• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Las 15 mayores filtraciones de datos del siglo XXI

Las violaciones de datos que afectan a millones de usuarios son demasiado comunes. Estas son algunas de las infracciones más grandes y graves de la memoria reciente.

No hace mucho, una violación que comprometiera los datos de unos pocos millones de personas habría sido una gran noticia. Ahora, las infracciones que afectan a cientos de millones o incluso miles de millones de personas son demasiado comunes. Aproximadamente 3,5 mil millones de personas vieron sus datos personales robados solo en las dos principales de las 15 mayores violaciones de este siglo. El incidente más pequeño de esta lista involucró los datos de apenas 134 millones de personas.

OSC compilado esta lista de los mayores de 21 st incumplimientos del siglo utilizando criterios sencillos: El número de personas cuyos datos se vio comprometida. También hicimos una distinción entre los incidentes en los que se robaron datos con fines maliciosos y aquellos en los que una organización dejó datos desprotegidos y expuestos sin darse cuenta. Twitter, por ejemplo, dejó desenmascaradas en un registro las contraseñas de sus 330 millones de usuarios, pero no hubo evidencia de uso indebido. Entonces, Twitter no hizo esta lista.

Sin más preámbulos, aquí, enumerados en orden alfabético, están las 15 violaciones de datos más grandes en la historia reciente, incluido quién se vio afectado, quién fue el responsable y cómo respondieron las empresas.

Las mayores filtraciones de datos

  1. Adobe 
  2. Buscador de amigos adultos
  3. Canva
  4. Dubsmash
  5. eBay
  6. Equifax
  7. Sistemas de pago Heartland 
  8. LinkedIn
  9. Marriott International
  10. Mi amigo de fitness
  11. Mi espacio
  12. NetEase
  13. Sina Weibo
  14. Yahoo
  15. Zynga

Adobe 

Fecha: octubre de 2013
Impacto: 153 millones de registros de usuarios
Detalles:  como informó a principios de octubre de 2013 el bloguero de seguridad Brian Krebs, Adobe informó originalmente que los piratas informáticos habían robado casi 3 millones de registros de tarjetas de crédito de clientes cifrados, además de los datos de inicio de sesión de un número indeterminado de usuarios cuentas.

A finales de ese mes, Adobe elevó esa estimación para incluir ID y contraseñas cifradas para 38 millones de “usuarios activos”. Krebs informó que un archivo publicado unos días antes “parece incluir más de 150 millones de pares de nombre de usuario y contraseña con hash tomados de Adobe”. Semanas de investigación mostraron que el ataque también había expuesto nombres de clientes, identificaciones, contraseñas e información de tarjetas de débito y crédito.

Un acuerdo en agosto de 2015 requería que Adobe pagara $ 1.1 millones en honorarios legales y una cantidad no revelada a los usuarios para resolver reclamos por violar la Ley de Registros de Clientes y prácticas comerciales desleales. En noviembre de 2016, el monto pagado a los clientes se informó en $ 1 millón.

Buscador de amigos adultos

Fecha: octubre de 2016
Impacto: 412,2 millones de cuentas
Detalles: esta infracción fue particularmente sensible para los titulares de cuentas debido a los servicios que ofrecía el sitio. La red FriendFinder, que incluía sitios web de encuentros casuales y contenido para adultos como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com y Stripshow.com, fue violada a mediados de octubre de 2016.

Los datos robados abarcaron 20 años en seis bases de datos e incluía nombres, direcciones de correo electrónico y contraseñas.

El algoritmo de hash SHA-1 débil protegió la mayoría de esas contraseñas. Se estima que el 99% de ellos habían sido descifrados cuando LeakedSource.com publicó su análisis del conjunto de datos el 14 de noviembre de 2016.

Como CSO  informó en ese momento que, “Un investigador que usa 1×0123 en Twitter y Revolver en otros círculos publicó capturas de pantalla tomadas en Adult Friend Finder (que) muestran que se activa una vulnerabilidad de inclusión de archivos locales (LFI)”. Dijo que la vulnerabilidad, descubierta en un módulo en los servidores de producción utilizados por Adult Friend Finder, “estaba siendo explotada”.

