένα συνδυασμό πληροφοριών που δόθηκαν στους χάκερ από την τεχνική υποστήριξη της Amazon μέσω κοινωνικής μηχανικής και του συστήματος ανάκτησης κωδικού πρόσβασης της Apple όπου χρησιμοποιήθηκαν οι πληροφορίες αυτές.[84] Σχετικά με την εμπειρία του, ο Mat Honan έγραψε ένα άρθρο που περιγράφει γιατί οι κωδικοί πρόσβασης δεν μπορούν να διατηρήσουν τους χρήστες ασφαλείς.[85]
Ο ιστότοπος του LinkedIn παραβιάστηκε στις 5 Ιουνίου 2012, και οι κωδικοί πρόσβασης για σχεδόν 6,5 εκατομμύρια λογαριασμούς χρηστών κλάπηκαν από Ρώσους κυβερνο-εγκληματίες.[86][87][88] Οι κάτοχοι των παραβιασμένων λογαριασμών δεν είχαν πρόσβαση στους λογαριασμούς τους και ο ιστότοπος ενθάρρυνε τους χρήστες του να αλλάξουν τους κωδικούς πρόσβασης μετά το συμβάν.[89][90] Τον Μάιο του 2016, το LinkedIn ανακάλυψε επιπλέον 110 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και κρυπτογραφημένους κωδικούς πρόσβασης που θεωρήθηκαν ότι ήταν πρόσθετα δεδομένα από την ίδια παραβίαση του 2012. Ως συνέπεια, το LinkedIn ακύρωσε τους κωδικούς πρόσβασης όλων των χρηστών που δεν είχαν αλλάξει κωδικό πρόσβασης μετά το 2012.[91][92]
Τον Οκτώβριο του 2012, η αστυνομία έδωσε αποδείξεις στο Τμήμα Εσόδων της Νότιας Καρολίνας που αποδείκνυαν ότι είχαν κλαπεί προσωπικά στοιχεία αναγνώρισης (PII) τριών ατόμων.[93] Αργότερα αναφέρθηκε ότι περίπου 3,6 εκατομμύρια αριθμοί κοινωνικής ασφάλισης μαζί με 387.000 αρχεία πιστωτικών καρτών είχαν παραβιαστεί.[94]
2013
Το 2013, ο Έντουαρντ Σνόουντεν δημοσίευσε απόρρητες πληροφορίες σχετικά με πρoγράμματα μαζικής παρακολούθησης από την Υπηρεσία Εθνικής Ασφάλειας των Ηνωμένων Πολιτειών και από αντίστοιχες υπηρεσίες άλλων χωρών.
Τον Οκτώβριο του 2013, η Adobe Systems γνωστοποίησε ότι παραβιάστηκε η εταιρική βάση δεδομένων της και εκλάπησαν στοιχεία περίπου 130 εκατομμυρίων χρηστών. Η παραβίαση συνέβη επειδή οι μηχανικοί της Adobe χρησιμοποίησαν αναστρέψιμη κρυπτογράφηση για να κρυπτογραφήσουν τους κωδικούς πρόσβασης, οι οποίοι τελικά κατέληξαν σε ένα αρχείο 9,3 gigabyte που δημοσιευθήκε στο διαδίκτυο.[95]
Στα τέλη Νοεμβρίου έως τις αρχές Δεκεμβρίου 2013, η Target Corporation γνωστοποίησε ότι υποκλάπηκαν δεδομένα από περίπου 40 εκατομμύρια πιστωτικές και χρεωστικές κάρτες.[96] Η παραβίαση επηρέασε έως και 110 εκατομμύρια πελάτες.[97][98] Τα προσωπικά δεδομένα που υπεξαιρέθηκαν περιελάμβαναν ονόματα, αριθμούς τηλεφώνου, email και διευθύνσεις αλληλογραφίας.[99] Τον Μάρτιο του 2015, η Target συμφώνησε σε μια διευθέτηση με τους καταναλωτές έναντι 10 εκατομμυρίων δολαρίων (συν αμοιβές δικηγόρων).[100] Τον Δεκέμβριο του 2015, η Target συμφώνησε σε μια διευθέτηση με τις τράπεζες και τα πιστωτικά ιδρύματα που επηρεάστηκαν έναντι 39 εκατομμυρίων δολαρίων.[101]
2014
