Las 15 filtraciones de datos más grandes del siglo XXI
Las violaciones de datos que afectan a millones de usuarios son demasiado comunes. Estas son algunas de las infracciones más graves de los últimos tiempos.
En un mundo basado en datos, las filtraciones pueden afectar a cientos de millones, o incluso a miles de millones, de personas a la vez. La transformación digital ha aumentado el suministro de información en movimiento y las brechas se han incrementado a medida que los atacantes explotan estas oportunidades. Hablar de la magnitud de los ataques del futuro es pura especulación, pero he aquí una lista de las mayores filtraciones de este siglo según la cantidad de usuarios y cuentas afectadas y registros expuestos. También se distingue entre los incidentes en los que los datos se robaron activamente o se volvieron a publicar y aquellos en los que una organización dejó la información desprotegida y expuesta sin darse cuenta, pero no hubo evidencias de usos indebidos.
Yahoo
Se produjo en agosto de 2013 y tuvo impacto en 3.000 millones de cuentas. La compañía anunció por primera vez el incidente en diciembre de 2016. En ese momento, estaba en proceso de ser adquirida por Verizon. Yahoo declaró que la estimación revisada de usuarios afectados no representaba “nuevos problemas de seguridad” a pesar de que la cifra fue subiendo con los años. A pesar del ataque, se hizo el acuerdo con Verizon, aunque a un precio reducido. En ese momento, Chandra McMahon, CISO de Verizon tuvo que declarar que su compañía “está comprometida con los más altos estándares de responsabilidad y transparencia, y trabajamos de manera proactiva para garantizar la seguridad de nuestros usuarios y redes en un contexto de múltiples amenazas. Nuestra inversión en Yahoo permite al equipo continuar tomando medidas significativas para mejorar”. Después de la investigación se descubrió que, si bien los atacantes accedieron a información de las cuentas como preguntas y respuestas de seguridad, contraseñas de texto sin formato, los datos de tarjetas de pago y bancarios no fueron robados.
Aadhaar
En enero de 2018 se expuso la información biométrica de 1.100 millones de ciudadanos indios de esta empresa, que supone una de las bases de datos de identificación más grandes del mundo. También se incluyen nombres, direcciones, fotos, números de teléfono junto con las huellas dactilares y el iris. Pero, además, se convirtió en una brecha de crédito, ya que la lista, establecida por la Autoridad de Identificación Única de la India (UIDAI) en 2009, contenía información sobre cuentas bancarias conectadas con números únicos de 12 dígitos. Los ciberatacantes se infiltraron en la base de Aadhaar a través de la página web Indane, una compañía de servicios públicos de propiedad estatal y conectada a sistemas del gobierno a través de un interfaz de programación de aplicaciones que permitía recuperar información almacenada por otros software. Desafortunadamente, la API de Indane no tenía controles de acceso, por lo que sus datos eran vulnerables. Los ‘malo’ vendieron el acceso por solo siete dólares mediante un grupo de WhatsApp.
Alibaba
En noviembre de 2019 se revelaron más de 1.100 millones de datos de usuarios. Durante un período de ocho meses, un desarrollador que trabajaba para un comercializador afiliado extrajo datos de clientes, incluidos nombres de usuario y números de teléfono móvil, del sitio web de compras chino de Alibaba, Taobao, utilizando un software de rastreo que él creó. Parece que el desarrollador y su empleador recopilaban la información para su propio uso y no la vendían en el mercado negro, aunque ambos fueron condenados a tres años de prisión.
Un portavoz de Taobao dijo en un comunicado que la emrpesa dedica recursos sustanciales para combatir el raspado no autorizado en nuestra plataforma, ya que la privacidad y seguridad de los datos es de suma importancia. Hemos descubierto y abordado proactivamente este raspado no autorizado. "Continuaremos trabajando con las fuerzas del orden público para defender y proteger los intereses de nuestros usuarios y socios”.
