Pesquisa de site

As 72 maiores violações de dados de todos os tempos [atualizado em 2023]

A tendência crescente de violações de dados continua a aumentar e, como resultado, nunca houve um momento mais precário na história para lançar e manter um negócio de sucesso.

Para evitar a repetição de erros que resultam em roubo de dados, compilamos uma lista das 72 maiores violações de dados da história, que inclui as violações de dados mais recentes em fevereiro de 2022.

Como você verá, mesmo empresas de prestígio como Facebook, LinkedIn e Twitter são vulneráveis à tendência crescente de violações de dados.

Você também pode estar interessado em nossa lista das maiores violações de dados nos setores financeiro e de saúde.

As 72 maiores violações de dados classificadas por impacto

Cada uma das violações de dados revela os erros que levam à exposição de até milhões de registros de dados pessoais .

1. Violação de dados do CAM4

Data: Março de 2020

Impacto: 10,88 bilhões de registros.

O site de streaming de vídeo adulto CAM4 teve seu servidor Elasticsearch violado, expondo mais de 10 bilhões de registros.

Os registros violados incluíam as seguintes informações confidenciais:

  • Nomes completos
  • Endereços de e-mail
  • Orientação sexual
  • Transcrições de bate-papo
  • Transcrições de correspondência por e-mail
  • Hashes de senha
  • Endereços IP
  • Registros de pagamento

Muitos dos endereços de e-mail expostos estão vinculados a serviços de armazenamento em nuvem. Se os hackers lançassem ataques de phishing bem-sucedidos contra esses usuários, eles poderiam obter acesso mais profundo a fotos pessoais e informações comerciais.

Devido à conexão licenciosa do banco de dados violado, os usuários comprometidos podem ser vítimas de chantagem e tentativas de difamação por muitos anos.

Saiba mais sobre as principais opções de soluções de gerenciamento de risco de fornecedores no mercado >

2. Violação de dados do Yahoo (2017)

Data: Outubro de 2017

Impacto: 3 bilhões de contas

O Yahoo divulgou que uma violação em agosto de 2013 por um grupo de hackers comprometeu 1 bilhão de contas. Nesse caso, as perguntas e respostas de segurança também foram comprometidas, aumentando o risco de roubo de identidade. A violação foi relatada pela primeira vez pelo Yahoo durante as negociações para se vender para a Verizon, em 14 de dezembro de 2016. O Yahoo forçou todos os usuários afetados a alterar as senhas e a reinserir quaisquer perguntas e respostas de segurança não criptografadas para criptografá-las novamente.

No entanto, em outubro de 2017, o Yahoo mudou a estimativa para 3 bilhões de contas de usuários. Uma investigação revelou que as senhas dos usuários em texto não criptografado, dados de cartão de pagamento e informações bancárias não foram roubadas. No entanto, esta continua sendo uma das maiores violações de dados desse tipo na história.

3. Violação de dados do Aadhaar

Data: Março de 2018

Impacto: 1,1 bilhão de pessoas

Em março de 2018, tornou-se público que os dados pessoais de mais de um bilhão de cidadãos na Índia armazenados no maior banco de dados biométrico do mundo poderiam ser comprados online.

Essa violação massiva de dados foi o resultado de um vazamento de dados em um sistema executado por uma empresa estatal. A violação permitiu o acesso às informações privadas dos titulares do Aadhaar, expondo seus nomes, seus números de identidade exclusivos de 12 dígitos e seus dados bancários.

O tipo de informação exposta incluía fotografias, impressões digitais, varreduras de retina e outros detalhes de identificação de quase todos os cidadãos indianos.

>

4. Violação de dados do Alibaba

Data: Julho de 2022

Impacto: 1,1 bilhão de usuários

Em meados de 2022, a gigante chinesa de comércio eletrônico Alibaba sofreu uma grande violação de dados que continha dados de clientes, incluindo:

  • Nomes
  • Números de identificação
  • Números de telefone
  • Endereços físicos
  • Registros criminais
  • Artigos online

No total, mais de 23 terabytes de dados foram comprometidos pelos servidores de hospedagem em nuvem da Alilbaba, Alibaba Cloud, também o maior provedor de serviços de nuvem pública da China. A violação foi anunciada pela primeira vez por um hacker por meio de fóruns online, alegando ter dados sobre a força policial de Xangai, cujos dados também estavam hospedados no Alibaba Cloud. O Alibaba e seu fundador, Jack Ma, enfrentaram críticas massivas por deixar servidores críticos completamente desprotegidos sem bloqueio de senha, apesar de lidar com informações governamentais extremamente confidenciais.

Este não foi o primeiro incidente de violação de dados do Alibaba, pois apenas um ano antes, eles foram expostos por um desenvolvedor terceirizado que estava vasculhando o site de compras do Alibaba, TaoBao, em busca de dados do usuário. Mais uma vez, mais de um bilhão de usuários foram expostos e, apesar de uma sentença de prisão de três anos para o desenvolvedor e seu empregador, o Alibaba mostrou que eles continuaram a praticar segurança frouxa em 2022.

5. Primeira violação de dados da American Financial Corporation

Data: Maio de 2019

Impacto: 885 milhões de usuários

Em maio de 2019, a First American Financial Corporation vazou registros confidenciais de 885 milhões de usuários que datam de mais de 16 anos, incluindo registros de contas bancárias, números de previdência social, transações eletrônicas e outros documentos de hipoteca. O vazamento ocorreu por meio de um erro de configuração do site, permitindo que o público visualize informações confidenciais sem precisar de autenticação. Como os registros da First American eram sequenciais, qualquer pessoa poderia aumentar ou diminuir o número no URL para visualizar rapidamente os registros de outro cliente. Apesar do vazamento maciço, não houve relatos de informações de clientes sendo roubadas e usadas para fins maliciosos.

Saiba como responder à vulnerabilidade Fortigate SSL VPN >

6. Verifications.io Violação de Dados

Data: Fevereiro de 2019

Impacto: 763 milhões de usuários

Em fevereiro de 2019, o serviço de validação de endereço de e-mail verifications.io expôs 763 milhões de endereços de e-mail exclusivos em uma instância do MongoDB que foi deixada publicamente sem senha. Muitos registros também incluíam nomes, números de telefone, endereços IP, datas de nascimento e gêneros.

7. Violação de dados do LinkedIn (2021)

Data: Junho de 2021

Impacto: 700 milhões de usuários

Os dados associados a 700 milhões de usuários do LinkedIn foram postados para venda em um fórum da Dark Web em junho de 2021. Essa exposição impactou 92% da base total de usuários do LinkedIn de 756 milhões de usuários.

Os dados foram despejados em duas ondas, inicialmente expondo 500 milhões de usuários e, em seguida, um segundo despejo em que o hacker "God User" se gabou de estar vendendo um banco de dados de 700 milhões de LinkedIn.

Visualização dos dados vazados - Fonte: 9to5mac.com

Os hackers publicaram uma amostra contendo 1 milhão de registros para confirmar a legitimidade da violação. Os dados incluíram o seguinte:

  • Endereços de e-mail
  • Nomes completos
  • Números de telefone
  • Registros de geolocalização
  • URLs de nome de usuário e perfil do LinkedIn
  • Experiência pessoal e profissional
  • Gêneros
  • Outras contas e detalhes de mídia social

O hacker raspou os dados explorando a API do LinkedIn.

