Spektakularne przykłady naruszeń danych osobowych
Wiele incydentów złamania ochrony danych osobowych zostało szeroko nagłośnionych na całym świecie, aczkolwiek niektóre z najbardziej znanych miały miejsce w firmach z siedzibą w USA. Warto zaznaczyć, że mimo że te przykłady są globalne, to złamania ochrony danych osobowych mogą zdarzyć się w dowolnej organizacji i mogą być tak proste, jak niewłaściwe wysłanie wiadomości e-mail lub załączników lub przekazanie dokumentu, który zawiera pełną historię wersji danych.
Największe do tej pory pogwałcenie prywatności w Yahoo
Największe naruszenie prywatności użytkowników w historii miało miejsce w Yahoo. Cyberatak rosyjskiego zespołu hakerów w latach 2013-2016 dotknął ponad 3 miliardy kont. Do kradzieży rekordów kont użytkowników wykorzystano programy umożliwiające dostęp do baz danych, skradziono kopie zapasowe oraz pliki cookie z dostępem.
Skradzione informacje zawierały imiona i nazwiska, adresy e-mail, numery telefonów, daty urodzenia, hasła, wpisy w kalendarzu oraz pytania bezpieczeństwa.
Naruszenie prywatności danych w organizacji Microsoft
W styczniu 2021 roku Microsoft doświadczył naruszenia prywatności, które trwało przez trzy miesiące i dotknęło 60 000 firm na całym świecie, w tym 30 000 w Stanach Zjednoczonych. Atak skupił się na serwerach poczty elektronicznej Microsoft Exchange.
Do ataku wykorzystano cztery nowe luki w zabezpieczeniach (tzw. zero-day), co umożliwiło osobom nieuprawnionym dostęp do kont firmowych na serwerach. W dodatku, wprowadzono złośliwe oprogramowanie oraz wykorzystano "tylne drzwi", aby uzyskać dostęp do innych systemów. Rząd federalny Stanów Zjednoczonych i Federalne Biuro Śledcze oskarżyły sponsorowaną przez chińskie państwo grupę hakerów o odpowiedzialność za ten atak.
First American Financial Corp
W wyniku słabych środków ochronnych i projektu firmy First American Financial Corp., doszło do wycieku danych osobowych. W maju 2019 roku firma świadcząca usługi finansowe stała się ofiarą incydentu dotyczącego około 885 milionów plików. Właściwe określenie tego wydarzenia to wyciek danych, a nie naruszenie, ponieważ nie było zaangażowane żadne zewnętrzne siły, takie jak hakerzy. Przyczyną wycieku było niewystarczające zabezpieczenie danych oraz projekt strony internetowej.
Dane prywatne były dostępne bez konieczności weryfikacji ani uwierzytelnienia poprzez witrynę internetową. Aby uzyskać dostęp do poufnych dokumentów, wystarczył link. Ponadto, dzięki sekwencyjnemu numerowaniu rekordów, dodatkowe dokumenty klientów były łatwo dostępne poprzez zmianę pojedynczej cyfry w adresie URL.
Dane, do których zdobyto dostęp, obejmowały: identyfikatory prawa jazdy, numery ubezpieczenia społecznego, numery kont bankowych, dokumenty dotyczące transakcji bankowych oraz dokumentację spłaty zobowiązań hipotecznych i potwierdzenia transferów pieniężnych.
Komisja Papierów Wartościowych i Giełd nałożyła na firmę karę w wysokości 500 000 USD za popełnione błędy, które polegały na lekceważeniu sygnałów ostrzegawczych we wcześniejszych latach.
Naruszenie wrażliwych danych osobowych w Equifax
W przypadku naruszenia wrażliwych danych osobowych w usłudze monitorowania i generowania raportów kredytowych Equifax, zazwyczaj osoby poszkodowane korzystają z usług agencji sprawozdawczości kredytowej, aby monitorować wszelkie nieupoważnione działania. Jednak co się dzieje, jeśli naruszenie dotyczy samej agencji kredytowej? Taka sytuacja miała miejsce w przypadku Equifax w 2017 roku i dotknęła aż 163 miliony ludzi na całym świecie. Opinia publiczna nie została powiadomiona o tym naruszeniu przez ponad miesiąc po jego odkryciu przez firmę.
Z uwagi na bardzo delikatne informacje, którymi firma się zajmowała, była ona mocno krytykowana za złe praktyki i zaniedbania w dziedzinie bezpieczeństwa. Doszło do wielu naruszeń poprzez luki w zabezpieczeniach wewnętrznej infrastruktury, ale nawet po wykryciu pierwszego naruszenia nie podjęto odpowiednich działań w celu ich naprawy. Niewystarczające zabezpieczenia sieci i zbyt szerokie uprawnienia dostępu użytkowników umożliwiły także hakerom swobodne poruszanie się między serwerami i dostęp do dużej ilości wrażliwych danych.
Equifax osiągnął porozumienie z FTC, innymi organami regulacyjnymi oraz różnymi jurysdykcjami i stanami w 2019 roku. Wysokość porozumienia opiewała na 575 milionów dolarów. Firma także zainwestowała ponad 1,4 miliarda dolarów w usuwanie szkód i odbudowę infrastruktury ochrony danych.