To Μάιο 2014 το eBay γνωστοποίησε ότι μια επίθεση από χάκερ παραβίασε όλους τους λογαριασμούς 145 εκατομμυρίων χρηστών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων, ημερομηνιών γέννησης και κρυπτογραφημένων κωδικών πρόσβασης. Η εταιρεία ανακοίνωσε ότι οι χάκερ χρησιμοποίησαν τα διαπιστευτήρια τριών υπαλλήλων της εταιρίας, στα οποία είχαν πλήρη πρόσβαση για 229 ημέρες.[102][103]
Τον Ιούλιο του 2014 η επίθεση στα αρχεία της JP Morgan Chase, της μεγαλύτερης τράπεζας των ΗΠΑ, έπληξε πάνω από 50% των Αμερικάνικων νοικοκυριών (76 εκατομμύρια) καθώς επίσης και 7 εκατομμύρια μικρές επιχειρήσεις. Εκτέθηκαν ονόματα, διευθύνσεις, email και αριθμοί τηλεφώνου καθώς και εσωτερικές πληροφορίες της τράπεζας για τους πελάτες της.[104][105][106]
Τον Αύγουστο του 2014, σχεδόν 200 φωτογραφίες διασημοτήτων υποκλάπηκαν από λογαριασμούς Apple iCloud και δημοσιεύτηκαν στον ιστότοπο εικόνων 4chan. Μια έρευνα της Apple διαπίστωσε ότι οι εικόνες λήφθηκαν "από μια πολύ στοχευμένη επίθεση σε ονόματα χρηστών, κωδικούς πρόσβασης και ερωτήσεις ασφαλείας".[107] Ωστόσο, η Apple ενίσχυσε την ασφάλεια του iCloud μέσω ελέγχου ταυτότητας 2 παραγόντων, μετά από αυτή την παραβίαση αυτή.[108]
Τον Σεπτέμβριο του 2014, η Home Depot υπέστη παραβίαση δεδομένων για 56 εκατομμύρια πιστωτικές κάρτες.[109]
Τον Οκτώβριο του 2014, η Staples υπέστη παραβίαση δεδομένων 1,16 εκατομμυρίων καρτών πληρωμής πελατών.[110]
Τον Νοέμβριο του 2014 και για εβδομάδες μετά, η Sony Pictures Entertainment υπέστη παραβίαση δεδομένων που αφορούσε προσωπικές πληροφορίες σχετικά με τους υπαλλήλους της Sony Pictures και τις οικογένειές τους, μηνύματα ηλεκτρονικού ταχυδρομείου μεταξύ υπαλλήλων, πληροφορίες σχετικά με τους μισθούς των στελεχών της εταιρείας, αντίγραφα (προηγούμενων) μη κυκλοφορημένων ταινιών Sony και άλλες πληροφορίες. Οι εμπλεκόμενοι χάκερ ισχυρίζονται ότι έχουν πάρει πάνω από 100 terabyte δεδομένων από τη Sony.[111]
2015
Τον Φεβρουάριο του 2015, ο πάροχος υγείας Anthem υπέστη παραβίαση δεδομένων σχεδόν 80 εκατομμυρίων αρχείων, συμπεριλαμβανομένων προσωπικών πληροφοριών όπως ονόματα, αριθμοί κοινωνικής ασφάλισης, ημερομηνίες γέννησης και άλλες ευαίσθητες λεπτομέρειες.[112]
Τον Ιούνιο του 2015, το Γραφείο Διαχείρισης Προσωπικού της κυβέρνησης των ΗΠΑ υπέστη παραβίαση δεδομένων κατά την οποία τα αρχεία 22,1 εκατομμυρίων ενεργών και πρώην ομοσπονδιακών υπαλλήλων των Ηνωμένων Πολιτειών παραβιάστηκαν και υποκλάπηκαν.[113]
Τον Ιούλιο του 2015, ο ιστότοπος ενηλίκων Ashley Madison υπέστη παραβίαση δεδομένων όταν μια ομάδα χάκερ έκλεψε πληροφορίες για τους 37 εκατομμύρια χρήστες της. Οι χάκερ απείλησαν να αποκαλύψουν ονόματα και συγκεκριμένα στοιχεία των χρηστών, εάν ο Ashley Madison και ένας άλλος ιστότοπος, EstablishedMen.com, δεν έκλειναν οριστικά.[114]
Τον Οκτώβριο του 2015, ο βρετανός πάροχος τηλεπικοινωνιών TalkTalk υπέστη παραβίαση δεδομένων όταν μια ομάδα 15χρονων χάκερ έκλεψε πληροφορίες για 4 εκατομμύρια πελάτες του. Η τιμή της μετοχής της εταιρείας μειώθηκε σημαντικά λόγω του ζητήματος - περίπου 12% - λόγω της κακής δημοσιότητας που προκάλεσε η διαρροή.[115]