O LinkedIn alega que, como as informações pessoais não foram comprometidas, esse evento não foi uma 'violação de dados, mas apenas uma violação de seus termos de serviço por meio de coleta de dados proibida.

Saiba mais sobre a diferença entre uma violação de dados e um vazamento de dados >

Mas os dados vazados são suficientes para lançar uma enxurrada de ataques cibernéticos direcionados a usuários expostos, o que torna o incidente fortemente ponderado em direção a uma classificação de violação de dados.

8. Violação de dados do Facebook (2019)

Data: Abril de 2019

Impacto: 533 milhões de usuários

Em abril de 2019, a equipe do UpGuard Cyber Risk revelou que dois conjuntos de dados de aplicativos de terceiros do Facebook foram expostos à Internet pública. Um deles, originário da empresa de mídia mexicana Cultura Colectiva, pesa 146 gigabytes e contém mais de 533 milhões de registros detalhando comentários, curtidas, reações, nomes de contas, IDs do FB e muito mais. Esse mesmo tipo de coleta, de forma igualmente concentrada, tem sido motivo de preocupação no passado recente, dados os usos potenciais de tais dados. Leia mais sobre essa violação de dados do Facebook aqui.

Esse banco de dados vazou na dark web gratuitamente em abril de 2021, adicionando uma nova onda de exposição criminosa aos dados originalmente exfiltrados em 2019. Isso torna o Facebook uma das empresas recentemente hackeadas em 2021 e, portanto, uma das maiores empresas a serem hackeadas em 2021.

Todos os 533.000.000 de registros do Facebook vazaram de graça.

Isso significa que, se você tiver uma conta no Facebook, é extremamente provável que o número de telefone usado para a conta tenha vazado.

Ainda não vi o Facebook reconhecendo essa negligência absoluta de seus dados. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8

9. Violação de dados do Yahoo (2014)

Data: 2014

Impacto: 500 milhões de contas

O Yahoo acreditava que um "ator patrocinado pelo Estado" estava por trás desse ataque cibernético inicial em 2014. Os dados roubados incluíam informações pessoais, como nomes, endereços de e-mail, números de telefone, senhas com hash, datas de nascimento e perguntas e respostas de segurança, algumas das quais não criptografadas. O Yahoo tomou conhecimento dessa violação em 2014, tomando algumas ações corretivas iniciais, mas não investigando mais. Foi apenas cerca de dois anos depois que o Yahoo divulgou publicamente a violação depois que um banco de dados roubado da empresa supostamente foi colocado à venda no mercado negro.

Conheça as principais soluções de gerenciamento de riscos de terceiros do mercado >

10. Violação de dados da Starwood (Marriott)

Data: Novembro de 2018

Impacto: 500 milhões de visitantes

Em novembro de 2018, a Marriott International anunciou que hackers haviam roubado dados sobre aproximadamente 500 milhões de clientes de hotéis Starwood. Os invasores obtiveram acesso não autorizado ao sistema Starwood em 2014 e permaneceram no sistema depois que a Marriott adquiriu a Starwood em 2016. No entanto, a descoberta não foi feita até 2018.

As informações expostas incluíam nomes, informações de contato, número do passaporte, números de Starwood Preferred Guest, informações de viagem e outras informações pessoais. A Marriott acredita que informações financeiras, como números de cartão de crédito e débito e datas de validade de mais de 100 milhões de clientes, foram roubadas, embora a empresa não tenha certeza se os invasores conseguiram descriptografar os números de cartão de crédito.

De acordo com o New York Times, a violação acabou sendo atribuída a um grupo de inteligência chinês, o Ministério da Segurança do Estado, que buscava coletar dados sobre cidadãos americanos. Se for verdade, esta seria a maior violação conhecida de dados pessoais conduzida por um estado-nação.

11. Violação de dados do localizador de amigos adultos

Data: Outubro de 2016

Impacto: 412,2 milhões de contas

Em outubro de 2016, hackers coletaram 20 anos de dados em seis bancos de dados que incluíam nomes, endereços de e-mail e senhas da The AdultFriendFinder Network. A Rede FriendFinder inclui sites como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.com.

A maioria das senhas era protegida apenas pelo fraco algoritmo de hash SHA-1, o que significava que 99% delas haviam sido quebradas no momento em que LeakedSource.com publicou sua análise de todo o conjunto de dados em 14 de novembro.

12. Violação de dados do MySpace

Data: Junho de 2013

Impacto: 360 milhões de contas

Em junho de 2013, cerca de 360 milhões de contas do MySpace foram comprometidas por um hacker russo, mas o incidente não foi divulgado publicamente até 2016. As informações que vazaram incluíam informações da conta, como nome listado do proprietário, nome de usuário e data de nascimento. Entre 2013 e 2016, qualquer pessoa que obtivesse acesso a essas informações violadas poderia ter assumido qualquer conta do Myspace. Desde então, o ex-gigante da rede de mídia social invalidou todas as senhas pertencentes a contas que foram configuradas antes de 2013.

13. Violação de dados da Exactis

Data: Junho de 2018

Impacto: 340 milhões de pessoas

Em junho de 2018, a empresa de marketing e agregação de dados Exactis, com sede na Flórida, expôs um banco de dados contendo quase 340 milhões de registros em um servidor acessível ao público. A violação expôs informações altamente pessoais, como números de telefone das pessoas, endereços residenciais e de e-mail, interesses e número, idade e sexo de seus filhos. Essa exposição de dados foi descoberta pelo especialista em segurança Vinny Troia, que indicou que a violação incluía dados de centenas de milhões de adultos e milhões de empresas dos EUA.

14. Violação de dados do Twitter (2018)

Data: Maio de 2018

Impacto: 330 milhões de usuários

Em maio de 2018, o gigante da mídia social Twitter notificou os usuários sobre uma falha que armazenava senhas desmascaradas em um log interno, tornando todas as senhas de usuários acessíveis à rede interna. O Twitter disse a seus 330 milhões de usuários para alterar suas senhas, mas a empresa disse que corrigiu o bug e que não havia indicação de violação ou uso indevido, mas encorajou a atualização da senha como precaução. O Twitter não divulgou quantos usuários foram afetados, mas indicou que o número de usuários era significativo e que eles foram expostos por vários meses.

15. Violação de dados da NetEase

Data: Outubro de 2015

Impacto: 234 milhões de usuários

Em outubro de 2015, a NetEase (localizada em 163.com) sofreu uma violação de dados que afetou centenas de milhões de assinantes. Embora haja evidências para dizer que os dados são legítimos (muitos usuários confirmaram suas senhas nos dados), é difícil verificar enfaticamente.

A violação continha endereços de e-mail e senhas de texto simples.

16. Violação de dados do Sociallarks

Data: Janeiro de 2021

Impacto: 200 milhões de registros

Sociallarks, uma agência de mídia social chinesa em rápido crescimento, sofreu um vazamento monumental de dados em 2021 por meio de seu banco de dados ElasticSearch não seguro.

O servidor do Sociallarks não era protegido por senha, não era criptografado e era um ativo exposto publicamente. Essa combinação letal significava que qualquer pessoa com conhecimento do endereço IP do servidor poderia acessar os dados confidenciais vazados, e foi exatamente isso que aconteceu.

O banco de dados violado armazenou os dados raspados de mais de 200 milhões de usuários do Facebook, Instagram e Linkedin.

