Вспоминаем и анализируем самые громкие утечки данных: от Yahoo до RockYou2024.
В последние годы количество скомпрометированных данных неуклонно . Практически каждый день в новостях появляются новые заметки об утечках и взломах, а мы все больше пишем о необходимости использования — сейчас она актуальна как никогда.
Сегодня погрузимся в историю и вспомним про самые громкие и крупные утечки данных. Сколько и какой информации было слито, как пострадали пользователи и многое другое — в этом материале.
Когда произошла утечка: в 2024 году.
Кто пострадал: пользователи без надежной защиты по всему миру.
RockYou2024 — король утечек и настоящий бич всех, кто думал, что он хакерам не интересен. В июле 2024 года киберпреступники на тематическом форуме выложили гигантскую подборку паролей: 9 948 575 739 уникальных записей. Даже несмотря на то, что RockYou2024 — это компиляция на основе старой утечки RockYou2021, результат все равно ошеломляет.
Как работает умный алгоритм — мы писали в исследовании стойкости паролей, которое совместно с анализом новой утечки наглядно доказывает, что большинство пользователей по-прежнему крайне легкомысленно относятся к созданию паролей.
При разборе новой утечки эксперт отфильтровал все нерелевантные записи и работал с оставшимся массивом из 8,2 млрд паролей, которые хранились в открытом виде, — это, конечно, не 10 млрд, но все еще много.
Когда произошла утечка: в 2020 году.
Кто пострадал: пользователи сайта для взрослых CAM4.
Эта история интересна по двум причинам: какая информация и как утекла. Помимо тривиальных данных — имя, фамилия, адрес электронной почты, журналы платежей, — в утечку попали и куда более интимные сведения: гендерные предпочтения и сексуальная ориентация. Каждый пользователь должен был указать эти данные при регистрации на сайте — без них наслаждаться контентом стриминговой платформы для взрослых нельзя даже в 2024 году.
Утечка произошла из-за использования незащищенной базы данных Elasticsearch, и, если собрать воедино все публикации об утечках из-за использования этой БД, может получиться увесистая книга, в которой история с CAM4 займет небольшую, но важную главу «Как могла случиться, но не случилась, крупнейшая утечка данных в истории». К счастью, база данных была отключена в течение получаса после обнаружения ошибки, а позднее переехала во внутреннюю локальную сеть. Персональные данные пользователей были удалены.
Когда произошла утечка: в 2012, в 2013… А может, и в 2014 году — в Yahoo не знают точной даты.
Кто пострадал: все пользователи Yahoo.
Больше десяти лет назад компания Yahoo столкнулась со взломом (все началось с фишингового письма), повлекшим за собой серию новостей об утечках данных. Сначала говорили про пару сотен миллионов взломанных аккаунтов, после — про , а уже в 2017 году, накануне сделки с Verizon, выяснилось, что пострадали все 3 млрд аккаунтов. Хакеры получили доступ к именам, адресам электронной почты, датам рождения и номерам телефонов.
Эта история — очередное подтверждение того, что даже крупнейшие компании неправильно хранят пользовательские данные. В случае с Yahoo злоумышленники обнаружили базу незашифрованных контрольных вопросов, а некоторые аккаунты и вовсе не имели двухфакторной аутентификации. Так что в вопросе безопасности личных аккаунтов не полагайтесь на механизмы социальных сетей или онлайн-платформ.
Придумывайте или генерируйте надежные пароли.
Когда произошла утечка: в 2018 году.
Кто пострадал: 1,1 млрд индийцев.
Система идентификации граждан и резидентов Индии UIDAI — крупнейшая в мире система биоидентификации, хранящая анкетные данные, отпечатки пальцев и фотографии радужной оболочки глаза более чем 1 млрд индийцев. Уникальный персональный номер, присваиваемый системой, называется Aadhaar.
Пока во многих странах мира только планируют внедрять идентификацию личности по биометрии, в Индии такая система действует уже больше десяти лет. UIDAI была создана, чтобы абсолютно все жители Индии могли иметь официальное единое государственное удостоверение личности — Aadhaar.
На деле же оказалось, что данные почти всех индийцев в результате многочисленных утечек данных были украдены хакерами — в 2018 году киберпреступники продавали доступ к базе всего за 500 рупий (около $6 по текущему курсу). Масштабная утечка данных была и в 2023 году — тогда 815 млн индийцев.
Банки и правоохранительные органы по-прежнему рекомендуют жертвам утечек заблокировать возможность распоряжаться деньгами с помощью биометрии. Но и это не гарантия безопасности — киберпреступники могут владеть номерами паспортов, именами, фамилиями, фотографиями, отпечатками пальцев и другой информацией.