2016
Τον Φεβρουάριο του 2016, ο 15χρονος Βρετανός χάκερ Kane Gamble διέρρευσε τα προσωπικά στοιχεία περισσότερων από 20.000 υπαλλήλων του FBI συμπεριλαμβανομένων των ονομάτων των υπαλλήλων, των τίτλων εργασίας, των αριθμών τηλεφώνου και των διευθύνσεων email.[116] Ο δικαστής είπε ότι ο Gamble διέπραξε "τρομοκρατία στον κυβερνοχώρο με πολιτικά κίνητρα".[117]
Τον Μάρτιο του 2016, ο ιστότοπος της Επιτροπής Εκλογών στις Φιλιππίνες παραβιάστηκε από την ομάδα Anonymous Philippines. Ένα μεγαλύτερο πρόβλημα προέκυψε όταν η ομάδα LulzSec Pilipinas ανέβασε ολόκληρη τη βάση δεδομένων του στο Facebook την επόμενη μέρα.[118]
Τον Απρίλιο του 2016, τα μέσα ενημέρωσης δημοσίευσαν πληροφορίες που είχαν υποκλαπεί με μια επιτυχημένη επίθεση στο δίκτυο της νομικής εταιρείας Mossack Fonseca και τα λεγόμενα «Panama Papers» έγιναν γνωστά σε όλο τον κόσμο.[119][120] Ο πρωθυπουργός της Ισλανδίας αναγκάστηκε να παραιτηθεί [121] και ένας μεγάλος αριθμός παραιτήσεων σημειώθηκε σε πολλές χώρες όπως η Μάλτα.[122] Πολλές έρευνες ξεκίνησαν αμέσως σε διάφορες χώρες, συμπεριλαμβανομένης της ΕΕ[123] και των ΗΠΑ.[124] Προφανώς οι συνέπειες είναι τεράστιες σχετικά με την ικανότητα ενός οργανισμού - είτε δικηγορικό γραφείο είτε κυβερνητική υπηρεσία — να τηρήσει το απόρρητο.[125]
Τον Σεπτέμβριο του 2016, η Yahoo ανέφερε ότι έως και 500 εκατομμύρια λογαριασμοί το 2014 είχαν παραβιαστεί σε μια παραβίαση δεδομένων.[126] Λίγο αργότερα, τον Οκτώβριο του 2017, γνωστοποίησε ότι είχαν παραβιαστεί 3 δισεκατομμύρια λογαριασμοί, που αντιστοιχούσαν σε κάθε λογαριασμό Yahoo εκείνη τη στιγμή.[127] Και οι δύο παραβιάσεις θεωρούνται οι μεγαλύτερες που ανακαλύφθηκαν στην ιστορία του Διαδικτύου. Τα δεδομένα που παραβιάστηκαν περιλαμβάνουν ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, κρυπτογραφημένες ή μη κρυπτογραφημένες ερωτήσεις και απαντήσεις ασφαλείας, ημερομηνίες γέννησης και κωδικοποιημένους κωδικούς πρόσβασης.[128] Στις 15 Μαρτίου 2017, το FBI κατηγόρησε επίσημα για την παραβίαση τέσσερις άντρες, συμπεριλαμβανομένων δύο που εργάζονται για την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB).[129]
Στις 13 Νοεμβρίου 2016, γνωστοποιήθηκε ότι μια βάση δεδομένων με περισσότερους από 412 εκατομμύρια λογαριασμούς, συμπεριλαμβανομένων των e-mail και των κωδικών πρόσβασης, είχε παραβιαστεί και διαρρεύσει από αρκετούς ιστότοπους του FriendFinder Networks. Η παραβίαση περιελάμβανε δεδομένα λογαριασμών από το Adult FriendFinder (πάνω από 339 εκατομμύρια λογαριασμούς), Cams.com και Penthouse, συμπεριλαμβανομένων λογαριασμών που υποτίθεται ότι είχαν διαγραφεί. Οι κωδικοί πρόσβασης είχαν αποθηκευθεί ως απλό κείμενο ή με χρήσης της ξεπερασμένης και μη ασφαλούς κρυπτογράφησης SHA-1.[130][131]