 

Canva

Fecha:   mayo de 2019
Impacto:  137 millones de cuentas de usuario
Detalles:  en mayo de 2019, el sitio web de la herramienta de diseño gráfico australiano Canva sufrió un ataque que expuso direcciones de correo electrónico, nombres de usuario, nombres, ciudades de residencia y salpicado y hash con contraseñas bcrypt (para usuarios que no usan redes sociales inicios de sesión (alrededor de 61 millones) de 137 millones de usuarios. Canva dice que los piratas informáticos lograron ver, pero no robar, archivos con datos de pago y tarjetas de crédito parciales.

Los presuntos culpables, conocidos como Gnosticplayers, se pusieron en contacto con ZDNet para jactarse del incidente y dijeron que Canva había detectado su ataque y cerrado su servidor de violación de datos. El atacante también afirmó haber obtenido tokens de inicio de sesión de OAuth para los usuarios que iniciaron sesión a través de Google.

La compañía confirmó el incidente y posteriormente notificó a los usuarios, les pidió que cambiaran las contraseñas y restablecieran los tokens de OAuth. Sin embargo, según una publicación posterior de Canva , una lista de aproximadamente 4 millones de cuentas de Canva que contenían contraseñas de usuario robadas se descifró y compartió en línea posteriormente, lo que llevó a la empresa a invalidar las contraseñas sin modificar y notificar a los usuarios con contraseñas sin cifrar en la lista.

eBay

Fecha: mayo de 2014
Impacto: 145 millones de usuarios
Detalles: eBay informó que un ataque expuso su lista completa de cuentas de 145 millones de usuarios en mayo de 2014, incluidos nombres, direcciones, fechas de nacimiento y contraseñas cifradas. El gigante de las subastas en línea dijo que los piratas informáticos utilizaron las credenciales de tres empleados corporativos para acceder a su red y tuvieron acceso completo durante 229 días, tiempo más que suficiente para comprometer la base de datos de usuarios.

La empresa pidió a los clientes que cambiaran sus contraseñas. La información financiera, como los números de tarjetas de crédito, se almacenó por separado y no se vio comprometida. La empresa fue criticada en ese momento por la falta de comunicación con sus usuarios y la mala implementación del proceso de renovación de contraseña.

Equifax

Fecha:  29 de julio de 2017
Impacto: 147,9 millones de consumidores
Detalles:  Equifax, una de las agencias de informes crediticios más grandes de EE. UU., Dijo el 7 de septiembre de 2017 que una vulnerabilidad de la aplicación en uno de sus sitios web provocó una violación de datos que expuso alrededor de 147,9 millones de consumidores. La brecha se descubrió el 29 de julio, pero la compañía dice que probablemente comenzó a mediados de mayo. La violación comprometió la información personal (incluidos los números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir) de 143 millones de consumidores; 209.000 consumidores también tuvieron expuestos sus datos de tarjetas de crédito. Ese número se elevó a 147,9 millones en octubre de 2017.

Equifax fue culpado por una serie de fallas de seguridad y respuesta. La principal de ellas fue que la vulnerabilidad de la aplicación que permitía el acceso de los atacantes no estaba reparada. La segmentación inadecuada del sistema facilitó el movimiento lateral de los atacantes. Equifax también tardó en informar de la infracción. 

Dubsmash

Fecha:   diciembre de 2018
Impacto:  162 millones de cuentas de usuario
Detalles:  en diciembre de 2018, el servicio de mensajería de video con sede en Nueva York Dubsmash tenía 162 millones de direcciones de correo electrónico, nombres de usuario, hashes de contraseña PBKDF2 y otros datos personales como fechas de nacimiento robadas, todos los cuales luego se puso a la venta en el mercado de la web oscura Dream Market en diciembre siguiente. La información se vendía como parte de un volcado recopilado que también incluía MyFitnessPal (más sobre eso a continuación), MyHeritage (92 millones), ShareThis, Armor Games y la aplicación de citas CoffeeMeetsBagel.

Dubsmash reconoció que se había producido la violación y venta de información, y brindó consejos sobre el cambio de contraseña, pero no dijo cómo ingresaron los atacantes ni confirmó cuántos usuarios se vieron afectados.

Sistemas de pago Heartland 

Fecha:  marzo de 2008
Impacto:  134 millones de tarjetas de crédito expuestas
Detalles: En el momento de la infracción, Heartland procesaba 100 millones de transacciones con tarjetas de pago por mes para 175.000 comerciantes, en su mayoría minoristas pequeños y medianos. La infracción se descubrió en enero de 2009 cuando Visa y MasterCard notificaron a Heartland de transacciones sospechosas de cuentas que había procesado. Los atacantes aprovecharon una vulnerabilidad conocida para realizar un ataque de inyección SQL . Los analistas de seguridad habían advertido a los minoristas sobre la vulnerabilidad durante varios años, e hizo de la inyección SQL la forma más común de ataque contra sitios web en ese momento.