Os dados expostos incluíram:

  • Nomes
  • Números de telefone
  • Endereços de e-mail
  • Descrições de perfil
  • Dados de seguidores e engajamento
  • Locais
  • Links de perfil do LinkedIn
  • Nomes de login de contas de mídia social conectadas

17. Violação de dados de análise de raiz profunda

Data: junho de 2017

Impacto: 200 milhões de eleitores dos EUA

Os registros de 200 milhões de eleitores foram acessados pela Deep Root Analytics, uma empresa que trabalha em nome do Comitê Nacional Republicano (RNC).

Os dados consistiam em 1,1 terabytes de informações de identificação pessoal (PII) do eleitor, incluindo nomes, endereços e datas de nascimento.

Os dados acessados também continham uma análise abrangente dos eleitores com base na atividade de postagem do Reddit, que poderia ser usada para prever como alguém votaria em uma questão específica.

O banco de dados violado foi descoberto pela equipe da UpGuard Cyber Research.

18. Violação de dados da Court Ventures

Data: outubro de 2013

Impacto: 200 milhões de registros pessoais

A Court Ventures, uma subsidiária da empresa de monitoramento de cartão de crédito Experian, foi violada, expondo 200 milhões de registros pessoais.

O hacker administrava uma empresa que vendia informações de identificação pessoal e vendia os números de cartão de crédito e de previdência social que havia acessado na violação.

A penetração foi alcançada pelo hacker se passando por um investigador particular de Cingapura e convencendo a equipe a abrir mão do acesso ao banco de dados interno.

A Experian sofreu outra violação em 2020, quando um agente de ameaças que afirmava ser cliente da Experian convenceu a equipe a abrir mão das informações do cliente para fins de marketing.

Esses eventos renderam à Experian a reputação de sofrer uma das maiores violações de dados no setor de serviços financeiros.

19. Violação de dados do LinkedIn

Data: Junho de 2012

Impacto: 165 milhões de usuários

Em junho de 2012, o LinkedIn divulgou que havia ocorrido uma violação de dados, mas as notificações de redefinição de senha na época indicavam que apenas 6,5 milhões de contas de usuários haviam sido afetadas. O LinkedIn nunca confirmou o número real e, em 2016, descobrimos o porquê: 165 milhões de contas de usuários foram comprometidas, incluindo 117 milhões de senhas que foram criptografadas, mas não "salgadas" com dados aleatórios para torná-las mais difíceis de reverter.

Essa revelação levou outros serviços a vasculhar seus dados do LinkedIn e forçar seus próprios usuários a alterar todas as senhas que correspondessem (parabéns à Netflix por assumir a liderança nesta). Ficou sem resposta por que o LinkedIn não investigou mais a fundo a violação original, ou informou mais de 100 milhões de usuários afetados, nos quatro anos seguintes.

20. Violação de dados do Dubsmash

Data: Dezembro de 2018

Impacto: 162 milhões de usuários

Em dezembro de 2018, a Dubmash sofreu uma violação de dados que expôs 162 milhões de endereços de e-mail exclusivos, nomes de usuário e hashes de senha DBKDF2. Em 2019, esses dados apareceram à venda em um mercado da dark web, onde os dados roubados geralmente são vendidos com a moeda Bitcoin.

21. Violação de dados da Adobe

Data: Outubro de 2013

Impacto: 152 milhões

Em outubro de 2013, 153 milhões de contas da Adobe foram violadas. A violação de dados continha um ID interno, nome de usuário, e-mail, senha criptografada e dica de senha em texto simples. A criptografia era fraca e muitos foram rapidamente resolvidos de volta ao texto simples, as dicas de senha aumentaram os danos, tornando mais fácil adivinhar as senhas de muitos usuários.

22. Violação de dados do MyFitnessPal

Data: Fevereiro de 2018

Impacto: 150 milhões de usuários

Em fevereiro de 2018, o aplicativo de dieta e exercícios MyFitnessPal (de propriedade da Under Armour) sofreu uma violação de dados, expondo 144 milhões de endereços de e-mail exclusivos, endereços IP e credenciais de login, como nomes de usuário e senhas armazenados como SHA-1 e hashes bcrypt (o primeiro para contas anteriores, o último para contas mais recentes). Em 2019, esses dados confidenciais apareceram listados para venda em um mercado da dark web e começaram a circular de forma mais ampla, por isso foram identificados e fornecidos ao site de segurança de dados Have I Been Pwned.

23. Violação de dados da Equifax

Data: setembro de 2017

Impacto: 148 milhões de pessoas

Em setembro de 2017, a Equifax, uma das três maiores agências de relatórios de crédito ao consumidor dos Estados Unidos, anunciou que seus sistemas haviam sido violados e os dados pessoais confidenciais de 148 milhões de americanos haviam sido comprometidos. Os dados comprometidos incluíam nomes, endereços residenciais, números de telefone, datas de nascimento, números de previdência social e números de carteira de motorista. As informações do cartão de crédito de aproximadamente 209.000 consumidores também foram expostas por meio dessa violação de dados. A sensibilidade das informações processadas pela Equifax torna essa violação sem precedentes e uma das maiores violações de dados até o momento.

24. Violação de dados do eBay

Data: Fevereiro/Março de 2014

Impacto: 145 milhões de usuários

Entre fevereiro e março de 2014, o eBay foi vítima de uma violação de senhas criptografadas, o que resultou em pedir a todos os seus 145 milhões de usuários que redefinissem suas senhas. Os invasores usaram um pequeno conjunto de credenciais de funcionários para acessar esse tesouro de dados do usuário. As informações roubadas incluíam senhas criptografadas e outras informações pessoais, incluindo nomes, endereços de e-mail, endereços físicos, números de telefone e datas de nascimento. A violação foi divulgada em maio de 2014, após uma investigação de um mês pelo eBay.

25. Violação de dados do Canva

Data: Maio de 2019

Impacto: 137 milhões de usuários

Em maio de 2019, a empresa australiana Canva - uma ferramenta de design gráfico online - sofreu uma violação de dados que afetou 137 milhões de usuários. Os dados expostos incluíam endereços de e-mail, nomes, nomes de usuário, cidades e senhas armazenadas como hashes bcrypt.

O(s) suspeito(s) culpado(s) - Gnosticplayers - entrou em contato com a ZDNet para se gabar do incidente, dizendo que o Canva havia detectado e corrigido a ameaça cibernética que causou a violação de dados. O invasor também alegou ter obtido tokens de login OAuth para usuários que fizeram login via Google.

O Canva confirmou o incidente, notificou os usuários e solicitou que eles alterassem as senhas e redefinissem os tokens OAuth. Este evento foi uma das maiores violações de dados na Austrália.

26. Violação de dados da Heartland Payment Systems

Data: Março de 2008

Impacto: 134 milhões de cartões de crédito expostos

No momento da violação, a Heartland estava processando mais de 100 milhões de transações com cartão de crédito por mês para 175.000 comerciantes. A violação foi descoberta pela Visa e MasterCard em janeiro de 2009, quando a Visa e a MasterCard notificaram a Heartland sobre transações suspeitas. Os invasores exploraram uma vulnerabilidade conhecida para realizar um ataque de injeção de SQL.

A empresa pagou cerca de US$145 milhões em compensação por pagamentos fraudulentos.