Στο τέλος του 2016 η εταιρεία Uber γνωστοποίησε ότι χάκερ είχαν διαρρήξει το σύστημα ασφαλείας της ηλεκτρονικής πλατφόρμας της και είχαν αποκτήσει πρόσβαση στα δεδομένα 57 εκατομμυρίων χρηστών καθώς και 600.000 οδηγών. Στα δεδομένα περιλαμβάνονταν τα ονόματα, email, και τηλέφωνα των χρηστών και οι αριθμοί αδείας των οδηγών.[132][133][134][135]
2017
Το Μάρτιο οι τεχνικές πειρατείας της CIA αποκαλύπτονται μετά από παραβίαση δεδομένων.[136] Έγγραφα που διέρρευσαν, με την κωδική ονομασία Vault 7 και με ημερομηνία 2013 με 2016, περιγράφουν λεπτομερώς τις δυνατότητες της CIA να εκτελεί ηλεκτρονική παρακολούθηση και πόλεμο στον κυβερνοχώρο,[137] όπως είναι η ικανότητα να θέσει σε κίνδυνο τα λειτουργικά συστήματα των περισσότερων smartphones (συμπεριλαμβανομένων των AppleiOS και GoogleAndroid), καθώς και άλλα λειτουργικά συστήματα όπως τα Microsoft Windows, macOS και Linux.[138] Ο Joshua Adam Schulte, πρώην υπάλληλος της CIA, κατηγορήθηκε για τη διαρροή στο WikiLeaks.[139]
Τον Ιούλιο παραβιάζονται 145.500.000 αρχεία καταναλωτών της Equifax, η μεγαλύτερη γνωστή παραβίαση δεδομένων στην ιστορία εκείνη την εποχή[140] και οδηγεί στη μεγαλύτερη αγωγή αποζημίωσης στην ιστορία.[141] Από τις αρχές Οκτωβρίου 2017, οι πόλεις του Σικάγου και του Σαν Φρανσίσκο και η πολιτεία της Μασαχουσέτης υπέβαλαν αγωγές κατά της Equifax για την παραβίαση, στην οποία οι χάκερ φέρεται να εκμεταλλεύτηκαν μια ευπάθεια στο λογισμικό ανοιχτού κώδικα που χρησιμοποιήθηκε για τη δημιουργία της διαδικτυακής πύλης της Equifax.[142] Οι χάκερς δεν υπέκλεψαν μόνο πληροφορίες από κατοίκους των ΗΠΑ, αλλά και από το Ηνωμένο Βασίλειο και τον Καναδά.
Τον Οκτώβριο του 2017, η βουλή της Νότιας Κορέας ισχυρίστηκε ότι χάκερ της Βόρειας Κορέας έκλεψαν πάνω από 235 gigabytes στρατιωτικών εγγράφων που ελήφθησαν από το Κέντρο Ολοκληρωμένων Δεδομένων Άμυνας τον Σεπτέμβριο του 2016.[143]
Τον Μάρτιο, η Google εντόπισε μια ευπάθεια που έθετε σε κίνδυνο τα προσωπικά στοιχεία σχεδόν μισού εκατομμυρίου χρηστών. Αν και επιδιόρθωσαν την ευπάθεια, δεν γνωστοποίησαν την έκθεση στους χρήστες έως ότου το θέμα αποκαλύφθηκε από τη Wall Street Journal 6 μήνες αργότερα.[145][146]
Στις 29 Μαρτίου, η Under Armor αποκάλυψε παραβίαση δεδομένων 150 εκατομμυρίων λογαριασμών στο MyFitnessPal. Η Under Armour αντιληφθηκε την παραβίαση την εβδομάδα 19–25 Μαρτίου, και ανέφερε ότι η διαρροή συνέβη κάποια στιγμή τον Φεβρουάριο.[147][148][149]
Αναφέρθηκε την 1η Απριλίου ότι σημειώθηκε παραβίαση δεδομένων στη Saks Fifth Avenue / Lord & Taylor. Περίπου 5 εκατομμύρια κάτοχοι πιστωτικών καρτών ενδέχεται να επηρεάστηκαν στη Βόρεια Αμερική.[150]
Στις 20 Ιουλίου γνωστοποιήθηκε παραβίαση δεδομένων στο SingHealth, έναν από τους μεγαλύτερους οργανισμούς υγείας της Σιγκαπούρης, που αφορούσε τα προσωπικά δεδομένα από περίπου 1,5 εκατομμύριο άτομα (συμπεριλαμβανομένου του πρωθυπουργού της Σιγκαπούρης Λι Σιεν Λουνγκ). Οι υπουργοί σε συνέντευξη τύπου χαρακτήρισαν την παραβίαση δεδομένων ως την «πιο σοβαρή παραβίαση προσωπικών δεδομένων».[151][152]