Debido a la infracción, la industria de tarjetas de pago (PCI) consideró que Heartland no cumplía con su Estándar de seguridad de datos (DSS) y no le permitió procesar los pagos de los principales proveedores de tarjetas de crédito hasta mayo de 2009. La compañía también pagó un estimado de $ 145 millones en compensación por pagos fraudulentos.

La violación de Heartland fue un raro ejemplo en el que las autoridades atraparon al atacante. Un gran jurado federal acusó a Albert González y dos cómplices rusos no identificados en 2009. Se alega que González, un cubanoamericano, fue el autor intelectual de la operación internacional que robó las tarjetas de crédito y débito. Fue condenado en marzo de 2010 a 20 años en una prisión federal.

LinkedIn

Fecha:   2012 (y 2016)
Impacto:  165 millones de cuentas de usuario
Detalles:  Como la principal red social para profesionales de negocios, LinkedIn se ha convertido en una propuesta atractiva para los atacantes que buscan realizar ataques de ingeniería social . Sin embargo, también ha sido víctima de la filtración de datos de usuarios en el pasado.

En 2012, la empresa anunció que los atacantes robaron 6,5 millones de contraseñas no asociadas (hashes SHA-1 sin sal) y las publicaron en un foro de hackers rusos. Sin embargo, no fue hasta 2016 que se reveló el alcance total del incidente. Se descubrió que el mismo pirata informático que vendía los datos de MySpace estaba ofreciendo las direcciones de correo electrónico y las contraseñas de alrededor de 165 millones de usuarios de LinkedIn por solo 5 bitcoins (alrededor de $ 2,000 en ese momento). LinkedIn reconoció que se había enterado de la violación y dijo que había restablecido las contraseñas de las cuentas afectadas.

Marriott International

Fecha: 2014-18
Impacto: 500 millones de clientes
Detalles: Marriott International anunció en noviembre de 2018 que los atacantes habían robado datos de aproximadamente 500 millones de clientes. La violación se produjo inicialmente en los sistemas que respaldan las marcas de hoteles Starwood a partir de 2014. Los atacantes permanecieron en el sistema después de que Marriott adquirió Starwood en 2016 y no se descubrieron hasta septiembre de 2018.

Los atacantes pudieron tomar alguna combinación de información de contacto, número de pasaporte, números de Starwood Preferred Guest, información de viaje y otra información personal. Se cree que los números de las tarjetas de crédito y las fechas de vencimiento de más de 100 millones de clientes fueron robados, pero Marriott no está seguro de si los atacantes pudieron descifrar los números de las tarjetas de crédito. La violación se atribuyó finalmente a un grupo de inteligencia chino que buscaba recopilar datos sobre ciudadanos estadounidenses, según un artículo del New York Times .

Mi amigo de fitness

Fecha:   febrero de 2018
Impacto:  150 millones de cuentas de usuario
Detalles:  además de Dubsmash, la aplicación de fitness MyFitnessPal, propiedad de UnderArmor, se encontraba entre el volcado masivo de información de 16 sitios comprometidos que vieron filtrarse y ponerse a la venta unas 617 millones de cuentas de clientes en Dream Market.

En febrero de 2018, los nombres de usuario, las direcciones de correo electrónico, las direcciones IP, las contraseñas con hash SHA-1 y bcrypt de alrededor de 150 millones de clientes fueron robados y puestos a la venta un año después, al mismo tiempo que Dubsmash et al. MyFitnessPal reconoció la violación y pidió a los clientes que cambiaran sus contraseñas, pero no compartió cuántas cuentas se vieron afectadas ni cómo los atacantes obtuvieron acceso a los datos.

Mi espacio

Fecha:  2013
Impacto:  360 millones de cuentas de usuario
Detalles:  aunque había dejado de ser la potencia que alguna vez fue, el sitio de redes sociales MySpace llegó a los titulares en 2016 después de que se filtraran 360 millones de cuentas de usuario en LeakedSource (una base de datos de búsqueda de cuentas robadas ) y poner a la venta en el mercado de la dark web The Real Deal con un precio inicial de 6 bitcoins (alrededor de $ 3,000 en ese momento).