Когда произошла утечка: в 2019 году.
Кто пострадал: 533 млн пользователей Facebook*.
Стоящие рядом слова «Facebook*» и «утечка» уже давно никого не удивляют. Платформа регулярно становится жертвой то хакерских атак, то внутренних утечек. Мы же сегодня вспоминаем самую крупную утечку в истории Facebook* — в руки киберпреступников попали имена, номера телефонов и данные о местоположении 533 млн пользователей соцсети.
Хакеры опубликовали эти данные на специализированном форуме, и любой желающий мог бесплатно загрузить их. Помимо данных обычных пользователей, в Сеть утекли и данные аккаунтов публичных персон, например комиссара юстиции Евросоюза Дидье Рейндерса и тогдашнего премьер-министра, а ныне — министра иностранных дел Люксембурга Ксавье Беттеля.
В утечку попали данные, актуальные на 2018–2019 годы, хотя информация о ней появилась только в 2021 году. Как так получилось? Дело в том, что хакеры эксплуатировали уязвимость в 2019 году, тогда же в Facebook* ее и пропатчили, но рассказать эту историю своим пользователям забыли — или просто не захотели. Так Meta** в очередной раз получила не только шквал критики, но и штраф на €265 млн (примерно $276 млн в 2021 году).
В последние годы количество скомпрометированных данных неуклонно . Практически каждый день в новостях появляются новые заметки об утечках и взломах, а мы все больше пишем о необходимости использования — сейчас она актуальна как никогда.
Сегодня погрузимся в историю и вспомним про самые громкие и крупные утечки данных. Сколько и какой информации было слито, как пострадали пользователи и многое другое — в этом материале.
1. RockYou2024
Коротко: хакеры собрали данные из старых утечек и выкатили самую большую компиляцию реальных пользовательских паролей — 10 млрд записей!Когда произошла утечка: в 2024 году.
Кто пострадал: пользователи без надежной защиты по всему миру.
RockYou2024 — король утечек и настоящий бич всех, кто думал, что он хакерам не интересен. В июле 2024 года киберпреступники на тематическом форуме выложили гигантскую подборку паролей: 9 948 575 739 уникальных записей. Даже несмотря на то, что RockYou2024 — это компиляция на основе старой утечки RockYou2021, результат все равно ошеломляет.
Как работает умный алгоритм — мы писали в исследовании стойкости паролей, которое совместно с анализом новой утечки наглядно доказывает, что большинство пользователей по-прежнему крайне легкомысленно относятся к созданию паролей.
При разборе новой утечки эксперт отфильтровал все нерелевантные записи и работал с оставшимся массивом из 8,2 млрд паролей, которые хранились в открытом виде, — это, конечно, не 10 млрд, но все еще много.
2. CAM4
Коротко: на сайте для взрослых CAM4 неправильно настроили сервера хранения базы данных с 11 млрд записей о клиентах — чувствительная информация оказалась в открытом доступе.Когда произошла утечка: в 2020 году.
Кто пострадал: пользователи сайта для взрослых CAM4.
Эта история интересна по двум причинам: какая информация и как утекла. Помимо тривиальных данных — имя, фамилия, адрес электронной почты, журналы платежей, — в утечку попали и куда более интимные сведения: гендерные предпочтения и сексуальная ориентация. Каждый пользователь должен был указать эти данные при регистрации на сайте — без них наслаждаться контентом стриминговой платформы для взрослых нельзя даже в 2024 году.
Утечка произошла из-за использования незащищенной базы данных Elasticsearch, и, если собрать воедино все публикации об утечках из-за использования этой БД, может получиться увесистая книга, в которой история с CAM4 займет небольшую, но важную главу «Как могла случиться, но не случилась, крупнейшая утечка данных в истории». К счастью, база данных была отключена в течение получаса после обнаружения ошибки, а позднее переехала во внутреннюю локальную сеть. Персональные данные пользователей были удалены.
3. Yahoo
Коротко: Хакерская атака затронула все 3 млрд пользователей платформы, но в Yahoo признались в этом лишь спустя три года.Когда произошла утечка: в 2012, в 2013… А может, и в 2014 году — в Yahoo не знают точной даты.
Кто пострадал: все пользователи Yahoo.
