Comment mesurer les plus grandes violations de données de tous les temps?

Il est difficile de dresser une liste définitive des plus grandes atteintes à la protection des données. Les classons-nous en fonction de l’ampleur de l’atteinte? Impact financier direct? Impact social indirect? Coût moyen par victime? Impact politique? Notoriété? C’est un exercice futile de les classer tous – la variété, la nature et les répercussions des attaques et des atteintes majeures sont trop différentes.

Au lieu de cela, sans ordre particulier, voici ce que nous pensons être les atteintes à la protection des données les plus importantes, les plus importantes et les plus remarquables de l’histoire ou du moins depuis l’aube de l’ère des réseaux.

Les courriels du DNC

Par : Fancy Bear (Russie, parrainé par l’État, Wikileaks… D’autres?)
Quand : 2016
Impact sur les données : Plus de 200 000 courriels rendus publics
Incidence financière : Indéterminée
Revendication de la gloire : Influence sur les élections américaines

Il ne s’agissait que d’une seule demande de réinitialisation de courriel qui a été cliquée par John Podesta, mais les répercussions ont probablement modifié l’ensemble du paysage géopolitique mondial pour les années et les décennies à venir. Les courriels, au nombre de plus de 200 000, ont donné au public un accès illimité au fonctionnement interne du DNC, un cauchemar de relations publiques qui a recadré l « élection (et enterré la vidéo “Locker Room Talk” de Trump). Clinton aurait-elle gagné l» élection sans le courriel malveillant sur lequel Podesta a cliqué? C’est du ouï-dire, mais selon toute vraisemblance, nous ne parlerions pas de Mueller, du chantage, des murs frontaliers, de la Troisième Guerre mondiale et de tous les autres titres qui nous honorent depuis près de deux ans maintenant

Lire aussi : L’enquête de l’AP détaille comment la Russie a piraté les courriels du DNC

Violation de données de Yahoo

Par : Le FBI a accusé 2 Russes. Certains soupçonnaient la Chine.
Quand : 2013 (déclaré en 2016 et 2017)
Impact des données : 3 milliards d’enregistrements
Impact financier : 350 millions de dollars
Claim to Fame : la plus grande violation de données connue

La plus grande violation de données jamais enregistrée, on croyait initialement que la violation n’exposait que 1 milliard d’enregistrements. 10 mois plus tard, ce chiffre a bondi à tous les records de Yahoo!, soit 3 milliards. C’est un record qui ne sera probablement jamais dépassé. Très peu de bases de données d’organisations individuelles peuvent s’approcher de cette taille. Il a également coûté 350 millions de dollars à Yahoo! lors de sa vente à Verizon, ce qui en fait l’un des plus chers jamais enregistrés (cela n’inclut pas non plus les autres coûts – baisse du cours de l’action, dommages, etc.)

À lire aussi : Après des violations de données, Verizon réduit de 350 millions de dollars la vente de Yahoo

Réseau Playstation de Sony

Par : Peu clair
Quand : 2011 (2014)
Incidence sur les données : 77 millions d’enregistrements touchés
Impact financier : 171 millions de dollars (+ 15 millions de dollars de règlement en 2014)
Claim to Fame : L’un des plus importants en termes de records et d’impact financier pour une entreprise individuelle. Et puis ils ont été piratés à nouveau quelques années plus tard.

À ne pas confondre avec la réponse plus récente de la Corée du Nord à The Interview, en 2011, le réseau Playstation a été touché, avec 77 millions de disques piratés. Cela comprenait des noms, des adresses et de nombreux numéros de carte de crédit (bien qu’ils soient cryptés et qu’aucun signalement vérifié de vol d’identité n’ait été enregistré). Sony a fermé le réseau pendant une semaine, sans informer les utilisateurs de ce qui s « était passé. Bien qu’il semble que la plupart des utilisateurs aient simplement été incommodés, pour Sony, c » était un cauchemar qui allait se répéter en 2014 lorsque les Nord-Coréens ont volé des disques et des documents inédits en représailles à The Interview. Cela rend l’attaque de 2011 plus notable. Trompez-moi une fois…