27. Violação de dados da Apollo

Data: Julho de 2018

Impacto: 126 milhões de usuários

Em julho de 2018, a Apollo deixou um banco de dados contendo bilhões de pontos de dados expostos publicamente. Um subconjunto dos dados foi enviado para Have I Been Pwned, que tinha 126 milhões de endereços de e-mail exclusivos. O conjunto de dados completo incluía informações de identificação pessoal (PII), como nomes, endereços de e-mail, local de trabalho, funções desempenhadas e localização.

28. Violação de dados do Badoo

Data: Julho de 2013

Impacto: 112 milhões de usuários

Em junho de 2013, descobriu-se que uma violação de dados supostamente originada do site social Badoo circulou. A violação continha 112 milhões de endereços de e-mail exclusivos e PII, como nomes, datas de nascimento e senhas armazenadas como hashes MD5.

29. Violação de dados da Capital One

Data: Julho de 2013

Impacto: 106 milhões de números de cartão de crédito

Em julho de 2013, a Capital One identificou uma violação de segurança de seus registros de clientes que expôs as informações pessoais de seus clientes, incluindo dados de cartão de crédito, números de previdência social e números de contas bancárias.

30. Evite a violação de dados

Data: Agosto de 2013

Impacto: 101 milhões de usuários

Em abril de 2019, o Evite, um site de planejamento social e convites, identificou uma violação de dados de 2013. Os dados expostos incluíam 101 milhões de endereços de e-mail exclusivos, bem como números de telefone, nomes, endereços físicos, datas de nascimento, gêneros e senhas armazenadas em texto simples.

31. Violação de dados do Quora

Data: Dezembro de 2018

Impacto: 100 milhões de usuários

O Quora, um site popular para perguntas e respostas, sofreu uma violação de dados em 2018 e expôs os dados pessoais de até 100 milhões de usuários.

Os tipos de dados vazados incluíam informações pessoais, como nomes, endereços de e-mail, senhas criptografadas, contas de usuário vinculadas ao Quora e perguntas e respostas públicas postadas pelos usuários. Não foram descobertas evidências de que perguntas e respostas postadas anonimamente foram afetadas pela violação.

32. Violação de dados VK

Data: Janeiro de 2012

Impacto: 93 milhões de usuários

O site de mídia social russo VK foi hackeado e expôs 93 milhões de nomes, números de telefone, endereços de e-mail e senhas de texto simples.

33. Violação de dados do MyHeritage

Data: Junho de 2018

Impacto: 92 milhões de usuários

MyHeritage, um site de serviço genealógico, foi comprometido, afetando mais de 92 milhões de contas de usuários. A violação ocorreu em outubro de 2017, mas não foi divulgada até junho de 2018. Um pesquisador de segurança descobriu um arquivo em um servidor privado contendo endereços de e-mail e senhas criptografadas. A equipe de segurança do MyHeritage confirmou que o conteúdo do arquivo afetou os 92 milhões de usuários, mas não encontrou evidências de que os dados tenham sido usados pelos invasores. O MyHeritage recebeu elogios por investigar e divulgar prontamente os detalhes da violação ao público.

34. Violação de dados Youku

Data: Dezembro de 2016

Impacto: 92 milhões de usuários

Youku, um serviço de vídeo chinês, expôs 92 milhões de contas de usuário exclusivas e hashes de senha MD5.

35. Violação de dados do Rambler

Data: Março de 2014

Impacto: 91 milhões de usuários

Um despejo de 91 milhões de contas do Rambler ("Yahoo russo") foi negociado online contendo nomes de usuário (que fazem parte de um e-mail do Rambler) e senhas de texto simples.

36. Violação de dados do Facebook (2018)

Data: início de 2018 (foi quando um denunciante da Cambridge Analytica divulgou a história)

Impacto: 87 milhões de usuários

Embora seja um tipo ligeiramente diferente de violação de dados, pois as informações não foram roubadas do Facebook, o incidente que afetou 87 milhões de contas do Facebook representou o uso de informações pessoais para fins que os usuários afetados não apreciaram. A Cambridge Analytica era uma empresa de análise de dados contratada por partes interessadas políticas, incluindo funcionários da eleição de Trump e campanhas pró-Brexit. A Cambridge Analytica adquiriu dados de Aleksandr Kogan, cientista de dados da Universidade de Cambridge, que os coletou usando um aplicativo chamado "This Is Your Digital Life". Um dos elementos mais controversos dessa violação foi que os usuários não apreciaram ou consentiram com o uso político de dados de um aplicativo de estilo de vida aparentemente inócuo.

Os pesquisadores da UpGuard também descobriram e divulgaram uma violação relacionada da AggregateIQ, uma empresa canadense com laços estreitos com a Cambridge Analytica. Detalhes sobre essas descobertas podem ser encontrados em nossa série de violações de QI agregado (parte 1, parte 2, parte 3 e parte 4).

37. Violação de dados do Dailymotion

Data: Outubro de 2016

Impacto: 85 milhões de usuários

Em outubro de 2016, o Dailymotion, uma plataforma de compartilhamento de vídeo, expôs mais de 85 milhões de contas de usuários, incluindo e-mails, nomes de usuário e hashes bcrypt de senhas.

38. Violação de dados do Anthem

Data: Fevereiro de 2015

Impacto: roubo de até 78,8 milhões de clientes atuais e antigos

Em fevereiro de 2015, um único usuário de uma subsidiária da Anthem clicou em um e-mail de phishing que deu aos invasores acesso a:

  • Nomes
  • Endereços
  • Datas de nascimento
  • Histórias de emprego
  • Números de segurança social
  • Números de identificação de saúde

O ataque também afetou outras marcas por meio da rede Anthem, incluindo Blue Cross, Blue Shield, Amerigroup, Caremore e Unicare. A violação não foi descoberta e detectada por semanas, enquanto os hackers roubavam informações dos servidores da Anthem. Embora os dados não precisassem ser criptografados, a Anthem ainda enfrentou uma reação negativa por não proteger os dados do usuário.

Em 2017, a Anthem pagou um recorde de US$115 milhões como parte de um acordo histórico de ação coletiva em uma das maiores violações de dados de saúde de todos os tempos. Além disso, a Anthem também fez um acordo com o Departamento de Saúde e Serviços Humanos (HHS) por US$16 milhões por não implementar medidas apropriadas para detectar hackers e atividades de rede não autorizadas.

39. Violação de dados do Dropbox

Data: meados de 2012

Impacto: 69 milhões de usuários

Em meados de 2012, o Dropbox sofreu uma violação de dados que expôs 68 milhões de registros que continham endereços de e-mail e hashes salgados de senhas (metade SHA1, metade bcrypt).

40. Violação de dados do tumblr

Data: Fevereiro de 2013

Impacto: 66 milhões de usuários

Em fevereiro de 2013, o tumblr sofreu uma violação de dados que expôs 65 milhões de contas. A violação incluiu endereços de e-mail e hashes de senha SHA1 salgados.

41. Violação de dados do Uber

Data: Final de 2016

Impacto: informações pessoais de 57 milhões de usuários do Uber e 600.000 motoristas expostos.

No final de 2016, o Uber soube que dois hackers conseguiram acessar os nomes, endereços de e-mail e números de telefone celular de 57 milhões de usuários do aplicativo Uber. Eles também obtiveram os números da carteira de motorista de 600.000 motoristas do Uber. Além disso, os hackers conseguiram acessar a conta do Uber no GitHub, onde encontraram as credenciais do Uber na Amazon Web Services.