El gigante de las redes profesionales LinkedIn vio datos asociados con 700 millones de sus usuarios publicados en un foro de la dark web en junio de 2021, lo que impactó a más del 90% de su base de usuarios. Un hacker con el apodo de 'Usuario de Dios' usó técnicas de extracción de datos al explotar la API del sitio (y de otros) antes de descargar un primer conjunto de datos de información de alrededor de 500 millones de clientes. Luego siguieron con un alarde de que estaban vendiendo la base de datos completa de 700 millones de clientes. Si bien LinkedIn argumentó que, dado que no se expusieron datos personales privados y confidenciales, el incidente fue una violación de sus términos de servicio en lugar de una violación de datos, una muestra de datos extraídos publicada por God User contenía información que incluía direcciones de correo electrónico, números de teléfono, registros de geolocalización, géneros y otros detalles de las redes sociales, lo que daría a los actores maliciosos una gran cantidad de datos para crear información convincente,advertido por el NCSC del Reino Unido.
Sina Weibo
Con más de 600 millones de usuarios, Sina Weibo es una de las plataformas de redes sociales más grandes de China. En marzo de 2020, la empresa anunció que un atacante obtuvo parte de su base de datos, lo que afectó a 538 millones de usuarios de Weibo y sus datos personales, incluidos nombres reales, nombres de usuario del sitio, sexo, ubicación y números de teléfono. Se informa que el atacante vendió la base de datos en la dark web por 250 dólares.
El Ministerio de Industria y Tecnología de la Información (MIIT) de China ordenó a Weibo que mejore sus medidas de seguridad de datos para proteger mejor la información personal y notificar a los usuarios y autoridades cuando ocurran incidentes de seguridad de datos. En un comunicado, Sina Weibo argumentó que un atacante había recopilado información publicada públicamente mediante el uso de un servicio destinado a ayudar a los usuarios a ubicar las cuentas de amigos de Weibo ingresando sus números de teléfono y que las contraseñas no se vieron afectadas. Sin embargo, admitió que los datos expuestos podrían usarse para asociar cuentas a contraseñas si las contraseñas se reutilizan en otras cuentas. La compañía dijo que fortaleció su estrategia de seguridad e informó los detalles a la autoridad correspondiente.
En abril de 2019, se reveló que dos conjuntos de datos de aplicaciones de Facebook habían sido expuestos a la Internet pública. La información se relacionaba con más de 530 millones de usuarios de Facebook e incluía números de teléfono, nombres de cuenta e ID de Facebook. Sin embargo, dos años después (abril de 2021), los datos se publicaron de forma gratuita, lo que indica una intención delictiva nueva y real en torno a los datos. De hecho, dada la gran cantidad de números de teléfono afectados y fácilmente disponibles en la web oscura como resultado del incidente, el investigador de seguridad Troy Hunt agregó funcionalidad a su sitio de verificación de credenciales violadas HaveIBeenPwned (HIBP) que permitiría a los usuarios verificar si su teléfono los números se habían incluido en el conjunto de datos expuesto.
"Nunca planeé hacer que los números de teléfono se pudieran buscar", escribió Hunt en una publicación de blog. “Mi posición sobre esto era que no tenía sentido por un montón de razones. Los datos de Facebook cambiaron todo eso. Hay más de 500 millones de números de teléfono, pero solo unos pocos millones de direcciones de correo electrónico, por lo que >99 % de las personas estaban fallando cuando deberían haber acertado".
Marriott Internacional (Starwood)
El hotel Marriot International anunció la exposición de detalles confidenciales pertenecientes a medio millón de huéspedes de Starwood luego de un ataque a sus sistemas en septiembre de 2018. En un comunicado publicado en noviembre del mismo año, el gigante hotelero dijo: “El 8 de septiembre de 2018, Marriott recibió una alerta de una herramienta de seguridad interna sobre un intento de acceder a la base de datos de reservas de huéspedes de Starwood. Marriott contrató rápidamente a los principales expertos en seguridad para ayudar a determinar qué ocurrió”.