Platforma społecznościowa Facebook doświadczyła licznych przypadków naruszeń prywatności. Zdarzenia te miały miejsce w marcu 2019 roku (ponad 600 milionów użytkowników) oraz w kwietniu 2019 roku (540 milionów rekordów użytkowników zostało naruszonych), a także w późniejszych okresach w 2019 roku (ponad 300 milionów kont użytkowników było objętych incydentami).
Największy skandal był związany z firmą Cambridge Analytica w 2018 roku (50-90 milionów rekordów użytkowników dotkniętych) i kolejny raz w kwietniu 2021 roku (530 milionów kont użytkowników było zagrożonych).
Naruszenia dotyczyły wykorzystywania przez hakerów podatności, słabych wewnętrznych zabezpieczeń, które przechowywały informacje o kontach użytkowników w plikach w formie prostego tekstu, zewnętrznego developera który nie zabezpieczył swojego zbioru danych hasłem, hakerów, którzy nadużyli interfejsu API Facebooka, oraz kradzieży danych za pomocą luki w aplikacji do quizów.
Te dane zawierały imiona i nazwiska, nazwy kont i identyfikatory, hasła, numery telefonów i inne.
Okazało się, że Facebook był świadomy sytuacji z Cambridge Analytica w 2015 roku, ale nie podjął żadnych kroków, aż do momentu, gdy informator ujawnił ją w 2018 roku. To spowodowało, że firma otrzymała rekordową karę w wysokości 5 miliardów dolarów od FTC za kontynuowane naruszanie bezpieczeństwa danych i brak odpowiednich praktyk ochrony danych. FTC również złożyło pozew przeciwko Cambridge Analytica, co skutkowało ustąpieniem dyrektora generalnego firmy.
Naruszenie poufności danych osobowych w Marriott International
Spowodowane brakiem odpowiedniego zabezpieczenia danych, naruszenie dotknęło 500 milionów użytkowników we wrześniu 2018 roku, kiedy nieznana strona trzecia uzyskała nieautoryzowany dostęp do systemu Starwood, w którym przechowywane są informacje dotyczące rezerwacji we wszystkich hotelach należących do sieci.
Informacje gości z ostatnich czterech lat zostały skopiowane, podwojone i zaszyfrowane. Dane takie jak nazwiska, adresy i adresy e-mail zostały skradzione w przypadku około 173 milionów klientów, natomiast dane takie jak nazwiska, informacje o kartach kredytowych, adresy zamieszkania, adresy e-mail, numery telefonów, numery paszportów, informacje dotyczące kont Starwood, daty urodzenia, płeć oraz szczegóły rezerwacji zostały skradzione w przypadku około 327 milionów klientów.
Okazało się, że Marriott posiadał nieodpowiednie środki ochrony danych, gdyż przez wiele lat nie dokonywał aktualizacji systemu rezerwacji, co spowodowało jego podatność na nieuprawniony dostęp. Brytyjskie Biuro Komisarza ds. Informacji nałożyło na Marriott grzywnę w wysokości 24 milionów dolarów za niezachowanie standardów bezpieczeństwa cybernetycznego.
Najobszerniejsze naruszenie prywatności w indyjskiej bazie danych identyfikacyjnych Aadhaar
Aadhaar jest największą na Świecie bazą danych identyfikacyjnych, w której znajdują się dane osobowe i biometryczne ponad miliarda pochodzących z Indii obywateli. Konta w tym systemie są używane do prowadzenia spraw biurokratycznych, takich jak składanie wniosków o wsparcie rządowe lub finansowe, otwieranie konta bankowego lub rejestracja w usługach publicznych.
Przed styczniem 2018 r. miało miejsce włamanie do bazy danych. Nieznani hakerzy uzyskali nieautoryzowany dostęp do bazy danych za pomocą strony internetowej należącej do publicznego przedsiębiorstwa użyteczności publicznej, które wykorzystywało interfejs API bez żadnej kontroli dostępu. Duże ilości danych osobowych, w tym nazwiska, adresy, zdjęcia dokumentów tożsamości, numery telefonów, adresy e-mail i biometryczne dane, takie jak odciski palców i skany tęczówki, były niewystarczająco zabezpieczone przez wiele lat i były ogólnie dostępne. Dodatkowo, unikalne dwunastocyfrowe numery identyfikacyjne przechowywane w bazie danych były powiązane z informacjami dotyczącymi konta bankowego, co sprawiło, że ten incydent stanowił również naruszenie bezpieczeństwa kredytowego.
Badacz bezpieczeństwa podniósł alarm w styczniu o naruszeniu i ryzyku, ale został zignorowany. Pomimo wzrastającej liczby komunikatów, podatną na ataki interfejs API nie usunięto przez dwa miesiące po opublikowaniu tej historii dla czytelników ZDNet w USA. (Serwis informacyjny próbował również wcześniej skontaktować się z władzami Indii, ale bezskutecznie). Skutki naruszenia są trudne do oszacowania, ponieważ skradzione dane nadal są łatwo dostępne, co umożliwia łatwą i niedrogą kradzież tożsamości.