Την 1η Αυγούστου, η Reddit αποκάλυψε ότι έπεσε θύμα παραβίασης. Η Reddit αρνήθηκε να αποκαλύψει τον αριθμό των επηρεαζόμενων χρηστών.[153]
Στις 7 Σεπτεμβρίου αναφέρθηκε ότι η British Airways αντιμετώπισε κλοπή δεδομένων περίπου 380.000 αρχείων πελατών, συμπεριλαμβανομένων πλήρων τραπεζικών στοιχείων.[154][155]
Στις 19 Οκτωβρίου, τα Αμερικανικά Κέντρα Medicare & Medicaid Services (CMS) ανέφεραν παραβίαση δεδομένων που εξέθεσε αρχεία 75.000 ατόμων.[156]
Στις 3 Δεκεμβρίου, η Quora ανέφερε παραβίαση δεδομένων που επηρέασε 100 εκατομμύρια χρήστες.[157]
2019
Τον Μάιο, δημοσιοποιήθηκαν προσωπικά δεδομένα περίπου 139 εκατομμυρίων χρηστών της υπηρεσίας γραφιστικής Canva, συμπεριλαμβανομένων πραγματικών ονομάτων χρηστών, ονομάτων χρήστη, διευθύνσεων και γεωγραφικών πληροφοριών και κρυπτογραφημένων κωδικών πρόσβασης.[158][159]
Στις 16 Ιουλίου, χάκερ έκλεψαν τα φορολογικά δεδομένα εκατομμυρίων πολιτών της Βουλγαρίας από την Εθνική Υπηρεσία Εσόδων του Υπουργείου Οικονομικών της χώρας.[160]
Στις 17 Ιουλίου η Medico Inc, ένας προμηθευτής υγειονομικής περίθαλψης που παρέχει επεξεργασία δεδομένων χρέωσης και ασφάλισης διέρρευσε από λάθος περισσότερα από 300.000 αρχεία που περιείχαν ευαίσθητες πληροφορίες υγείας.[161]
Στις 25 Ιουλίου, περίπου 6,2 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου εκτέθηκαν από την επιτροπή εκστρατείας για τη Γερουσία των Δημοκρατικών λόγω εσφαλμένης διαμόρφωσης μια περιοχής αποθήκευσης Amazon S3.[162]
Τον Ιούλιο, ο αμερικανικός χρηματοπιστωτικός όμιλος Capital One Financial Corp. ανακοίνωσε ότι χάκερ, η οποία συνελήφθη, απέσπασε προσωπικά δεδομένα, συμπεριλαμβανομένων ονομάτων και διευθύνσεων, περίπου 100 εκατομμυρίων ανθρώπων στις ΗΠΑ και 6 εκατομμυρίων ανθρώπων στον Καναδά.[163]
Τον Σεπτέμβριο, παραβιάστηκαν τα προσωπικά δεδομένα του συνολικού πληθυσμού των 17 εκατομμυρίων του Εκουαδόρ, όταν ένας μη ασφαλής διακομιστής της εταιρεία μάρκετινγκ Novestrat διέρρευσε πλήρη ονόματα, ημερομηνίες, τόπους γέννησης, εκπαίδευση, αριθμούς τηλεφώνου και εθνικούς αριθμούς ταυτότητας.[164]
2020
Ένα σύνολο 715.000 μηνυμάτων, γραφημάτων, συμβολαίων, ελέγχων και λογαριασμών, γνωστό ως «διαρροή Luanda», διέρρευσε τον Ιανουάριο σε μέσα ενημέρωσης, αναφέροντας λεπτομερώς τον τρόπο με τον οποίο η Isabel dos Santos και ο σύζυγός της επωφελήθηκαν από στενούς δεσμούς με την προεδρία της Ανγκόλα (ο πρόεδρος από το 1979 έως το 2017, Jose Eduardo dos Santos ήταν ο πατέρας της).[165] O Πορτογάλος χάκερ Rui Pinto ανέλαβε την ευθύνη για τη διαρροή. Ο εισαγγελέας της Ανγκόλα διέταξε το “πάγωμα” των περιουσιακών στοιχείων τόσο της dos Santos, όσο και του συζύγου της και ενός συνεργάτη της.[166]
Οι αριθμοί ταυτοποίησης 1,26 εκατομμυρίων φορολογούμενων Δανών πολιτών εκτέθηκαν από λάθος λογισμικού σε κυβερνητική πύλη φορολογίας της Δανίας.[167]
Το Μάρτιο, η ξενοδοχειακή αλυσίδα Marriott γνωστοποίησε επίθεση κατά την οποία παραβιάστηκαν λογαριασμοί 5,2 εκατομμυρίων επισκεπτών.[168]