42. A violação de dados da Home Depot

Data: Setembro de 2014

Impacto: Exposição das informações de cartão de crédito de 56 milhões de clientes

A Home Depot anunciou que seus sistemas POS (ponto de venda) foram infectados com um malware personalizado, que se passou por software antivírus, afetando clientes de todos os EUA e Canadá. Após investigação, a polícia cibernética descobriu que os cibercriminosos provavelmente violaram os servidores da Home Depot por meio de um fornecedor terceirizado, o que lhes permitiu roubar informações de pagamento sem serem detectados por quase cinco meses.

Após o ataque e os danos que resultaram em mais de US$180 milhões, a Home Depot prometeu investir em segurança cibernética para proteger melhor os dados financeiros confidenciais. A maioria dos danos incluiu pagamentos a indivíduos afetados, empresas de cartão de crédito, bancos e ações judiciais.

43. Violação de dados da TJX Companies Inc.

Data: Julho de 2005

Impacto: 45,6 milhões de números de cartão

A TJX, proprietária de várias marcas de varejo, teve um de seus sistemas de pagamento violado, expondo mais de 45 milhões de números de cartões de crédito e débito. Os dados foram guarnecidos em várias ondas de violações

As violações ocorreram em várias ocasiões, desde julho de 2005 até janeiro de 2007.

A TJX alegou que os nomes e endereços associados a cada número de cartão roubado não foram expostos na violação.

44. Violação de dados alvo

Data: Novembro de 2013

Impacto: 32 milhões de usuários.

A Target foi comprometida por meio de uma violação de dados de terceiros. O vetor de ataque era um portal usado para compartilhar dados com fornecedores terceirizados. Este portal criou um caminho para a rede da Target, levando ao comprometimento. de mais de 41 milhões de números de cartão de crédito e débito.

A Target recebeu várias multas, incluindo uma ação coletiva de US$19 milhões.

45. Violação de dados do Ashley Madison

Data: Julho de 2015

Impacto: 32 milhões de usuários.

O grupo de hackers identificado como Impact Team comprometeu 35 milhões de registros de usuários do site de trapaça Ashley Madison.

Os hackers exigiram que a empresa-mãe Avid Life Media fechasse o Ashley Madison e o site irmão Established Men dentro de 30 dias para evitar a publicação de registros comprometidos.

A Avid Life Media não cumpriu, o que resultou em onda após onda de despejos de dados categorizados no Pastebin. A lista de usuários expostos incluía membros das forças armadas e do governo.

Os seguintes registros foram incluídos nos dados acessados:

  • Sete anos de histórico de pagamentos com cartão de crédito
  • Nomes completos
  • Endereços residenciais
  • Endereços de e-mail
  • Descrições do que os membros estavam procurando

A Impact Team alegou que a violação foi fácil de alcançar, com pouca ou nenhuma segurança para contornar.

Leia o artigo de notícias da Wired sobre este evento >

46. Violação de dados do LastPass

Data: agosto de 2022

Impacto potencial: 30 milhões de usuários.

Em um ataque persistente avançado bem planejado, que envolveu contornar medidas de segurança complexas como MFA, os hackers comprometeram o laptop de um engenheiro de DevOps do LastPass para obter acesso aos cofres pessoais do cliente. O incidente afetou potencialmente 30 milhões de usuários do LastPass, questionando a eficácia das medidas de segurança da informação da empresa.

Saiba mais sobre a violação de dados do LastPass >

47. Violação de dados do Plex

Data: agosto de 2022

Impacto: 20 milhões de usuários

A plataforma de streaming Plex sofreu uma violação de dados que afetou a maioria de seus usuários, aproximadamente 20 milhões. Os seguintes tipos de informações confidenciais foram comprometidos no ataque cibernético:

  • Nomes de usuário
  • Endereços de e-mail
  • Senhas

Em um e-mail para seus usuários, a Plex garantiu a seus usuários que todas as senhas comprometidas foram criptografadas e protegidas de acordo com as melhores práticas de segurança cibernética.

Leia o artigo de notícias do TechCrunch sobre o evento >

48. Violação de dados da Bonobos

Data: Janeiro de 2021

Impacto: 12,3 milhões de registros

A loja de roupas masculinas Bonobos sofreu uma violação de dados em 2021 depois que um cibercriminoso comprometeu seu servidor de backup contendo dados de clientes.

Foram acessadas as seguintes categorias de dados, totalizando 12,3 milhões:

  • 7 milhões de registros de endereços de entrega
  • 1,8 milhão de registros de informações de contas
  • 3,5 milhões de registros parciais de cartão de crédito.

Este banco de dados não estava conectado aos dados privados de Bonobo, que foram isolados para proteção. Mas os agentes de ameaças ainda podem explorar as informações roubadas.

Depois que os dados roubados foram despejados em um fórum de hackers, um agente de ameaças alegou ter descoberto 158.000 senhas SHA-256 com hash. Mas as senhas restantes com hash com SHA-512 não puderam ser quebradas.

49. Grande violação de dados da MGM

Data: fevereiro de 2020

Impacto: 10,6 milhões de clientes.

Os hackers obtiveram acesso a mais de 10 milhões de registros de convidados do MGM Grand. Os registros expuseram as informações de contato de ex-hóspedes do hotel, incluindo Justin Bieber, o CEO do Twitter, Jack Dorsey, e funcionários do governo.

A MGM Grand garante que nenhum dado financeiro ou de senha foi exposto na violação.

50. Violação de dados da Optus

Data: setembro de 2022

Impacto: 9,8 milhões de clientes.

Os cibercriminosos ganharam acesso à rede interna da Optus, obtendo acesso a um banco de dados de clientes pertencentes a até 9,8 milhões de clientes. Os dados comprometidos, datados de 2017, incluíam os seguintes tipos de informações:

  • Nomes
  • Datas de nascimento
  • Números de telefone
  • Endereços de e-mail

Os subconjuntos de dados também incluem endereços, carteiras de motorista e números de passaporte.

Especula-se que o grupo cibercriminoso obteve acesso por meio de um endpoint de API não autorizado, o que significa que um usuário/senha ou qualquer outro método de autenticação não era necessário para se conectar à API.

Os supostos detalhes da violação de dados da Optus, conforme revelado por um cibercriminoso que reivindica a responsabilidade - Fonte: Twitter - Jeremy Kirk.

Saiba mais sobre a violação de dados da Optus >

51. Violação de dados do Medibank

Data: Novembro de 2022

Impacto: 9,7 milhões de registros.

Usando credenciais privilegiadas roubadas adquiridas na dark web, um cibercriminoso obteve acesso aos sistemas internos do Medibank. Depois de localizar os recursos confidenciais de dados de clientes da empresa, os hackers implantaram um script para automatizar o processo de roubo de dados. Quando a exfiltração foi concluída, 200 GB de dados de clientes foram roubados do Medibank, impactando 9,7 milhões de clientes.

Os registros comprometidos incluíram:

  • Nomes
  • Datas de nascimento
  • Números de passaporte
  • Informações sobre reivindicações do Medicare

Saiba mais sobre a violação de dados do Medicare >

52. Violação de dados da Easyjet

Data: Maio de 2020

Impacto: 9 milhões de clientes.