Marriott se enteró durante la investigación que había habido acceso no autorizado a la red de Starwood desde 2014. “Marriott descubrió recientemente que una parte no autorizada había copiado y encriptado información y tomó medidas para eliminarla. El 19 de noviembre de 2018, Marriott pudo descifrar la información y determinó que el contenido provenía de la base de datos de reservas de huéspedes de Starwood”, agrega el comunicado.
Los datos copiados incluían nombres de huéspedes, direcciones postales, números de teléfono, direcciones de correo electrónico, números de pasaporte, información de cuenta de Starwood Preferred Guest, fechas de nacimiento, sexo, información de llegada y salida, fechas de reserva y preferencias de comunicación. Para algunos, la información también incluía números de tarjetas de pago y fechas de vencimiento, aunque aparentemente estaban encriptadas.
Marriot llevó a cabo una investigación asistida por expertos en seguridad luego de la violación y anunció planes para eliminar gradualmente los sistemas de Starwood y acelerar las mejoras de seguridad en su red. La compañía finalmente recibió una multa de 18,4 millones de libras (reducida de 99 millones) por parte del organismo rector de datos del Reino Unido, la Oficina del Comisionado de Información (ICO) en 2020 por no mantener seguros los datos personales de los clientes. Un artículo del New York Times atribuyó el ataque a un grupo de inteligencia chino que buscaba recopilar datos sobre ciudadanos estadounidenses.
Yahoo
Haciendo su segunda aparición en esta lista está Yahoo, que sufrió un ataque en 2014 diferente al de 2013 citado anteriormente. En esta ocasión, actores patrocinados por el estado robaron datos de 500 millones de cuentas, incluidos nombres, direcciones de correo electrónico, números de teléfono, contraseñas codificadas y fechas de nacimiento. La compañía tomó medidas correctivas iniciales en 2014, pero no fue hasta 2016 que Yahoo hizo públicos los detalles después de que una base de datos robada saliera a la venta en el mercado negro.
FriendFinder Network
El servicio de redes sociales para adultos The FriendFinder Network tenía datos de usuarios de 20 años en seis bases de datos robadas por ladrones cibernéticos en octubre de 2016. Dada la naturaleza confidencial de los servicios ofrecidos por la empresa, que incluyen sitios web de contenido para adultos y encuentros casuales. como Adult Friend Finder, Penthouse.com y Stripshow.com: la violación de datos de más de 414 millones de cuentas, incluidos nombres, direcciones de correo electrónico y contraseñas, tenía el potencial de ser particularmente condenatoria para las víctimas. Es más, la gran mayoría de las contraseñas expuestas se codificaron a través del algoritmo notoriamente débil SHA-1, y se estima que el 99 % de ellas fueron descifradas cuando LeakedSource.com publicó su análisis del conjunto de datos el 14 de noviembre de 2016.
MySpace
Aunque dejó de ser la potencia que alguna vez fue, el sitio de redes sociales MySpace llegó a los titulares en 2016 después de que 360 ??millones de cuentas de usuarios se filtraron en LeakedSource.com y se pusieron a la venta en el mercado de la web oscura The Real Deal con un precio de venta. de 6 bitcoin (alrededor de $ 3,000 en ese momento).
Según la empresa, los datos perdidos incluían direcciones de correo electrónico, contraseñas y nombres de usuario de “una parte de las cuentas que se crearon antes del 11 de junio de 2013 en la antigua plataforma de Myspace. Para proteger a nuestros usuarios, hemos invalidado todas las contraseñas de los usuarios de las cuentas afectadas creadas antes del 11 de junio de 2013 en la antigua plataforma de Myspace. A estos usuarios que regresen a Myspace se les pedirá que autentiquen su cuenta y que restablezcan su contraseña siguiendo las instrucciones”. Se cree que las contraseñas se almacenaron como hashes SHA-1 de los primeros 10 caracteres de la contraseña convertidos a minúsculas.