Το Μάιο, η αεροπορική εταιρεία EasyJet γνωστοποίησε παραβίαση δεδομένων εννέα εκατομμυρίων πελατών, συμπεριλαμβανομένων ορισμένων οικονομικών αρχείων.[169]
Τα προσωπικά δεδομένα 44 εκατομμυρίων πακιστανών συνδρομητών κινητής τηλεφωνίας διέρρευσαν διαδικτυακά το Μάιο. Η διαρροή αποκαλύφθηκε όταν ένας χάκερ προσπάθησε να πουλήσει ένα πακέτο με 115 εκατομμύρια πακιστανικά αρχεία χρηστών για κινητές συσκευές τον περασμένο μήνα με τιμή 2,1 εκατομμύρια δολάρια σε bitcoin.[170]
Το Μάιο, σαράντα εκατομμύρια αρχεία χρηστών της δημοφιλούς εφαρμογής Wishbone δημοσιεύθηκαν στο διαδίκτυο από το χάκερ ShinyHunters.[171]
Στις 7 Ιουλίου, ο ιστότοπος γραφής Wattpad υπέστη σημαντική παραβίαση δεδομένων από το χάκερ ShinyHunters, που επηρέασε περισσότερους από 270 εκατομμύρια χρήστες. Τα δεδομένα των χρηστών πωλήθηκαν σε ένα φόρουμ του darknet, συμπεριλαμβανομένων των κρυπτογραφημένων κωδικών πρόσβασης.[172]
Τον Ιούλιο, διατέθηκαν προς πώληση τα προσωπικά δεδομένα 142 εκατομμυρίων επισκεπτών των MGM Resorts.[173]
Τον Αύγουστο, το υποκατάστημα της Experian στη Νότια Αφρική γνωστοποίησε παραβίαση δεδομένων που επηρέασε 24 εκατομμύρια πελάτες.[174]
Το αμερικανικό Υπουργείο Υποθέσεων Βετεράνων γνωστοποίησε την υποκλοπή δεδομένων 46.000 βετεράνων ύστερα από παραβίαση ασφαλείας το Σεπτέμβριο.[41]
Η αλυσίδα εστιατορίων μπάρμπεκιου Dickey’s στις ΗΠΑ υπέστη επίθεση στα σημεία πώλησής της μεταξύ Ιουλίου 2019 και Αυγούστου 2020. Εκτέθηκαν οι αριθμοί καρτών τριών εκατομμυρίων πελατών.[175]
Στις 21 Οκτωβρίου 2020, η φινλανδική ιδιωτική κλινική ψυχοθεραπείας Vastaamo ανακοίνωσε ότι είχε κλαπεί η βάση δεδομένων των ασθενών της. Οι εκβιαστές ζήτησαν 40 bitcoin, περίπου 450.000 ευρώ, ή απείλησαν να δημοσιεύσουν τα δεδομένα. Τα αρχεία ασθενών που διέρρευσαν περιείχαν τα πλήρη ονόματα, διευθύνσεις, αριθμούς κοινωνικής ασφάλισης και τις σημειώσεις των θεραπευτών και των ιατρών από κάθε συνεδρία. Μετά την αποτυχία του εκβιασμού, οι εκβιαστές έστειλαν μηνύματα στα θύματα ζητώντας τους να πληρώσουν 200 ευρώ σε 24 ώρες ή 500 ευρώ σε 48 ώρες για να αποφύγουν τη δημοσίευση των ευαίσθητων προσωπικών τους δεδομένων.[176][177][178] Οι πρακτικές ασφαλείας της εταιρείας ήταν εντελώς ανεπαρκείς: τα ευαίσθητα δεδομένα δεν ήταν κρυπτογραφημένα[179] και προφανώς ο κωδικός πρόσβασης του συστήματος ήταν πολύ αδύναμος.[180] Τα αρχεία των ασθενών παραβιάστηκαν για πρώτη φορά από τους εισβολείς τον Νοέμβριο του 2018, ενώ τα προβλήματα ασφαλείας συνέχισαν να υφίστανται μέχρι τον Μάρτιο του 2019.[178]
Το Δεκέμβριο ο Ευρωπαϊκός Οργανισμός Φαρμάκων επιβεβαίωσε παραβίαση δεδομένων μετά την κυβερνοεπίθεση που είχε αποκαλυφθεί λίγες ημέρες νωρίτερα, προσθέτοντας παράλληλα πως υπήρξε παράνομη πρόσβαση σε έναν περιορισμένο αριθμό εγγράφων τρίτων μερών. Οι εταιρίες Pfizer και BioNTech ανέφεραν ότι έγγραφα που σχετίζονται με την ανάπτυξη του εμβολίου κατά του COVID-19 «αποκτήθηκαν παρανόμως».[181][182]