Um ataque cibernético altamente sofisticado expôs os dados de 9 milhões de clientes da easyJet.

Os dados acessados na violação incluíam detalhes da viagem, endereços de e-mail, bem como os detalhes completos do cartão de crédito de 2.208 clientes.

Como as informações do cartão de crédito do cliente vazaram, esse ataque cibernético expõe a violação do Regulamento Geral de Proteção de Dados da Easyjet, o que pode resultar em uma multa de até 4% de seu faturamento anual global.

53. Violação de dados 123RF

Data: novembro de 2020

Impacto: 8,3 milhões de registros

8,3 milhões de registros de banco de dados do popular vendedor de fotos e imagens vetoriais 123RF foram copiados e postados para vendas em um fórum de hackers.

Os dados comprometidos incluíam:

  • Números de telefone
  • Endereços
  • PayPal e-mail
  • Endereços IP
  • Senhas com hash MD5.

O ImagineGroup (proprietário do 123RF) garantiu que nenhuma informação financeira foi acessada na violação e que todas as senhas de usuários foram criptografadas.

No entanto, os investigadores de violação de dados BleepingComputer conseguiram converter com sucesso as senhas com hash de várias contas em texto simples usando ferramentas de cracking MD5 online.

Embora essa violação não tenha exposto diretamente as informações financeiras, se os usuários comprometidos reciclarem suas senhas do PayPal ao se inscreverem no 123RF, eles correm um alto risco de sofrer roubo financeiro.

54. Violação de dados do Twitch

Data: Outubro de 2021

Impacto: 7 milhões de usuários (potencialmente)

A Twitch, uma empresa de propriedade da Amazon, sofreu uma violação de quase toda a sua base de código. O impacto exato dos incidentes não foi confirmado, mas dada a profundidade do comprometimento, tem o potencial de impactar todos os usuários do Twitch.

125 GB de dados confidenciais foram postados por meio de um link de torrent no fórum anônimo 4chan.

Os vazamentos de dados confidenciais incluem:

  • A totalidade do código-fonte do Twitch.
  • Três anos de relatórios de pagamento para criadores (incluindo criadores de alto perfil).
  • Todas as propriedades do Twitch (incluindo IGDB e CurseForge).
  • Código relacionado a SDKs proprietários e serviços internos da AWS usados pela Twitch.
  • A identidade de um concorrente inédito do Steam da Amazon Game Studios - "Vapor "
  • As 'ferramentas de equipe vermelha' internas do Twitch, usadas por equipes de segurança interna para exercícios de treinamento de ataques cibernéticos.

Embora o Twitch tenha admitido em seu comunicado que um subconjunto de dados de pagamento do criador também foi acessado, a empresa garante que o número do cartão de crédito e as informações bancárias não foram comprometidos.

A vulnerabilidade de segurança que possibilitou a violação foi uma alteração na configuração do servidor que permitiu o acesso não autorizado de terceiros. Isso agora foi remediado.

A maioria dos cibercriminosos publica dados roubados para venda após uma violação, mas o cibercriminoso não identificado - que provavelmente estava usando um servidor proxy - não estava interessado em ganhos monetários. Em vez disso, seu objetivo era chamar uma interrupção em massa para dar um soco no Twitch por promover uma comunidade tóxica de usuários.

55. Violação de dados da Marriott

Data: Março de 2020

Impacto: 5,2 milhões de visitantes

A Marriott mais uma vez foi vítima de mais uma violação de recorde de hóspedes. Em 31 de março, a empresa anunciou que até 5,2 milhões de registros foram comprometidos. Alguns dos registros acessados incluem

Embora a lista exata de registros violados ainda não tenha sido conformada, acredita-se que os seguintes registros de hóspedes foram comprometidos:

  • Endereço eletrônico
  • Endereços de e-mail
  • Números de telefone
  • Nomes de empresas
  • Gênero
  • Datas de nascimento
  • Preferências de acomodação
  • Preferências de idioma
  • Programas de fidelidade e números de companhias aéreas vinculadas

A Marriott afirmou em seu comunicado à imprensa que não se acredita que a violação tenha exposto números de pinos, informações de cartão de pagamento, identidades nacionais, números de carteira de motorista ou senhas de cartão de fidelidade.

Ao multiplicar suas autenticações de login internas e verificar continuamente se há violações de dados, a Marriott pode mitigar ou prevenir completamente futuros ataques cibernéticos.

56. Violação de dados da Neiman Marcus

Data: Setembro de 2021

Impacto: 4,8 milhões de clientes

A varejista norte-americana Neiman Marcus confirmou em um comunicado que uma "parte não autorizada" pode acessar informações confidenciais do cliente, incluindo:

  • Nomes de usuário.
  • Senhas.
  • Perguntas de segurança
  • Informações financeiras.

A violação afetou quase 3,1 milhões de cartões-presente virtuais e de pagamento, dos quais mais de 85% expiraram ou não eram mais válidos.

Depois de saber do incidente, o Neiman Marcus Group entrou em contato com os clientes afetados que não alteraram sua senha desde maio de 2020, instando-os a fazê-lo imediatamente.

O incidente destaca o perigo de usar a mesma senha em diferentes registros. Se essa prática recomendada de segurança cibernética não for seguida, um único comprometimento pode resultar em várias violações da vítima.

57. Violação de dados do MeetMindful

Data: Janeiro de 2021

Impacto: 2,28 milhões de usuários.

MeetiMindful, um aplicativo de namoro com foco na comunidade consciente, foi violado por um conhecido hacker chamado ShinyHunters.

ShinyHunter postou os dados exfiltrados gratuitamente em um fórum de hackers na dark web - Fonte: ZD Net

Dados violados do MeetMindful despejados no fórum de hackers da dark web - Fonte: ZDNet

As mensagens pessoais entre os usuários não foram comprometidas, mas as seguintes informações privadas foram expostas:

  • Endereços IP
  • Nomes reais
  • Endereços de e-mail
  • Cidade, estado e CEP
  • IDs de usuário do Facebook
  • Tokens de autenticação do Facebook
  • Preferências de namoro
  • Estado civil
  • Datas de nascimento
  • Senhas de contas com hash Bcrypt

58. Violação de dados Pixlr

Data: Janeiro de 2021

Impacto: 1,9 milhão de usuários

Um banco de dados de 1,9 milhão de registros de usuários pertencentes ao editor de fotos online Pixlr foi despejado em um fórum de hackers da dark web pelo notório cibercriminoso ShinyHunters.

Banco de dados violado Pixlr despejado no fórum de hackers por ShinyHunters - Fonte: bleepingcomputer.com

Os dados expostos incluíram:

  • Nomes de usuário
  • Endereços de e-mail
  • País
  • Senhas com hash

Os dados foram roubados quando ocorreu a violação de dados do 123RF.

59. Violações de dados da Tackle Warehouse LLC, Running Warehouse LLC, Tennis Warehouse LLC e SkateWarehouse LLC

Data: outubro de 2021 (divulgado em dezembro de 2021)

Impacto: 1,8 milhão de pessoas

Quatro lojas de esportes online foram vítimas de um ataque cibernético, resultando no roubo de informações altamente confidenciais de clientes, incluindo dados de cartão de crédito.

A violação de dados foi divulgada em dezembro de 2021 por um escritório de advocacia que representa cada loja de esportes. A violação de dados foi descoberta pelos sites afetados em 15 de outubro.