NetEase
NetEase, un proveedor de servicios de buzón de correo a través de 163.com y 126.com, sufrió una brecha en octubre de 2015 cuando las direcciones de correo electrónico y las contraseñas de texto sin formato relacionadas con 235 millones de cuentas estaban siendo vendidas por el proveedor del mercado de la web oscura DoubleFlag. NetEase ha sostenido que no se produjo ninguna filtración de datos y, hasta el día de hoy, HIBP afirma: "Si bien hay evidencia de que los datos en sí son legítimos (varios suscriptores de HIBP confirmaron que una contraseña que usan está en los datos), debido a la dificultad de verificar enfáticamente los datos chinos".
Experian
La subsidiaria de Experian, Court Ventures, fue víctima en 2013 cuando un hombre vietnamita la engañó para que le diera acceso a una base de datos que contenía 200 millones de registros personales haciéndose pasar por un investigador privado de Singapur. Los detalles de las hazañas de Hieu Minh Ngo solo salieron a la luz después de su arresto por vender información personal de residentes de EE. se declaró culpable de múltiples cargos, incluido el fraude de identidad, en el Tribunal de Distrito de EE. UU. para el Distrito de New Hampshire. El Departamento de Justicia declaró en ese momento que Ngo había ganado un total de dos millones de dólares por la venta de datos personales.
Con su segunda aparición en esta lista es LinkedIn, esta vez en referencia a una brecha que sufrió en 2012 cuando anunció que 6,5 millones de contraseñas no asociadas (hashes SHA-1 sin sal) habían sido robadas por atacantes y publicadas en un foro de piratas informáticos rusos. Sin embargo, no fue hasta 2016 que se reveló el alcance total del incidente. Se descubrió que el mismo pirata informático que vendía los datos de MySpace estaba ofreciendo las direcciones de correo electrónico y las contraseñas de alrededor de 165 millones de usuarios de LinkedIn por solo cinco bitcoins (alrededor de 2.000 dólares en ese momento). LinkedIn reconoció que se había enterado de la violación y dijo que había restablecido las contraseñas de las cuentas afectadas.
Dubsmash
En diciembre de 2018, el servicio de mensajes de video con sede en Nueva York, Dubsmash, tenía 162 millones de direcciones de correo electrónico, nombres de usuario, hash de contraseñas PBKDF2 y otros datos personales como fechas de nacimiento robadas, todo lo cual se puso a la venta en la web oscura de Dream Market. mercado el siguiente diciembre. La información se vendía como parte de un volcado recopilado que también incluía MyFitnessPal (más sobre eso a continuación), MyHeritage (92 millones), ShareThis, Armor Games y la aplicación de citas CoffeeMeetsBagel.
Dubsmash reconoció que se había producido la violación y la venta de información y brindó asesoramiento sobre el cambio de contraseña. Sin embargo, no indicó cómo ingresaron los atacantes ni confirmó cuántos usuarios se vieron afectados.
Adobe
A principios de octubre de 2013, Adobe informó que los piratas informáticos habían robado casi tres millones de registros de tarjetas de crédito de clientes encriptados y datos de inicio de sesión para un número indeterminado de cuentas de usuario. Días después, Adobe aumentó esa estimación para incluir identificaciones y contraseñas encriptadas para 38 millones de "usuarios activos". El bloguero de seguridad Brian Krebs luego informó que un archivo publicado solo unos días antes "parece incluir más de 150 millones de nombres de usuario y pares de contraseñas hash tomados de Adobe". Semanas de investigación mostraron que el hackeo también había expuesto nombres de clientes, contraseñas e información de tarjetas de crédito y débito. Un acuerdo en agosto de 2015 requería que Adobe pagara 1.100 millones de dólares en honorarios legales y una cantidad no revelada a los usuarios para resolver reclamos de violación de la Ley de registros de clientes y prácticas comerciales desleales. En noviembre de 2016, se informó que el monto pagado a los clientes fue de un millón de dólares.