Στα μέσα Δεκεμβρίου 2020, αναφέρθηκε ότι πολλές υπηρεσίες της ομοσπονδιακής κυβέρνησης των ΗΠΑ και πολλοί ιδιωτικοί οργανισμοί σε όλο τον κόσμο που χρησιμοποιούσαν προϊόντα SolarWinds, Microsoft και VMWare, είχαν πέσει θύματα μιας εκτεταμένης παραβίασης δεδομένων.[183][184]
2021
Το Μάρτιο τουλάχιστον 30.000 οργανισμοί (μικρές επιχειρήσεις, δημοτικές αρχές και τοπικές κυβερνήσεις) στις ΗΠΑ και τουλάχιστον 7.000 στη Μεγάλη Βρετανία παραβιάστηκαν από μια ασυνήθιστα επιθετική κινεζική μονάδα κυβερνο-κατασκοπείας που επικεντρώνεται στην κλοπή email. Η ομάδα εκμεταλεύτηκε μια ευπάθεια του Microsoft Exchange Server.[185][186][187]
Τον Απρίλιο ευαίσθητες πληροφορίες από το σύστημα του Πανεπιστημίου της Καλιφόρνιας, το Πανεπιστήμιο Yeshiva, το Πανεπιστήμιο του Μαϊάμι, το Πανεπιστήμιο του Κολοράντο, την Ιατρική Σχολή του Πανεπιστημίου του Στάνφορντ και το Πανεπιστήμιο του Μέριλαντ της Βαλτιμόρης, δημοσιοποιήθηκαν στο darknet ως συνέπεια της κυβερνο-επίθεσης Accellion[188], η οποία συνέβη τους αμέσως προηγούμενους μήνες.[189]
Τον Απρίλιο δημοσιεύτηκε λίστα που περιλαμβάνει προσωπικά δεδομένα 533 εκατ. χρηστών του Facebook από 106 χώρες και περιέχει κατά βάση ονοματεπώνυμα, ημερομηνίες γενεθλίων, email και αριθμούς κινητών τηλεφώνων.[190][191] Στη λίστα περιλαμβάνονται 617.722 ελληνικοί λογαριασμοί.[192]
Τον Ιούλιο μεταξύ 800 και 1.500 επιχειρήσεις σε τουλάχιστον 17 χώρες επλήγησαν από την κυβερνοεπίθεση με ransomware που έπληξε την αμερικανική εταιρεία πληροφορικής Kaseya.[193][194] Μια πρώτη συνέπεια της επίθεσης που έγινε γνωστή είναι το κλείσιμο 800 καταστημάτων της Coop Suède, μίας από τις μεγαλύτερες αλυσίδες σουπερμάρκετ της Σουηδίας.[195]
Σύμφωνα με τα στοιχεία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τα περιστατικά παραβίασης που έχουν γνωστοποιηθεί από 25/5/2018 μέχρι 24/5/2021 στο πλαίσιο της υποχρέωσης του Γενικού Κανονισμού Προστασίας Δεδομένων είναι 418. Αντίστοιχα, οι γνωστοποιήσεις παραβίασης δεδομένων στο πλαίσιο της υποχρέωσης που απορρέει από τη νομοθεσία για τις ηλεκτρονικές επικοινωνίες (ν. 3471/2006) είναι 94.[196]
Κατά την περίοδο 2008-2010 έλαβε χώρα περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα μεγάλου αριθμού συνδρομητών του ΟΤΕ. Αν και δεν διαπιστώθηκε πότε συνέβη, φαίνεται ότι συνέβη τουλάχιστον μία φορά, κατά πάσα πιθανότητα σε τέσσερις διαφορετικές περιόδους. Τα δεδομένα αφορούν σε πάνω από 8.000.000 παλιούς ή υφιστάμενους συνδρομητές. Τα δεδομένα βρέθηκαν μετά από έρευνα της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος το 2013 στα πλαίσια έρευνάς της στην εταιρεία InfoCredit ΑΕ. Για την παραβίαση επιβλήθηκε πρόστιμο 60.000 ευρώ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.[197]
Τον Απρίλιο 2009 εκλάπησαν τέσερεις υπολογιστές από μονάδα του Ινστιτούτου Υγείας του Παιδιού στους οποίους ήταν καταχωρημένα ευαίσθητα προσωπικά δεδομένα υγείας 2.050 παιδιών.[198]