Os seguintes sites foram afetados:

  • Armazém de equipamentos LLC (tacklewarehouse.com)
  • Executando o Armazém LLC (runningwarehouse.com)
  • Armazém de tênis LCC (tennis-warehouse.com)
  • Armazém de skate LLC (skatewarehouse.com)

As vulnerabilidades de segurança específicas e os métodos de ataque que facilitaram a violação não foram divulgados, mas especula-se que o acesso foi obtido por meio de uma violação do banco de dados.

Os seguintes dados foram comprometidos no ataque cibernético:

  • Nomes de clientes
  • Números de cartão de crédito (com CVV)
  • Números de cartão de débito (com CVV)
  • Senhas de contas de sites

No momento em que este artigo foi escrito, não se sabe se os números de cartão de crédito comprometidos estavam completos ou com hash. Mesmo se com hash, eles ainda podem ser descriptografados com métodos sofisticados de força bruta.

Quem for o culpado por essa violação provavelmente sofrerá duras consequências regulatórias financeiras por sua negligência de segurança.

60. Violação de dados de gerenciamento do Harbour Plaza Hotel

Data: Fevereiro de 2022

Impacto: 1,2 milhão de registros

A Harbour Plaza Hotel Management, uma empresa de gestão de hospitalidade em Hong Kong, sofreu uma violação de seus bancos de dados de reservas de acomodação, impactando aproximadamente 1,2 milhão de clientes.

De acordo com as perguntas frequentes relacionadas ao incidente, o Harbour Plaza ainda não confirmou se os cibercriminosos conseguiram descriptografar os dados criptografados do cartão de crédito incluídos na violação.

61. Violação de dados do Graff

Data: Novembro de 2021

Impacto: 1,1 milhão de registros

A joalheria exclusiva do Reino Unido, Gaff, sofreu uma violação de dados que comprometeu muitos de seus clientes famosos. O grupo cibercriminoso russo, Conti, foi responsável pelo ataque que envolveu a implantação de ransomware (software de resgate).

Depois de roubar os dados confidenciais de Gaff e criptografar seus sistemas internos, Conti começou a publicar alguns dos registros roubados na dark web, prometendo apenas parar de pagar o resgate de até dez milhões de libras.

Para provar que não estavam blefando, a Conti publicou 11.000 registros na dark web, o que, de acordo com os cibercriminosos russos, representa apenas 1% do total de registros roubados.

Os registros roubados incluem nomes de clientes, endereços, faturas, recibos e notas de crédito.

Alguns dos clientes de alto perfil supostamente afetados por essa violação incluem:

  • Donald Trump
  • David Beckham
  • Oprah Winfrey
  • Alec Baldwin
  • Sir Philip Green
  • Ghislaine Maxwell
  • Príncipe herdeiro saudita Mohammed bin Salman
  • Sheikh Mohammed bin Rashid Al Maktoum

62. Distrito Escolar Unificado de Los Angeles (LAUSD)

Data: Setembro de 2022

Impacto: 1000 escolas/600.000 alunos/500 GB de dados

Em uma das maiores violações de dados de todos os tempos no setor educacional, o Distrito Escolar Unificado de Los Angeles (LAUSD) foi atacado pela Vice Society, um grupo de hackers criminosos russos. O ataque afetou mais de 1000 escolas e 600.000 alunos no segundo maior distrito escolar dos Estados Unidos. O ataque de ransomware ocorreu no fim de semana do Dia do Trabalho e impediu que os funcionários do LAUSD acessassem dados importantes, incluindo:

  • Informações pessoais (nomes, endereços físicos, números de telefone)
  • Endereços de e-mail
  • Sistemas e aplicativos de computador
  • Detalhes do passaporte
  • Números de previdência social de funcionários
  • Informações de login da conta do funcionário
  • Formulários fiscais
  • Contratos e documentos legais
  • Relatórios financeiros
  • Dados bancários
  • Informações de saúde (incluindo dados de vacinação COVID-19)
  • Verificações de antecedentes e relatórios de condenação
  • Avaliações psicológicas dos alunos
  • Credenciais VPN

Depois de consultar a CISA e o FBI, o LAUSD divulgou um comunicado dizendo que não pagaria o resgate que a Vice Society havia exigido. Como resultado, a Vice Society divulgou os dados roubados em seu fórum da dark web. Embora o impacto duradouro do ataque ainda não tenha sido determinado, pode haver possíveis litígios nos próximos anos devido à negligência e manuseio incorreto de dados confidenciais. Antes do ataque, o LAUSD foi informado de possíveis vulnerabilidades em seus sistemas, mas o distrito escolar não agiu para remediar os problemas.

63. Violação de dados do Zoom

Data: Abril de 2020

Impacto: 500.000 usuários.

Quando as inscrições no Zoom estavam se aproximando do pico da pandemia em abril de 2020, os hackers violaram 500.000 contas e as venderam ou publicaram livremente na dark web.

Acompanhe os riscos da cadeia de suprimentos com este modelo de questionário pandêmico gratuito >

Os hackers inicialmente vasculharam bancos de dados da dark web de credenciais de login previamente comprometidas que datam de 2013. Como as senhas geralmente são recicladas, isso deu a eles acesso instantâneo a uma série de contas ativas do Zoom.

Uma série de ataques de preenchimento de credenciais foi lançada para comprometer as contas restantes.

Os destinatários de contas comprometidas do Zoom puderam fazer login em reuniões de transmissão ao vivo.

64. Violação de dados do Slickwraps

Data: fevereiro de 2020

Impacto: 370.000 clientes

A Slickwraps, fabricante de capas de vinil para telefones e tablets, sofreu uma violação que afetou 370.000 de seus clientes.

Essa violação poderia ter sido evitada se a Slickwraps ouvisse os avisos de um hacker de chapéu branco destacando a terrível segurança cibernética da empresa. Depois de ser ignorado, o hacker ecoou seus shows em um post no medium.

Slickwraps ainda ignorou os avisos.

Antes que a postagem do medium fosse excluída, um segundo hacker a leu e decidiu também tentar convencer Slickwraps, mas com uma abordagem um pouco mais impactante.

O segundo hacker realmente violou as defesas abismais da Slickwraps e anunciou sua complacência com a segurança cibernética em um e-mail para mais de 370.000 de seus clientes.

Vamos torcer para que a SlickWraps finalmente fortaleça sua estrutura de segurança cibernética após uma história tão tumultuada.

E-mail da Slickwraps anunciando violação

65. Violação de dados da Magellan Health

Data: abril de 2020

Impacto: 365.000 pacientes

A Magellan Health, uma empresa da Fortune 500, foi vítima de um sofisticado ataque de ransomware em que mais de 365.000 registros de pacientes foram violados.

As informações de login dos funcionários foram acessadas pela primeira vez a partir de um malware instalado internamente. Então, ao se passar por um cliente Magellan em um ataque de phishing, os hackers obtiveram acesso a um único servidor corporativo e implementaram seu ransomware.

Incluídos nos dados violados estavam os números do seguro social do paciente, informações W-2 e números de identificação dos funcionários.

66. Violação de dados da Nintendo

Data: Abril de 2020

Impacto: 300.000 contas.

300.000 contas da Nintendo foram comprometidas e usadas para fazer compras digitais não solicitadas. O número de contas afetadas quase dobrou em relação aos 140.000 originalmente declarados após uma investigação mais aprofundada.