Больше десяти лет назад компания Yahoo столкнулась со взломом (все началось с фишингового письма), повлекшим за собой серию новостей об утечках данных. Сначала говорили про пару сотен миллионов взломанных аккаунтов, после — про , а уже в 2017 году, накануне сделки с Verizon, выяснилось, что пострадали все 3 млрд аккаунтов. Хакеры получили доступ к именам, адресам электронной почты, датам рождения и номерам телефонов.
Эта история — очередное подтверждение того, что даже крупнейшие компании неправильно хранят пользовательские данные. В случае с Yahoo злоумышленники обнаружили базу незашифрованных контрольных вопросов, а некоторые аккаунты и вовсе не имели двухфакторной аутентификации. Так что в вопросе безопасности личных аккаунтов не полагайтесь на механизмы социальных сетей или онлайн-платформ.
Придумывайте или генерируйте надежные пароли.
4. UIDAI (Aadhaar)
Коротко: хакеры выставили на продажу биометрические данные почти всех граждан и резидентов Индии.Когда произошла утечка: в 2018 году.
Кто пострадал: 1,1 млрд индийцев.
Система идентификации граждан и резидентов Индии UIDAI — крупнейшая в мире система биоидентификации, хранящая анкетные данные, отпечатки пальцев и фотографии радужной оболочки глаза более чем 1 млрд индийцев. Уникальный персональный номер, присваиваемый системой, называется Aadhaar.
Пока во многих странах мира только планируют внедрять идентификацию личности по биометрии, в Индии такая система действует уже больше десяти лет. UIDAI была создана, чтобы абсолютно все жители Индии могли иметь официальное единое государственное удостоверение личности — Aadhaar.
На деле же оказалось, что данные почти всех индийцев в результате многочисленных утечек данных были украдены хакерами — в 2018 году киберпреступники продавали доступ к базе всего за 500 рупий (около $6 по текущему курсу). Масштабная утечка данных была и в 2023 году — тогда 815 млн индийцев.
Банки и правоохранительные органы по-прежнему рекомендуют жертвам утечек заблокировать возможность распоряжаться деньгами с помощью биометрии. Но и это не гарантия безопасности — киберпреступники могут владеть номерами паспортов, именами, фамилиями, фотографиями, отпечатками пальцев и другой информацией.
5. Facebook*
Коротко: компания не уведомила пользователей об утечке данных, хотя знала о ней два года.Когда произошла утечка: в 2019 году.
Кто пострадал: 533 млн пользователей Facebook*.
Стоящие рядом слова «Facebook*» и «утечка» уже давно никого не удивляют. Платформа регулярно становится жертвой то хакерских атак, то внутренних утечек. Мы же сегодня вспоминаем самую крупную утечку в истории Facebook* — в руки киберпреступников попали имена, номера телефонов и данные о местоположении 533 млн пользователей соцсети.
Хакеры опубликовали эти данные на специализированном форуме, и любой желающий мог бесплатно загрузить их. Помимо данных обычных пользователей, в Сеть утекли и данные аккаунтов публичных персон, например комиссара юстиции Евросоюза Дидье Рейндерса и тогдашнего премьер-министра, а ныне — министра иностранных дел Люксембурга Ксавье Беттеля.
В утечку попали данные, актуальные на 2018–2019 годы, хотя информация о ней появилась только в 2021 году. Как так получилось? Дело в том, что хакеры эксплуатировали уязвимость в 2019 году, тогда же в Facebook* ее и пропатчили, но рассказать эту историю своим пользователям забыли — или просто не захотели. Так Meta** в очередной раз получила не только шквал критики, но и штраф на €265 млн (примерно $276 млн в 2021 году).
Чему нас учат все эти утечки?
Красной нитью сквозь все эти истории проходит мысль: «На большие компании надейся, а сам не плошай» — за безопасность своих данных в первую очередь ответственны мы сами, а не Facebook*, Yahoo или даже правительство. Важно самостоятельно аккаунты, придумывать или генерировать надежные пароли, хранить их в и с особым трепетом относиться к своим биометрическим данным.- Используйте разные пароли. Если вы приверженец тактики «один пароль на все случаи жизни» и пользуетесь Интернетом хотя бы несколько лет — у нас для вас плохие новости…
- Проверьте, скомпрометированы ли ваши пароли.
- Используйте двухфакторную аутентификацию (2FA) везде, где это возможно.
- Не храните пароли в браузерах. Используйте менеджер паролей, сгенерируйте с его помощью уникальные криптостойкие пароли для всех ваших важных аккаунтов, и вам останется придумать и запомнить лишь один — главный — пароль, который станет ключом ко всем остальным паролям. Им будет защищено и зашифровано ваше хранилище паролей и других важных данных.