To 2011 χάκερ υπέκλεψε και δημοσίευσε στο διαδίκτυο προσωπικά δεδομένα 8.500 χρηστών από το διαδικτυακό τόπο της ελληνικής Sony BMG.[199]
Τον Αύγουστο 2013 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 150.000 ευρώ στη Γενική Γραμματεία Πληροφοριακών Συστημάτων, κρίνοντας ότι παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα. Τα προσωπικά (φορολογικά) δεδομένα που διέρρευσαν αφορούσαν τουλάχιστον τα έτη από το 2000 έως και το 2012 και περιελάμβαναν, μεταξύ άλλων, στοιχεία των εντύπων Ε1, Ε2 και Ε9, στοιχεία του ΕΤΑΚ, του μητρώου φορολογουμένων και στοιχεία τελών κυκλοφορίας οχημάτων.[200][201][202][203][204]
Το 2013 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο 75.000 ευρώ στην τράπεζα HSBC με την υπ' αριθμ.109/2013 απόφασή της, καθώς στο διάστημα 2007-2011 αγόραζε από δύο διαφημιστικές εταιρείες λίστες πελατών με προσωπικά δεδομένα, βάσει συγκεκριμένων κριτηρίων.[205][206]
Στις 9 Σεπτεμβρίου 2020 η Cosmote γνωστοποίησε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας, ως αποτέλεσμα κυβερνοεπίθεσης. Το αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμούς τηλεφώνου, ημέρα και ώρα πραγματοποίησης ή λήψης εισερχόμενης κλήσης και διάρκειά της. Eμφανίζονταν επιπλέον τύπος συσκευής, IMSI (International Mobile Subscriber Identity), ηλικία, φύλο, ARPU (Average Revenue per User), συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής.[207][208]
Kierkegaard,Patrick(2012).«Medical data breaches: Notification delayed is notification denied».Computer Law28(2): 163–183.doi:10.1016/j.clsr.2012.01.003.
Manworren,Nathan;Letwat,Joshua;Daily,Olivia(May 2016).«Why you should care about the Target data breach».Business Horizons59(3): 257–266.doi:10.1016/j.bushor.2016.01.002.ISSN0007-6813.
Meisner,Marta(2018-03-24).«Financial Consequences of Cyber Attacks Leading to Data Breaches in Healthcare Sector».Copernican Journal of Finance & Accounting6(3): 63.doi:10.12775/CJFA.2017.017.ISSN2300-3065.
Kannan,Karthik;Rees,Jackie;Sridhar,Sanjay(September 2007).«Market Reactions to Information Security Breach Announcements: An Empirical Analysis».International Journal of Electronic Commerce12(1): 69–91.doi:10.2753/jec1086-4415120103.ISSN1086-4415.
Cavusoglu,Huseyin;Mishra,Birendra;Raghunathan,Srinivasan(2004).«The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers».International Journal of Electronic Commerce9(1): 69–104.doi:10.1080/10864415.2004.11044320.
Cheng,Long;Liu,Fang;Yao,Dangfei(2017).«Enterprise data breach: causes, challenges, prevention, and future directions».WIREs Data Min. Knowl. Discov.7(5): e1211.doi:10.1002/widm.1211.
Το "Data Loss DatabaseΑρχειοθετήθηκε 2015-09-19 στο Archive-It" είναι ένα ερευνητικό έργο που στοχεύει στην τεκμηρίωση γνωστών και αναφερόμενων περιστατικών απώλειας δεδομένων παγκοσμίως.