Lire : Comment l’atteinte à la protection des données de Sony en 2011 et la nécessité de polices d’assurance contre les cyberrisques devraient orienter la réponse fédérale à l’augmentation des atteintes à la protection des données

JPMorgan Chase

Par : Gery Shalon, Joshua Samuel Aaron et Ziv Orenstein
Quand : 2014
Impact des données : 76 millions de ménages et 7 millions de petites entreprises
Incidence financière : Investissement de 250 millions de dollars en sécurité incertain et après coup
Revendication de gloire : la plus grande atteinte à la protection des données bancaires jamais enregistrée

Les institutions bancaires occupent une place particulière dans le monde de la sécurité. Les institutions financières devraient être les forteresses – après tout, elles ont notre argent. Ainsi, lorsque JP Morgan Chase rapporte que 90% de ses dossiers ont été compromis, notre confiance dans les institutions devrait être brisée. Il est apparu après coup que les documents n’avaient pas été utilisés directement à des fins malveillantes. Mais comme c’est le cas pour de nombreuses violations, les données sont souvent utilisées pour lancer des campagnes d’hameçonnage ciblées massives, dont la source des données est difficile à retracer. Il semble que les criminels espéraient utiliser les données volées pour lancer leur propre maison de courtage. Il semble également qu’en utilisant les données volées, ils aient lancé un stratagème de manipulation boursière pour gagner des millions.

Lire : La SEC 8-K déposée par JPM divulguant l’atteinte.

Atteinte à la protection des données d’Equifax

Par : Inconnu/Peut-être parrainé par l’État
Quand : 2017
Impact sur les données : 148 millions d’enregistrements d’utilisateurs
Impact financier : plus de 600 millions de dollars
Revendication de gloire : Probablement la plus coûteuse jamais enregistrée, aussi la plus grande violation de données qui inclut la sécurité sociale.

Si vos données étaient volées et que vous craigniez d’en surveiller l’impact, vers qui vous tourneriez-vous? Agences d’évaluation du crédit. Maintenant, que se passerait-il s’ils étaient piratés? C’est le scénario fou que 2017 nous a présenté. Dans le cadre de la plus importante atteinte à la protection des renseignements personnels enregistrée, Equifax a été victime d’une atteinte à la protection des données qui a révélé les dossiers de 148 millions d’utilisateurs. Les noms, adresses, dates de naissance et numéros de sécurité sociale, ainsi que 209 000 numéros de carte de crédit et documents de contestation contenant des renseignements personnels de 182 000 personnes supplémentaires. Ce ne sont pas les adresses électroniques et les mots de passe de Yahoo!, mais les clés pour commettre une fraude d’identité à grande échelle. L’impact total de cette brèche ne sera jamais connu et se répercutera probablement pendant des décennies.

Lire : Le piratage d’Equifax a-t-il été parrainé par l’État?

Adult Friend Finder n’apprend pas

Par : Peu clair
Quand : 2016
Impact sur les données : 412 millions d’enregistrements
Incidence financière : Non déclarée
Revendication de gloire : Le deuxième piratage en un an, un trésor de chantage, le deuxième en termes d’ampleur après Yahoo

En 2015, Ashley Madison a été secouée par une violation massive de données de ses 37 millions d’utilisateurs. C’était dévastateur pour tous ces utilisateurs qui avaient l’intention de commettre un adultère (2 suicides possibles ont été liés à ce piratage). Il est donc d’autant plus choquant qu’en 2016, la même chose est arrivée à Adult Friend Finder, sauf que 10 fois plus grand. Pire encore, ils avaient déjà été violés en 2015, mais à plus petite échelle (les préférences sexuelles de seulement 4 millions d’utilisateurs, soupir). En 2016, 412 millions d’enregistrements, de noms d’utilisateurs, de mots de passe et d’adresses électroniques, y compris les domaines .gov et .mil. Bien que les préférences sexuelles ne semblent pas figurer dans les données, une adresse courriel pourrait suffire à utiliser comme chantage. Pire encore, les dossiers comprenaient 16 millions de comptes précédemment supprimés!