Según la empresa , los datos perdidos incluían direcciones de correo electrónico, contraseñas y nombres de usuario de “una parte de las cuentas que se crearon antes del 11 de junio de 2013 en la antigua plataforma Myspace”. Según Troy Hunt de HaveIBeenPwned, las contraseñas se almacenaron como hashes SHA-1 de los primeros 10 caracteres de la contraseña convertidos a minúsculas.

NetEase

Fecha:   octubre de 2015
Impacto:  235 millones de cuentas de usuario
Detalles:  NetEase es un proveedor de servicios de buzón de correo a través de 163.com y 126.com. Se informó que las direcciones de correo electrónico y las contraseñas de texto sin formato de unos 235 millones de cuentas de clientes de NetEase estaban siendo vendidas por un proveedor del mercado de la web oscura conocido como DoubleFlag. El mismo proveedor también vendía información extraída de otros gigantes chinos como QQ.com de Tencent, Sina Corporation y Sohu, Inc. Según los informes, NetEase ha negado cualquier incumplimiento. HaveIBeenPwned enumera esta infracción como “no verificada”.

Sina Weibo

Fecha: marzo de 2020
Impacto: 538 millones de cuentas
Detalles: con más de 500 millones de usuarios, Sina Weibo es la respuesta de China a Twitter. Sin embargo, en marzo de 2020 se informó que los nombres reales, los nombres de usuario del sitio, el género, la ubicación y, para 172 millones de usuarios, los números de teléfono se habían publicado para la venta en los mercados de la web oscura. No se incluyeron las contraseñas, lo que puede indicar por qué los datos estaban disponibles por solo ¥ 1,799 ($ ​​250).

Weibo reconoció que los datos a la venta eran de la empresa, pero afirmó que los datos se obtuvieron comparando los contactos con la API de su libreta de direcciones. También dijo que, dado que no almacena las contraseñas en texto plano, los usuarios no deberían tener nada de qué preocuparse. Sin embargo, esto no concuerda ya que parte de la información que se ofrece, como los datos de ubicación, no está disponible a través de la API. El gigante de las redes sociales dijo que había notificado a las autoridades sobre el incidente y la Administración de Seguridad Cibernética de China del Ministerio de Industria y Tecnología de la Información dijo que está investigando.

Yahoo

Fecha: 2013-14
Impacto: 3 mil millones de cuentas de usuario
Detalles: Yahoo anunció en septiembre de 2016 que en 2014 había sido víctima de lo que sería la mayor filtración de datos de la historia . Los atacantes, que la compañía creía que éramos “actores patrocinados por el estado”, comprometieron los nombres reales, direcciones de correo electrónico, fechas de nacimiento y números de teléfono de 500 millones de usuarios. Yahoo afirmó que la mayoría de las contraseñas comprometidas tenían hash.

Luego, en diciembre de 2016, Yahoo reveló otra infracción de 2013 por parte de un atacante diferente que comprometió los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas, y preguntas y respuestas de seguridad de mil millones de cuentas de usuarios. Yahoo revisó esa estimación en octubre de 2017 para incluir todas sus 3 mil millones de cuentas de usuario .

El momento del anuncio original de la infracción fue malo, ya que Yahoo estaba en proceso de ser adquirido por Verizon, que finalmente pagó 4.480 millones de dólares por el negocio principal de Internet de Yahoo. Las infracciones eliminaron aproximadamente 350 millones de dólares del valor de la empresa.

Zynga

Fecha:   septiembre de 2019
Impacto:  218 millones de cuentas de usuario
Detalles:  una vez que fue un gigante de la escena de los juegos de Facebook, el creador de Farmville, Zynga, sigue siendo uno de los jugadores más importantes en el espacio de juegos móviles con millones de jugadores en todo el mundo.

En septiembre de 2019, un pirata informático paquistaní que se hace llamar Gnosticplayers afirmó haber pirateado la base de datos de Zynga de jugadores de Draw Something y Words with Friends y obtuvo acceso a las 218 millones de cuentas registradas allí. Más tarde, Zynga confirmó que se robaron direcciones de correo electrónico, contraseñas con hash SHA-1 saladas, números de teléfono e ID de usuario para cuentas de Facebook y Zynga.