As seguintes informações foram expostas:

  • Senhas de conta
  • Nome do proprietário da conta
  • DN
  • Endereços de e-mail
  • País de residência

Embora não esteja claro como os hackers obtiveram acesso às contas, especula-se que as senhas fracas sejam as culpadas. Para evitar mais violações, a Nintendo postou um tweet pedindo aos membros que ativassem a autenticação em duas etapas.

67. Violação de dados do Mailfire

Data: Setembro de 2020

Impacto: 100.000 usuários

O Mailfire, um software de marketing por e-mail usado por sites de namoro adulto e sites de comércio eletrônico, teve seu banco de dados violado, expondo registros pessoais de usuários de mais de 70 sites.

A violação ocorreu por meio do servidor Elasticsearch não seguro do Mailfire. Uma vez violado, o hacker teve acesso a mais de 320 milhões de registros de notificações enviadas aos clientes do Mailfire.

Os registros expostos incluíam conversas privadas entre membros adultos do site de namoro, bem como as seguintes informações de identificação pessoal:

  • Nome
  • Idade
  • DN
  • Gênero
  • Localização dos remetentes de mensagens
  • Endereços IP
  • Fotos de perfil de membro
  • Descrições de biografias de membros

Além das informações pessoais dos membros do site, essa violação de dados também expôs muitos sites de namoro fraudulentos com perfis femininos fabricados.

68. Violação de Dados da Antheus Tecnologia

Data: Março de 2020

Impacto: 76.000 impressões digitais

A Antheus Tecnologia, uma empresa brasileira de biometria especializada no desenvolvimento de sistemas de identificação de impressões digitais, sofreu uma violação em seu servidor que poderia expor 76.000 registros únicos de impressões digitais.

Os dados acessados consistem em 2,3 milhões de pontos de dados que podem ser submetidos a engenharia reversa para recriar cada impressão digital original.

Além dos pontos de dados de impressão digital, 81,5 milhões de registros foram acessados, consistindo em endereços de e-mail, números de telefone de funcionários e informações de login do administrador.

69. Violação de dados da SolarWinds

Data: Março de 2020

Impacto: 18.000 empresas

Em março de 2020, hackers de estados-nação que se acredita serem russos comprometeram um arquivo DLL vinculado à atualização de software da plataforma Orion pela SolarWinds. O ataque à cadeia de suprimentos afetou até 18.000 clientes da SolarWinds, incluindo seis departamentos do governo dos EUA. O ataque não foi descoberto até dezembro de 2020.

Esse incidente foi o ímpeto para a Ordem Executiva de Segurança Cibernética de Joe Biden, que agora obriga todas as organizações a fortalecer seus esforços de segurança da cadeia de suprimentos

Acredita-se que os hackers altamente sofisticados também sejam responsáveis pelo ataque cibernético da FireEye, resultando no roubo de suas ferramentas Red Team Assessment - um conjunto de ferramentas desenvolvidas pela FireEye para descobrir vulnerabilidades de ataques cibernéticos em qualquer organização.

Dado que a base de clientes da FireEye inclui entidades governamentais, especula-se ainda que essas ferramentas de avaliação da equipe vermelha possibilitaram a violação de dados do governo dos EUA - um ataque rotulado por especialistas em segurança cibernética como a maior violação da história de segurança do país.

A lista de vítimas continua a crescer. Para verificar se você foi afetado, você deve realizar uma avaliação de risco completa para cada fornecedor.

70. Violação de dados da Pegasus Airline

Data: Março de 2022

Impacto: 6,5 Terabytes de dados

Um bucket da AWS mal configurado levou ao comprometimento de 23 milhões de arquivos pertencentes à companhia aérea turca Pegasus Airlines. A exposição de segurança foi descoberta pela empresa de segurança Safety Detectives.

Os dados foram vinculados ao software EFB da companhia aérea, uma solução que requer acesso a dados de decolagem, pouso e reabastecimento e informações confidenciais da tripulação de voo.

A configuração incorreta do bucket da AWS significava que qualquer pessoa tinha acesso gratuito a esse banco de dados, incluindo quase 400 arquivos com senhas de texto simples e chaves secretas.

Quando a exposição foi relatada, a Pegasus Airlines não encontrou evidências de comprometimento de dados. No entanto, embora o bucket da AWS tenha permanecido mal configurado, os cibercriminosos podem ter exfiltrado clandestinamente os dados expostos.

71. Violação de dados da COMELEC nas Filipinas

Data: Janeiro de 2022

Impacto: 60 GB de dados

Um grupo de hackers violou os sistemas de segurança da Comissão Eleitoral (COMELEC) da República das Filipinas, comprometendo 60 gigabytes de informações confidenciais dos eleitores.

A profundidade dessas informações pode permitir que os cibercriminosos mapeiem potencialmente as operações internas completas do sistema eleitoral nas Filipinas, abrindo caminho para ataques subsequentes mais devastadores em nível de segurança nacional.

Os dados comprometidos incluíam nomes de usuário e PINS para máquinas de contagem de votos (VCM).

72. Violação de dados do MailChimp

Data: abril de 2022

Impacto: 100 clientes

Como ocorreu a violação de dados?

O Mailchimp foi vítima de uma violação de dados depois que os cibercriminosos obtiveram acesso a uma ferramenta usada por equipes internas de suporte ao cliente e administração de contas após um ataque bem-sucedido de engenharia social. No entanto, essa violação inicial foi apenas o estágio preliminar de todo o plano de ataque cibernético.

Enquanto vasculhavam desesperadamente as listas de e-mail de clientes armazenadas nas ferramentas internas do Mailchimp, os cibercriminosos finalmente encontraram o que procuravam - uma lista de e-mail de clientes da carteira de criptomoedas de hardware, Trezor.

Os cibercriminosos enviaram um e-mail de phishing muito convincente para toda essa lista de clientes, alegando que ocorreu um incidente crítico de segurança, exigindo um download urgente de uma versão corrigida do aplicativo Trezor.

O e-mail de phishing enviado aos clientes da Trezor - fonte: Bleeping Computer

Quando clicado, esse link direcionava os usuários para um site malicioso quase indistinguível do site da Trezor. Para acessar o aplicativo fraudulento, os usuários precisavam enviar sua semente de recuperação - uma lista de palavras ordenadas usadas para recuperar o acesso a uma carteira de criptomoedas.

Quais dados foram comprometidos?

As investigações ainda estão em andamento, portanto, o impacto completo desse ataque de phishing ainda não é conhecido. No e-mail de phishing, os cibercriminosos alegaram que 106.852 contas foram comprometidas. Esse número pode representar o número total de contas de e-mail visadas nas campanhas de phishing, mas isso ainda não foi confirmado.

O que está confirmado, neste momento, é que aproximadamente 100 contas de clientes do Mailchimp foram comprometidas na fase inicial do ataque cibernético.

Siga o blog da Trezor para acompanhar o progresso dos esforços de investigação.

Aprenda com essa violação

Este incidente cibernético destaca a sofisticação assustadora de que alguns invasores de phishing são capazes.

Nem todos os e-mails de phishing são escritos com gramática terrível e pouca atenção aos detalhes. Alguns são tão avançados que mal podem ser identificados pelo fato de a empresa ser falsamente representada no e-mail. Até a Trezor ficou maravilhada com a sofisticação desse ataque de phishing.

Artigos relacionados