Lire : Chronologie de l’attaque d’Ashley Madison

Bureau de la gestion du personnel

Par : Ressortissants chinois (soupçonnés, mais non prouvés, être parrainés par l’État)
Quand : 2014-2015
Incidence sur les données : 22,1 millions d’enregistrements
Incidence financière : Indéterminée
Revendication de la renommée : l’ensemble de données le plus riche pour une attaque de cette envergure

Nous avons utilisé de grands chiffres – 400 millions, 3 milliards – donc 22 millions peuvent sembler petits. Certaines de ces violations de données varient, la qualité varie. Dans le cas de Yahoo, sur les 3 milliards d’adresses, combien sont des utilisateurs actifs ou uniques? Pour Adult Friend Finder, quel pourcentage a utilisé les adresses électroniques principales? Equifax est beaucoup plus grave pour cette raison.

Bien qu’OPM soit plus petite qu’Equifax, les données piratées étaient très sensibles et précieuses pour les pirates. J. David Cox, président de l’American Federation of Government Employees, a déclaré que « … Les pirates informatiques sont maintenant en possession de toutes les données personnelles de chaque employé fédéral, de chaque retraité fédéral et d’un million d’anciens employés fédéraux. C « était suffisamment important pour mettre davantage l’accent sur la cybersécurité au sein du gouvernement fédéral. Si cela a été parrainé par l » État comme on le soupçonne, il s’agissait d’un coup majeur pour les Chinois.

Lire : Au cœur de la fuite de données du MPO

Mentions honorables :

Ebay – l’un des plus grands de l’époque, avec 145 millions de dossiers piratés, bien qu’aucune carte ou pièce d’identité de sécurité sociale n’ait été impliquée.
Experian – 200 millions de dossiers ont été consultés par Hieu Minh Ngo , qui dirigeait un réseau de vol d’identité.
Heartland – Les données d’environ 100 millions de cartes ont été volées au processeur de paiement
Home Depot – 56 millions de dossiers de cartes de crédit ont été volés.
Cible – 41 millions de comptes de cartes clients ont été touchés, ainsi que des millions d’autres coordonnées.

Quand la prochaine atteinte aux mégadonnées se produira-t-elle?

Il s’agit d’un échantillon des atteintes à la protection des données que nous avons vues, la plupart assez récentes, toutes au cours de la dernière décennie. Souvent, les plus dangereux sont ceux dont nous n’entendons pas parler. Lorsque l’atteinte fait les manchettes, vous pouvez agir, et les données peuvent être trop chaudes pour que de nombreux criminels puissent en faire quoi que ce soit. De plus, plus l’attaque est importante, plus les forces de l’ordre accordent d’attention à l’affaire, ce qui augmente la probabilité d’attraper le criminel et de perturber le flux de données. Lorsqu’une atteinte n’est pas signalée, cela peut être très différent. Ce qui est encore plus effrayant, c’est que ceux à qui nous confions nos données les plus sensibles ainsi que ceux qui les surveillent, comme les agences de crédit et le gouvernement, sont susceptibles d’être victimes de violations.

Ce serait bien de dire que les choses s’améliorent, mais d’après les brèches au fur et à mesure qu’elles se produisent, il est difficile de dire qu’il y a une fin en vue. Equifax est encore très récent. Toutes les atteintes les plus importantes énumérées ci-dessus se sont produites au cours de la dernière décennie. Plusieurs sur cette liste, comme nous le voyons, se font pirater à plusieurs reprises et compromettent leurs clients en toute impunité. Nous espérons que les choses s’améliorent, mais si la dernière décennie est une indication, nous avons un long chemin à parcourir.